244      魔獸

負載均衡支持UDP協議常見問題__常見問題_負載均衡-阿裏雲

UDP協議與TCP 協議有什麼區別？

TCP是麵向連接的協議，在正式收發數據前，必須和對方建立可靠的連接。UDP是麵向非連接的協議，它在數據發送前不與對方先進行三次握手，而是直接進行數據包發送傳送。這兩種協議分別適用於不同的應用場景。

UDP協議適用於哪些場景？

UDP協議主要適用於關注實時性而相對不注重可靠性的場景，如視頻聊天、金融實時行情推送、DNS、物聯網等。

目前哪些地域支持UDP協議？

目前UDP協議已在所有地域上線，並且對全網用戶開放，用戶無需申請即可使用UDP協議。

UDP協議的健康檢查如何配置？

配置項和當前四層TCP協議一致，但建議按如下參數配置：

• 響應超時時間 10s
• 健康檢查間隔 5s
• 不健康閾值 3
• 健康閾值 3

UDP健康檢查目前支持自定義發送請求和自定義返回請求，能夠通過返回字符串是否匹配來反映健康檢查的狀態。

調整健康檢查參數規避健康檢查問題

為規避後端服務器端口狀態和負載均衡的健康檢查狀態不一致，請按如下步驟調整。

1. 在負載均衡控製台調大健康檢查間隔和響應超時時間

   • 健康檢查間隔：5S

   • 響應超時時間：10S

2. 如過完成上麵的調整後還出現問題，在後端LINUX服務器上執行如下命令，關閉 “port unreachable”類型的ICMP信息發送的限製。

   sysctl -w net.ipv4.icmp_ratemask=6160

   注意：該值的默認值為：6168

   風險：不再限製 “port unreachable”類型的ICMP信息發送速度，暴露在公網的RS在受到UDP端口掃描攻擊的時候，會不受限製的返回 “port unreachable”類型的ICMP信息，對OS的消耗會增大。

負載均衡UDP健康檢查說明：

基礎健康檢查原理：

往後端服務器指定端口XX發送UDP報文，如果UDP端口XX沒有監聽， 後端服務器協議棧會返回 “port XX unreachable”的ICMP信息。如果負載均衡發送報文後等待超時也沒收到相應ICMP報文，則認為RS UDP XX PORT是正常的，反之則認為UDP PORT XX健康檢查失敗。

基礎健康檢查缺陷：

目前Linux 後端服務器 協議棧有自我保護機製，為防止ICMP攻擊會限製後端服務器發送ICMP的速度。在實際壓力測試中，發現後端服務器確實有不回應“port XX unreachable”的ICMP信息,此時雖然 後端服務器 的UDP PORT XX已經沒有服務，但負載均衡由於沒收到ICMP應答，還會健康檢查成功。

高級健康檢查設置：

如下圖所示，用戶若在配置UDP監聽時設置自定義健康檢查請求和返回結果，負載均衡則會通過發送用戶指定字符串到後端服務器，必須得到用戶指定的返回結果應答，才認為檢查成功，需要用戶程序配合應答。

配置 ECS 安全組允許 UDP 負載均衡實例訪問

負載均衡實例是 VPC 網絡的私網實例，VPC 內的 ECS 需要訪問該負載均衡實例的 UDP 協議，則需要在這些 ECS 的安全組入方向的 UDP 協議允許該負載均衡實例 IP 訪問。

您可使用以下任一方法配置 ECS 安全組：

• 通過VPC控製台的安全組進行授權，如下圖所示：

• 使用 ECS 安全組 API，請參考 API設置。

經典網絡的 ECS 需要訪問負載均衡實例的UDP協議，原則上不需要額外授權，如用戶主動關閉了入方向的授權，則需要開啟。

產品限製和已知問題

• UDP協議當前限製和已知問題如下：

• 每監聽最大連接數限製：10W

• 暫不支持分片包，後續會支持

• 負載均衡CLASSIC實例UDP協議暫不支持查看源地址，後續會支持

• UDP監聽下，以下兩種情況需要5分鍾才能配置生效：

  • 移除後端ECS需要5分鍾才能切換到正常ECS。
  • 健康檢查檢測到異常，設置權重為0時，同樣需要5分鍾才能切換到正常ECS。

UDP相關API

CreateLoadBalancerUDPListener：設置監聽訪問控製狀態

SetLoadBalancerUDPListenerAttribute：查看監聽訪問控製屬性

DescribeLoadBalancerUDPListenerAttribute：給監聽增加白名單

具體見文檔中心- API使用手冊- Listener相關API 部分

最後更新：2016-12-20 15:08:02

  上一篇： 負載均衡的產品和業務限製__常見問題_負載均衡-阿裏雲

  下一篇： 負載均衡 VPC 常見問題__常見問題_負載均衡-阿裏雲