Azure 负载均衡器导致两个活动防火墙之间的流量分配不均
3469
Created On 12/27/22 00:57 AM - Last Modified 09/03/25 01:21 AM
Symptom
当 Azure 上有 2 个活动防火墙时,一个活动firewall可能会收到比其他人更多的流量。
Environment
- 帕洛阿尔托VMAzure 平台上的防火墙
- 支持的 PAN-OS
Cause
- Azure 负载均衡器默认使用基于五元组哈希的分布模式
- 来源 IP
- 源端口
- 目的地 IP
- 目的端口
- 协议类型
- 哈希用于将流量路由到后端池中的健康后端实例
- 当客户端从同一来源开始新会话时IP,源端口发生变化并导致流量转到不同的后端实例
- 当 Azure 门户中的会话持久性设置为“无”时,来自同一客户端的连续请求可能由任何虚拟机处理
Resolution
使用会话持久性来解决问题。
- 会话持久化模式使用二元组(来源IP和目的地IP) 或三元组 (来源IP, 目的地IP和协议类型)散列以路由到后端实例
- 使用会话持久性时,来自同一客户端的连接将转到后端池中的同一后端实例
- 会话持久化模式有两种配置类型:
- 客户IP(2 元组)- 指定来自同一客户端的连续请求IP地址将由同一个后端实例处理
- 客户IP和协议(三元组)- 指定来自同一客户端的连续请求IP地址和协议组合将由同一个后端实例处理
- 登录到 Azure 门户并找到包含要更改的负载均衡器的资源组,方法是单击“资源组”
- 在负载均衡器概览屏幕中,选择设置下的负载均衡规则
- 在负载均衡规则屏幕中,选择您要更改分布模式的负载均衡规则
- 规则下通过更改Session持久化下拉框来改变分发方式
- 无(基于哈希)- 指定来自同一客户端的连续请求可以由任何虚拟机处理
- 客户IP(来源IPaffinity two-tuple) - 指定来自同一客户端的连续请求IP地址将由同一个虚拟机处理
- 客户IP和协议(来源IPaffinity three-tuple) - 指定来自同一客户端的连续请求IP地址和协议组合将由同一个虚拟机处理
Additional Information
请参考 Jira 了解更多信息FWAAS-4519