慎选监听配置的高级配置 “开启会话保持”功能,单机测试负截均衡,看不到调度IP切换效果
负载均衡从诞生到现在也随着网络业务的变化而不断的进化,逐渐发展成为现在云化的负载均衡形态。让我们先来看一下负载均衡的“进化史”
互联网业务初期发展阶段
业务特点:此时互联网业务还处于拓新阶段,互联网企业不够壮大,其网络业务集中在运营商或者大型IDC侧进行管理,需要集中处理大量访问流量。此时需要性能和稳定性都很强的负载均衡方案。
硬件负载均衡设备在此时应运而生,它们有专业的维护团队,很高的硬件性能,以及稳定可靠的业务保证。
但是由于和物理硬件强相关,对于用户来说,其投资昂贵,需要预先预测出自己的业务发展量来进行投资,在业务发展初期的投资很容易出现浪费;其次就是扩展难,硬件的采购,安装是有一个比较长的周期的,难以达到随业务扩展的需求;最后就是运维难,需要一个专业的团队来运维,故障恢复周期取决于故障本身的恢复难度和团队的专业水平。
互联网业务高速发展阶段
业务特点:随着互联网企业的高速崛起,对于这些企业来说,竞争异常激烈,需要经常快速的调整业务以满足客户的需求。
软件化的负载均衡在此时应运而生,典型的如LVS和Nginx,LVS主要负责四层的负载均衡,Nginx主要负责七层的负载均衡。其中LVS使用Linux内核集群实现负载均衡服务器。应用范围比较广,因为其工作在4层,所以它几乎可以对所有应用做负载均衡,包括http、数据库、在线聊天室等等;Nginx工作在七层,可针对http做分流策略,适合轻量级的Web 服务
软件化的负载均衡让客户可以灵活的部署并且调整业务,但是由于这些大部分还是客户自己部署的,因此客户在部署的时候还是要去考虑和硬件性能的配套,性能难以扩展,同时负载均衡本身可靠性方案的部署,后续的功能和容量的扩展等问题都需要去思考兼顾,无法做到真正的随心所欲部署。
业务全面上云阶段
业务特点:业务的云化已经是大势所趋,云化带给了企业前所未有的“网络随业务而动”的体验,用户在规划网络的时候不再去考虑企业业务发展对网络的要求是什么,而仅仅去关注业务发展本身就可以了,网络是可以随着业务发展而不断弹性变化的。
在这样的阶段,对负载均衡提出了新的要求,在满足企业高性能,高安全要求的前提下,要能随着企业的发展而自主的随时弹性伸缩,时刻与企业业务相匹配,同时对于网络不断涌现的新业务要能做到全面的支持。
阿里云的SLB负载均衡是如何满足业务发展需求的呢?
我们首先来看看双十一和新冠期间阿里云负载均衡的优秀表现。
阿里云负载均衡SLB产品已多年承载阿里巴巴集团双十一购物狂欢节的网络巅峰流量,刚刚过去的2019年双十一,集团所有核心系统上云,全面由公共云SLB承载,峰值流量1.22 Tbps,并发连接数3.38亿,每秒处理2.89亿数据包 , 每秒新建416万条链接。
今年新冠肺炎疫情期间,负载均衡SLB更为钉钉提供了5.12T 带宽、8亿并发,及 16亿pps 的容量保障,全力助力钉钉上1000万家企业的在线开工,为直播上课、视频会议、群直播的顺畅访问提供有力支撑,保障了全国5000万学生“在家上课”低延迟、流量的体验。
阿里云负载均衡不断引领的技术优势,保证了其对这样大流量业务的强力支撑,我们接下来就来剖析一下阿里云负载均衡持续进化的技术内涵:
- 100G网络进化,经历了Kernel LVS到DPDK版LVS带来的性能大幅提升后,单纯DPDK LVS已无法满足100G网络的性能需求,通过软硬件结合的技术,对最新的100G网卡硬件特性进行了深度定制,大象流业务完全由硬件处理,满足了SLB产品对单流性能以及整体能力的需求。
