常见问题 SLB 产品和业务限制 SLB 产品限制 SLB 产品和业务限制限制项普通用户限制描述例外申请方式 ( 例外上限 ) 创建 SLB 实例的财务限制账户余额大于等于 100 元现金

负载均衡 SLB 常见问题

常见问题 SLB 产品和业务限制 SLB 产品限制 SLB 产品和业务限制限制项普通用户限制描述例外申请方式 ( 例外上限 ) 创建 SLB 实例的财务限制账户余额大于等于 100 元现金工单创建 SLB 实例的用户限制创建 SLB 实例的 ECS 限制用户需实名认证 (Portal 才有限制,OpenAPI 无限制 ) 至少拥有 1 个 ECS 实例, 且只能选择有 ECS 实例的 Region 创建 SLB 实例创建 SLB 实例可用的类型公网 / 私网创建 SLB 实例的可用地域青岛 / 杭州 / 北京 / 香港 / 美国工单生产 SLB 实例的可用地域青岛 / 杭州 / 北京 / 香港 / 美国工单 SLB 实例的计费方式按使用流量, 按固定带宽 SLB 实例公网带宽可选范围 ( 按固定带宽 ) 单个监听公网带宽峰值可选范围 ( 按使用流量 ) 1-1000Mbps, 缺省 1Mbps 1-1000Mbps/ 不限制, 缺省不限制单个监听私网带宽峰值系统限定 1Gbps 用户默认按量付费的实例配额普通用户 :30/ 金融云用户 :30 工单 SLB 实例别名输入范围长度限制为 1-80 个字符, 允许包含字母数字 - /. _ 这些字符 SLB 实例监听数量 50 SLB 实例监听可选择的协议类型 HTTP/HTTPS/TCP SLB 实例监听可选择的前端 / 后端端口范围 1-65535 SLB 实例监听转发规则 wrr/wlc, 缺省 wrr HTTP 协议 - 会话保持 -Cookie 处理方式 insert/server, 缺省 insert HTTP- 会话保持 -Cookie 超时时间 1-86400, 缺省 3600 1

HTTP- 会话保持 -Cookie 名称 HTTP- 健康检查 - 端口 HTTP- 健康检查 -Domain HTTP- 健康检查 -URI HTTP- 健康检查 - 超时时间长度限制为 1-200,cookie 必须遵守 RFC 2965 这意味着它只能包含 ASCII 英文字母数字字符, 不能包含逗号分号或空格, 也不能以 $ 字符开头输入范围为 1-65535 缺省使用后端服务端口长度限制为 1-80, 只能使用字母数字 -. 这些字符长度限制为 1-80, 只能使用字母数字 - /. %? # & 这些字符输入范围 1-50 缺省 5 注意 : 如果 HCTimeout < Interval, 则 HCTimeout 无效, 超时时间为 Interval HTTP- 健康检查 - 检查间隔输入范围 1-5 缺省 2 HTTP- 健康检查 - 健康阈值输入范围 1-10, 缺省 3 HTTP- 健康检查 - 不健康阈值输入范围 1-10, 缺省 3 TCP- 会话保持 - 超时时间 0-1000, 缺省 1000 TCP- 健康检查 - 端口 TCP- 健康检查 - 超时时间输入范围为 1-65535 缺省使用后端服务端口输入范围 1-50 缺省 5 注意 : 如果 HCTimeout < Interval, 则 HCTimeout 无效, 超时时间为 Interval TCP- 健康检查 - 检查间隔输入范围 1-5 缺省 2 TCP- 健康检查 - 健康阈值输入范围 1-10, 缺省 3 TCP- 健康检查 - 不健康阈值输入范围 1-10, 缺省 3 后端 ECS 批量添加 / 删除数量 20 后端 ECS 添加规则 ECS 状态必须为 running 后端 ECS 权重输入范围 1-100, 缺省 100 单个 key 的 API 访问频率限制 5000 次 / 天还未设计自动流程, 目前需要联系客服或 BD 每个用户上传证书数量限制 100 还未设计自动流程, 目前需要联系客服或 BD SLB SLA 2

SLB SLA 是如何定义的请参考 SLA 文档 http://www.aliyun.com/product/slb/sla SLB 协议支持 SLB 支持哪些协议 SLB 目前支持 HTTP/HTTPS/TCP 三种协议 SLB VPC 常见问题 SLB 支持 VPC 常见问题 SLB 支持 VPC 的含义 SLB 支持 VPC 目前有两种支持方式 1) 用户可以申请使用自己 VPC 内的 IP 地址作为 SLB 私网地址, 并挂载 VPC 的 ECS 2) 用户可以申请公网 IP 地址作为 SLB 公网地址, 并挂载 VPC 的 ECS 注 : 目前还不支持 EIP 作为 SLB 实例的 IP 几个概念支持 VPC 后, 几个相关的概念说明 : 网络类型分为经典网络和专有网络, 又称为 Classic 和 VPC 实例类型还是私网实例和公网实例, 结合网络类型, 有经典网络私网实例, 经典网络公网实例, 专有网络私网实例三种, 目前专有网络没有公网实例这一说 SLB 支持 VPC 的依赖条件是什么 1) 需要有支持 VPC 的 ECS, 也就是说您已经开通 VPC 并有 VPC ECS 2)SLB 在该 Region 的版本升级到支持 VPC 版本如何开通 SLB 支持 VPC SLB 支持 VPC 本身没有单独需要开通或申请的流程, 用户开通了 VPC 并有 VPC 的 ECS 就可以申请使用 VPC IP 作为 SLB 实例 IP 了 VPC 申请开通请参考 VPC 产品 :http://www.aliyun.com/product/vpc/ slb 支持 VPC 场景和限制 3

SLB 对 VPC 的支持, 目前支持的场景和限制 : 1)SLB 和 ECS 都已经开通支持 VPC 的 Region, 比如北京 Region 可以使用用户的 VPC IP 作为 SLB 私网实例 IP 并加 VPC ECS; 可以使用经典网络公网 IP 作为 SLB 公网实例 IP 并加 VPC ECS; 不能使用经典网络私网 IP 作为 SLB 私网实例 IP 并加 VPC ECS; 不能使用用户的 VPC IP 作为 SLB 私网实例并加非 VPC ECS; 一个实例不能同时存在 VPC 和非 VPC 的 ECS; 2)ECS 已经开通支持 VPC, 但 SLB 还没有开通支持 VPC 的 Region 可以使用经典网络公网 IP 作为 SLB 公网实例 IP 并加 VPC ECS; 默认不能使用经典网络私网 IP 作为 SLB 私网实例 IP 并加 VPC ECS; 不能使用用户的 VPC IP 作为 SLB 私网实例并加非 VPC ECS; 一个实例不能同时存在 VPC 和非 VPC 的 ECS; 目前哪些 Region 的 SLB 支持了 VPC 可以查看 SLB 论坛公告 : SLB 支持 VPC Region 列表支持 VPC 的 Region 私网 IP 和健康检查 IP 切换为 100 网段请注意, 支持 VPC 的 Region,SLB 的私网 IP 和健康检查 IP 会切换为 100 网段, 需要用户关注两点 : 1) 在 ECS 上开启了防火墙的用户需要允许 100 段的健康检查 IP 地址段参见 SLB 健康检查 IP 地址段 2) 对没有 100 网段路由的老 ECS 增加 100 段路由由于 100 段私网 IP 是最近启用的, 存量的老 ECS 上没有到 100 段私网 IP 的路由, 会导致这样的 ECS 加入 100 段 IP 的 SLB 实例后, 由于健康检查不通过而无法使用 Linux 相关的 OS 添加方法参考 : 1) 查看 GATEWAY IP cat /etc/sysconfig/network grep GATEWAY 下面的 gateway_ip 需要替换成上面查询得到的网关地址 2) 手动添加静态路由规则, 实时生效 : ip route add 100.64.0.0/10 via gateway_ip dev eth0 3) 添加静态路由到配置文件, 持久化配置, 下次重启系统也能生效 : centos/redhat/alios/suse/opensuse 系统 : 4

