恢复灰度发布 恢复灰度发布，用于将暂停状态的服务恢复到正常进行状态，版本将依据当前的分流规则和主机集群设置发布。 在灰度服务管理页面，单击待恢复灰度服务当前状态列的“灰度管理”。 在灰度管理页面，单击“恢复灰度发布”。 在分流配置页签，单击“编辑分流规则”，可以编辑分流规则。 在主机群组页签，单击“编辑主机集群”，可以编辑主机群组。 请确认分流配置和主机集群配置无误，否则可能发生负载不均衡等状况。 在弹出框中单击“确定”。 灰度列表当前状态列显示灰度执行的阶段。

重启灰度 完成灰度发布后，当前处于全网发布阶段，上一轮灰度已经到全网发布阶段，如果想要进行新的一轮灰度，可以重启灰度。重启灰度后分流规则将在SLB生效，满足分流规则条件的消息分发到灰度机器群组，不满足分流规则条件的消息分发到正常机器群组。 请在确认服务有新版本的情况下进行重启灰度。 在灰度服务管理页面，单击灰度服务列表当前状态列的“重启灰度”。 在重启灰度页面，单击“重启灰度”。 在分流配置页签，单击“编辑分流规则”，可以编辑分流规则。 在主机群组页签，单击“编辑主机集群”，可以编辑主机群组。 在弹出框中单击“确定”。 灰度列表当前状态列显示灰度执行的阶段。

执行下一阶段 将N阶段发布的灰度服务，切换到下一阶段的分流规则进行灰度。 在灰度服务管理页面，单击灰度服务列表当前状态列的“灰度管理”。 在灰度管理页面，单击“进入下一阶段”。 您也可以单击“查看所有灰度阶段”，单击其他阶段分流配置项右上角的“设为当前阶段”，直接切换到相应阶段的分流规则进行灰度。 在分流配置页签，单击“编辑分流规则”，可以编辑分流规则。 在主机群组页签，单击“编辑主机集群”，可以编辑主机群组。 在弹出框中单击“确定”。 灰度列表当前状态列显示灰度执行阶段。

完成灰度发布 分流阶段执行完成后，版本即将全网发布，全网发布意味着所有机器都已升级，分流规则在SLB将不生效，消息会在正常机器+灰度机器的整个群组中负载均衡分发。 在灰度服务管理页面，单击灰度服务列表当前状态列的“灰度管理”。 在灰度管理页面，单击“完成灰度发布”。 在分流配置页签，单击“编辑分流规则”，可以编辑分流规则。 在主机群组页签，单击“编辑主机集群”，可以编辑主机群组。 请确认主机集群配置无误并已升级到最新版本。 在弹出框中单击“确定”。 灰度列表当前状态列显示为灰度完成。

流控类型介绍 支持的流控类型有节点级流控，服务级流控，接口级流控，IP流控，自定义参数流控，多参数组合流控，配额流控及并发连接流控，流控类型介绍如表1所示。每种类型的流控只能添加一次，SLB流控的顺序按照页面从上往下匹配，页面支持上下移动流控的顺序。 表1 流控类型说明 类型 流控维度 窗口类型 限制 节点级流控 所有请求 漏桶 请求速率 服务级流控 以请求的Host字段为维度 漏桶 请求速率 接口级流控 以请求的uri路径为维度 漏桶 请求速率 IP流控 以取得的请求IP为维度 漏桶 请求速率 自定义参数流控 以自定义的单个参数为维度 漏桶 请求速率 多参数组合流控 以自定义的多个参数为维度 漏桶 请求速率 配额流控 以自定义的多个参数为维度 固定窗口。 请求量。 并发连接流控 以自定义的多个参数为维度 N/A 并发量。 窗口类型 漏桶：请求被均匀地限制，支持突发量配置。一般情况下，建议业务进行评估，并加上适当突发量，突发量一般不超过1秒的量。 固定窗口：只要在窗口内部超限即可。 例如同为100个/秒的限制，滑动窗口下，第0.1秒只能有10个请求，当然，滑动窗口下有个突发量的配置，在突发量10个的情况，可以在业务瞬间突发时额外再支持10个，突发池用满以后，即不可再用，只有等请求量下滑低于正常流控量时，再慢慢恢复突发池；固定窗口下，第0.1秒也可以允许100个请求。 限制类型 请求量：并不关注请求是否为并发，例如10个请求不论到来和处理的时间是否有并发情况，都记为10个。 并发量：只看某时间点，正在处理的请求的个数。如果请求1的开始时间到响应时间这个时间段，与请求2的开始时间到响应时间的时间段并不相互交叠，则请求1和请求2不是并发。否则存在并发关系。

