Risoluzione dei problemi di Network Load Balancer - Elastic Load Balancing

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi di Network Load Balancer

Le informazioni seguenti possono essere utili per risolvere i problemi con Network Load Balancer.

Un target registrato non è in servizio

Se un oggetto richiede più tempo del previsto per inserire lo InService stato, è possibile che i controlli dello stato non siano stati superati. Il target non è in servizio finché non passa un controllo dello stato. Per ulteriori informazioni, consultare . Controlli dello stato per i gruppi target .

Verificare che l'istanza non superi i controlli dello stato e quindi verificare le seguenti:

Un gruppo di sicurezza non consente il traffico

I gruppi di sicurezza associati a un'istanza devono consentire il traffico dal sistema di bilanciamento del carico utilizzando la porta di controllo dello stato e il protocollo di controllo dello stato. Per ulteriori informazioni, consultare . Gruppi di sicurezza target .

Una lista di controllo accessi di rete (ACL) non consente il traffico

L'ACL di rete associato con le sottoreti per le istanze e le subnet del sistema di bilanciamento del carico devono consentire controlli dello stato e del traffico dal sistema di bilanciamento del carico. Per ulteriori informazioni, consultare . Liste di controllo accessi (ACL) di rete .

Le richieste vengono instradate ai target.

Verifica quanto segue:

Un gruppo di sicurezza non consente il traffico

I gruppi di sicurezza associati con le istanze devono consentire il traffico sulla porta listener da indirizzi IP client (se i target sono specificati dall'ID istanza) o sui nodi di bilanciamento del carico (se i target sono specificati dall'indirizzo IP). Per ulteriori informazioni, consultare . Gruppi di sicurezza target .

Una lista di controllo accessi di rete (ACL) non consente il traffico

Le liste di controllo degli accessi di rete associati con le sottoreti per il VPC devono consentire la comunicazione da parte del sistema di bilanciamento del carico e del target in entrambe le direzioni sulla porta listener. Per ulteriori informazioni, consultare . Liste di controllo accessi (ACL) di rete .

l target si trovano in una zona di disponibilità non abilitata

Se si registrano target in una zona di disponibilità, ma non si abilita la zona di disponibilità, questi target registrati non sono in grado di ricevere traffico dal sistema di bilanciamento del carico.

L'istanza si trova in un VPC collegato in peering

Se in un VPC sono presenti istanze collegate in peering al VPC del sistema di bilanciamento del carico, è necessario registrarle con il sistema di bilanciamento del carico in base all'indirizzo IP e non all'ID istanza.

I target ricevono più richieste di controllo dello stato del previsto

I Health per un Network Load Balancer vengono distribuiti e utilizzano un meccanismo di consenso per determinare lo stato del target. Pertanto, i target ricevono più del numero di controlli dello stato configurato attraverso l’impostazione HealthCheckIntervalSeconds.

I target ricevono meno richieste di controllo dello stato del previsto

Controlla se net.ipv4.tcp_tw_recycle è abilitato. Questa impostazione è nota per causare problemi con i sistemi di bilanciamento del carico. L'impostazione net.ipv4.tcp_tw_reuse è considerata un'alternativa più sicura.

I target danneggiati ricevono richieste dal sistema di bilanciamento del carico

Se non c'è almeno un target integro registrato per il sistema di bilanciamento del carico, il sistema di bilanciamento del carico instrada solo le richieste per i target registrati integri. Se ci sono solo target registrati non integri, il sistema di bilanciamento del carico instrada le richieste a tutti i target registrati.

Il target non riesce a controllare l'integrità HTTP o HTTPS a causa della mancata corrispondenza dell'intestazione dell’host

L'intestazione dell’host HTTP nella richiesta di controllo dello stato contiene l'indirizzo IP del nodo del sistema di bilanciamento del carico e la porta del listener anziché l'indirizzo IP della destinazione e la porta di controllo dello stato. Se si esegue il mapping delle richieste in ingresso per l’intestazione dell’host, è necessario assicurarsi che i controlli di integrità corrispondano a qualsiasi intestazione dell’host HTTP. Un'altra opzione consiste nell'aggiungere un servizio HTTP separato su una porta diversa e configurare il gruppo di destinazione in modo che utilizzi tale porta per i controlli di integrità. In alternativa, prendere in considerazione l'utilizzo dei controlli di integrità TCP.

Aumento della metrica TCP_ELB_Reset_Count

Per ogni richiesta TCP eseguita da un client esegue tramite Network Load Balancer, lo stato di quella connessione viene monitorato. Se non vengono inviati dati tramite la connessione dal client o dalla destinazione per un periodo superiore al tempo di inattività, la connessione viene chiusa. Se un client o un target invia i dati dopo la scadenza del tempo di inattività, riceve un pacchetto RST TCP che indica che la connessione non è più valida. Inoltre, se una destinazione diventa non integra, il servizio di bilanciamento del carico invia un RST TCP per i pacchetti ricevuti sulle connessioni client associate alla destinazione, a meno che la destinazione non integra non attiva l'apertura del sistema di bilanciamento del carico.

