华为云用户手册

  • 访问控制 AS支持通过权限控制( IAM 权限)、项目和企业项目、敏感操作、安全组进行访问控制。 表1 AS访问控制 访问控制方式 简要说明 详细介绍 权限控制(IAM权限) 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 权限管理 项目和企业项目 项目和企业项目都可以授权给一个或者多个用户组进行管理,管理企业项目的用户归属于用户组。通过给用户组授予策略,用户组中的用户就能在所属项目/企业项目中获得策略中定义的权限。 管理项目和企业项目 敏感操作 当您开启操作保护后,进行删除伸缩组操作时,需要进行身份认证。 敏感操作 安全组 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。 系统会为每个用户默认创建一个默认安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的云服务器无需添加规则即可互相访问。 配置安全组规则
  • 无法访问华为云E CS 的某些端口时怎么办? 添加安全组规则时,需要您指定通信所需的端口或者端口范围,然后安全组根据规则,决定允许或是拒绝相关流量转发至ECS实例。 表1中提供了部分运营商判断的高危端口,这些端口默认被屏蔽。即使您已经添加安全组规则放通了这些端口,在受限区域仍然无法访问,此时建议您将端口修改为其他非高危端口。 表1 高危端口 协议 端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1433 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 8998 9995 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9995 9996 父主题: 安全类
  • 弹性公网IP如何计费? 弹性公网IP和带宽的费用账单归属在虚拟私有云 VPC服务下,费用账单中计费的“产品”项目说明如下: 弹性公网IP:表示收取的是弹性公网IP的保有费。 您购买的按需计费弹性公网IP未绑定至任何实例(如ECS、ELB)时,会收取弹性公网IP保有费。 固定带宽:表示收取的可能是以下资源的费用。 弹性公网IP的带宽费用: 包年/包月弹性公网IP的带宽费用:按照带宽大小和购买时长一次性收取带宽费用。 按需计费弹性公网IP的带宽费用:如果您购买的弹性公网IP属于按需计费(按带宽计费),则会按照带宽大小和使用时长收取带宽费用。 按需计费弹性公网IP的流量费用:如果您购买的弹性公网IP属于按需计费(按流量计费),则会按照您实际使用的流量收取流量费用。 共享带宽的费用 共享流量包的费用 带宽加油包:收取带宽加油包的费用。 以上计费项目的详细说明,请参见弹性公网IP计费说明。 图1 流水和明细账单列表 父主题: 计费类
  • VPC是否收费? 虚拟私有云VPC 服务下包含了多种产品资源,部分资源可以免费使用,部分资源需要支付费用,表1中为您详细介绍了虚拟私有云VPC各项资源的收费情况。 表1 VPC资源收费一览表 产品资源 收费情况说明 虚拟私有云 免费 子网 免费 路由表 免费 对等连接 免费 弹性网卡 免费 辅助弹性网卡 免费 IP地址组 免费 安全组 免费 网络ACL 免费 VPC流日志 免费 流量镜像 免费 弹性公网IP和带宽 如果您使用了弹性公网IP和带宽的相关资源,则需要支付费用,费用账单中计费的“产品”项目说明如下: 弹性公网IP:收取弹性公网IP保有费。 您购买的按需计费弹性公网IP未绑定至任何实例(如ECS、ELB)时,会收取弹性公网IP保有费。 固定带宽:收取的可能是以下资源的费用。 弹性公网IP的带宽费用:包年/包月弹性公网IP的带宽费用、按需计费(按带宽计费)弹性公网IP的带宽费用、按需计费(按流量计费)弹性公网IP的流量费用。 共享带宽的费用 共享流量包的费用 带宽加油包:收取带宽加油包的费用。 以上计费项目的详细说明,请参见弹性公网IP计费说明。 VPC终端节点 如果您使用了VPC终端节点资源,则需要支付费用。 详细计费说明请参见VPC终端节点计费说明。 针对免费资源,当前暂不收费。待后续启动收费时,将会提前通知您。 父主题: 计费类
  • ER权限 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 ER部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问ER时,需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ER服务,管理员能够控制IAM用户仅能对企业路由器进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,权限的最小粒度为API授权项(action),ER支持的API授权项请参见权限及授权项说明。 如表1所示,包括了ER的所有系统权限。 表1 ER系统权限 系统角色/策略名称 描述 类别 依赖关系 ER FullAccess 企业路由器的管理员权限,拥有该权限的用户可以操作并使用所有企业路由器。 系统策略 无 ER ReadOnlyAccess 企业路由器只读权限,拥有该权限的用户仅能查看企业路由器数据。 系统策略 无 表2列出了ER常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 Tenant Administrator Tenant Guest ER FullAccess ER ReadOnlyAccess 创建企业路由器 √ x √ x 修改企业路由器配置 √ x √ x 查看企业路由器 √ √ √ √ 删除企业路由器 √ x √ x 在企业路由器中添加“虚拟私有云(VPC)”连接 √ x √ x 删除“虚拟私有云(VPC)”连接 √ x √ x 查看连接(所有类型) √ √ √ √ 创建路由表 √ x √ x 修改路由表名称 √ x √ x 查看路由表 √ √ √ √ 删除路由表 √ x √ x 创建关联将连接关联至路由表中 √ x √ x 查看路由表中关联的连接 √ √ √ √ 删除路由表中关联的连接 √ x √ x 在路由表中创建连接的传播 √ x √ x 查看路由表中连接的传播 √ √ √ √ 删除路由表中连接的传播 √ x √ x 创建静态路由 √ x √ x 修改静态路由 √ x √ x 查看路由 √ √ √ √ 删除静态路由 √ x √ x 创建流日志 √ x √ x 查看流日志 √ √ √ √ 关闭流日志 √ x √ x 开启流日志 √ x √ x 删除流日志 √ x √ x 添加资源的标签 √ x √ x 修改资源的标签 √ x √ x 查看资源的标签 √ √ √ √ 删除资源的标签 √ x √ x
