tencent cloud

Cloud Load Balancer

動向とお知らせ
製品アップデート情報
製品に関するお知らせ
製品の説明
製品概要
製品の優位性
ユースケース
技術原理
Product Comparison
使用上の制約
Service Regions and Service Providers
購入ガイド
課金概要
課金項目
購入方法
支払い延滞の説明
製品属性の選択
クイックスタート
ドメイン名型CLBクイックスタート
CLBクイックスタート
IPv6 CLBクイックスタート
CentOSにおけるNginxのデプロイ
CentOSにおけるJava Webのデプロイ
操作ガイド
CLBインスタンス
CLBリスナー
バックエンドサーバー
ヘルスチェック
証明書管理
ログ管理
監視アラート
Cloud Access Management
従来型CLB
プラクティスチュートリアル
証明書をCLBに配置(双方向認証)
CLBのGzip有効化設定およびチェック方法の説明
HTTPS転送設定スタートガイド
クライアントリアルIPの取得方法
ロードバランサーのモニタリングアラート設定のベストプラクティス
マルチアベイラビリティーゾーンの高可用性設定の説明
バランシングアルゴリズムの選択と重みの設定の例
CLBのリスニングドメイン名に対してWebセキュリティ保護を実行するようにWAFを設定する
メンテナンスガイド
クライアントのtimewaitが多すぎる場合の対処方法
CLBのHTTPSサービスパフォーマンステスト
ストレステストに関するよくあるご質問
CLB証明書の操作権限に関するご質問
障害処理
UDPヘルスチェックの異常
API リファレンス
History
Introduction
API Category
Instance APIs
Listener APIs
Backend Service APIs
Target Group APIs
Redirection APIs
Other APIs
Classic CLB APIs
Load Balancing APIs
Making API Requests
Data Types
Error Codes
CLB API 2017
よくあるご質問
課金関連
CLB設定関連
ヘルスチェック異常調査
HTTPS関連
WS/WSSプロトコルサポート関連
HTTP/2プロトコルサポート関連
連絡先
用語集
ドキュメントCloud Load Balancer障害処理UDPヘルスチェックの異常

UDPヘルスチェックの異常

PDF
フォーカスモード
フォントサイズ
最終更新日: 2024-01-04 18:41:08


現象の説明

CLBのUDPヘルスチェックで、バックエンドサーバーポートの真のステータスとヘルスチェックステータスが一致しません。

考えられる原因

UDPヘルスチェックの原理は、CLBがUDPチェックメッセージをバックエンドサーバーに送信し、PINGに成功してなおかつ応答タイムアウト時間内にメッセージ port XX unreachableが返されなかった場合、ヘルスチェックは正常であると判定し、そうでなければ異常と判定するものです。
ステータスが一致しない問題が発生する原因としては次の2つが考えられます。
ヘルスチェックの応答タイムアウト時間が短すぎ、バックエンドサーバーから返されるreplyまたはport unreachableタイプのICMPメッセージがタイムアウト時間内にヘルスチェックのノードに到達せず、ヘルスチェックの結果が不正確になります。
バックエンドサーバーがICMPメッセージ生成の速度を制限しているため、サーバーに異常が生じていても、フロントエンドにエラーメッセージport XX unreachableを返すことができないため、CLBはICMP応答を受信していないことからヘルスチェックを成功と判定し、最終的にサービスの真のステータスがヘルスチェックと一致しなくなります。

処理手順

1. 初めに、ヘルスチェックの応答タイムアウト時間の設定が短すぎないかを調べます。CLBコンソールにログインし、UDPリスナーのヘルスチェックの応答タイムアウト時間を適宜延長します。詳細については、 UDPヘルスチェックの設定をご参照ください。
説明:
UDPヘルスチェックの原理は他のヘルスチェックとは異なります。 ヘルスチェックのタイムアウト時間が短すぎると、バックエンドサーバーがオンラインとオフラインを繰り返す可能性があるため、長めに設定することをお勧めします。
2. ヘルスチェックの応答タイムアウト時間を調整してもステータスの不一致が続く場合は、バックエンドサーバーがICMPメッセージ生成の速度を制限していないかどうかのトラブルシューティングを選択します。バックエンドCVMにログインし、次のコマンドを実行してICMPメッセージ速度の制限をチェックします。
sysctl -q net.ipv4.icmp_ratelimit
sysctl -q net.ipv4.icmp_ratemask

3. net.ipv4.icmp_ratelimit速度パラメータの戻り値が0またはデフォルト値の1000かどうかを確認します。デフォルト値1000への変更をお勧めします。1000より大きくすることはお勧めしません。
4. 速度制限の調整を行ってもステータスの不一致が続く場合は、次のコマンドを実行してport unreachableタイプのICMPメッセージの速度制限を無効にします。
ご注意
port unreachableタイプのICMPメッセージの送信速度を制限しなくなった後で、パブリックネットワークに公開されたサーバーがUDPポートスキャニング攻撃を受けた場合、port unreachableメッセージが回数制限なしに返されます。
# 上記のステップ2のnet.ipv4.icmp_ratemaskパラメータ照会結果に基づき、以下のコード内の「xxxx」の数値を変更してください。
# 以下のコード内の「xxxx」を、最初の3桁はそのままで、最後の1桁の数から8を引いた数に変更します。例えば、6168であれば6160に、1819であれば1811に変更します。
sysctl -w net.ipv4.icmp_ratemask=xxxx

前の記事へ: CLB証明書の操作権限に関するご質問次の記事へ: History

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック