Network Load Balancer 的目标组 - 弹性负载均衡
路由配置Target typeIP 地址类型已注册目标目标组属性客户端 IP 保留取消注册延迟代理协议粘性会话
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Network Load Balancer 的目标组

每个目标组均用于将请求路由到一个或多个已注册的目标。创建侦听器时,您为其默认操作指定目标组。流量将转发到在侦听器规则中指定的目标组。您可以为不同类型的请求创建不同的目标组。例如,为一般请求创建一个目标组,为应用程序的微服务请求创建其他目标组。有关更多信息,请参阅 网络负载均衡器组件

您基于每个目标组定义负载均衡器的运行状况检查设置。每个目标组均使用默认运行状况检查设置,除非您在创建目标组时将其覆盖或稍后对其进行修改。在侦听器规则中指定一个目标组后,负载均衡器将持续监控已注册到该目标组的所有目标 (这些目标位于已为负载均衡器启用的可用区中) 的运行状况。负载均衡器将请求路由到正常运行的已注册目标。有关更多信息,请参阅 目标组的运行状况检查

目录

路由配置

默认情况下,负载均衡器会使用您在创建目标组时指定的协议和端口号将请求路由到其目标。此外,您可以覆盖在将目标注册到目标组时用于将流量路由到目标的端口。

Network Load Balancer 的目标组支持以下协议和端口:

  • 协议:TCP、TLS、UDP TCP_UDP

  • 端口:1-65535

如果目标组使用 TLS 协议配置,则负载均衡器将使用您在目标上安装的证书与目标建立 TLS 连接。负载均衡器不验证这些证书。因此,您可以使用自签名证书或已过期的证书。由于负载均衡器位于虚拟私有云 (VPC) 中,因此负载均衡器与目标之间的流量将在数据包级别进行身份验证,这样即使目标上的证书无效,它也不会面临中间人攻击或欺骗风险。

下表总结了侦听器协议和目标组设置的组合。

侦听器协议 目标组协议 目标组类型 运行状况检查协议

TCP

TCP | TCP_UDP

实例 | ip

HTTP | HTTPS | TCP

TCP

TCP

alb

HTTP | HTTPS

TLS

TCP | TLS

实例 | ip

HTTP | HTTPS | TCP

UDP

UDP | TCP_UDP

实例 | ip

HTTP | HTTPS | TCP

TCP_UDP

TCP_UDP

实例 | ip

HTTP | HTTPS | TCP

Target type

在创建目标组时,应指定其目标类型,这决定您如何指定其目标。创建目标组后,您无法更改其目标类型。

以下是可能的目标类型:

instance

这些目标通过实例 ID 指定。

ip

这些目标通过 IP 地址指定。

alb

目标是 Application Load Balancer。

当目标类型为 ip 时,您可以指定来自以下 CIDR 块之一的 IP 地址:

  • 目标组的 VPC 的子网

  • 10.0.0.0/8 (RFC 1918)

  • 100.64.0.0/10 (RFC 6598)

  • 172.16.0.0/12 (RFC 1918)

  • 192.168.0.0/16 (RFC 1918)

重要

不能指定可公开路由的 IP 地址。

您可以使用所有支持的 CIDR 块,向目标组注册以下目标:

  • ClassicLink 实例。有关更多信息,请参阅 Amazon EC2 用户指南 (适用于 Linux 实例) 中的 ClassicLink

  • 可通过 IP 地址和端口寻址的 Amazon 资源(例如,数据库)。

  • 通过 Amazon Direct Connect 或 Site-to-Site VPN 连接链接到 Amazon 的本地资源。

为您的目标组禁用客户端 IP 保留后,针对 Network Load Balancer IP 地址和唯一目标(IP 地址和端口)的组合,负载均衡器可支持每分钟约 55000 个连接。如果连接数超过该值,则会增大出现端口分配错误的几率。如果您收到端口分配错误,请将多个目标添加到目标组。

在共享 Amazon VPC 中启动 Network Load Balancer 时(作为参与者),您只能在已共享的子网中注册目标。

当目标类型为 alb 时,您可以将单个 Application Load Balancer 注册为目标。有关更多信息,请参阅 作为目标的 Application Load Balancer

Network Load Balancer 不支持 lambda 目标类型。Application Load Balancer 是支持 lambda 目标类型的唯一负载均衡器。有关更多信息,请参阅 Application Load Balancer 用户指南中的 Lambda 函数作为目标