  • 管理简单 企业路由器可以在接入的所有网络实例之间路由流量,可以简化网络拓扑,降低网络管理难度,提升网络运维效率。可以减少的工作说明如下: 对于VPC互通,不再需要您频繁创建多个VPC对等连接,维护每个VPC路由表。 对于VPC和DC/VPN互通,不用接入多条线路,多个VPC可以共享专线/VPN。 企业路由器支持路由学习,能够自动进行路由信息的更新和同步,当网络拓扑变更时,能够自动收敛,无需手工配置、变更繁琐的路由条目。
  • 配额说明 企业路由器的配额说明如表1所示,部分默认配额可以提升,您可以根据提示申请扩大配额。 查看每个配额项目支持的默认配额,请参考查看配额,登录控制台查询您的配额详情。 表1 企业路由器的配额说明 配额项目 如何提升配额 每个虚拟私有云支持同时接入的企业路由器数量 不支持修改 每个企业路由器支持接入的“虚拟私有云(VPC)”连接数量 申请更多配额,请参见申请扩大配额 每个企业路由器支持接入的“对等连接(Peering)”连接数量 申请更多配额,请参见申请扩大配额 每个企业路由器支持接入的“虚拟网关(VGW)”连接数量 申请更多配额,请参见申请扩大配额 每个企业路由器支持接入的“VPN网关(VPN)”连接数量 申请更多配额,请参见申请扩大配额 每个企业路由器支持接入的“企业连接网(ECN)”连接数量 不支持修改 每个企业路由器支持创建的路由表数量 不支持修改 每个企业路由器支持的最大路由数量 不支持修改 每个路由表中支持创建的静态路由数量 申请更多配额,请参见申请扩大配额 每个租户支持创建的流日志最大数量 不支持修改
  • 约束与限制 当前企业路由器服务存在表3中列举的使用限制,针对这些限制,请您结合自己的设计业务,参考解决方法建议进行处理。 表3 企业路由器约束与限制说明 约束与限制说明 解决方法建议 当业务VPC下存在共享型弹性负载均衡、VPC终端节点、 私网NAT网关 、分布式缓存服务、混合云DNS解析时,不建议直接将业务VPC接入ER。 须知: 若您在弹性负载均衡、VPC终端节点以及分布式缓存服务场景下,直接将业务VPC接入ER,则当ER处于容灾切换、弹性扩缩容、升级等业务可靠性保障过程中,可能造成长连接会话闪断,请您确保业务客户端具有重连机制,在闪断情况下可以自动重连。 针对该限制,请提交工单联系华为云客服,确认服务的兼容性,并优先考虑使用选择企业路由器组网方案中介绍的中转VPC组网方案(方案二)。 当您的VPC和ER组网存在以下情况时,则不建议您在VPC路由表中将下一跳为ER的路由配置成默认路由0.0.0.0/0,那样会导致部分业务流量无法转发至ER。 VPC内的ECS绑定了EIP。 VPC被ELB(独享型或者共享型)、NAT网关、VPCEP、DCS服务占用。 建议一: 修改路由的目的地址,请您参见如何解决VPC路由表中的0.0.0.0/0路由无法转发至ER的问题?。 建议二: 针对该限制,推荐您使用选择企业路由器组网方案中介绍的中转VPC组网方案(方案二),避免将业务VPC直接接入ER。 当接入ER的VPC关联NAT网关,并配置SNAT或者DNAT规则的“使用场景”选择“云专线/云连接”,则网络不通。 针对该限制,推荐您使用选择企业路由器组网方案中介绍的中转VPC组网方案(方案二),避免将业务VPC直接接入ER。
  • 与其他服务的关系 企业路由器与华为云上多个云服务之间存在交互关系,如图1所示。 图1 企业路由器与其他服务的关系 表1 企业路由器与其他服务的关系 服务名称 交互功能 虚拟私有云(Virtual Private Cloud, VPC) 您可以将VPC接入企业路由器,快速打通云上网络,尤其对于多个VPC互通的组网,免去大量的对等连接配置。 云专线(Direct Connect, DC) 您可以将DC接入企业路由器,打通线下IDC和云上网络,多个VPC可以共享专线。 虚拟专用网络 (Virtual Private Network,称VPN) 您可以将VPN接入企业路由器,打通线下IDC和云上网络,多个VPC可以共享VPN。 云连接(Cloud Connect, CC) 您可以将两个及以上企业路由器接入云连接中心网络中,构成“对等连接(Peering)”连接,轻松实现云上跨区域网络互通。 企业连接(Enterprise Connect,EC) 您可以将企业连接网络接入企业路由器,帮助企业实现本地网络和云上网络之间的互联互通。 云防火墙 (Cloud Firewall,CFW) 您可以通过企业路由器、虚拟私有云VPC和云防火墙构建组网,实现云上VPC间的流量防护。 统一身份认证 服务(Identity and Access Management, IAM) 针对位于华为云上的企业路由器资源,您可以通过IAM进行精细的权限管理,即为不同的用户设置不同的使用权限,权限管理有助于实现资源的安全管控。 云监控 (Cloud Eye) 使用云监控可以监控企业路由器实例以及企业路由器连接的网络情况,并对异常进行报警,保证业务的顺畅运行。 云审计 服务(Cloud Trace Service, CTS ) 使用云审计服务可以记录与企业路由器相关的操作事件,便于日后的查询、审计和回溯。 标签管理服务(Tag Management Service, TMS) 使用标签来标识企业路由器和路由表,便于分类管理和快速搜索。
