阿里云SLB的使用总结

一、什么是SLB

实现k8s的服务service的一种推荐方式，也是服务上云后，替代LVS的一个必选产品。
那么它有什么作用呢？

• 1、负载均衡，是它与生俱来的。可以配置多个服务器组：包括虚拟服务器组、默认服务器组、主备服务器组。
• 2、SSL证书解析，支持https协议的443端口，可以帮助我们进行证书管理，减轻业务网关的压力。
• 3、流量网关。它往往是前置于业务网关，不能替代你的业务网关。
• 4、监控连接数和流量带宽。
• 5、提供对外可访问的TCP端口应用，比如socket编程。slb实现多个socket程序的负载均衡。

二、逻辑架构图

左侧是外网配置，右侧是内网配置，相对外网配置就明显简单。

三、配置外网域名

1、新增DNS

2、SLB配置

配置SLB对外的端口80和443

3、https443需要管理证书

4、配置转发策略

详细的配置说明见： https://help.aliyun.com/document_detail/85955.html?spm=5176.11783189.0.0.5c481eb9mB4PHg

输入你的域名，第二个填写path子路径，第三是选择虚拟服务器组，下面就看下怎么新建虚拟服务器组。

可以看到，两个不同的域名，指向不同的虚拟服务器组。

一个是指向kong集群的80端口，另外一个是指向nginx集群的80端口。

5、新建虚拟服务器组

四、内网DNS

比起外网DNS的配置就简单得多，处理的是80端口，不需要解析SSL证书。

而inges内网域名是指向内网SLB。

SLB

内网域名，使用http协议，则使用下面的80端口。

当然，该ingress也支持https协议443端口，也就是外网访问的指向了。（需要ssl证书，仅限外网访问）

这里，没有配置转发策略，而是使用的k8s容器服务的路由。

路由ingress

五、注意事项

1、监听协议区分http和tcp

如果你监听的后端是nginx或kong，那么使用http:80和http:443是没问题的。
如果你监听的后端是socket程序，只能监听tcp协议。
总结一句话， 尽量监听http协议，除非不得已才监听tcp协议。

当配置的是http协议，支持管理ssl证书和转发策略即路由规则。请对比着看http协议和tcp协议的区别：

http协议的监听443端口，会多两个管理：“配置转发策略”和“管理证书”。
http协议的监听80端口，会多一个管理：“配置转发策略”，无需管理ssl证书。

2、健康检查

如果你监听的后端是nginx，支持http协议的健康检查。
如果你监听的后端是kong，建议你关掉http协议的健康检查，否则会出现Kong不健康的异常情况。
如果你监听的后端是socket程序，可以开启监控检查。

3、同时支持http和https协议

http协议使用80端口，https协议使用443端口。二者配置的虚拟服务器组都指向nginx/kong的80端口。

同时支持http和https协议的好处在于，方便调用端使用。

4、透传协议名http还是https

如果你透传的是tcp协议，那么协议是不会变更的；
如果你透传的是http协议或者https协议，都需要在监听配置中勾选上以下字段。

默认勾选了X-Forwarded-For，却没有默认勾选X-Forwarded-Proto。

也就是说，slb传递给虚拟服务器组的时候，会把协议名丢弃。

而我们无论监听的是http协议还是https协议，都会转发到kong:80端口，正因为此，kong会把https请求误认为是http请求。

那么kong读取协议是哪个字段呢？scheme，或者X-Forwarded-Proto。

而slb支持透传协议到http头部字段X-Forwarded-Proto，所以kong 日志或者lua脚本读取头部字段X-Forwarded-Proto，而不能读取scheme。

下面，简要说一下，Kong怎么在access log打印出协议名。

• vi /usr/local/share/lua/5.1/kong/templates/nginx_kong.lua

log_format  access '"$proxy_add_x_forwarded_for" "$remote_port" "$time_local" "$scheme" "$request" "$request_time" "$upstream_response_time"'
                      '"$status" "$body_bytes_sent" "$host" "$http_user_agent" "$bytes_sent" "$request_length" '
                      '"$upstream_addr" "$http_X_B3_TraceId" ';    
                                     
# scheme修改为http_x_forwarded_proto：
log_format  access '"$proxy_add_x_forwarded_for" "$remote_port" "$time_local" "$http_x_forwarded_proto" "$request" "$request_time" "$upstream_response_time"'
                      '"$status" "$body_bytes_sent" "$host" "$http_user_agent" "$bytes_sent" "$request_length" '
                      '"$upstream_addr" "$http_X_B3_TraceId" ';

• kong reload生效，生成后的文件是/usr/local/kong/nginx-kong.conf

"111.29.160.135" "1300" "12/Dec/2023:22:58:46 +0800" "https" "GET /api/v2/pub/version HTTP/1.1" "0.005" "0.002" "200" "60" "xx.xxx.net" "com.xx.xxxstu/v3.5.4.20230621S (SM-P355C; android; 6.0.1; R22M0910SRA)" "230" "1188" "10.224.167.89:7201" "00000000000907ee0000018c5e899bc8"

可以看到上面的日志中的协议，已是https了，建议slb对该协议名称做默认勾选，以减少我们这样的错误。

然后Lua在读取协议名的时候，也应该作相应修改。

六、总结

对于自建IDC，可能会自己搭建LVS集群来实现负载均衡，不过还是建议你使用SLB，它还可以管理DNS/域名及证书。

当然SLB不是无偿的，它会涉及到一些费用，需要你流心。

• 公网下行流量
• 容量单位
• 实例租用费

可以看到，流量的费用不低，SLB区分内网还是外网还是很有必要的。
其次，http接口在返回数据的时候，特别是查询接口，尽量减少返回的报文。
最后，我想说，注意及时看SLB的监控数据：连接数和流量。

除了http协议外，SLB还可以看到tcp端口层面的数据。
这对于socket编程的程序监控就有意义多了。