一般性问题
问:如何决定为我的应用程序选择哪个负载均衡器?
答:Elastic Load Balancing 支持三种类型的负载均衡器。您可以根据自己的应用程序需求选择合适的负载均衡器。如果您需要对 HTTP 请求进行负载均衡,我们建议您使用 Application Load Balancer。对于网络/传输协议(第 4 层 – TCP、UDP)负载均衡和性能/低延迟应用程序,我们建议使用网络负载均衡器。如果您的应用程序是在 EC2 Classic 网络中构建的,那么您应该使用 Classic Load Balancer。
问:是否可以在不使用公有 IP 的情况下,从我的 Amazon Virtual Private Cloud (VPC) 私下访问 Elastic Load Balancing API?
答:是您可以通过创建 VPC 终端节点,从 Amazon Virtual Private Cloud (VPC) 私下访问 Elastic Load Balancing API。 借助 VPC 终端节点,VPC 与 Elastic Load Balancing API 之间的路由由亚马逊云科技网络处理,而无需互联网网关、NAT 网关或 VPN 连接。Elastic Load Balancing 使用的最新一代 VPC 终端节点由 Amazon PrivateLink 提供支持,后者是一项亚马逊云科技技术,该技术支持使用弹性网络接口 (ENI) 和 VPC 中的私有 IP 在亚马逊云科技服务之间实现私有连接。有关 Amazon PrivateLink 的详细信息,请访问 Amazon PrivateLink 文档。
问:负载均衡器是否有 SLA?
答:是的,Elastic Load Balancing 保证您的负载均衡器(Classic、Application、Network 或 Gateway)的每月可用性至少为 99.99%。
Application Load Balancer
问:Application Load Balancer 支持哪些操作系统?
答:Application Load Balancer 支持 Amazon EC2 服务当前支持的任何操作系统的目标。
问:Application Load Balancer 支持哪些协议?
答:Application Load Balancer 支持使用 HTTP 和 HTTPS(安全 HTTP)协议对应用程序进行负载均衡。
问:Application Load Balancer 是否支持 HTTP/2?
答:是。HTTP/2 支持在 Application Load Balancer 上原生启用。支持 HTTP/2 的客户端可以通过 TLS 连接到 Application Load Balancer。
问:如何在我的 Application Load Balancer 上使用静态 IP 或 PrivateLink?
答:您可以将流量从网络负载均衡器(该负载均衡器提供对 PrivateLink 和每个可用区的静态 IP 地址的支持)转发到 Application Load Balancer 。创建 Application Load Balancer 类型的目标组,向其注册 Application Load Balancer,然后将网络负载均衡器配置为将流量转发到 Application Load Balancer 类型的目标组。
问:可以为哪些 TCP 端口执行负载均衡?
答:您可以为下列 TCP 端口执行负载均衡:1-65535。
问:Application Load Balancer 是否支持 WebSockets?
答:是。WebSockets 和 Secure WebSockets 支持在本机提供,可在 Application Load Balancer 上使用。
问:Application Load Balancer 是否支持请求跟踪?
答:是。默认情况下,Application Load Balancer 上启用了请求跟踪。
问:Classic Load Balancer 是否具有与 Application Load Balancer 相同的功能和优势?
答:虽然存在一些重叠,但这两种类型的负载均衡器之间没有同等特性。Application Load Balancer 是我们未来的应用程序层负载均衡平台的基础。
问:我能否将我的 Amazon EC2 实例配置为仅接受来自 Application Load Balancers 的流量?
答:是。
问:我能否为 Application Load Balancers 的前端配置安全组?
答:是。
问:我能否将我用于 Classic Load Balancer 的现有 API 与 Application Load Balancer 结合使用?
答:不能。Application Load Balancer 需要一组新的应用程序编程接口 (API)。
问:如何同时管理 Application Load Balancer 和 Classic Load Balancer?
答:ELB 控制台允许您从同一界面管理 Application Load Balancer 和 Classic Load Balancer。如果您使用的是 CLI 或 SDK,则将为 Application Load Balancer 使用不同的“服务”。例如,在 CLI 中,您将使用“aws elb describe-load-balancers”描述 Classic Load Balancer,而使用“aws elbv2 describe-load-balancers”描述 Application Load Balancer。
问:我能否将 Classic Load Balancer 转换为 Application Load Balancer(反之亦然)?
答:不能,您不能将一种负载均衡器类型转换为另一种类型。
问:我能否从 Classic Load Balancer 迁移到 Application Load Balancer?
答:是。您可以使用本文档中列出的选项之一从 Classic Load Balancer 迁移到 Application Load Balancer。
问:我能否将 Application Load Balancer 用作第 4 层负载均衡器?
答:不能。如果您需要第 4 层功能,您应该使用网络负载均衡器。
问:可否使用单个 Application Load Balancer 处理 HTTP 和 HTTPS 请求?
答:可以,您可以将 HTTP 端口 80 和 HTTPS 端口 443 的侦听器添加到单个 Application Load Balancer 中。
问:是否可以出于安全分析和运营故障排除的目的获得从我的账户发起的 Application Load Balancing API 调用的历史记录?
答:是。要接收在您的账户上发起的 Application Load Balancing API 调用的历史记录,请使用 Amazon CloudTrail。
问:Application Load Balancer 是否支持 HTTPS 终止?
