一、 CLB 健康探测源 IP 的范围
腾讯云 CLB 用于对后端服务器(CVM)进行健康检查的探测请求,其源 IP 地址主要有以下两种情况:
-
默认/推荐源 IP 地址段:
-
地址段:
100.64.0.0/10 -
说明: 这是腾讯云为 CLB 健康检查预留的内网 IP 地址段。它能有效避免地址冲突,也是腾讯云推荐的配置。对于新的 CLB 实例,这通常是默认配置。
-
-
存量实例/可选源 IP:
-
地址: 负载均衡实例的 VIP(Virtual IP,即 CLB 的公网或内网 IP 地址)。
-
说明: 较早创建的 CLB 实例,或者用户手动选择的情况下,可能会使用 CLB 的 VIP 作为健康探测的源 IP。
-
二、 诊断健康探测源 IP
当您发现健康检查失败时,第一步要做的就是确定您的 CLB 实例当前使用的是哪个源 IP 地址进行探测。
诊断工具:
腾讯云控制台提供了"健康探测源 IP 诊断助手"(或类似工具)来帮助您确认和切换源 IP。
诊断步骤:
-
登录腾讯云 负载均衡 CLB 控制台。
-
找到目标 CLB 实例,进入实例详情页。
-
查找相关的健康检查配置 或诊断工具入口。
-
使用健康探测源 IP 诊断助手 ,它可以明确告知您当前实例使用的健康探测源 IP 是
100.64.0.0/10还是 CLB 的 VIP。
三、 配置(放行)健康探测源 IP
无论 CLB 使用哪个源 IP,您都需要在后端 CVM 上配置相应的安全策略,确保该 IP 段的流量能够通过,否则健康检查将失败,导致流量不会被转发到该 CVM。
1. 检查和配置 CVM 安全组(推荐
CVM 的安全组是控制网络访问流量的第一道屏障。
-
如果 CLB 源 IP 是
100.64.0.0/10:-
您需要在后端 CVM 绑定的安全组 中,添加一条入站规则。
-
协议类型: 对应您的监听协议(如 TCP/HTTP/HTTPS/UDP)。
-
端口: 对应您的健康检查端口。
-
源 IP: 填写
100.64.0.0/10。 -
策略: 允许(Allow)。
-
-
如果 CLB 源 IP 是 VIP:
-
您需要在 CVM 的安全组中,添加一条入站规则。
-
协议类型/端口: 同上。
-
源 IP: 填写 CLB 实例的 VIP 地址。
-
策略: 允许(Allow)。
-
2. 检查和配置 CVM 内部防火墙/iptables
如果 CVM 内部配置了 Linux 防火墙(如 iptables、firewalld)或 Windows 防火墙,您也需要将上述源 IP 地址段/地址加入白名单,允许其访问健康检查端口。
四、 切换健康探测源 IP(如果需要)
如果您的 CLB 是较早创建的,并且当前使用的是 CLB VIP 作为健康探测源 IP,强烈建议您将其切换到 100.64.0.0/10 网段,以确保未来 CLB 集群升级或变动时不会因为 VIP 变化导致健康检查失败。
-
切换方式:
-
登录 CLB 控制台。
-
使用"健康探测源 IP 诊断助手"或实例详情页中的相关选项,执行一键切换操作。
-
注意: 切换前,请务必先按照第三步的要求,在所有后端 CVM 的安全组和内部防火墙 中放行
100.64.0.0/10网段的流量,以免切换后服务立即中断。
-
五、 诊断健康检查失败的其他常见原因
如果放行了正确的 IP 段,健康检查仍然失败,您还需要检查以下配置:
| 故障项 | 检查点 |
|---|---|
| 端口问题 | 确保健康检查端口与 CVM 上提供服务的实际端口一致。 |
| 服务状态 | 登录 CVM,确保健康检查端口上的服务(如 Nginx、Tomcat 等)正在正常运行。 |
| 四层(TCP) | CLB 仅发送 SYN 包,服务器返回 SYN+ACK 即认为健康,检查服务是否能正确响应 TCP 握手。 |
| 七层(HTTP/HTTPS) | 检查配置的健康检查路径 是否能返回正确的 HTTP 状态码 (默认为 200,且与配置的期望状态码一致)。 |
| HOST 头部 | 对于七层监听,如果后端服务要求请求头中带有特定的 Host 字段,请确保在 CLB 健康检查配置中设置了正确的健康检查域名 。CLB 默认的健康检查请求 User-Agent 是 clb-healthcheck,您可以在 CVM 日志中查看此请求。 |