新增流控规则 流控规则支持针对微服务/接口的资源流控、不区分微服务接口的全局参数流控和节点级动态流控规则。 在流控服务详情页面，选择“流控规则”页签，单击“新增流控规则”。 配置流控规则相关参数，配置完成后单击“保存”。 资源流控 表3 资源流控参数说明 参数 说明 限流控制类型 选择资源流控，针对微服务/接口资源进行流控。 资源名称 选择新增资源中创建的资源名称，与微服务/接口绑定，每个资源最多创建4条规则，规则的限流控制类型和是否集群流控不能重复。 流控类别 QPS：每秒速率流控。 配额：特定时间的请求阈值。 限流阈值 流控阈值，整个微服务/接口调用总量的阈值，如果请求总量超过该阈值，后续请求会被流控；0表示不流控。 禁用时间 当限流控制类型为QPS时，显示该参数。 流控后禁用时间内的所有请求不再判断请求量，直接全部流控。 允许的突增量 当限流控制类型为QPS时，显示该参数。 流控突发量，该参数可以调整令牌桶的大小，令牌桶大小为（阈值+突增量）/时间窗口，时间窗口单位为s。 是否集群限流 选择“是”或“否”。开启后对集群内此资源的调用总量进行限制。 集群限流阈值模式 当流控类别为QPS，开启集群限流时，显示该参数。 单机均摊 总体阈值 本地配额缓存数 当流控类别为配额，开启集群限流时，显示该参数。 防止D CS 热点key的参数，可以减少DCS的访问，默认值为5。 该参数需要合理配置，配置过小容易造成热点key问题，配置过大可能导致部分节点放通部分节点流控的问题。 时间窗口 填写时间，单位为秒，表示间隔多少秒允许一个请求通过。默认为1秒，取值范围为1~86400。 是否开启流控规则 选择是否开启流控规则。 新增参数 单击“新增参数”，可以根据需要新增多条流控规则。 参数名称：参数级规则的参数名。 限流阈值：默认的参数阈值，如果没有指定参数值，都按该阈值进行流控。 单击新增参数列表前的，单击“新增参数值”，可以为参数配置多条参数值。 参数值：参数级规则的参数值。 参数阈值：指定的参数值按该阈值进行流控。 全局参数流控 全局参数流控规则与资源流控的参数级规则含义类似，仅不对微服务/接口做限制。 表4 全局参数流控参数说明 参数 说明 限流控制类型 选择全局参数 参数名称 填写参数名称。 流控类别 QPS：每秒速率流控。 配额：特定时间的请求阈值。 限流阈值 流控阈值，默认的参数阈值，如果没有指定参数值，都按该阈值进行流控。 禁用时间 当限流控制类型为QPS时，显示该参数。 流控后禁用时间内的所有请求不再判断请求量，直接全部流控。 允许的突增量 当限流控制类型为QPS时，显示该参数。 流控突发量，该参数可以调整令牌桶的大小，令牌桶大小为（阈值+突增量）/时间窗口，时间窗口单位为s。 是否集群限流 选择“是”或“否”。开启后对集群内此资源的调用总量进行限制。 集群限流阈值模式 当流控类别为QPS，开启集群限流时，显示该参数。 单机均摊 总体阈值 本地配额缓存数 当流控类别为配额，开启集群限流时，显示该参数。 防止DCS热点key的参数，可以减少DCS的访问，默认值为5。 该参数需要合理配置，配置过小容易造成热点key问题，配置过大可能导致部分节点放通部分节点流控的问题。 时间窗口 填写时间，单位为秒，表示间隔多少秒允许一个请求通过。默认为1秒，取值范围为1~86400。 是否开启流控规则 选择是否开启流控规则。 新增参数 单击“新增参数值”，配置多条参数值。 参数值：参数级规则的参数值。 参数阈值：指定的参数值按该阈值进行流控。 节点级动态流控 表5 节点级动态流控参数说明 参数 说明 限流控制类型 选择节点级动态流控。 是否开启流控规则 选择是否开启流控规则。 CPU过载阈值 CPU利用率超过该值时，接口的放通比例开始降低，直到降低至最低放通比例；CPU利用率越高，接口放通比例下降越快。该阈值要求为小数，范围为0~1，支持精度为小数点后四位。 CPU恢复阈值 CPU利用率小于该值时，接口的放通比例开始恢复，直到恢复至100%；CPU利用率越低，接口放通比例恢复越快。该阈值要求为小数，范围为0~1，支持精度为小数点后四位，并且小于CPU过载阈值。 最低放通比例 配置各个接口等级对应的最低放通比例，在CPU始终处于过载状态时，仍然能放通该比例的请求。 范围为0~1，支持精度为小数点后四位。 在弹出框中单击“确认”。

