【SLB】如何排查七层（HTTP/HTTPS）健康检查异常问题

你好！SLB产品的健康检查用于探测您的后端服务器是否处于正常工作状态，当健康检查出现异常时，通常说明您的后端ECS实例出现了异常，但也可能是您的健康检查配置不正确导致。

#问题原因

首次配置健康检查出现异常的主要原因是健康检查配置问题，可以通过以下两类问题进行检查。

• 健康检查参数设置错误
• 监听端口问题

配置成功后健康检查出现异常的主要原因是后端ECS实例出现问题，可以通过以下两类问题进行检查。

• 安全类防护软件问题
• 后端服务器负载过高

#解决方案

##首次配置健康检查出现异常

###健康检查参数设置错误

1. 登录负载均衡控制台，单击目标SLB实例的ID，然后单击监听，再单击修改监听配置。
2. 在配置监听页面单击下一步，再次单击下一步，检查负载均衡健康检查参数设置是否正常，建议按照默认提供的健康检查参数进行设置，详情请参见配置健康检查。

###监听端口问题

1. 登录后端服务器，确认后端服务器上没有对SLB地址段进行过任何形式的屏蔽，包括Iptables或其他任何第三方安全策略软件。因为SLB通过内部保留地址段中的IP地址与后端服务器通信，如被屏蔽则会导致健康检查异常，SLB将无法正常工作。
2. 从后端服务器发起访问，确保后端服务器上的HTTP服务正常工作。
   1. 登录负载均衡控制台，单击目标SLB实例的ID，然后单击监听，再单击修改监听配置。
   2. 在配置监听页面单击下一步，查看并记录后端服务器端口。
   3. 在配置监听页面单击下一步，再次单击下一步，查看以下健康检查配置。
   4. 登录后端服务器，使用nc或curl命令对后端服务器进行探测，本文以nc命令为例: echo -e "[$Method] [$PATH] HTTP/1.0\r\nHost: [$Domain]\r\n\r\n" | nc -t [$IP] [$Port]
   5. 查看命令执行结果的状态码，确认状态码不在第三步查看的健康状态返回码范围内。根据业务场景，如果认为返回的状态码是正常情况，您可以在控制台修改健康状态返回码的范围。如果认为返回的状态码是异常情况，请确认健康检查方法、健康检查端口、健康检查域名和健康检查路径是否配置正确，健康检查的配置详情可以参见配置健康检查。

注：

• [$Method]为上一步查看的健康检查方法。
• [$PATH]为上一步查看的健康检查路径。
• [$Domain]为上一步查看的健康检查域名，如果该值为“-----”，说明默认使用各后端服务器的内网IP为域名，可以使用[$IP]代替。
• [$IP]为后端服务器内网IP地址。
• [$Port]为上一步查看的健康检查端口，如果没有手动配置过健康检查端口，默认使用的是后端服务器端口，如果配置了健康检查端口，则使用配置的健康检查端口。

##配置成功后健康检查出现异常

###安全类防护软件问题

确认后端服务器上没有对SLB内网地址段100.64.0.0/10进行过任何形式的屏蔽，包括Iptables或其他任何第三方安全策略软件。因为SLB通过内部保留地址段中的IP地址与后端服务器通信，如被屏蔽则会导致健康检查异常，SLB将无法正常工作。本小节以Iptables为例进行演示。

1. 登录问题后端服务器，执行以下命令，查看filter表的所有规则。

   iptables -nL

2. 可以参见以下命令，删除此规则即可。

   iptables -t filter -D INPUT -s 100.64.0.0/10 -j DROP

3. 执行以下命令，确认没有禁止SLB内网地址段请求。

   iptables -nL

###后端服务器负载过高

参见Linux实例系统负载的查询及分析步骤，查看是否是服务器负载导致的问题。

##相关文档

更多关于排查后端ECS实例问题的信息，请参见如何排查负载均衡SLB的后端ECS实例是否异常。 SLB产品的四层（TCP/UDP）健康检查出现异常请参见四层（TCP/UDP）健康检查异常。