- 基于洛神2.0的NFV平台架构,为用户提供更高级的弹性预热、更快速的特性迭代、流量调度能力和超大的弹性能力,SLB整体容量不再受限于SLB硬件资源,依托阿里云ECS提供的强大计算能力,超大型实例规格已经为多个顶级客户提供服务。
- SSL处理能力进一步升级,通过集成最新一代的Intel QuickAssist Technology硬件加速能力,不仅能够满足超大弹性能力带来的SSL卸载需求,同时支持了业界最新的TLS 1.3等安全协议规范。
- 原生集成容器服务。阿里云容器服务 Kubernetes 版提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。在云原生领域,基于阿里云容器领域的持续积累,不管是在Kubernetes专有版、托管版还是Serverless版本,都支持SLB负载均衡的无缝集成,Kubernetes API Server通过SLB提供了全局访问能力,对于用户业务需要的服务和路由,无需通过控制台或OpenAPI手动创建负载均衡SLB,通过容器Kubernetes控制台管理界面、Kubernetes Dashboard甚至kubectl命令行工具或YAML配置文件,以Kubernetes原生的方式,完全无需感知SLB,即可自动完成SLB的创建和使用。容器服务的 SLB 方案支持原生的阿里云高可用负载均衡,可以自动完成网络配置的修改和更新。该方案经历了大量用户长时间的使用,稳定性和可靠性大大超过用户自建的入口实现。
- 原生支持服务网格Service Mesh。阿里云服务网格是一个托管式的微服务应用流量统一管理平台,兼容Istio,支持多个Kubernetes集群统一流量管理,为容器和虚拟机应用服务提供一致性的通信控制。整合阿里云容器服务、网络互连和安全能力,打造云端最佳服务网格环境,为每个微服务提供一致的流量控制和可观测能力。不管是阿里云服务网格,还是阿里云容器服务Kubernetes版本中支持的Istio,都实现了和负载均衡SLB的全面集成,不管是Istio虚拟服务还是服务网关,都可以自动通过负载均衡SLB提供负载均衡高可用能力。
- 除了支持Kubernetes的云原生生态,负载均衡SLB还能够支持阿里云弹性容器实例ECI,阿里云弹性容器实例(Elastic Container Instance)是 Serverless 和容器化的弹性计算服务。您无需管理底层 ECS 服务器,只需要提供打包好的镜像,即可运行容器,并仅为容器实际运行消耗的资源付费。不管是自建Kubernetes,还是直接使用ECI实例,负载均衡SLB都支持ECI的直接挂载,使用控制台或OpenAPI操作即可使用。
SLB同时支持多种组网方式,目前已全面支持IPv6网络,并支持各种混合云场景,通过专线连接的线下IDC,通过CEN连接的跨地域甚至跨越大洋的云企业网,都可以通过SLB挂载,统一对外提供服务。在云原生领域,阿里云容器服务开源了所有和阿里云网络包括负载均衡SLB集成的相关代码和解决方案,自建方案也同样可以达到无缝集成负载均衡SLB的能力,另外通过SLB支持的混合云部署能力,可以做到各种异构网络和环境的线上和线下全打通。
入门概述
更新时间:2020-01-21 14:01:07
编辑我的收藏 本页目录本教程指引您快速创建一个公网负载均衡实例,将来自客户端的请求转发到两台后端ECS上。
说明 在开始搭建负载均衡服务前,您需要确定负载均衡实例的地域、类型、付费模式等配置,详情请参见准备工作。 本教程包含以下操作:- 创建负载均衡实例
创建负载均衡实例。负载均衡实例是一个运行的负载均衡服务实体。
- 添加监听和后端服务器
配置负载均衡实例,添加监听规则和后端服务器。
- 域名解析(可选)
使用云解析服务将一个域名解析到负载均衡的服务地址上,提供服务。
- 删除负载均衡实例