如果在向网络负载均衡器注册的实例中存在微服务,则不能使用负载均衡器在这些服务之间提供通信,除非该负载均衡器是面向互联网的,或者实例是通过 IP 地址注册的。有关更多信息,请参阅从目标到其负载均衡器的请求连接超时

请求路由和 IP 地址

如果使用实例 ID 指定目标,则使用实例的主网络接口中指定的主私有 IP 地址将流量路由到实例。负载均衡器在将数据包转发到目标实例之前重写目的地 IP 地址。

如果使用 IP 地址指定目标,则可以使用来自一个或多个网络接口的任何私有 IP 地址将流量路由到实例。这使一个实例上的多个应用程序可以使用同一端口。请注意,每个网络接口都可以有自己的安全组。负载均衡器在将数据包转发到目标之前重写目的地 IP 地址。

有关允许实例的流量的更多信息,请参阅目标安全组

IP 地址类型

创建新目标组时,可以选择目标组的 IP 地址类型。此 IP 地址控制用于与目标进行通信并检查其运行状况的 IP 版本。

Network Load Balancer 支持 IPv4 和 IPv6 目标组。默认选择为 IPv4。IPv6 目标组只能与双堆栈 Network Load Balancer 关联。

注意事项

  • 目标组中的所有 IP 地址均必须具有相同的 IP 地址类型。例如,您无法向 IPv6 目标组注册 IPv4 目标。

  • IPv6 目标组只能用于具有 TCP 或 TLS 侦听器的dualstack负载均衡器。

  • IPv6 目标组仅支持 IP 类型目标。

已注册目标

您的负载均衡器充当客户端的单一接触点,并跨其正常运行的已注册目标分发传入流量。每个目标组在为负载均衡器启用的每个可用区中必须至少有一个已注册目标。您可以将每个目标注册到一个或多个目标组中。

如果应用程序需求增加,您可以向一个或多个目标组注册其他目标以便满足该需求。一旦注册过程完成,负载均衡器就会开始将流量路由到新注册的目标。

如果应用程序需求减少或者您需要为目标提供服务,您可以从目标组取消注册目标。取消注册目标将从目标组中删除目标,但不会影响目标。一旦取消注册,负载均衡器就会停止将流量路由到目标。目标将进入 draining 状态,直至进行中请求完成。当您准备好恢复接收流量时,可以再次向目标组注册目标。

如果要通过实例 ID 来注册目标,则可以将负载均衡器与 Auto Scaling 组一同使用。将一个目标组挂接到 Auto Scaling 组后,Auto Scaling 在启动目标时会为您向该目标组注册目标。有关更多信息,请参阅 Amazon EC2 Auto Scaling 用户指南中的将负载均衡器挂接到 Auto Scaling 组

要求和注意事项

  • 如果实例采用以下实例类型,则不能利用实例 ID 注册实例:C1、CC1、CC2、CG1、CG2、CR1、G1、G2、HI1、HS1、M1、M2、M3 或 T1。

  • 如果实例位于与负载均衡器 VPC 对等的 VPC(位于同一区域或不同区域)中,则不能利用实例 ID 注册这些实例。可以用 IP 地址注册这些实例。

  • 如果您按 IP 地址注册目标,并且该 IP 地址与负载均衡器位于同一 VPC 中,则负载均衡器会验证其是否来自可以访问的子网。

  • 负载均衡器仅将流量路由到已启用的可用区中的目标。未启用的区域中的目标未使用。

  • 对于 UDP 和 TCP_UDP 目标组,如果实例位于负载均衡器 VPC 之外,或者采用以下实例类型之一,则不要用 IP 地址注册实例:C1、CC1、CC2、CG1、CG2、CR1、G1、G2、HI1、HS1、M1、M2、M3 或 T1。如果目标驻留在负载均衡器 VPC 之外或者采用不受支持的实例类型,则目标可能能够接收来自负载均衡器的流量,但随后无法响应。

