高防服务器端口负载均衡技巧

高防服务器端口负载均衡技巧
一 架构选型与端口规划

• 明确业务类型与协议：对延迟敏感的实时业务优先采用四层转发（TCP/UDP）；需要按域名、路径、Header 做策略的网站/API 采用七层转发（HTTP/HTTPS）。四层转发延迟更低、吞吐更高；七层转发策略更灵活。
• 端口与实例规格匹配：高防实例对可防护的端口数与域名数有限制（如中国内地实例默认50个端口/50个域名，可扩至400个端口/200个域名；非中国内地默认5个端口/10个域名，可扩至400个端口/200个域名），按业务规模提前规划端口与域名，避免频繁变更。
• 源站可达性：高防与源站通过公网通信，源站必须为公网IP；将高防的回源IP网段加入源站防火墙/安全组白名单，否则回源会被拦截。
• 协议支持边界：确认业务所需协议是否被支持，例如WebSocket/SSE通常可用，NTLM与gRPC在部分高防产品上不支持，必要时调整架构或产品选型。
• 联动与加速：与CDN/DCDN联动时，避免“高防与CDN直接串联”的串联路径，优先使用流量调度器实现“平时走CDN、攻击时自动切高防”的智能联动，兼顾加速与可用性。

二 负载均衡与健康检查策略

• 策略选择：
• 七层网站业务支持轮询、IPHash、最少时间等策略；对需要会话粘性的场景可用IPHash或将应用改为无状态并使用外部会话存储。
• 四层非网站业务默认轮询，通常不支持修改；若后端性能不均，可在上层再引入支持权重的负载均衡器实现“加权分发”。
• 健康检查：网站业务健康检查默认开启；非网站业务默认关闭但可手动开启。建议为关键端口配置TCP/HTTP探针，设置合理间隔与阈值，确保异常节点及时摘除。
• 会话保持：在“纯端口转发”接入时可用会话保持，将同一客户端IP在一定时间内转发到同一台后端；开启应用层防护增强时该配置不生效。注意客户端网络切换（如Wi‑Fi→4G）会导致公网IP变化，会话保持随之失效。
• 回源连通性：多源站场景下，确保回源策略与源站安全策略一致（如连接复用、超时、重试），避免因健康检查“误杀”或回源握手失败导致雪崩。

三 会话保持与源 IP 透传

• 会话保持的正确姿势：优先通过应用层无状态设计（如将Session存入Redis）替代依赖IP的会话保持；若必须使用，请评估客户端IP易变性对命中率的影响。
• 获取真实客户端IP：四层/七层转发场景下，需正确配置以便业务获取X‑Forwarded‑For/X‑Real‑IP等头部；在Kubernetes中，Service 的externalTrafficPolicy=Local可保留源IP，但可能导致节点间负载不均，需结合节点亲和与Pod均匀分布一起设计。
• 源站安全策略联动：源站防火墙/安全组必须放行高防回源IP网段；若源站位于云平台或受WAF/ACL保护，同样需要同步更新白名单规则。

四 与 CDN 和安全策略的联动

• 智能联动：使用流量调度器CNAME统一接入，正常期流量走CDN/DCDN加速，攻击期自动切换至高防清洗，攻击结束回切，避免“串联”导致的时延与防护失效问题。
• 协议与加密：HTTPS 可在高防侧完成TLS1.0–1.3加解密与证书管理，支持双向认证与自定义TLS安全策略；若部分老客户端不支持SNI，可能出现握手失败，需要兼容方案或客户端升级。
• 连接与超时：根据业务特性设置合理的TCP/UDP超时与重试策略，避免在高并发短连接场景下产生连接风暴或资源占用过高。
• 带宽与黑洞：关注实例的业务带宽规格，超量会触发限速与卡顿；当攻击超过防护能力时可能触发黑洞，需在攻击回落后再解除，确保业务连续性。

五 排障清单与最佳实践

• 回源被拦截：核对源站防火墙/安全组是否已放行高防回源IP网段；必要时分阶段放行并观测回源成功率。
• 健康检查误判：检查后端应用健康端点、探针路径与协议一致性；对非网站业务开启并调整检查间隔/失败阈值，避免抖动。
• 会话保持失效：确认是否开启“应用层防护增强”；评估客户端IP变化（如4G/Wi‑Fi切换）对会话命中率的影响。
• 联动异常：核查流量调度器记录与解析是否正确；确认CDN回源Host、协议与端口与高防配置一致。
• 配置生效时延：修改源站IP后全网生效约5分钟，建议在业务低峰期执行；带宽规格变更通常3–5分钟全网生效。
• 规格与配额：提前评估并申请足够的端口/域名配额，减少频繁变更带来的风险与延迟。