如果您不需要负载均衡服务了,为避免不必要的计费,可以将其删除。
视频教程
准备工作
更新时间:2020-09-29 13:46:19
编辑我的收藏 本页目录在使用负载均衡前,您需要根据您的业务确定负载均衡的监听类型和网络类型等。
规划实例地域
在选择地域时,请注意:
- 为了减少延迟并提高下载速度,建议选择离您客户最近的地域。
- 为了提供更加稳定可靠的服务,阿里云负载均衡已在大部分地域提供主备可用区,实现同地域下的跨机房容灾。建议您选择提供主备可用区的地域。
- 由于负载均衡不支持跨地域部署,因此应选择与后端ECS实例相同的地域。
选择实例的网络类型(公网或私网)
负载均衡提供面向公网和内网的负载均衡服务:
- 如果您需要使用负载均衡分发来自公网的请求,选择创建公网负载均衡实例。
公网负载均衡实例提供一个公网IP,用来接收来自Internet的请求。
对于公网负载均衡实例,您还需要选择实例的计费方式:- 按流量计费:适用于波峰波谷效应明显的业务。
- 按带宽计费:适用于带宽较为平稳的业务。
- 如果您需要使用负载均衡分发来自内网的请求,选择创建私网负载均衡实例。
私网负载均衡实例仅提供阿里云私网IP,只能通过阿里云内部网络访问该负载均衡服务,无法从Internet访问。
选择实例规格
负载均衡于2018年4月1日推出了性能保障型实例,您可以独享已购实例的资源,更好地保障服务的可用性。负载均衡提供六种实例规格供您选择:
- 对于按量付费实例,建议您直接选择可以买到的最大规格,这样可以保证业务的灵活性(弹性),且不会让您额外多付出成本。但如果您认为您的业务量不太可能到达超强型I(slb.s3.large),也可以设置一个合理的弹性上限,比如高阶型II(slb.s3.medium)。
- 对于预付费实例,您需要评估您的实际业务量,然后选择一个较合适的规格,对于业务量评估来说,主要参考下面几个原则:
- 如果是四层监听,关注的重点是长连接的并发连接数,那么最大(并发)连接数应当作为一个关键指标来参考。根据不同的业务场景,您需要预估一个负载均衡实例需要承载的最大并发连接数,并选择相应的规格。
- 如果是七层监听,关注的重点是QPS的性能,QPS决定了一个七层应用系统的吞吐量。同样,您也需要根据经验对QPS进行预估。在初步选定一个规格后,在业务压测和实测过程中对规格进行微调。
- 结合与性能保障型实例一起推出的其它关键监控指标,查看实际业务流量的走势、峰值情况,对性能规格进行更加精确的选取。
选择协议类型
阿里云提供基于四层(TCP协议和UDP协议)和七层(HTTP协议和HTTPS协议)的应用的负载均衡:
- 四层监听将请求直接转发给后端服务器,不会修改报头。客户端请求到达负载均衡监听后,负载均衡服务器会使用监听中配置的后端端口与后端服务器建立TCP连接。
- 七层监听原理上是反向代理的一种实现。客户端请求到达负载均衡监听后,负载均衡服务器会通过与后端服务器建立TCP连接,即再次通过新TCP连接HTTP协议访问后端,而不是直接转发报文到后端ECS。
由于七层监听比四层监听在底层实现上多了一个Tengine处理环节,因此,七层监听性能没有四层好。此外,客户端端口不足、后端服务器连接过多等场景也可能导致七层服务性能不高,如果您对性能有很高的要求,建议您使用四层监听。
更多详细信息,参见协议说明。
准备后端服务器
在使用负载均衡服务前,您需要创建ECS实例并部署相关应用,然后将ECS实例添加到负载均衡实例中来处理转发的客户端请求。
创建ECS时,请注意:- ECS实例的地域和可用区
确保ECS实例的地域和负载均衡实例的地域相同。此外,建议您将ECS部署在不同的可用区内,提高可用性,ECS实例的创建详情请参见使用向导创建实例。
