华为云用户手册

  • GRPC健康检查 图6 GRPC健康检查 GRPC健康检查机制如下: ELB节点根据健康检查配置,向后端服务器(IP+端口+检查路径)发出POST或GET请求(可以选择设置 域名 )。 后端服务器收到请求后,根据服务的情况返回相应的状态码。 ELB通过读取HTTP/2头中的grpc-status的值作为返回的GRPC状态码。 如果七层ELB节点在响应超时时间内收到了后端服务器的响应,将返回的GRPC状态码与自定义的健康检查返回码进行对比,如果匹配则认为健康检查成功,后端服务器运行正常。 如果七层ELB节点在响应超时时间内没有收到后端服务器的响应,则判定健康检查失败。
  • 健康检查协议 您可以在创建后端服务器组和创建监听器时为后端服务器组配置健康检查,通常,使用默认的健康检查配置即可,也根据业务需要选择不同的健康检查协议。 您也可以在后端服务器组创建后修改健康检查,详情可见修改健康检查配置。 后端服务器组的后端协议与支持的健康检查协议存在匹配关系,详情请参见表1。 表1 后端服务器组支持的健康检查协议(独享型) 后端服务器组的后端协议 健康检查协议 TCP TCP、HTTP、HTTPS UDP UDP QUIC UDP TLS TCP、HTTP、HTTPS、TLS、GRPC HTTP TCP、HTTP、HTTPS、TLS、GRPC HTTPS TCP、HTTP、HTTPS、TLS、GRPC GRPC TCP、HTTP、HTTPS、TLS、GRPC TLS协议与GRPC协议陆续上线中,已发布区域请参见弹性负载均衡支持TLS协议和弹性负载均衡支持GRPC协议。
  • TCP健康检查 对于四层(TCP)和七层(HTTP/HTTPS)后端协议,您可以配置TCP健康检查,通过发起TCP三次握手来获取后端服务器的状态信息,如图1所示。 图1 TCP健康检查 TCP健康检查的机制如下: ELB节点根据健康检查配置,向后端服务器(IP+健康检查端口)发送TCP SYN报文。 后端服务器收到请求报文后,如果相应的端口已经被正常监听,则会返回SYN+ACK报文。 如果在超时时间内没有收到后端服务器的SYN+ACK报文,则判定健康检查失败。随后发送RST报文给后端服务器中断TCP连接。 如果在超时时间内收到了SYN+ACK报文,则判定健康检查成功,并进一步发送ACK报文给后端服务器。随后发送RST报文给后端服务器中断TCP连接。 正常的TCP三次握手后,会进行数据传输,但是在健康检查时会发送RST中断建立的TCP连接。该实现方式可能会导致后端服务器中的应用认为TCP连接异常退出,并打印错误信息,如“Connection reset by peer”。解决方案如下: 采用HTTP健康检查。 后端服务器忽略健康检查的连接错误。
  • HTTP健康检查 对于四层(TCP)和七层(HTTP/HTTPS)后端协议,您可以配置HTTP健康检查,通过HTTP GET请求来获取状态信息。检查原理如图3所示。 图3 HTTP健康检查 HTTP健康检查机制如下: ELB节点根据健康检查配置,向后端服务器(IP+端口+检查路径)发出HTTP GET请求(可以选择设置域名)。 后端服务器收到请求后,根据服务的情况返回相应的HTTP状态码。 如果七层ELB节点在响应超时时间内收到了后端服务器的响应,将HTTP状态码与预置的状态码进行对比,如果匹配则认为健康检查成功,后端服务器运行正常。 如果七层ELB节点在响应超时时间内没有收到后端服务器的响应,则判定健康检查失败。
  • 健康检查时间窗 健康检查机制的引入,有效提高了业务服务的可用性。但是,为了避免频繁的健康检查失败引起的切换对系统可用性的冲击,健康检查只有连续多次检查成功或失败后,才会进行状态切换。 以共享型负载均衡的健康检查为例,健康检查时间窗由表2中的三个因素决定: 表2 健康检查时间窗的影响因素 影响因素 说明 检查间隔 每隔多久进行一次健康检查。 超时时间 等待服务器返回健康检查的时间。 健康检查阈值 判定健康检查结果正常或异常时,所需的健康检查连续成功或失败的次数。 健康检查时间窗的计算方法如下: 健康检查成功时间窗 = 超时时间×健康检查正常阈值 + 检查间隔×(健康检查正常阈值-1) 健康检查失败时间窗 = 超时时间×健康检查异常阈值 + 检查间隔×(健康检查异常阈值-1) 如图7所示: 检查间隔:4s 超时时间:2s 健康检查异常阈值:3次 健康检查检测到后端服务器从正常到失败状态,健康检查失败时间窗 = 超时时间×健康检查异常阈值+检查间隔×(健康检查异常阈值-1) = 2 x 3+4 x (3-1) = 14s。 图7 健康检查失败时间窗
  • 后端服务器组的基本信息 选定目标后端服务器后,可对以下基本信息进行修改,详情见表1。 表1 支持修改的后端服务器组信息 参数 修改场景说明 名称 用户可自定义后端服务器组的名称。 修改名称步骤详情见修改流量分配策略配置。 分配策略类型 用户可根据使用需求修改后端服务器组的流量分配策略。 后端服务器组根据配置的流量分配策略转发流量到不同的后端服务器。 流量分配策略详情参见流量分配策略介绍。 修改流量分配策略步骤详情见修改流量分配策略配置。 会话保持 用户可根据使用需求开启或关闭会话保持。 当用户开启了会话保持功能后,会话保持可以使来自同一客户端的请求被转发到同一台后端服务器上,客户端的请求将无需重复登录后端服务器。 开启了会话保持功能,也可能会造成后端服务器的访问量不均衡,此时建议您暂时关闭会话保持功能,再观察是否依然存在访问不均衡的情况。 会话保持功能详情参见会话保持介绍。 修改会话保持步骤详情见修改会话保持配置。 慢启动 用户可根据使用需求开启或关闭慢启动。 慢启动能够实现业务的平滑启动,完美避免业务抖动问题。建议用户在添加后端服务器前开启慢启动。 慢启动功能详情参见慢启动介绍(独享型)。 修改慢启动步骤详情见修改慢启动配置。 描述 用户可自定义对目标后端服务器组的描述。 修改描述步骤详情见修改流量分配策略配置。
