前提条件

已完成阿里云账号注册实名认证金融云认证

背景信息

金融云SLB特性(经典网络)

  • SLB是金融云经典网络下的的唯一公网接口,必须通过SLB对外提供互联网服务。
  • SLB服务默认是同城双中心,并会生成一个固定的公网IP地址,用户需要把DNS解析至这个IP地址。故障可能会导致提供服务的机房发生变化,但此时实例的公网IP地址不会发生变化,对用户是透明的。
  • 健康检查功能开启后,SLB会自动隔离故障服务器,故障恢复后自动重新加入SLB。
  • 会话保持功能开启后,SLB会把用户请求转发到同一台ECS上处理。会话保持的流量转发逻辑:4层是源IP,7层是Cookie。
  • SLB可以提供4层和7层负载均衡,分为公网和私网两种类型。
  • 4层只支持TCP和UDP;7层负载均衡支持HTTP和HTTPS。如果为HTTPS,安全证书需要托管在SLB上。不支持FTP、SFTP协议。
  • 7、 4层的源IP地址(客户端IP)不发生变化;7层是应用层代理,源IP地址会被替换,如果要获得真实的源IP,可以使用Http Header:X-Forwarded-For,请参见:如何选择负载均衡监听协议
  • 公网SLB:公网流入带宽可以认为无限大,流出带宽按购买规格而定。
  • 私网SLB:每个监听端口最大1G带宽,每个实例最大累计10G带宽。

后端服务器只能是ECS,不支持RDS、SLB等其它云产品。

配置规划

根据金融云在经典网络下的金融云推荐架构(经典网络)安全策略,您需要在华东1地域使用SLB将互联网用户的访问请求转发至Web接入ECS。配置前的规划如下。

地域 主可用区 备可用区 规划说明
华东1 华东1金融云可用区B 华东1金融云可用区D SLB优先将流量转发至主可用区,当主可用区不可用时,SLB将流量转发至备可用区。

操作步骤

  1. 登录阿里云官网并单击右上方的控制台进入控制台页面。
  2. 创建负载均衡实例。
    1. 在左侧导航栏中选择负载均衡,在实例管理中单击创建负载均衡
    2. 根据规划配置负载均衡参数。
    3. 单击立即购买,根据界面提示完成开通。
  3. 配置监听。
    1. 在实例管理页面找到上述添加的实例,单击管理,进入实例管理页面。
    2. 选择监听页签,单击添加监听
      监听配置包括 基本配置健康检查配置。详细的监听介绍和健康检查原理请参考 监听介绍健康检查原理章节。

      本示例以使用HTTP协议监听为例,实际配置时请根据您的ECS监听协议情况选择,更多的监听配置和健康检查配置请参考配置四层监听配置七层监听配置健康检查章节。

      选项 配置说明 示例选项
      基本配置
      前端协议
      • 网站一般选择HTTP协议(七层监听)或TCP协议(四层监听)。如果是HTTPS协议的网站,可以选择HTTPS 或 TCP 443端口。
      • 如果是用户自定义协议,选择TCP,自定义端口允许的范围是80,443,2800-3300,5000-10000,13000-14000。
      HTTP,80端口
      后端协议 协议会自动与SLB协议一致,端口选择为后端服务的监听端口,一般与上一个选项相同 HTTP,80端口
      调度算法

      SLB支持轮询、加权轮询(WRR)、加权最小连接数(WLC)三种调度算法。

      • 轮询:按照访问顺序依次将外部请求依序分发到后端服务器。
      • 加权轮询:权重值越高的后端服务器,被轮询到的次数(概率)也越高。
      • 加权最小连接数:除了根据每台后端服务器设定的权重值来进行轮询,同时还考虑后端服务器的实际负载(即连接数)。当权重值相同时,当前连接数越小的后端服务器被轮询到的次数(概率)也越高。
      轮询模式
      会话保持

      是否将同一用户的请求转发到同一台ECS处理。如果后台程序无法做到完全无状态,需要打开会话保持。

      会话保持配置可参考配置服务器Cookie章节。

      打开
      虚拟服务器组 虚拟服务器组可满足需要在监听级别设置后端服务器和端口以及需要使用域名和URL转发的需求。具体使用可以参考虚拟服务器组使用要点 根据需要配置
      健康检查配置
      检查端口 健康检查服务访问后端时的探测端口。TCP协议的健康检查设置中,最关键的是其中的“端口检查”,一定要确认后端的ECS服务器上的端口是正确的。 443
      检查路径 指定用来进行健康检查探测的路径。请确认后端的ECS服务器上的这个HTTP路径是可访问的。否则会导致SLB认为后端服务不可用,从而不再向后端ECS转发请求。 /
      其他参数 建议保持默认值。 默认值
    3. 单击确认
  4. 添加后端服务器。
    1. 在实例管理页面选择服务器 > 后端服务器,进入后端服务器页面。
    2. 未添加的服务器页签中搜索用于Web接入的ECS服务器,勾选后单击批量添加
    3. 在弹出的页面中单击确定
      在后端服务页面中查看已添加的后端服务器。

下一步

常见问题

Q:SLB上可以开放哪些端口?

A:金融云SLB上允许以下端口:80,443,2800-3300,5000-10000,13000-14000,不在此列的端口暂不支持。

Q:通过SLB后,访问我的网站显示404错误,开始我在ECS上测试时正常的

A:这是由于SLB健康检查失败,SLB无法找到可转发的服务器。请检查SLB服务监听的健康检查设置,比如ECS上的网站部署在/app/访问路径下,根路径下未部署任何应用,而健康检查中的检查路径设置的是/,这样当健康检查去访问根路径时,ECS返回404错误,导致ECS认为网站无法正常提供服务。这时只要把健康检查的路径也设置为/app/就可以了。可参考:SLB健康检查配置文档

Q:如何支持HTTPS协议?

A:在服务监听上选择HTTPS协议或TCP协议的443端口。

Q:我无法开通SLB,开通SLB的按钮是灰色的。

A:SLB开通要求先有ECS,完成实名认证,并且有100元以上的余额。

Q:通过SLB之后,我无法看到客户端的源IP地址了。

A:请参考SLB帮助文档

Q:SLB的流量和带宽如何计算?

A:只计算公网出流量(从阿里云流向互联网),公网入流量(从互联网流入阿里云)不计流量、不计费。