答:是的,您可以在 Application Load Balancer 上终止 HTTPS 连接。您必须在负载均衡器上安装安全套接字层 (SSL) 证书。负载均衡器使用此证书终止连接,然后在将来自客户端的请求发送到目标之前对其进行解密。
问:获取 SSL 证书的步骤是什么?
答:您可以使用 Amazon Certificate Manager 预置 SSL/TLS 证书,也可以通过创建证书请求、获取 CA 签名的证书请求,然后使用 Amazon Certification Manager 或 Amazon Identity and Access Management (IAM) 上传证书来从其他来源获取证书。
问:Application Load Balancer 如何与 Amazon Certificate Manager (ACM) 集成?
答:Application Load Balancer 已与 Amazon Certificate Management (ACM) 集成。与 ACM 的集成使得您可以将证书轻松绑定到负载均衡器,从而使整个 SSL 卸载过程变得非常简单。购买、上传和续订 SSL/TLS 证书是一个耗时且复杂的手动过程。通过将 ACM 与 Application Load Balancer 集成,整个过程已缩短为只需请求受信任的 SSL/TLS 证书,然后选择 ACM 证书以使用负载均衡器进行预置。
问:Application Load Balancer 是否支持后端服务器身份验证?
答:否,使用 Application Load Balancer 只支持对后端进行加密。
问:如何为我的 Application Load Balancer 启用服务器名称指示 (SNI)?
答:当您将多个 TLS 证书与负载均衡器上的同一个安全侦听器关联时,会自动启用 SNI。同样,如果只有一个证书与安全侦听器关联,则会自动禁用安全侦听器的 SNI 模式。
问:我能否将同一个域的多个证书与一个安全侦听器关联?
答:可以,您可以将同一个域的多个证书与一个安全侦听器关联。例如,您可以关联:
- ECDSA 和 RSA 证书
- SSL/TLS 证书具有不同密钥大小(例如 2K 和 4K)的证书
- 单域、多域 (SAN) 和通配符证书
问:Application Load Balancer 是否支持 IPv6?
答:是的,Application Load Balancer 支持 IPv6。
问:如何在 Application Load Balancer 上设置规则?
答:您可以为负载均衡器上的每个侦听器配置规则。这些规则包括条件和满足条件时的相应操作。支持的条件包括主机标头、路径、HTTP 标头、方法、查询参数和源 IP CIDR。支持的操作包括重新导向、固定响应、身份验证和转发。设置完此设置后,负载均衡器将使用规则来确定应如何路由特定 HTTP 请求。您可以在规则中使用多个条件和操作,并且可以在每个条件中为多个值指定匹配项。
问:Application Load Balancer 的资源是否有限制?
答:您的亚马逊云科技账户对 Application Load Balancer 设置有这些限制。
问:如何保护负载均衡器背后的 Web 应用程序免受 Web 攻击?
答:您可以将 Application Load Balancer 与 Amazon WAF 集成,该 Web 应用程序防火墙允许您根据 IP 地址、HTTP 标头和自定义 URI 字符串配置规则,从而帮助保护 Web 应用程序免受攻击。使用这些规则,Amazon WAF 可以阻止、允许或监控(计算)Web 应用程序的 Web 请求。有关更多信息,请参阅 Amazon WAF 开发人员指南。
问:我能否对任意 IP 地址进行负载均衡?
答:您可以将负载均衡器的 VPC CIDR 中的任何 IP 地址用于负载均衡器的 VPC 内的目标,对于位于负载均衡器的 VPC 之外的目标(例如,可通过 Amazon Direct Connect 访问的对等 VPC、EC2-Classic 和本地位置中的目标),您可以使用 RFC 1918 范围(10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16)或 RFC 6598 范围 (100.64.0.0/10) 中的任何 IP 地址。
问:如何对分布在 VPC 和本地位置的应用程序进行负载均衡?
答:有多种方法可以实现混合负载均衡。如果应用程序在分布于 VPC 和本地位置之间的目标上运行,您可以使用它们的 IP 地址将它们添加到同一目标组。要在不影响应用程序的情况下迁移到亚马逊云科技,请逐步将 VPC 目标添加到目标组,然后从目标组中移除本地目标。
如果您有两个不同的应用程序,例如一个应用程序的目标位于 VPC 中,而其他应用程序的目标位于本地位置,则可以将 VPC 目标放在一个目标组中,将本地目标放在另一个目标组中,然后使用基于内容的路由将流量路由到每个目标组。您还可以为 VPC 和本地目标使用单独的负载均衡器,并使用 DNS 权重在 VPC 和本地目标之间实现加权负载均衡。
问:如何对 EC2-Classic 实例进行负载均衡?
答:将 EC2-Classic 的实例 ID 注册为目标时,您无法对其进行负载均衡。但是,如果您使用 ClassicLink 将这些 EC2-Classic 实例链接到负载均衡器的 VPC,并使用这些 EC2-Classic 实例的私有 IP 作为目标,则可以对 EC2-Classic 实例进行负载均衡。如果您现在将 EC2 Classic 实例与 Classic Load Balancer 结合使用,则可以轻松迁移到 Application Load Balancer。
问:如何在 Application Load Balancer 中启用跨区域负载均衡?
答:默认情况下,Application Load Balancer 中已启用跨区域负载均衡。
问:Application Load Balancer 支持哪种类型的重新导向?