Se vedi un picco nelTCP_ELB_Reset_Countmetrica poco prima o semplicemente comeUnhealthyHostCountaumenta la metrica, è probabile che i pacchetti TCP RST siano stati inviati perché il target stava iniziando a fallire ma non era stato contrassegnato malsano. Se vedi aumenti persistentiTCP_ELB_Reset_Countsenza che le destinazioni siano contrassegnate non salutari, è possibile controllare i registri di flusso VPC per i client che inviano dati sui flussi scaduti.

Connessioni scadute per le richieste provenienti da un target al sistema di bilanciamento del carico

Verificare se la conservazione dell'IP del client è abilitata sul gruppo target. I sistemi di bilanciamento del carico con la conservazione dell'IP client abilitata non supportano hairpinning o loopback. Se un'istanza è un client di un sistema di bilanciamento del carico con cui è registrata e ha la conservazione dell'IP del client abilitata, la connessione va a buon fine solo se la richiesta viene instradata a un'istanza diversa. In caso contrario, gli indirizzi IP di origine e di destinazione sono gli stessi e la connessione scade.

Se un'istanza deve inviare le richieste a un sistema di bilanciamento del carico registrato, procedere in uno dei seguenti modi:

  • Disabilita la conservazione IP client.

  • Verificare che i container che devono comunicare siano su diverse istanze di container.

La prestazione diminuisce quando si passa dai target a un Network Load Balancer

Sia Classic Load Balancer che Application Load Balancer utilizzano il multiplexing delle connessioni, ma i Network Load Balancer non lo fanno. Pertanto, i target possono ricevere più connessioni TCP dietro un Network Load Balancer. Assicurati che i target siano preparati a gestire il volume di richieste di connessione che potrebbero ricevere.

Se il Network Load Balancer è associato a un servizio endpoint VPC, supporta 55.000 connessioni simultanee o circa 55.000 connessioni al minuto per ogni target univoco (indirizzo IP e porta). Se si superano queste connessioni, aumenta il rischio di errori di allocazione delle porte. Gli errori di allocazione delle porte possono essere monitorati utilizzando ilPortAllocationErrorCountParagrafo. Per risolvere gli errori di allocazione di porta, aggiungere altri target al gruppo target. Per ulteriori informazioni, consultare . CloudWatch parametri per Network Load Balancer .

Errore di connessione intermittente quando la conservazione dell'IP del client è abilitata

Quando la conservazione IP client è abilitata, è possibile che si verifichino limitazioni di connessione TCP/IP relative al riutilizzo del socket osservato sulle destinazioni. Queste limitazioni di connessione possono verificarsi quando un client, o un dispositivo NAT di fronte al client, utilizza lo stesso indirizzo IP di origine e la stessa porta di origine quando si connette contemporaneamente a più nodi di bilanciamento del carico. Se il bilanciamento del carico inoltra queste connessioni alla stessa destinazione, le connessioni appaiono alla destinazione come se provenissero dallo stesso socket sorgente, causando errori di connessione. In questo caso, i client possono riprovare (se la connessione non riesce) o riconnettersi (se la connessione viene interrotta). È possibile ridurre questo tipo di errore di connessione aumentando il numero di porte effimere di origine o aumentando il numero di target per il bilanciamento del carico. È possibile evitare questo tipo di errore di connessione disabilitando la conservazione dell'IP client o disabilitando il bilanciamento del carico tra zone.

Inoltre, quando la conservazione IP client è abilitata, la connettività potrebbe non riuscire se anche i client che si connettono al Network Load Balancer sono collegati alle destinazioni dietro il bilanciamento del carico. Per risolvere questo problema, è possibile disabilitare la conservazione dell'IP client sui gruppi target interessati. In alternativa, chiedi ai tuoi client di connettersi solo al Network Load Balancer o solo alle destinazioni, ma non a entrambi.

Ritardi di connessione TCP

Quando sia il bilanciamento del carico tra zone che la conservazione dell'IP client sono abilitati, un client che si connette a IP diversi sullo stesso bilanciamento del carico può essere indirizzato allo stesso target. Se il client utilizza la stessa porta di origine per entrambe queste connessioni, la destinazione riceverà quella che sembra essere una connessione duplicata, il che può causare errori di connessione e ritardi TCP nella creazione di nuove connessioni. È possibile evitare questo tipo di errore di connessione disabilitando il bilanciamento del carico tra zone. Per ulteriori informazioni, consultare . load balancer su più zone .

Potenziale errore durante il provisioning del sistema di bilanciamento del carico

Uno dei motivi per cui un Network Load Balancer potrebbe non riuscire quando viene eseguito il provisioning è se si utilizza un indirizzo IP già assegnato o allocato altrove (ad esempio, assegnato come indirizzo IP secondario per un'istanza EC2). Questo indirizzo IP impedisce la configurazione del bilanciamento del carico e il suo stato èfailed. È possibile risolvere questo problema eliminando l'allocazione dell'indirizzo IP associato e riprovando il processo di creazione.