本教程中,在华东1地域创建了两个ECS实例,为了便于辨识,将实例分别命名为ECS01和ECS02,如下图所示。 - 应用配置
本教程中,分别在ECS01和ECS02两个实例上使用Apache搭建了两个静态网页,如下图所示。
在ECS上部署好应用后,不需要再进行特别的配置。但如果您要配置一个四层监听(TCP协议或UDP协议),并且ECS使用的是Linux系统,确保ECS实例上/etc/sysctl.conf目录下net.ipv4.conf文件中的以下三个参数的值为零:
net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0
创建负载均衡实例
更新时间:2020-08-21 17:56:23
编辑我的收藏 本页目录本文介绍如何创建一个公网负载均衡实例。负载均衡实例创建后,系统会自动分配一个服务地址,您可以将您的域名解析到该负载均衡实例的服务地址。
背景信息
一个负载均衡实例可以添加多个监听和后端服务器。操作步骤
域名解析
更新时间:2019-06-21 13:51:01
编辑我的收藏 本页目录域名解析是域名和IP地址相互映射的分布式数据库,阿里云负载均衡支持将域名解析到负载均衡实例的公网服务地址上,提供服务,更加方便的访问互联网。
背景信息
例如,您网站的域名为www.abc.com,运行在公网IP地址为1.1.1.1的ECS实例上。创建负载均衡实例后,系统分配的负载均衡实例的公网IP地址为2.2.2.2。您需要将ECS实例添加到负载均衡实例的后端服务器池,并将域名www.abc.com解析到2.2.2.2。通常情况下,建议您使用A记录解析(即将域名解析到一个IP地址)即可。操作步骤
- 登录域名解析控制台。
- 单击添加域名,添加您的域名。
- 在域名解析页面,单击目标域名操作列下的解析设置, 根据设置域名解析中的步骤完成域名解析设置。
释放负载均衡实例
更新时间:2020-08-21 17:55:27
编辑我的收藏 本页目录您可以根据需要删除负载均衡实例,避免不必要的计费。删除负载均衡实例不会删除后端ECS,也不会影响后端ECS的运行。
背景信息
说明- 如果您已经将一个域名解析到负载均衡实例的公网服务地址,在释放负载均衡实例之前,需要先将该域名解析到另外一个负载均衡实例的公网服务地址,避免业务中断。
- 只能释放按量计费的负载均衡实例。包年包月实例在到期后若未按时续费会自动释放。
- 释放负载均衡实例不会影响后端ECS的运行。您可以根据需要释放ECS。
操作步骤
网络流量路径说明
更新时间:2020-10-27 13:50:34
编辑我的收藏 本页目录负载均衡作为流量转发服务,将来自客户端的请求通过负载均衡集群转发至后端服务器,后端服务器再将响应通过内网返回给负载均衡。
入网流量路径
对于入网流量,负载均衡会根据用户在控制台或API上配置的转发策略,对来自前端的访问请求进行转发和处理,数据流转如下图所示。
图 1. 入网流量路径- TCP/UDP协议和HTTP/HTTPS协议的流量都需要经过LVS集群进行转发。
- LVS集群内的每一台节点服务器均匀地分配海量访问请求,并且每一台节点服务器之间都有会话同步策略,以保证高可用。
- 如果相应的负载均衡实例服务端口使用的是四层协议(TCP或UDP),那么LVS集群内每个节点都会根据负载均衡实例的负载均衡策略,将其承载的服务请求按策略直接分发到后端ECS服务器。
- 如果相应的负载均衡实例服务端口使用的是七层HTTP协议,那么LVS集群内每个节点会先将其承载的服务请求均分到Tengine集群,Tengine集群内的每个节点再根据负载均衡策略,将服务请求按策略最终分发到后端ECS服务器。