答:支持以下三种类型的重新导向。
| 重新导向的类型 | 示例 |
|---|---|
| HTTP 到 HTTP | http://hostA 到 http://hostB |
| HTTP 到 HTTPS | http://hostA 到 https://hostB |
| HTTPS 到 HTTPS | https://hostA 到 https://hostB |
问:ALB 对于固定响应操作的邮件正文支持哪些内容类型?
答:支持以下内容类型:文本/纯文本、文本/css、文本/html、应用程序/javascript、应用程序/json。
问:通过 Application Load Balancer 调用 Amazon Lambda 的工作原理是什么?
答:负载均衡器收到的 HTTP(S) 请求由基于内容的路由规则处理。如果请求内容与将其转发到以 Lambda 函数为目标的目标组的操作规则相匹配,则调用相应的 Lambda 函数。请求的内容(包括标头和正文)将以 JSON 格式传递给 Lambda 函数。来自 Lambda 函数的响应应为 JSON 格式。来自 Lambda 函数的响应将转换为 HTTP 响应并发送给客户端。负载均衡器使用 Amazon Lambda 调用 API 调用您的 Lambda 函数,并要求您已向 Elastic Load Balancing 服务提供 Lambda 函数的调用权限。
问:通过 Application Load Balancer 进行的 Lambda 调用是否支持通过 HTTP 和 HTTPS 协议的请求?
答:是。Application Load Balancer 支持通过 HTTP 和 HTTPS 协议对请求进行 Lambda 调用。
问:Application Load Balancer 定价是如何运作的?
答:您需要按 Application Load Balancer 的运行小时数(不足 1 小时按 1 小时算)和每小时使用的负载均衡器容量单元 (LCU) 数付费。
问:什么是负载均衡器容量单元 (LCU)?
答:LCU 是确定您如何为 Application Load Balancer 付款的新指标。LCU 定义了 Application Load Balancer 处理流量的任何一个维度(新连接、活动连接、带宽和规则评估)消耗的最大资源。
问:LCU 会向我收取 Classic Load Balancer 的费用吗?
答:不可以,Classic Load Balancer 将继续按带宽和每小时使用量计费。
问:我如何知道 Application Load Balancer 正在使用的 LCU 数量?
答:我们将通过 Amazon CloudWatch 公开构成 LCU 的所有四个维度的用法。
问:将会针对 LCU 中的所有维度向我计费吗?
答:不是。每小时的 LCU 数量将根据构成 LCU 的四个维度中消耗的最大资源来确定。
问:将会针对部分 LCU 向我计费吗?
答:是。
问:是否为新的亚马逊云科技账户提供 Application Load Balancer 的免费套餐?
答:是。对于新的亚马逊云科技账户,Application Load Balancer 的免费套餐提供 750 小时的使用时间和 15 个 LCU。此免费套餐优惠仅适用于亚马逊云科技新客户,在您注册亚马逊云科技之日起 12 个月内可用
问:我是否可以将 Application Load Balancer 和 Classic Load Balancer 组合使用作为免费套餐的一部分?
答:是。您可以分别为 Classic 和 Application Load Balancer 使用 15GB 和 15 个 LCU。Classic 和 Application Load Balancer 将共享 750 个小时的负载均衡器使用时间。
问:什么是规则评估?
答:规则评估定义为已处理的规则数和一小时内平均请求率的乘积。
问:LCU 账单如何处理不同的证书类型和密钥大小?
答:在用于计费的 LCU 计算中,证书密钥大小仅影响每秒的新连接数量。下表列出了 RSA 和 ECDSA 证书不同密钥大小的此维度值。
| RSA 证书 | ||||
|---|---|---|---|---|
| 密钥大小 | <=2K | <=4K | <=8K | >8K |
| 新连接数/秒 | 25 | 5 | 1 | 0.25 |
| ECDSA 证书 | ||||
|---|---|---|---|---|
| 密钥大小 | <=256 | <=384 | <=521 | >521 |
| 新连接数/秒 | 25 | 5 | 1 | 0.25 |
问:在应用程序负载均衡器中启用跨区域负载均衡时,我是否需要为亚马逊云科技区域数据传输付费?
答:不需要。由于应用程序负载均衡器始终启用跨区域负载均衡,因此您无需为此类区域数据传输付费。
问:Application Load Balancer 中的用户身份验证是否单独收费?
答:不是。在 Application Load Balancer 中启用身份验证功能无需单独付费。将 Amazon Cognito 与 Application Load Balancer 结合使用时,将适用 Amazon Cognito 定价。
问:对于 Amazon Lambda 目标的 Application Load Balancer 使用情况,将如何向您收费?
答:您需要照常按 Application Load Balancer 的运行小时数(不足 1 小时按 1 小时算)和每小时使用的负载均衡器容量单元 (LCU) 数付费。对于 Lambda 目标,每个 LCU 每小时提供 0.4GB 的已处理字节数、每秒 25 个新连接、每分钟 3000 个活动连接和每秒 1000 次规则评估。对于已处理的字节维度,每个 LCU 为 Lambda 目标提供每小时 0.4GB,而对于所有其他目标类型(如 EC2 实例、容器和 IP 地址),每小时提供 1GB。请注意,Application Load Balancer 的 Lambda 调用适用通常的 Amazon Lambda 费用。
问:如何区分 Lambda 目标处理的字节数与其他目标(Amazon EC2、容器和本地服务器)处理的字节数?
