版权所有 © 中电云计算技术有限公司 2023。 保留一切权利。
本文档的版权归中电云计算技术有限公司所有。非经中电云计算技术有限公司书面许可,任何人不得以包括通过程序或设备监视、复制、传播、展示、镜像、上载、下载、摘编等方式或以其他方式擅自使用本文档的任何内容。
【商标声明】
和本文档所示其他中电云计算技术有限公司及/或其他关联公司的商标均为中电云计算技术有限公司及/或其关联公司所有。未经中电云计算技术有限公司及/或其关联公司书面许可,任何人不得以任何形式使用,也不得向他人表明您有权展示、使用或做其他处理。如您有宣传、展示等任何使用需要,您必须取得中电云计算技术有限公司及/或其关联公司事先书面授权。
本文档中出现的其他公司的商标或注册商标,由各自的所有人拥有。
【注意】
您购买的产品、服务或特性等应以中电云计算技术有限公司商业合同中的约定为准,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,中电云计算技术有限公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容可能会不定期进行更新。本文档仅作为使用指导,其中的陈述、信息或建议等均不构成任何明示或暗示的担保。
1 产品简介
1.1 什么是基础负载均衡
基础负载均衡(Basic Load Balancer,BLB)是将客户的访问流量根据IP哈希策略分发到后端服务器组的网络服务,可快速提高应用系统对外的服务能力。
1.2 产品优势
快速部署,实时生效,基于IP的负载均衡策略。
自研高性能、高可靠的负载均衡服务,架构更加安全,部署结构符合政企安全规范。支持公网和私网类型基础负载均衡实例,可隐藏内部网络结构,提升系统安全可用性。
灵活扩展
根据业务负载情况,可自主添加或删除后端服务器,实现业务无缝迁移、来访用户无感知。
节约成本
无需购买大型硬件设备,无需人力和运维支出,为您节约大量成本。
1.3 关联服务
基础负载均衡通过绑定弹性公网EIP访问公网,基础负载均衡实例的后端服务器组可以关联多个云服务器ECS或者自建容器,负载均衡实例属于专有网络VPC内的云资源。
1.4 应用场景
1.5 使用限制
场景 | 限制项 | 限制说明 |
BLB实例 | 创建BLB实例 | · 不支持IPv6 · 不支持直接沟通公网EIP |
删除BLB实例 | 需要先释放实例下所有资源,包括解绑EIP | |
后端服务器 | 创建后端服务器 | · 只支持IP类型的服务器,不支持端口和协议类型 · 只支持源IP和端口的负载均衡哈希算法 · 只支持Linux后端服务器,需要提前配置BLB私网IP和调整内核参数配置ARP应答忽略 · 添加IP,以BLB实例的VIP是192.168.1.6为例: vip="192.168.1.6" ip addr add ${vip}/32 dev lo · 配置内核参数: echo 1 >/proc/sys/net/ipv4/conf/all/arp_ignore echo 2 >/proc/sys/net/ipv4/conf/all/arp_announce |
健康检查 | 创建健康检查 | 只支持Ping类型的健康检查 |
1.6 配额限制
配额项 | 默认配额 | 是否可调整 | 备注 |
q_blb-instance-count | 20 | 是 | 云账号在一个地域最多可以创建BLB的实例数 |
q_blb-servers-server-count-per-slb | 50 | 是 | 云账号在一个地域单个BLB实例最多可以挂载服务数 |
2 基本概念
负载均衡实例是一个运行的负载均衡服务,用来接收流量并将其分配给后端云服务器。根据网络类型,负载均衡实例分为如下类型:
· 私网IPv4负载均衡实例:提供专有网络子网内的负载均衡服务。
