腾讯云

ps: 总结不易,来者皆是客,请尊重作者的劳动成果


CDN

  • 腾讯云 CDN 节点默认超时时间是多长?
  1. 腾讯云 CDN 节点默认超时时间是10秒。
  • 在 CDN 管理下关闭接入域名,关闭后 CDN 节点上的文件会怎么样?
  1. 若您关闭当前已接入 CDN 的域名加速服务,则 CDN 节点将会保留对应域名的接入配置,但不再产生 CDN 流量,该域名下的请求都将直接回源。

在做此操作前,请确认:
您已将该域名的 CNAME 设置修改为对应 A 记录,否则该域名将无法访问,详情请参见 A 记录。
您的源站带宽处理能力足够,否则会影响您域名的正常访问。

  • 接入 CDN 之后网站打不开,如何排查?
  1. 请先检查接入域名的 CDN 状态是否为“已关闭”,若为“已关闭”状态则对应网页无法打开。若非“已关闭”状态时,可按照下列步骤进一步检查:
  2. 通过 ping 或 nslookup 检查该域名的 CNAME 解析是否已生效。若未绑定 CNAME,您可以参考 CNAME 配置 文档中的操作说明,在您的 DNS 服务商处绑定 CNAME。
  3. 待 CNAME 生效后,检查源站是否能正常访问。
  • 如何判断用户访问的是哪个 CDN 节点?
  1. 您可通过 nslookup 和 ping 命令可以获取用户访问的 CDN 节点的 IP 和延时丢包等基本的排错信息。
  • [TOC]

    [TOC]

    命中率低是什么原因呢?

  1. 缓存配置问题,如缓存时间较短。
  2. HTTP Header 导致无法缓存,请检查源站 Cache-Control 或 Expires 的设置。
  3. 源站类型问题,可缓存的内容少。
  4. 网站访问量低,过期时间短,命中的文件少,导致频繁回源。
  • 用户感觉 CDN 访问慢?
  1. 大文件关注下载速度,小文件关注延时。首先得到用户访问慢的 URL,通过测速网站判断是否访问慢(推荐工具: 17ce )。
    如果测速确实慢,源站属于自有源,协助用户排查源站机器负载和带宽是否受限。
  • 如何判断用户访问是否命中 CDN Cache?
  1. 查看访问回包头部的 X-Cache-Lookup 信息,若同时返回多个 X-Cache-Lookup 属正常情况,仅当返回 Hit From MemCache/Hit From Disktank 时表示命中 CDN Cache:

X-Cache-Lookup:Hit From MemCache 表示命中 CDN 节点的内存。
X-Cache-Lookup:Hit From Disktank 表示命中 CDN 节点的磁盘。

  • 为什么同名文件节点返回的文件大小不一致?
  1. 因为所有文件类型都默认缓存,CDN 节点上可能存在不同的文件版本。解决方法:
    1.1 强制刷新文件,立即更新缓存。
    1.2 带上版本号,例如:http://www.xxx.com/xxx.js?version=1。
    1.3 更换其它文件名,不使用同名文件。

云监控

  • 云服务器无监控数据排查思路

导致云服务器无监控数据的可能原因会有以下几个:未安装监控 agent、用户通过控制台或者命令行操作云服务器、云服务器高负载、云服务器内部 DNS 配置错误等

  • 未安装监控 agent
  1. 无监控数据可能由于云服务器未安装 监控组件 Agent 导致,具体原因可通过以下步骤排查:
    1.1 判断是否安装 barad_agent。
    1.2 未安装监控组件会导致无法对您的服务器做更细致的监控,若服务器故障则将无法正常通知,存在高危风险。有关安装监控组件的更多内容,请参考 安装监控组件。
  • 用户通过控制台或者命令行操作云服务器
  1. 云服务器操作关机后处于关机状态,会导致监控组件离线并且没有数据。
  2. 用户通过云服务器控制台或者登录云服务器,操作重启,升级云服务器,重装,制作镜像等常见的云服务器运维操作,都会使云服务器监控数据上报超时导致离线。
  3. 问题排查方式: 可以根据当时时间点排查云服务器是否有存在相关的运维操作,操作日志可以进入云服务器详情页面中操作日志中查看。
  • 云服务器高负载

云服务器 CPU 高负载,内存使用占满,带宽使用占满都会导致监控组件上报数据异常。

  1. 问题排查方式: 可以登录云服务器或者查看监控视图是否有存在 CPU 和内存,带宽使用达到100%的情况,如果达到 100%,可以根据实际情况来扩容服务。
  • 云服务器内部 DNS 配置错误

云服务器内网 DNS 配置错误会导致监控组件无法上报数据。

  1. 问题排查方式: 腾讯云的内网 DNS 配置可以参考 内网DNS访问和设置。

Linux 系统—使用监控组件管理工具进行问题排查

  1. 下载监控组件管理工具

    wget http://update2.agent.tencentyun.com/update/monitor_agent_admin && chmod +x monitor_agent_admin
    
  2. 安装监控组件

    ./monitor_agent_admin install
    
  3. 执行以下命令,检查并修复。若问题仍未解决,请通过工单将工具输出的文件monitor_agent_admin-*.zip提交给我们,将有专人联系您一同处理。

    sh ./monitor_agent_admin check
    

监控组件管理工具其他操作

1.1 下载监控组件管理工具

wget http://update2.agent.tencentyun.com/update/monitor_agent_admin && chmod +x monitor_agent_admin

1.2 安装监控组件

/monitor_agent_admin install

1.3 卸载监控组件

./monitor_agent_admin uninstall

1.4 重新安装监控组件

./monitor_agent_admin reinstall

1.5 检查并修复

./monitor_agent_admin check

1.6 重启

./monitor_agent_admin restart

Windows 系统常见问题排查流程

  1. 若已安装 agent,判断 barad_agent 的日志是否每分钟实时滚动且成功上报

windows 系统日志路径:C:\ProgramFiles\QCloud\Monitor\Barad\logs\info.log
且每条日志都有 “nws send succ”。

  1. 若日志无滚动,可能为 agent 调度问题(一般只出现在linux系统,可能是改过系统时间)。可尝试重启 barad_agent,同时确认日志
    /usr/local/qcloud/monitor/barad/log/executor.log有无错误。
  2. 若上报失败(nws send fail),需根据日志判断具体的问题(例如超时、无法连接到服务器、无法解析域名等)

上报地址可以在 etc 目录的 plugin.ini 文件中的 nws_url 看到。

  1. 若上报未出现 nws send fail。

  2. 检查 uuid 是否被修改过

    uuid 文件路径:
    linux:/etc/uuid
    windows:c:\windows\system32\drivers\etc\uuid
    c:\windows\system32\drivers\etc\目录下 uuid 格式命名的最新文件
    
  3. 若 uuid 文件未变动,检测子机的时间戳

linux 可使用命令/usr/sbin/ntpdate ntpupdate.tencentyun.com 查看时间调整是否在50s以内,若时间相关较大,重启 barad_agent 后可恢复。

  • 一台云服务器只能绑定一个告警策略吗?
  1. 是的,一台主机只能绑定到一个告警策略,不能同时绑定至多条告警策略。例:1.1.1.1已经关联A告警策略。若用户将1.1.1.1关联B告警策略,则自动取消和A告警策略关联关系。
  • 若项目 A的 CDN 域名告警策略关联了域 a.com,但用户迁移域名 a.com 至项目 B。则告警会有那些变化?
  1. 项目A的CDN域名策略将自动解绑与域名a.com的关联。解绑后,域名a.com不再关联任何CDN域名告警策略,则不会产生告警。自动解绑的逻辑会每天处理一次,控制台页面数据可能会有更新延时,属于正常情况。
  • 为什么解绑云服务器后仍收到告警?
  1. 由于系统探测监控数据存在一定延迟。告警策略解绑云服务器后,短时间内仍然收到告警属正常情况。
  • 如果一条策略是默认策略,用户在关联告警对象页取消了某个云服务器关联,后台会自动关联吗?
  1. 不会。用户主动将某台云服务器和默认策略解绑,后台不会再自动绑定。

SSL 证书

  • 访问站点提示连接不安全?
  1. SSL 证书部署以后,访问站点提示“连接不安全”,是否是证书部署失败?
    1.1 证书已成功部署,也会出现这个问题,是因为采用 HTTPS 协议的站点访问。如果网页中包含未经加密的 HTTP 内容时,会被浏览器认为是不安全的,需要对代码进行改造。

前端改造上,可以有参考以下几点:
使用相对路径引用资源。
引用绝对路径时,采用 // 引用资源,例如 //img.qcloud.com/example.png,表示遵从当前页面的协议,浏览器会进行自动补齐。

  • 如何安装 OpenSSL

OpenSSL 是用于安全通信的著名开源密码学工具包,包括主要的密码算法、常见密码和证书封装功能

  • Windows 安装方法

OpenSSL 官网:https://www.openssl.org/source

  1. 选择32位或者64位合适的版本下载,例如 Win64OpenSSL_Light-1_0_2h.exe。如下图所示:

  2. 设置环境变量,例如,工具安装在 C:\OpenSSL-Win64,则将 C:\OpenSSL-Win64\bin; 复制到 Path 中。如下图所示:

  3. 打开命令行程序 cmd(以管理员身份运行),进入 2_www.domain.com.key、1_www.domain.com_cert.crt 文件所在目录,运行以下命令。

    openssl pkcs12 -export -out www.domain.com.pfx -inkey 2_www.domain.com.key -in 1_www.domain.com_cert.crt
    

    例如 ,key 和 crt 文件保存在 D:\ ,运行情况如下:

Export Password 不需要的情况下,请直接回车不进行输入

  1. 在 D:\ 已生成的 www.domain.com.pfx 文件,可以继续完成在 IIS 管理器中的证书安装。
  • Chrome浏览器提示“您的连接不是私密链接”问题

    1. 自2016年11月起,部分 Chrome 浏览器用户反馈访问 HTTPS 站点时出现 NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED 错误情况,提示 “您的连接不是私密链接”。如下图所示:

  1. 该 CT 错误经确认是 Chrome 浏览器53、54版本的内核问题,该 BUG 导致与 Symantec CA 机构颁发的 SSL 证书出现不兼容问题,Symantec CA 机构所有2016年6月1日之后的证书都会被此问题影响出现 CT 错误的情况,Chrome 方面在第一时间通过自动补丁方式处理了此问题,并在55版本修复此问题。

  2. 在能正常连接 Chrome 的服务器的客户都不会被此问题影响,但因中国大部分用户不能访问到 Chrome 的服务器,所以建议用户升级至55+版本来解决这个问题。

Symantec 官方声明: https://www.symantec.com/connect/blogs/chrome-53-bug-affecting-symantec-ssltls-certificates

以及 Chrome 官方公告:https://bugs.chromium.org/p/chromium/issues/detail?id=664177

另外,使用了 Chromium 53 内核的 QQ 浏览器也会存在这个问题,已经在新版本中修复,建议使用旧版本 QQ 浏览器的用户更新到最新版本。

  • 域名型证书是否永久免费?
    1. 首先,SSL 证书无论是免费的域名型或者是付费的企业型,CA 机构都规定了有效期的,从安全性上考虑,不能保证一个合法网站永远不会成为一个钓鱼站点,CA 机构需要定期审核,所以不会颁发永久有效的证书。
    2. 其次,当网站的私钥丢失时可以申请吊销,CA 机构会将吊销的证书加入证书吊销列表(Certificate Revocation List ,简称:CRL),每次 HTTPS 站点被访问时,浏览器会向 CA 机构获取 CRL,判断是否能信任该证书;然而永久有效的证书会导致 CRL 不断增加,不会减少,会增加浏览器的请求流量压力,所以指定证书的有效期是更科学的处理方式。
    3. 腾讯云目前提供免费的域名型证书,型号为 TrustAsia DV SSL CA - G5,证书有效期时长1年。证书过期前三个月即可重新申请,域名型证书能在一个工作日内快速颁发,您有充足的时间为站点切换证书。

