云服务器内容精选

  • 固定规格 固定规格实例的关键指标如下,请根据自身业务规划选择实例规格。实际业务超过固定规格限定时,会导致新建连接请求受限以及丢包问题。 表4 固定规格的性能指标 最大并发连接数-Max Connection 最大并发连接数是指一个负载均衡实例每分钟平均能够承载的最大连接数量。当实例上的连接数超过规格定义的最大并发连接数时,为了保障已有的连接业务性能,新建连接请求将被丢弃。 每秒新建连接数-Connection Per Second (CPS) 每秒新建连接数是指新建连接的速率。当新建连接的速率超过规格定义的每秒新建连接数时,为了保障已有的连接业务性能,新建连接请求将被丢弃。 对于七层监听器,HTTPS监听器在建立连接时,使用SSL握手会占用更多系统资源。如小型I-应用型(HTTP/HTTPS)的HTTP每秒新建连接数为2000,HTTPS每秒新建连接数为200,计算示例请参见表5。 每秒查询速率-Query Per Second (QPS) 每秒查询速率是指仅在七层监听时,每秒可以处理的HTTP/HTTPS的查询请求的数量。当请求速率超过规格所定义的每秒查询速率时,为了保障已有的连接业务性能,新建连接请求将被丢弃。 带宽(Mbit/S) 每秒带宽可以保障带宽的性能。
  • 弹性规格 弹性规格适用于具有周期性或波动较大的业务,例如游戏、视频等行业。弹性规格提供了网络型(TCP/UDP/TLS)和应用型(HTTP/HTTPS/QUIC)两种规格类型,请根据自身业务规划选择实例。 选定对应的规格类型的负载均衡实例才可以创建该规格类型的监听器。 弹性规格支持的性能指标如表2,实际业务超过弹性规格性能上限如表3时,会导致新建连接请求受限以及丢包问题。 表2 弹性规格的性能指标 最大并发连接数-Max Connection 最大并发连接数是指一个负载均衡实例每分钟平均能够承载的最大连接数量。当实例上的连接数超过弹性规格上限的最大连接数时,为了保障已有的连接业务性能,新建连接请求将被丢弃。 每秒新建连接数-Connection Per Second (CPS) 每秒新建连接数是指新建连接的速率。当新建连接的速率超过弹性规格上限的每秒新建连接数时,为了保障已有的连接业务性能,新建连接请求将被丢弃。 每秒查询速率-Query Per Second (QPS) 每秒查询速率是指仅在七层监听时,每秒可以处理的HTTP/HTTPS的查询请求的数量。当请求速率超过弹性规格上限的每秒查询速率时,为了保障已有的连接业务性能,新建连接请求将被丢弃。 带宽(Mbit/S) 每秒带宽可以保障带宽的性能。 表3 弹性规格性能指标上限 协议类型 最大并发连接数 新建连接数(CPS) 每秒查询速率(QPS) 带宽(Mbit/S) 网络型(TCP/UDP) 20,000,000 400,000 - 10,000 网络型(TLS) 20,000,000 400,000 - 10,000 应用型(HTTP) 8,000,000 80,000 160,000 10,000 应用型(HTTPS) 8,000,000 80,000 160,000 10,000 弹性规格因各地域资源情况不同,开放的弹性规格上限可能略有差异,请以控制台创建页为准。
  • ELB权限 默认情况下,账号管理员创建的 IAM 用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 ELB部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该策略仅对此项目生效,如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问ELB时,需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云上各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ELB服务,账号管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,ELB支持的API授权项请参见策略及授权项说明。 