答:Applications Load Balancer 会发出两个新的 CloudWatch 指标。LambdaTargetProcessedBytes 指标表示 Lambda 目标处理的字节数,而 StandardProcessedBytes 指标则表示所有其他目标类型处理的字节数。
网络负载均衡器
问:我是否能为网络负载均衡器创建 TCP 或 UDP(第 4 层)侦听器?
答:是。网络负载均衡器支持 TCP、UDP 和 TCP+UDP(第 4 层)侦听器以及 TLS 侦听器。
问:网络负载均衡器有哪些主要功能?
答:网络负载均衡器同时提供 TCP 和 UDP(第 4 层)负载均衡。它的架构可以每秒处理数百万个请求,处理突然波动的流量模式,并提供低延迟。此外,网络负载均衡器还支持 TLS 终止,保留客户端的源 IP,并提供稳定的 IP 支持和区域隔离。它还支持长时间运行的连接,这对于 WebSocket 类型的应用程序非常有用。
问:网络负载均衡器是否能在同一端口上同时处理 TCP 和 UDP 协议流量?
答:是。为实现此目的,您可以使用 TCP+UDP 侦听器。例如,对于同时使用 TCP 和 UDP 的 DNS 服务,您可以在端口 53 上创建 TCP+UDP 侦听器,负载均衡器将处理该端口上的 UDP 和 TCP 请求的流量。您必须将 TCP+UDP 侦听器与 TCP+UDP 目标组相关联。
问:网络负载均衡器与 Classic Load Balancer 上的 TCP 侦听器相比如何?
答:网络负载均衡器会保留 Classic Load Balancer 中未保留的客户端的源 IP。客户可以将代理协议与 Classic Load Balancer 结合使用来获取源 IP。网络负载均衡器会自动为负载均衡器提供每个可用区的静态 IP,还可以为每个可用区的负载均衡器分配弹性 IP。Classic Load Balancer 不支持此功能。
问:我是否能从 Classic Load Balancer 迁移到网络负载均衡器?
答:是。您可以使用本文档中列出的选项之一从 Classic Load Balancer 迁移到网络负载均衡器。
问:我的网络负载均衡器的资源是否有限制?
答:是,请参阅网络负载均衡器限制文档了解更多信息。
问:我是否能使用亚马逊云科技管理控制台来设置我的网络负载均衡器?
答:是的,您可以使用亚马逊云科技管理控制台、亚马逊云科技 CLI 或 API 来设置网络负载均衡器。
问:我是否能将 Classic Load Balancer 的现有 API 用于我的网络负载均衡器?
答:不能。要创建 Classic Load Balancer,请使用 2012-06-01 API。要创建网络负载均衡器或 Application Load Balancer,请使用 2015-12-01 API。
问:我是否能在单个可用区中创建我的网络负载均衡器?
答:是的,您可以在创建负载均衡器时通过提供单个子网在单个可用区中创建网络负载均衡器。
问:网络负载均衡器是否支持 DNS 区域和可用区故障转移?
答:是的,您可以使用 Amazon Route 53 运行状况检查和 DNS 故障转移功能来增强在网络负载均衡器背后运行的应用程序的可用性。使用 Route 53 DNS 故障转移,您可以在多个亚马逊云科技可用区中运行应用程序,并为跨区域的故障转移指定备用负载均衡器。
如果您为多可用区配置了网络负载均衡器,如果没有向该可用区的负载均衡器注册运行正常的 EC2 实例,或者给定可用区中的负载均衡器节点运行状况不佳,则 R-53 将无法故障转移到其他正常运行状况良好的可用区中的备用负载均衡器节点。
问:我是否能为网络负载均衡器混合使用 ELB 提供的 IP 和弹性 IP 或使用分配的私有 IP?
答:不能。网络负载均衡器的地址必须完全由您控制,或完全由 ELB 控制。这是为了确保在将弹性 IP 与网络负载均衡器结合使用时,客户端已知的所有地址都不会更改。
问:我是否能为每个子网中的网络负载均衡器分配多个 EIP?
答:不能。对于网络负载均衡器所在的每个关联子网,网络负载均衡器只能支持一个公有/面向 Internet 的 IP 地址。
问:如果我移除/删除网络负载均衡器,与之关联的弹性 IP 地址会发生什么情况?
答:与您的负载均衡器关联的弹性 IP 地址将返回到您分配的池中,供将来使用。
问:网络负载均衡器是否支持内部负载均衡器?
答:网络负载均衡器可以设置为面向 Internet 的负载均衡器或内部负载均衡器,这一点类似于 Application Load Balancer 和 Classic Load Balancer。
问:内部网络负载均衡器是否能在每个子网中支持多个私有 IP?
答:不能。对于负载均衡器所在的每个关联子网,网络负载均衡器只能支持单个私有 IP。
问:我是否可以使用网络负载均衡器设置 Websockets?
答:是的,请配置 TCP 侦听器,将流量路由到实现 WebSockets 协议的目标 (https://tools.ietf.org/html/rfc6455)。由于 WebSockets 是第 7 层协议,而网络负载均衡器在第 4 层运行,因此 WebSockets 或其他更高级别的协议的网络负载均衡器中没有特殊处理。
问:我能否对任意 IP 地址进行负载均衡?
