常见问题FAQ产品文档

Similar documents
常见问题FAQ产品文档

常见问题FAQ产品文档

Domain Management产品文档

Get Started产品文档

FortiADC SLB Virtual Server L7 方式部署介绍 版本 1.0 时间支持的版本作者状态反馈 2015 年 10 月 FortiADC v4.3.x 刘康明已审核

Quick Start产品文档

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP #

Chapter #

产品简介产品文档

计算机网络实验说明

untitled

FortiADC SLB Virtual Server L4 方式部署详解 版本 1.0 时间支持的版本作者状态反馈 2015 年 10 月 FortiADC v4.3.x 刘康明已审核

一 登录 crm Mobile 系统 : 输入 ShijiCare 用户名和密码, 登录系统, 如图所示 : 第 2 页共 32 页

常 见 问 题 SLB 产 品 和 业 务 限 制 SLB 产 品 限 制 SLB 产 品 和 业 务 限 制 限 制 项 普 通 用 户 限 制 描 述 例 外 申 请 方 式 ( 例 外 上 限 ) 创 建 SLB 实 例 的 财 务 限 制 账 户 余 额 大 于 等 于 100 元 现 金

目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas

Kubernetes 的 Service 机制 Iptables 实现 Service 负载均衡 目录 CONTENTS 当前 Iptables 实现存在的问题 IPVS 实现 Service 负载均衡 Iptables VS. IPVS IPSet 与 IPVS 协同

1 产 品 简 介 特 性 包 装 产 品 外 观 电 脑 系 统 要 求 硬 件 安 装 软 件 安 装 软 件 操 作 IP

C3_ppt.PDF

1

NetST 2300系列防火墙产品白皮书

F515_CS_Book.book

温州市政府分散采购

FortiWeb 反向代理 (RP) 模式上线指南 版本 1.1 时间支持的版本作者状态反馈 2016 年 12 月 FortiWeb -v5.0.x 以上李威峰草稿

目录

D-link用户手册.doc

<4D F736F F F696E74202D20A1B6CFEEC4BFD2BB20B3F5CAB6BCC6CBE3BBFACDF8C2E7A1B7C8CECEF1C8FD20CAECCFA A1A24950D0ADD2E9BACD4950B5D8D6B72E707074>

ext-web-auth-wlc.pdf

(UTM???U_935_938_955_958_959 V )

网康科技•互联网控制网关

Web 服 务 器 网 上 银 行 服 务 器 邮 件 服 务 器 置 于 停 火 区 (DMZ), 通 过 病 毒 防 御 网 关 入 侵 检 测 及 防 火 墙 连 接 到 Internet 上, 办 公 网 也 通 过 VPN 防 火 墙 连 接 到 Internet 上 二 金 融 网 络

WebST 3.0管理员手册

项目采购需求编写模板

Adobe AIR 安全性

更 没 有 高 深 的 思 想, 甚 至 说 不 出 一 点 儿 高 级 的 俏 皮 话 他 们 普 遍 认 为, 生 活 中 的 我 和 电 视 里 的 那 个 人 基 本 上 还 算 表 里 如 一, 但 相 比 之 下 少 了 很 多 趣 味 记 得 有 一 个 女 记 者 采 访 我, 半

北京市工商局网络安全系统解决方案

快速入门Windows云服务器产品文档

《將進酒》

21 flash

A API Application Programming Interface 见 应 用 程 序 编 程 接 口 ARP Address Resolution Protocol 地 址 解 析 协 议 为 IP 地 址 到 对 应 的 硬 件 地 址 之 间 提 供 动 态 映 射 阿 里 云 内


目 录 目 录 平 台 概 述 技 术 架 构 技 术 特 点 基 于 统 一 平 台 的 多 产 品 线 支 撑 先 进 性 安 全 性 开 放 性 高 性 能 和

目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas

关于建立境内违法互联网站黑名单管理制度的通知

? 這 全 都 是 市 政 府 提 供 給 我 的 資 料 低 底 盤 公 車 計 畫 96 年 預 算 新 台 幣 4,500 萬 元 97 年 預 算 新 台 幣 1 億 6,500 萬 元 98 年 預 算 新 台 幣 3 億 2,300 萬 元, 共 有 307 台 低 底 盤 公 車,99