Web 应用防火墙

  • 如果上传文件被拦截,那使用 HTTPS 或者 SFTP 上传文件是否仍会拦截呢?
  1. 若没有使用 Web 应用防火墙(网站管家)不会被拦截,如果使用 Web 应用防火墙(网站管家)并且开启了拦截模式,使用 HTTP 或 HTTPS 上传恶意文件将会被拦截。但使用 SFTP 上传文件则不会被拦截,SFTP 是非 HTTP 或 HTTPS 协议,Web 应用防火墙(网站管家)不支持防护。
  • 腾讯云内的服务器能否使用 Web 应用防火墙(网站管家)?
  1. Web 应用防火墙(网站管家)支持云外机房用户接入,可以保护任何公网的服务器,包括但不限于腾讯云,包括其他厂商的云,IDC 等。

在中国内地(大陆)地区接入的域名必须按照工信部要求进行 ICP 备案。

  • Web 应用防火墙(网站管家)是否支持 HTTPS 防护?
  1. Web 应用防火墙(网站管家)全面支持 HTTPS 业务。用户只需根据提示将 SSL 证书及私钥上传,或者选择腾讯云托管证书,Web 应用防火墙(网站管家)即可防护 HTTPS 业务流量。
  • Web 应用防火墙(网站管家)的 QPS 限制规格是针对整个实例,还是配置的单个域名的 QPS 上限?
  1. Web 应用防火墙(网站管家)的 QPS 限制规格是针对整个实例。若配置防护三个域名,则这三个域名累加的 QPS 不能超过规定上限。如果超过已购买的实例的 QPS 限制,将触发限速,导致丢包。
  • Web 应用防火墙(网站管家)的源站 IP 可以填写腾讯云 CVM 内网 IP 吗?
  1. Web 应用防火墙(网站管家)添加域名时,填写的源站地址必须是公网 IP 或者域名。其中公网 IP 包括 CVM 公网 IP、CLB 公网 IP 或者其他本地 IDC 的出口 IP,不支持填写 CVM 的内网 IP。
  • Web 应用防火墙(网站管家)可以直接使用 BGP 高防包么?
  1. 可以,在 BGP 高防包控制台配置页面直接选择 Web 应用防火墙(网站管家)实例的 IP 即可让网站管家具备高防能力。详情请参见 BGP 高防包接入实践。
  • Web 应用防火墙(网站管家)如何同 CDN 或 BGP 高防包 一起接入?
  1. Web 应用防火墙(网站管家)可直接将 BGP 高防包叠加,CDN 的源站指向 Web 应用防火墙(网站管家)实例的 IP 即可。最佳部署架构:客户端 > CDN > Web 应用防火墙(网站管家)+高防包 > 负载均衡 > 源站。
  2. 在客户需要 CDN 和高防能力时,只要将网站管家接入后提供的 CNAME 配置为 CDN 的源站即可,同时可以将 BGP 高防包叠加到 Web 应用防火墙(网站管家)实例上。即可实现用户流量经过 CDN 之后,被转发至 Web 应用防火墙(网站管家),同时具备大流量 DDoS 的清洗能力,最终转发至源站,对源站进行全面的安全防护。
  • Web 应用防火墙(网站管家)一个防护域名可以设置多少个回源 IP?
  1. Web 应用防火墙(网站管家)一个防护域名最多可以设置20个回源 IP。
  • Web 应用防火墙(网站管家)配置多个源站时如何负载?
  1. 如果配置了多个回源 IP,Web 应用防火墙(网站管家)采用轮询的方式对访问请求进行负载均衡。
  • Web 应用防火墙(网站管家)是否支持健康检查?
  1. Web 应用防火墙(网站管家)默认启用健康检查。Web 应用防火墙(网站管家)会对所有源站 IP 进行接入状态检测,如果某个源站 IP 没有响应,Web 应用防火墙(网站管家)将不再将请求转发到该源站 IP ,直到接入状态恢复正常。
  • Web 应用防火墙(网站管家)是否支持会话保持?
  1. Web 应用防火墙(网站管家)支持会话保持,默认开启。
  • 在 Web 应用防火墙(网站管家)的控制台中,更改配置后大约需要多少时间生效?
  1. 一般情况下,更改后的配置在10s内即可生效。
  • Web 应用防火墙(网站管家)是否会自动将回源 IP 段加入安全组?
  1. 不会自动将高防回源 IP 段添加到安全组。请参考 快速入门 将相应的回源 IP 加入到安全组。

主机安全

  • 服务器被入侵有哪些危害?
  1. 业务被中断:数据库、文件被篡改或删除,导致服务无法访问,系统瘫痪。
  2. 数据被窃取:黑客窃取企业数据后公开售卖,客户隐私数据被泄漏,导致企业品牌受损、用户流失。
  3. 被加密勒索:黑客入侵服务器后通过植入不可逆的加密勒索软件对数据进行加密,对企业进行金钱勒索。
  4. 服务不稳定:黑客在服务器中运行挖矿程序、DDoS 木马程序,消耗大量系统资源,导致服务器不能提供正常服务。
  • 如何通过一键快照自动备份数据?
  1. 快照是腾讯云提供的一种数据备份方式,通过对指定云硬盘进行完全可用的拷贝,使该备份独立于云硬盘的生命周期。客户定期创建快照,可以在出现数据意外丢失等情况下帮助客户快速恢复数据。
    1.1 使用控制台创建快照步骤:
    1.11 登录 云服务器控制台
    1.12 单击导航栏中的【云硬盘】。
    1.13 找到需要创建快照的实例所在行,单击【创建快照】。
    1.14 等待快照创建。
  • 提示密码被暴力破解成功之后该如何解决?
  1. 密码破解成功后,服务器可能已被黑客入侵并留下了后门程序。
    1.1 检查服务器安全状况,是否还有其它未知账户和木马文件,如果存在请立即删除和修复,并修改服务器登录密码。
    1.2 根据实际情况决定是否需要对服务器进行重置,并设置复杂密码,尽量字母、数字、特殊字符3种组合,长度在15位及以上。
  • 显示登录异常怎么解决?
  1. 基于管理员的常用登录地进行异常登录判断,请仔细检查登录记录。若非管理员本人登录,密码可能已经泄露,用户需要对服务器进行详细的安全检查。
  • 服务器显示防护状态显示离线原因及解决方案?
  1. 腾讯云服务器安全组件未连接服务端,导致后台显示离线,建议重新下载安全组件进行安装,离线的可能原因如下:
    1.1 服务器启用了防火墙规则。
    1.2 服务器安装了第三方恶意软件,导致安全防护程序被破坏。
  • 如何处理木马文件?
  1. 登录 主机安全(云镜)控制台 ,在左侧导航栏选择【入侵检测】>【木马文件】,即可查看当前受保护的服务器木马文件检测情况,如下图所示:

  2. 恶意文件处理方式:
    1.1 隔离

若确认文件是恶意的,可以对单个文件进行隔离,或者批量选择文件进行一键隔离。当隔离成功后,原始恶意文件将被加密隔离,后期可以通过筛选已隔离文件,进行恢复。

1.2 信任

若文件是非恶意的,可以选择信任操作,加入信任后,主机安全(云镜)将不再对该文件进行检测,可以通过筛选信任文件,对信任文件进行管理。

1.3 删除记录

当删除记录后,将无法再查看相关信息,建议您先对文件进行隔离、信任操作,或根据路径找到相应文件进行手动删除。

  1. 登录 腾讯云服务器安全产品控制台,在左侧导航栏选择【资产管理】>【主机列表】,在服务器列表,找到需要卸载的云服务器单击【卸载】,或打开安装目录,通过目录中的卸载程序进行卸载。

DDoS 基础防护

  • DDoS 基础防护应用场景包括哪些?
  1. 腾讯云 DDoS 基础防护应用于攻击频率不高且攻击峰值不超过基础防护阈值的 DDoS 攻击防护场景。当攻击流量超过一定流量时,将自动启动 DDoS 清洗设备进行流量清洗。

腾讯云基础防护服务免费为云内的普通用户提供2Gbps(VIP 用户 10Gbps)防护能力。

  • 如何启动 DDoS 基础防护?
  1. 目前,用户只要购买了腾讯云内服务器,默认对其设备绑定的公网 IP 开启 DDoS 基础防护,免费提供2Gbps(VIP用户10Gbps)防御能力。
  • 如何关闭 DDoS 基础防护?
  1. DDoS 基础防护默认自动开启,无法进行关闭。
  2. DDoS 基础防护对用户的公网 IP 进行防御,并不会对正常业务访问造成影响。
  • DDoS 攻击流量超过2Gbps(VIP 用户 10Gbps)时,会怎样?
  1. 在攻击流量超过2Gbps(VIP 用户 10Gbps)的情况下会触发封堵,腾讯云会屏蔽一段时间外部对该 IP 的访问。
  2. 如果急需恢复业务,建议购买腾讯云的 BGP 高防包服务 或 BGP 高防 IP 服务,以获得更大的 DDoS 防御能力。
  • DDoS 基础防护的防护能力不能满足业务防护需求怎么办?
  1. 推荐购买 BGP 高防包服务 ,提升 DDoS 防护能力。目前 BGP 高防包支持华北-北京、华东-上海、华南-广州的防护。
  2. 如需要更大防护能力,建议购买 BGP 高防 IP 服务 或 高防 IP 专业版服务(可获取 T 级别防护能力),需将流量切换至高防 IP。
  • 为什么进行封堵?
  1. 腾讯云通过共享基础设施的方式降低用云成本,所有用户共享腾讯云的外网出口。当发生大流量攻击时,除了会影响被攻击对象,整个腾讯云的网络都可能会受到影响。为了避免攻击影响到其他未被攻击的用户,保障整个云平台网络的稳定,需要进行封堵。
  • 为什么不提供免费无限抗攻击?
  1. DDoS 攻击不仅影响受害者,也会对整个云网络造成严重影响,影响云内其它未被攻击的用户。DDoS 防御的成本非常高,一是带宽成本,二是清洗成本。其中最大的成本就是带宽费用,带宽费用以总流量计算,不会考虑是正常流量或是攻击流量而区别收费。
    因此,腾讯云在成本可承受的范围内为云服务用户提供免费的 DDoS 基础防护服务,当攻击流量超出免费防护阈值时,腾讯云会屏蔽被攻击 IP 的外网流量。
  • 为什么不能立即解除封堵?
  1. 通常 DDoS 攻击会持续一段时间,不会在封堵后立即停止,具体持续时间不定,腾讯云安全团队会根据大数据分析的结果,设定默认封堵时长。
    由于封堵是在运营商网络部分生效,被攻击外网 IP 进入封堵后,腾讯云无法监控到攻击流量是否停止。如果在攻击未停止的情况下解除封堵,被攻击外网 IP 将再次进入封堵,同时在解除封堵至再次封堵生效的这段时间内,攻击流量将直接进入腾讯云的基础网络,可能会影响到云内其它客户。另外,封堵是腾讯云向运营商购买的服务,解封次数、频率都有限制。
  • 紧急情况下,通过哪些途径可以提前解封?
  1. 将未使用过的 BGP 高防包 实例绑定到基础防护的外网 IP 时,可自动提前解封。
  2. 用户每月将拥有三次自助解封机会,可在紧急情况下,进行 自助解封。
  • 为什么自助解封会有次数限制?有哪些限制?
  1. 封堵是腾讯云向运营商购买的服务,而运营商有明确的封堵解除时间和频率限制,所以封堵状态无法频繁手动解除。
  2. 使用 DDoS 基础防护服务的用户每月拥有三次自助解封机会,当天超过三次后将无法进行解封操作。系统将在每月第一天零点时重置自助解封次数,当月未使用的解封次数不会累计到次月。
  • 如何连接已被封堵的服务器?
  1. 如需进行数据迁移等操作,可参考以下两种方式连接已被封堵的服务器:
    1.1 通过同地域的其它云服务器通过内网 IP 连接被封堵服务器。
    1.2 通过云服务器控制台,在被封堵服务器所在行,单击【登录】即可通过浏览器 VNC 方式连接。
  • 怎样预防被封堵?
  1. 建议购买高防服务,并根据受到的攻击流量的峰值选择适当的高防容量,确保最大防护容量大于攻击峰值。
  • 怎样避免解封后再次被封堵?
  1. 对于业务部署在腾讯云机房的用户:建议 购买 BGP 高防包服务,提升 DDoS 高防能力,轻松应对攻击流量。
  2. 对于业务部署在非腾讯云机房的用户:建议 购买 BGP高防 IP 服务,轻松解决 DDoS 流量攻击困扰,保障服务器的正常运行。

云数据库 Redis

  • 云服务器与云数据库部署在同一区域上,如何连接 Redis?