答:是。您可以将负载均衡器的 VPC CIDR 中的任何 IP 地址用于负载均衡器的 VPC 内的目标,对于位于负载均衡器的 VPC 之外(例如,可通过 Amazon Direct Connect 访问的 EC2-Classic 和本地位置)的目标,您可以使用 RFC 1918 范围(10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16)或 RFC 6598 范围 (100.64.0.0/10) 中的任何 IP 地址。对 IP 地址目标类型的负载均衡仅支持 TCP 侦听器,且目前不支持 UDP 侦听器。
问:我是否可以使用网络负载均衡器来设置 PrivateLink?
答:是的,带有 TCP 和 TLS 侦听器的网络负载均衡器可用于设置 PrivateLink。您不能在网络负载均衡器上使用 UDP 侦听器设置 PrivateLink。
问:什么是 UDP 流?
答:虽然用户数据报协议 (UDP) 是无连接的,但负载均衡器会根据 5 元组哈希来维护 UDP 流状态,从而确保在同一上下文中发送的数据包始终如一地转发到同一目标。只要流量在流动,该流都会被视为活动状态,直到达到空闲超时。一旦达到超时阈值,负载均衡器将忘记关联性,传入的 UDP 数据包将被视为新流并会负载均衡到新目标。
问:网络负载均衡器支持的空闲超时是多少?
答:TCP 连接的网络负载均衡器空闲超时为 350 秒。UDP 流的空闲超时为 120 秒。
问:使用 IP 地址而不是实例 ID 定位负载均衡器背后的容器有什么益处?
答:实例上的每个容器现在都可以拥有自己的安全组,无需与其他容器共享安全规则。您可以将安全组附加到 ENI,且实例上的每个 ENI 都可以有不同的安全组。您可以将容器映射到特定 ENI 的 IP 地址,以便为每个容器关联安全组。使用 IP 地址进行负载均衡还使得在一个实例上运行的多个容器能够使用相同的端口(例如端口 80)。跨容器使用同一端口的能力允许实例上的容器通过已知端口而不是随机端口相互通信。
问:如何对分布在 VPC 和本地位置的应用程序进行负载均衡?
答:有多种方法可以实现混合负载均衡。如果应用程序在分布于 VPC 和本地位置之间的目标上运行,您可以使用它们的 IP 地址将它们添加到同一目标组。要在不影响应用程序的情况下迁移到亚马逊云科技,请逐步将 VPC 目标添加到目标组,然后从目标组中移除本地目标。您还可以为 VPC 和本地目标使用单独的负载均衡器,并使用 DNS 权重在 VPC 和本地目标之间实现加权负载均衡。
问:如何对 EC2-Classic 实例进行负载均衡?
答:将 EC2-Classic 的实例 ID 注册为目标时,您无法对其进行负载均衡。但是,如果您使用 ClassicLink 将这些 EC2-Classic 实例链接到负载均衡器的 VPC,并使用这些 EC2-Classic 实例的私有 IP 作为目标,则可以对 EC2-Classic 实例进行负载均衡。如果您现在将 EC2 Classic 实例与 Classic Load Balancer 结合使用,则可以轻松迁移到网络负载均衡器。
问:如何在网络负载均衡器中启用跨区域负载均衡?
答:只有在创建网络负载均衡器后,才能启用跨区域负载均衡。您可以通过编辑负载均衡属性部分,然后选择跨区域负载平衡支持复选框来实现此目的。
问:当我在网络负载均衡器中启用跨区域负载均衡时,是否需要为亚马逊云科技区域数据传输付费?
答:是,启用跨区域负载均衡后,您需要为使用网络负载均衡器的可用区之间的区域数据传输付费。
问:跨区域负载均衡对网络负载均衡器限制是否有任何影响?
答:是。网络负载均衡器目前为每个可用区支持 200 个目标。例如,如果您在两个可用区中,则最多可以向网络负载均衡器注册 400 个目标。如果启用跨区域负载均衡,则最大目标数从每个可用区 200 个减少到每个负载均衡器 200 个。因此,在上面的示例中:当启用跨区域负载均衡时,即使您的负载均衡器位于两个可用区中,也只能向负载均衡器注册 200 个目标。
问:网络负载均衡器是否支持 TLS 终止?
答:是的,您可以在网络负载均衡器上终止 TLS 连接。您必须在负载均衡器上安装 SSL 证书。负载均衡器使用此证书终止连接,然后在将来自客户端的请求发送到目标之前对其进行解密。
问:在网络负载均衡器上终止 TLS 时是否会保留源 IP?
答:即使您在网络负载均衡器上终止了 TLS,源 IP 也会继续保留。
问:获取 SSL 证书的步骤是什么?
答:您可以使用 Amazon Certificate Manager 预置 SSL/TLS 证书,也可以通过创建证书请求、获取证书办法机构 (CA) 签名的证书请求,然后使用 Amazon Certification Manager (ACM) 或 Amazon Identity and Access Management (IAM) 服务上传证书来从其他来源获取证书。
问:如何为我的网络负载均衡器启用服务器名称指示 (SNI)?
答:当您将多个 TLS 证书与负载均衡器上的同一个安全侦听器关联时,会自动启用 SNI。同样,如果只有一个证书与安全侦听器关联,则会自动禁用安全侦听器的 SNI 模式。
问:网络负载均衡器如何与 Amazon Certificate Manager (ACM) 或 Identity Access Manager (IAM) 集成?