如表1所示,包括了ELB的所有系统权限。 表1 ELB系统权限 系统角色/策略名称 描述 类型 ELB FullAccess 操作权限:对弹性负载均衡服务的所有执行权限。 作用范围:项目级服务。 系统策略 ELB ReadOnlyAccess 操作权限:对弹性负载均衡服务的只读权限。 作用范围:项目级服务。 系统策略 ELB Administrator 操作权限:对弹性负载均衡服务的所有执行权限。拥有该权限的用户必须同时拥有Tenant Administrator、VPC Administrator、 CES Administrator、Server Administrator、Tenant Guest权限。 作用范围:项目级服务。 说明: 如果账号已经申请开通细粒度权限,设置ELB系统权限时请配置细粒度策略,不要配置ELB Administrator策略。 系统角色 表2列出了ELB常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表2 常用操作与系统策略的关系 操作 ELB FullAccess ELB ReadOnlyAccess ELB Administrator 创建负载均衡器 √ × √ 查询负载均衡器 √ √ √ 查询负载均衡器状态树 √ √ √ 查询负载均衡器列表 √ √ √ 更新负载均衡器 √ × √ 删除负载均衡器 √ × √ 创建监听器 √ × √ 查询监听器 √ √ √ 修改监听器 √ × √ 删除监听器 √ × √ 创建后端服务器组 √ × √ 查询后端服务器组 √ √ √ 修改后端服务器组 √ × √ 删除后端服务器组 √ × √ 创建后端服务器 √ × √ 查询后端服务器 √ √ √ 修改后端服务器 √ × √ 删除后端服务器 √ × √ 创建健康检查 √ × √ 查询健康检查 √ √ √ 修改健康检查 √ × √ 关闭健康检查 √ × √ 创建弹性公网IP × × √ 绑定弹性公网IP × × √ 查询弹性公网IP √ √ √ 解绑弹性公网IP × × √ 查看监控指标 × × √ 查看访问日志 × × √ 创建负载均衡器时需注意以下事项: 创建包年/包月负载均衡器,还需要配置费用中心的BSS Administrator权限,具体详见《费用中心用户指南》。 创建公网弹性负载均衡器,还需要配置VPC服务的vpc:publicIps:create和vpc:publicIps:update细粒度权限,具体详见《弹性公网IP服务API参考》 解绑弹性公网IP,还需要配置VPC服务的vpc:bandwidths:update和vpc:publicIps:update细粒度权限,具体详见《虚拟私有云API参考》。 查看监控指标,还需要配置CES服务的CES ReadOnlyAccess权限,具体详见《 云监控服务 API参考》。 查看访问日志,还需要配置LTS服务的LTS ReadOnlyAccess权限,具体详见《 云日志 服务API参考》。
  • 出网流量路径 出网流量遵循请求从哪进来,响应从哪出去的原则。如出网流量路径所示。 图2 出网流量路径 通过负载均衡器进入的访问流量,对应的响应流量通过负载均衡器返回。 由于负载均衡器实际是通过绑定的EIP接收来自公网的流量和响应请求,所以负载均衡器的限制实际是在负载均衡器绑定的EIP 上,并在EIP上进行计费。从负载均衡到后端云服务器之间通过VPC内网进行通信,不收取费用。 通过NAT网关进入的访问流量,对应的响应流量通过NAT网关返回。在NAT网关上限速和计费。 由于NAT网关实际是通过绑定的EIP接收来自公网的流量和访问公网,所以NAT网关上进行的是连接数的限制,带宽或者流量的限制是在NAT网关绑定的EIP上,并分别在NAT网关和弹性公网IP上进行计费。 通过EIP进入的访问流量,对应的响应流量通过EIP返回,在EIP上限速和计费。