如果您的实例为免密码认证,则连接命令如下:

redis-cli -h IP地址 -p 端口

如果您的实例是有密码实例,则支持开源格式类型的连接方式:

redis-cli -h IP地址 -p 端口 -a 密码

2018年1月之前购买的实例,需将“密码”替换为“实例ID:密码”的格式才能访问。示例如下:
redis-cli -h IP地址 -p 端口 -a crs-bkuza6i3:abcd1234`

  • 如何处理云数据库 Redis 无法 ping 通?
  1. Redis 默认禁ping,可以使用 telnet 来检测连通性。
  • 如何开通 Redis 的外网访问?
  1. 云数据库 Redis 暂时不支持外网访问。
  2. 如果需要支持外网访问,可通过带有外网的云服务器通过 Iptable 代理的方式来实现。
  • 云服务器与云数据库部署在不同区域上,如何连接 Redis?
  1. 管理基础网络

基础网络是腾讯云上所有用户的公共网络资源池(如下图右所示)。所有云服务器的内网 IP 地址都由腾讯云统一分配,无法自定义网段划分、IP 地址。
私有网络是用户在腾讯云上建立的一块逻辑隔离的网络空间(如下图左所示)。在私有网络内,用户可以自由定义网段划分、IP 地址和路由策略。与基础网络相比,私有网络更适合有网络自定义配置需求的场景。

  • 基础网络云服务器切换为私有网络

基础网络互通功能仅支持网段为10.0 - 47.0/16(含子集)的私有网络,如果您的私有网络网段不在此范围内,将无法与基础网络云服务器互通。

  1. 将基础网络云服务器关联至私有网络

通过基础网络互通,使云服务器 TomCVM 与私有网络 TomVPC 通信,操作步骤如下:

1.1 登录 私有网络控制台。
1.2 地域选择广州,单击需要与基础网络互通的TomVPC的 ID,进入详情页。
1.3 单击【基础网络互通】选项卡,单击【+关联云服务器】。

1.4 在弹出框中,选择基础网络内需要关联至此私有网络的云服务器:TomCVM,单击【确定】即可。

  1. 查看与基础网络互通云服务器
    2.1 登录 私有网络控制台。
    2.2 选择地域,单击需要与基础网络互通的 VPC ID,进入详情页。
    2.3 单击【基础网络互通】选项卡,即可查看与该私有网络关联的基础网络云服务器列表。

  2. 解除私有网络与基础网络内云服务器关联
    3.1 登录 私有网络控制台。
    3.2 单击需要与基础网络互通的 VPC ID,进入详情页。
    3.3 单击【基础网络互通】选项卡,在基础网络云服务器列表中,找到需要解关联的云服务器,单击操作栏中的【解关联】,确认操作即可。

  • 数据保存在云数据库 Redis 是否可靠?
  1. Redis 标准版(0副本)不提供高可用,其他版本 Redis 均为主从复制结构,数据热备加上每日冷备的方式,可保障数据可靠性。
  • 云数据库 Redis 采用哪种持久化方式?
  1. 云数据库 Redis 后端由备份集群完成全量和增量备份工作,持久化在备机执行,对线上业务几乎无影响。
  • 为什么刚购买成功,存储容量就占用了2M?
  1. 云数据库 Redis 系统维持自身数据结构所用。
  • 云数据库 Redis 可以用可视化工具管理吗,例如 Redis Desktop Manager?
  1. 云数据库 Redis 控制台可以进行运维管理操作,如果还需使用可视化工具,可通过 CVM 做跳板机对外提供链接地址。
  • 扩容和缩容,会中断业务吗?
  1. Redis 标准版(社区)、标准版(CKV)、集群版(CKV),物理机存在足够内存时,可以无感知升级,否则将会对数据进行跨机器迁移,期间会有一次秒级的连接闪断。
  2. Redis 集群版(社区)的扩容和缩容可以做到业务完全无感知

云数据库 MySQL

  • CPU 利用率过高

原因:
在 MySQL 使用过程中,出现 CPU 利用率过高甚至超过100%时,与数据库存在低效 SQL 或大量行锁冲突有非常大的关系,一般都是由于大量低效的 SQL 导致,出现行锁冲突的概率非常低。
风险:
若 MySQL CPU 的利用率长时间处于100%,会严重影响数据库的整体性能,极端情况下可能会出现实例 HANG 住的情况,当 HA 探测到实例 HANG 住后,为了保证用户业务的高可用性,会触发主备切换,在主备切换的过程中,业务会出现短时间的不可用,实例不可用的时长正常情况下不超过60秒。如在业务高峰期发生了主备切换,会严重影响业务的稳定和连续性。
为避免业务因 CPU 资源不足而受影响,建议提前对 CPU 利用率过高的实例进行业务优化或者升级 CPU 资源。实例发生主备切换时会出现秒级的闪断,对于长连接需要应用具备重连的机制。

  1. 解决方案
    MySQL CPU 利用率过高,大部分原因与低效 SQL 有关系,通过优化低效 SQL 基本可以解决大部分问题。
    MySQL 慢查询时间(long_query_time)的默认值是10s,在遇到性能问题时,若发现没有慢查询,建议将其参数调成1s ,再观察业务周期内的慢查询,进而对其慢查询进行优化。若参数调整后,在其业务周期内依然未发现慢查询,而 CPU 利用率依然偏高,建议升级 CPU 的配置,进而提高数据库的整体性能。
  • 内存利用率过高

原因:
云数据库 MySQL 的内存是重要的性能参数,常出现由于低效 SQL 请求以及待优化的数据库导致内存利用率过高甚至超过100%的情况。
风险:
由于低效 SQL 请求以及待优化的数据库导致内存利用率升高的问题时,若您使用的是 MySQL 高可用版数据库,严重时还会触发内存 OOM 进而发生主备切换,主备切换过程中会导致业务短时间不可用,实例不可用的时长正常情况下不超过60秒。如在业务高峰期发生了主备切换,会严重影响业务的稳定和连续性。
为避免业务因内存利用率过高而受影响,建议您提前对内存利用率过高的实例进行业务优化或者升级内存空间。实例发生主备切换时会出现秒级的闪断,对于长连接需要应用具备重连的机制。

  1. 解决方案
    1.1 MySQL 的内存大体可以分为 global 级的共享内存和 session 级的私有内存两部分:
    1.2 共享内存是实例创建时即分配的内存空间,并且是所有连接共享的。
    1.3 私有内存用于每个连接到 MySQL 服务器时才分配各自的缓存。
    1.4 一些特殊的 SQL 或字段类型会导致单个线程可能分配多次缓存,因此当出现 OOM 异常,都是由各个连接的私有内存造成的,通过限制数据库的连接数和优化低效 SQL,可降低内存利用率过高的风险,若 MySQL 的内存利用率依然过高,可通过升级内存配置来提升数据库的整体并发量和稳定性。

  2. 升级过程中不影响业务的正常使用,升级完成后会进行切换,仅有秒级别的闪断,请确保业务具备重连机制。

  3. 目前 MySQL 控制台暂不支持内存参数的修改,若将 innodb_buffer_pool_size 设置过小,可能会导致磁盘写负载过高,进而影响数据库的整体性能。

  4. 避免因 MySQL 内存或 CPU 资源不足而影响业务的正常运行,请为现网实例配置资源的合理告警策略,

  • 同步延迟影响

云数据库 MySQL 对应的默认备库、灾备实例、只读实例均采用 MySQL 原生 binlog 复制技术,当数据复制方式为异步复制或半同步复制时,都有可能发生延迟。

  1. 若 备库 存在延迟,会导致主备实例无法在短时间内完成切换,进而影响业务无法在短时间内恢复正常。
  2. 若 灾备实例 存在延迟,在堆积的 binlog 未应用完之前,灾备实例将无法顺利升级为主实例,在此期间业务的连续性会因此受到影响。
  3. 若读业务对数据一致性有较高要求,只读组 可以设置延迟剔除策略,当只读实例与主实例延迟时间超过阈值,对应的只读实例会被自动剔除,从而导致读业务无法正常访问只读实例。
  • 同步延迟解决方案
  1. 通过 监控功能 可查看【主从延迟时间】,若主从延迟时间大于0表示其实例存在数据延迟。常见原因如下:

1.1 无主键或二级索引

原因:
若 binlog 为 row 格式且表无主键或二级索引,当对大表进行 DML 操作(例如 delete、update、insert),在从库进行 binlog 日志应用时,会根据主键或者二级索引来检索需要更改的行,如对应表未创建主键或者二级索引,会产生大量的全表扫描进而降低了日志应用速度,从而产生数据延迟。

解决方案:

  1. 为所有表创建主键,若表无法创建主键,建议选择基数高的列创建二级索引。
  2. 建议采用 truncate 命令删除表所有记录。
  • 大事务

原因:
当主实例执行大数据量的 DML 操作,大量的 binlog 日志传送到从库时,从库需要花费与主实例相同的时间来完成相应事务,进而导致从库出现数据延迟。

解决方案:
建议将大事务拆分为小事务,通过 where 条件限制每次要处理的数据量,有助于从库迅速完成事务的执行,从而避免出现从库数据的延迟。

  • DDL 操作

原因
与大事务原理类似,若 DDL 操作在主实例的执行时间很长,在从库也会花费相同甚至更长时间来执行该操作,从而阻塞了 DDL 操作。

解决方案
建议在业务低峰期执行 DDL 操作。若因灾备实例、只读实例的查询业务而阻塞了 DDL 操作,建议直接 KILL 掉引起阻塞的会话来恢复主从数据的同步。

  • 实例规格过小

原因
只读实例、灾备实例的规格小于主实例且负载较高,会导致只读实例、灾备实例的数据延迟。

解决方案
建议只读实例、灾备实例规格大于等于主实例,如果只读实例、灾备实例承载了大量的分析类业务导致实例负载过高,需将其实例规格升级至合适的配置或者对其性能低效的 SQL 进行优化。

云数据库 MySQL 使用 pt-online-schema-change 问题

云数据库 MySQL 5.6 版本开始支持 Online DDL。5.5版本做表结构变更时,为了避免锁表导致的业务影响,仍然建议用户使用 pt-online-schema-change 等开源工具完成该类操作,但不少用户通过 CVM 使用 pt-online-schema-change 对 MySQL 表结构变更时,遇到问题。

  • 常见报错信息:
    Use of uninitialized value $host in string eq at /usr/local/percona-toolkit-3.0.3/bin/pt-online-schema-change line 4284.

