CLB七層HTTP/HTTPS監聽FAQ - Server Load Balancer

本文包含以下常見問題：

為什麼請求經過七層負載平衡轉寄後，後端伺服器的回應標頭中的某些參數會被刪除？
為什麼在HTTP請求的頭部增加了Transfer-Encoding: chunked欄位？
為什麼HTTP監聽訪問正常但HTTPS監聽開啟網址不載入樣式？
HTTPS監聽使用什麼連接埠？
負載平衡支援哪些類型的認證？
負載平衡是否支援keytool建立的認證？
可以使用PKCS#12（PFX）格式的認證嗎？
添加認證時，為什麼會出現KeyEncryption的錯誤？
負載平衡HTTPS支援哪些SSL協議版本？
HTTPS session ticket的保持時間是多久？
可以上傳包含DH PARAMETERS欄位的認證嗎？
HTTPS監聽是否支援SNI？
HTTP或HTTPS監聽訪問後端伺服器的HTTP協議版本是什嗎？
後端伺服器能否擷取用戶端訪問HTTP或HTTPS監聽的協議版本？
HTTP或HTTPS串連的逾時時間是如何規定的？
怎麼配置CLB監聽以支援WebSocket協議？

為什麼請求經過七層負載平衡轉寄後，後端伺服器的回應標頭中的某些參數會被刪除？

為了實現會話保持，負載平衡會修改後端伺服器回應標頭中的Date、Server、X-Pad和X-Accel-Redirect等參數值。

解決方案：

在自訂的報文頭部中加入一個首碼，如xl-server或xl-date，以避開負載平衡的處理。
將七層HTTP監聽改為四層TCP監聽。

為什麼在HTTP請求的頭部增加了Transfer-Encoding: chunked欄位？

現象：

將網域名稱解析到七層負載平衡的服務地址後，從本地主機訪問網域名稱時發現在HTTP請求的頭部增加了一個Transfer-Encoding: chunked欄位，但是從本地主機直接存取後端伺服器時是沒有這個欄位的。

原因：

這是由於七層負載平衡基於Tengine反向 Proxy實現。Transfer-Encoding欄位表示Web伺服器如何對響應訊息體編碼，例如Transfer-Encoding: chunked表示Web伺服器對響應訊息體做了分塊傳輸。

說明

在四層負載平衡服務中，負載平衡僅轉寄流量，不存在該欄位。

為什麼HTTP監聽訪問正常但HTTPS監聽開啟網址不載入樣式？

現象：

分別建立HTTP和HTTPS監聽，兩個監聽使用同樣的後端伺服器。以HTTP方式訪問監聽連接埠對應的網站時，網站正常顯示，但使用HTTPS監聽訪問時，網站排版顯示錯亂。

原因：

負載平衡預設是不會屏蔽JS檔案載入傳輸的，可能原因：

認證和瀏覽器安全層級不相容導致。
認證是非正規第三方認證，需要聯絡認證發行者檢查認證問題。

解決方案：

開啟網站時，按照瀏覽器提示載入指令碼。
在用戶端中添加對應認證。

HTTPS監聽使用什麼連接埠？

HTTPS監聽對連接埠無特殊要求，建議您使用443連接埠。

負載平衡支援哪些類型的認證？

支援上傳PEM格式的伺服器憑證和CA認證。

伺服器憑證需要上傳認證內容和私密金鑰，CA認證只需要上傳認證內容。

負載平衡是否支援keytool建立的認證？

支援。

但在上傳認證前，您需要將認證轉換為PEM格式，更多資訊，請參見轉換認證格式。

可以使用PKCS#12（PFX）格式的認證嗎？

可以。

但在上傳認證前，您需要將認證轉換為PEM格式，更多資訊，請參見轉換認證格式。

添加認證時，為什麼會出現KeyEncryption的錯誤？

該錯誤由於私密金鑰內容有誤導致。更多資訊，請參見認證要求。

負載平衡HTTPS支援哪些SSL協議版本？

TLSv1.0、TLSv1.1、TLSv1.2以及TLSv1.3版本。

HTTPS session ticket的保持時間是多久？

HTTPS session ticket保持時間為300秒。

可以上傳包含DH PARAMETERS欄位的認證嗎？

HTTPS監聽使用的ECDHE演算法簇支援前向保密技術，不支援將DHE演算法簇所需要的安全增強參數檔案上傳，即不支援將PEM認證檔案中含BEGIN DH PARAMETERS欄位的認證上傳。

HTTPS監聽是否支援SNI？

SNI（Server Name Indication）是為瞭解決一個伺服器使用多個網域名稱和認證的SSL/TLS擴充，負載平衡HTTPS監聽支援SNI功能，更多資訊，請參見添加和管理CLB擴充網域名稱。

HTTP或HTTPS監聽訪問後端伺服器的HTTP協議版本是什嗎？

用戶端請求的協議為HTTP 1.1或者HTTP 2.0版本時，七層監聽訪問後端伺服器的HTTP協議版本是HTTP 1.1。
用戶端請求的協議為除HTTP 1.1和HTTP 2.0以外其他版本時，七層監聽訪問後端伺服器的HTTP協議版本是HTTP 1.0。

後端伺服器能否擷取用戶端訪問HTTP或HTTPS監聽的協議版本？

可以。

HTTP或HTTPS串連的逾時時間是如何規定的？

HTTP長串連的請求數量限定是最多連續發送100個請求，超過限定將關閉這條串連。
HTTP長串連兩個HTTP或HTTPS請求之間的逾時時間是可配置的，配置範圍為1~60秒（存在誤差1~2秒），超過後會關閉TCP串連，如果使用者有長串連使用需求請盡量保持在13秒之內發送一個心跳請求。
負載平衡與後端一台ECS執行個體TCP三向交握完成過程的逾時時間為5秒，逾時後選擇下一台ECS執行個體，查詢訪問日誌的upstream回應時間可以定位。
負載平衡等待一台ECS執行個體回複請求的回應時間是可配置的，配置範圍為1~180秒，超過後一般會返回504響應碼或408響應碼給用戶端，查詢訪問日誌的upstream回應時間可以定位。
HTTPS session重用逾時時間為300秒，超過後同一用戶端需要重新進行完整的SSL握手過程。

怎麼配置CLB監聽以支援WebSocket協議？

CLB的HTTP監聽預設支援WebSocket協議。更多資訊，請參見CLB使用WebSocket協議實現資訊即時推送。