腾讯云 CVM 如何配置内网 CLB 负载均衡转发规则?
腾讯云内网 CLB 配置时,若实例创建于 2016 年 12 月 5 日前且网络类型为 VPC 网络,需在后端 CVM 安全组上放通 CLB 的 VIP 用于健康检查,否则健康检查将失败。
原因分析
内网负载均衡与传统公网负载均衡在安全组配置上存在本质差异。根据腾讯云官方文档(2023 年 10 月 30 日资料),内网负载均衡分为应用型内网负载均衡和传统型内网负载均衡两种类型。对于应用型内网负载均衡,若 CLB 属于 VPC 网络,必须在后端 CVM 的安全组上放通 CLB 的 VIP 用作健康检查;若属于基础网络则无需配置,默认放通健康检查 IP。传统型内网负载均衡的配置规则更为复杂:实例创建于 2016 年 12 月 5 日前且网络类型为 VPC 网络的,需要放通 CLB 的 VIP;其他类型的传统型内网 CLB 无需配置,默认放通健康检查 IP。这一设计是为了确保 CLB 能够正常探测后端 CVM 的健康状态,避免流量转发到不可用的服务器上。
解决方案
步骤一:创建内网 CLB 实例并配置监听器
登录腾讯云负载均衡控制台,在实例管理页面选择与云服务器相同的地域,网络类型选择内网。根据负载均衡快速入门文档(2024 年 10 月 9 日),监听器名称可输入 60 个字符,允许英文字母、数字、中文字符、"-"、"_"、"."。以 HTTP 监听器为例,前端端口配置为 80,后端服务端口通常配置为 8080。配置完成后,系统将自动分配一个 VIP,该 VIP 为负载均衡向客户端提供服务的内网 IP 地址。
步骤二:配置后端服务器安全组规则
根据后端云服务器的安全组配置文档(2023 年 10 月 30 日),内网负载均衡(应用型)网络类型为 VPC 网络时,在 CVM 的安全组上需放通 CLB 的 VIP 来做健康检查。具体安全组入站规则配置示例如下:ClientA IP + 8080 allow、ClientB IP + 8080 allow、CLB VIP + 8080 allow、0.0.0.0/0 + 8080 drop。若关闭安全组默认放通(2025 年 12 月 10 日资料),来自 CLB 的访问流量仅需通过 CLB 的安全组,后端云服务器会默认放通来自 CLB 的流量,后端云服务器不必对外暴露端口。
步骤三:配置七层转发域名和 URL 规则
使用七层转发 HTTP/HTTPS 协议时,根据七层转发域名和 URL 规则说明(2025 年 6 月 25 日),转发域名长度限制 1-80 个字符,不能以_开头,暂不支持后缀为中文的域名。当用户建立了多条转发规则时,访问 VIP + URL 不能确保访问到某一个具体的域名 + URL,需要用户直接访问域名 + URL 来确保具体的转发规则生效。根据腾讯云 CLB 的 7 层监听器 URL 转发规则优先级(2026 年 4 月 1 日),匹配规则优先精确匹配,之后依照规则模糊匹配;对于正则表示的 URL,优先级按照规则的先后顺序来,与 nginx 的 Location 规则一致。
注意事项
第一,传统账户类型(原"带宽非上移账户")的 CVM 必须购买公网带宽,因为当前的带宽属性在 CVM 上,而非 CLB 上(2025 年 5 月 19 日资料)。第二,经 CLB 转发后端的 header 变成小写,这是 CLB 的正常行为,开发者需注意后端服务对 header 大小写的兼容性。第三,CLB 会对 HTTPS 进行代理,来自客户端的 HTTP 或者 HTTPS 请求,到达 CLB 转发给后端服务器时,头部 header 会植入 X-Client-Proto 标识,值为 HTTP 或 HTTPS,用于区分前端请求协议(2026 年 4 月 27 日资料)。第四,若 CLB 实例不配置安全组,则放通所有流量,但仅配置了监听器的端口才能被访问(2025 年 12 月 10 日资料)。第五,目前仅广州、上海、南京、济南、杭州、福州、北京、石家庄、武汉、长沙、成都、重庆地域支持静态单线 IP 线路类型,其他地域支持情况请以控制台页面为准(2024 年 10 月 9 日资料)。
参考来源
来源:腾讯云官方文档 - 后端云服务器的安全组配置(2023 年 10 月 30 日)
来源:腾讯云官方文档 - 负载均衡快速入门(2024 年 10 月 9 日)
来源:腾讯云官方文档 - 七层转发域名和 URL 规则说明(2025 年 6 月 25 日)
来源:腾讯云官方文档 - 配置负载均衡安全组(2025 年 12 月 10 日)
浙公网安备 33010602011771号