  • 查看对应的源码:

    sub _find_slaves_by_processlist {
     my ( $self, $dsn_parser, $dbh, $dsn ) = @_;
    
     my @slaves = map  {
        my $slave        = $dsn_parser->parse("h=$_", $dsn);
        $slave->{source} = 'processlist';
        $slave;
     }
     grep { $_ }
     map  {
        my ( $host ) = $_->{host} =~ m/^([^:]+):/;
        if ( $host eq 'localhost' ) {
           $host = '127.0.0.1'; # Replication never uses sockets.
        }
        $host;
     } $self->get_connected_slaves($dbh);
    
     return @slaves;
    }
    

    从代码上看是在通过 processlist 的方式寻找 slave 的信息,由于 TencentDB 对复制账号相关的信息做过处理,导致通过 processlist 拿不到 slave 的信息。

  • 修复方式:
    使用 pt-osc 的时候加上如下参数,不去检查 slave 的状态。
    --recursion-method=none

TencentDB 导入数据报错 Specified key was too long

报错原因
客户通过 CVM 的命令行向 MySQL 导入 XXXX.sql 文件时,MySQL 返回 Specified key was too long 的报错。
报错信息 “ERROR 1071 (42000): Specified key was too long; max key length is 767 bytes”,其意思是“索引字段长度太长,超过了767bytes”。

  • innodb 存储引擎,多列索引的长度限制如下:
    每个列的长度不能大于767bytes,所有组成索引列的长度和不能大于3072bytes。

  • myisam 存储引擎,多列索引的长度限制如下:

    每个列的长度不能大于1000bytes,所有组成索引列的长度和不能大于1000bytes。

    说明:

    768 / 2 = 384个双字节或者767 / 3 = 255个三字节的字段(GBK 是双字节的、UTF8 是三字节的、UTF8MB4 是四字节的)

MySQL 5.6 及其以上版本,所有 myisam 表都会被自动转换为 innodb,所以在自建数据库上有超过767bytes的组合索引列,但是由于在自建库上 myisam 存储引擎,同样的建表语句在自建库上运行没问题,但是在 MySQL 5.6 版本以上就会有问题。

解决方案:

  1. 修改备份文件中出错行组合索引列的长度。
    常见:
    create table test(test varcahr(255) primary key)charset=utf8;
    – 成功
    create table test(test varcahr(256) primary key)charset=utf8;
    – 失败
    ERROR 1071(42000):Specified key was too long; max key length is 767 bytes
  2. 使用 TencentDB 5.5 版本,myisam 引擎不会被自动转换为 innodb。

select * from XX into outfile xxxx 报错是什么原因呢?

由于平台安全性原因,不支持开通 file 权限,不支持使用 select into outfile 方式导出数据 ,建议您使用其他方式导出。

MySQL 数据库插入 emoji 表情乱码怎么办?

需排查 MySQL 实例内部、客户端、到 MySQL 实例的连接3个方面,是否未统一使用或者支持 utf8mb4 字符集。
要实现存储 emoji 表情到 MySQL 实例,需要 MySQL 实例内部、客户端、到 MySQL 实例的连接3个方面统一使用或者支持 utf8mb4 字符集。

  1. 首先需要 MySQL 实例设置字符集为 utf8mb4。可以通过登录控制台修改

    character_set_server
    

    参数。

    注意:

    修改此参数会使数据库重启,建议您提前备份数据库,避免出现不必要的损失。

  2. 用户的程序客户端需要保证输出的字符串的字符集为 utf8mb4。

  3. 应用程序创建连接是需要指定执行字符集,以常见的 jdbc 连接为例:

    对于jdbc连接,需要使用 MySQL Connector/J 5.1.13(含)以上的版本,示例代码如下:

    String query = “set names utf8mb4”; 
    stat.execute(query);
    

常见参数修改以及意义

云数据库 MySQL 已在官方的默认值基础上进行了优化,但基于客户不同的业务场景,在购买实例后,根据您的业务场景建议对以下参数进行合理的配置:

character_set_server
  • 默认值:LATIN1
  • 是否需要重启:是
  • 作用:用于配置 MySQL 服务器的默认字符集。云数据库 MySQL 提供4种字符集,分别为 LATIN1、UTF8、GBK、UTF8MB4,其中 LATIN1 支持英文字符,一个字符占用一个字节;UTF8 包含全世界所有国家需要用到的字符,是国际编码,通用性强,一个字符占用三个字节;GBK 的文字编码是用双字节来表示的,即不论中、英文字符均使用双字节来表示;UTF8MB4 作为 UTF8 的超集,完全向下兼容,一个字符占用四个字节,且支持 emoji 表情。
  • 建议:购买实例后,根据业务所需要支持的数据格式选择适合的字符集,确保客户端与服务器端设置相同的字符集,避免因字符集设置不正确而引发乱码的问题和不必要的重启操作。
lower_case_table_names
  • 默认值:0
  • 是否需要重启:是
  • 作用:创建数据库及表时,存储与查询时是否大小写敏感。该参数可以设置的值为0、1,默认的参数值为0,表示创建数据库及表时,存储与查询均区分大小写,反之则不做区分。
  • 建议:数据库 MySQL 默认大小写敏感,请根据您的业务需求及使用习惯进行合理的配置。
sql_mode
  • 默认值:

    NO_ENGINE_SUBSTITUTION(5.6版本),ONLY_FULL_GROUP_BY、STRICT_TRANS_TABLES、NO_ZERO_IN_DATE、NO_ZERO_DATE,ERROR_FOR_DIVISION_BY_ZERO、NO_AUTO_CREATE_USER、NO_ENGINE_SUBSTITUTION(5.7版本)
    
  • 是否需要重启:否

  • 作用:MySQL 可以运行在不同 sql 模式,sql 模式定义了 mysql 应该支持的 sql 语法、数据校验等。

    该参数5.6版本的默认参数值为

    NO_ENGINE_SUBSTITUTION
    

    ,表示使用的存储引擎被禁用或未编译则抛出错误;5.7版本的默认参数值为

    ONLY_FULL_GROUP_BY、STRICT_TRANS_TABLES、NO_ZERO_IN_DATE、NO_ZERO_DATE、ERROR_FOR_DIVISION_BY_ZERO、NO_AUTO_CREATE_USER、NO_ENGINE_SUBSTITUTION
    

    其中:

    • ONLY_FULL_GROUP_BY表示在 GROUP BY 聚合操作时,如果在 SELECT 中的列、HAVING 或者 ORDER BY 子句的列,必须是 GROUP BY 中出现或者依赖于 GROUP BY 列的函数列。
    • STRICT_TRANS_TABLES为启用严格模式;NO_ZERO_IN_DATE 是否允许日期中的月份和日包含 0,且受是否开启严格模式的影响。
    • NO_ZERO_DATE数据库不允许插入零日期,且受是否开启严格模式的影响。
    • ERROR_FOR_DIVISION_BY_ZERO在严格模式下,INSERT 或 UPDATE 过程中,如果数据被零除,则产生错误而非警告,而非严格模式下,数据被零除时 MySQL 返回 NULL。
    • NO_AUTO_CREATE_USER禁止 GRANT 创建密码为空的用户。
    • NO_ENGINE_SUBSTITUTION使用的存储引擎被禁用或者未编译则抛出错误。
  • 建议:由于不同的 SQL 模式支持不同的 SQL 语法,建议根据您的业务场景及开发习惯进行合理的配置。

long_query_time
  • 默认值:10
  • 是否需要重启:否
  • 作用:用于指定慢查询的界定时间,默认值为10s。当某个查询执行时间为10s及以上,该查询的执行情况会记录于慢日志中,便于过后对慢查询进行分析。
  • 建议:基于客户业务场景及性能敏感度不同,建议根据各自业务场景设置合理的值,以便事后进行性能分析。

CDN

腾讯云 CDN 有没有境外加速能力?

腾讯云 CDN 目前已经具备境外加速能力。腾讯云 CDN 累计开放了腾讯十多年的节点,提供了200+个境外节点,覆盖全球50+个国家和地区,支持您的业务无缝出海。

接入 CDN 后,源站需要改造才能享受加速服务吗?

基本不需要。但是为了能够达到更好的加速效果,我们建议您先做动静分离,动态文件和静态文件分配在不同域名下,仅需要对静态资源做加速。

腾讯 CDN 支持跨域访问吗?

腾讯云 CDN 在处理跨域访问时是不做跨域限制的。如果用户网站需要跨域访问,在自身网站中配置 Access-Control-Allow-Origin 字段即可,您也可以选择在 CDN 对域名配置跨域头来实现跨域访问,详情请参见 HTTP Header 配置

哪里可以下载 CDN 访问日志?

您可以在 CDN 控制台中下载 CDN 访问日志,具体操作步骤请参见 日志下载

本机接入诊断跟用户接入诊断的区别?

本机接入诊断:当您发现您的某个资源访问存在异常,您可以通过“本机接入诊断”发起检测。
用户接入诊断:当您的用户向您反应资源访问存在异常,您可以通过“用户接入诊断”定位问题,并通过腾讯云提供的建议操作解决问题。

CDN 支持 POST 请求吗?

CDN 支持 POST 请求。

CDN 是否支持源站的 Cache-Control 设置?

腾讯云 CDN 默认支持源站的 Cache-Control 设置。

CDN 是否支持 GZIP 压缩?

CDN 为了节省您的流量,默认将大小在256Byte - 2048KB区间,后缀为 .js;.html;.css;.xml;.json;.shtml;.htm; 的文件进行 Gzip 格式压缩。

CDN 加速支持非80端口吗?

目前 CDN 加速的端口支持80、443、8080三个端口。

CDN 中间源是什么?

CDN 中间源即中间源服务器,是位于业务服务器与 CDN 节点之间的一个中间层回源服务器。中间源对节点的回源请求进行了收敛,降低您源站的回源压力。

如何获取客户端真实 IP?

请求通过边缘加速节点后,会增加 x-forward-for 头部,携带客户端真实 IP 信息。

什么是 HTTPS?

HTTPS,是指超文本传输安全协议(Hypertext Transfer Protocol Secure),是一种在 HTTP 协议基础上进行传输加密的安全协议,能够有效保障数据传输安全。配置 HTTPS 时,需要您提供域名对应的证书,将其部署在全网 CDN 节点,实现全网数据加密传输功能。

CDN 是否支持 HTTPS 配置?

腾讯云 CDN 目前已经全面支持 HTTPS 配置。您可以上传自有证书进行部署,或前往 证书管理控制台 申请由亚洲诚信免费提供的第三方证书。

如何配置 HTTPS 证书?

您可以在 CDN 控制台中配置 HTTPS 证书,详情请参见 HTTPS 配置

源站的 HTTPS 证书更新了,CDN 上需要同步更新吗?

由您的回源方式决定:
HTTP 回源:不需要。
HTTPS 回源:源站更新证书,CDN 节点也需要同步更新。客户端到节点,节点到源站证书是需要一致的,否则会导致回源失败。

CDN 有没有方法让用户控制只允许 HTTPS 访问,禁止 HTTP 访问?

使用强制 HTTPS 功能。证书配置成功后,会出现“强制跳转”开关,开启后,即使用户发起 HTTP 请求,也会强制跳转为 HTTPS 进行访问。
img

腾讯云 CDN 节点默认超时时间是多长?

腾讯云 CDN 节点默认超时时间是10秒。

在 CDN 管理下关闭接入域名,关闭后 CDN 节点上的文件会怎么样?

若您关闭当前已接入 CDN 的域名加速服务,则 CDN 节点将会保留对应域名的接入配置,但不再产生 CDN 流量,该域名下的请求都将直接回源。在做此操作前,请确认:

  • 您已将该域名的 CNAME 设置修改为对应 A 记录,否则该域名将无法访问,详情请参见 A 记录
  • 您的源站带宽处理能力足够,否则会影响您域名的正常访问。

接入 CDN 之后网站打不开,如何排查?

请先检查接入域名的 CDN 状态是否为“已关闭”,若为“已关闭”状态则对应网页无法打开。若非“已关闭”状态时,可按照下列步骤进一步检查:

  • 通过 ping 或 nslookup 检查该域名的 CNAME 解析是否已生效。若未绑定 CNAME,您可以参考 CNAME 配置 文档中的操作说明,在您的 DNS 服务商处绑定 CNAME。
  • 待 CNAME 生效后,检查源站是否能正常访问。

若您无法通过上述步骤解决该问题,请 提交工单 联系我们帮您处理。

如何判断用户访问的是哪个 CDN 节点?

您可通过 nslookup 和 ping 命令可以获取用户访问的 CDN 节点的 IP 和延时丢包等基本的排错信息。

命中率低是什么原因呢?