新增黑白名单 黑名单规则会直接流控满足规则的请求，白名单规则会放通满足规则的请求。 在流控服务详情页面，选择“黑白名单”页签，单击“新增黑白名单”。 配置黑白名单相关参数，参数说明如表6所示。配置完成后单击“保存”。 表6 新增黑白名单参数说明 参数 说明 资源名称 选择全局黑白名单或具体资源，全局黑白名单不限制微服务/接口，资源黑白名单则限制特定的微服务/接口。 参数名称 参数级规则的参数名。 字符长度0~50，可以由字母、数字、下划线、短横线、点组成，不能包含特殊字符，例：black_rule-001。 名单类型 白名单 黑名单 每个资源或全局黑白名单下，同一参数名称只支持添加黑白名单各一条。 开启黑白名单 选择是否开启黑白名单。 名单列表 黑白名单列表。如果存在多个，使用英文逗号分隔，不允许存在空格。 在弹出框中单击“确认”。

自定义lua配置 表14 customLuaConf字段说明 参数名 是否必选 说明 slb100GlobalInit 否 大小不得超过16KB slb200WorkerInit 否 大小不得超过16KB slb300PreFlowControl 否 大小不得超过16KB slb400OnFlowControled 否 大小不得超过16KB slb500PreGrey 否 大小不得超过16KB slb600PostGrey 否 大小不得超过16KB slb700PostRoute 否 大小不得超过16KB slb750RespHeaderFilter 否 大小不得超过16KB slb800RespBodyFilter 否 大小不得超过16KB slb_instance_config/SLB_100_Global_Init_iac3.lua #SLB_100_Global_Init_iac3.lua默认配置 --the custom point SLB_100_Global_Init, running when Global init. --will be triggered in exec function, so pls make sure there is a exec function in global_init local global_init = {}; function global_init.exec(gen_param) --eg:ngx.log(ngx.ERR,"i am in global_init") end return global_init slb_instance_config/SLB_200_Worker_Init_iac3.lua #SLB_200_Worker_Init_iac3.lua默认配置 --the custom point SLB_200_Worker_Init, running when Worker init. --will be triggered in exec function, so pls make sure there is a exec function in worker_init local worker_init = {}; function worker_init.exec(gen_param) --eg:ngx.log(ngx.ERR,"i am in worker init"); end return worker_init slb_instance_config/SLB_300_Pre_FlowControl_iac3.lua #SLB_300_Pre_FlowControl_iac3.lua默认配置 --the custom point SLB_300_Pre_FlowControl, running before flowcontrol and blacklist. --will be triggered in exec function, so pls make sure there is a exec function in pre_flowcontrol local pre_flowcontrol = {}; function pre_flowcontrol.exec(gen_param) --eg:ngx.log(ngx.ERR,"I am in pre flowcontrol") end return pre_flowcontrol slb_instance_config/SLB_400_On_FlowControled_iac3.lua #SLB_400_On_FlowControled_iac3.lua默认配置 --the custom point SLB_400_On_FlowControlled, running when request is flowcontrolled or blocked due to blacklist. --will be triggered in exec function, so pls make sure there is a exec function in on_flowcontroled local on_flowcontroled = {}; function on_flowcontroled.exec(gen_param) --eg:ngx.log(ngx.ERR,"the flowcontrol type is:",gen_param.control_type) end