  • 下线流程 配置下线策略后, 域名 下线流程如下表所示。 场景 下线流程 账户欠费 华为云账户欠费后,您的华为云资源(如CDN域名资源)将进入宽限期/保留期。具体规则请参见宽限期保留期。 账户欠费进入保留期,CDN会根据您设置的下线策略下线您的加速域名。 CDN会根据您设置的下线策略下线您的加速域名: 下线策略为“解析回源”场景 CDN将您的域名解析回您的主源站。 解析回源成功后,停用您的加速域名。 域名状态调整为“停用”,停止域名加速服务。 下线策略为“停用域名”场景 CDN停用您的加速域名。 域名状态调整为“停用”,停止域名加速服务。
  • 步骤四:创建表单触发流程 流程用于实现业务数据的自动化处理和自动流转。在AstroFlow中,一条流程由1个触发器(事件触发、定时触发和表单触发)和N个动作节点组成。其中,触发器(触发节点)是工作流能否启动的开关,满足了触发器的条件才能启动流程。动作节点是流程中自动执行的操作,流程中需要进行的数据操作、通知、审批等任务都需要对应的动作节点来完成。 本入门以步骤三:添加员工请假申请表中新增请假记录数据后,触发流程自动执行(主管审批、结果抄送HR)为例,向您介绍如何创建一个流程。 表单创建成功后,返回员工请假应用页面,在主菜单中,选择“流程管理”。 图1 选择流程管理 在流程管理页面,单击“创建流程”。 设置流程名称(如请假流程),触发方式选择“表单触发”,单击“创建”。 图2 创建表单触发流程 在流程设计页面的主菜单中,单击“切换横向布局”,调整页面布局。 图3 调整页面布局 设置表单触发节点。 选中触发节点(表单触发),选择步骤三:添加员工请假申请表中创建的表单,触发方式选择“仅新增记录时”。设置后,当员工请假申请表中有新增请假记录时,自动触发流程执行。 图4 设置触发节点 添加审批节点,并设置审批人信息。 将鼠标放在触发节点后的连接线上,单击,添加审批节点。 图5 添加审批节点 选中审批节点,修改节点名称为“主管审批”。 图6 修改节点名称 设置审批人信息。 审批对象:选择“表单触发”。 审批人类型:选择从通讯录中,获取审批人。 审批人:单击“添加审批人”,在成员中添加对应的审批人,如步骤一:搭建组织层级中添加的主管。 图7 设置审批人信息 设置完成后,单击“保存”。 添加分支(审批)节点。 分支(审批)节点只能作用于审批节点后,通过审批情况进行后续不同的操作。本示例中,审批通过后需要将审批结果通过发送邮件方式告知HR,驳回则直接执行结束。 将鼠标放在审批节点后的连接线上,单击,添加分支(审批)节点。 图8 添加分支(审批)节点 在通过分支上,单击,添加发送邮件节点。 图9 添加发送邮件节点 选中发送邮件节点,修改节点的名称为“抄送HR”。 图10 修改节点的名称 配置发送邮件节点。 图11 设置发送邮件节点 邮件服务器:使用租户或系统自带的邮箱,发送邮件告知相关人员。如果使用租户邮件服务器发送邮件,请提前在“组织设置”中配置,如何配置请参见设置租户邮件服务器。本入门使用系统邮件服务器。 收件人:设置邮件收件人,即步骤一:搭建组织层级中添加的HR。 抄送人:设置邮件抄送人,本示例不涉及。 密送人:设置邮件密送人,本示例不涉及。 收件人为空处理:设置收件人为空时的处理方式。如果当前节点还有其他收件人,则其他收件邮件正常发送。若当前节点无可用收件人,请根据实际情况设置收件人为空时的节点处理方式,如自动进入下一节或直接结束流程。 主题:设置邮件主题,本示例配置为“请假审批通过”。 正文:单击输入框,进入编辑邮件内容页面。在邮件内容中,输入“请假人:”后,单击左侧“表单启动”中的“请假人”。按照上述操作,添加请假天数和请假理由。单击“确定”,完成邮件内容编辑。 图12 编辑邮件内容 邮件节点设置完成后,单击“保存”。 图13 完整员工请假审批流程 校验流程。 在“流程设计”页面,单击页面上方的“校验”,对流程中参数的规则和合法性进行校验。 若页面提示“校验成功!”,则流程规则无误。 若校验失败,请根据界面提示进行修改,修改后再次执行校验操作。 图14 校验流程 流程校验成功后,单击页面上方的“发布”,发布流程。 图15 流程发布成功 父主题: 新手入门-员工请假流程
  • 步骤五:业务功能测试 验证面试流程是否按照预期执行,即求职者提交求职申请后,直接用人部门进行进行简历筛选,符合要求通知HR预约面试时间。 求职者发起求职申请。 求职者通过4中的地址,登录应用。 首次登录运行态应用时,请单击“设置密码/忘记密码”,通过邮箱或手机号码,根据界面提示完成密码的重置,并勾选隐私协议及服务声明。 图1 登录应用 在简历维护表单中,填写个人基本信息、教育经历、工作经历和资格证书,单击“提交”。 提交成功后,在我的申请中,可查看到已提交的记录。 用人单位主管审核简历。 用户单位主管通过4中的地址,登录应用。 在待处理中,单击对应流程后的。 主管审核简历。 图2 主管审批 审核通过,执行3。 驳回申请,流程执行结束。 HR收到简历初审通过的邮件通知。 图3 简历初审通过邮件 HR填写预约时间及地址,并将结果反馈给用人部门主管。 HR通过4中的地址,登录应用。 在待处理中,单击对应流程后的。 设置面试时间及地址。 图4 设置面试时间及地址 将预约结果反馈给部门主管。 图5 反馈预约结果 主管现场面试,填写面试结果。 图6 填写最终面试结果 父主题: 进阶实战-面试管理流程
  • 步骤六:业务功能测试 验证请假申请流程是否按照预期执行,即请假人提交请假申请后,主管对申请进行审批,审批通过将结果通过邮件方式告知HR。 将4中获取到的应用运行态访问地址,分享给请假人和主管。 请假人以步骤一:搭建组织层级中配置的邮箱或手机号登录应用,发起请假申请。 首次登录运行态应用时,请单击“设置密码/忘记密码”,通过邮箱或手机号码,根据界面提示完成密码的重置,并勾选隐私协议及服务声明。 单击“设置密码/忘记密码”,进入设置密码页面。 图1 应用运行态登录页 单击“发送验证码”,将验证码发送到用户手机或者邮箱。 图2 获取验证码 输入已获取的验证码,单击“提交”。 图3 输入已获取的验证码 单击“重置密码”,完成密码重置。 图4 完成密码重置 (可选,首次登录时需要)勾选隐私协议及服务声明,单击“同意并继续”。 图5 勾选隐私协议及服务声明 员工填写请假申请。 图6 发起请假申请 发起请假申请后,在“我的申请”中可查看到已发起的记录,且状态显示为“主管审批”。 图7 查看请假记录 主管以步骤一:搭建组织层级中配置的邮箱或手机号登录应用。 首次登录时,请参考2中操作,重置密码。 在“待处理”中,单击员工请假审批流程后的,进入审批页面。 图8 进入审批页面 单击“通过”,输入审批意见,再单击“通过”,即可完成审批。 图9 审批申请 审批通过后,HR收到审批结果通过告知邮件。 图10 HR接收到邮件 父主题: 新手入门-员工请假流程
