云服务器内容精选
-
后端服务器的安全组配置 独享型负载均衡的后端服务器安全组规则必须放通ELB用于健康检查的协议和端口和健康检查的源地址。 健康检查的协议和端口为用户在健康检查配置页面进行设置,您可在后端服务器组的基本信息页面查看。独享型负载均衡用于健康检查的源地址为ELB后端子网所在的VPC网段。 您可通过自助诊断工具后端服务器的安全组规则进行诊断。后端服务器安全组规则的检查项目如下表2所示。 表2 安全组规则排查项目 排查项 处理措施 健康检查入方向源地址检查 请确保后端服务器的安全组入方向规则放通健康检查协议对应的传输层协议、健康检查端口和ELB后端子网所在的VPC网段。 配置指导详情见配置后端服务器的安全组(独享型)。 健康检查入方向端口检查 健康检查入方向协议检查 健康检查出方向源地址检查 默认的安全组出方向规则全部放通。如果您设置了出方向规则,请确保后端服务器的安全组出方向规则放通健康检查协议对应的传输层协议、健康检查端口和ELB后端子网所在的VPC网段。 配置指导详情见配置后端服务器的安全组(独享型)。 健康检查出方向端口检查 健康检查出方向协议检查 若独享型ELB实例未开启“跨VPC后端”功能,ELB四层监听器转发的流量将不受安全组规则和网络ACL规则限制,安全组规则和网络ACL规则无需额外放通。建议您使用监听器的访问控制功能对访问IP进行限制,详情请参考访问控制策略。
-
检查后端服务器是否正常 如果后端服务器的操作系统为Windows,请通过浏览器直接访问https://后端服务器的IP : 健康检查配置的端口。如果返回码为2xx或3xx,则表示后端服务器正常。 您可以在后端服务器上通过以下命令查看后端服务器的健康检查端口是否被健康检查协议正常监听。 netstat -anlp | grep port 回显中包含健康检查端口信息并且显示LISTEN,则表示后端服务器的健康检查端口在监听状态,如图2中表示880端口被TCP进程所监控。 如果您没有配置健康检查端口信息,默认和后端服务器业务端口一致。 图2 后端服务器正常被监听的回显示例 图3 后端服务器没有被监听的回显示例 如果健康检查端口没有在监听状态(后端服务器没有被监听),您需要先启动后端服务器上的业务,启动业务后再查看健康检查端口是否被正常监听。 如果是HTTP健康检查,请您在后端服务器上执行以下命令查看回显中返回的状态码。 curl 后端服务器的私有IP:健康检查端口/健康检查路径 -iv HTTP健康检查是ELB向后端服务器发起GET请求,当获取到以下所列的响应状态码,认为服务器是正常状态。 对于TCP的监听器,HTTP健康检查正常返回状态码是200。 对于独享型ELB:HTTP/HTTPS健康检查正常返回状态码均为200。 图4 后端服务器异常的回显示例 图5 后端服务器正常的回显示例 如果HTTP健康检查异常,除了检查健康检查路径外,建议您将配置的HTTP健康检查修改为TCP健康检查。操作如下: 在监听器界面,修改目标监听器,在配置参数里选择已有TCP健康检查的后端服务器组,或者选择新创建TCP健康检查的后端服务器组。配置完成之后,几十秒后去查看健康检查状态是否恢复正常。
-
检查后端服务器路由 请检查是否手动修改了后端服务器内部的路由,查看主网卡(比如eth0)上是否配置默认路由,默认路由是否修改。如果默认路由更改,可能导致健康检查报文无法到达后端服务器。 您可以在后端服务器上通过以下命令查看您的默认路由是否指向网关(经过ELB转发属于跨网段访问,三层通信需要配置默认路由指向网关)。 ip route 或 route -n 正常的回显如图6所示。 图6 默认路由指向网关示例 图7 默认路由未指向网关示例 如果回显中没有像图6中的第一条路由信息,或者路由指向的IP的不是后端服务器所在VPC子网的网关,请您配置默认路由指向网关。
-