· 公网IPv4负载均衡实例:可以提供公网负载均衡服务,IPv4负载均衡需要绑定弹性公网IP使用,IPv6负载均衡实例需要购买IPv6带宽包使用。
后端服务器
后端服务器是客户的后端服务的IP地址,基础负载均衡实例根据哈希算法将流量打散分担到多个不同的后端服务器上,实现负载均衡。
健康检查
基础负载均衡实例会定期查询后端服务器的运行状态,通过运行状态来判断后端服务器是否可用。若基础负载均衡实例发现后端服务器运行状态异常,则不会再将流量分发到该后端服务器。
3 快速入门
基础负载均衡BLB的具体操作流程如下图所示:
操作流程 | 说明 |
创建基础负载均衡实例 | 使用基础负载均衡前,您需要先进行创建,具体操作请参见创建基础负载均衡。 |
配置后端服务器 | 在待添加的后端服务器上配置BLB实例的VIP和内核参数: 1. 添加IP,以BLB实例的VIP是192.168.1.6为例: vip="192.168.1.6" ip addr add ${vip}/32 dev lo 2. 配置内核参数: echo 1 >/proc/sys/net/ipv4/conf/all/arp_ignore echo 2 >/proc/sys/net/ipv4/conf/all/arp_announce |
添加后端服务器 | 用户可根据业务系统的规模配置为基础负载均衡实例添加后端服务器,具体操作请参见添加IP服务器。 |
4 管理维护
4.1 权限管理
权限管理支持通过统一身份认证服务(Identity and Access Management,IAM)或组织管理进行配置。
IAM权限管理仅在“组织管理”未开启状态下可用。“组织管理”功能开启后,资源标签和IAM权限管理功能将不再可用。若需使用组织管理功能进行权限管理,详细描述请参见《控制台快速入门》的“组织管理”章节。
4.1.1 IAM权限
IAM权限简介
身份认证与访问管理服务(Identity and Access Management,IAM)提供用户身份认证、权限分配、访问控制等功能,通过创建多个IAM用户并授权不同资源权限策略,可实现不同IAM用户之间的权限隔离。
IAM权限基于IAM用户授权云资源权限,定义了允许和拒绝的访问操作。默认情况下,新创建的IAM用户不具备任何资源权限,需授权IAM用户,才能基于被授权的资源权限进行操作。授权IAM用户,需将其加入用户组,且该用户组已添加IAM权限策略。
IAM权限策略是一组资源权限集,BLB支持“系统策略”和“自定义策略”。
系统策略
系统策略统一由系统创建和维护,不支持自定义修改策略权限范围。BLB支持的系统策略如下:
策略名称 | 权限描述 |
CecloudBLBReadOnlyAccess | 只读访问基础负载均衡服务(BLB)的权限。策略权限脚本配置内容如下: { "Version" : "1", "Statement" : [ { "Effect" : "Allow", "Resource" : "*", "Action" : [ "BLB:Get*", "EIP:Get*" ] } ] } |
CecloudBLBFullAccess | 管理基础负载均衡服务(BLB)的权限。策略权限脚本配置内容如下: { "Version" : "1", "Statement" : [ { "Effect" : "Allow", "Resource" : "*", "Action" : [ "BLB:*", "EIP:ModifyBandwidth", "EIP:BindEIP", "EIP:UnbindEIP", "EIP:Get*" ] } ] } |