目标组属性

以下是目标组属性:

deregistration_delay.timeout_seconds

Elastic Load Balancing 在将取消注册目标的状态从 draining 更改为 unused 之前需等待的时间。范围为 0-3600 秒。默认值为 300 秒。

deregistration_delay.connection_termination.enabled

指示负载均衡器是否在取消注册超时结束时终止连接。该值为 truefalse。默认为 false

load_balancing.cross_zone.enabled

指示是否启用了跨区域负载均衡。该值为 truefalseuse_load_balancer_configuration。默认为 use_load_balancer_configuration

preserve_client_ip.enabled

指示是否启用客户端 IP 保留。该值为 truefalse。如果目标组类型为 IP 地址且目标组协议是 TCP 或 TLS,则默认处于禁用状态。否则,默认处于启用状态。无法为 UDP 和 TCP_UDP 目标组禁用客户端 IP 保留。

proxy_protocol_v2.enabled

指示是否已启用代理协议版本 2。默认情况下,禁用代理协议。

stickiness.enabled

指示是否启用粘性会话。

stickiness.type

粘性的类型。可能的值为 source_ip

target_group_health.dns_failover.minimum_healthy_targets.count

必须运行状况良好的目标数量下限。如果运行状况良好的目标数量低于此值,请在 DNS 中将该区域标记为运行状况不佳,以便流量仅路由到运行状况良好的区域。可能的值是 off 或者 1 到目标数量上限之间的整数。默认为 off

target_group_health.dns_failover.minimum_healthy_targets.percentage

必须运行状况良好的目标最低百分比。如果运行状况良好的目标百分比低于此值,请在 DNS 中将该区域标记为运行状况不佳,以便流量仅路由到运行状况良好的区域。可能的值为 off 或者 1 到 100 之间的整数。默认为 off

target_group_health.unhealthy_state_routing.minimum_healthy_targets.count

必须运行状况良好的目标数量下限。如果运行状况良好的目标数量低于此值,则将流量发送到所有目标(包括运行状况不佳的目标)。范围为 1 到目标数量上限。默认值为 1。

target_group_health.unhealthy_state_routing.minimum_healthy_targets.percentage

必须运行状况良好的目标最低百分比。如果运行状况良好的目标百分比低于此值,则将流量发送到所有目标(包括运行状况不佳的目标)。可能的值为 off 或者 1 到 100 之间的整数。默认为 off

客户端 IP 保留

在将请求路由到后端目标时,Network Load Balancer 可以保留客户端的源 IP 地址。禁用客户端 IP 保留时,Network Load Balancer 的私有 IP 地址将成为所有传入流量的客户端 IP 地址。

默认情况下,对于使用 UDP 和 TCP_UDP 协议的实例和 IP 类型目标组,客户端 IP 保留处于启用状态(且不能禁用)。但您可以使用 preserve_client_ip.enabled 目标组属性为 TCP 和 TLS 目标组启用或禁用客户端 IP 保留。

默认设置

  • 实例类型目标组:已启用

  • IP 类型目标组(UDP、TCP_UDP):已启用

  • IP 类型目标组(TCP、TLS):已禁用

要求和注意事项

  • 启用客户端 IP 保留后,目标必须与 Network Load Balancer 位于同一 VPC 中,并且流量必须直接从 Network Load Balancer 流向目标。

  • 当流量通过网关负载均衡器终端节点路由时,不支持客户端 IP 保留,即使目标与 Network Load Balancer 位于同一 VPC 中亦是如此。

  • 以下实例类型不支持客户端 IP 保留:C1、CC1、CC2、CG1、CG2、CR1、G1、G2、HI1、HS1、M1、M2、M3 和 T1。我们建议您在禁用客户端 IP 保留的情况下将这些实例类型注册为 IP 地址。

  • 客户端 IP 保留对于 Amazon PrivateLink 入站流量没有影响。Amazon PrivateLink 流量的源 IP 始终是 Network Load Balancer 的私有 IP 地址。

  • 当目标组包含 Amazon PrivateLink ENI 或其他网络负载均衡器的 ENI 时,不支持保留客户端 IP。这将导致与那些目标的通信中断。

  • 客户端 IP 保留对于从 IPv6 转换为 IPv4 的流量没有影响。此类型流量的源 IP 始终是 Network Load Balancer 的私有 IP 地址。

  • 当您按 Application Load Balancer 类型指定目标时,Network Load Balancer 将保留所有传入流量的客户端 IP 并发送到 Application Load Balancer。然后,Application Load Balancer 会将客户端 IP 附加到 X-Forwarded-For 请求标头,之后才发送此请求标头。

  • 客户端 IP 保留更改仅对新的 TCP 连接生效。

  • 启用客户端 IP 保留后,您可能会遇到与目标上观察到的套接字重用相关的 TCP/IP 连接限制。如果客户端或客户端前面的 NAT 设备在同时连接到多个负载均衡器节点时使用相同的源 IP 地址和源端口,则可能会出现这些连接限制。如果负载均衡器将这些连接路由到同一个目标,则这些连接对目标来说似乎是来自同一源套接字,从而导致连接错误。当发生这种情况时,客户端可能会重试(如果连接失败)或重新连接(如果连接中断)。您可以通过增加源临时端口的数量或增加负载均衡器的目标数来减少此类连接错误。您可以通过禁用客户端 IP 保留或禁用跨区域负载均衡来防止此类连接错误。

