一、 CLB 健康探测源 IP 的范围
腾讯云 CLB 用于对后端服务器(CVM)进行健康检查的探测请求,其源 IP 地址主要有以下两种情况:
默认/推荐源 IP 地址段:
地址段:
100.64.0.0/10说明:这是腾讯云为 CLB 健康检查预留的内网 IP 地址段。它能有效避免地址冲突,也是腾讯云推荐的配置。对于新的 CLB 实例,这通常是默认配置。
存量实例/可选源 IP:
地址:负载均衡实例的VIP(Virtual IP,即 CLB 的公网或内网 IP 地址)。
说明:较早创建的 CLB 实例,或者用户手动选择的情况下,可能会使用 CLB 的 VIP 作为健康探测的源 IP。
二、 诊断健康探测源 IP
当您发现健康检查失败时,第一步要做的就是确定您的 CLB 实例当前使用的是哪个源 IP 地址进行探测。
诊断工具:
腾讯云控制台提供了“健康探测源 IP 诊断助手”(或类似工具)来帮助您确认和切换源 IP。
诊断步骤:
登录腾讯云负载均衡 CLB 控制台。
找到目标 CLB 实例,进入实例详情页。
查找相关的健康检查配置或诊断工具入口。
使用健康探测源 IP 诊断助手,它可以明确告知您当前实例使用的健康探测源 IP 是
100.64.0.0/10还是CLB 的 VIP。
三、 配置(放行)健康探测源 IP
无论 CLB 使用哪个源 IP,您都需要在后端 CVM 上配置相应的安全策略,确保该 IP 段的流量能够通过,否则健康检查将失败,导致流量不会被转发到该 CVM。
1. 检查和配置 CVM 安全组(推荐
CVM 的安全组是控制网络访问流量的第一道屏障。
如果 CLB 源 IP 是
100.64.0.0/10:您需要在后端 CVM 绑定的安全组中,添加一条入站规则。
协议类型:对应您的监听协议(如 TCP/HTTP/HTTPS/UDP)。
端口:对应您的健康检查端口。
源 IP:填写
100.64.0.0/10。策略:允许(Allow)。
如果 CLB 源 IP 是 VIP:
您需要在 CVM 的安全组中,添加一条入站规则。
协议类型/端口:同上。
源 IP:填写 CLB 实例的 VIP 地址。
策略:允许(Allow)。
2. 检查和配置 CVM 内部防火墙/iptables
如果 CVM 内部配置了 Linux 防火墙(如iptables、firewalld)或 Windows 防火墙,您也需要将上述源 IP 地址段/地址加入白名单,允许其访问健康检查端口。
四、 切换健康探测源 IP(如果需要)
如果您的 CLB 是较早创建的,并且当前使用的是CLB VIP作为健康探测源 IP,强烈建议您将其切换到100.64.0.0/10网段,以确保未来 CLB 集群升级或变动时不会因为 VIP 变化导致健康检查失败。
切换方式:
登录 CLB 控制台。
使用“健康探测源 IP 诊断助手”或实例详情页中的相关选项,执行一键切换操作。
注意:切换前,请务必先按照第三步的要求,在所有后端 CVM 的安全组和内部防火墙中放行
100.64.0.0/10网段的流量,以免切换后服务立即中断。
五、 诊断健康检查失败的其他常见原因
如果放行了正确的 IP 段,健康检查仍然失败,您还需要检查以下配置:
| 故障项 | 检查点 |
| 端口问题 | 确保健康检查端口与 CVM 上提供服务的实际端口一致。 |
| 服务状态 | 登录 CVM,确保健康检查端口上的服务(如 Nginx、Tomcat 等)正在正常运行。 |
| 四层(TCP) | CLB 仅发送 SYN 包,服务器返回 SYN+ACK 即认为健康,检查服务是否能正确响应 TCP 握手。 |
| 七层(HTTP/HTTPS) | 检查配置的健康检查路径是否能返回正确的HTTP 状态码(默认为 200,且与配置的期望状态码一致)。 |
| HOST 头部 | 对于七层监听,如果后端服务要求请求头中带有特定的Host字段,请确保在 CLB 健康检查配置中设置了正确的健康检查域名。CLB 默认的健康检查请求User-Agent是clb-healthcheck,您可以在 CVM 日志中查看此请求。 |