CecloudBLBOperationAccess | 默认使用基础负载均衡(BLB)的权限。策略权限脚本配置内容如下: { "Version" : "1", "Statement" : [ { "Effect" : "Allow", "Resource" : "*", "Action" : [ "BLB:Get*", "BLB:UpdateBlb", "BLB:BindBlbEIP", "BLB:UnbindBlbEIP", "BLB:AddBlbBackendServer", "BLB:DeleteBlbBackendServer", "EIP:ModifyBandwidth", "EIP:BindEIP", "EIP:UnbindEIP", "EIP:Get*" ] } ] } |
自定义权限策略
自定义策略是由系统开放资源授权项(Action),支持自主创建、更新和删除策略。目前支持“可视化配置”和“脚本配置”两种方式创建自定义权限策略:
· 可视化配置:按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容,自动生成策略。
· 脚本配置:提供基本策略模板,可根据具体需求编辑策略内容,也可直接在编辑框内编写策略内容。
基础负载均衡BLB支持的资源授权项如下:
4.1.2 设置IAM权限
4.1.2.1 任务简介
IAM权限基于IAM用户授权云资源权限,定义了允许和拒绝的访问操作。默认情况下,新创建的IAM用户不具备任何资源权限,需授权IAM用户,才能基于被授权的资源权限进行操作。授权IAM用户,可选择直接给用户添加IAM权限策略;也可选择需将其加入用户组,且该用户组已添加IAM权限策略。
本小节主要介绍如何设置IAM权限,授权IAM用户使用BLB资源。
4.1.2.2 前提条件
给用户组授权之前,已了解用户需具备的BLB权限,并已掌握权限策略授权范围。
4.1.2.3 创建IAM用户
(1) 鼠标悬浮在控制台页面右上角的账号名称上,在弹出的下拉菜单中单击“身份认证与访问管理”,进入用户管理页面。
(2) 单击页面右上角的“创建用户”,进入创建用户页面。
(3) 配置IAM用户账号信息和访问方式。
¡ 账号信息:可根据需要输入用户名、显示名、手机号、邮箱和备注信息。
单击“添加用户”可继续创建IAM用户,一次最多可创建10个IAM用户,且同时创建的用户访问方式相同。
¡ 访问方式:可根据需要选择控制台访问或编程访问。
- 控制台访问:用户使用账号密码访问云平台。选择该项后,可根据需要设置控制台密码生成方式。
- 编程访问:启用AccessKey ID和AccessKeySecret,支持通过API或其他开发工具访问。
(4) 单击“确定”,弹出IAM用户创建成功窗口。
(5) 单击“确定”,下载用户密码至本地保存,且可查看新创建的用户列表。
4.1.2.4 IAM用户授权
1. 授权单个IAM用户使用BLB
(1) 鼠标悬浮在控制台页面右上角的账号名称上,在弹出的下拉菜单中单击“身份认证与访问管理”,进入用户管理页面。
(2) 单击IAM用户对应操作列的“添加权限”,弹出添加权限窗口。
(3) 在“授权范围”区域,选择权限范围。可选择“整个云账号”或“指定资源组”。
(4) 在“被授权主体类型”区域,确认被授权主体类型为IAM用户,并确认被授权主体为当前IAM用户。
(5) 在权限策略区域,选择一个或多个BLB权限策略后,单击
,将其移入已选择区域,表示要为该IAM用户添加的权限。
¡ 您也可以将已配置的权限策略移除。
¡ 权限策略区域列表中包含该账号下全量的系统策略和自定义策略。
(6) 单击“确定”,完成为单个IAM用户的授权操作。
2. 授权用户组使用BLB
(1) 鼠标悬浮在控制台页面右上角的账号名称上,在弹出的下拉菜单中单击“身份认证与访问管理”,进入用户管理页面。
(2) 在左侧导航栏选择“用户组”,进入用户组页面。
(3) 创建用户组。
a. 单击页面右上角的“创建用户组”,弹出创建用户组窗口。
b. 可根据需要输入用户组名称和备注信息。
c. 单击“确定”,完成创建用户组操作。
