健康检查异常排查思路

1. 四层排查

TCP协议下，负载均衡使用SYN包进行探测；UDP协议下，负载均衡使用ping命令进行探测。

在页面查看LB后端服务器端口的健康状态，若不健康，排查思路如下：

• 确定CLB后端服务器是否有配置有防火墙影响了服务，如果有请关闭

• 使用netstat命令，确定后端服务器的端口是否有进程在监听，若未启动，则重新启动服务

2. 七层排查

针对7层（HTTP协议）服务，当某一监听出现健康检查“异常”时，可以通过如下方面进行排查：

• 由于负载均衡的七层健康检查服务与后端CVM之间的通讯是走内网的，您需要登录服务器检查应用服务器端口是否正常监听在内网地址上，如果没有监听在内网地址，请将应用服务器端口监听到内网上，从而确保负载均衡系统和后端CVM之间的通讯正常。

假设负载均衡前端端口是80，CVM后端端口也是80，CVM内网IP是：1.1.1.10

Windows系统服务器使用如下命令：

netstat -ano | findstr :80

Linux系统服务器使用如下命令：

netstat -anp | grep :80

如果能看到1.1.1.10:80的监听或0.0.0.0:80的监听则说明这部分正常。

• 请确保后端服务器开启了相应的端口，该端口必须与您在负载均衡监听配置中配置的后端端口保持一致。

如果是4层负载均衡，只要后端端口telnet有响应即可，可以使用telnet 1.1.1.10 80来测试。如果是7层负载均衡，需要HTTP状态码是200 等代表正常的状态码。检验方法如下：

Windows系统可以直接在CVM内的浏览器输入内网IP测试是否正常，本例为：http://1.1.1.10
Linux系统可以通过curl -I命令看看状态是否为HTTP/1.1 200 OK，本例是：curl -I 1.1.1.10

• 检查后端CVM内部是否有防火墙或其他安全类防护软件，这类软件很容易将负载均衡系统的本地IP地址屏蔽，从而导致负载均衡系统无法跟后端服务器进行通讯。

检查服务器内网防火墙是否放行80端口，可以暂时关闭防火墙进行测试。

Windows系统可以运行输入firewall.cpl操作关闭
Linux系统可以输入/etc/init.d/iptables stop关闭

• 检查负载均衡健康检查参数设置是否正确，建议参照这里提供的健康检查参数默认值进行设置。

• 健康检查指定的检测文件，建议是以html形式的简单页面，只用于检查返回结果，不建议用php等动态脚本语言。

• 检查后端是否有较高负载导致CVM对外提供服务响应慢。

负载均衡HTTPS服务性能测试

#1.CLB负载均衡器https能力说明

智云云CLB负载均衡器通过对协议栈及服务端的深度优化，实现了HTTPS性能的巨大提升。同时，我们也通过证书的国际合作，极大降低了证书的成本。智云云CLB在如下几个方面能够为业务带来非常显著的收益：

使用HTTPS并不会降低client端的访问速度。

集群内单台服务器SSL加解密性能，高达6.5W cps的完全握手。相比高性能CPU提升了至少3.5倍，节省了服务端成本，极大提升了业务运营及流量突涨时的服务能力，增强了计算型防攻击的能力。

支持多种协议卸载及转换。减少业务适配客户端各种协议的压力，业务后端只需要支持HTTP1.1就能使用HTTP2，SPDY，SSL3.0，TLS1.2等各版本协议。

一站式SSL证书申请、监控、替换。我们和国际顶级的证书厂商comodo，symantec展开对话，探讨合作，大幅缩减证书申请流程及成本。

防CC及WAF功能。能够有效杜绝慢连接、高频定点攻击、SQL注入、网页挂马等应用层攻击。

2. 测试目的

HTTPS服务拥有身份验证，信息加密及完整性校验等优势，但通过新增SSL协议实现安全通信，必然会产生一定的性能损耗，主要包括延时的增加及加解密消耗CPU资源等方面。本文测试了智云云https服务在SSL加解密情况下的极限性能数据，供用户与https传统性能数据进行比对和参考。

3. 测试环境

压力工具：wrk 4.0.2

智云云底层服务环境：Nginx 1.1.6_1.9.9 + Openssl 1.0.2h

安装Nginx机器操作系统信息：Linux TENCENT64.site 3.10.94-1-tlinux2-0036.tl2 #1 SMP Thu Jan 21 03:40:59 CST 2016 x86_64 x86_64 x86_64 GNU/Linux

其他压力机器操作系统：Linux TENCENT64.site 2.6.32.43-tlinux-1.0.17-default #1 SMP Tue Nov 17 18:03:12 CST 2015 x86_64 x86_64 x86_64 GNU/Linux

4. WebServer集群测试方案

由于单台压力机无法发送足够大的压力测试智云云https服务的极限性能，需要采用多台压力机来发送压力，整个测试包含三部分：

1) 压力机集群。用来发送http/https压力，并输出单台机器的压力测试结果 。

2) 中控机，同步控制压力机集群的启动和结束，获取各台机器的压力数据并汇总输出。

3) 测试机，即承载智云云https服务的云机器，测试webserver性能，直接返回页面，不需要连接upstream。

连接关系如下表示：

5. HTTPS WebServer测试性能数据

6. CLBhttps能力测试结论

由上表可知，智云云HTTPS支持SSL加解密，其后端拥有多个服务器集群，单集群的单台云服务器完全握手性能可达到65000 qps，长连接时性能可以达到约300000qps。

普通情况下，HTTPS协议由于使用SSL协议，增加了至少一次完整握手的过程，因此增加延时为2*RTT。此外，SSL对称/非对称加密将消耗大量CPU资源，RSA的解密能力是困扰HTTPS接入的主要难题。

使用智云云负载均衡的HTTPS服务，用户无需为SSL加解密单独部署服务，且智云云不收取任何额外费用，让用户轻松拥有极强的业务承载能力和防攻击能力。