命中率低可能由以下原因造成:

  • 缓存配置问题,如缓存时间较短。
  • HTTP Header 导致无法缓存,请检查源站 Cache-Control 或 Expires 的设置。
  • 源站类型问题,可缓存的内容少。
  • 网站访问量低,过期时间短,命中的文件少,导致频繁回源。

用户感觉 CDN 访问慢?

大文件关注下载速度,小文件关注延时。首先得到用户访问慢的 URL,通过测速网站判断是否访问慢(推荐工具: 17ce )。
如果测速确实慢,源站属于自有源,协助用户排查源站机器负载和带宽是否受限。

如何判断用户访问是否命中 CDN Cache?

查看访问回包头部的 X-Cache-Lookup 信息,若同时返回多个 X-Cache-Lookup 属正常情况,仅当返回 Hit From MemCache/Hit From Disktank 时表示命中 CDN Cache:
img

  • X-Cache-Lookup:Hit From MemCache 表示命中 CDN 节点的内存。
  • X-Cache-Lookup:Hit From Disktank 表示命中 CDN 节点的磁盘。

为什么同名文件节点返回的文件大小不一致?

因为所有文件类型都默认缓存,CDN 节点上可能存在不同的文件版本。解决方法:

  • 强制刷新文件,立即更新缓存。
  • 带上版本号,例如:http://www.xxx.com/xxx.js?version=1
  • 更换其它文件名,不使用同名文件。

vpn

什么是 VPN 连接?

VPN 连接是一种通过公网加密通道连接用户的对端 IDC 和私有网络的方式。详情请参见 产品概述

什么是 VPN 通道?

VPN 网关和对端网关建立后,即可建立 VPN 通道,用于私有网络和外部 IDC 之间的加密通信,详情请参见 产品概述

什么是 VPN 网关?

VPN 网关是私有网络建立 VPN 连接的出口网关,与对端网关(IDC 侧的 IPsec VPN 服务网关)配合使用,主要用于腾讯云私有网络和外部 IDC 之间建立安全可靠的加密网络通信。腾讯云 VPN 网关通过软件虚拟化实现,采用双机热备的策略,单台故障时自动切换,不会影响业务正常运行。

  • VPN 网关根据带宽上限分为8种设置,分别为:5M、10M、20M、50M、100M、200M、500M、1000M。您可以调整 VPN 网关带宽设置,按量付费的 VPN 网关即时生效,包年包月的 VPN 网关在当前到期时间后生效(包年包月的 VPN 网关暂不支持向下调整带宽)。
  • 如果您需要 BGP 高防为 VPN 网关提供超大带宽的 DDoS 和 CC 防护,您可以将高防包绑定到 VPN 网关上,实现安全防护。

什么是 IPsec VPN?

IPsec VPN 是一种通过公网加密通道连接用户的 IDC 和私有网络的方式。腾讯云私有网络 IPsec VPN 接入分为以下几个组成部分:

  • VPN 网关:VPN 网关是私有网络的 IPsec VPN 网关,与对端网关(用户 IDC 侧的 IPsec VPN 服务网关)配合使用,主要用于私有网络和用户的 IDC 之间建立安全可靠的加密网络通信对端网关。
  • 对端网关:对端网关指用户 IDC 机房的 IPsec VPN 服务网关在私有网络内的映射,对端网关需与 VPN 网关配合使用,一个 VPN 网关可与多个对端网关建立带有加密的 VPN 网络通道。
  • VPN 通道:加密的公网 IPsec VPN 通道,在 VPN 网关和对端网关建立后,即可以建立 VPN 通道,用于私有网络和用户的 IDC 之间的加密通信。

使用 VPN 有什么约束?

使用 VPN 时,您需要注意 VPN 连接和对端网关 IP 地址上的约束,详情请参见 使用约束

一个 VPC 可以通过 VPN 连接与多个 IDC 互联吗?

可以,目前私网网络可以建立 VPN 网关并在每个 VPN 网关上建立多个 VPN 通道,每个 VPN 通道可以打通一个本地 IDC。

两个 VPC 之间通信可以通过 VPN 连接实现吗?

可以,用户需要分别在两个 VPC 内购买 VPN 网关、配置 VPN 通道和对端网关,但配置较为复杂,建议用户使用 云联网。云联网使用腾讯内网连接两个 VPC,通信质量更有保障。

通过 VPN 连接的私有网络和 IDC 之间的网络质量如何保证?

  • VPN 连接在私有网络与 IDC 之间是通过公网传输的,故整体网络质量依赖公网网络的质量,当公网网络出现时延、丢包、抖动时,VPN 连接也会相应受到影响,如果您需要更加稳定的通信质量,建议使用 专线接入 服务。
  • 腾讯云会为您的 VPN 网关提供24小时监控,对异常情况进行告警,紧急情况下还会有运维人员会介入处理。用户也可以在控制台实时监控 VPN 网关和通道的流量状态。

专线接入与 IPSec VPN 连接有什么区别?

  • IPsec VPN 连接利用公网和 IPsec 协议在用户的数据中心和私有网络之间建立加密的网络连接。VPN 网关的购买、生效和配置可以在几分钟内完成。但是 VPN 连接可能会受到 Internet 抖动、阻塞等公网质量而中断,当用户的业务对网络连接质量要求不高时,是一种快速部署高性价比选择。
  • 专线接入则提供了一个用户专用的网络连接方案,施工时间较长,但可以提供高质量高可靠的网络连接服务,当用户的业务对网络质量和网络安全要求较高时,可以选择此方案进行部署。

两者的具体区别如下表:

优势

专线接入

IPsec VPN

稳定的网络延时

腾讯云专线接入网络延时可靠有保证,提供高于99.5%的网络时延保障,用户可以通过固定的路由配置免去拥堵或故障绕行带来的时延不稳定困扰。

腾讯云 IPsec VPN 接入网络连接基于 Internet,可能由于网络高峰链路阻塞导致路由绕行,时延不稳定。

高可靠的容灾接入

腾讯云专线接入接入设备及网络转发设备均采用分布式集群化部署,全链路高可靠配置,支持带保护的双线接入,满足用户高于99.95%可用性的苛刻要求。

腾讯云 IPsec VPN 网关采用双机热备份配置,具备网关层高可靠,但由于 Internet 网络链路不可靠,无法提供专线级网络可靠保证。

支持大带宽

腾讯云专线接入单线路最大支持10Gbps带宽连接,还可以接入多条10Gbps链路做网络负载均衡,无理论上限。

腾讯云 IPsec VPN 单网关最大支持100Mbps带宽上限,私有网络支持多 VPN 网关配置,可以通过多 VPN 网关的配置满足大于100Mbps的 VPN 接入。

安全性高

腾讯云专线接入网络链路用户独占,无数据泄露风险,安全性高,满足金融、政企等高等级网络连接要求。

腾讯云 IPsec VPN 网络传输基于 IKE 协议的预共享密钥的加密,可以满足绝大多数网络传输安全性要求。

支持网络地址转换

腾讯云专线接入支持在网关上配置网络地址转换服务,支持专线两端的 IP 映射和私有网络端的 IP 端口映射,完美搞定多第三方的网络互联时的地址冲突难题。

暂不支持。

为什么 VPN 通道已连接,但是两端没有流量或无法 Ping 通?

请您依次排查 SPD 策略(感兴趣流)、路由表、安全组是否配置合理:

  1. 排查两端的 SPD 策略配置
    请检查 VPN 通道两侧的感兴趣流设置是否合理,如果您 VPN 的流量经过了 NAT 设备,请防止访问腾讯云的流量被 NAT 匹配而未走到 VPN 通道,造成无可用激活流量而无法激活 VPN 通道的问题。
  2. 排查两端的路由配置
    请确保路由表中已经创建了去往您对端内网的路由策略,并将该路由指向了 VPN 网关。
  3. 排查两端安全策略配置
    • CVM 的安全组出站策略允许主动访问对端网段,安全组入站策略允许对端网段主动访问您的 CVM。
    • 您对端的 VPN 网关安全策略已开放了您的内网服务器与云 CVM 之间互访权限。
    • 检查您对端的内网服务器与 VPN 设备之间是否存在安全限制。
    • 检查 VPC 的子网是否绑定了网络 ACL,若绑定需开放相应访问网段。

VPN 通道连通的配置过程需要两端协商信息一致才可成功建立连接,需要依次检查两端配置的一致性,推荐的检查思路如下:

注意:

  • 任何一个参数不一致,VPN 通道都无法建立。
  • 不同厂家设备、公有云服务提供商的默认 VPN 配置不尽相同。

VPN 网关是如何实现的,可用性如何?

  • VPN 网关是通过网络功能虚拟化(NFV)实现的,采用双机热备的策略,单台故障时自动切换,不会影响业务正常运行。
  • VPN 通道在公网中运行,公网网络出现阻塞、抖动、延迟等问题都会对 VPN 网络质量产生影响。如果业务对网络传输的延迟、抖动容忍度较低,建议使用 专线接入 。

VPN 通道未连通如何处理?

  1. 检查第一阶段 IKE 配置信息

    请您检查第一阶段所需的 IKE 版本号、身份证认证方法、加密算法、认证算法、协商模式、两端标识、DH group、IKE sa lifetime 两端的所有参数是否保持一致,如果有不一致的请修改一致后再尝试。

    腾讯云 VPN 网关的第一阶段协商参数的默认配置为:

    IKE 配置项

    默认配置

    其他可选配置

    IKE

    V1

    -

    身份认证方法

    预共享密钥

    AES-128,AES-192,AES-256,DES

    加密算法

    3DES

    SHA1

    认证算法

    MD5

    -

    协商模式

    Main

    Aggressive

    本端标识

    IP 地址(默认为腾讯云侧 VPN 网关的公网 IP 地址)

    FQDN

    对端标识

    IP 地址(默认为对端 VPN 网关的公网 IP 地址)

    FQDN

    DH group

    DH1

    DH2,DH5,DH14,DH24

    IKE SA Lifetime

    86400秒

    -

  2. 检查第二阶段 IKE 配置信息

    请您检查第二阶段的所需的加密算法、认证方法、报文封装模式、安全协议、PFS、IPsec SA 生成周期两端的所有参数是否一致,如果有不一致的请修改一致后再尝试。

    腾讯云 VPN 网关的第二阶段 IPsec 参数的默认配置为:

    IPsec 配置项

    默认配置

    其他可选配置

    加密算法

    3DES

    AES-128,AES-192,AES-256,DES

    认证算法

    MD5

    SHA1

    PFS

    Disable

    DH1,DH2,DH5,DH14,DH24

    IPsec SA lifetime

    3600秒

    -


NAT 网关

什么是 NAT 网关?

NAT 网关 在内外网隔离时,将私有网络(Virtual Private Cloud,VPC)中内网 IP 地址和公网 IP 地址进行转换,实现私有网络访问 Internet 功能。NAT 网关支持最大满足 5 Gbps 突增流量和 1000 万并发连接数。同时作为高可用网关,NAT 网关实现了双机热备,单机出故障自动切换,业务无感知。NAT 网关是一种将私有网络中内网 IP 地址和公网 IP 地址进行转换的网关,是私有网络内无公网 IP 的云资源访问 Internet 的一种方式(但不支持 Internet 主动访问私有网络)。

NAT 网关和公网网关有什么区别?

