我正在尝试使用 AWS LB 控制器启动 Rancher,但入口健康检查失败。有人可以看看我的设置并告诉我是否有明显问题吗? EKS 集群版本:1.28 EndPointAcces:公共和私有节点组:私有子网安全组 ALB-Ingress 允许来自 0.0.0.0/0 的入站和出站流量通过端口 80 和 443。出站规则允许流量流向为 EKS 节点组创建的安全组。我将 Rancher 服务更新为 NodePort。健康检查失败的错误消息“请求超时” Type: NodePort ...
客户端发出了 API 请求。 客户端——> ALB——> Lambda Lambda 运行良好,并做出了响应。Lambda 持续时间仅为 3 秒左右。 客户端在第 15 秒遇到超时。 ALB日志有以下异常值: elb_status_code:460 目标处理时间:-1 响应处理时间:-1 我想知道连接的哪一部分被关闭了。我假设是 ALB 在 Lambda 响应 3 秒后关闭了与 Lambda 的连接。我说得对吗?如果是这样,我该怎么做才能防止这种情况再次发生? ps. 目前ALB的连接空闲超时时间为60秒。 ...
场景:我有一个受 AWS WAF 保护的 AWS ALB,其中包含大量 AWS 托管 WAF 规则、速率限制规则等。 我很难理解为什么即使被 WAF 阻止的请求也会影响 ALB已处理字节数和已消耗 LCU指标,这意味着这些请求将影响 ALB 计费。 一个简单的例子:我正在使用一个 WAF 规则来阻止大于 8,192 字节的请求,但是,如果我使用简单的 curl 调用执行 POST 请求发送(假设 1MB),则该请求会被正确阻止,但我可以看到 1MB 在指标(ProcessedBytes 和 ConsumedLCUs)中显示为已处理的字节,因此会计费。 这意味...
我们正在使用 Okta OIDC 向 AWS ALB 验证用户身份。我已让基本版本正常运行。 有没有办法让它要求使用 PKCE 授权码来提高安全性? ALB 文档 PKCE 文档 ...
我已经在 EKS 上部署了 argocd,并且 ingress 在 AWS 负载均衡器控制器上运行。 Alb 控制器部署在 中kube-system。Argo 部署在argocd命名空间中,使用入口注释创建内部 alb。在我通过 启用网络策略之前,一切正常vpc-cni addon。一旦网络策略到位,它还会限制来自 alb 的流量,并为我提供504 Gateway Time-out。 在创建网络策略时,我的逻辑非常明显。首先允许来自kube-system命名空间和argocd命名空间的流量: ingress: - from: - ...
我已经设置了一个 AWS 应用程序负载均衡器,其目标组指定为 HTTP/1。目标组包含一个运行 IIS 的 Windows Server 2022 实例。健康检查功能(在 Amazon 内)运行正常,并报告服务器状态为“健康”。 当我创建具有相同规范的不同目标组(但将其指定为 HTTP/2 而不是 HTTP/1)时,运行状况检查状态显示“不健康”,运行状况详细信息显示“运行状况检查失败,代码为:[400]” 工作和非工作目标组均为 IPv4 和 HTTPS,并且健康检查也配置为 HTTPS。 我猜测 Windows Server 2022 中 HTTP/2 ...
我们有一些基于 AWS ECS 的 Fargate 托管任务/服务,它们在许多 ALB 后面运行。我们似乎经常在健康检查中收到来自我们自己的监控的无意义警报。这种情况每二十或三十分钟就会发生一次,即使所有系统都在运行,没有用户抱怨问题。健康检查非常轻松。内部服务只执行简单的 DB ping。外部服务只执行执行简单 DB ping 的 API ping。 鉴于瞬态基础设施问题是现实生活中的现实,而且每当 AWS 遇到部分不稳定时,这种频繁的请求就可能遇到这些问题,我们是否应该在允许这些 API 处理程序失败之前重试几次,并确保健康检查超时也允许最大期限?我们是...