(4) 添加组成员。
a. 单击用户组对应操作列的“添加组成员”,弹出添加组成员窗口。
b. 在用户区域,选择一个或多个IAM用户后,单击
,将其移入已选择区域。
- 您也可以将已添加的用户从用户组移除。
- 用户区域列表包含该账号下已创建的全部IAM用户。
- 已被添加至其他用户组的用户置灰,不能被添加到新用户组。
c. 单击“确定”,完成添加用户组成员操作。
(5) 添加用户组权限。
a. 单击用户组对应操作列的“添加权限”,弹出添加权限窗口。
b. 在权限策略区域,选择一个或多个BLB权限策略后,单击
,将其移入已选择区域,表示要为该IAM用户添加的权限。
- 您也可以将已配置的权限从用户组移除。
- 权限策略列框包含该账号下全量系统策略和自定义策略。
c. 单击“确定”,完成添加用户组权限操作。
4.1.2.5 IAM用户登录并验证权限
(1) 使用IAM用户账号登录控制台。
(2) 在页面上方单击
,选择地域。
(3) 鼠标悬浮在页面左上角的
上,选择“产品与服务 > 基础负载均衡BLB”,进入实例列表页面页面。
(4) 对基础负载均衡BLB里的相关资源执行相应操作,确认权限策略是否生效。
4.1.3 创建IAM自定义权限策略
4.1.3.1 任务简介
IAM权限策略是一组资源权限集,基础负载均衡BLB支持“系统策略”和“自定义策略”。
如果预置的基础负载均衡BLB系统策略不满足使用要求,可通过创建自定义策略,添加授权项(Action),对基础负载均衡BLB资源进行精细的权限管理。目前支持“可视化配置”和“脚本配置”两种方式创建自定义权限策略。
· 可视化配置:按可视化导航栏选择权限策略效力、云产品/服务、操作、资源、请求条件等内容,自动生成权限策略。
· 脚本配置:提供基本权限策略模板,可根据需要输入权限策略内容。
本小节主要介绍如何在管理控制台创建自定义策略。
4.1.3.2 可视化配置自定义策略
(1) 鼠标悬浮在控制台页面右上角的账号名称上,在弹出的下拉菜单中单击“身份认证与访问管理”,进入用户管理页面。
(2) 在左侧导航栏选择“权限策略管理”,进入权限策略管理页面。
(3) 单击“创建自定义权限策略”,进入创建自定义权限策略页面。
(4) 配置权限策略的基本信息。
¡ 权限策略名称:根据需要输入权限策略的名称。
¡ 备注:可根据需要输入权限策略的备注信息。
(5) 配置方式:选择“可视化配置”。
(6) 配置权限策略内容。
a. 配置权限策略效力,可选择“允许”或“拒绝”。
- 允许:表示该策略为允许操作效力。
- 拒绝:表示该策略为拒绝操作效力。
b. 配置云服务,选择“基础负载均衡 BLB”。
c. 配置云服务操作,根据需要选择操作权限。
d. 配置资源,可选择“全部资源”或“特定资源”。
类型 | 型号 |
全部资源 | 授予所有资源的相应权限。 |
特定资源 | 授予特定资源的相应权限。 可指定特定实例资源。 |
e. (可选)配置请求条件。
单击“添加请求条件”,在弹出窗口中根据下表中的参数说明进行配置后,单击“确定”。
参数 | 参数说明 |
条件键 | 条件键表示策略语句的Condition元素中的键值。 · cs:CurrentTime · cs:SecureTransport |
运算符 | 与条件键、条件值一起使用,构成完整的条件判断语句。 |
条件值 | 与条件键、运算符一起使用,当运算符需要某个关键字时,需要输入关键字的值,构成完整的条件判断语句。 |
(7) 确认配置信息无误后,单击“确定”,完成可视化配置自定义策略操作。
4.1.3.3 脚本配置自定义策略
(1) 鼠标悬浮在控制台页面右上角的账号名称上,在弹出的下拉菜单中单击“身份认证与访问管理”,进入用户管理页面。
(2) 在左侧导航栏选择“权限策略管理”,进入权限策略管理页面。
(3) 单击“创建自定义权限策略”,进入创建自定义权限策略页面。