答:网络负载均衡器已与 Amazon Certificate Management (ACM) 集成。与 ACM 的集成使得您可以将证书轻松绑定到负载均衡器,从而使整个 SSL 卸载过程变得非常简单。购买、上传和续订 SSL/TLS 证书是一个耗时且复杂的手动过程。通过将 ACM 与网络负载均衡器集成,整个过程已缩短为只需请求受信任的 SSL/TLS 证书,然后选择 ACM 证书以使用负载均衡器进行预置。创建网络负载均衡器后,您现在可以配置 TLS 侦听器,然后可以选择从 ACM 或 Identity Access Manager (IAM) 中选择证书。此体验类似于 Application Load Balancer 或 Classic Load Balancer 带给您的体验。
问:网络负载均衡器是否支持后端服务器身份验证?
答:否,网络负载均衡器只支持对后端进行加密。
问:网络负载均衡器支持哪些证书类型?
答:网络负载均衡器仅支持密钥大小为 2K 的 RSA 证书。我们目前不支持网络负载均衡器上大小大于 2K 的 RSA 证书密钥或 ECDSA 证书。
问:网络负载均衡器定价是如何运作的?
答:您需要按网络负载均衡器的运行小时数(不足 1 小时按 1 小时算)和网络负载均衡器每小时使用的负载均衡器容量单元 (LCU) 数付费。
问:什么是负载均衡器容量单元 (LCU)?
答:LCU 是确定您如何为网络负载均衡器付款的新指标。LCU 定义了网络负载均衡器处理流量的任何一个维度(新连接/流、活动连接/流和带宽)消耗的最大资源。
问:网络负载均衡器上 TCP 流量的 LCU 指标是什么?
答:TCP 流量的 LCU 指标如下:
- 每秒 800 个新的 TCP 连接。
- 100000 个活动的 TCP 连接(每分钟采样)。
- 作为目标的 Amazon EC2 实例、容器和 IP 地址每小时 1GB。
答:UDP 流量的 LCU 指标如下:
- 每秒 400 个新流。
- 50000 个活动的 UDP 流(每分钟采样)。
- 作为目标的 Amazon EC2 实例、容器和 IP 地址每小时 1GB。
问:网络负载均衡器上 TLS 流量的 LCU 指标是什么?
答:TLS 流量的 LCU 指标如下:
- 每秒 50 个新的 TLS 连接。
- 3000 个活动的 TLS 连接(每分钟采样)。
- 作为目标的 Amazon EC2 实例、容器和 IP 地址每小时 1GB。
问:每秒新连接/流数量是否与每秒请求数相同?
答:否。可以在一个连接中发送多个请求。
问:LCU 会向我收取 Classic Load Balancer 的费用吗?
答:不会。Classic Load Balancer 将继续按带宽和小时费用计费。
问:我如何知道网络负载均衡器正在使用的 LCU 数量?
答:我们将通过 Amazon CloudWatch 公开构成 LCU 的所有三个维度的用法。
问:将会针对 LCU 中的所有维度向我计费吗?
答:不会。每小时的 LCU 数量将根据构成 LCU 的三个维度中消耗的最大资源来确定。
问:将会针对部分 LCU 向我计费吗?
答:是。
问:是否为新账户提供网络负载均衡器的免费套餐?
答:是。对于新账户,网络负载均衡器的免费套餐提供 750 小时的使用时间和 15 个 LCU。此免费套餐优惠仅适用于亚马逊云科技新客户,在您注册亚马逊云科技之日起 12 个月内可用。
问:我是否可以将网络负载均衡器、Application Load Balancer 和 Classic Load Balancer 组合使用作为免费套餐的一部分?
答:是。您可以对 Application 和 Network 各使用 15 个 LCU,并为 Classic 使用 15GB。750 个负载均衡器小时由 Application Load Balancer、网络负载均衡器和 Classic Load Balancer 共享。
Gateway Load Balancer
入门
问:我应该在什么时候使用 Gateway Load Balancer,而不是网络负载均衡器或 Application Load Balancer?
答:在部署内联虚拟设备时,如果网络流量不是发送到 Gateway Load Balancer 本身,您应该使用 Gateway Load Balancer。Gateway Load Balancer 透明地通过第三方虚拟设备传递所有第 3 层流量,流量的来源和目标不可见。
问:Gateway Load Balancer 有哪些主要功能?
答:Gateway Load Balancer 同时提供第 3 层网关和第 4 层负载均衡功能。它是一种透明的线路插件设备,不会改变数据包的任何部分。它的架构可以每秒处理数百万个请求,处理波动的流量模式,并带来极低的延迟。
问:Gateway Load Balancer 是否执行 TLS 终止?
答:Gateway Load Balancer 不会执行 TLS 终止,也不会维护任何应用程序状态。这些功能由导向流量和接收流量的第三方虚拟设备执行。
问:Gateway Load Balancer 是否维护应用程序状态?
答:Gateway Load Balancer 不维护应用程序状态,但它使用 5 元组(对于 TCP/UDP 流)或 3 元组(对于非 TCP/UDP 流)来保持流对特定设备的粘性。
问:Gateway Load Balancer 如何定义流?