return on_flowcontroled slb_instance_config/SLB_500_Pre_Grey_iac3.lua #SLB_500_Pre_Grey_iac3.lua默认配置 --the custom point SLB_500_Pre_Grey, running before Greyrule judge. --will be triggered in exec function, so pls make sure there is a exec function in pre_grey local pre_grey = {}; function pre_grey.exec(gen_param) --eg:ngx.log(ngx.ERR,"I am in pre grey"); end return pre_grey slb_instance_config/SLB_600_Post_Grey_iac3.lua #SLB_600_Post_Grey_iac3.lua默认配置 --the custom point SLB_600_Post_Grey, running after get result of greyrule. --will be triggered in exec function, so pls make sure there is a exec function in post_grey local post_grey = {}; function post_grey.exec(gen_param) --eg:ngx.log(ngx.ERR,"I AM IN POST GREY"); end return post_grey slb_instance_config/SLB_700_Post_Route_iac3.lua #SLB_700_Post_Route_iac3.lua默认配置 --the custom point SLB_700_Post_Route, running after get result of routerule. --will be triggered in exec function, so pls make sure there is a exec function in post_route local post_route = {}; function post_route.exec(gen_param) --eg:ngx.log(ngx.ERR,"I AM IN POST Route"); end return post_route slb_instance_config/SLB_750_Resp_Header_Filter_iac3.lua #SLB_750_Resp_Header_Filter_iac3.lua默认配置 --the custom point SLB_750_Resp_Header_Filter, running during header filter. --will be triggered in exec function, so pls make sure there is a exec function in header_filter local header_filter = {}; function header_filter.exec(gen_param) --eg:ngx.log(ngx.ERR,"I am in header filter"); end return header_filter slb_instance_config/SLB_800_Resp_Body_Filter_iac3.lua #SLB_800_Resp_Body_Filter_iac3.lua默认配置 --the custom point SLB_800_Resp_Body_Filter, running during body filter. --will be triggered in exec function, so pls make sure there is a exec function in body_filter local body_filter = {}; function body_filter.exec(gen_param) --eg:ngx.log(ngx.ERR,"I am in body filter"); end return body_filter

流控配置 表9 flowControlConf字段说明 参数名 是否必选 说明 flowControlSwitch 是 流控总开关，取值为on或off。 autoDivideSwitch 是 分摊模式开关，取值为on或off。 flowControlOrder 是 流控类型执行顺序，和下面的流控配置相匹配。 nodeFlowControl 否 节点级流控配置 interfaceFlowControl 否 接口级流控配置 serviceFlowControl 否 服务级流控配置 ipFlowControl 否 IP流控配置 singleParamFlowControl 否 自定义参数流控配置 multiParamFlowControl 否 多参数组合流控配置 quotaFlowControl 否 配额流控配置 concurrentFlowControl 否 并发连接流控配置