  • 步骤五:发布应用 应用开发完成后,需要发布应用。应用发布后,用户才可以正常访问应用。 流程发布成功后,单击,返回“流程管理”页面。 图1 返回流程管理页面 在主菜单中,选择“应用发布”。 在发布配置中,单击“启动发布”。 发布应用前,单击页面上方的“预览”,可预览应用。应用发布后,此按钮会变为“访问”,单击可直接访问运行态应用,功能和“应用发布地址”后的跳转相同。 图2 发布应用 获取应用的访问地址,并进行分享。 此处获取的地址,为应用运行态的访问地址。 图3 获取应用的访问地址 父主题: 新手入门-员工请假流程
  • 后端服务器的权重 在后端服务器组内添加后端服务器后,需设置后端服务服务器的转发权重。权重越高的后端服务器将被分配到越多的访问请求。 每台后端服务器的权重取值范围为[0, 100],新的请求不会转发到权重为0的后端服务器上。 以下三种流量分配策略支持权重设置,详情见表2,更多流量策略分配策略详情见流量分配策略介绍。 表2 流量分配策略的权重设置说明 流量分配策略类型 权重设置说明 加权轮询算法 在非0的权重下,负载均衡器会将请求按权重值的大小分配给所有的后端服务器,且在轮询时,权重大的后端服务器被分配的概率高。 当后端服务器的权重都设置为相等时,负载均衡器将按照简单的轮询策略分发请求。 加权最少连接 在非0的权重下,负载均衡器会通过 overhead=当前连接数/权重 来计算每个服务器负载。 每次调度会选择overhead最小的后端服务器。 源IP算法 在非0的权重下,在一段时间内,同一个客户端的IP地址的请求会被调度至同一个后端服务器上。 每台后端服务器的权重取只做0和非0的区分。
  • 注意事项 建议您选择相同操作系统的后端服务器,以便日后管理和维护。 新添加后端服务器后,若健康检查开启,负载均衡器会向后端服务器发送请求以检测其运行状态,响应正常则直接上线,响应异常则开始健康检查机制定期检查,检查正常后上线。 关机或重启已有业务的后端服务器,会断开已经建立的连接,正在传输的流量会丢失。建议在客户端上面配置重试功能,避免业务数据丢失。 如果您开启了会话保持功能,那么有可能会造成后端服务器的访问量不均衡。如果出现了访问不均衡的情况,建议您暂时关闭会话保持功能,观察一下是否依然存在这种情况。
  • 操作场景 当您需要在同一个监听器中,根据HTTPS请求域名的不同来选择不同的证书进行认证并将请求分发至不同的后端服务器组时,您可通过开启SNI功能来实现配置多域名HTTPS网站。 SNI(Server Name Indication)是为了解决一个服务器使用域名证书的TLS扩展。开启SNI之后,用户需要添加域名对应的证书,允许客户端在发起SSL握手请求时就提交请求的域名信息,负载均衡收到SSL请求后,会根据域名去查找证书。如果找到域名对应的证书,则返回该证书;如果没有找到域名对应的证书,则返回缺省证书。
  • SNI证书约束 ELB不会自动选择未过期的证书,如果您有证书过期了,需要手动更换或者删除证书,详见绑定/更换证书。 用于SNI的证书,需要指定域名,指定的域名必须与证书中的域名保持一致。 目前支持一个域名可以同时绑定ECC类型的证书和RSA类型的证书,在选择SNI证书时,支持选择同域名绑定的两个证书,在使用时,会优先选择ECC类型的证书。 SNI证书匹配规则: 当证书的域名为*.test.com,那么可支持a.test.com、b.test.com等,不支持a.b.test.com、c.d.test.com等。 且依据最长尾缀匹配:当证书中的域名同时存在*.b.test.com和*.test.com时,那么a.b.test.com会优先匹配到*.b.test.com。 证书示例如图1所示,图中的cer-default为创建HTTPS监听器时绑定的默认证书,cert-test01和cert-test02为新创建的用于SNI的证书。 其中,证书cert-test01填写的域名为www.test01.com、cert-test02填写的域名为www.test02.com。 如果访问负载均衡的域名与SNI证书匹配成功,则会返回SNI的证书认证鉴权。如果匹配失败,则会返回默认证书认证鉴权。 图1 配置证书说明
  • 操作场景 一般情况下,共享型ELB会使用100.125网段的IP和后端服务器进行通信。如果您想要获取客户端的真实IP,您可以开启“获取客户端IP”功能,此时,ELB和后端服务器之间直接使用真实的IP进行通信。 目前,共享型负载均衡对“获取客户端IP”功能的支持情况如表1。 表1 共享型负载均衡“获取客户端IP”功能说明 监听器类型 开启“获取客户端IP” 关闭“获取客户端IP” 四层(TCP/UDP)监听器 √ √ 七层(HTTP/HTTPS)监听器 默认开启 ×
  • 约束与限制 开启/关闭“获取客户端IP”的过程中,如果监听器已经添加了后端服务器,则访问监听器的流量会中断,中断时间为10秒(后端服务器组配置的健康检查间隔*2)。 开启“获取客户端IP”之后,不支持同一台服务器既作为后端服务器又作为客户端的场景。如果后端服务器和客户端使用同一台服务器,且开启“获取客户端IP”,则后端服务器会根据报文源IP为本地IP判定该报文为本机发出的报文,无法将应答报文返回给ELB,最终导致回程流量不通。 如果监听器之前已经添加了后端服务器、并且开启了健康检查功能,开启“获取客户端IP”功能会重新上线后端服务器,新建流量会有1-2个健康检查间隔的中断。 开启此功能后,执行后端服务器迁移任务时,可能出现流量中断(例如单向下载、推送类型的流量)。所以后端服务器迁移完成后,需要通过报文重传来恢复流量。