  • 默认安全策略差异对比 表2 安全策略差异说明 安全策略 tls-1-0 tls-1-1 tls-1-2 tls-1-0-inherit tls-1-2-strict tls-1-0-with-1-3 tls-1-2-fs-with-1-3 tls-1-2-fs hybrid-policy-1-0 TLS 协议 Protocol-TLS 1.3 - - - - - √ √ √ - Protocol-TLS 1.2 √ √ √ √ √ √ √ √ √ Protocol-TLS 1.1 √ √ - √ - √ - - √ Protocol-TLS 1.0 √ - - √ - √ - - - 加密套件 EDHE-RSA-AES128-GCM-SHA256 √ √ √ - √ - - - - ECDHE-RSA-AES256-GCM-SHA384 √ √ √ √ √ √ √ √ √ ECDHE-RSA-AES128-SHA256 √ √ √ √ √ √ √ √ √ ECDHE-RSA-AES256-SHA384 √ √ √ √ √ √ √ √ √ AES128-GCM-SHA256 √ √ √ √ √ √ - - √ AES256-GCM-SHA384 √ √ √ √ √ √ - - √ AES128-SHA256 √ √ √ √ √ √ - - √ AES256-SHA256 √ √ √ √ √ √ - - √ ECDHE-RSA-AES128-SHA √ √ √ √ - √ - - √ ECDHE-RSA-AES256-SHA √ √ √ √ - √ - - √ AES128-SHA √ √ √ √ - √ - - √ AES256-SHA √ √ √ √ - √ - - √ ECDHE-ECDSA-AES128-GCM-SHA256 √ √ √ √ √ √ √ √ √ ECDHE-ECDSA-AES128-SHA256 √ √ √ √ √ √ √ √ √ ECDHE-ECDSA-AES128-SHA √ √ √ √ - √ - - √ ECDHE-ECDSA-AES256-GCM-SHA384 √ √ √ √ √ √ √ √ √ ECDHE-ECDSA-AES256-SHA384 √ √ √ √ √ √ √ √ √ ECDHE-ECDSA-AES256-SHA √ √ √ √ - √ - - √ ECDHE-RSA-AES128-GCM-SHA256 - - - √ - √ √ √ √ TLS_AES_256_GCM_SHA384 - - - - - √ √ √ - TLS_CHACHA20_POLY1305_SHA256 - - - - - √ √ √ - TLS_AES_128_GCM_SHA256 - - - - - √ √ √ - TLS_AES_128_CCM_8_SHA256 - - - - - √ √ √ - TLS_AES_128_CCM_SHA256 - - - - - √ √ √ - DHE-RSA-AES128-SHA - - - √ - - - - - DHE-DSS-AES128-SHA - - - √ - - - - - CAMELLIA128-SHA - - - √ - - - - - EDH-RSA-DES-CBC3-SHA - - - √ - - - - - DES-CBC3-SHA - - - √ - - - - - ECDHE-RSA-RC4-SHA - - - √ - - - - - RC4-SHA - - - √ - - - - - DHE-RSA-AES256-SHA - - - √ - - - - - DHE-DSS-AES256-SHA - - - √ - - - - - DHE-RSA-CAMELLIA256-SHA - - - √ - - - - - ECC-SM4-SM3 - - - - - - - - √ ECDHE-SM4-SM3 - - - - - - - - √
  • 默认安全策略 TLS协议版本越高,加密通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。 表1 默认安全策略参数说明 名称 说明 支持的TLS版本类型 使用的加密套件列表 TLS-1-0 兼容性好,安全性低。 TLS 1.2 TLS 1.1 TLS 1.0 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES128-GCM-SHA256 AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA ECDHE-ECDSA-AES256-SHA AES128-SHA AES256-SHA TLS-1-1 兼容性较好,安全性中。 TLS 1.2 TLS 1.1 TLS-1-2 兼容性较好,安全性高。 TLS 1.2 tls-1-0-inherit 兼容性好,安全性低。 