- 如果相应的负载均衡实例服务端口使用的是七层HTTPS协议,与上述HTTP处理过程类似,差别是在按策略将服务请求最终分发到后端ECS服务器前,先调用Key Server进行证书验证及数据包加解密等前置操作。
出网流量路径
负载均衡SLB和后端ECS之间是通过内网进行通信的。- 如果ECS仅仅处理来自负载均衡的请求,可以不购买公网带宽(ECS、公网IP、弹性公网IP、NAT网关等)。 说明 早期创建的一些ECS上直接分配了公网IP(ipconfig中可见接口上分配的公网IP地址),此类ECS如果仅通过SLB对外提供服务,即便在公网接口(网卡)上看到有流量统计,也不会产生ECS的公网费用。
- 如果需要直接通过后端ECS对外提供服务,或后端ECS有访问外网的需求,那么需要相应的配置或购买ECS、公网IP、弹性公网IP、NAT网关等服务。
ECS的公网流量访问路径如下图所示。
图 2. 出网流量路径总体原则:流量从哪里进来,就从哪里出去。
- 通过负载均衡进入的流量在负载均衡SLB上限速或计费,仅收取出方向流量费用,入方向流量不收取(在未来可能会改变),SLB到ECS之间是阿里云内网通信,不收取流量费用。
- 来自弹性公网IP或NAT网关的流量,分别在弹性公网IP或NAT网关上进行限速或计费。如果在购买ECS时选择了公网带宽,限速/计费点在ECS上。
- 负载均衡SLB仅提供被动访问公网的能力,即后端ECS只能在收到通过负载均衡SLB转发来的公网的请求时,才能访问公网回应该请求,如后端ECS希望主动发起公网访问,则需要配置或购买ECS公网带宽、弹性公网IP或NAT网关来实现。
- ECS公网带宽(购买ECS时配置)、弹性公网IP、NAT网关均可以实现ECS的双向公网访问(访问或被访问),但没有流量分发和负载均衡的能力。
监听概述
更新时间:2020-07-30 09:19:24
编辑我的收藏创建负载均衡实例后,您需要为实例配置监听。负载均衡实例监听负责检查连接请求,然后根据调度算法定义的转发策略将请求流量分发至后端服务器。
负载均衡提供四层(TCP/UDP协议)和七层(HTTP/HTTPS协议)监听,您可根据应用场景选择监听协议:
协议 说明 使用场景 TCP - 面向连接的协议,在正式收发数据前,必须和对方建立可靠的连接
- 基于源地址的会话保持
- 在网络层可直接看到来源地址
- 数据传输快
- 适用于注重可靠性,对数据准确性要求高,速度可以相对较慢的场景,如文件传输、发送或接收邮件、远程登录
- 无特殊要求的Web应用
详情请参见添加TCP监听。
UDP - 面向非连接的协议,在数据发送前不与对方进行三次握手,直接进行数据包发送,不提供差错恢复和数据重传
- 可靠性相对低;数据传输快
关注实时性而相对不注重可靠性的场景,如视频聊天、金融实时行情推送。
详情请参见添加UDP监听。
HTTP - 应用层协议,主要解决如何包装数据
- 基于Cookie的会话保持
- 使用X-Forward-For获取源地址
需要对数据内容进行识别的应用,如Web应用、小的手机游戏等。
详情请参见添加HTTP监听。
HTTPS - 加密传输数据,可以阻止未经授权的访问
- 统一的证书管理服务,用户可以将证书上传到负载均衡,解密操作直接在负载均衡上完成
需要加密传输的应用。
详情请参见添加HTTPS监听。
添加TCP监听
更新时间:2020-09-04 15:21:27
编辑我的收藏 本页目录TCP协议适用于注重可靠性、对数据准确性要求高和速度可以相对较慢的场景,如文件传输、发送或接收邮件和远程登录等。您可以添加一个TCP监听转发来自TCP协议的请求。
前提条件
您已经创建负载均衡实例,详情请参见创建负载均衡实例。