  • 入网流量路径 对于入网流量,负载均衡会根据用户配置的流量分配策略,对来自公网或者私网的访问请求进行转发和处理。如图1所示。 图1 入网流量路径 当负载均衡器使用四层协议TCP/UDP时: 四层协议TCP/UDP的流量只经过LVS集群进行转发。 LVS集群的所有节点会根据负载均衡器的流量分配策略,将接收到的访问请求直接分发到后端服务器。 当负载均衡器使用七层协议HTTP/HTTPS时: 七层协议HTTP/HTTPS的流量,需要经过LVS集群先将访问请求平均分发到Nginx集群的所有节点,然后Nginx集群的节点再根据负载均衡器的转发策略,将接收到的请求最终分发到后端服务器。 七层协议HTTPS的流量,在最终分发到服务器前,还需要在Nginx集群内进行证书验证以及数据包的解密操作。然后通过HTTP协议将请求分发到后端服务器。
  • 实例规格类型与公网/私网负载均衡器的对应关系 表1 独享型负载均衡与公网/私网负载均衡器的对应关系 实例规格类型 网络类型 对应关系 独享型负载均衡 IPv4公网 ELB绑定弹性公网IP,支持IPv4公网流量请求,称为公网负载均衡器。 IPv4私网 ELB绑定私网IP,支持IPv4私网流量请求,称为私网负载均衡器。 IPv6网络 既支持IPv6公网请求又支持IPv6私网请求。 ELB绑定弹性公网IP,支持IPv6公网流量请求,称为公网负载均衡器。 ELB绑定私网IP,支持IPv6私网流量请求,称为私网负载均衡器。 表2 共享型负载均衡与公网/私网负载均衡器的对应关系 实例规格类型 网络类型 对应关系 共享型负载均衡 IPv4公网 ELB绑定弹性公网IP,支持公网流量请求,称为公网负载均衡器。 IPv4私网 ELB绑定私网IP,支持私网流量请求,称为私网负载均衡器。 说明: 共享型负载均衡默认支持IPv4私网,且不支持修改。
  • 后端服务器类型对比 表8 支持的后端服务器类型对比 后端类型 描述 独享型负载均衡 共享型负载均衡 跨VPC后端 后端服务器组不仅支持添加云上VPC内的服务器,还支持添加其他VPC、其他Region、云下数据中心的服务器的IP地址,帮助用户根据业务诉求灵活配置后端服务器。 √ ╳ 辅助弹性网卡(SubENI) 后端服务器支持绑定辅助弹性网卡。 √ ╳ 弹性云服务器(E CS ) 后端服务器支持弹性云服务器云主机。 √ √ 裸金属服务器(BMS) 后端服务器支持裸金属服务器物理机。 √ √ CCE 集群 支持通过弹性负载均衡访问CCE集群,详情请参见《云容器引擎用户指南》。 √ √
  • 后端服务器组的流量分配策略对比 表7 后端服务器组的流量分配策略对比 分配策略类型 描述 独享型负载均衡 共享型负载均衡 加权轮询算法 当后端服务器的权重相同情况下,将按照简单的轮询策略分发请求。 √ √ 加权最少连接 将请求分发给(当前连接/权重)比值最小的后端服务器进行处理。 √ √ 源IP算法 后端服务器的权重属性不再生效,在一段时间内,同一个客户端的IP地址的请求会被分发至同一个后端服务器上。 √ √ 连接ID算法 利用报文里的连接ID字段进行一致性hash算法,按照运算结果将请求分发到后端服务器上。 √ ╳
  • 后端服务器组关键功能对比 表6 后端服务器组的关键功能对比 后端服务器组功能 描述 独享型负载均衡 共享型负载均衡 健康检查 负载均衡器会定期向后端服务器发送请求以测试其运行状态,这些测试称为健康检查。通过健康检查来判断后端服务器是否可用。 √ √ 会话保持 会话保持功能可以识别客户与服务器之间交互过程的关联性,在作负载均衡的同时,还保证一系列相关联的访问请求会保持分配到同一台服务器上。 √ √ 慢启动 负载均衡器在慢启动时间内向组内新增的后端服务器线性增加请求分配权重。 慢启动能够实现业务的平滑启动,避免业务抖动问题。 √ ╳ 主备转发 当主机健康检查结果正常时,负载均衡将流量转发至主机;当主机健康检查结果异常时,流量将被切换至备机。 必须向后端服务器组中添加两个后端服务器,一个为主服务器,一个为备服务器。 √ ╳ 全端口转发 后端服务器组添加后端服务器时无需指定后端端口,监听器将按照前端请求端口转发流量至后端服务器对应的端口。 仅TCP、UDP和QUIC类型的后端服务器组支持全端口转发功能。 √ ╳