  • 监控指标 表1 ELB支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期 (原始指标) m1_cps 并发连接数 在四层负载均衡器中,指从测量对象到后端服务器建立的所有TCP和UDP连接的数量。 在七层负载均衡器中,指从客户端到ELB建立的所有TCP连接的数量。 单位:个 ≥ 0个 独享型负载均衡器 1分钟 m2_act_conn 活跃连接数 从测量对象到后端服务器建立的所有ESTABLISHED状态的TCP或UDP连接的数量。 Windows和Linux服务器都可以使用如下命令查看。 netstat -an 单位:个 ≥ 0个 独享型负载均衡器 1分钟 m3_inact_conn 非活跃连接数 从测量对象到所有后端服务器建立的所有除ESTABLISHED状态之外的TCP连接的数量。 Windows和Linux服务器都可以使用如下命令查看。 netstat -an 单位:个 ≥ 0个 独享型负载均衡器 1分钟 m4_ncps 新建连接数 从客户端到测量对象每秒新建立的连接数。 单位:个/秒 ≥ 0个/秒 独享型负载均衡器 1分钟 m5_in_pps 流入数据包数 测量对象每秒接收到的数据包的个数。 单位:个/秒 ≥ 0个/秒 独享型负载均衡器 1分钟 m6_out_pps 流出数据包数 测量对象每秒发出的数据包的个数。 单位:个/秒 ≥ 0个/秒 独享型负载均衡器 1分钟 m7_in_Bps 网络流入速率 从外部访问测量对象所消耗的流量。 单位:字节/秒 ≥ 0bytes/s 独享型负载均衡器 1分钟 m8_out_Bps 网络流出速率 测量对象访问外部所消耗的流量。 单位:字节/秒 ≥ 0bytes/s 独享型负载均衡器 1分钟 m9_abnormal_servers 异常主机数 健康检查统计监控对象后端异常的主机个数。 单位:个 ≥ 0个 独享型负载均衡器 1分钟 ma_normal_servers 正常主机数 健康检查统计监控对象后端正常的主机个数。 单位:个 ≥ 0个 独享型负载均衡器 1分钟 m26_in_bandwidth_ipv6 ipv6入网带宽 统计流入测量对象消耗的IPv6网络带宽 单位:比特/秒 ≥ 0bit/s 独享型负载均衡器 1分钟 m27_out_bandwidth_ipv6 ipv6出网带宽 统计流出测量对象消耗的IPv6网络带宽 单位:比特/秒 ≥ 0bit/s 独享型负载均衡器 1分钟 mb_l7_qps 7层查询速率 统计测量对象当前7层查询速率。(HTTP和HTTPS监听器才有此指标) 单位:次/秒。 ≥ 0次/秒 独享型负载均衡器 1分钟 md_l7_http_3xx 7层协议返回码(3XX) 统计测量对象当前7层3XX系列状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 独享型负载均衡器 1分钟 mc_l7_http_2xx 7层协议返回码(2XX) 统计测量对象当前7层2XX系列状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 独享型负载均衡器 1分钟 me_l7_http_4xx 7层协议返回码(4XX) 统计测量对象当前7层4XX系列状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 独享型负载均衡器 1分钟 mf_l7_http_5xx 7层协议返回码(5XX) 统计测量对象当前7层5XX系列状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 独享型负载均衡器 1分钟 m10_l7_http_other_status 7层协议返回码(Others) 统计测量对象当前7层非2XX,3XX,4XX,5XX系列状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 独享型负载均衡器 1分钟 m11_l7_http_404 7层协议返回码(404) 统计测量对象当前7层404状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 独享型负载均衡器 1分钟 m12_l7_http_499 7层协议返回码(499) 统计测量对象当前7层499状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 独享型负载均衡器 1分钟 m13_l7_http_502 7层协议返回码(502) 统计测量对象当前7层502状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 独享型负载均衡器 1分钟 m14_l7_rt 7层协议RT平均值 统计测量对象当前7层平均响应时间。(HTTP和HTTPS监听器才有此指标) 从测量对象收到客户端请求开始,到测量对象将所有响应返回给客户端为止。 单位:毫秒。 说明: websocket场景下RT平均值可能会非常大,此时该指标无法作为时延指标参考。 ≥ 0ms 独享型负载均衡器 1分钟 m15_l7_upstream_4xx 7层后端返回码(4XX) 统计测量对象当前7层后端4XX系列状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 独享型负载均衡器 1分钟 m16_l7_upstream_5xx 7层后端返回码(5XX) 统计测量对象当前7层后端5XX系列状态响应码的数量。 (HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 独享型负载均衡器 1分钟 m17_l7_upstream_rt 7层后端的RT平均值 统计测量对象当前7层后端平均响应时间。