(4) 配置权限策略的基本信息。
¡ 权限策略名称:根据需要输入权限策略的名称。
¡ 备注:可根据需要输入权限策略的备注信息。
(5) 配置方式:选择“脚本配置”。
(6) 在权限策略内容区域,可根据需要直接编辑脚本,也可基于已有策略进行修改。
(7) 确认配置信息无误后,单击“确定”,完成脚本配置自定义策略操作。
4.2 管理基础负载均衡实例
4.2.1 创建基础负载均衡
(1) 在控制台页面上方单击
,选择地域。
(2) 鼠标悬浮在页面左上角的
上,选择“产品与服务 > 基础负载均衡”,进入实例列表页面。
(3) 单击页面右上角的“创建基础负载均衡”,进入基础负载均衡BLB购买页面。
(4) 根据下表中的参数说明配置参数信息。
参数 | 说明 |
地域 | 请根据需求选择地域。 |
网络类型 | 请根据需求选择基础负载均衡的类型,支持公网和私网。 |
所属VPC | 选择已有的专有网络,或者创建新的专有网络。 |
子网 | 选择已有的子网网段,或者创建新的子网。 |
私有IP地址 | 在下拉列表中选择私有IP地址的分配方式,支持自动分配和手动分配。 |
弹性公网IP | 网络类型选择“公网”时需配置该项,选择系统中已有的弹性公网IP进行绑定。 |
名称 | 可根据需要自定义负载均衡名称或使用系统缺省名称。 |
描述 | 可根据需要输入描述信息,最多255个字符。 |
(5) 单击“免费创建”,即可完成创建基础负载均衡实例。
4.2.2 绑定公网IP
简介
私网基础负载均衡实例绑定公网IP后,可以提供公网访问能力。
限制与指导
基础负载均衡实例只能绑定一个公网IP。
操作步骤
(1) 在控制台页面上方单击
,选择地域。
(2) 鼠标悬浮在页面左上角的
上,选择“产品与服务 > 基础负载均衡”,进入实例列表页面。
(3) 单击基础负载均衡实例对应操作列的“绑定公网IP”,弹出绑定弹性公网窗口。
(4) 选择一个要绑定的弹性公网IP。
(5) 单击“确定”,完成绑定操作。
4.2.3 解绑公网IP
简介
已绑定公网IP的基础负载均衡实例解绑公网IP后,不再提供公网能力。
操作步骤
(1) 在控制台页面上方单击
,选择地域。
(2) 鼠标悬浮在页面左上角的
上,选择“产品与服务 > 基础负载均衡”,进入实例列表页面。
(3) 单击基础负载均衡实例对应操作列的“解绑公网IP”,弹出确认窗口。
(4) 单击“确定”,完成解绑操作。
4.2.4 变更带宽
限制与指导
若基础负载均衡实例未绑定公网IP,则不支持变更带宽操作。
操作步骤
(1) 在控制台页面上方单击
,选择地域。
(2) 鼠标悬浮在页面左上角的
上,选择“产品与服务 > 基础负载均衡”,进入实例列表页面。
(3) 单击基础负载均衡实例对应操作列的“变更带宽”,进入带宽升配页面。
(4) 根据需要,配置扩容后的带宽大小后,单击“下一步”,进入确认配置页面。
(5) 确认带宽变更前后的配置和需要补的费用后,根据页面显示,可进行如下操作:
¡ 单击“立即申请”,待管理员通过审批后,即可变更带宽。
¡ 单击“去支付”,选择支付方式,并单击“确认付款”后,即可变更带宽。
¡ 单击“立即开通”,即可变更带宽。
4.2.5 编辑实例
(1) 在控制台页面上方单击
,选择地域。
(2) 鼠标悬浮在页面左上角的
上,选择“产品与服务 > 基础负载均衡”,进入实例列表页面。
(3) 单击基础负载均衡实例的ID,进入该实例详情页面。
(4) 单击页面右上角的“编辑”,弹出编辑窗口。
(5) 根据下表中的参数说明配置参数信息。
参数 | 说明 |
名称 | 可根据需要修改基础负载均衡实例的名称。 |
负载均衡算法 | 选择负载均衡采用的算法: · 源IP算法:将请求的源IP地址进行一致性Hash运算,得到一个具体的数值,同时对后端服务器进行编号,按照运算结果将请求分发到对应编号的服务器上。本算法可以实现对不同源IP的访问进行负载分发,同时保证同一个客户端IP的请求始终被派发至某特定的服务器。 · 源IP端口算法:源IP和端口相同的请求会分配给相同的后端服务器。 |