其他配置 表13 confLuaConf字段说明 参数名 说明 addGreyFlag 灰度标记开关，取值为on或off。 greyTestSwitch 灰度测试开关，取值为on或off。 greyTestServiceId 灰度测试服务Id。 greyTestSwitch为on时必传。 getIpType 取IP方式，取值为1或2，1表示从左取，2表示从右取，默认为1。 isBypassOnGreyDown 灰度服务器全部宕机后，请求路由到生产开关，取值为on或off，默认为off。 areaGreyGetIpFromLeft 地域灰度IP从左侧取值开关，取值为on或off，默认为off。 greyTestQpsLimit 灰度测试每秒转发量限制，取值为1到1000。 successRateAlarmAbsThreshold 成功率告警阈值绝对值，非负浮点数，取值为0到100，默认值为90。 successRateAlarmOffsetThreshold 成功率下降告警阈值（相比1分钟前或者5分钟前），非负浮点数，取值为0到100，默认值为5。 healthCheckAlarmServerCountThreshold 健康检查不健康机器数告警阈值，正整数，默认为1，表示有1台节点不健康就会告警。 healthCheckAlarmDurationThreshold 健康检查告警持续时间阈值，非负正整数，默认为0，表示不健康主机立即告警；如果配置为1，表示发现不健康持续1分钟以上，才会告警。 concurrentFlowControlAlarmThreshold 并发请求流控告警阈值，非负整数，默认为0，表示只要发生1次流控，就会告警。 serviceFlowControlAlarmThreshold 服务级流控告警阈值，非负整数，默认0，表示只要发生1次流控，就会告警。 singleParamFlowControlAlarmThreshold 自定义参数流控告警阈值，非负整数，默认0，表示只要发生1次流控，就会告警。 multiParamFlowControlAlarmThreshold 多参数流控告警阈值，非负整数，默认0，表示只要发生1次流控，就会告警。 quotaFlowControlAlarmThreshold 配额流控告警阈值，非负整数，默认0，表示只要发生1次流控，就会告警。 manyRequestPreAlarmThreshold 请求数过多告警阈值，正整数，例如：25000，表示每个cpu每分钟平均处理达到25000请求，则触发告警。 以4C的主机为例，1分钟处理超过25000*4=100000请求，则开始告警。 manyRequestAlarmThreshold 请求数警阈值，非负整数，默认为0。 statisticsParams 统计日志参数，格式为格式为ParamName:position。 ParamName为参数名称。 Position为参数位置，取值为queryString或header。 slb_instance_config/conf_lua_config.yaml #其他配置 addGreyFlag: 'off' #非必填，灰度标记开关，取值为off或on greyTestSwitch: 'off' #非必填，灰度测试开关，取值为off或on greyTestServiceId: 123456 #非必填，灰度测试服务ID isBypassOnGreyDown: 'off' #非必填，宕机时路由到生产集群开关，取值为off或on areaGreyGetIpFromLeft: 'off' #非必填，地域灰度IP从左取值开关 ，取值为off或on getIpType: 1 #非必填，取IP方式，取值为1或2 statisticsParams: #非必填，统计日志参数 greyTestQpsLimit： 1000 #非必填，灰度测试每秒转发量限制，取值为1到1000 manyRequestAlarmThreshold: 1000 #非必填，请求数量告警 successRateAlarmAbsThreshold: 90 #非必填，成功率告警阈值，取值为0到100 successRateAlarmOffsetThreshold: 90 #非必填，成功率下降告警阈值，取值为0到100 healthCheckAlarmServerCountThreshold: 1000 #非必填，健康检查告警阈值 healthCheckAlarmDurationThreshold: 1000 #非必填，健康告警持续时间阈值 concurrentFlowControlAlarmThreshold: 1000 #非必填，并发连接流控告警阈值 serviceFlowControlAlarmThreshold: 1000 #非必填，服务级流控告警阈值 multiParamFlowControlAlarmThreshold: 1000 #非必填，多参数流控告警阈值 singleParamFlowControlAlarmThreshold: 1000 #非必填，自定义参数流控告警阈值 quotaFlowControlAlarmThreshold: 1000 #非必填，配额流控告警阈值 manyRequestPreAlarmThreshold: 1000 #非必填，请求数量预告警

重写重定向配置 表2 urlResetConf字段说明 参数名 是否必选 说明 transferType 是 转换类型，为以下枚举值： rewriteGrey 灰度重写 rewriteNormal 生产重写 redirectGrey 灰度重定向 redirectNormal 生产重定向 source 是 匹配路径，例：/abc/portal/login.jsp(.*)$ target 是 目标路径，例：/abc/def/$1 slb_instance_config/url_reset_config.yaml #重写重定向配置 - transferType: rewriteNormal #必填，转发类型，rewriteNormal代表生产重写 source: /a1 #必填，匹配路径 target: /b1 #必填，目标路径 - transferType: rewriteGrey #必填，转发类型，rewriteGrey代表灰度重写 source: /a2 #必填，匹配路径 target: /b2 #必填，目标路径