水晶分析师

<4D F736F F D20C9CFBAA3CAD0BCC6CBE3BBFAB5C8BCB6BFBCCAD4C8FDBCB6BFBCCAD4B4F3B8D95FBDA8D2E9B8E55F5F E646F63>

1

1. 二 進 制 數 值 ( ) 2 轉 換 為 十 六 進 制 時, 其 值 為 何? (A) ( 69 ) 16 (B) ( 39 ) 16 (C) ( 7 A ) 16 (D) ( 8 A ) 在 電 腦 術 語 中 常 用 的 UPS, 其 主 要 功 能

Transcription:

负载均衡 常见问题 FAQ 产品文档

版权声明 2015-2016 腾讯云版权所有 本文档著作权归腾讯云单独所有, 未经腾讯云事先书面许可, 任何主体不得以任何形式复制 修改 抄袭 传 播全部或部分本文档内容 商标声明 及其它腾讯云服务相关的商标均为腾讯云计算 ( 北京 ) 有限责任公司及其关联公司所有 本文档涉及的第三方 主体的商标, 依法由权利人所有 服务声明 本文档意在向客户介绍腾讯云全部或部分产品 服务的当时的整体概况, 部分产品 服务的内容可能有所调整 您所购买的腾讯云产品 服务的种类 服务标准等应由您与腾讯云之间的商业合同约定, 除非双方另有约定, 否则, 腾讯云对本文档内容不做任何明示或模式的承诺或保证 第 2 页共 12 页

文档目录 文档声明... 2 负载均衡配置常见问题... 4 HTTPS 常见问题... 10 第 3 页共 12 页

负载均衡配置常见问题 1. 健康检查提示 CVM 实例异常该如何处理 请按以下步骤进行排查 : 确保您直接通过云服务器访问到您的应用服务 确保后端服务器已开启了相应的端口 检查后端服务器内部是否有防火墙之类的防护软件, 可能导致负载均衡系统无法与后端服务器通讯 检查负载均衡检查参数设置是否正确 建议使用静态页面来健康检查 检查后端的云服务器是否有高负载导致云服务器对外响应慢 确保云服务器子机没有做 iptables 限制 2. 发送 843 的 policy 请求 ( 即 flash server 请求 ) 时, 没有返回策略文件, 连接直接断掉, 该如何处理? 负载均衡收到 843 的 policy 请求, 会主动回复通用的 crossdomain 策略配置文件, 如果出现没有返回策略文件, 连接直接断掉的情况, 可能是 flash server 请求不正确 请确认发送正确的 flash server 的请求 :\0 注 : 这里需要以 \0 结尾, 一共 23 个字节 这里的 \0 是指一个 accii 码为 0 的符号, 只占用一个字节 正常的 843 返回结果如下图所示 : 第 4 页共 12 页

3. 能否支持获取客户端真实 IP? 腾讯云的 IP 获取能力自动启用, 在 X-forwarded-for 的方式下, 可获取真实客户端 IP 4. 可以为哪些 TCP 端口执行负载均衡? 您可以为下列 TCP 端口执行负载均衡 :21(FTP) 25(SMTP) 80(Http) 443(Https), 以及 1024-65535 等端口 5. 负载均衡 cookies 会话保持方式的原理是什么? 在 Cookie 插入模式下,CLB 将负责插入 cookie, 后端服务器无需作出任何修改 当客户进行第一次请求时, 客户 HTTP 请求 ( 不带 cookie) 进入 CLB, CLB 根据负载平衡算法策略选择后端一台服务器, 并将请求发送至该服务器, 后端服务器进行 HTTP 回复 ( 不带 cookie) 被发回 CLB, 然后 CLB 插入 cookie, 将 HTTP 回复 ( 带 cooki e) 返回到客户端 当客户请求再次发生时, 客户 HTTP 请求 ( 带有上次 CLB 插入的 cookie) 进入 CLB, 然后 CLB 读出 cookie 里的会话保持数值, 将 HTTP 请求 ( 带有与上面同样的 cookie) 发到指定的服务器, 然后后端服务器进行请求回复, 由于服务器并不写入 cookie,http 回复将不带有 cookie, 恢复流量再次经过进入 CLB 时,CLB 再次写入更新后的会话保持 cookie 6. 四层负载均衡和七层负载均衡有什么区别? 四层均衡能力, 是基于 IP+ 端口的负载均衡 ; 七层是基于应用层信息 ( 如 http 头部 URL 等 ) 的负载均衡 第 5 页共 12 页