echo "100.64.0.0/10 via gateway_ip dev eth0 >> /etc/sysconfig/network-scripts/route-eth0 ubuntu/debian 系统 : echo "up route add -net 100.64.0.0 netmask 255.192.0.0 gw gateway_ip dev eth0" >> /etc/network/interfaces gentoo 系统 : echo "routes_eth0=(\"100.64.0.0/10 via gateway_ip\")" >> /etc/conf.d/net 4) 检查路由是否设置成功 : ip route show grep '100.64.0.0/10' 100.64.0.0/10 via gateway_ip dev eth0 为什么很多 10IP 访问 ECS 为什么很多 10 开头的 IP 访问 SLB 实例的后端 ECS 这是由于 SLB 系统进行健康检查引起的 SLB 系统除了会通过系统服务器的内网 IP 将来自外部的访问请求转到后端 ECS 上之外, 还会对 ECS 进行健康检查 ( 前提是您已经开启了这一功能 ) 和对您的 SLB 服务进行可用性监控, 这些访问的来源都是由 SLB 系统发起的, 具体包含的 IP 地址段是 : 10.158.0.0/16 10.159.0.0./16 10.49.0.0/16 100.64.0.0/10 为了确保您对外服务的可用性, 请确保对上述地址的访问配置放行规则证书 FAQ 证书管理相关问题常用证书申请流程 1 本地生成私钥 :openssl genrsa -out privatekey.pem 2048 其中 privatekey.pem 为您的私钥文件, 请妥善保管 2 生成证书请求文件 :openssl req -new -key privatekey.pem -out server.csr 其中 server.csr 是您的证书请求文件, 可用其去申请证书 3 获取请求文件中的内容前往 CA 等机构站点申请证书证书格式要求您要申请的证书为 :linux 环境下 pem 格式的证书 SLB 不支持其他格式的证书, 如是其它格式的证书请参考本文 SLB 支持的证书格式及转换方式部分内容 5

如果是通过 root CA 机构颁发的证书, 您拿到的证书为唯一的一份, 不需要额外的证书, 配置的站点即可被浏览器等访问设备认为可信如果是通过中级 CA 机构颁发的证书, 您拿到的证书文件包含多份证书, 需要人为的将服务器证书与中间证书合并在一起上传拼接规则为 : 服务器证书放第一份, 中间证书放第二份, 中间不要有空行注 : 一般情况下, 机构在颁发证书的时候会有对应说明, 请注意规则说明以下为证书格式和证书链格式范例, 请确认格式正确后上传 : 1 root CA 机构颁发的证书 : 证书格式为 linux 环境下 pem 格式 Sample: 证书规则为 : a [-----BEGIN CERTIFICATE-----, -----END CERTIFICATE-----] 开头和结尾 ; 请将这些内容一并上传 ; b 每行 64 字符, 最后一行不超过 64 字符 ; 2 中级机构颁发的证书链 : -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- 6

