使用技巧
1、ALB IP经常会发生变化,NLB IP不会变化,VPN可以将生产内部服务的记录都指向NLB
2、NLB的TCP:443端口可以挂载NLB和ALB,甚至可以出现套娃模式,NLB -> NLB -> ALB
NLB如果挂载其他LB,不是同账就只能写IP地址,另外必须都使用TCP协议,不可以TLS,加密访问只需要ALB实现。
问题处理
出现超时是依次排查问题,如果出现对应错误都排查一下
NLB TLS错误
流量最外层是Cloudflare,CDN回源到NLB,到NLB出现TLS错误后有几种可能
1、如果应用为GRPC协议,那么需要Cloudflare启用GRPC
2、出现TLS错误以后确认NLB证书是否有效
3、确认Cloudflare的SSL等级,有灵活,严格,完全严格,尽量使用完全严格
这里如果你使用灵活,回源的流量永远会是http,这部分流量是不安全的
Cloudfalre出现520错误
看上去是源站崩了,检查NLB和后端目标组是开启了传递客户端IP,直接请求源站(NLB)时提示52 empty server,
并且ingress-nginx上没有日志,流量没有打过来
提示上面的报错有两种可能
1、ingress-nginx开启了use_proxy:true,但lb使用了alb,alb无法解析代理协议,导致了空的请求头
2、用于开启了传递客户端IP,ingress-nginx即使不是直接面向互联网用户的,也需要在安全组中允许所有地址访问流量端口。