答:Gateway Load Balancer 将流定义为包含源 IP、目标 IP、协议、源端口和目标端口的 5 元组的组合。使用 5 元组哈希值,Gateway Load Balancer 可确保流的两个方向(即源到目标和目标到源)一致地转发到同一目标。只要流量在流动,该流都会被视为活动状态,直到达到空闲超时。一旦达到超时阈值,负载均衡器将忘记关联性,传入的流量数据包将被视为新流并且可能会负载均衡到新目标。
请注意,5 元组哈希值可能会影响基于 TCP 的应用程序,这些应用程序将单独的流或端口号用于控制和数据,例如 FTP、Microsoft RDP、Windows RPC 和 SSL VPN。此类应用程序的控制和数据流可能落在不同的目标设备上,并可能导致流量中断。
问:Gateway Load Balancer 支持的空闲超时是多少?
答:TCP 连接的 Gateway Load Balancer 空闲超时为 350 秒。非 TCP 流的空闲超时为 120 秒。这些超时是固定的,无法更改。
问:Gateway Load Balancer 如何处理单个可用区中一个虚拟设备实例的故障?
答:当单个虚拟设备实例出现故障时,Gateway Load Balancer 会将其从路由列表中删除,然后将流量重新路由到运行正常的设备实例。
问:Gateway Load Balancer 如何处理单个可用区内所有虚拟设备的故障?
答:如果一个可用区内的所有虚拟设备都出现故障,Gateway Load Balancer 将丢弃网络流量。我们建议在多个可用区中部署 Gateway Load Balancer,以提高可用性。如果一个可用区中的所有设备都出现故障,则可以使用脚本添加新设备或将流量引导到另一个可用区中的 Gateway Load Balancer。
问:我是否可以将设备配置为多个 Gateway Load Balancer 的目标?
答:是的,多个 Gateway Load Balancer 可以指向同一组虚拟设备。
问:我可以为 Gateway Load Balancer 创建哪种类型的侦听器?
答:Gateway Load Balancer 是一种透明的线路插件设备,可侦听所有类型的 IP 流量(包括 TCP、UDP、ICMP、GRE、ESP 等)。因此,仅在 Gateway Load Balancer 上创建 IP 侦听器。
问:我的 Gateway Load Balancer 的资源是否有限制?
答:是的,请参阅 Gateway Load Balancer 限制文档了解更多信息。
问:我是否能够使用亚马逊云科技管理控制台来设置我的 Gateway Load Balancer?
答:是的,您可以使用亚马逊云科技管理控制台、亚马逊云科技 CLI 或 API 来设置 Gateway Load Balancer。
问:我是否可以在单个可用区中创建我的 Gateway Load Balancer?
答:是的,您可以在创建负载均衡器时提供单个子网,以在单个可用区中创建 Gateway Load Balancer。但是,我们建议使用多个可用区以提高可用性。创建 Gateway Load Balancer 后,您无法为其添加或删除可用区。
问:如何在 Gateway Load Balancer 中启用跨区域负载均衡?
答:默认情况下,跨区域负载均衡处于禁用状态。只有在创建 Gateway Load Balancer 之后,您才能启用跨区域负载均衡。您可以通过编辑负载均衡属性部分,然后选择跨区域负载平衡支持复选框来实现此目的。
问:当我在 Gateway Load Balancer 中启用跨区域负载均衡时,是否需要为亚马逊云科技数据传输付费?
答:是,启用跨区域负载均衡后,您需要为使用 Gateway Load Balancer 的可用区之间的数据传输付费。在 Amazon EC2 按需定价页面的数据传输部分查看费用。
问:跨区域负载均衡对 Gateway Load Balancer 限制是否有任何影响?
答:是。Gateway Load Balancer 目前为每个可用区支持 300 个目标。例如,如果您在 3 个可用区中创建了 Gateway Load Balancer,则最多可以注册 900 个目标。如果启用跨区域负载均衡,则最大目标数从每个可用区 300 个减少到每个 Gateway Load Balancer 300 个。
Gateway Load Balancer 定价常见问题
问:Gateway Load Balancer 定价是如何运作的?
答:您需要按 Gateway Load Balancer 的运行小时数(不足 1 小时按 1 小时算)和 Gateway Load Balancer 每小时使用的负载均衡器容量单元 (LCU) 数付费。
问:什么是负载均衡器容量单元 (LCU)?
答:LCU 是一项 Elastic Load Balancing 指标,用于确定您如何为 Gateway Load Balancer 付款。LCU 定义了 Gateway Load Balancer 处理流量的任何一个维度(新连接/流、活动连接/流和带宽)消耗的最大资源。
问:Gateway Load Balancer 的 LCU 指标是什么?
答:TCP 流量的 LCU 指标如下:
- 每秒 600 个新流(或连接)。
- 60000 个活动流(或连接)(每分钟采样)。
- 作为目标的 EC2 实例、容器和 IP 地址每小时 1GB。
答:不会,只会按照三个维度中的一个(一小时内最高)向您收取费用。
Gateway Load Balancer 终端节点
问:为什么我需要 Gateway Load Balancer 终端节点?
为了发挥价值,虚拟设备需要尽量减少额外的延迟,而且流入和流出虚拟设备的流量必须遵循安全连接。Gateway Load Balancer 终端节点可创建满足这些要求所需的安全、低延迟的连接。
问:Gateway Load Balancer 终端节点如何帮助集中化?
