本文介绍如何将 CLB 健康探测的源 IP 由 CLB 的虚拟服务地址(VIP)设置为100.64.0.0/10网段(100.64.0.0/10 是腾讯云的保留地址,其他用户无法分配到该网段内,不存在安全风险),本文以 TCP 监听器为例。
使用场景
1. 收敛后端服务器安全组
健康探测源 IP 收敛为100.64.0.0/10网段。
2. 解决自建 Kubernetes 集群内网回环问题
K8s 服务需要同时对集群内和集群外暴露。其中集群内通过集群内部负载均衡(IPVS)实现,集群外通过内网负载均衡 CLB 实现。IPVS 会把内网 CLB 的 IP 地址绑定在本地的一个接口上,这样集群内访问内网 CLB 的地址实际上用的是集群内的 IPVS 负载均衡。
而在容器服务 TKE 中,内网 CLB 使用了 CLB 的 VIP 地址作为健康探测源 IP,这与原生的 K8s 实现方式 IPVS 绑定的地址冲突,导致内网 CLB 健康检查失败。
设置健康探测源 IP 为100.64.0.0/10网段,可以避免地址冲突,解决健康检查失败问题。
处理步骤
1. 登录 负载均衡控制台。
2. 在实例管理页面左上角选择地域,在实例列表中找到目标实例,在操作列单击配置监听器。
3. 在监听器管理页签,找到目标监听器,单击监听器右侧的
4. 在弹出的编辑监听器对话框中,单击下一步至健康检查页签。
5. 在健康检查页签中,健康检查源 IP 选择100.64.0.0/10网段,单击下一步后再单击提交。
热点问题
将健康探测源 IP 切换为100.64.0.0/10网段有什么优势?
健康探测源 IP 使用100.64.0.0/10网段时,您无需在后端服务器的安全组中额外针对该网段配置放行策略。若在后端服务器中配置 iptables 等其他安全策略,请务必放通该网段,否则将会导致健康探测失败。
收敛后端服务器的安全策略统一为100.64.0.0/10网段。
100.64.0.0/10网段是腾讯云内部地址,用户无法分配到该网段,不会存在地址冲突问题。
使用100.64.0.0/10网段作为健康探测源 IP 时,是固定的一个 IP 吗?
是100.64.0.0/10网段中的某个指定 IP 作为探测 IP,并不是一个固定的 IP。