VPC 内的云服务器可以通过 NAT 网关或者公网网关访问 Internet。两种网关之间的差异如下表所示。

属性

NAT 网关

公网网关

可用性

双机热备,自动热切换

手动切换故障网关

公网带宽

最大5Gbps

取决于云服务器网络带宽

公网 IP

最多绑定10个弹性 IP

1个弹性 IP 或普通公网 IP

公网限速

取决于云服务器限速

最大连接数

1000万

50万

内网 IP

不占用 VPC 用户的内网 IP

占用子网内 IP

安全组

NAT 网关不支持安全组绑定,可对后端云服务器进行安全组绑定

支持安全组绑定

网络 ACL

NAT 网关不支持网络 ACL 绑定,可对后端云服务器所在子网进行网络 ACL 绑定

不支持绑定网络 ACL,可对所在子网进行网络 ACL 绑定

费用

大陆地区: 小型(最大100万连接数):0.5元 / 小时 中型(最大300万连接数):1.5元 / 小时 大型(最大1000万连接数):5元 / 小时

仅需支付对应云服务器的配置费用,不收取额外费用

由上表可知,NAT 网关具有如下优势:

  • 大容量
    最大支持1000万并发连接、5Gbps带宽和10个弹性 IP,满足大规模用户诉求。
  • 双机热备高可用
    单机故障自动切换,相对于公网网关的手动切换,实现了自动容灾,保障99.99%的服务可用性。
  • 省成本
    提供高、中、低三种配置,用户可按需购买,弹性计费,更省成本。

NAT 网关有什么配置类型 ?

NAT 网关支持绑定 10 个弹性 IP,同时提供了三种配置类型

  • 小型(最大 100 万连接数)
  • 中型(最大 300 万连接数)
  • 大型(最大 1000 万连接数)

使用 NAT 网关有什么约束?

NAT 网关有其使用的约束,例如删除 NAT 网关会解除其弹性 IP 地址的关联,但不会从用户帐号释放该弹性 IP 地址。

NAT 网关的网络拓扑关系是什么?

NAT 网关是 VPC 内云服务器等资源通过 NAT 网关向外发送数据包时,数据会先经过路由器,按照路由策略进行路由选择。

NAT 网关的主要功能是什么?

  • 支持 SNAT 和 DNAT。
  • 支持高防服务。

什么是弹性 IP?

弹性公网 IP 地址是专为动态云计算设计的静态 IP 地址。它是某地域下一个固定不变的公网 IP 地址。用户可以借助弹性公网 IP 地址,快速将地址重新映射到账户中的另一个 NAT 网关,从而屏蔽实例故障

NAT 网关流控有什么作用?

  • 作用:NAT网关流控提供 IP - 网关粒度的 “监” 与 “控” 能力,精细化网关流量可视化让网络运维人员对网关中流量一目了然,IP-网关粒度的限速能力助力异常流量屏蔽。网关流控主要价值如下:
    • 精确的网关故障排查能力,最小化网络故障时间;结合流量的实时查询、TOP N 的排名功能,可分析来源 IP 及其关键指标,快速定位异常流量。
    • 基于 IP-网关粒度的“监”与“控”能力;结合分钟级的网络流量查询,可及时发现异常流量抢占带宽,设置 IP-网关粒度带宽限制,保障核心业务稳定畅行。
    • 全时全流的网关流量分析能力,可以降低云上网络成本。通过 QoS 控制成本,可以在网络预算有限的情况下,限制非关键的业务带宽,以降低成本。
  • 例子:某日凌晨,某公司的网关流量突增,通过智能网关流控,运维人员可根据该突增时间点,追踪造成流量突增的 IP,从而快速定位根源。不仅如此,网关流控提供基于 IP-网关粒度的带宽控制,可限制某 IP 到网关的带宽,可屏蔽异常流量,保障关键业务。

什么是地域(region)?

腾讯云不同地域之间完全隔离,保证不同地域间最大程度的稳定性和容错性。当前覆盖大陆华南、华东、华北三个地区;并有针对覆盖东南亚地区的中国香港节点、新加坡节点,覆盖北美地区的多伦多节点,覆盖美国西部的硅谷节点。我们将逐步增加区域供应以满足更多节点的覆盖。建议用户选择最靠近您客户的地域,可降低访问时延、提高下载速度。

怎样选择适合用户的地域?

地域选择原则遵循以下原则:

  • 靠近用户原则
    请根据用户所在地理位置选择云服务器地域。云服务器越靠近访问客户,越能获得较小的访问时延和较高的访问速度。例如,用户大部分位于长江三角洲附近时,上海地域是较好的选择。
  • 内网通信同地域原则
    同地域内,内网互通;不同地域,内网不通。如需要多个云服务器内网通信的用户须选择相同云服务器地域。相同地域下的云服务器可以通过内网相互通信(内网通信,免费)。不同地域之间的云服务器不能通过内网互相通信(通信需经过公网,收费)。
    可用区域之间的隔离程度如何?
    每个可用区域在其独立的、物理上显著不同的基础设施中运行,并已设计为具备高可靠性。可用区之间不共用像发电机和冷却设备那样的常见故障点。此外,它们在物理上也是相互独立的,即使火灾、龙卷风或洪涝等极为罕见的灾难也只会影响单个可用区域。

弹性伸缩

什么是冷却时间?

冷却时间是指在同一个伸缩组内,一个伸缩活动(增加或移出 CVM 实例)执行完成后的一段锁定时间。在这段时间内,该伸缩组不执行伸缩活动。冷却时间的可选范围是0-999999(秒)。

手动加入的 CVM 是否需要经历冷却时间?

手动添加的 CVM 不需要经历冷却时间。

弹性伸缩是否收费?

弹性伸缩(Auto Scaling)功能完全免费,请放心使用。
通过弹性伸缩自动创建的 CVM 实例,按正常的按量计费 CVM 价格收费,手动加入的 CVM 实例保持其原有的计费策略,不受加入、移出伸缩组影响。

如何增加伸缩组最大云服务器数?

弹性伸缩一个伸缩组最多支持2000台 CVM,目前腾讯云用户每个可用区可拥有的按量计费类型 CVM 配额请为150台

什么样的机器适合使用弹性伸缩?

伸缩组中的云服务器实例中部署的应用需要是无状态、可替换的。因为伸缩组中的实例有可能在缩容中被回收,所以用于弹性伸缩的 CVM 实例不能保存应用的状态信息(如会话)和相关数据(如数据库、日志等)。如果应用中需要保存状态信息,可以考虑把状态信息保存到伸缩组以外的独立云服务器中。

手动加入伸缩组的云服务器有什么要求?

手动加入伸缩组的云服务器必须满足以下要求:

  • 与伸缩组处在同一个地域内;
  • 所在网络环境(VPC 或基础网络)与伸缩组一致;
  • 处于运行中状态。

伸缩组关联的负载均衡实例有什么要求?

伸缩组关联的负载均衡实例必须与伸缩组在同一个网络环境(VPC 或同一地域的基础网络)中。

弹性伸缩是否能够自动升降 CVM 的配置?

弹性伸缩是根据用户的业务需求和策略,自动调整其弹性计算资源的管理服务。其能够在业务增长时自动增加 CVM 实例,并在业务下降时自动减少 CVM 实例。弹性伸缩目前还不能支持“纵向扩展”,即弹性伸缩暂时无法自动升降 CVM 的 CPU、内存和带宽。

弹性伸缩一定要搭配负载均衡、云监控才能使用吗?

弹性伸缩可以单独扩展和收缩 CVM 实例,既可以搭配负载均衡一起部署,也可以不搭配。

需要某个时间段扩容一批 CVM,该如何设置?

用户可以设置一对定时任务:一个定时任务定义扩容操作,将期望实例数设为您所要扩容的数量;另一个定时任务定义缩容操作,将期望实例数设置到所要缩容的数量。

伸缩组移出策略的具体规则是什么?

腾讯云弹性伸缩提供两种移出策略:

  • 删除最旧机器:删除最旧自动增加的机器。自动增加的机器删除完后,删除最早手动增加的机器。
  • 删除最新机器:删除最新自动增加的机器。自动增加的机器删除完后,删除最新手动增加的机器。

告警策略是如何统计云监控信息的?

以最大值为例,最大值统计的基本策略是每个周期对每台云服务器的设定监控项进行1分钟取值(每分钟取一个值),当取到的值连续多个周期(周期数用户可自定义)都符合设定的规则后,则会触发告警伸缩行为。

例如:某伸缩组中有5台 CVM,定义的告警伸缩策略是“连续3个周期 CPU 使用率超过50%”。系统会每分钟对每台 CVM 取1个值,即一个周期(5分钟)里取了25个 CPU 使用率的值。如果这25个值中有超过阈值(50%)的,该周期符合告警伸缩规则。如果连续3个周期都符合此规则,则会触发伸缩行为。

什么是期望实例数?

期望实例数是指伸缩组当前合理的实例数量,大小介于最小伸缩数和最大伸缩数之间。您可以手动调整期望实例数,也可以使用定时任务和告警伸缩任务触发调整。伸缩组会自动调整实际实例数,使之与期望实例数相等。

  • 创建伸缩组时:若用户创建伸缩组时设定了初始实例数,则期望实例数为初始实例数。
  • 告警伸缩任务调整:当告警伸缩被触发时,伸缩组将调整当前实例数到期望实例数。例如,触发动作是增加两台云服务器,后台会通过将期望实例数在当前基础上+2来实现。系统发现伸缩组的当前实例数与期望实例数不相等,就会增加两台云服务器,使当前实例数等于期望实例数。
  • 定时或手动调整期望实例数:当用户通过定时任务或者直接修改的方式,更改了期望实例数,系统发现当前实例数与期望实例数不相等,就会触发伸缩,直到与期望实例数相等。
  • 系统调整:期望实例数介于最大实例数和最小实例数之间,如果最大实例数或最小实例数变化,则有可能导致期望实例数变化。例如期望实例数是3,最小伸缩数是2,最大伸缩数是5;若最小伸缩数被调整到4,则期望实例数会被调整为4,以符合最小伸缩数。

启动配置中指定了数据盘快照要注意什么?

若启动配置中指定数据盘快照,则需保证数据盘能被正确自动挂载,伸缩组方可成功自动扩容。您需要在设置弹性伸缩前对制作数据盘快照的原实例进行一些操作,才可以支持启动新的云服务器实例时自动挂载数据盘。
具体方法请参见:挂载云硬盘

伸缩组停用后,什么操作会暂停?

设置了停用伸缩组后,自动触发的活动不会进行,但是伸缩组的限制还生效。
当设置了停用伸缩组后,自动进行的操作不进行:

  • 告警伸缩。
  • 定时任务。
  • 健康检查。
  • 手动造成期望实例数不匹配。

但为了确保业务正常,伸缩组的基本限制是继续存在的:

  • 若手动移出时小于min,不允许移出。
  • 若手动加入超过max,不允许加入。
  • 手动提高minmax,不触发伸缩活动。

自动加入伸缩组的云服务器的生命周期包括哪些阶段?

  • Creating 创建中:子机在创建中
  • InService 运行中:子机在运行中
  • Removing 移除中:子机正在被移除
  • Attaching 绑定中:子机正在被绑定到伸缩组
  • Detaching 解绑中:子机正在从伸缩组解绑
  • AttachLb 绑定 CLB 中:子机正在绑定 CLB
  • DetachLb 解绑 CLB 中:子机正在解绑 CLB
  • Preheating 预热中:子机正在预热

移出子机的规则是什么?

  • 手动加入的子机被移出:被移出的子机不再属于伸缩组的管理范围内,AS 不会删除它。AS 会解绑在实例加入伸缩组时,由 AS 给实例自动绑定的 CLB,而用户手动绑定的 CLB 则不会解绑。
  • 自动扩容进去的子机被移出:子机会被销毁,也会解绑 CLB。

负载均衡

健康检查提示 CVM 实例异常该如何处理?

请按如下步骤进行排查:

  • 确保您直接通过云服务器访问到您的应用服务。
  • 确保后端服务器已开启了相应的端口。
  • 检查后端服务器内部是否有防火墙之类的防护软件,可能导致负载均衡系统无法与后端服务器通讯。
  • 检查负载均衡检查参数设置是否正确。
  • 建议使用静态页面来健康检查。
  • 检查后端的云服务器是否有高负载导致云服务器对外响应慢。
  • 确保云服务器子机没有做 iptables 限制。

发送 843 的 policy 请求(即 flash server 请求)时,没有返回策略文件,连接直接断掉,该如何处理?