四到七层负载均衡, 就是在对后台的服务器进行负载均衡时, 依据四层的信息或七层的信息来决定怎么样转发流量 比如四层的负载均衡, 就是通过发布三层的 IP 地址 (VIP), 然后加四层的端口号, 来决定哪些流量需要做负载均衡, 对需要处理的流量进行 NAT 处理, 转发至后台服务器, 并记录下这个 TCP 或者 UDP 的流量是由哪台服务器处理的, 后续这个连接的所有流量都同样转发到同一台服务器处理 七层的负载均衡, 就是在四层的基础上, 再考虑应用层的特征, 比如同一个 Web 服务器的负载均衡, 除了根据 VIP 加 80 端口辨别是否需要处理的流量, 还可根据七层的 URL 浏览器类别 语言来决定是否要进行负载均衡 七层负载均衡, 也称为 内容交换, 也就是主要通过报文中的真正有意义的应用层内容, 再加上负载均衡设备设置的服务器选择方式, 决定最终选择的内部服务器 七层负载均衡要根据真正的应用层内容选择服务器, 只能先代理最终的服务器和客户端建立连接 ( 三次握手 ) 后, 才可能接受到客户端发送的真正应用层内容的报文, 然后再根据该报文中的特定字段, 再加上负载均衡设备设置的服务器选择方式, 决定最终选择的内部服务器 负载均衡设备在这种情况下, 更类似于一个代理服务器 负载均衡和前端的客户端以及后端的服务器会分别建立 TCP 连接 7. CVM 可通过配置内网型负载均衡, 将流量从端口 A 转发回同一台服务器的其他 端口吗? 不可以 对服务器 A(10.66.*.101) 端口 a 的访问可通过内网型负载均衡将请求转发至服务器 B(10.66.*.102 ) 的端口 b 但无法将流量转发至同一台服务器 A(10.66.*.101) 的另一端口 b 8. 什么是后端服务器权重? 用户可以指定后端服务器池内各 CVM 的转发权重, 权重比越高的 CVM 将被分配到更多的访问请求, 用户可以 根据后端 CVM 的对外服务能力和情况来区别设定 如果您同时开启了会话保持功能, 那么有可能会造成对后端应用服务器的访问并不是完全相同的, 建议您可以 暂时关闭会话保持功能再观察一下是否依然存在这种情况 9. UDP 协议与 TCP 协议有什么区别? TCP 是面向连接的协议, 在正式收发数据前, 必须和对方建立可靠的连接 UDP 是面向非连接的协议, 它在数 据发送前不与对方先进行三次握手, 而是直接进行数据包发送传送 UDP 协议主要适用于关注实时性而相对不 第 6 页共 12 页