-----END CERTIFICATE----- 证书链规则 : a 证书之间不能有空行 ; b 每一份证书遵守第一点关于证书的格式说明 ; RSA 私钥格式要求 rsa 私钥规则 : a [-----BEGIN RSA PRIVATE KEY-----, -----END RSA PRIVATE KEY-----] 开头结尾 ; 请将这些内容一并上传 ; b 每行 64 字符, 最后一行长度可以不足 64 字符如果您不是按照上述方案生成私钥, 得到 [-----BEGIN PRIVATE KEY-----, -----END PRIVATE KEY-----] 这种样式的私钥, 您可以按照如下方式转换 : openssl rsa -in old_server_key.pem -out new_server_key.pem 然后将 new_server_key.pem 的内容与证书一起上传 SLB 支持的证书格式及转换方式 SLB 只支持 PEM 格式的证书, 其他格式的证书需要转换成 PEM 格式后才能上传到 SLB 中, 建议通过 openssl 工具进行转换下面是几种比较流行的证书格式转换为 PEM 格式的方法 7

1 DER 转换为 PEM DER 格式一般出现在 java 平台中证书转化 :openssl x509 -inform der -in certificate.cer -out certificate.pem 私钥转化 :openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 2 P7B 转换为 PEM P7B 格式一般出现在 windows server 和 tomcat 中证书转化 :openssl pkcs7 - print_certs -in incertificat.p7b -out outcertificate.cer 获取 outcertificat.cer 里面 [-----BEGIN CERTIFICATE- ----, -----END CERTIFICATE-----] 的内容作为证书上传私钥转化 : 无私钥 3 PFX 转换为 PEM PFX 格式一般出现在 windows server 中提取私钥 : openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes 提取证书 :openssl pkcs12 -in certname.pfx -nokeys -out cert.pem 其它证书相关问题 Q: 一个用户可以上传多少个证书? A: 目前每个用户可以支持 100 个证书 Q: 证书如何上传? A: 可以通过 API 或 SLB 控制台两种方式上传 Q: 证书需要上传到后端 ECS 吗? A: 不需要,SLB HTTPS 提供证书管理系统管理和存储用户证书, 证书不需要上传到后端 ECS, 用户上传到证书管理系统的私钥都会加密存储 Q: 证书区分地域吗? A: 区分考虑到安全和性能, 目前用户的证书如需要在多个地域使用, 就需要在多个地域上传 Q:HTTPS 监听使用什么端口? A: 不强制, 建议使用 443 端口 Q: 一个证书可以应用于多少个监听? A: 一个证书可以应用于一个或多个监听 Q: 证书上传后是否可以删除? A: 可以但证书如被引用了无法删除 SLB 如何容灾使用 SLB 如何容灾 SLB 目前支持 1. 一个实例可以添加一个 REGION 下多个可用区的 ECS 2. 同城容灾 ( 用户 SLB 实例可以在一个 REGION 下的两个机房间切换, 这个切换不需要用户干预, 但前提用户要保证该实例的后端 ECS 满足上述 1. 的条件 8

注 : 个别 REGION 由于只有一个机房, 无法实现同城容灾因此, 要做到 SLB 的容灾, 需要考虑 1. 一个实例下的 ECS 分布在一个 REGION 下的多个可用区在一个 REGION 下创建多个 SLB 实例, 通过 DNS 轮询的方式对外提供服务, 也可以提高本地可用性如果要做到跨 REGION 的容灾, 怎需要在不同 REGION 创建多个 SLB 实例, 通过 DNS 轮询的方式对外提供服务, 从而实现跨 REGION 的可用性如何使用 SLB 如何使用 SLB 请参考快速入门指南 Getting-Started 实例 ip 是独占么 SLB 分配的 IP 是否为独占? 在配置操作时是否会导致 IP 的丢失? 删除 SLB 服务有什么影响? 在您购买使用 SLB 服务的整个生命周期内, 该服务地址 (IP) 都是由您所购买的服务独占的 ; 如果您需要更改 SLB 服务的相关配置策略, 请进入 SLB 管理控制台进行相关配置策略的更改, 更改配置策略不会导致 SLB 服务地址 (IP) 的变更 ; 如果您的 SLB 服务地址 (IP) 已经正常解析到域名且对外提供服务, 除非必要请不要删除您创建的 SLB 服务, 删除了 SLB 服务以后相应的服务配置和服务地址 (IP) 将会被释放掉, 数据一旦删除, 不可恢复如果您重新创建 SLB 服务, 系统会重新给您分配一个新的服务地址 (IP) SLB 是否支持 CNAME SLB 是否支持 CNAME 目前 SLB 不支持 CNAME, 您需要直接将域名解析到 SLB 提供的服务地址 (IP) 上单个 SLB 如何配置多站点 9