负载均衡收到 843 的 policy 请求,会主动回复通用的 crossdomain 策略配置文件,如果出现没有返回策略文件,连接直接断掉的情况,可能是 flash server 请求不正确。

请确认发送正确的 flash server 的请求:\0 。

注意:

这里需要以\0结尾,一共23个字节。\0是指一个 ASCII 码为 0 的符号,只占用一个字节。

正常的 843 返回结果如下图所示:
img

CLB 是否可以直接获取 Client 端 IP?

公网七层负载均衡提供 X-Forwarded-For 的方式获取访问者真实 IP,CLB 侧默认开启,需要后端服务做相应配置来获取 Client IP。详情请见 如何获取客户端真实 IP

公网四层负载均衡(TCP 协议)服务可以直接在后端 CVM 上获取来访者真实 IP 地址,无需进行额外的配置;内网四层负载均衡自从2016年10月24日起,新购的实例不再进行 SNAT 处理,支持直接从 server 端获取真实的 client IP,无需额外配置。

可以为哪些 TCP 端口执行负载均衡?

您可以为如下 TCP 端口执行负载均衡:21(FTP)、25(SMTP)、80(HTTP)、443(HTTPS),以及1024 - 65535等端口。

负载均衡 Cookies 会话保持方式的原理是什么?

在 Cookie 插入模式下,CLB 将负责插入 cookie,后端服务器无需作出任何修改。当客户进行第一次请求时,客户 HTTP 请求(不带 Cookie)进入 CLB, CLB 根据负载平衡算法策略选择后端一台服务器,并将请求发送至该服务器,后端服务器进行 HTTP 回复(不带 Cookie)被发回 CLB,然后 CLB 插入 Cookie,将 HTTP 回复(带 Cookie)返回到客户端。

当客户请求再次发生时,客户 HTTP 请求(带有上次 CLB 插入的 Cookie)进入 CLB,然后 CLB 读出 Cookie 里的会话保持数值,将HTTP请求(带有与上面同样的 Cookie)发到指定的服务器,然后后端服务器进行请求回复,由于服务器并不写入 Cookie,HTTP 回复将不带有 Cookie,恢复流量再次经过进入 CLB 时,CLB 再次写入更新后的会话保持 Cookie。

四层负载均衡和七层负载均衡有什么区别?

  • 四层均衡能力,是基于 IP + 端口的负载均衡。
  • 七层是基于应用层信息(如 HTTP 头部、URL 等)的负载均衡。

四到七层负载均衡,就是在对后台的服务器进行负载均衡时,依据四层的信息或七层的信息来决定怎么样转发流量。
例如,四层的负载均衡,就是通过发布三层的IP地址(VIP),然后加四层的端口号,来决定哪些流量需要做负载均衡,对需要处理的流量进行 NAT 处理,转发至后台服务器,并记录下这个 TCP 或者 UDP 的流量是由哪台服务器处理的,后续这个连接的所有流量都同样转发到同一台服务器处理。

七层的负载均衡,就是在四层的基础上,再考虑应用层的特征。
例如,同一个 Web 服务器的负载均衡,除了根据 VIP 和80端口辨别是否需要处理的流量,还可根据七层的 URL、浏览器类别、语言来决定是否要进行负载均衡。
七层负载均衡,也称为“内容交换”,也就是主要通过报文中的真正有意义的应用层内容,再加上负载均衡设备设置的服务器选择方式,决定最终选择的内部服务器。

七层负载均衡要根据真正的应用层内容选择服务器,只能先代理最终的服务器和客户端建立连接(三次握手)后,才可能接受到客户端发送的真正应用层内容的报文,然后再根据该报文中的特定字段,以及负载均衡设备设置的服务器选择方式,决定最终选择的内部服务器。负载均衡设备在这种情况下,更类似于一个代理服务器。负载均衡和前端的客户端以及后端的服务器会分别建立 TCP 连接。

CVM 可通过配置内网型负载均衡,将流量从端口A转发回同一台服务器的其他端口吗?

不可以。对服务器 A(10.66..101)端口 a 的访问可通过内网型负载均衡将请求转发至服务器 B(10.66..102)的端口 b。但无法将流量转发至同一台服务器 A(10.66.*.101)的另一端口 b。

什么是后端服务器权重?

用户可以指定后端服务器池内各 CVM 的转发权重,权重比越高的 CVM 将被分配到更多的访问请求,用户可以根据后端 CVM 的对外服务能力和情况来区别设定。

如果您同时开启了会话保持功能,那可能会造成对后端应用服务器的访问并不是完全相同的,建议您可以暂时关闭会话保持功能观察一下是否依然存在这种情况。

UDP 协议与 TCP 协议有什么区别?

TCP 是面向连接的协议,在正式收发数据前,必须和对方建立可靠的连接。UDP 是面向非连接的协议,它在数据发送前不与对方先进行三次握手,而是直接进行数据包发送传送。UDP 协议主要适用于关注实时性而相对不注重可靠性的场景,如视频聊天、金融实时行情推送、DNS、物联网等。

后端 CVM 需要外网带宽吗?是否会影响负载均衡的服务?

负载均衡不收取任何的流量或带宽费用。负载均衡服务产生的公网流量费用,由后端的 CVM 收取。建议购买后端 CVM 时,公网带宽选择按使用流量计费。并设定合理的最高的带宽峰值上线,这样就无需关注 CLB 出口的总流量的涨跌。互联网 Web 业务的流量起伏较大,无法准确预测。若按带宽计费,带宽买多了不划算,买得太少,业务高峰期会出现丢包的情况。

负载转发中的 HTTP 重定向问题

当浏览器访问网站 http://example.com 时,对服务器而言需要进行一次重定向,判断需要定向至根目录。而当浏览器访问网站 http://example.com/ 时服务器会直接返回网站设置的根目录默认页面。同样的,假设 http://cloud.tencent.com/movie 被URL重写跳转到 http://cloud.tencent.com/movie/ 上的话,则输入 http://cloud.tencent.com/movie 就会多一次 URL 重写的过程,在性能和时间上都有微小的损耗。 但在结果上没有差别。但若 http://cloud.tencent.com/product 被 URL 重写转跳到非 http://cloud.tencent.com/product/ 同一页面上,则需要考虑是否在二级页面后添加/

腾讯云负载均衡中,如果前后端端口号不一致时,为了避免 HTTP 重定向后导致端口号更改,访问二级页面需要加/保证页面的正常访问。

假设七层转发下,负载均衡实例监听80端口,后端服务器监听 8081 端口。此时客户端访问 http://www.example.com/movie ,经由负载均衡转发至后端服务器,服务器收到发往 http://www.example.com/movie 的请求并会重定向到 http://www.example.com:8081/movie/(监听端口为8081),此时客户端访问失败(端口错误)。

因此,建议用户将访问请求改写为带/的二级页面如 http://www.example.com/movie/。这样可以避免 HTTP 重定向,减少一次不必要的判断,降低不必要的负载。如果必须使用 HTTP 重定向时,请保证负载均衡的监听端口和后端服务器的监听端口相同。

客户端、服务器端 HTTP 版本不一致时,兼容版本说明

转发兼容性
  • 前端(client 端),当前支持 HTTP1.0/1.1,向下兼容。
  • 后端(server 端), 当前腾讯云使用 HTTP1.0 协议,支持 HTTP1.0/1.1,向下兼容。

注意:

HTTP/2 只在 HTTPS 中支持,且 client 及 server 端可以向下兼容。当前不支持 HTTP 协议。

支持 Gzip 兼容性
  • 前端(client 端),当前支持 HTTP1.0/1.1 向下兼容。(用户无需配置,主流浏览器都支持 Gzip)
  • 后端(server 端),在云服务器端,由于腾讯云内部全网支持 HTTP/1.1 协议,因此用户也无需配置,使用 nginx 默认配置(HTTP/1.1)即可兼容。

注意:

HTTP/2 只在 HTTPS 中支持,但 Gzip 可以用在腾讯云所支持的任意 HTTP 版本中。

负载均衡后端服务器的安全组应该怎么设置?怎样设置访问黑名单?

负载均衡安全组配置

若后端服务器设置了安全组规则,可能会出现负载均衡实例无法与其通信的状况。因此,在四层转发和七层转发下,建议后端服务器安全组均设置为全放通。若打开了安全组,并默认允许拒绝全协议全ip段的地址访问时,需要配置所有客户端 IP 到本机 IP 的安全组规则。
对于某些恶意 IP,可以设置把恶意IP加在安全组前排规则,禁止其访问后端服务器;再放通所有 IP(0.0.0.0)到本机服务端口,让正常客户端可以访问。 (安全组规则是有顺序的,自顶而下进行匹配)

私有网络内的七层负载转发若设置了健康检查,必须把负载均衡 VIP 加入到后端服务器的安全组放通规则,否则健康检查可能失效。

设置访问黑名单

如用户需要给某些 Client IP 设置黑名单,拒绝其访问,可以通过配置云服务关联的安全组实现。安全组的规则需要按照如下步骤进行配置:

注意:

如下配置步骤有顺序要求,顺序相反会导致黑名单配置失效。

  • 将需要拒绝访问的 client IP + 端口添加至安全组中,并在策略栏中选取拒绝该 IP 的访问。

  • 设置完毕后,再添加一条安全组规则,默认开放该端口全部 IP 的访问。

    配置完成后,安全组规则如下:

    clientA ip+port drop
    clientB ip+port drop
    0.0.0.0/0+port accept
    

关于安全组的更多说明,请参见 后端云服务器的访问控制

关于健康检查探测频率过高的说明

健康检查探测包频率过高,控制台设置接受探测包5秒1次,实际后端 RS 发现1秒内收到1次甚至多次健康检查请求,原因如下:

当前,健康检查频率过高的问题,主要跟负载均衡后端健康探测实现机制有关。假设100万的 client 端请求,会分散在4台 CLB 后端物理机上,再转给云服务器。 健康检查探测是在 CLB 的后端物理机上各自探测的。因此,CLB 实例设置5秒1次的探测请求,实际上 CLB 后端的每台物理机都会每5s发送一次探测。因此在后端云服务器上,会收到多次探测请求。假设 CLB 实例所在集群有8台物理机,那么每台机器5s发送一次请求,后端主机可能会在5s中收到8次探测。

该实现方案的优势是:效率高,探测精准,避免误剔除。例如,CLB 实例集群的8台物理机中,其中1台判断失败,仅那1台机器不再转发流量,另外7台的流量是正常的。

因此,如果您后端云服务器的探测频率过高,可以通过设置更长的探测间隔时间来解决( 如设置为15s探测一次)。

CLB 与后端服务器之间的通讯是走的内网还是外网?

CLB 与后端服务器的通讯始终走内网,绑定的 CVM 有外网 IP 的情况下也一样。

关于 Ping 负载均衡的 VIP 说明

公网负载均衡的 VIP 支持 Ping,Ping 负载均衡的 VIP 是由负载均衡集群响应,不会转发到后端的服务器。内网负载均衡的 VIP 不支持Ping,建议您使用 telnet 来探测内网负载均衡。

关于内网回环问题的说明

内网 CLB 不支持同一个内网 IP 即作为客户端又作为服务器,此时 CLB 看到的 Client IP 和 Server IP 是一样的,会导致访问不通。
当您的客户端需要同时作为服务器时,请至少绑定两个后端服务器。CLB 有自动避免回环的策略,当 Client A 访问 CLB 时,CLB 会自动调度到非 Client A 的后端服务器上。

关于同一个客户端通过不同的中间节点访问同一个后端 RS 的同一个端口时串流问题的说明

当同一个客户端同一时刻,通过不同的中间节点访问同一个 RS 的同一个端口会串流,具体场景为:

  • 同一个客户端,同时通过同一个 CLB 的四层、七层监听器,访问同一个 RS 的同一个端口。
  • 同一个客户端,同时通过不同 CLB 的不同监听器,访问同一个 RS 的同一个端口。

具体原因是:当前 CLB 会透传客户端 IP 到后端 RS,因此会导致client_ip:client_port -> vip:vport -> rs_ip:rs_port最终为client_ip:client_port --> rs_ip:rs_port
请在后端 RS 上新增端口来规避此类问题。


HTTPS

HTTPS 支持哪些版本的SSL/TLS安全协议?