TLS 1.2 TLS 1.1 TLS 1.0 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES128-GCM-SHA256 AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES128-SHA DHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA ECDHE-ECDSA-AES256-SHA AES128-SHA AES256-SHA DHE-DSS-AES128-SHA CAMELLIA128-SHA EDH-RSA-DES-CBC3-SHA DES-CBC3-SHA ECDHE-RSA-RC4-SHA RC4-SHA DHE-RSA-AES256-SHA DHE-DSS-AES256-SHA DHE-RSA-CAMELLIA256-SHA TLS-1-2-Strict 兼容性一般,安全性高。 TLS 1.2 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES128-GCM-SHA256 AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 TLS-1-0-WITH-1-3 兼容性最好,安全性低。 TLS 1.3 TLS 1.2 TLS 1.1 TLS 1.0 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES128-GCM-SHA256 AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA ECDHE-ECDSA-AES256-SHA AES128-SHA AES256-SHA TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_CCM_SHA256 TLS_AES_128_CCM_8_SHA256 TLS-1-2-FS-WITH-1-3 兼容性较好,安全性最高。 TLS 1.3 TLS 1.2 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_CCM_SHA256 TLS_AES_128_CCM_8_SHA256 TLS-1-2-FS 兼容性一般,安全性最高。 TLS 1.2 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 hybrid-policy-1-0 兼容性较好,安全性中。 TLS 1.2 TLS 1.1 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES128-GCM-SHA256 AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA ECDHE-ECDSA-AES256-SHA AES128-SHA AES256-SHA ECC-SM4-SM3 ECDHE-SM4-SM3 tls-1-2-strict-no-cbc 兼容性一般,安全性高。 TLS 1.2 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 上述列表为ELB支持的加密套件,同时客户端也支持多个加密套件,这样在实际使用时,加密套件的选择范围为:ELB和客户端支持的加密套件的交集,加密套件的选择顺序为:ELB支持的加密套件顺序。
  • 约束与限制 开启“获取客户端IP”之后,不支持同一台服务器既作为后端服务器又作为客户端的场景。 如果后端服务器和客户端使用同一台服务器,且开启“获取客户端IP”,则后端服务器会根据报文源IP为本地IP判定该报文为本机发出的报文,无法将应答报文返回给ELB,最终导致回程流量不通。 开启此功能后,执行后端服务器迁移任务时,可能出现流量中断(例如单向下载、推送类型的流量)。所以后端服务器迁移完成后,需要通过报文重传来恢复流量。 通过跨VPC后端功能添加的后端服务器,默认开启的获取客户端IP功能会失效。请使用TOA模块获取客户端IP地址。
  • 证书格式要求 在创建证书时,您可以直接输入证书内容或上传证书文件。 如果是通过根证书机构颁发的证书,您拿到的证书是唯一的一份,不需要额外的证书,配置的站点即可被浏览器等访问设备认为可信。 服务器证书、CA证书的“证书内容”格式均需按以下要求。 服务器SM双证书中的“SM签名证书内容”和“SM加密证书内容”格式均需按以下要求。 证书内容格式为: 以“-----BEGIN CERTIFICATE-----”作为开头,“-----END CERTIFICATE-----”作为结尾。 每行64字符,最后一行不超过64字符。 证书之间不能有空行。 示例如下: -----BEGIN CERTIFICATE----- Base64–encoded certificate -----END CERTIFICATE-----
  • 使用证书的注意事项 同一个证书在负载均衡器上只需上传一次,可以使用在多个负载均衡器实例中。 如果创建的服务器证书用于SNI,则需要指定域名,且指定的域名必须与证书中的域名保持一致。一个证书可以指定 多个域名 。 默认情况下,一个监听器每种类型的证书只能绑定一个,但是一个证书可以被多个监听器绑定。如果监听器开启了SNI功能,则支持绑定多个服务器证书。 负载均衡器只支持原始证书,不支持对证书进行加密。 可以使用自签名的证书,使用自签名证书和第三方机构颁发的证书对负载均衡器无区别,但是使用自签名证书会存在安全隐患,建议客户使用权威机构颁发的证书。 负载均衡器只支持PEM格式的证书,其它格式的证书需要转换成PEM格式后,才能上传到负载均衡。 ELB不会自动选择未过期的证书,如果您有证书过期了,需要手动更换或者删除证书。