步骤一:打开监听配置向导
完成以下操作,打开监听配置向导。
步骤二:配置协议监听
完成以下操作, 配置协议监听。
步骤三:添加后端服务器
添加处理前端请求的后端服务器。您可以使用实例配置的默认服务器组,也可以为监听配置一个虚拟服务器组或主备服务器组。详情请参见后端服务器概述。
本操作中,以默认后端服务器组为例。
步骤四:配置健康检查
负载均衡通过健康检查来判断后端服务器(ECS实例)的业务可用性。健康检查机制提高了前端业务整体可用性,避免了后端ECS异常对总体服务的影响。单击修改更改健康检查配置,详情请参见健康检查概述。
步骤五:提交配置
完成以下操作,确认监听配置。
相关文档
添加HTTP监听
更新时间:2020-10-13 10:36:29
编辑我的收藏 本页目录HTTP协议适用于需要对数据内容进行识别的应用,如Web应用和小的手机游戏等。您可以添加一个HTTP监听转发来自HTTP协议的请求。
前提条件
您已经创建负载均衡实例,详情请参见创建负载均衡实例。
步骤一:打开监听配置向导
完成以下操作,打开监听配置向导。
步骤二:配置协议监听
完成以下操作, 配置协议监听:
步骤三:添加后端服务器
添加处理前端请求的后端服务器。您可以使用实例配置的默认服务器组,也可以为监听配置一个虚拟服务器组或主备服务器组。详情请参见后端服务器概述。
本操作中,以默认后端服务器组为例:
步骤四:配置健康检查
负载均衡通过健康检查来判断后端服务器(ECS实例)的业务可用性。健康检查机制提高了前端业务整体可用性,避免了后端ECS异常对总体服务的影响。单击修改更改健康检查配置,详情请参见健康检查概述。
步骤五:提交配置
完成以下操作,确认监听配置。
相关文档
- 添加ECS实例作为默认服务器
- 配置健康检查
- 添加ECS实例作为虚拟服务器
- 添加ECS实例作为主备服务器
- 访问控制概述
- 基于域名或URL路径进行转发
- 概述
- CreateLoadBalancerHTTPListener
添加HTTPS监听
更新时间:2020-03-25 14:06:39
编辑我的收藏 本页目录HTTPS协议适用于需要加密传输的应用。您可以添加一个HTTPS监听转发来自HTTPS协议的请求。
前提条件
您已经创建负载均衡实例,详情请参见创建负载均衡实例。
步骤一:打开监听配置向导
完成以下操作,打开监听配置向导:
步骤二:配置协议监听
完成以下操作, 配置协议监听:
步骤三:配置SSL证书
添加HTTPS监听,您需要上传服务器证书或CA证书和选择TLS安全策略,如下表所示。
注意 目前阿里云负载均衡支持如下公钥算法:- RSA 1024
- RSA 2048
- RSA 4096
- ECDSA P-256
- ECDSA P-384
- ECDSA P-521
在上传证书前,请注意:证书 说明 单向认证是否需要 双向认证是否需要 服务器证书 用来证明服务器的身份。 用户浏览器用来检查服务器发送的证书是否是由自己信赖的中心签发的。
是 服务器证书需要上传到负载均衡的证书管理系统。
是 服务器证书需要上传到负载均衡的证书管理系统。
客户端证书 用来证明客户端的身份。 用于证明客户端用户的身份,使得客户端用户在与服务器端通信时可以证明其真实身份。您可以用自签名的CA证书为客户端证书签名。
否 是 需要客户端进行安装。
CA 证书 服务器用CA证书验证客户端证书的签名。如果没有通过验证,拒绝连接。 否 是 CA证书需要上传到负载均衡的证书管理系统。
TLS安全策略 仅性能保障型实例支持选择使用的TLS安全策略。 TLS安全策略包含HTTPS可选的TLS协议版本和配套的加密算法套件,具体说明请参见管理TLS安全策略。
