负载均衡梭子鱼负载均衡

负载均衡异常处理异常处理现象或问题将相同ECS同时挂载在多个负载均衡实例的后端,并在这些负载均衡实例下创建相同的后端端口的四层监听.
在这种场景下,用户用同一台客户端去同时访问这些负载均衡实例时,有时会出现失败或超时.
如下图所示,用户有两个负载均衡实例SLB1和SLB2,分别有两个TCP监听,其前端端口不一致,但后端端口一致,并且这两个监听后端挂载了相同的云服务器ECS.
当一个用户Client去访问这两个SLB实例时,访问可能会失败.
解决方法这种异常的具体原因为:负载均衡异常处理1四层(TCP协议)负载均衡会对用户的访问流量在入方向做DNAT.
当客户端访问SLB1时,CIP:CPORT->VIP1:VPORT1的连接在到达后端ECS的时候,会被转换成CIP:CPORT->DIP:DPORT.
当客户端访问SLB2时,CIP:CPORT->VIP2:VPORT2的连接在到达后端ECS的时候,也会被转换成CIP:CPORT->DIP:DPORT.
两条TCP连接的序列号和TCP状态在后端服务器上互相干扰,导致建连失败,即Client建立的两条连接在后端服务器上变成了同样的五元组TCP:CIP:CPORT:DIP:DPORT.
注释:解决方法为:在这样的场景下,需要在后端服务器上避免出现同样的五元组,因协议类型固定为TCP,则需要调整后面的四元组组成.
避免CIP冲突:如果后端服务是HTTP服务,可将其中一个SLB实例的四层监听切换为七层监听,七层SLB监听通过HTTP头部的X-Forward-For字段获取客户端源地址,二者不会产生冲突;另外,使用不同的Client访问这两个监听也可避免此问题出现.
避免CPORT冲突:在Client发起针对VIP1、VIP2的TCP建连请求时,指定源端口CPORT进行访问(如访问VIP1时使用CPORT范围是10000–29999,访问VIP2时使用CPORT范围是30000–49999).
避免DIP冲突:即避免同一个后端服务器挂载在多个SLB实例后面.
避免DPORT冲突:如果后端服务非HTTP服务,则可将其中一个SLB实例四层监听的后端服务器服务端口修改,也可以避免该问题.
CIP:ClientIP(客户端IP);VIP1:负载均衡实例SLB1的IP地址;VIP2:负载均衡实例SLB2的IP地址;VPORT1:负载均衡实例SLB1的监听前端端口;VPORT2:负载均衡实例SLB2的监听前端端口;DIP:后端服务器的IP地址;DPORT:后端服务器的端口;负载均衡异常处理2现象或问题负载均衡七层健康检查始终失败,测试curl-I得到的状态码是正常的.
健康检查使用的命令为echo-e"HEAD/test.
htmlHTTP/1.
0\r\n\r\n"|nc-tLAN_IP80,如果返回非2XX、3XX状态,定义为健康检查异常.
注意:tengine/nginx配置会发现curl没有问题,但是echo测试会匹配到默认站点,导致测试文件test.
html返回404,如所示:解决方法修改主配置文件,将默认站点注释掉.
如下图:负载均衡异常处理3在健康检查配置的地方添加检查域名(可以为域名或者绑定的IP).
如下图:负载均衡异常处理4-------现象或问题负载均衡七层负载均衡配置后网站间歇性出现500或502错误.
解决方法确保不存在负载均衡下面的ECS在服务器内部再通过负载均衡公网地址访问该VIP的情况.
该情况下,后端业务服务器通过负载均衡地址访问自身所监控的端口后,根据负载均衡调度策略的不同,可能会将相应的请求调度到自身服务器上.
导致出现自己访问自己的情况,造成死循环,进而导致相应的请求出现500或502错误.
负载均衡下面的ECS是否安装了CC防护软件,以下IP段属于负载均衡服务器IP段,主要用于健康检查和转发请求,如安装安全软件或者系统内部防火墙,可以将此IP段添加白名单,避免出现500或502错误.
10.
158.
0.
0/1610.
159.
0.
0/1610.
49.
0.
0/16100.
64.
0.
0/10100.
109.
0.
0/16100.
97.
0.
0/16100.
116.
0.
0/15负载均衡异常处理5