如何通过单个 SLB 实例配置多站点 Q: 我购买了多台 ECS 和一个 SLB 实例, 希望搭建多个站点, 这些站点同时跑在这多台 ECS 上, 并使用不同域名访问, 这个是否可以实现? A: 这个可以通过配置不同的主机头来实现举例说明如下 : 以三台杭州 ECS 演示操作 ( 图 1), 系统为 Windows Server 2008 R2 企业版 64 位中文版, 一台杭州 SLB 实例 ( 图 2) 在每台 ECS 上各创建 3 个站点 ( 图 3), 并配置默认站点 ( 图 4) 和站点主机头 ( 图 5) 10

11 负载均衡 SLB/ 常见问题

配置完后可以尝试做一个测试, 测试 ECS 内网访问站点是否可以正常浏览首先配置其中 ECS A 的本地域名解析为 ECS B 的内网 IP 测试域名 ( 图 6), 在 ECS A 上浏览器访问 www.mysite1.com, 如正常, 可以得到正常返回值 ( 图 7) 测试完后将 hosts 文件还原 12

ECS 端配置已经完成, 以下做 SLB 配置, 首先登录 SLB 控制台添加需要加入的 ECS( 图 8) 配置 SLB 监听配置, 测试的端口为前端 80 后端 80( 图 9) 配置 SLB 健康检查, 这里需要注意以下几点 i. 域名配置需要与 ECS 的主机头一致 ii. 检查端口为您配置的后端 ECS 端口, 演示端口是 80 检查路径为 ECS 上站点的文件地址, 演示用默认页 mysite1.html 配置完成, 见图 10 13

配置完后可以得到配置信息, 健康检查显示正常 ( 图 11) ( 如果健康检查异常, 访问后会返回 502 错误 ) 最后的测试通过本地解析, 在客户端上将三个地址解析到 SLB 的 VIP 上 ( 图 12) 打开浏览器依次访问, 可以看到, 访问不同的域名, 会解析到不同的站点上, 验证完成 ( 图 13) 14

实例类型是否可以修改 SLB 实例类型是否可以修改不可以因为 SLB 系统会根据 SLB 类型来分配不同的服务地址 ( 公网 IP/ 私网 IP), 所以当您要进行 SLB 实例类型切换操作时, 必须通过先删除后创建的方式在新建实例时重新选择 SLB 类型 ECS 数据如何同步 SLB 后端 ECS 见如何实现数据同步目前, 有很多类似的工具可以实现服务器之间的数据同步, 比如 :rsync 具体使用及选择, 还请通过其他途径 15