  • 您的 Network Load Balancer 支持到每个唯一目标(IP 地址和端口)的 55,000 个并发连接或每分钟大约 55,000 个连接。如果连接数超过该值,则会增大出现端口分配错误的几率,进而导致无法建立新连接。可以使用 PortAllocationErrorCount 指标跟踪端口分配错误。要修复端口分配错误,请将更多目标添加到目标组。有关更多信息,请参阅Network Load Balancer 的 CloudWatch 指标

New console
使用新控制台配置客户端 IP 保留

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 Load Balancing (负载均衡) 下,选择 Target Groups (目标组)。

  3. 选择目标组的名称以打开其详细信息页面。

  4. Attributes(属性)选项卡上,选择 Edit(编辑)。

  5. 要启用客户端 IP 保留,请开启 Preserve client IP addresses(保留客户端 IP 地址)。要禁用客户端 IP 保留,请关闭 Preserve client IP addresses(保留客户端 IP 地址)。

  6. 选择 Save changes(保存更改)。

Old console
使用旧控制台配置客户端 IP 保留

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 LOAD BALANCING (负载均衡) 下,选择 Target Groups (目标组)

  3. 选择目标组,然后选择 DescriptionEdit attributes.

  4. 要启用客户端 IP 保留,请选择保留客户端 IP 地址。要禁用客户端 IP 保留,请清除保留客户端 IP 地址

  5. 选择 Save
使用 Amazon CLI 启用或禁用客户端 IP 保留

使用带 preserve_client_ip.enabled 属性的 modify-target-group-attributes 命令。

例如,使用以下命令禁用客户端 IP 保留。

aws elbv2 modify-target-group-attributes --attributes Key=preserve_client_ip.enabled,Value=false --target-group-arn ARN

您的输出应类似于以下示例。

{
    "Attributes": [
      {
        "Key": "proxy_protocol_v2.enabled", 
        "Value": "false"
      }, 
      {
        "Key": "preserve_client_ip.enabled", 
        "Value": "false" 
      },
      {
        "Key": "deregistration_delay.timeout_seconds", 
        "Value": "300"
      } 
    ]
}

取消注册延迟

取消注册目标时,负载均衡器将停止创建与目标的新连接。负载均衡器会使用连接耗尽来确保进行中的流量在现有连接上完成。如果已经取消注册的目标运行状况良好并且现有连接未处于空闲状态,负载均衡器可以继续将流量发送到该目标。要确保现有连接关闭,您可以执行以下任一操作:为连接终止启用目标组属性、确保在取消注册之前实例运行状况不佳或者定期关闭客户端连接。

取消注册的目标的初始状态为 draining。默认情况下,负载均衡器会在 300 秒后将取消注册的目标的状态更改为 unused。如需更改负载均衡器在将取消注册的目标的状态更改为 unused 之前等待的时长,请更新取消注册延迟值。我们建议您指定至少 120 秒的值以确保完成请求。

如果为连接终止启用目标组属性,则对取消注册目标的连接将在取消注册超时结束后不久关闭。

New console
要使用新控制台更新取消注册属性

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 LOAD BALANCING (负载均衡) 下,选择 Target Groups (目标组)

  3. 选择目标组的名称以打开其详细信息页面。

  4. Attributes(属性)选项卡上,选择 Edit(编辑)。

  5. 要更改取消注册超时,请在 Deregistration delay 中输入新值。要确保在取消注册目标后现有连接关闭,请选择 Terminate connections on deregistration(取消注册时终止连接)。

  6. 选择 Save changes(保存更改)。

Old console
要使用旧控制台更新取消注册属性

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 LOAD BALANCING (负载均衡) 下,选择 Target Groups (目标组)

  3. 选择目标组,然后选择 DescriptionEdit attributes.

