GWLB是一種工作在OSI參考模型第三層(即網路層)的負載平衡,通過將流量透明地分發到不同的後端伺服器來提高應用系統的安全性和可用性。
執行個體狀態
執行個體狀態與對應操作說明如下表所示。
執行個體狀態 | 狀態含義 | 鎖定類型 | 是否允許刪除 | 是否允許變更配置 |
運行中 | 執行個體正常 | 不涉及 | 是 | 是 |
建立中 | 執行個體正在建立中 | 不涉及 | 否 | 否 |
變更配置中 | 執行個體正在變更配置中 | 不涉及 | 否 | |
已停止 | 執行個體已停機 | 欠費鎖定:執行個體由於帳號欠費已被鎖定,請及時續約,執行個體解除鎖定後可繼續正常使用。 | 否 |
協議版本
GWLB執行個體支援IPv4協議版本,即GWLB支援IPv4流量接入。
GWLB和後端伺服器之間使用私網IPv4地址通訊,該通訊地址由每個GWLB執行個體所在的子網提供。
跨可用性區域轉寄
預設情況下,跨可用性區域轉寄功能開啟,GWLB接收到用戶端的訪問流量時,每個GWLB執行個體會在同地區所有已啟用可用性區域的後端伺服器之間分配流量。目前不支援關閉跨可用性區域轉寄功能。
網路傳輸單元最大值
網路傳輸單元最大值MTU(Maximum Transmission Unit)決定了網路上單次可傳輸資料包的最大尺寸,包含IP資料包頭和載荷,不包含乙太網路頭部。
GWLB的MTU限制:
GWLB支援的最巨量資料包大小為1500位元組。因此,任何超過1500位元組的資料包都將被丟棄,不會進行傳輸。
網路虛擬設備的MTU設定:
GWLB執行個體通過Geneve標題封裝IP流量並轉寄至網路虛擬設備。由於Geneve封裝會在未經處理資料包基礎上增加68位元組,為確保能夠處理最大1500位元組的未經處理資料包,請確認:
用於部署網路虛擬設備的ECS已開啟巨型幀(Jumbo Frames)。
網路虛擬設備介面的MTU設定為至少1568位元組。
該 MTU 值需要在網路虛擬設備鏡像內部進行設定,建議參考裝置的官方文檔或廠商指南。
IP分段:
GWLB不支援IP分段,如果未經處理資料包的大小超過1500位元組,它無法將其分割成更小的片段進行傳輸。
路徑MTU發現(PMTUD):
GWLB不會產生ICMP訊息來指示需要分段,因此不支援PMTUD。
串連空閑逾時時間
串連空閑逾時時間是指網路連接在沒有資料轉送的情況下可以保持空閑狀態的最長時間。GWLB的串連空閑逾時時間處理機制依賴於流量調度演算法和流量類型:
TCP流量處理
流量調度演算法為五元組雜湊時:
GWLB會主動跟蹤TCP串連狀態。如果在串連空閑逾時時間內一直沒有資料轉送,當前串連會被關閉,GWLB執行個體將新的流量路由至新的後端伺服器,現有流量則會被丟棄,直到下一次請求來臨時重建立立新的串連。
串連空閑逾時時間值預設為350秒,您還可以根據業務需求在監聽中自訂TCP串連空閑逾時時間,取值範圍為60~6000 秒。
通過合理設定TCP串連空閑逾時時間,可以最佳化資源管理和保持串連的有效性:
延長串連空閑逾時時間:適用於需要維持長串連的情境(如金融交易、資料庫互動、ERP系統),或需與後端網路虛擬設備(如防火牆)的逾時機制匹配,避免因GWLB串連提前中斷而導致業務中斷。例如,若後端防火牆的串連空閑逾時時間為3600秒,則可將GWLB的串連空閑逾時時間設定為略高於該值(如3700秒)。
縮短串連空閑逾時時間:適用於短時流量或需快速釋放資源的情境(如突發性請求、低頻訪問服務)。縮短串連空閑逾時時間,可以及時釋放無效串連,減少資源佔用。