获得更多的介绍资料及指导信息您也可以将您的 ECS 配置成无状态的应用服务器, 而数据和文件统一存放在 RDS 和 OSS 服务上如何配置 ECS 支持 SLB ECS 做负载均衡需要用户做额外的配置吗? 对于添加到 SLB 实例后端的 ECS, 原则上不需要进行特别的配置如果针对关联到 SLB 4 层 (TCP 协议 ) 服务的 Linux 系统的 ECS, 如果发现无法正常访问, 需要确保系统配置文件 /etc/sysctl.conf 的以下三项为 0: net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0 如果部署在同一内网网段下的 ECS 之间有通信需求, 且发现有无法通信的情况存在, 那么需要检查如下参数的配置是否正确 : net.ipv4.conf.default.arp_announce =2 net.ipv4.conf.all.arp_announce =2 并使用 sysctl p 更新配置 ECS 权重作用是什么 ECS 权重是什么作用? 值一样, 但是实际负载却不一样, 为什么? SLB 分发请求到后端 ECS 不均怎调查? 用户可以指定后端服务器池内各 ECS 的转发权重, 权重比越高的 ECS 将被分配到更多的访问请求, 用户可以根据后端 ECS 的对外服务能力和情况来区别设定如果您同时开启了会话保持功能, 那么有可能会造成对后端应用服务器的访问并不是完全相同的, 建议您可以暂时关闭会话保持功能再观察一下是否依然存在这种情况当负载均衡 SLB 服务分发请求到后端 ECS 不均匀时, 可以参考以下方法检查处理 : 第一步 : 统计一个时间段内, 后端 ecs 的 web 服务访问日志记录数据量访问日志查看方法 : Nginx 和 Apache: 日志目录 /access.log IIS: 打开 IIS 管理界面, 鼠标放在需要设置开启日志的站点上, 单击右键, 选择属性, 选择网站选项卡, 点击启用日志 16

第二步 : 按照 slb 的配置, 对比多台 ECS 日志的数量是否有相差 ( 如 SLB 配置是否设置会话保持, 如设置会话保持, 需要剥离相同 IP 的访问日志如果 SLB 配置了权重, 要根据权重比例计算日志中访问比例是否正常 ) 如问题还未能解决, 请联系售后技术支持 curl 正常但健康检查异常 SLB 七层 CURL 测试正常但健康检查异常 SLB 七层健康检查始终失败, 测试 curl -I 得到的状态码是正常的健康检查使用的命令如下 :echo -e "HEAD /test.html HTTP/1.0\r\n\r\n" nc -t LAN_IP 80 如果返回非 2XX 3XX 状态, 定义为健康检查异常需要注意的是 : tengine/nginx 配置会发现 curl 没有问题, 但是 echo 测试会匹配到默认站点, 导致测试文件 test.html 返回 404, 如附件所示 : 17

该问题的解决方法为 : 修改主配置文件, 将默认站点注释掉如下图 : 在健康检查配置的地方添加检查域名 ( 可以为域名或者绑定的 IP) 如下图 : 18

禁用公网网卡是否影响服务禁用 ECS 公网网卡是否会影响 SLB 服务? 会影响服务 : 如果 ECS 有公网 IP 和私网 IP, 禁用公网网卡就会影响 SLB 服务, 因为在有公网网卡的情况下, 默认路由会走公网, 如禁用就无法回包, 因此 SLB 服务会影响建议不要禁止, 如一定要这么做, 需要修改默认路由为私网才会不影响服务但需要考虑业务是否对公网有依赖, 如通过公网访问 RDS 等不同 REGION ECS 无法加入 SLB 不同 REGION, 如杭州和青岛的 2 台 ECS 为何无法加入同一个 SLB 实例 SLB 不支持跨地域 (Region) 部署, 一个 SLB 实例后端的多台 ECS 必须处于同一账号且同一地域 (Region) 才可以配置 SLB 是否依赖外网带宽后端 ECS 需要外网带宽吗? 其与 SLB 的服务能力有关吗? 19