是 是 - 上传的证书格式必须是PEM。
- 证书上传到负载均衡后,负载均衡即可管理证书,不需要在后端ECS上绑定证书。
- 因为证书的上传、加载和验证都需要一些时间,所以使用HTTPS协议的实例生效也需要一些时间。一般一分钟后就会生效,最长不会超过三分钟。
- HTTPS监听使用的ECDHE算法簇支持前向保密技术,不支持将DHE算法簇所需要的安全增强参数文件上传,即PEM证书文件中含
BEGIN DH PARAMETERS
字段的字串上传。更多详细信息,请参见证书要求。 - 目前性能保障型负载均衡实例HTTPS监听支持SNI,具体请参见添加扩展域名。
- HTTPS监听的会话ticket保持时间设置为300秒。
- HTTPS监听实际产生的流量会比账单流量更多一些,因为会使用一些流量用于协议握手。
- 在新建连接数很高的情况下,会占用较大的流量。
步骤四:添加后端服务器
添加处理前端请求的后端服务器。您可以使用实例配置的默认服务器组,也可以为监听配置一个虚拟服务器组或主备服务器组。详情请参见后端服务器概述。
本操作中,以默认后端服务器组为例:
步骤五:配置健康检查
负载均衡通过健康检查来判断后端服务器(ECS实例)的业务可用性。健康检查机制提高了前端业务整体可用性,避免了后端ECS异常对总体服务的影响。单击修改更改健康检查配置,详情请参见健康检查概述。
步骤六:提交配置
完成以下操作,确认监听配置。
相关文档
- 添加ECS实例作为默认服务器
- 添加ECS实例作为虚拟服务器
- 添加ECS实例作为主备服务器
- 访问控制概述
- 基于域名/URL路径进行转发
- 添加扩展域名
- CreateLoadBalancerHTTPSListener
概述
更新时间:2019-09-20 20:08:01
编辑我的收藏性能保障型负载均衡HTTPS监听支持挂载多个证书,将来自不同访问域名的请求转发至不同的后端服务器组。
服务器名称指示(Server Name Indication,SNI)是对SSL / TLS协议的扩展,允许在单个IP地址上承载多个SSL证书。当客户端访问负载均衡时,默认使用访问域名配置的证书解密。如果找不到匹配的证书,则使用监听配置的证书。
注意- 仅性能保障型负载均衡支持SNI。
- 目前阿里云负载均衡支持如下公钥算法:
- RSA 1024
- RSA 2048
- RSA 4096
- ECDSA P-256
- ECDSA P-384
- ECDSA P-521
当您有将多个域名绑定到同一个负载均衡服务地址上, 然后通过不同的域名区分不同的访问来源并且使用HTTPS加密访问的需求时,可以通过配置扩展域名实现。
扩展域名功能已在各地域发布。
后端服务器概述
更新时间:2020-10-30 10:49:31
编辑我的收藏 本页目录在使用负载均衡服务前,您需要添加ECS实例作为负载均衡实例的后端服务器,用来接收负载均衡监听转发的请求。
后端服务器简介
负载均衡服务通过设置虚拟服务地址,将添加的同一地域的多台ECS实例虚拟成一个高性能、高可用的应用服务池。您也可以通过虚拟服务器组管理后端服务器。不同的监听可以关联不同的服务器组,这样一个负载均衡实例可以将请求根据不同监听转发给不同的服务器组内不同端口的后端服务器。
说明 如果您在配置监听时,选择使用虚拟服务器组,那么该监听会将请求转发到关联的服务器组中的ECS,而不会再将请求转发给默认服务器组中的ECS实例。限制说明
您可以在任意时刻增加或减少负载均衡实例的后端ECS数量,还可以在不同ECS实例之间进行流量分发切换。但是为了保证您对外服务的稳定性,确保在执行上述操作时,开启了负载均衡的健康检查功能并同时保证负载均衡实例中至少有一台正常运行的ECS。