  • 私钥格式要求 在创建服务器证书或服务器SM双证书时,您也需要上传证书的私钥。您可直接输入私钥文件内容或上传符合格式的私钥文件。 服务器SM双证书中的“SM签名证书私钥”和“SM加密证书私钥”格式均需按以下要求。 需注意必须是无密码的私钥,私钥内容格式为: 符合PEM格式,如下示例: 以“-----BEGIN RSA PRIVATE KEY-----”作为开头,“-----END RSA PRIVATE KEY-----” 作为结尾。 以“-----BEGIN EC PRIVATE KEY-----”作为开头,“-----END EC PRIVATE KEY-----” 作为结尾。 私钥之间不能有空行,并且每行64字符,最后一行不超过64字符。 示例如下: -----BEGIN RSA PRIVATE KEY----- [key] -----END RSA PRIVATE KEY-----
  • 操作场景 负载均衡实例的监听器绑定后端服务器组后,才能正常转发访问请求。 本章节指导用户创建可关联至共享型负载均衡使用的后端服务器组。 您可通过三种方式为负载均衡实例创建后端服务器组,详见表1 创建后端服务器组指引。 表1 创建后端服务器组指引 创建场景 创建步骤 独立创建后端服务器组并关联至负载均衡实例使用 操作步骤。 添加监听器时,选择“新创建”后端服务器组。 用户可根据使用需求添加不同协议的监听器,详情见什么是监听器。 具体添加步骤如下: 添加TCP监听器。 添加UDP监听器。 添加HTTP监听器。 添加HTTPS监听器。 更换监听器的后端服务器组时,选择“创建后端服务器组”。 更换后端服务器组。
  • 自助诊断工具概述 弹性负载均衡自助问题诊断可以帮助您诊断健康检查异常问题,帮助您发现并解决常见问题,提升使用负载均衡的效率。实例诊断期间可能会对您指定的实例进行探测和诊断分析,不会对实例的正常配置和业务造成影响。 目前已支持对如表1所示的问题进行诊断。 自助问题诊断陆续上线中,已发布区域请参见自助问题诊断。 表1 负载均衡实例诊断说明 诊断问题 诊断说明 健康检查异常诊断 安全组规则配置:诊断后端服务器的安全组规则配置。 网络ACL规则配置:诊断后端服务器的网络ACL规则配置。 健康检查配置:诊断健康检查端口配置。 ELB计费问题 了解ELB的计费规则、变更ELB的规格和计费模式。 ELB的使用区别 了解ELB的功能特性差异。 父主题: 自助诊断工具
  • 约束与限制 此功能目前仅支持协议类型为HTTP、HTTPS的监听器。 负载均衡控制台不支持创建相同的转发策略。 一个监听器最多支持配置100条转发策略,超过配额的转发策略不生效。 配置转发策略时,请注意以下事项: 每个URL路径需要存于后端服务器(即必须是后端服务器上真实存在的路径),否则访问后端服务器时,后端服务器会返回404。 因为正则匹配采用顺序匹配的方式,只要任意规则匹配成功就结束匹配。所以配置“URL匹配规则”为“正则匹配”的多个匹配规则时,规则之间不能重叠。 不能配置URL路径完全相同的转发策略。 输入的域名总长度不能超过100个字符。 如果通过调用API接口创建了相同的转发策略,则会出现转发策略故障,此时即使把前面创建的转发策略删除,后面的转发策略依然会显示故障。将出现冲突的转发策略都删除后重新添加,即可恢复正常。
  • 操作场景 您可以通过给共享型负载均衡添加转发策略,将来自不同域名或者不同URL的请求转发到不同的后端服务器组处理。 例如:您可以通过添加转发策略,将视频、图片、音频、文本等请求分别转发到不同的后端服务器组上去处理,便于灵活的分流业务,合理的分配资源。 转发策略由转发规则和转发动作两部分组成: 支持的转发规则有:域名、URL。 HTTP监听器支持的动作类型有:转发至后端服务器组、重定向至监听器。 HTTPS监听器支持的动作类型有:转发至后端服务器组。
  • 操作场景 为了支持HTTPS数据传输加密认证,在创建HTTPS协议监听的时候需绑定证书,您可以参考本章节绑定证书。如果弹性负载均衡实例使用的证书过期或者其它原因需要更换,您可以参考本章节更换证书。 如果还有其他的服务也使用了待更换的证书,例如 Web应用防火墙 服务。请在所有服务上完成更换证书的操作,以免证书更换不全面而导致业务不可用。 弹性负载均衡的证书和私钥的更换对业务没有影响。 只有HTTPS协议的监听器才支持绑定/更换证书,TCP/UDP/HTTP协议的监听器不支持绑定/更换证书。 ELB不会自动选择未过期的证书,如果您有证书过期了,需要手动更换或者删除证书。 弹性负载均衡的证书和私钥的更换对业务没有影响。 切换证书后立即生效,已经建立的连接会继续使用老证书,新建立的连接将会使用新的证书。
  • 操作场景 本章节指导用户在后端服务器组中通过跨VPC后端添加IP地址作为后端服务器处理来自客户端的请求。 根据添加的IP地址来源不同需做不同的准备,见表1。 表1 跨VPC后端添加IP地址 ELB实例添加跨VPC后端 必做准备 添加云上其他VPC中的IP 需要先在ELB所在的VPC和云上其他VPC之间建立对等连接,然后通过跨VPC功能添加。 建立对等连接详见《虚拟私有云用户指南》。 添加云上同VPC中的IP 需要对ELB所在的VPC创建对等连接并添加对等连接路由,再通过跨VPC功能添加。 详情见《通过跨VPC后端功能添加同VPC内的服务器至ELB》。 添加云下数据中心的IP 需要先通过云专线或VPN连通云上ELB所在的VPC和云下数据中心,详见《云专线用户指南》或《 虚拟专用网络 用户指南》。