(HTTP和HTTPS监听器才有此指标) 从测量对象将请求转发给后端服务器开始,到测量对象收到后端服务器返回响应为止。 单位:毫秒。 说明: websocket场景下RT平均值可能会非常大,此时该指标无法作为时延指标参考。 ≥ 0ms 独享型负载均衡器 1分钟 m1a_l7_upstream_rt_max 7层后端的RT最大值 统计测量对象当前7层后端最大响应时间。(HTTP和HTTPS监听器才有此指标) 从测量对象将请求转发给后端服务器开始,到测量对象收到后端服务器返回响应为止。 单位:毫秒。 ≥ 0ms 独享型负载均衡器 1分钟 m1b_l7_upstream_rt_min 7层后端的RT最小值 统计测量对象当前7层后端最小响应时间。(HTTP和HTTPS监听器才有此指标) 从测量对象将请求转发给后端服务器开始,到测量对象收到后端服务器返回响应为止。 单位:毫秒。 ≥ 0ms 独享型负载均衡器 1分钟 m1c_l7_rt_max 7层协议的RT最大值 统计测量对象当前7层最大响应时间。(HTTP和HTTPS监听器才有此指标) 从测量对象收到客户端请求开始,到测量对象将所有响应返回给客户端为止。 单位:毫秒。 ≥ 0ms 独享型负载均衡器 1分钟 m1d_l7_rt_min 7层协议的RT最小值 统计测量对象当前7层最小响应时间。(HTTP和HTTPS监听器才有此指标) 从测量对象收到客户端请求开始,到测量对象将所有响应返回给客户端为止。 单位:毫秒。 ≥ 0ms 独享型负载均衡器 1分钟 l7_con_usage 7层并发连接使用率 统计7层的ELB实例并发连接数使用率。 单位:百分比。 ≥ 0% 独享型负载均衡器 1分钟 l7_in_bps_usage 7层入带宽使用率 统计7层的ELB实例入带宽使用率。 单位:百分比 注意: 若入带宽使用率达到100%,说明已经超出ELB规格所提供的性能保障,您的业务可以继续使用更高带宽,但对于带宽超出的部分,ELB无法承诺服务可用性指标。 ≥ 0% 独享型负载均衡器 1分钟 l7_out_bps_usage 7层出带宽使用率 统计7层的ELB实例出带宽使用率。 单位:百分比 注意: 若出带宽使用率达到100%,说明已经超出ELB规格所提供的性能保障,您的业务可以继续使用更高带宽,但对于带宽超出的部分,ELB无法承诺服务可用性指标。 ≥ 0% 独享型负载均衡器 1分钟 l7_ncps_usage 7层新建连接数使用率 统计7层的ELB实例新建连接数使用率。 单位:百分比 ≥ 0% 独享型负载均衡器 1分钟 l7_qps_usage 7层查询速率使用率 统计7层的ELB实例查询速率使用率。 单位:百分比 ≥ 0% 独享型负载均衡器 1分钟 m18_l7_upstream_2xx 7层后端返回码(2XX) 统计测量对象当前7层后端2XX系列状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 独享型负载均衡的后端服务器组 1分钟 m19_l7_upstream_3xx 7层后端返回码(3XX) 统计测量对象当前7层后端3XX系列状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 独享型负载均衡的后端服务器组 1分钟 m25_l7_resp_Bps 7层响应带宽 统计周期时间内主机组的响应发送带宽。 单位:比特/秒 说明: 当监听器开启HTTP/2时,该指标无法作为参考。 ≥ 0bit/s 独享型负载均衡的后端服务器组 1分钟 m24_l7_req_Bps 7层请求带宽 统计周期时间内主机组的请求接收带宽。 单位:比特/秒 说明: 当监听器开启HTTP/2时,该指标无法作为参考。 ≥ 0bit/s 独享型负载均衡的后端服务器组 1分钟 l4_con_usage 4层并发连接使用率 统计4层的ELB实例并发连接数使用率。 单位:百分比 ≥ 0% 独享型负载均衡器 1分钟 l4_in_bps_usage 4层入带宽使用率 统计4层的ELB实例入带宽使用率。 单位:百分比 注意: 若入带宽使用率达到100%,说明已经超出ELB规格所提供的性能保障,您的业务可以继续使用更高带宽,但对于带宽超出的部分,ELB无法承诺服务可用性指标。 ≥ 0% 独享型负载均衡器 1分钟 l4_out_bps_usage 4层出带宽使用率 统计4层的ELB实例出带宽使用率。 单位:百分比 注意: 若出带宽使用率达到100%,说明已经超出ELB规格所提供的性能保障,您的业务可以继续使用更高带宽,但对于带宽超出的部分,ELB无法承诺服务可用性指标。 ≥ 0% 独享型负载均衡器 1分钟 l4_ncps_usage 4层新建连接数使用率 统计4层的ELB实例新建连接数使用率。 单位:百分比 ≥ 0% 独享型负载均衡器 1分钟 ipgroup_blocked_packets 黑白名单阻断数据包 统计黑白名单阻断流入测量对象的数据包 单位:个/秒。 ≥ 0个/秒 独享型负载均衡器 1分种 ipgroup_blocked_traffic 黑白名单阻断流量 统计黑白名单阻断流入测量对象的流量 单位:比特/秒 ≥ 0bit/s 独享型负载均衡器 1分种 dropped_connections 丢弃连接数 统计测量对象每秒丢弃的连接数 单位:个/秒。 ≥ 0个/秒 独享型负载均衡器 1分种 dropped_packets 丢弃数据包 统计测量对象每秒丢弃的数据包数 单位:个/秒。 ≥ 0个/秒 独享型负载均衡器 1分种 dropped_traffic 丢弃流量 统计测量对象每秒丢弃的流量 单位:比特/秒 ≥ 0bit/s 独享型负载均衡器 1分种 表2 监听器支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期 (原始指标) m1_cps 并发连接数 在四层负载均衡器中,指从测量对象到后端服务器建立的所有TCP和UDP连接的数量。 在七层负载均衡器中,指从客户端到ELB建立的所有TCP连接的数量。 单位:个 ≥ 0个 监听器 1分钟 m2_act_conn 活跃连接数 从测量对象到后端服务器建立的所有ESTABLISHED状态的TCP或UDP连接的数量。 