负载均衡 HTTPS 目前支持的 ssl_protocols:TLSv1 TLSv1.1 TLSv1.2。

HTTPS 监听使用什么端口?

不强制,建议使用443端口。

为什么需要 HTTPS 双向认证?

有些客户对数据安全要求较高,如涉及到金融服务的客户等。他们不仅需要在服务端进行 HTTPS 认证,在客户端也需要进行 HTTPS 认证,为了满足这些客户的需求,我们推出 HTTPS 双向认证功能。

为什么 HTTPS 协议实际产生的流量会比账单流量多一些?

如果用户使用 HTTPS 协议,将会使用一些流量用于协议握手,因此其实际产生的流量会比账单流量更多一些。

添加 HTTPS 监听器后,负载均衡到后端云服务器间的请求是否依然通过 HTTP 协议传输?

是的。添加 HTTPS 监听器后,客户端到负载均衡之间的请求将经过HTTPS协议加密,而负载均衡到后端云服务器依然通过HTTP协议传输,因此后端云服务器无需做SSL配置。

CLB 目前支持哪些类型的证书?

目前支持服务器证书和CA证书的上传,服务器证书需要上传证书内容和私钥,CA证书只需要上传证书内容;这两种类型的证书都只支持PEM编码格式的上传。

一个监听器可以绑定多少个 HTTPS 证书?

如果用户使用 HTTPS 单向认证,则一个监听只能绑定一个服务器证书;若用户使用 HTTPS 双向认证,则一个监听需要绑定一个服务器证书+一个 CA 证书。

一个证书可以应用于多少个负载均衡器,多少个监听器?

一个证书可以应用于一个或多个负载均衡器,或多个监听器。

如何上传证书?

可以通过 API 或负载均衡控制台两种方式上传。

证书区分地域吗?

区分。考虑到安全和性能,目前用户的证书如需要在多个地域使用,就需要在多个地域上传。

证书需要上传到后端 CVM 吗?

不需要,负载均衡 HTTPS 提供证书管理系统管理和存储用户证书,证书不需要上传到后端 CVM,用户上传到证书管理系统的私钥都会加密存储。

证书过期后如何处理?

当前证书过期后,需要用户手动更新证书。

添加证书报错如何处理?

可能是私钥内容错误,需要用户替换为新的满足需求的证书。


对象存储

什么是对象存储 COS?

腾讯云对象存储 COS 是在云上提供无层次结构的分布式存储产品,为用户提供单价较低且快速可靠的数据存储方案。COS 以冗余的方式跨多个可用区存储用户数据,并允许多个不同的客户端或应用程序线程同时对这些数据进行读或写操作。

用户可通过云服务器实例或互联网使用 Web API 接口存储和检索数据。在 COS 上的数据,用户使用指定域名的 URL 地址,通过 HTTP/HTTPS 协议存储和检索每个独立的数据对象内容。

对象存储和文件存储的区别是什么?

对象存储 无目录层次结构、无数据格式限制,可存储任意数量的数据,存储桶空间无容量上限,无需分区管理。数据支持高可用架构部署,设计保障数据最终一致性,不支持文件锁等特性。API 使用 HTTP/HTTPS 的协议访问,并提供 SDK 和工具等方式与业务集成,上传到 COS 的对象可通过 URL 地址直接访问或下载。

文件存储 使用常用的网络文件传输协议,可创建文件系统并实现大规模扩展,需挂载在云服务器中使用。文件存储可为网站、在线发行、存档各种应用存储。 计算吞吐量高,具有极高的可用性和持久性,也适用于并发较高或需要共享存储的需求。

对象存储和云硬盘的区别是什么?

对象存储 具备无文件系统、目录结构、文件数量和空间上限的特性,需通过 Web API 接口管理和访问存储,提供了 SDK 和工具等集成,可以不依托云服务器单独使用。对象存储支持大规模数据的访问,但不适合毫秒级响应或随机读写的场景。

云硬盘 需要搭配云服务器,使用文件系统分区或格式化后,才可以被挂载使用。根据云硬盘不同的类型,针对不同的性能指标提供了区别 IOPS 和吞吐性能的产品,可满足单机使用的不同场景。

为何公有读文件的访问链接会失效?

首先从 对象存储控制台 的对象详情页可获取对象地址和签名链接。

如您的文件为公有读文件:

  • 当您希望其他人可以一直访问到您的文件时,建议您直接使用对象地址。
  • 当您只允许其他人在一定时间内可以访问到您的文件时,建议您直接复制签名链接。签名链接携带签名参数,有效期为1小时。

如您的文件为私有文件:

  • 当您希望其他人可以一直访问到您的文件时,建议您将文件访问权限改为公有读私有写,并使用对象地址。
  • 当您希望其他人在一定时间内可以访问到您的文件时,建议您直接复制签名链接。签名链接携带签名参数,有效期为1小时。

如何理解 COS 的“文件夹”或“目录”?

对象存储中不存在文件夹和目录的概念,但为了兼顾不同用户的使用习惯,对象存储借鉴传统文件管理的目录结构,在控制台上模拟了“文件夹”的展示方式。更多详情请参见 文件夹和目录 文档。

COS 文件删除后能不能恢复?

对象存储 COS 的数据冗余存储机制是针对服务器等硬件出现故障时需要数据恢复的场景进行设计的。若您主动对 COS 的数据手动删除或进行配置删除后,腾讯云将按照您的指令删除数据,并且无法恢复。

主动删除的途径有以下几点:

  • 通过 COS 控制台删除单个文件、批量删除文件,清空碎片或者存储桶。
  • 通过 COSCMD、COSBrowser 工具删除文件。
  • 通过 COS API 或 SDK 删除文件。
  • 通过 COS 生命周期管理功能,定期删除文件。
  • 通过 COS 跨地域复制的全量同步功能,同步不同地域的存储桶间的新增、修改、删除操作造成同步目标存储桶中同名文件被覆盖、删除。

如何避免误删?

  • 对存储桶文件做定时备份操作:

    • 使用 COSCMD 工具 将 COS 内对象下载至本地或第三方服务器。
    • 使用 COS Migration 工具 或者跨地域复制功能实现同地域或跨地域的存储桶数据备份。
    • 定期使用 COS API、SDK,将数据备份到 COS 的其他存储桶。
    • 使用版本控制保存您的历史版本数据。
  • 使用 COS 权限管理,参考

    访问管理实践:

    • 读写权限分离,对于只需要读数据的业务、只使用具有读权限的子账号或临时密钥进行访问。
    • 存储桶(Bucket)权限分离,针对不同的业务,只授权对应业务范围内的存储桶、目录和操作权限。
    • 不使用主账号访问 COS。
    • 使用临时密钥访问 COS。
    • 妥善保管数据访问的凭据,如腾讯云账号密码、CAM 子账号访问凭据、腾讯云 API 密钥等。

COS 支持数据统计功能吗?

对象存储 COS 提供存储数据的监控能力,用户可通过监控数据窗口了解各数据的状况及趋势。如需查看全盘数据趋势,您可以在 COS 控制台 的【概览】页面,根据不同存储类型的维度,查看其存储量、请求数、流量等数据。
若需查看单一存储桶的数据统计情况,可参见 查询监控报表

除此之外,您也可以在腾讯云 云监控 页面查看不同存储桶的监控信息,并根据业务需求配置不同的告警策略。

COS 支持图片压缩吗?

对象存储服务是面向非结构化数据的分布式存储服务,服务本身不支持图片压缩。图片压缩处理请参见 数据万象 CI

COS 支持提供缩略图功能吗?

对象存储服务是面向非结构化数据的分布式存储服务,服务本身不支持图片压缩。缩略图功能请参见 数据万象 CI

COS 能对视频文件转码吗?

对象存储服务是面向非结构化数据的分布式存储服务,服务本身不支持视频文件转码。视频文件转码请参见 视频处理 VC

COS 支持文件上传后自动解压吗?

对象存储服务是面向非结构化数据的分布式存储服务,服务本身不支持文件解压,但您可以结合 SCF 服务来实现解压缩功能,详情请参见 使用 SCF 进行 ZIP 文件解压缩

COS 存在历史版本和当前版本,应当使用哪一个?

COS 的历史版本和当前版本在实现上存在较大差异,相较于历史版本,当前版本具备更丰富的功能,且历史版本将不再新增特性,推荐您使用当前版本 以获得更丰富的体验。如您为历史版本的用户,可 提交工单 联系我们为您开通当前版本。

当前版本和历史版本所使用的 API 和 SDK 接口均存在差异,历史版本使用 JSON API,当前版本使用 XML API,两种 API 底层架构相同,数据互通,可以交叉使用,但是接口不兼容,域名不一致。

如何监控错误码信息?

您可以使用 云监控 获取不同类型的 HTTP 返回码信息,详细内容可参见 监控与报警 文档。有关云监控的使用和相关数据获取方式,可参见云监控的 控制台指南API 文档

COS 可用性如何计算?

COS 提供以下可用性计算示例,供您参考:
小明使用腾讯云对象存储服务以从事其电商业务,假设其业务在2018年11月1日至11月30日这一服务月度中总共消耗了100元人民币服务费用,且在该服务月度中分别出现了两次不可用的情况,两次不可用情况的记录如下表所示:

不可用事件编号

持续时间

不可用事件每5分钟记录

HTTP返回码

失败请求数

有效请求数

1

15分钟

2018年11月15日10:00 - 10:05

503

100

100

2018年11月15日10:05 - 10:10

503

99

100

2018年11月15日10:10 - 10:15

503

98

100

2

15分钟

2018年11月20日16:00 - 16:05

500

150

150

2018年11月20日16:05 - 16:10

500

148

150

2018年11月20日16:10 - 16:15

500

140

150

其他时间段,小明的请求均返回了请求成功的200状态码

在此情况下,该服务月度的整体可用性如下:

(1)计算当月的每5分钟错误率数值

根据案例详情:小明的业务正常时,每5分钟内错误率均为0%

不可用事件1:持续时间为2018年11月15日10:00 - 10:15,每5分钟错误率分别为:

  • 10:00 - 10:05之间的错误率计算:100 / 100 * 100% = 100%
  • 10:05 - 10:10之间的错误率计算:99 / 100 * 100% = 99%
  • 10:10 - 10:15之间的错误率计算:98 / 100 * 100% = 98%

不可用事件2:持续时间为2018年11月20日16:00 - 16:15,每5分钟错误率分别为:

  • 16:00 - 16:05之间的错误率计算:150 / 150 * 100% = 100%
  • 16:05 - 16:10之间的错误率计算:148 / 150 * 100% = 98.67%
  • 16:10 - 16:15之间的错误率计算:140 / 150 * 100% = 93.33%

(2)计算该服务月度的服务可用性

该案例中:

  • 服务月度总时长:30天 * 24小时/天 * 60分钟/小时 = 43200分钟
  • 服务月度内的5分钟总个数:43200分钟 / 5分钟 = 8640
  • 服务月度内不可用的5分钟总个数:(15 + 15)分钟 / 5分钟 = 6
  • 服务月度内的5分钟错误率之和:(100% + 99% + 98% + 100% + 98.67% + 93.33%) + (8640 - 6) * 0% = 589%

该月的服务可用性为:(1 - 589% / 8640) * 100% = 99.93%

(3)计算赔偿项

该案例中,服务可用性为99.93%,低于99.95%的可用性标准但高于99.9%,根据赔偿标准,腾讯云对象存储服务需赔偿用户月度总服务费的20%,即20元。
小明只需在服务月度结束后六十(60)个自然日内,即2019年1月29日前提起工单申请赔偿,腾讯云将以发放代金券的形式向小明赔偿相应损失。

更多推荐