  • 修订记录 版本日期 变更说明 2024-04-02 第二十八次正式发布。 新增: 独享型操作指南。 共享型操作指南。 2023-12-28 第二十七次正式发布。 新增: 添加TLS监听器。 后端服务器组支持GRPC协议。 独享型负载均衡支持应用程序cookie的会话保持。 2023-09-21 第二十六次正式发布。 更新: 转发策略(独享型)。 高级转发策略(独享型)。 2023-08-28 第二十五次正式发布。 新增: 访问控制IP地址组。 自助诊断工具。 2023-07-18 第二十四次正式发布。 更新: HTTP/HTTPS头字段。 创建证书。 删除证书。 新增:变更可用区(独享型)。 2023-07-05 第二十三次正式发布。 更新:获取客户端真实IP(独享型)。 新增:获取客户端真实IP(共享型)。 2023-06-26 第二十二次正式发布。 新增:批量更换证书。 2023-05-25 第二十一次正式发布。 新增:转发模式介绍(独享型)。 2023-02-17 第二十次正式发布。 新增:启用和停用负载均衡器。 2023-01-31 第十九次正式发布。 修改如下: 修改公网带宽。 变更实例规格。 新增如下: 负载均衡器配置修改保护。 监听器配置修改保护。 后端服务器组。 后端服务器。 后端服务器。 2022-09-07 第十八次正式发布。 修改如下: 在创建独享型负载均衡器、创建共享型负载均衡器以及访问控制策略章节,增加负载均衡实例进行ping验证的约束限制。 2022-07-12 第十七次正式发布。 修改如下: 变更公网带宽/实例规格,修改变更规格约束。 2022-07-08 第十六次正式发布。 新增:共享型实例开启性能保障模式。 2022-06-30 第十五次正式发布。 新增如下: 添加UDP监听器,补充说明UDP监听器不支持分片包。 添加后端为QUIC协议的UDP监听器,补充说明QUIC协议的UDP监听器不支持分片包。 2022-06-25 第十四次正式发布。 新增如下:配置混合负载均衡-跨VPC后端(独享型),修改约束限制。 2022-05-30 第十三次正式发布。 新增:通过跨VPC后端功能添加同VPC内的服务器至ELB。 2022-03-30 第十八次正式发布。 新增:使用高级转发策略实现新旧版本应用平滑过渡。 2022-03-18 第十七次正式发布。 下线常见问题:弹性负载均衡器HTTP/HTTPS上传文件大小限制是多少?。 2022-03-07 第十六次正式发布。 新增:ELB对于IPv6网络的支持情况是怎样的?。 2022-02-23 第十五次正式发布。 新版UI界面支持:独享型负载均衡包年/包月计费模式、自定义健康检查返回码、自定义安全策略。 新增:退订包年/包月负载均衡器。 更新: 变更计费模式。 添加TCP监听器。 添加HTTP监听器。 添加HTTPS监听器。 TLS安全策略。 配置健康检查。 2022-02-14 第十四次正式发布。 更新:查看监控指标。 新增:日志示例。 2022-01-10 第十三次正式发布。 新增如下: 跨VPC添加云服务器至负载均衡器。 获取客户端IP。 2022-01-06 第十二次正式发布。 更新:新增独享型变更实例规格:变更实例规格(独享型)。 2021-12-09 第十一次正式发布。 更新:新增四层监听器超时时间示意图:监听器的默认超时时间是多少?。 2021-12-02 第十次正式发布。 更新:新增l7_qps_usage相关监控指标说明。 2021-10-21 第九次正式发布。 新增: ELB能否实现前端是HTTPS协议,后端也是HTTPS协议? 共享型ELB有实例规格吗? 更换证书会导致网络或者ELB连接中断吗? 2021-09-17 第十五次正式发布。 新增:HTTP/HTTPS头字段。 2021-09-02 第十四次正式发布。 优化更新:独享型负载均衡与共享型增强型弹性负载均衡的区别。 2021-07-16 第十三次正式发布。 更新:Console产品目录变更:中文“管理与部署”入口更名为“管理与监管”,英文“计算”入口更名。 2021-06-18 第十二次正式发布。 变更如下: 下线所有经典型负载均衡相关的资料。 2021-02-28 第十一次正式发布。 变更如下: 优化“监控指标说明”章节中“并发连接数”含义。 新增“后端服务器配置安全组(独享型)”。 “健康检查异常如何排查?”增加独享型ELB场景。 2020-05-30 第十次正式发布。 变更如下: 增强型负载均衡更名为共享型负载均衡。 2019-07-30 第九次正式发布。 本次变更说明如下: 新增“快速查询证书所关联的监听器”。 新增“区域和可用区”章节。 新增“权限管理”章节。 监听器新增“会话保持时间”参数。 2019-03-30 第八次正式发布。 本次变更说明如下: 监听器章节新增安全策略参数,新增安全策略章节。 新增细粒度授权章节。 优化用户指南章节。 2019-01-30 第七次正式发布。 本次变更说明如下: 监控指标说明增加七层后端返回码。 2018-12-30 第六次正式发布。 根据最新的管理控制台界面修改对应的资料描述和截图。 新增企业项目。 2018-11-30 第五次正式发布。 修改"支持的监控指标"。 配置参数新增SNI相关参数。 新增“ELB公网IP透传到后端"。 2018-10-30 第四次正式发布。 修改常见问题 "如何获得来访者的真实IP"。 2018-07-30 第三次正式发布。 新增常见问题 "如何使用HTTPS双向认证功能"。 修改 "功能对比" 。 2018-05-30 第二次正式发布。 新增常见问题 “使用UDP协议注意事项”。 2018-04-30 第一次正式发布。