后端服务器子网的网络ACL配置 网络ACL为子网级别的可选安全层,若后端服务器的子网关联了网络ACL规则,网络ACL规则必须放通ELB用于健康检查的协议和端口和健康检查的源地址。 网络ACL默认规则会拒绝所有入站和出站流量,启用网络ACL后,您必须对网络ACL规则进行配置。 您可通过自助诊断工具后端服务器的安全组规则进行诊断。后端服务器的网络ACL规则的检查项目如下表3所示。 表3 网络ACL规则排查项目 排查项 处理措施 健康检查入方向协议检查 请确保后端服务器子网的网络ACL入方向规则放通健康检查协议对应的传输层协议、健康检查端口和ELB后端子网所在的VPC网段。 配置指导详情见配置网络ACL规则(独享型)。 健康检查入方向源地址检查 健康检查入方向源端口检查 健康检查入方向目的地址检查 健康检查入方向目的端口检查 健康检查出方向协议检查 请确保后端服务器子网的网络ACL出方向规则放通健康检查协议对应的传输层协议、健康检查端口和ELB后端子网所在的VPC网段。 配置指导详情见配置网络ACL规则(独享型)。 健康检查出方向源地址检查 健康检查出方向源端口检查 健康检查出方向目的地址检查 健康检查出方向目的端口检查 若独享型ELB实例未开启“跨VPC后端”功能,ELB四层监听器转发的流量将不受安全组规则和网络ACL规则限制,安全组规则和网络ACL规则无需额外放通。建议您使用监听器的访问控制功能对访问IP进行限制,详情请参考访问控制策略。
-
排查思路 负载均衡已提供自助问题诊断工具帮助用户定位健康检查异常问题,如果通过自助诊断工具排查仍然无法定位问题,请参考表1进一步排查。 因为健康检查包含检查间隔和阈值判断,相关配置的修改完成后需要等待一定的时间,配置才会生效。 如果健康检查恢复正常,在ELB关联的后端服务器基本信息界面可以看到健康检查状态是否正常。 表1 排查思路 排查手段 排查项目 自助诊断工具排查 后端服务器的安全组配置 后端服务器子网的网络ACL配置 健康检查参数配置 其他异常排查项 检查后端服务器组是否关联监听器 检查ELB是否绑定EIP或私网IP 检查后端服务器是否正常 检查后端服务器防火墙 检查后端服务器路由 检查后端服务器负载 检查后端服务器hosts.deny文件
-
背景介绍 负载均衡器通过向后端服务器发起心跳检查的方式来实现健康检查功能,并判断后端服务器是否可用。更多检查原理详见健康检查介绍。 当健康检查关闭时,ELB默认后端服务器正常在线,会将请求转发至后端服务器。 当后端服务器的权重设置为0时: 独享型负载均衡器:新的请求不会转发到该后端服务器,健康检查会继续探测,健康检查状态显示为实际结果。 共享型负载均衡器:新的请求不会再转发到该后端服务器,健康检查状态显示为“异常”。
-
检查后端服务器是否正常 如果后端服务器的操作系统为Windows,请通过浏览器直接访问https://后端服务器的IP : 健康检查配置的端口。如果返回码为2xx或3xx,则表示后端服务器正常。 您可以在后端服务器上通过以下命令查看后端服务器的健康检查端口是否被健康检查协议正常监听。 netstat -anlp | grep port 回显中包含健康检查端口信息并且显示LISTEN,则表示后端服务器的健康检查端口在监听状态,如图1中表示880端口被TCP进程所监控。 如果您没有配置健康检查端口信息,默认和后端服务器业务端口一致。 图1 后端服务器正常被监听的回显示例 图2 后端服务器没有被监听的回显示例 如果健康检查端口没有在监听状态(后端服务器没有被监听),您需要先启动后端服务器上的业务,启动业务后再查看健康检查端口是否被正常监听。 如果是HTTP健康检查,请您在后端服务器上执行以下命令查看回显中返回的状态码。 curl 后端服务器的私有IP:健康检查端口/健康检查路径 -iv HTTP健康检查是ELB向后端服务器发起GET请求,当获取到以下所列的响应状态码,认为服务器是正常状态。 对于TCP的监听器,HTTP健康检查正常返回状态码是200。 对于共享型ELB:HTTP健康检查正常返回状态码是200、202或者401。 图3 后端服务器异常的回显示例 图4 后端服务器正常的回显示例 如果HTTP健康检查异常,除了检查健康检查路径外,建议您将配置的HTTP健康检查修改为TCP健康检查。操作如下: 在监听器界面,修改目标监听器,在配置参数里选择已有TCP健康检查的后端服务器组,或者选择新创建TCP健康检查的后端服务器组。配置完成之后,几十秒后去查看健康检查状态是否恢复正常。