  • 转发能力对比 HTTP和HTTPS监听器支持设置转发策略,共享型负载均衡支持基础的转发策略,独享型负载均衡支持开启高级转发策略。 转发策略支持分别设置转发规则和转发动作,详细对比见表4和表5。 表4 支持的转发规则对比 转发规则 描述 独享型负载均衡 共享型负载均衡 域名 触发转发的域名,仅支持精确域名。 √ √ URL 触发转发的URL。 URL的匹配规则有:精确匹配、前缀匹配、正则匹配。 √ √ HTTP请求方法 触发转发的HTTP请求方法。 主要有:GET、POST、PUT、DELETE、PATCH、HEAD、OPTIONS。 √ ╳ HTTP请求头 触发转发的HTTP请求头。 请求头是键值对的形式,需要分别设置值。 √ ╳ 查询字符串 当请求中的字符串与设置好的转发策略中的字符串相匹配时,触发转发。 √ ╳ 网段 触发转发的请求网段。 √ ╳ 表5 支持的转发动作对比 转发动作 描述 独享型负载均衡 共享型负载均衡 转发至后端服务器组 如果满足转发规则,则将请求转发至配置好的后端服务器组。 √ √ 重定向至监听器 如果满足转发规则,则将请求转发至配置好的HTTPS监听器上。 √ ╳ 添加重定向至URL 如果满足转发规则,则将请求重定向至配置好的URL。 客户端访问ELB网址A后,ELB返回302或者其他3xx返回码和目的网址B,客户端自动跳转到网址B,网址B可自定义。 √ ╳ 返回固定响应 如果满足转发规则,则返回固定响应。 用户访问ELB实例后,ELB直接返回响应,不向后端服务器继续转发,返回响应的状态码和内容可以自定义。 √ ╳ 重写 如果满足转发规则的条件,则将请求重写为配置好的URL后再访问后端服务器组。 √ ╳
  • 监听器的关键功能对比 表3 监听器的关键功能对比 监听器功能 描述 独享型负载均衡 共享型负载均衡 全端口监听 全端口监听器对负载均衡IP地址上的所有端口(1-65535)进行监听,并将监听端口上接收到的请求转发到后端服务器的后端端口。 仅前端协议为TCP和UDP协议的监听器支持全端口监听。 √ ╳ 访问控制 通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。 通过白名单能够设置允许特定IP访问,而其它IP不许访问。 通过黑名单能够设置允许特定的IP不能访问,而其它IP允许访问。 √ √ HTTPS双向认证 负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的客户访问负载均衡实例。 仅前端协议为HTTPS协议的监听器支持双向认证。 √ √ SNI多域名证书 SNI(Server Name Indication)是为解决一个服务器使用 多个域名 和证书的TLS扩展。开启SNI之后,用户需要添加域名对应的证书。 仅前端协议为HTTPS协议的监听器支持开启SNI。 √ √ 获取客户端IP 后端服务器可以获取客户端真实IP地址。 独享型负载均衡默认开启,不支持关闭。 √ √ HTTP/HTTPS监听器的高级配置 默认安全策略 使用安全策略提高业务的安全性,安全策略包含TLS协议版本和配套的加密算法套件。 仅前端协议为HTTPS协议的监听器支持设置安全策略。 √ √ 自定义安全策略 支持选择TLS协议版本和加密算法套件,创建用户自定义的安全策略。 仅前端协议为HTTPS协议的监听器支持设置安全策略。 √ ╳ 获取弹性公网IP 通过X-Forwarded-ELB-IP头字段获取负载均衡实例的公网IP地址。 √ √ 获取负载均衡实例ID 通过X-Forwarded-ELB-ID头字段获取负载均衡实例的ID。 √ ╳ 获取监听器端口号 通过X-Forwarded-Port头字段获取ELB实例监听器端口号。 √ ╳ 获取客户端请求端口号 通过X-Forwarded-For-Port头字段获取客户端请求端口号。 √ ╳ 重写X-Forwarded-Host ELB以客户端请求头的Host重写X-Forwarded-Host传递到后端服务器。 √ √ 重写X-Forwarded-Proto ELB以监听器的前端协议重写X-Forwarded-Proto头字段传递到后端服务器。 √ ╳ 重写X-Real-IP ELB以客户端的源IP地址重写X-Real-IP传递到后端服务器。 √ ╳