  • 约束与限制 UDP监听器不支持分片包。 UDP监听器的前端端口当前不支持4789。 UDP监听器支持的最大MTU为1500,请确保与ELB通信的网卡的MTU不大于1500(有些应用程序需要根据此MTU值同步修改其配置文件),否则数据包可能会因过大被丢弃。 独享型负载均衡前端协议为“UDP”时,后端协议可以选择“UDP”或“QUIC”。 如果您的独享型负载均衡实例类型为应用型(HTTP/HTTPS),则无法创建UDP监听器。
  • 约束与限制 此功能目前仅支持协议类型为HTTP、HTTPS的监听器。 负载均衡控制台不支持创建相同的转发策略。 一个监听器最多支持配置100条转发策略,超过配额的转发策略不生效。 配置转发策略时,请注意以下事项: 每个URL路径需要存于后端服务器(即必须是后端服务器上真实存在的路径),否则访问后端服务器时,后端服务器会返回404。 因为正则匹配采用顺序匹配的方式,只要任意规则匹配成功就结束匹配。所以配置“URL匹配规则”为“正则匹配”的多个匹配规则时,规则之间不能重叠。 不能配置URL路径完全相同的转发策略。 输入的域名总长度不能超过100个字符。
  • 转发策略概述 您可以通过给独享型负载均衡添加转发策略,将来自不同域名或者不同URL的请求转发到不同的后端服务器组处理,便于灵活的分流业务,合理的分配资源。 转发策略由转发规则和转发动作两部分组成,参见表1。 表1 转发策略支持的规则与动作 策略分类 转发规则 动作 转发策略 域名、URL。 转发至后端服务器组、重定向至监听器(仅HTTP监听器支持)。 高级转发策略 域名、URL、HTTP请求方法、HTTP请求头、查询字符串、网段。 转发至后端服务器组、重定向至监听器、重定向至URL、返回固定响应、重写。 独享型负载均衡开启“高级转发策略”功能后,请参考管理高级转发策略配置高级转发策略。
  • 支持审计的关键操作列表 通过 云审计 服务,您可以记录与弹性负载均衡相关的操作事件,便于日后的查询、审计和回溯。 云审计支持的弹性负载均衡操作事件列表如表1所示。 表1 云审计服务支持的弹性负载均衡操作列表 操作名称 资源类型 事件名称 配置访问日志 logtank createLogtank 删除访问日志 logtank deleteLogtank 创建证书 certificate createCertificate 更新证书 certificate updateCertificate 删除证书 certificate deleteCertificate 创建健康检查 healthmonitor createHealthMonitor 更新健康检查 healthmonitor updateHealthMonitor 删除健康检查 healthmonitor deleteHealthMonitor 创建转发策略 l7policy createL7policy 更新转发策略 l7policy updateL7policy 删除转发策略 l7policy deleteL7policy 创建转发规则 l7rule createl7rule 更新转发规则 l7rule updateL7rule 删除转发规则 l7rule deleteL7rule 创建监听器 listener createListener 更新监听器 listener updateListener 删除监听器 listener deleteListener 创建负载均衡器 loadbalancer createLoadbalancer 更新负载均衡器 loadbalancer updateLoadbalancer 删除负载均衡器 loadbalancer deleteLoadbalancer 添加后端云服务器 member createMember 更新后端云服务器 member updateMember 移除后端云服务器 member batchUpdateMember 创建后端服务器组 pool createPool 更新后端服务器组 pool updatPool 删除后端服务器组 pool deletePool 父主题: 审计
  • 访问控制策略 您可以为监听的访问控制策略设置白名单或黑名单: 白名单:只有白名单中的IP可以访问ELB的监听器。仅转发来自所选访问控制IP地址组中设置的IP地址或网段的请求。 配置了白名单,但是不在白名单的IP也能访问后端服务器,可能的原因是该连接为长连接,需要客户端或后端服务器断开该长连接。 黑名单:黑名单中的IP禁止访问ELB的监听器。不会转发来自所选访问控制策略组中设置的IP地址或网段的请求。 访问控制只限制实际业务的流量转发,不限制ping命令操作,被限制的IP仍可以ping通后端服务器。 对于共享型负载均衡实例来说,需要创建监听器并添加后端云服务器,才可以ping通。 访问流量的IP先通过监听器访问控制策略的限制,然后转发至后端服务器,所以后端服务器安全组的规则设置不会影响负载均衡的访问控制策略。
  • 操作场景 负载均衡实例的监听器绑定后端服务器组后,才能正常转发访问请求。 独享型负载均衡支持同一个后端服务器组绑定在多个负载均衡实例的监听器上。 您可通过三种方式为负载均衡实例创建后端服务器组,详见表1。 表1 创建后端服务器组(独享型)指引 创建场景 创建步骤 独立创建后端服务器组后关联至负载均衡实例使用 操作步骤。 添加监听器时,选择“新创建”后端服务器组。 您可根据使用需求添加不同协议的监听器,详情见什么是监听器。 具体添加步骤如下: 添加TCP监听器。 添加UDP监听器。 添加HTTP监听器。 添加HTTPS监听器。 添加TLS监听器 更换监听器的后端服务器组时,选择“创建后端服务器组”。 更换后端服务器组。