-
检查后端服务器路由 请检查是否手动修改了后端服务器内部的路由,查看主网卡(比如eth0)上是否配置默认路由,默认路由是否修改。如果默认路由更改,可能导致健康检查报文无法到达后端服务器。 您可以在后端服务器上通过以下命令查看您的默认路由是否指向网关(经过ELB转发属于跨网段访问,三层通信需要配置默认路由指向网关)。 ip route 或 route -n 正常的回显如图5所示。 图5 默认路由指向网关示例 图6 默认路由未指向网关示例 如果回显中没有像图5中的第一条路由信息,或者路由指向的IP的不是后端服务器所在VPC子网的网关,请您配置默认路由指向网关。
-
排查思路 负载均衡已提供自助问题诊断工具帮助用户定位健康检查异常问题,如果通过自助诊断工具排查仍然无法定位问题,请参考表1进一步排查。 因为健康检查包含检查间隔和阈值判断,相关配置的修改完成后需要等待一定的时间,配置才会生效。 如果健康检查恢复正常,在ELB关联的后端服务器基本信息界面可以看到健康检查状态是否正常。 表1 排查思路 排查手段 排查项目 自助诊断工具排查 后端服务器的安全组配置 后端服务器子网的网络ACL配置 健康检查参数配置 其他异常排查项 检查后端服务器组是否关联监听器 检查ELB是否绑定EIP或私网IP 检查后端服务器是否正常 检查后端服务器防火墙 检查后端服务器路由 检查后端服务器负载 检查后端服务器hosts.deny文件
-
后端服务器的安全组配置 共享型负载均衡的后端服务器安全组规则必须放通ELB用于健康检查的协议和端口和健康检查的源地址。 健康检查的协议和端口为用户在健康检查配置页面进行设置,您可在后端服务器组的基本信息页面查看。共享型负载均衡用于健康检查的源地址为100.125.0.0/16网段的IP。 您可通过自助诊断工具后端服务器的安全组规则进行诊断。后端服务器安全组规则的检查项目如下表2所示。 表2 安全组规则排查项目 排查项 处理措施 健康检查入方向源地址检查 请确保后端服务器的安全组入方向规则放通健康检查协议对应的传输层协议、健康检查端口和100.125.0.0/16网段的IP。 配置指导详情见配置后端服务器的安全组(共享型)。 健康检查入方向端口检查 健康检查入方向协议检查 健康检查出方向源地址检查 默认的安全组出方向规则全部放通。如果您设置了出方向规则,请确保后端服务器的安全组出方向规则放通健康检查协议对应的传输层协议、健康检查端口和100.125.0.0/16网段的IP。 配置指导详情见配置后端服务器的安全组(共享型)。 健康检查出方向端口检查 健康检查出方向协议检查 若共享型ELB实例开启“获取客户端IP”功能,共享型ELB四层监听器转发的流量将不受安全组规则和网络ACL限制,安全组规则和网络ACL规则均无需额外放通。建议您使用监听器的访问控制功能对访问IP进行限制,详情请参考访问控制策略。
-
后端服务器子网的网络ACL配置 网络ACL为子网级别的可选安全层,若后端服务器的子网关联了网络ACL规则,网络ACL规则必须放通ELB用于健康检查的协议和端口和健康检查的源地址。 网络ACL默认规则会拒绝所有入站和出站流量,启用网络ACL后,您必须对网络ACL规则进行配置。 您可通过自助诊断工具后端服务器的安全组规则进行诊断。后端服务器的网络ACL规则的检查项目如下表3所示。 表3 网络ACL规则排查项目 排查项 处理措施 健康检查入方向协议检查 请确保后端服务器子网的网络ACL入方向规则放通健康检查协议对应的传输层协议、健康检查端口和100.125.0.0/16网段的IP。 