  • 网络设置对比 表2 负载均衡器支持的网络设置对比 网络设置 描述 独享型负载均衡 共享型负载均衡 IPv4公网 支持通过公网IPv4地址对外提供服务,将来自公网的客户端请求按照指定的负载均衡策略分发到后端服务器进行处理。 √ √ IPv4私网 支持通过私网IPv4地址对外提供服务,将来自同一个VPC的客户端请求按照指定的负载均衡策略分发到后端服务器进行处理。 √ √ IPv6公网私网 支持负载均衡转发来自IPv6客户端的请求。 √ ╳ 修改IPv4私有地址 可以将负载均衡当前使用IPv4私有IP修改为当前子网或者其它子网的目标IP地址。 √ ╳ 绑定/解绑EIP 根据业务需要为负载均衡实例绑定EIP地址,或者将负载均衡实例已经绑定的IP地址进行解绑。 √ √ 修改公网带宽 当通过公网带宽提供负载均衡器和公网之间的访问流量时,可以按照实际需求更改ELB实例关联弹性公网IP的公网带宽。 √ √
  • 协议对比 表1 负载均衡器支持的协议对比 协议类型 描述 独享型负载均衡 共享型负载均衡 四层(TCP/UDP)协议 网络型负载均衡支持TCP和UDP协议,监听器收到访问请求后,将请求直接转发给后端服务器。 转发效率高,数据传输快。 √ √ 七层(HTTP/HTTPS)协议 应用型负载均衡支持HTTP和HTTPS协议,监听器收到访问请求后,需要识别并通过HTTP/HTTPS协议报文头中的相关字段,进行数据的转发。 支持加密传输、基于Cookie的会话保持等高级功能。 √ √ 全链路HTTPS协议 监听器的前端协议选择“HTTPS”,后端服务器组的后端协议也支持选择“HTTPS”。 √ ╳ TLS协议 网络型负载均衡:支持TLS协议,适用于需要超高性能和大规模TLS卸载的场景。 √ ╳ QUIC协议 前端协议为QUIC和UDP的监听器,支持QUIC(Quick UDP Internet Connection)作为后端协议。配合连接ID算法,将同一个连接ID的请求转发到后端服务器。 使用QUIC协议的监听器具有低延迟、高可靠和无队头阻塞的优点,非常适合移动互联网应用、支持在WIFI和运营商网络中无缝切换,而不用重新建立连接。 √ ╳ HTTP/2协议 HTTP/2,即超文本传输协议 HTTP2.0,向下兼容HTTP1.X协议版本,同时性能和安全性都得到了提升。 此功能目前仅支持协议类型为HTTPS的监听器。 √ √ GRPC协议 GRPC是一种高性能、通用的RPC开源软件框架,支持弹性负载均衡实现全链路HTTP/2通信。 仅支持前端协议为HTTPS的监听器,开启HTTP/2功能后,选择GRPC协议作为后端协议。 √ ╳ WebSocket协议 WebSocket (WS)是HTML5一种新的协议,实现了浏览器与服务器全双工通信,能更好地节省服务器资源和带宽并达到实时通讯。 √ √
  • 后端服务器组 仅前端协议与后端协议匹配的监听器和后端服务器组才可关联使用,协议匹配关系详见表4 前端/后端协议匹配关系。 表4 前端/后端协议匹配关系 ELB的规格类型 监听器的前端协议 后端服务器组的后端协议 网络型 TCP TCP 网络型 UDP UDP QUIC 网络型 TLS TLS TCP 应用型 HTTP HTTP 应用型 HTTPS HTTP HTTPS GRPC 应用型 QUIC HTTP HTTPS GRPC
  • 监听器 独享型负载均衡的监听器最多与50个后端服务器组关联使用。 一个证书最多支持关联到600个监听器。 SNI证书: 共享型: 一个HTTPS监听器默认支持配置30个SNI证书。 一个证书的域名个数不超过30个,监听器关联的所有SNI证书默认支持的域名总数为30个。 SNI证书中单个域名长度不超过100个字符,域名总长度不超过1024个字符。 独享型: 一个HTTPS监听器默认支持配置30个SNI证书,最多支持调整为50个SNI证书。如您有需求,可提交工单进行处理。 一个证书的域名个数不超过100个,监听器关联的所有SNI证书默认支持的域名总数为200个。 SNI证书中单个域名长度不超过100个字符,域名总长度不超过10000个字符。 监听器的前端协议和端口设置后不允许修改。