本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
GWLB是一种工作在OSI参考模型第三层(即网络层)的负载均衡,通过将流量透明地分发到不同的后端服务器来提高应用系统的安全性和可用性。
实例状态
实例状态与对应操作说明如下表所示。
实例状态 | 状态含义 | 锁定类型 | 是否允许删除 | 是否允许变配 |
运行中 | 实例正常 | 不涉及 | 是 | 是 |
创建中 | 实例正在创建中 | 不涉及 | 否 | 否 |
变配中 | 实例正在变配中 | 不涉及 | 否 | |
已停止 | 实例已停机 | 欠费锁定:实例由于账号欠费已被锁定,请及时续费,实例解除锁定后可继续正常使用。 | 否 |
协议版本
GWLB实例支持IPv4协议版本,即GWLB支持IPv4流量接入。
GWLB和后端服务器之间使用私网IPv4地址通信,该通信地址由每个GWLB实例所在的子网提供。
跨可用区转发
默认情况下,跨可用区转发功能开启,GWLB接收到客户端的访问流量时,每个GWLB实例会在同地域所有已启用可用区的后端服务器之间分配流量。目前不支持关闭跨可用区转发功能。
网络最大传输单元
网络最大传输单元MTU(Maximum Transmission Unit)决定了网络上单次可传输数据包的最大尺寸,包含IP数据包头和载荷,不包含以太网头部。
GWLB的MTU限制:
GWLB支持的最大数据包大小为1500字节。因此,任何超过1500字节的数据包都将被丢弃,不会进行传输。
网络虚拟设备的MTU设置:
在GWLB实例通过Geneve标头封装IP流量以转发至网络虚拟设备时,需考虑Geneve封装会在原始数据包基础上增加的68字节,因此建议将网络虚拟设备的MTU设置为至少1568字节(即1500字节的原始数据包大小加上68字节的Geneve标头封装),以确保能够处理最大1500字节的数据包。
IP分段:
GWLB不支持IP分段,如果原始数据包的大小超过1500字节,它无法将其分割成更小的片段进行传输。
路径MTU发现(PMTUD):
GWLB不会生成ICMP消息来指示需要分段,因此不支持PMTUD。
连接空闲超时时间
连接空闲超时时间是指网络连接在没有数据传输的情况下可以保持空闲状态的最长时间。GWLB的连接空闲超时时间处理机制依赖于流量调度算法和流量类型:
TCP流量处理
流量调度算法为五元组哈希时:
GWLB会主动跟踪TCP连接状态。如果在连接空闲超时时间内一直没有数据传输,当前连接会被关闭,GWLB实例将新的流量路由至新的后端服务器,现有流量则会被丢弃,直到下一次请求来临时重新建立新的连接。
连接空闲超时时间值默认为350秒,您还可以根据业务需求在监听中自定义TCP连接空闲超时时间,取值范围为60~6000 秒。
通过合理设置TCP连接空闲超时时间,可以优化资源管理和保持连接的有效性:
延长连接空闲超时时间:适用于需要维持长连接的场景(如金融交易、数据库交互、ERP系统),或需与后端网络虚拟设备(如防火墙)的超时机制匹配,避免因GWLB连接提前中断而导致业务中断。例如,若后端防火墙的连接空闲超时时间为3600秒,则可将GWLB的连接空闲超时时间设置为略高于该值(如3700秒)。
缩短连接空闲超时时间:适用于短时流量或需快速释放资源的场景(如突发性请求、低频访问服务)。缩短连接空闲超时时间,可以及时释放无效连接,减少资源占用。
说明如果在TCP连接空闲超时时间内,GWLB检测到TCP连接已主动关闭,GWLB会立即删除该连接状态。
流量调度算法为二元组/三元组哈希时:
GWLB会基于二元组(源IP、目标IP)或三元组(源IP、目标IP、协议)识别流,以确保来自同一流的数据包始终转发至相同的后端服务器上。如果在空闲超时时间内没有数据传输,状态将被清除,GWLB会将后续传入的数据包作为新流量,并路由至新的后端服务器中。
连接空闲超时时间值默认为350秒,不支持修改。
非TCP流量处理
以UDP流量为例,虽然UDP是无连接协议,但GWLB会基于流量调度算法来识别和保持UDP流状态,以确保来自同一流的数据包始终转发至相同的后端服务器上。如果在空闲超时时间内没有数据传输,状态将被清除,GWLB会将后续传入的UDP数据包作为新流量,并路由至新的后端服务器中。
非TCP流量的连接空闲超时时间值为120秒,不支持修改。
流量模式
默认情况下GWLB流量模式为负载均衡模式,即GWLB收到GWLBe的流量后,将流量转发至后端服务器进行处理。
在网络故障应急处理、问题定位、网络虚拟设备升级维护等场景下,您可以将GWLB流量模式切换为绕行模式(ByPass)。GWLB收到GWLBe的流量后,流量将直接转回GWLBe,不会转发至后端服务器,从而保障了业务流量不中断。
该功能默认不开放,如需使用请联系商务经理申请。
流量模式 | 负载均衡 | 绕行模式(ByPass) |
GWLB行为 | GWLB收到GWLBe的流量后,将流量转发至后端服务器进行处理 | GWLB收到GWLBe的流量后,流量将直接转回GWLBe,不会转发至后端服务器 |
逻辑示意图 |  |  |
使用场景 | 默认模式,第三方防火墙正常处理业务流量 | 主要用于网络及第三方防火墙维护场景。
|
其他说明 | - |
|
控制台
您可在GWLB控制台的实例详情页面,单击流量模式右侧的编辑,切换GWLB流量模式。
API
您可通过在UpdateLoadBalancerAttribute - 更新负载均衡实例属性接口中,传入TrafficMode参数的值,切换GWLB流量模式。
TrafficMode参数的枚举值:
LoadBalance(默认):负载均衡
ByPass:绕行模式
查询GWLB流量模式,请参考:
切换至绕行模式时,请注意后端服务器中的网络虚拟设备NVA不生效可能导致的安全风险。
切换至负载均衡模式时,若业务流量为有状态的协议,需要后端服务器中的网络虚拟设备NVA(例如防火墙)配合使用,否则可能会导致存量连接断流。
以TCP协议为例,需要防火墙允许在没有初始 SYN 数据包的情况下建立 TCP 会话。
原理:
TCP 三次握手:TCP 协议通常需要通过三次握手来建立连接。这包括客户端发送 SYN 数据包、服务器回应 SYN-ACK,并由客户端发送 ACK 确认,从而完成连接的建立。
GWLB在切换至负载均衡模式时,原本绕行模式下经过GWLB直接返回应用端的流量,会切换至负载均衡模式下的经过GWLB的后端网络虚拟设备后再返回应用端。如果后端网络虚拟设备需要依赖TCP的SYN等协议包来建立或者识别连接,则此切换可能会导致存量连接的数据包在到达网络虚拟设备时,其会话状态无法被正确识别,从而引发连接中断。新建连接不会受到影响,如果需要确保存量连接不中断,需要在NVA设备上开启无SYN报文的TCP会话。
配置示例:以FortiGate防火墙为例,您可在防火墙策略中启用
tcp-session-without-syn。详情可参考防火墙厂商官方文档。