帮助与文档

当前位置: 首页帮助中心云负载均衡 CLB >  技术文档

技术文档
发布时间:2017-03-07

健康检查异常排查思路

1. 四层排查

TCP协议下,负载均衡使用SYN包进行探测;UDP协议下,负载均衡使用ping命令进行探测。

在页面查看LB后端服务器端口的健康状态,若不健康,排查思路如下:

  • 确定CLB后端服务器是否有配置有防火墙影响了服务,如果有请关闭

  • 使用netstat命令,确定后端服务器的端口是否有进程在监听,若未启动,则重新启动服务

2. 七层排查

针对7层(HTTP协议)服务,当某一监听出现健康检查“异常”时,可以通过如下方面进行排查:

  • 由于负载均衡的七层健康检查服务与后端CVM之间的通讯是走内网的,您需要登录服务器检查应用服务器端口是否正常监听在内网地址上,如果没有监听在内网地址,请将应用服务器端口监听到内网上,从而确保负载均衡系统和后端CVM之间的通讯正常。

假设负载均衡前端端口是80,CVM后端端口也是80,CVM内网IP是:1.1.1.10

Windows系统服务器使用如下命令:

netstat -ano | findstr :80

Linux系统服务器使用如下命令:

netstat -anp | grep :80

如果能看到1.1.1.10:80的监听或0.0.0.0:80的监听则说明这部分正常。

  • 请确保后端服务器开启了相应的端口,该端口必须与您在负载均衡监听配置中配置的后端端口保持一致。

如果是4层负载均衡,只要后端端口telnet有响应即可,可以使用telnet 1.1.1.10 80来测试。如果是7层负载均衡,需要HTTP状态码是200 等代表正常的状态码。检验方法如下:

Windows系统可以直接在CVM内的浏览器输入内网IP测试是否正常,本例为:http://1.1.1.10
Linux系统可以通过curl -I命令看看状态是否为HTTP/1.1 200 OK,本例是:curl -I 1.1.1.10

  • 检查后端CVM内部是否有防火墙或其他安全类防护软件,这类软件很容易将负载均衡系统的本地IP地址屏蔽,从而导致负载均衡系统无法跟后端服务器进行通讯。

检查服务器内网防火墙是否放行80端口,可以暂时关闭防火墙进行测试。

Windows系统可以运行输入firewall.cpl操作关闭
Linux系统可以输入/etc/init.d/iptables stop关闭

  • 检查负载均衡健康检查参数设置是否正确,建议参照这里提供的健康检查参数默认值进行设置。

  • 健康检查指定的检测文件,建议是以html形式的简单页面,只用于检查返回结果,不建议用php等动态脚本语言。

  • 检查后端是否有较高负载导致CVM对外提供服务响应慢。

负载均衡HTTPS服务性能测试

#1.CLB负载均衡器https能力说明

智云云CLB负载均衡器通过对协议栈及服务端的深度优化,实现了HTTPS性能的巨大提升。同时,我们也通过证书的国际合作,极大降低了证书的成本。智云云CLB在如下几个方面能够为业务带来非常显著的收益:

使用HTTPS并不会降低client端的访问速度。

集群内单台服务器SSL加解密性能,高达6.5W cps的完全握手。相比高性能CPU提升了至少3.5倍,节省了服务端成本,极大提升了业务运营及流量突涨时的服务能力,增强了计算型防攻击的能力。

支持多种协议卸载及转换。减少业务适配客户端各种协议的压力,业务后端只需要支持HTTP1.1就能使用HTTP2,SPDY,SSL3.0,TLS1.2等各版本协议。

一站式SSL证书申请、监控、替换。我们和国际顶级的证书厂商comodo,symantec展开对话,探讨合作,大幅缩减证书申请流程及成本。

防CC及WAF功能。能够有效杜绝慢连接、高频定点攻击、SQL注入、网页挂马等应用层攻击。

2. 测试目的

HTTPS服务拥有身份验证,信息加密及完整性校验等优势,但通过新增SSL协议实现安全通信,必然会产生一定的性能损耗,主要包括延时的增加及加解密消耗CPU资源等方面。本文测试了智云云https服务在SSL加解密情况下的极限性能数据,供用户与https传统性能数据进行比对和参考。

3. 测试环境

压力工具:wrk 4.0.2

智云云底层服务环境:Nginx 1.1.6_1.9.9 + Openssl 1.0.2h

安装Nginx机器操作系统信息:Linux TENCENT64.site 3.10.94-1-tlinux2-0036.tl2 #1 SMP Thu Jan 21 03:40:59 CST 2016 x86_64 x86_64 x86_64 GNU/Linux

其他压力机器操作系统:Linux TENCENT64.site 2.6.32.43-tlinux-1.0.17-default #1 SMP Tue Nov 17 18:03:12 CST 2015 x86_64 x86_64 x86_64 GNU/Linux

4. WebServer集群测试方案

由于单台压力机无法发送足够大的压力测试智云云https服务的极限性能,需要采用多台压力机来发送压力,整个测试包含三部分:

1) 压力机集群。用来发送http/https压力,并输出单台机器的压力测试结果 。

2) 中控机,同步控制压力机集群的启动和结束,获取各台机器的压力数据并汇总输出。

3) 测试机,即承载智云云https服务的云机器,测试webserver性能,直接返回页面,不需要连接upstream。

连接关系如下表示:

5. HTTPS WebServer测试性能数据

blob.png

6. CLBhttps能力测试结论

由上表可知,智云云HTTPS支持SSL加解密,其后端拥有多个服务器集群,单集群的单台云服务器完全握手性能可达到65000 qps,长连接时性能可以达到约300000qps。

普通情况下,HTTPS协议由于使用SSL协议,增加了至少一次完整握手的过程,因此增加延时为2*RTT。此外,SSL对称/非对称加密将消耗大量CPU资源,RSA的解密能力是困扰HTTPS接入的主要难题。

使用智云云负载均衡的HTTPS服务,用户无需为SSL加解密单独部署服务,且智云云不收取任何额外费用,让用户轻松拥有极强的业务承载能力和防攻击能力。

以上内容是否对您有帮助?