說明如果在TCP串連空閑逾時時間內,GWLB檢測到TCP串連已主動關閉,GWLB會立即刪除該串連狀態。
流量調度演算法為二元組/三元組雜湊時:
GWLB會基於二元組(源IP、目標IP)或三元組(源IP、目標IP、協議)識別流,以確保來自同一流的資料包始終轉寄至相同的後端伺服器上。如果在空閑逾時時間內沒有資料轉送,狀態將被清除,GWLB會將後續傳入的資料包作為新流量,並路由至新的後端伺服器中。
串連空閑逾時時間值預設為350秒,不支援修改。
非TCP流量處理
以UDP流量為例,雖然UDP是無連線協定,但GWLB會基於流量調度演算法來識別和保持UDP流狀態,以確保來自同一流的資料包始終轉寄至相同的後端伺服器上。如果在空閑逾時時間內沒有資料轉送,狀態將被清除,GWLB會將後續傳入的UDP資料包作為新流量,並路由至新的後端伺服器中。
非TCP流量的串連空閑逾時時間值為120秒,不支援修改。
流量模式
預設情況下GWLB流量模式為負載平衡模式,即GWLB收到GWLBe的流量後,將流量轉寄至後端伺服器進行處理。
在網路故障應急處理、問題定位、網路虛擬設備升級維護等情境下,您可以將GWLB流量模式切換為繞行模式(ByPass)。GWLB收到GWLBe的流量後,流量將直接轉回GWLBe,不會轉寄至後端伺服器,從而保障了業務流量不中斷。
該功能預設不開放,如需使用請聯絡商務經理申請。
流量模式 | 負載平衡 | 繞行模式(ByPass) |
GWLB行為 | GWLB收到GWLBe的流量後,將流量轉寄至後端伺服器進行處理 | GWLB收到GWLBe的流量後,流量將直接轉回GWLBe,不會轉寄至後端伺服器 |
邏輯示意圖 | ||
使用情境 | 預設模式,第三方防火牆正常處理業務流量 | 主要用於網路及第三方防火牆維護情境。
|
其他說明 | - |
|
控制台
您可在GWLB控制台的執行個體詳情頁面,單擊流量模式右側的編輯,切換GWLB流量模式。
API
您可通過在更新Server Load Balancer執行個體屬性介面中,傳入TrafficMode參數的值,切換GWLB流量模式。
TrafficMode參數的枚舉值:
LoadBalance(預設):負載平衡
ByPass:繞行模式
查詢GWLB流量模式,請參考:
切換至繞行模式時,請注意後端伺服器中的網路虛擬設備NVA不生效可能導致的安全風險。
切換至負載平衡模式時,若業務流量為有狀態的協議,需要後端伺服器中的網路虛擬設備NVA(例如防火牆)配合使用,否則可能會導致存量串連斷流。
以TCP協議為例,需要防火牆允許在沒有初始 SYN 資料包的情況下建立 TCP 會話。
原理:
TCP 三向交握:TCP 協議通常需要通過三向交握來建立串連。這包括用戶端發送 SYN 資料包、伺服器回應 SYN-ACK,並由用戶端發送 ACK 確認,從而完成串連的建立。
GWLB在切換至負載平衡模式時,原本繞行模式下經過GWLB直接返回應用端的流量,會切換至負載平衡模式下的經過GWLB的後端網路虛擬設備後再返回應用端。如果後端網路虛擬設備需要依賴TCP的SYN等協議包來建立或者識別串連,則此切換可能會導致存量串連的資料包在到達網路虛擬設備時,其工作階段狀態無法被正確識別,從而引發串連中斷。建立串連不會受到影響,如果需要確儲存量串連不中斷,需要在NVA裝置上開啟無SYN報文的TCP會話。
配置樣本:以FortiGate防火牆為例,您可在防火牆策略中啟用
tcp-session-without-syn。詳情可參考防火牆廠商官方文檔。