  4. 要更改取消注册超时,请在 Deregistration delay 中输入新值。要确保在取消注册目标后现有连接关闭,请选择 Connection termination on deregistration

  5. 选择 Save
要使用 Amazon CLI 更新取消注册属性

使用 modify-target-group-attributes 命令。

代理协议

Network Load Balancer 使用代理协议版本 2 来发送其他连接信息,如源和目标。代理协议版本 2 提供代理协议标头的二进制编码。负载均衡器将代理协议标头预添加到 TCP 数据中。它不会丢弃或覆盖任何现有数据,包括客户端或任何其他代理、负载均衡器或网络路径中的服务器所发送的任何代理协议标头。因此,可以接收多个代理协议标头。此外,如果您的 Network Load Balancer 之外的目标还有另一个网络路径,则第一个代理协议标头可能不是您的 Network Load Balancer 中的标头。

如果您使用 IP 地址指定目标,则向您的应用程序提供的源 IP 地址取决于目标组的协议,如下所示:

  • TCP 和 TLS:源 IP 地址是负载均衡器节点的私有 IP 地址。如果您需要客户端的 IP 地址,请启用代理协议并从代理协议标头获取客户端 IP 地址。

  • UDP 和 TCP_UDP:源 IP 地址是客户端的 IP 地址。

如果您通过实例 ID 指定目标,则提供给应用程序的源 IP 地址将是客户端 IP 地址。但是,如果您愿意,可以启用代理协议并从代理协议标头中获取客户端 IP 地址。

运行状况检查连接

启用代理协议后,代理协议标头也会包含在来自负载均衡器的运行状况检查连接中。但是,使用运行状况检查连接,客户端连接信息不会在代理协议标头中发送。

VPC 终端节点服务

对于来自服务使用者并通过 VPC 终端节点服务的流量,提供给您的应用程序的源 IP 地址是负载均衡器节点的私有 IP 地址。如果您的应用程序需要服务使用器的 IP 地址,请启用代理协议并从代理协议标头获取这些 IP 地址。

代理协议标头还包括终端节点的 ID。此信息使用自定义类型-长度-值 (TLV) 向量进行编码,如下所示。

字段 长度 (8 位字节) 描述

Type

1

PP2_TYPE_AWS (0xEA)

Length

2

值的长度

1

PP2_SUBTYPE_AWS_VPCE_ID (0x01)
可变 (值长度减 1) 终端节点的 ID

有关解析 TLV 类型 0xEA 的示例,请参阅 https://github.com/aws/elastic-load-balancing-tools/tree/master/proprot

启用代理协议

在目标组上启用代理协议之前,请确保您的应用程序预料到并且可以解析代理协议版本 2 标头,否则它们可能会失败。有关更多信息,请参阅代理协议版本 1 和 2

New console
使用新控制台启用代理协议版本 2

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 LOAD BALANCING 下,选择 Target Groups

  3. 选择目标组的名称以打开其详细信息页面。

  4. Attributes(属性)选项卡上,选择 Edit(编辑)。

  5. 编辑属性页面上,选择代理协议 v2

  6. 选择保存更改

Old console
使用旧控制台启用代理协议版本 2

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 LOAD BALANCING (负载均衡) 下,选择 Target Groups (目标组)

  3. 选择目标组。

  4. 选择 DescriptionEdit attributes

  5. 对于代理协议 v2,选择启用

  6. 选择 Save
使用 Amazon CLI 启用代理协议版本 2

使用 modify-target-group-attributes 命令。

粘性会话

粘性会话是用于将客户端流量传输到目标组中的同一目标的机制。对于维护状态信息以便向客户端提供持续体验的服务器来说,这很有用。

注意事项

  • 使用粘性会话可能会导致连接和流分布不均,这可能会影响目标的可用性。例如,相同 NAT 设备背后的所有客户端都具有相同的源 IP 地址。这会使系统将来自这些客户端的所有流量传输到同一目标。

  • 如果目标组中的任何目标的运行状况发生变化,或者您向目标组注册或取消注册了目标,则负载均衡器可能会重置该目标组的粘性会话。

  • TLS 侦听器和 TLS 目标组不支持粘性会话。

New console
使用新控制台启用粘性会话

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 LOAD BALANCING (负载均衡) 下,选择 Target Groups (目标组)

  3. 选择目标组的名称以打开其详细信息页面。

  4. Attributes(属性)选项卡上,选择 Edit(编辑)。

  5. Target selection configuration(目标选择配置)下,开启 Stickiness(粘性)。

  6. 选择 Save changes(保存更改)。

Old console
使用旧控制台启用粘性会话

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 LOAD BALANCING (负载均衡) 下,选择 Target Groups (目标组)

  3. 选择目标组。

  4. 选择 DescriptionEdit attributes

  5. 对于粘性,请选择启用

  6. 选择 Save
使用 Amazon CLI 启用粘性会话

使用带 stickiness.enabled 属性的 modify-target-group-attributes 命令。