健康检查 | 选择是否开启健康检查。 关闭健康检查可能会导致业务请求转发至异常的后端服务器。 |
超时时间(秒) | 每次健康检查响应的最大超时时间。若超时时间大于检查间隔,则实际生效的超时时间与检查间隔的时间相同。 |
延时检测时间(秒) | 连续多次健康检查的间隔时间。 |
最大成功重试次数 | 健康检查失败状态下,判断健康检查正常的连续健康检查成功的次数。 |
最大失败重试次数 | 健康检查成功状态下,判断健康检查不正常连续健康检查失败后进行重试的次数。 |
描述 | 可根据需要输入描述信息,最多255个字符。 |
(6) 单击“免费创建”,即可完成编辑操作。
4.2.6 IP服务器
4.2.6.1 添加IP服务器
简介
基础负载均衡实例支持添加IP类型的后端服务器。
前提条件
已在待添加的后端服务器上配置BLB实例的VIP和内核参数:
· 添加IP,以BLB实例的VIP是192.168.1.6为例:
vip="192.168.1.6"
ip addr add ${vip}/32 dev lo
· 配置内核参数:
echo 1 >/proc/sys/net/ipv4/conf/all/arp_ignore
echo 2 >/proc/sys/net/ipv4/conf/all/arp_announce
操作步骤
(1) 在控制台页面上方单击
,选择地域。
(2) 鼠标悬浮在页面左上角的
上,选择“产品与服务 > 基础负载均衡”,进入实例列表页面。
(3) 单击基础负载均衡实例的ID,进入该实例详情页面。
(4) 在IP服务器区域,单击“添加IP地址”,弹出添加IP服务器窗口。
(5) 根据需要输入一个或多个后端IP地址。
(6) 单击“确定”,完成添加IP服务器操作。
4.2.6.2 删除IP服务器
(1) 在控制台页面上方单击
,选择地域。
(2) 鼠标悬浮在页面左上角的
上,选择“产品与服务 > 基础负载均衡”,进入实例列表页面。
(3) 单击基础负载均衡实例的ID,进入该实例详情页面。
(4) 在IP服务器区域,根据需要进行如下操作:
¡ 删除单个指定IP服务器:单击IP地址对应操作列的“删除”,弹出确认窗口。
¡ 批量删除:选择一个或多个IP服务器后,单击“删除”,弹出确认窗口。
(5) 单击“确定”,完成删除IP服务器操作。
4.2.7 删除实例
限制与指导
若基础负载均衡实例已绑定弹性公网IP,则不支持删除操作。
操作步骤
(2) 鼠标悬浮在页面左上角的
上,选择“产品与服务 > 基础负载均衡”,进入实例列表页面。
(3) 单击基础负载均衡实例对应操作列的“删除”,弹出确认窗口。
(4) 单击“确定”,即可完成删除。
5 常见问题
1. 如何配置后端服务器?
基础负载均衡实例仅支持Linux系统,需要在待添加的后端服务器上配置BLB实例的VIP和内核参数:
· 添加IP,以BLB实例的VIP是192.168.1.6为例:
vip="192.168.1.6"
ip addr add ${vip}/32 dev lo
· 配置内核参数:
echo 1 >/proc/sys/net/ipv4/conf/all/arp_ignore
echo 2 >/proc/sys/net/ipv4/conf/all/arp_announce
2. 基础负载均衡实例是否支持更多的负载均衡算法?
目前只支持源IP和端口的负载均衡算法,其它算法暂不支持。
3. 基础负载均衡实例是否支持绑定IPv6地址?
暂时不支持绑定IPv6地址。
4. 基础负载均衡实例支持什么类型的健康检查?
只支持基于IP的ICMP Ping健康检查,不支持TCP、UDP和HTTP等健康检查。