使用 Gateway Load Balancer 终端节点,设备可以驻留在不同的亚马逊云科技账户和 VPC 中。这使得设备可以集中在一个位置,以便更轻松地进行管理并减少运营开销。
问:Gateway Load Balancer 终端节点如何工作?
Gateway Load Balancer 终端节点是一种使用 PrivateLink 技术的新型 VPC 终端节点。当网络流量从源(互联网网关、VPC 等)流向 Gateway Load Balancer 并返回时,Gateway Load Balancer 终端节点可确保两者之间的私有连接。所有流量都通过亚马逊云科技网络流动,数据永远不会公开到互联网上,从而提高了安全性和性能。
问:PrivateLink 接口终端节点与 Gateway Load Balancer 终端节点有何不同?
PrivateLink 接口终端节点与网络负载均衡器 (NLB) 配对,以便分发发往 Web 应用程序的 TCP 和 UDP 流量。相比之下,Gateway Load Balancer 终端节点与 Gateway Load Balancer 结合使用,以连接流量的源和目标。流量从 Gateway Load Balancer 终端节点流向 Gateway Load Balancer,通过虚拟设备,然后通过安全的 PrivateLink 连接返回目标。
Classic Load Balancer
问:Classic Load Balancer 支持哪些操作系统?
答:Classic Load Balancer 支持具有 Amazon EC2 服务目前所支持的任何操作系统的 Amazon EC2 实例。
问:Classic Load Balancer 支持哪些协议?
答:Classic Load Balancer 支持使用 HTTP、HTTPS(安全 HTTP)、SSL(安全 TCP)和 TCP 协议对应用程序进行负载均衡。
问:可以为哪些 TCP 端口执行负载均衡?
您可以为下列 TCP 端口执行负载均衡:
- [EC2-VPC] 1-65535
- [EC2-Classic] 25、80、443、465、587、1024-65535
问:Classic Load Balancer 是否支持 IPv6 流量?
答:是。每个 Classic Load Balancer 都关联一个 IPv4、一个 IPv6,以及一个双协议栈(同时支持 IPv4 和 IPv6)DNS 名称。VPC 不支持 IPv6。您可以将 Application Load Balancer 用于 VPC 中的原生 IPv6 支持。
问:是否可以将 Amazon EC2 实例配置为仅接受来自 Classic Load Balancer 的流量?
答:是。
问:我是否可以为 Classic Load Balancer 的前端配置安全组?
答:如果您使用的是 Amazon Virtual Private Cloud,则可以为 Classic Load Balancer 的前端配置安全组。
问:可否使用单个 Classic Load Balancer 处理 HTTP 和 HTTPS 请求?
答:可以,您可以将 HTTP 端口 80 和 HTTPS 端口 443 映射到单个 Classic Load Balancer。
问:已执行负载均衡的 Amazon EC2 实例需要从每个 Classic Load Balancer 接受多少个连接?
答:Classic Load Balancer 并不为其可以尝试与您的已负载均衡的 Amazon EC2 实例建立的连接数设置上限。您会发现此数值会随着 HTTP、HTTPS 或 SSL 并发请求数,或者 Classic Load Balancer 所接收的并发 TCP 连接数而扩展。
问:是否可以在 Amazon Virtual Private Cloud 中使用 Classic Load Balancer?
答:是。请参阅 Elastic Load Balancing 网页。
问:我是否能够获得从我的账户发起的所有 Classic Load Balancer API 调用的历史记录,以便用于安全分析和运营故障排除?
答:是。要获取通过您的账户发起的 Classic Load Balancer API 调用的历史记录,只需在亚马逊云科技管理控制台中打开 CloudTrail 即可。
问:Classic Load Balancer 是否支持 SSL 终止?
答:是的,您可以在 Classic Load Balancer 上终止 SSL。您必须在每个负载均衡器上安装 SSL 证书。负载均衡器使用此证书终止连接,然后在将来自客户端的请求发送到后端实例之前对其进行解密。
问:获取 SSL 证书的步骤是什么?
答:您可以使用 Amazon Certificate Manager 预置 SSL/TLS 证书,也可以通过创建证书请求、获取 CA 签名的证书请求,然后使用 Amazon Identity and Access Management (IAM) 上传证书来从其他来源获取证书。
问:Classic Load Balancer 如何与 Amazon Certificate Manager (ACM) 集成?
答:Classic Load Balancers 现已与 Amazon Certificate Management (ACM) 集成。与 ACM 的集成使得您可以将证书轻松绑定到每个负载均衡器,从而使整个 SSL 卸载过程变得非常简单。通常,购买、上传和续订 SSL/TLS 证书是一个耗时且复杂的手动过程。通过将 ACM 与 Classic Load Balancer 集成,整个过程已缩短为只需请求受信任的 SSL/TLS 证书,然后选择 ACM 证书以使用每个负载均衡器进行预置。
问:如何在 Classic Load Balancer 中启用跨区域负载均衡?
答:您可以使用控制台、亚马逊云科技服务 CLI 或亚马逊云科技 SDK 启用跨区域负载均衡。有关更多详细信息,请参阅跨区域负载均衡文档。
问:当我在 Classic Load Balancer 中启用跨区域负载均衡时,是否需要为亚马逊云科技区域数据传输付费?
答:否,如果为 Classic Load Balancer 启用了跨区域负载均衡,则无需为可用区之间的区域数据传输付费。
