高防服务器负载均衡配置指南
一、架构与前置准备
- 推荐架构:客户端 → DDoS高防/CDN → 负载均衡器(SLB/Nginx/HAProxy) → 后端服务器集群(Web/应用/缓存)。在高防前可叠加 CDN 吸收海量静态流量与部分攻击;高防后使用负载均衡分发到多台源站,提升可用性与伸缩性。
- 源站保护:在云上优先将 SLB(ALB/NLB/CLB) 的地址作为防护对象,让高防/原生防护丢弃未监听协议与端口的流量,显著增强源站抗D能力。
- 回源安全:在源站防火墙/安全组仅放行 高防回源IP段,避免绕过防护直连源站。
- 会话与协议:根据业务选择 HTTP/HTTPS/HTTP2;若启用 HTTP2,按需设置并发流上限(常见为 16–32);如仅 HTTPS 建议开启 Cookie Secure 属性。
- 高可用:负载均衡器与后端实例跨可用区部署,健康检查与自动摘除异常节点。
二、负载均衡器选型与关键配置
- 选型建议:
- 云上优先用 云厂商SLB(如 ALB/NLB/CLB),具备全局流量调度、健康检查、自动伸缩联动等能力。
- 自建机房可用 Nginx/HAProxy 做七层或四层负载均衡,灵活可控、成本低。
- 关键配置要点:
- 算法选择:
- 轮询(Round Robin):默认均衡分发。
- 最少连接数(Least Connections):更适合长连接/慢请求场景。
- IP哈希(IP Hash):会话保持,同一来源IP固定到同一后端。
- 健康检查:配置协议、端口、路径与健康阈值,异常节点自动摘除。
- 会话保持:无状态服务优先用 JWT/Cookie;有状态服务可用 IP Hash 或应用层会话同步。
- 协议与加密:启用 TLS 终止或透传;启用 HTTP/2 提升并发与首包性能。
- 超时与连接:合理设置连接/读写超时,避免长阻塞拖垮后端。
- 回源优化:开启 长连接、复用请求个数与空闲超时,降低握手与建连开销。
三、回源与网络参数建议
- 回源网络与安全:
- 仅放行 高防回源IP段 到源站(安全组/防火墙策略)。
- 回源建议走 内网/VPC,减少公网暴露与带宽成本。
- 超时与长连接(示例为常见云高防可调范围):
- 新建连接超时:1–10秒(快速失败,避免资源占用)。
- 读连接超时:10–300秒(覆盖慢查询/大文件)。
- 写连接超时:10–300秒(保障上行数据发送窗口)。
- 回源长连接:开启;复用长连接请求个数:10–1000;空闲长连接超时:10–30秒。
- 建议与后端(如 WAF/SLB)的长连接参数保持一致,避免提前关闭导致访问异常。
- 协议与Cookie:
- 仅 HTTPS 场景开启 Cookie Secure,降低窃取风险。
- 启用 HTTP2 时按需设置 并发流上限(16–32)。
四、Nginx示例配置
- 七层负载均衡与动静分离(HTTP → 后端集群):
upstream backend_servers {
least_conn; # 最少连接数
server 10.0.1.11:80 max_fails=3 fail_timeout=30s;
server 10.0.1.12:80 max_fails=3 fail_timeout=30s;
keepalive 32; # 复用到后端的长连接数
}
server {
listen 80;
server_name your_domain.com;
# 动态请求转发
location / {
proxy_pass http://backend_servers;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_connect_timeout 5s;
proxy_send_timeout 60s;
proxy_read_timeout 60s;
}
# 静态资源直出 + 缓存
location ~* \.(html|css|js|png|jpg|jpeg|gif|ico)$ {
root /var/www/static;
expires 30d;
access_log off;
}
}
- 说明:
- 使用 least_conn 适配长连接/慢请求;静态资源由 Nginx 直接服务并设置 Cache-Control/expires。
- 通过 X-Real-IP / X-Forwarded-For / X-Forwarded-Proto 传递真实客户端信息给后端。
五、验证与运维要点
- 连通性与策略验证:
- 域名解析指向 高防CNAME/IP;检查回源仅来自 高防回源IP段。
- 验证健康检查、会话保持、超时与长连接生效;压测观察错误率、P95/P99时延与后端连接数。
- 观测与告警:
- 监控 QPS、连接数、5xx比例、回源耗时、带宽;对异常流量与攻击峰值设置告警。
- 持续优化:
- 根据业务峰谷调整 权重/算法;静态资源上 CDN;必要时启用 自动扩缩容。
- 安全加固:
- 源站仅放通高防回源;开启 WAF/CC 策略;证书与协议按最小权限配置。