SLB 和后端 ECS 之间是通过内网进行通信的, 所以 ECS 无需配置外网带宽如果您的业务存在同时通过 SLB 和 ECS 对外提供服务的需要, 但那么相应的 ECS 需要具备足够支撑业务的外网带宽或采用按使用流量付费的 ECS SLB 的服务能力与后端 ECS 的公网带宽规格无关同一组 ECS 可建多个网站并同时用 SLB 吗同一组 ECS 可以搭建多个网站并同时进行负载均衡吗? 可以一个 SLB 实例最多支持 50 个服务监听配置, 每个服务监听配置可以对应您后端 ECS 上的一个应用 (SLB 的前端端口对应您后端 ECS 上应用服务端口 ) 您可以通过对后端 ECS 上的多个应用配置不同主机头的方式来满足这一需求 SLB 运行中是否可调整 ECS 数量可以在使用 SLB 的过程中随时调整 ( 增加或减少 ) 后端 ECS 的数目吗? 可以我们支持在任意时刻增加或减少进行负载均衡的后端 ECS 数目, 且可以支持不同 ECS 的切换操作但是, 为了保证您对外服务的稳定不中断, 请确保在执行上述操作时能够开启 SLB 的健康检查功能并同时保证 SLB 后端至少有 1 台正常运行的 ECS SLB 后端 ECS 为何访问不了 SLB 为什么用 4 层 SLB 后端 ECS 访问 ( 如 telnet) 其实例服务地址不通? 这和 SLB TCP 的实现机制有关在 4 层 (TCP 协议 ) 服务中, 当前不支持添加进后端云服务器池的 ECS 既作为 Real Server, 又作为客户端向所在的 SLB 实例发送请求因为, 返回的数据包只在云服务器内部转发, 不经过 SLB, 所以通过配置在 SLB 内的 ECS 去访问的 VIP 是不通的 SLB 实例是否支持不同的 OS 不同操作系统的 ECS 可以同时做 SLB 服务吗? 可以 SLB 本身不会限制后端的 ECS 使用哪种操作系统, 只要您的 2 台 ECS 中的应用服务部署是相同且保证数据的一致性即可但是, 我们建议您选择 2 台相同操作系统的 ECS 进行配置, 以便您日后的管理维护 20

SLB 实例最多支持多少 ECS SLB 一个实例最多支持对几台 ECS 进行负载均衡服务? 我们不会限制用户在 SLB 实例后配置的 ECS 数量但是, 为了保证您对外服务的稳定与高效, 我们建议您可以根据业务分类或应用服务的模块划分来将提供不同服务或执行不同任务的应用服务器配置在不同的 SLB 实例后 SLB 支持什么转发方式 SLB 支持哪些转发方式? 当前 SLB 支持轮询和最小连接数 2 种模式的转发规则轮询模式会将外部和内部的访问请求依序分发给后端 ECS 进行处理, 而最小连接数模式会将外部和内部的访问请求分发给当前连接数最小的一台后端 ECS 进行处理金融云 SLB 开放哪些端口金融云 SLB 允许开放哪些端口金融云 SLB 允许对互联网开放的端口为 :80,443,2800-3300,6000-10000,13000-14000 如何获取真实来源 IP 如何获得来访者的真实 IP? 针对 7 层 (HTTP 协议 ) 服务可以通过 Http Header:X-Forwarded-For 获取来访者真实 IP, 前提是您在配置 SLB 服务监听时开启了获取真实访问 IP 的功能 ; 针对 4 层 (TCP 协议 ) 服务可以直接获取, 无需额外配置详细的配置方法参考最佳实践中获取来访真实 IP 方法文章会话保持如何配置会话保持如何开启? 持续时间是多久? 在您进行负载均衡服务监听配置时就可以选择是否开启会话保持您可以针对不同的监听配置不同的会话保持策略会话保持的最长时间是 :86400 秒 (24 小时 ) 21