我时常发现,尽管端口分配正常且任务看似正常,但服务部署却因为目标组进入不健康状态而无法完成。每次部署和重新部署,即使是较早的版本,都会开始失败(任务出现,然后停止,任务或 ECS 控制台中没有错误输出)。 一旦我确定了这种行为,我需要清除我们的目标群体(以及 ALB,这是必要的初步步骤),有时是在一天的中间,并让 Terraform 重新部署它们。最后一次发生在几个月前,我花了一些时间对流程的每个方面进行逆向工程,直到我偶然了解到这一点。今天又发生了。 这是否只是系统可接受的行为,还是我应该调查可能导致这种情况的原因?我无法想象非常大的客户(拥有数百种服务,...
我必须在具有高可用性的 Elastic Beanstalk 中设置我的应用程序。我的架构涉及一个在具有 ALB(公共子网)的私有子网中的 beantalk 中运行的 php 应用程序,该子网也是作为 Beanstalk 的一部分创建的。我想在 ALB 中设置 OIDC MYID 或 Azure AD 身份验证。我该怎么做? beanstalk ALB 是否也支持创建 oidc 身份验证?或者使用在 beanstalk 中运行的应用程序通过 ALB 实现 OIDC 身份验证的任何其他方法。 ...
我有一个用于内部服务的通配符证书。我想在 ALB 后面运行 Security Onion,这样我就可以使用存储在证书管理器中的单个证书获得有效的 SSL。(将其存储在那里更安全,也更易于维护和可靠性) 问题似乎出在 Security Onion 配置文件 /opt/so/saltstack/local/pillar/global.sls url_base: # IP or FQDN 是否可以配置为通过 IP 地址监听(此时登录重定向指向 IP,且已验证的 SSL 中断)或通过 FQDN 监听(此时它不会通过 IP 回答请求,且目标组健康检查失败)。 我无意...
因为AWS 已开始对公共 IPv4 地址收费,我正在调查我的应用程序负载均衡器使用了多少个公共 IPv4 地址。 目前,他们仅在 IPv4 上监听,并且很明显,网络接口的数量会随着流向负载均衡器的流量而增加。 如果我将它们更改为双栈,会发生以下哪种情况? 具有公有 IPv4 地址的网络接口数量与传入的 IPv4 流量成正比。因此,如果 IPv6 流量多于 IPv4 流量,则某些网络接口将没有公有 IPv4 地址。 每个网络接口都有一个 IPv4 地址和一个 IPv6 地址,这意味着无论使用什么协议,使用的公共 IPv4 地址的数量与传入流量的总量成正比。...
我们完全在 AWS 中托管一系列服务(这些服务没有外部依赖)。我们会定期收到健康检查失败(公共服务尝试联系内部服务 ALB 时出现 502 错误),频率大概是每小时或每两小时一次。这些服务完全没有中断。 我尝试了各种健康检查设置(长和短持续时间、高和低计数 [直到被视为成功或失败])。当我过去查看 HTTP 日志时,我相信失败的请求没有任何记录;我只是假设服务在请求完成之前就关闭了,并且可以写入一个。我们有常规活动,但不会被认为是高流量。拥塞不是一个因素(这可能会中断正常请求,但根据上述情况并非如此)。 每个服务都有多个负载平衡实例。 这是一个长期存在的问题...
我有两个 VPC: 入站 VPC CIDR 为 10.0.0.0/16(2 个公有子网) 具有 CIDR 10.1.0.0/16 的私有 VPC(私有端点) 两者都与 Transit Gateway 相连,并且我可以使用 EC2 实例中的 curl 命令解析从入站 VPC 到私有 VPC 的 DNS 和私有 API。 然而,我已经创建了一个转发到私有 DNS 的入站 VPC 中的 ALB仅可通过 Transit Gateway 从入站 VPC 访问,并且它无法解决这个问题。 我认为它正在尝试解析 VPC 外部的正向 DNS。我看到的唯一解决方案是创建一个...
我正在使用一个应用程序负载均衡器,其目标组有两个实例。在目标组中,我启用了基于应用程序的 Cookie。但是,每当我测试负载均衡器时,它都会一直切换到两个实例。(我在每个实例上都放置了 IP 地址,因此我可以看到它会转到两个实例)。难道它每次都不应该转到同一个实例吗?我该如何解决这个问题? 以下是我的设置方法 以下是我在目标群体属性中看到的内容 浏览器中的 Cookie ...