nginx配置 slb_instance_config/nginx.conf #nginx默认配置 #user slb slb; worker_processes auto; #worker_cpu_affinity 0001 0010 0100 1000; pid logs/nginx.pid; ##################################################################### ### Default: Close the error log error_log /dev/null crit; # nofile per worker around 20000-100000 is ok, eg, if have 8 worker, nginx will use no more than 8*worker_rlimit_nofile nofile, should make this result less than system nofile. worker_rlimit_nofile 51200; events { use epoll; # connections per worker, usually setup same or similar value as worker_rlimit_nofile. worker_connections 51200; } http { ##################################################################### ### load basic lua script include 'lua/nginx.http.lua.conf'; init_by_lua_file 'conf/lua/initial.lua'; init_worker_by_lua_file 'conf/lua/initialWorker.lua'; log_by_lua_file 'conf/lua/monitor/LogRequest.lua'; #rewrite_by_lua_no_postpone on; ##################################################################### uninitialized_variable_warn off; server_tokens off; autoindex off; port_in_redirect off; ssi off; proxy_hide_header X-Powered-By; add_header X-XSS-Protection "1; mode=block"; add_header X-frame-options SAMEORIGIN; add_header X-Content-Type-Options nosniff; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains "; add_header Content-Security-Policy "default-src 'self'"; add_header Cache-control "no-cache, no-store, must-revalidate"; add_header Pragma no-cache; add_header Expires 0; client_header_timeout 60s; client_body_timeout 60s; keepalive_timeout 75s; send_timeout 60s; client_header_buffer_size 1k; large_client_header_buffers 4 8k; client_body_buffer_size 16k; client_max_body_size 1m; proxy_buffer_size 8k; proxy_buffers 8 8k; proxy_busy_buffers_size 16k; include mime.types; default_type text/html; ##################################################################### ### gzip compress gzip on; gzip_http_version 1.1; gzip_comp_level 5; gzip_min_length 1k; gzip_disable "MSIE [1-6]."; gzip_types text/plain text/css text/xml text/javascript application/json application/x-javascript application/xml application/xml+rss application/xhtml+xml; ##################################################################### ### enabled the error page process fastcgi_intercept_errors on; error_page 400 401 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 /4xx.html; error_page 500 501 502 503 504 505 /5xx.html; ##################################################################### ### log format and switch. log_format main '$time_local|$request_time|$upstream_response_time|$uri' '|$status|$body_bytes_sent|$request_length|$bytes_sent|$http_user_agent|$http_host' '|$upstream_addr|$upstream_status|$scheme|$is_grey_server|$resp_status|$server_protocol'; access_log logs/access.log main buffer=5m flush=10s; log_format bigData '$time_local|$server_addr|$upstream_addr|$is_grey_server|$uri' '|$upstream_status|$resp_status|$request_time|$upstream_response_time|$request_length|$bytes_sent|$connections_active|$target_all|$remote_addr' '|$http_x_forwarded_for|$request_method|$http_user_agent|$status|$http_referer|$server_protocol|$body_bytes_sent|$request_length|$http_host|$request' '|$server_port|-|$http_x_api_method||||||||||'; access_log logs/access_for_big_data.log bigData buffer=5m flush=10s; ##################################################################### ### load sub configure include vhosts/*.conf; include slb_conf/*.conf; }

内网段配置 表3 innerSegmentsConf字段说明 参数名 是否必选 说明 segment 是 IP地址段，格式为ip/子网掩码。 slb_instance_config/inner_segments_config.yaml #内网段配置 - segment: 10.0.0.0/8 - segment: 127.0.0.1/32 - segment: 172.16.0.0/12 - segment: 192.168.0.0/16 - segment: 100.125.0.0/16

解决方法 登录SLB实例主机，执行命令su os用户切换业务账号，然后执行以下命令： openssl req -new -newkey rsa:2048 -days 3650 -sha256 -nodes -x509 \-subj '/CN=dummy' \-keyout /opt/huawei/openresty/nginx/conf/ssl/dummy.key \-out /opt/huawei/openresty/nginx/conf/ssl/dummy.pem

问题现象 SLB部署失败，日志详细信息提示如下： "content": "{\"data\":null,\"message\":\"[Service proxy.apply_sudo._wrapped_f]: fail to operator sudo, message: send request fail, status code: 400, error: None, message: illegal param\",\"status\":-2}", "msg": "status was not in [200]",