  • 后端服务器组关键功能 为保证用户业务的稳定和多样化的流量转发需求,后端服务器组提供了如表3所示的关键功能可供用户配置。 表3 后端服务器组关键功能 关键功能 功能说明 功能详情 转发模式 根据后端服务器组配置的转发模式,负载均衡将切换后端服务器处理请求流量。 支持“负载均衡”和“主备转发”两种类型。 负载均衡:负载均衡器配置的流量分配策略将请求的流量分发至不同的后端服务器。 主备转发:当主机健康检查结果正常时,负载均衡将流量转发至主机;当主机健康检查结果异常时,流量将被切换至备机。 说明: 仅独享型负载均衡的后端服务器组支持选择转发模式。 后端服务器组支持选择转发模式的发布区域请参考功能总览中的主备转发模式。 转发模式介绍(独享型)。 健康检查 负载均衡器通过健康检查来判断后端服务器是否可用。 如果某个后端服务器健康检查异常,负载均衡器将不会把流量转发给异常后端服务器,从而提升了业务的可靠性。 健康检查介绍。 流量分配策略 负载均衡器按照后端服务器组配置的流量分配策略对请求的流量进行分发。 流量分配策略介绍。 会话保持 开启会话保持后,负载均衡器将属于同一个会话的请求都转发到固定的后端服务器进行处理,避免了客户端重复登录后端服务器。 会话保持介绍。 慢启动 慢启动指负载均衡器向组内新增的后端服务器线性增加请求分配权重的启动模式。 当配置慢启动时间结束,负载均衡向后端服务器发送完整比例的流量请求,实现业务的平滑启动。 说明: 仅独享型负载均衡支持HTTP和HTTPS类型的后端服务器组开启慢启动功能。 慢启动介绍(独享型)。 全端口转发 开启全端口转发后,后端服务器组添加后端服务器时无需指定后端端口,监听器将按照前端请求端口转发流量至后端服务器对应的端口。 说明: 仅独享型负载均衡支持TCP、UDP和QUIC类型的后端服务器组开启全端口转发功能。 -
  • 后端服务器组创建指引 后端服务器组独立创建后仅可关联至前端协议与后端协议匹配的监听器使用,监听器与后端服务器组的前端/后端协议匹配关系详见表4。 您有多种方式创建后端服务器组,详见表5。 表4 前端/后端协议匹配关系 监听器的前端协议 后端服务器组的后端协议 TCP TCP UDP UDP QUIC TLS TLS TCP HTTP HTTP HTTPS HTTP HTTPS GRPC 表5 后端服务器组创建指引 弹性负载均衡类型 约束与限制 后端服务器组创建方法 独享型负载均衡 支持将一个后端服务器组关联至多个负载均衡实例和监听器使用。 弹性负载均衡实例需归属同一企业项目。 创建后端服务器组。
  • 后端服务器组简介 后端服务器组是一个或多个后端服务器的逻辑集合,用于将客户端的流量转发到一个或多个后端服务器,满足用户同时处理海量并发业务的需求。后端服务器可以是云服务器实例、辅助弹性网卡或IP地址。 后端服务器组参与流量转发过程如表1: 表1 后端服务器组参与流量转发过程 步骤一 来自客户端的请求先传入负载均衡器,再经由负载均衡器上的监听器转发到后端服务器组。 步骤二 后端服务器组中健康检查正常的后端服务器处理转发的业务请求。 步骤三 实现同时对用户的海量并发业务进行处理,从而提升用户应用系统的可用性。 独享型负载均衡器使用的后端服务器组分为混合类型和IP类型,混合类型支持添加云服务器实例、辅助弹性网卡和IP地址作为后端服务器,IP类型仅支持添加IP地址作为后端服务器。 图1展示了不同类型后端服务器组的使用架构,详细的对比说明见表2。 图1 后端服务器组使用架构图 表2 后端服务器组分类及说明 后端服务器组类型 可添加后端服务器分类 举例说明 操作指导 混合类型 支持直接添加与负载均衡器同VPC的云服务器实例(E CS 和BMS)和辅助弹性网卡作为后端服务器。 开启跨VPC后端功能后,也支持添加云上其他VPC和云下数据中心的IP地址作为后端服务器。 如图1所示: 后端服务器组A可添加与负载均衡器在同一 虚拟私有云VPC 1中的弹性云服务器(ECS)和辅助弹性网卡(Supplementary Network Interface)作为后端云服务器。 后端服务器组B中可跨VPC添加VPC2中的IP地址作为后端服务器。 添加后端云服务器。 添加辅助弹性网卡。 添加跨VPC后端。 IP类型 开启跨VPC后端功能后,支持添加云上或云下数据中心的IP地址作为后端服务器。 如图1,后端服务器组C可添加IP地址作为后端服务器。 添加跨VPC后端。
  • 审计日志示例 创建负载均衡器 request {"loadbalancer":{"name":"elb-test-zcy","description":"","tenant_id":"05041fffa40025702f6dc009cc6f8f33","vip_subnet_id":"ed04fd93-e74b-4794-b63e-e72baa02a2da","admin_state_up":true}} code 201 source_ip 124.71.93.36 trace_type ConsoleAction event_type system project_id 05041fffa40025702f6dc009cc6f8f33 trace_id b39b21a1-8d49-11ec-b548-2be046112888 trace_name createLoadbalancer resource_type loadbalancer trace_rating normal api_version v2.0 service_type ELB response {"loadbalancer": {"description": "", "provisioning_status": "ACTIVE", "provider": "vlb", "project_id": "05041fffa40025702f6dc009cc6f8f33", "vip_address": "172.18.0.205", "pools": [], "operating_status": "ONLINE", "name": "elb-test-zcy", "created_at": "2022-02-14T03:53:39", "listeners": [], "id": "7ebe23cd-1d46-4a49-b707-1441c7f0d0d1", "vip_port_id": "5b36ff96-3773-4736-83cf-38c54abedeea", "updated_at": "2022-02-14T03:53:41", "tags": [], "admin_state_up": true, "vip_subnet_id": "ed04fd93-e74b-4794-b63e-e72baa02a2da", "tenant_id": "05041fffa40025702f6dc009cc6f8f33"}} resource_id 7ebe23cd-1d46-4a49-b707-1441c7f0d0d1 tracker_name system time 2022/02/14 11:53:42 GMT+08:00 resource_name elb-test-zcy record_time 2022/02/14 11:53:42 GMT+08:00 request_id user {"domain": {"name": "CBUInfo", "id": "0503dda87802345ddafed096d70a960"}, "name": "zcy", "id": "09f106afd2345cdeff5c009c58f5b4a"} 删除负载均衡器 request code 204 source_ip 124.71.93.36 trace_type ConsoleAction event_type system project_id 05041fffa40025702f6dc009cc6f8f33 trace_id 4f838bbf-8d4a-11ec-a1fe-1f93fdaf3bec trace_name deleteLoadbalancer resource_type loadbalancer trace_rating normal api_version v2.0 service_type ELB response {"loadbalancer": {"listeners": [], "vip_port_id": "5b36ff96-3773-4736-83cf-38c54abedeea", "tags": [], "tenant_id": "05041fffa40025702f6dc009cc6f8f33", "admin_state_up": true, "id": "7ebe23cd-1d46-4a49-b707-1441c7f0d0d1", "operating_status": "ONLINE", "description": "", "pools": [], "vip_subnet_id": "ed04fd93-e74b-4794-b63e-e72baa02a2da", "project_id": "05041fffa40025702f6dc009cc6f8f33", "provisioning_status": "ACTIVE", "name": "elb-test-zcy", "created_at": "2022-02-14T03:53:39", "vip_address": "172.18.0.205", "updated_at": "2022-02-14T03:53:41", "provider": "vlb"}} resource_id 7ebe23cd-1d46-4a49-b707-1441c7f0d0d1 tracker_name system time 2022/02/14 11:58:03 GMT+08:00 resource_name elb-test-zcy record_time 2022/02/14 11:58:03 GMT+08:00 request_id user {"domain": {"name": CBUInfo", "id": "0503dda87802345ddafed096d70a960"}, "name": "zcy", "id": "09f106afd2345cdeff5c009c58f5b4a"}
  • 操作场景 为了确保负载均衡器与后端服务器进行正常通信和健康检查正常,添加后端服务器后必须检查后端服务器所在的安全组规则和网络ACL规则。 后端服务器的安全组规则必须放通源地址为ELB后端子网所属网段。默认情况下,ELB后端子网与ELB所在子网一致。查看如何配置安全组规则。 网络ACL为子网级别的可选安全层,若ELB的后端子网关联了网络ACL规则,网络ACL规则必须配置允许源地址为ELB后端子网所属网段。查看如何配置网络ACL规则。 若独享型ELB实例未开启“跨VPC后端”功能,ELB四层监听器转发的流量将不受安全组规则和网络ACL规则限制,安全组规则和网络ACL规则无需额外放通。 建议您使用监听器的访问控制功能对访问IP进行限制,详情请参考访问控制策略。
共100000条