配置指导详情见配置网络ACL规则(共享型)。 健康检查入方向源地址检查 健康检查入方向源端口检查 健康检查入方向目的地址检查 健康检查入方向目的端口检查 健康检查出方向协议检查 请确保后端服务器子网的网络ACL出方向规则放通健康检查协议对应的传输层协议、健康检查端口和100.125.0.0/16网段的IP。 配置指导详情见配置网络ACL规则(共享型)。 健康检查出方向源地址检查 健康检查出方向源端口检查 健康检查出方向目的地址检查 健康检查出方向目的端口检查 若共享型ELB实例开启“获取客户端IP”功能,共享型ELB四层监听器转发的流量将不受安全组规则和网络ACL限制,安全组规则和网络ACL规则均无需额外放通。建议您使用监听器的访问控制功能对访问IP进行限制,详情请参考访问控制策略。
-
背景介绍 负载均衡器通过向后端服务器发起心跳检查的方式来实现健康检查功能,并判断后端服务器是否可用。更多检查原理详见健康检查介绍。 当健康检查关闭时,ELB默认后端服务器正常在线,会将请求转发至后端服务器。 当后端服务器的权重设置为0时: 独享型负载均衡器:新的请求不会转发到该后端服务器,健康检查会继续探测,健康检查状态显示为实际结果。 共享型负载均衡器:新的请求不会再转发到该后端服务器,健康检查状态显示为“异常”。
-
配置了证书,访问异常是什么原因? 可能的原因有: 您在证书管理界面创建了证书,但因为您未使用HTTPS监听器,所以无法给监听器绑定证书。 可以使用以下方法解决: 继续使用现有非HTTPS监听器,并在后端服务器上安装证书。 删除现有非HTTPS监听器,重新创建HTTPS监听器,并绑定证书。 您在证书管理界面创建了证书,且使用的是HTTPS监听器,但未将证书绑定至该监听器。 您的证书已过期。 创建证书时指定了 域名 ,但访问的域名和创建证书时配置的域名不一致。 创建的证书为证书链时,没有按照证书链的格式拼接证书。 您在ELB侧配置了HTTPS监听器+证书,同时在后端服务器上也配置了证书。您在ELB上配置了证书,ELB会对来自客户端的HTTPS请求进行解密,然后发送至后端服务器,而后端服务器上也配置了证书,会导致已经被解密的信息再次被解密。共享型负载均衡存在此限制,独享型负载均衡不存在此限制。 可以使用以下方法解决: 在后端服务器上配置证书,然后使用TCP监听器将HTTPS流量透传到后端服务器。 在ELB上使用HTTPS监听器并配置证书,在后端服务器上不配置证书。 父主题: 证书管理
-
添加/修改监听器时,选择不到想选择的后端服务器组是什么原因? 这是因为后端服务器组的协议(后端协议)与监听器的协议(前端协议)存在对应关系,在给监听器添加后端服务器组时,只能添加与其协议对应的后端服务器组。如下所示: 表1 独享型负载均衡-前端协议与后端协议对应情况 前端协议 后端协议 TCP TCP UDP UDP/QUIC HTTP HTTP HTTPS HTTP/HTTPS 表2 共享型负载均衡-前端协议与后端协议对应情况 前端协议 后端协议 TCP TCP UDP UDP HTTP HTTP HTTPS HTTP 父主题: 监听器
-
ELB的IPv4/IPv6双栈实例可以切换到仅IPv4模式吗? 为实现ELB实例IPv4/IPv6双栈的能力,需要为ELB实例指定一个IPv6子网,用于分配访问ELB实例的IPv6地址,IPv6地址会从指定的子网中随机分配。 当您的实例需要关闭IPv6的功能,可以将ELB实例与IPv6地址解绑,IPv6地址将回收至子网中,无法再使用此IPv6地址访问ELB实例。 若要重新使用IPv4/IPv6双栈的能力,目前您可通过调用API的方式为ELB实例重新绑定IPv6子网,重新绑定后,为实例分配的IPv6地址无法保证与之前的IPv6地址一致。 父主题: 负载均衡器
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