注重可靠性的场景, 如视频聊天 金融实时行情推送 DNS 物联网等 10. 后端 CVM 需要外网带宽吗? 会否影响负载均衡的服务? 负载均衡不收取任何的流量或带宽费用 负载均衡服务产生的公网流量费用, 由后端的 CVM 收取 建议购买后端 CVM 时, 公网带宽选择按使用流量计费 并设定合理的最高的带宽峰值上线, 这样就无需关注 CLB 出口的总流量的涨跌 互联网 Web 业务的流量起伏较大, 无法准确预测 若按带宽计费, 带宽买多了不划算, 买得太少, 业务高峰期会出现丢包的情况 11. 负载转发中的 HTTP 重定向问题 当浏览器访问网站 http://example.com 时, 对服务器而言需要进行一次重定向, 判断需要定向至根目录 而当浏览器访问网站 http://example.com/ 时服务器会直接返回网站设置的根目录默认页面 同样的, 假设 http://www.qcloud.com/movie 被 URL 重写跳转到 http://www.qcloud.com/movie/ 上的话, 则输入 http://www.qcloud.com/movie 就会多一次 URL 重写的过程, 在性能和时间上都有微小的损耗 但在结果上没有差别 但若 http://www.qcloud.com/product 被 URL 重写转跳到非 http://www.qcloud.com/product/ 同一页面上, 则需要考虑是否在二级页面后添加 / 在腾讯云负载均衡中, 如果前后端端口号不一致时, 为了避免 HTTP 重定向后导致端口号更改, 访问二级页面需要加 / 保证页面的正常访问 假设七层转发下, 负载均衡实例监听 80 端口, 后端服务器监听 8081 端口 此时客户端访问 http://www.example.com/movie, 经由负载均衡转发至后端服务器, 服务器收到发往 http://www.example.com/movie 的请求并会重定向到 http://www.example.com:8081/movie/( 监听端口为 8081), 此时客户端访问失败 ( 端口错误 ) 因此, 建议用户将访问请求改写为带 / 的二级页面如 http://www.example.com/movie/ 这样可以避免 HTTP 重定向, 减少一次不必要的判断, 降低不必要的负载 如果必须使用 HTTP 重定向时, 请保证负载均衡的监听端口和后端服务器的监听端口相同 12. 客户端 服务器端 HTTP 版本不一致时, 兼容版本说明 第 7 页共 12 页

转发兼容性 前端 (client 端 ), 当前支持 HTTP1.0/1.1, 向下兼容 后端 (server 端 ), 当前腾讯云使用 HTTP1.0 协议, 支持 HTTP1.0/1.1, 向下兼容 注 :HTTP/2 只在 HTTPS 中支持, 且 client 及 server 端可以向下兼容 当前不支持 HTTP 协议 支持 Gzip 兼容性 前端 (client 端 ), 当前支持 HTTP1.0/1.1 向下兼容 ( 用户无需配置, 主流浏览器都支持 Gzip) 后端 (server 端 ), 用户需要在 nginx 中配置可使用 Gzip 的 HTTP 最低版本为 HTTP1.0, 从而兼容当前 腾讯云使用的 HTTP1.0 版本 ( 否则 nginx 默认为 HTTP1.1) 详细配置可见这里 注 : HTTP/2 只在 HTTP 中支持, 但 Gzip 可以用在腾讯云所支持的任意 HTTP 版本中 13. 负载均衡后端服务器的安全组应该怎么设置? 怎样设置访问黑名单? 负载均衡安全组配置 若后端服务器设置了安全组规则, 可能会出现负载均衡实例无法与其通信的状况 因此, 在四层转发和七层转发下, 建议后端服务器安全组均设置为全放通 若打开了安全组, 则需要配置所有客户端 IP 到本机 IP 的安全组规则 对于某些恶意 IP, 可以设置把恶意 IP 加在安全组前排规则, 禁止其访问后端服务器 ; 再放通所有 IP(0.0. 0.0) 到本机服务端口, 让正常客户端可以访问 ( 安全组规则是有顺序的, 自顶而下进行匹配 ) 私有网络内的七层负载转发若设置了健康检查, 还要注意必须把负载均衡 VIP 加入到后端服务器的安全组放通规 则, 否则健康检查可能失效 设置访问黑名单 第 8 页共 12 页