添加后端服务器时,有以下限制条件:- 负载均衡不支持跨地域部署,确保ECS实例的所属地域和负载均衡实例的所属地域相同。
- 负载均衡本身不会限制后端ECS实例使用哪种操作系统,只要您的两台ECS实例中的应用服务部署是相同的且保证数据的一致性即可。建议您选择相同操作系统的ECS实例作为后端服务器,以便日后管理和维护。
- 一个负载均衡实例最多支持添加50个监听,每个监听对应后端ECS实例上的一个应用。负载均衡的监听端口对应后端ECS实例上的应用服务端口。
- 您可以指定后端服务器池内各ECS实例的转发权重。权重越高的ECS实例将被分配到更多的访问请求。
- 如果您同时开启了会话保持功能,那么有可能会造成后端服务器的访问并不是完全相同的。如果出现了访问不均衡的情况,建议您暂时关闭会话保持功能,观察一下是否依然存在这种情况。
当负载均衡服务分发请求不均匀时,请参考以下方法检查处理:
- 统计一个时间段内,后端ECS实例的Web服务访问日志记录数据量。
- 按照负载均衡的配置,对比多台ECS实例日志的数量是否有相差。(开启会话保持后,需要剥离相同IP的访问日志。如果负载均衡配置了权重,要根据权重比例计算日志中访问比例是否正常。)
- ECS进行热迁移时,可能导致SLB长连接断开。重新连接后即可恢复,请做好应用的重连工作。
默认服务器组
用来接收前端请求的ECS实例。如果监听没有设置虚拟服务器组或主备服务器组,默认将请求转发至默认服务器组中的ECS。
在使用负载均衡服务前,必须至少添加一台默认服务器接收负载均衡转发的客户端请求。具体操作,请参见添加ECS实例作为默认服务器。
虚拟服务器组
当您需要将不同的请求转发到不同的后端服务器上时,或需要通过域名和URL进行请求转发时,可以选择使用虚拟服务器组。具体操作,请参见创建虚拟服务器组。
服务器自定义转发规则url路径时, 具体ecs实体的iis下要有相应的目录结构,如下:
转发规则实现路径转发 第一次访问:
第二次访问:
主备服务器组
一个主备服务器组只包括两台ECS实例,一台作为主服务器,一台作为备服务器。由于备服务器不会做健康检查,所以只要主服务器健康检查失败,系统会直接将流量切到备机。当主服务器健康检查成功恢复服务后,流量会自动切到主服务器。具体操作,请参见创建主备服务器组。
说明 只有TCP和UDP监听支持添加主备服务器组。相关文档
证书管理:
概述
更新时间:2019-08-16 18:17:03
编辑我的收藏配置HTTPS监听,您可以直接使用SSL证书服务中的证书或者将所需的第三方签发的服务器证书和CA证书上传到负载均衡。上传后,无需在后端服务器再配置证书。
负载均衡支持两种来源的证书:- 在阿里云SSL证书服务中签发或托管的证书:从阿里云SSL证书服务选择,可实现证书到期提醒和一键续期。
暂未支持客户端CA证书。
- 第三方签发的证书:上传第三方签发证书,您需要持有证书的公钥/私钥文件。
支持HTTPS服务器证书及客户端CA证书。
- 如果一个证书要在多个地域使用,那么创建证书时就需要选择多个地域。
- 每个账号最多可以创建100个证书。
教程专区
- 负载均衡快速入门
- 使用SLB部署HTTPS业务(单向认证)
- 使用SLB部署HTTPS业务(双向认证)
- 将HTTP访问重定向至HTTPS
- 单SLB实例配置多域名HTTPS网站(HTTPS多域名)
- 基于域名或URL路径进行转发
- 相同域名不同路径的流量转发
- 获取客户端真实IP
- 压力测试的方法
- 使用访问日志快速定位异常后端服务器
- 配置访问控制
- 配置会话保持
- 将流量转发到虚拟服务器组
- 通过OpenAPI Explorer创建VPC类型实例时指定IP
- 查看流量使用情况