Windows和Linux服务器都可以使用如下命令查看。 netstat -an 单位:个 ≥ 0个 监听器 1分钟 m3_inact_conn 非活跃连接数 从测量对象到所有后端服务器建立的所有除ESTABLISHED状态之外的TCP连接的数量。 Windows和Linux服务器都可以使用如下命令查看。 netstat -an 单位:个 ≥ 0个 监听器 1分钟 m4_ncps 新建连接数 从客户端到测量对象每秒新建立的连接数。 单位:个/秒 ≥ 0个/秒 监听器 1分钟 m5_in_pps 流入数据包数 测量对象每秒接收到的数据包的个数。 单位:个/秒 ≥ 0个/秒 监听器 1分钟 m6_out_pps 流出数据包数 测量对象每秒发出的数据包的个数。 单位:个/秒 ≥ 0个/秒 监听器 1分钟 m7_in_Bps 网络流入速率 从外部访问测量对象所消耗的流量。 单位:字节/秒 ≥ 0bytes/s 监听器 1分钟 m8_out_Bps 网络流出速率 测量对象访问外部所消耗的流量。 单位:字节/秒 ≥ 0bytes/s 监听器 1分钟 mb_l7_qps 7层查询速率 统计测量对象当前7层查询速率。(HTTP和HTTPS监听器才有此指标) 单位:次/秒。 ≥ 0次/秒 监听器 1分钟 md_l7_http_3xx 7层协议返回码(3XX) 统计测量对象当前7层3XX系列状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 监听器 1分钟 mc_l7_http_2xx 7层协议返回码(2XX) 统计测量对象当前7层2XX系列状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 监听器 1分钟 me_l7_http_4xx 7层协议返回码(4XX) 统计测量对象当前7层4XX系列状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 监听器 1分钟 mf_l7_http_5xx 7层协议返回码(5XX) 统计测量对象当前7层5XX系列状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 监听器 1分钟 m10_l7_http_other_status 7层协议返回码(Others) 统计测量对象当前7层非2XX,3XX,4XX,5XX系列状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 监听器 1分钟 m11_l7_http_404 7层协议返回码(404) 统计测量对象当前7层404状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 监听器 1分钟 m12_l7_http_499 7层协议返回码(499) 统计测量对象当前7层499状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 监听器 1分钟 m13_l7_http_502 7层协议返回码(502) 统计测量对象当前7层502状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 监听器 1分钟 m14_l7_rt 7层协议RT平均值 统计测量对象当前7层平均响应时间。(HTTP和HTTPS监听器才有此指标) 从测量对象收到客户端请求开始,到测量对象将所有响应返回给客户端为止。 单位:毫秒。 说明: websocket场景下RT平均值可能会非常大,此时该指标无法作为时延指标参考。 ≥ 0ms 监听器 1分钟 m15_l7_upstream_4xx 7层后端返回码(4XX) 统计测量对象当前7层后端4XX系列状态响应码的数量。(HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 监听器 1分钟 m16_l7_upstream_5xx 7层后端返回码(5XX) 统计测量对象当前7层后端5XX系列状态响应码的数量。 (HTTP和HTTPS监听器才有此指标) 单位:个/秒。 ≥ 0个/秒 监听器 1分钟 m17_l7_upstream_rt 7层后端的RT平均值 统计测量对象当前7层后端平均响应时间。(HTTP和HTTPS监听器才有此指标) 从测量对象将请求转发给后端服务器开始,到测量对象收到后端服务器返回响应为止。 单位:毫秒。 说明: websocket场景下RT平均值可能会非常大,此时该指标无法作为时延指标参考。 ≥ 0ms 监听器 1分钟 m1a_l7_upstream_rt_max 7层后端的RT最大值 统计测量对象当前7层后端最大响应时间。(HTTP和HTTPS监听器才有此指标) 从测量对象将请求转发给后端服务器开始,到测量对象收到后端服务器返回响应为止。 单位:毫秒。 ≥ 0ms 监听器 1分钟 m1b_l7_upstream_rt_min 7层后端的RT最小值 统计测量对象当前7层后端最小响应时间。(HTTP和HTTPS监听器才有此指标) 从测量对象将请求转发给后端服务器开始,到测量对象收到后端服务器返回响应为止。 单位:毫秒。 ≥ 0ms 监听器 1分钟 m1c_l7_rt_max 7层协议的RT最大值 统计测量对象当前7层最大响应时间。(HTTP和HTTPS监听器才有此指标) 从测量对象收到客户端请求开始,到测量对象将所有响应返回给客户端为止。 单位:毫秒。 ≥ 0ms 监听器 1分钟 m1d_l7_rt_min 7层协议的RT最小值 统计测量对象当前7层最小响应时间。(HTTP和HTTPS监听器才有此指标) 从测量对象收到客户端请求开始,到测量对象将所有响应返回给客户端为止。 单位:毫秒。 ≥ 0ms 监听器 1分钟 ipgroup_blocked_packets 黑白名单阻断数据包 统计黑白名单阻断流入测量对象的数据包 单位:个/秒。 ≥ 0个/秒 监听器 1分种 ipgroup_blocked_traffic 黑白名单阻断流量 统计黑白名单阻断流入测量对象的流量 单位:比特/秒 ≥ 0bit/s 监听器 1分种