如用户需要给某些 clientip 设置黑名单, 拒绝其访问, 可以通过配置云服务关联的安全组实现 安全组的规则需 要按照如下步骤进行配置 : 将需要拒绝访问的 client IP+ 端口添加至安全组中, 并在策略栏中选取拒绝该 ip 的访问 设置完毕后, 再添加一条安全组规则, 默认开放该端口全部 ip 的访问 配置完成后, 安全组规则如下 : clienta ip+port drop clientb ip+port drop 0.0.0.0/0+port accept 注意, 上述配置步骤有顺序要求, 顺序相反会导致黑名单配置失效 关于安全组的更多说明, 可见后端云服务器的访问控制 14. 关于内网型 CLB 可直接获取 client 端 ip 的说明 从 2016 年 10.24 日起, 新购买的内网型 CLB 负载均衡器 ( 选择私有网络 VPC) 内网型 CLB 不再进行 SNAT 处理 从 server 端获取的访问 ip, 为客户端的真实 ip, 无需做额外配置 为了保证您的业务运行正常, 请注意以下 事项 : 1 对于 24 日后新购买的内网型 CLB, 当开启安全组策略后, 必须放通 client ip 的入规则, 以保证正常访问 2 存量的内网型 CLB, 如有需要, 可向售后团队提交工单, 进行切换 切换后, 从 server 端获取的访问 ip, 为 client 端 ip 切换过程中可能会有分钟级的业务中断 第 9 页共 12 页

HTTPS 常见问题 1. HTTPS 支持的加密套件有哪些? ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM- SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-CHACHA 20-POLY1305:DHE-RSA-CHACHA20-POLY1305:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE- ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256- SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES1 28-GCM-SHA256:AES256-GCM- SHA384:AES128:AES256:AES:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK 2. HTTPS 支持哪些版本的 SSL/TLS 安全协议? 负载均衡 HTTPS 目前支持的 ssl_protocols:tlsv1 TLSv1.1 TLSv1.2 3. HTTPS 监听使用什么端口? 不强制, 建议使用 443 端口 4. 为什么需要 HTTPS 双向认证? 有些客户对数据安全要求较高, 如涉及到金融服务的客户等 他们不仅需要在服务端进行 HTTPS 认证, 在客户 端也需要进行 HTTPS 认证, 为了满足这些客户的需求, 我们推出 HTTPS 双向认证功能 5. 为什么 HTTPS 协议实际产生的流量会比账单流量多一些? 如果用户使用 HTTPS 协议, 将会使用一些流量用于协议握手, 因此其实际产生的流量会比账单流量更多一些 6. 添加 HTTPS 监听器后, 负载均衡到后端云服务器间的请求是否依然通过 HTTP 协议传输? 第 10 页共 12 页

是的 添加 HTTPS 监听器后, 客户端到负载均衡之间的请求将经过 HTTPS 协议加密, 而负载均衡到后端云服务 器依然通过 HTTP 协议传输, 因此后端云服务器无需做 SSL 配置 7. CLB 目前支持哪些类型的证书? 目前支持服务器证书和 CA 证书的上传, 服务器证书需要上传证书内容和私钥,CA 证书只需要上传证书内容 ; 这两种类型的证书都只支持 PEM 编码格式的上传 8. 一个监听器可以绑定多少个 HTTPS 证书? 如果用户使用 HTTPS 单向认证, 则一个监听只能绑定一个服务器证书 ; 若用户使用 HTTPS 双向认证, 则一个监 听需要绑定一个服务器证书 + 一个 CA 证书 9. 一个证书可以应用于多少个负载均衡器, 多少个监听器? 一个证书可以应用于一个或多个负载均衡器, 或多个监听器 10. 证书如何上传? 可以通过 API 或负载均衡控制台两种方式上传 11. 证书区分地域吗? 区分 考虑到安全和性能, 目前用户的证书如需要在多个地域使用, 就需要在多个地域上传 12. 证书上传后是否可以删除? 暂时不提供删除功能 13. 证书需要上传到后端 CVM 吗? 不需要, 负载均衡 HTTPS 提供证书管理系统管理和存储用户证书, 证书不需要上传到后端 CVM, 用户上传到 第 11 页共 12 页

Powered by TCPDF (www.tcpdf.org) 常见问题 FAQ 产品文档 证书管理系统的私钥都会加密存储 14. 证书过期后如何处理? 当前证书过期后, 需要用户手动更新证书 15. 添加证书报错怎么办? 可能是私钥内容错误, 需要用户替换为新的满足需求的证书 第 12 页共 12 页

2026 © docsplayer.com 隐私 | 条款 | 反馈