slb 支持什么类型的会话保持? 针对 7 层 (HTTP 协议 ) 服务,SLB 系统是基于 cookie 的会话保持针对 4 层 (TCP 协议 ) 服务,SLB 系统是基于 IP 地址的会话保持我有多个域名, 需要针对不同的域名配置不同的会话保持开启和关闭规则, 是否支持? 如何操作? 支持! 您可以通过 SLB 系统提供的重写服务 cookie 的会话保持方式来实现这一需求健康检查配置和异常排查健康检查异常如何排查? SLB 的健康检查是通过 SLB 系统向后端 ECS 发起心跳检查的方式来实现的, 而 SLB 系统和 ECS 之间是通过内网进行通信的, 为了确保健康检查工作的正常进行, 您需要确保能够通过内网访问您的 ECS 健康检查异常排查方法请参考最佳实践中的健康检查异常的排查思路文章详见 < 健康检查异常排查 > 相关配置是否有相对合理的推荐值? 关于健康检查的参数配置, 提供如下参考建议 : 响应超时时间 :5 秒健康检查间隔 :2 秒不健康阈值 :3 健康阈值 :3 在此配置下有利于用户服务及应用状态的尽快收敛 : ECS 健康检查失败响应时间 :2 3+5=11 秒如果用户有更高要求, 可以适当地降低响应超时时间值, 但必须先保证自己服务在正常状态下的处理时间小于这个值 ECS 健康检查成功响应时间 :2 3=6 秒网站 500 或 502 错误排查方法 SLB 七层负载均衡配置后网站间歇性出现 500 或 502 错误排查方法对于 SLB 七层间歇性出现 500 或 502 错误, 可以通过如下方法进行排查分析 : 22

1 确保不存在 SLB 下面的 ECS 在服务器内部再通过 SLB 公网地址访问该 VIP 的情况该情况下, 后端业务服务器通过 SLB 地址访问自身所监控的端口后, 根据 SLB 调度策略的不同, 可能会将相应的请求调度到自身服务器上导致出现自己访问自己的情况, 造成死循环, 进而导致相应的请求出现 500 或 502 错误 2 SLB 下面的 ECS 是否安装了 CC 防护软件,10.158.0.0/16 10.159.0.0./16 10.49.0.0/16 100.97.0.0/16 这些属于 SLB 服务器 IP 段, 主要用于健康检查和转发请求, 如安装安全软件或者系统内部防火墙, 可以将此 IP 段添加白名单, 避免出现 500 或 502 错误如果问题还未能解决, 请联系阿里云售后技术支持带宽峰值配置限定 SLB 系统的带宽峰值是什么? 有什么配置限定? 用户可以针对监听设定不同的带宽峰值来限定后端 ECS 上的不同应用所能对外提供的服务能力带宽峰值的设定规则 : 一个 SLB 实例最多对应 50 个监听, 每个监听可独立设定限定规则 ; 单个监听可限定 5-1000Mbps 范围的带宽峰值 ; 当单个监听上限无法满足用户业务需求时, 可以选择不限带宽峰值 ; 每个连接达不到带宽峰值限定了带宽峰值, 但每个连接为什么达不到这个值? 因为 SLB 系统通过集群部署的方式为您的 SLB 实例提供服务, 所有外部的访问请求都将平均分散到这些 SLB 系统服务器上进行转发, 而您设定的带宽峰值我们将平均设定在多台系统服务上基于以上 : 单个连接下载的流量上限公式为 : 单个连接下载峰值 = 设置的 SLB 总带宽 /(N-1) N 为流量转发分组个数, 当前值一般为 4 举个例子, 您在控制台上设置的是 10Mb 带宽上限, 那么单个客户端可下载的最大流量为 10/(4-1), 为 3.33Mb 基于上述的实现方式, 建议您在配置单个监听的带宽峰值时可以根据您实际的业务情况并结合我们的实现方式来设定一个较为合理的值, 从而确保您业务的正常对外服务不会受到影响和限制 23

常 见 问 题 SLB 产 品 和 业 务 限 制 SLB 产 品 限 制 SLB 产 品 和 业 务 限 制 限 制 项 普 通 用 户 限 制 描 述 例 外 申 请 方 式 ( 例 外 上 限 ) 创 建 SLB 实 例 的 财 务 限 制 账 户 余 额 大 于 等 于 100 元 现 金

常见问题 SLB 产品和业务限制 SLB 产品限制 SLB 产品和业务限制限制项普通用户限制描述例外申请方式 ( 例外上限 ) 创建 SLB 实例的财务限制账户余额大于等于 100 元现金