  • 操作场景 可以根据业务需要为负载均衡实例绑定IP地址,或者将负载均衡实例已经绑定的IP地址进行解绑。 支持绑定和解绑IPv4公网IP、IPv4私有IP、IPv6地址。 解绑IPv4公网IP后,对应的弹性负载均衡器将无法进行IPv4公网流量转发。 解绑IPv4私有IP后,对应的弹性负载均衡器将无法基于IPv4私有IP进行私网流量转发。 解绑IPv6地址后,对应的弹性负载均衡器将无法基于IPv6地址进行流量转发,请谨慎操作。
  • 操作场景 为了支持HTTPS数据传输加密认证,在创建HTTPS协议监听的时候需绑定证书,负载均衡提供证书管理功能,简化您的证书部署。 服务器证书:同时支持 云证书管理服务 提供的服务器数字证书和您的自有证书。 CA证书:仅支持上传您的自有CA证书 服务器SM双证书:同时支持 云证书管理 服务提供的服务器数字证书和您的自有证书。 如果您不希望将证书上传到负载均衡器上进行管理,您可以将证书存放到后端服务器上,然后配置相同端口的TCP监听器将HTTPS流量透传到后端服务器。具体原理参见TCP监听器将HTTPS流量透传到后端服务器。 如果在两个区域想要使用同一个证书,需要在两个区域分别使用的证书信息创建两个证书。
  • 约束与限制 健康检查协议与服务器组的后端协议是两个相互独立的能力,所以健康检查协议可以与后端协议不同。 为了减少后端服务器的CPU占用,建议您使用TCP协议做健康检查。如果您希望使用HTTP健康检查协议,建议使用HTTP+静态文件的方式。 为保证健康检查功能正常,配置健康检查后必须放通对应的安全组规则,详情请参考配置后端服务器的安全组。 开启健康检查后不会影响已建立连接的流量转发,负载均衡会立即对后端服务器执行健康检查。 如果健康检查正常,则新建连接的流量会根据分配策略和权重向该服务器转发流量。 如果健康异常,则系统会设置该服务器状态为异常,不转发新的流量到该服务器。
  • ELB自定义策略样例 示例1:授权用户更新负载均衡器 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "elb:loadbalancers:put" ] } ] }
  • 添加跨VPC后端场景 开启跨VPC后端功能后,独享型负载均衡可添加IP类型的后端服务器。根据添加的IP地址来源不同需做不同的准备,如表1。 表1 跨VPC后端添加IP地址 ELB实例添加跨VPC后端 必做准备 添加云上其他VPC中的IP 需要先在ELB所在的VPC和云上其他VPC之间建立对等连接,然后通过跨VPC功能添加。 建立对等连接详见《虚拟私有云用户指南》。 添加云上同VPC中的IP 需要对ELB所在的VPC创建对等连接并添加对等连接路由,再通过跨VPC功能添加。 详情见《通过跨VPC后端功能添加同VPC内的服务器至ELB》。 添加云下数据中心的IP 需要先通过云专线或VPN连通云上ELB所在的VPC和云下数据中心,详见《云专线用户指南》或《虚拟专用网络用户指南》。
  • 示例流程 图1 给用户授权ELB权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予弹性负载均衡服务只读权限“ELB ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1.创建用户组并授权中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择弹性负载均衡,进入ELB主界面,单击右上角“购买弹性负载均衡”,尝试购买弹性负载均衡器,如果无法购买弹性负载均衡器(假设当前权限仅包含ELB ReadOnlyAccess),表示“ELB ReadOnlyAccess”已生效。 在“服务列表”中选择除弹性负载均衡器外(假设当前策略仅包含ELB ReadOnlyAccess)的任一服务,若提示权限不足,表示“ELB ReadOnlyAccess”已生效。
  • IP地址组简介 IP地址组是多个IP地址的集合,用来统一管理具有相同安全要求或需要频繁修改的IP地址。 弹性负载均衡支持对监听器设置访问控制策略。对于需要使用黑名单和白名单,在监听器上设置访问控制的用户,开启白名单或黑名单时必须选择一个IP地址组。 白名单:允许IP地址组中的IP访问负载均衡的监听器。如果IP地址组未包含任何IP地址,则对应的负载均衡监听器禁止任何IP地址访问。 黑名单:限制IP地址组中的IP访问负载均衡的监听器。如果IP地址组未包含任何IP地址,则对应的负载均衡监听器允许所有IP地址访问。
  • 选择网络类型 共享型实例网络类型可以选择公网或者私网。 如果需要使用负载均衡分发来自Internet公网的访问请求,需要创建公网负载均衡器。公网负载均衡实例可以同时处理来自VPC内网的访问请求。 创建公网负载均衡器会绑定一个EIP,用来接收来自Internet公网的访问请求。 如果只需要使用负载均衡分发来自VPC内网的访问请求,选择创建私网负载均衡器。 私网负载均衡器仅分配一个私网IP,仅能用来接收来自同个VPC内的访问请求。
  • 选择协议类型 提供基于四层协议和七层协议的负载均衡,在负载均衡器中通过加监听器选择相应的协议。 使用四层协议的负载均衡,监听器收到访问请求后,将请求直接转发给后端服务器。转发过程仅修改报文中目标IP地址和源IP地址,将目标地址改为后端云服务器的IP地址,源地址改为负载均衡器的IP地址。四层协议连接的建立,即三次握手是客户端和后端服务器直接建立的,负载均衡只是进行了数据的转发。 图2 四层负载均衡 使用七层协议的负载均衡,也称为“内容交换”。监听器收到访问请求后,需要识别并通过HTTP/HTTPS协议报文头中的相关字段,进行数据的转发。监听器收到访问请求后,先代理后端服务器和客户端建立连接(三次握手),接收客户端发送的包含应用层内容的报文,然后根据报文中的特定字段和流量分配策略判断需要转发的后端服务器。此场景中,负载均衡类似一个代理服务器,分别和客户端以及后端服务器建立连接。 图3 七层负载均衡
共100000条