如何在 ECS 实例内部配置内网 SLB 监听实现负载均衡

核心结论：内网 SLB 是独立于 ECS 的云资源，并非在 ECS 操作系统内部安装配置。需在阿里云控制台或通过 CLI 创建 SLB 实例，将 ECS 挂载为后端服务器，并配置安全组放行。

• 适用场景：同一地域、同一 VPC 内多台 ECS 实例的流量分发
• 前置条件：至少两台 ECS 实例、专有网络 VPC、已安装阿里云 CLI 工具（可选）
• 验收标准：VPC 内其他机器可访问 SLB 内网 IP，且控制台后端服务器健康状态显示“正常”

很多用户误以为需要在 ECS 内部安装软件来实现 SLB，实际上阿里云 SLB 是四层/七层负载均衡服务，流量在到达 ECS 之前已由 SLB 集群分发。配置工作的核心在于SLB 实例侧的监听规则与ECS 侧的安全组放行。

前置环境检查

在配置前，请确保满足以下网络约束，否则会导致绑定失败或不通：

• 地域一致：SLB 实例与 ECS 实例必须位于同一地域（如都在杭州）。
• 网络类型：内网 SLB 必须与 ECS 处于同一专有网络（VPC）。
• 安全组：ECS 安全组需放行 SLB 健康检查网段及业务端口。

CLI 自动化配置示例

相比控制台点击，使用阿里云 CLI 工具更适合自动化运维。以下是创建内网 SLB 并绑定 ECS 的核心命令流程（请替换为实际的 RegionId、VpcId 和实例 ID）：

# 1. 创建内网负载均衡实例
aliyun slb CreateLoadBalancer \`--RegionId` cn-hangzhou \`--LoadBalancerName` internal-slb \`--AddressType` intranet \`--VpcId` vpc-bp1xxxxxxxxxxxxx \`--VSwitchId` vsw-bp1xxxxxxxxxxxxx# 2. 创建 HTTP 监听（前端 80 转发至后端 80）
aliyun slb CreateLoadBalancerHTTPListener \`--LoadBalancerId` lb-bp1xxxxxxxxxxxxx \`--ListenerPort` 80 \`--BackendServerPort` 80 \`--HealthCheck` ON \`--HealthCheckUri` /# 3. 添加后端 ECS 服务器
aliyun slb AddBackendServers \`--LoadBalancerId` lb-bp1xxxxxxxxxxxxx \`--BackendServers` '[{"ServerId":"i-bp1xxxxxxxxxxxxx","Weight":"100"},{"ServerId":"i-bp1yyyyyyyyyyyy","Weight":"100"}]'

执行完成后，可在控制台查看实例状态。若使用 Terraform 或其他 IaC 工具，逻辑同上，重点在于资源依赖顺序。

安全组规则配置详解

这是最容易被忽略的环节。即使 SLB 配置正确，若 ECS 安全组拦截，健康检查也会失败。

• 入方向规则：需允许 SLB 健康检查网段访问 ECS 业务端口。
• 授权对象：建议填写 VPC 网段（如 172.16.0.0/12），内网 SLB 健康检查流量源自 VPC 内部。
• 协议端口：TCP 或 HTTP 对应的业务端口（如 80/443/8080）。

# 安全组配置示例逻辑
协议：TCP
端口范围：80/80
授权对象：172.16.0.0/12 (你的 VPC CIDR)
优先级：1

验证与故障排查

配置完成后，不要仅依赖控制台状态，需通过命令行进行真实流量验证。

1. 连通性验证

登录到同一 VPC 下的另一台测试 ECS，执行以下命令：

# 测试 HTTP 响应
curl -v http://<SLB 内网 IP># 测试 TCP 端口连通性
telnet <SLB 内网 IP> 80

若 curl 返回后端 ECS 的页面内容，且 HTTP 状态码为 200，则负载均衡生效。

2. 健康检查失败排查

若控制台显示后端服务器“异常”，请按以下步骤排查：

# 1. 在 ECS 内部检查服务是否监听正确端口
netstat -tlnp | grep 80# 2. 检查 ECS 内部防火墙（iptables/firewalld）
systemctl status firewalld# 3. 抓包分析 SLB 健康检查请求是否到达
tcpdump -i eth0 host <SLB 内网 IP> and port 80

常见原因包括：ECS 内部服务未启动、监听地址为 127.0.0.1（应改为 0.0.0.0）、或安全组未放行健康检查源 IP。

常见架构误区与坑

• 误区：在 ECS 内安装 Nginx 当作 SLB 使用。自建 Nginx 负载均衡需要自行维护高可用，而云 SLB 是集群部署，天然高可用。除非有特殊定制需求，否则优先选用云 SLB。
• 坑：后端端口配置错误。监听端口（前端）与后端端口（服务端口）可以不同，但需确保 ECS 上实际服务监听的是配置的后端端口。
• 坑：跨 VPC 绑定。内网 SLB 不支持跨 VPC 绑定 ECS，若需互通，需通过云企业网 CEN 打通或使用公网 SLB。

原文链接：https://www.zjcp.cc/ask/11491.html