本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 对 Application Load Balancer 进行故障排除
以下信息可帮助您解决与 Application Load Balancer 相关的问题。
**Topics**
+ [已注册目标未处于可用状态](#target-not-inservice)
+ [客户端无法连接到面向 Internet 的负载均衡器](#client-cannot-connect)
+ [负载均衡器无法接收发送到自定义域的请求](#custom-domain-request)
+ [发送到负载均衡器的 HTTPS 请求返回“NET::ERR\$1CERT\$1COMMON\$1NAME\$1INVALID”](#https-cert-invalid)
+ [负载均衡器显示的处理时间较长](#elevated-processing-time)
+ [负载均衡器发送响应代码 000](#response-code-000)
+ [负载均衡器生成 HTTP 错误](#load-balancer-http-error-codes)
+ [目标生成 HTTP 错误](#target-http-errors)
+ [AWS Certificate Manager 证书不可用](#acm-cert-unavailable)
+ [不支持多行标头](#multi-line-headers-issue)
+ [使用资源地图排查不正常目标的问题](#troubleshoot-with-resourcemap)
+ [对目标优化器进行故障排除](#troubleshoot-target-optimizer)
## 已注册目标未处于可用状态
如果目标进入 `InService` 状态所花费的时间超过预期,则该目标可能无法通过运行状况检查。您的目标未处于可用状态,除非通过一次运行状况检查。有关更多信息,请参阅 [应用程序负载均衡器目标组的运行状况检查](target-group-health-checks.md)。
确认您的实例未通过运行状况检查,然后检查以下问题:
**安全组不允许流量**
与实例关联的安全组必须允许来自负载均衡器的使用运行状况检查端口和运行状况检查协议的流量。您可以向实例安全组添加一个规则以允许来自负载均衡器安全组的所有流量。负载均衡器的安全组也必须允许流入实例的流量。
**网络访问控制列表 (ACL) 不允许流量**
与实例的子网关联的网络 ACL 必须允许运行状况检查端口上的入站流量,以及临时端口 (1024-65535) 上的出站流量。与您负载均衡器节点的子网关联的网络 ACL 必须允许临时端口上的入站流量,以及运行状况检查端口和临时端口上的出站流量。
**ping 路径不存在**
创建运行状况检查的目标页并将其路径指定为 ping 路径。
**连接超时**
首先,验证您是否能使用目标的私有 IP 地址和运行状况检查协议直接从网络中连接到目标。如果您无法连接,请检查实例是否被过度使用,并将多个目标添加到目标组 (如果它太忙而无法响应)。如果您可以连接,则在运行状况检查超时期限之前,目标页可能不会响应。为运行状况检查选择更简单的目标页,或者调整运行状况检查设置。
**目标未返回成功响应代码**
默认情况下,成功代码为 200,但您可以选择在配置运行状况检查时指定其他成功代码。确认负载均衡器所需的成功代码,并且应用程序已配置为在成功时返回这些代码。
**目标响应代码格式错误或者连接到目标时出错**
验证您的应用程序是否可以对负载均衡器的运行状况检查请求做出响应。某些应用程序需要进行额外配置才能对运行状况检查做出响应,例如只有进行虚拟主机配置才能对负载均衡器发送的 HTTP 主机标头做出响应。主机标头值包含目标的私有 IP 地址,后跟不使用默认端口时的运行状况检查端口。如果目标使用默认运行状况检查端口,则主机标头值仅包含目标的私有 IP 地址。例如,如果目标的私有 IP 地址为 `10.0.0.10` 且运行状况检查端口为 `8080`,则负载均衡器在运行状况检查中发送的 HTTP 主机标头为 `Host: 10.0.0.10:8080`。如果目标的私有 IP 地址为 `10.0.0.10` 且运行状况检查端口为 `80`,则负载均衡器在运行状况检查中发送的 HTTP 主机标头为 `Host: 10.0.0.10`。可能需要进行虚拟主机配置来响应该主机,或需要使用默认配置才能成功对应用程序进行运行状况检查。运行状况检查请求具有以下属性:将 `User-Agent` 设置为 `ELB-HealthChecker/2.0`,消息标头字段的行终止符为序列 CRLF,且标头在第一个空行处终止,后跟 CRLF。
## 客户端无法连接到面向 Internet 的负载均衡器
如果负载均衡器未响应请求,请检查以下问题:
**您的面向 Internet 的负载均衡器已连接到私有子网**
您必须为负载均衡器指定公有子网。公有子网有一个指向 Virtual Private Cloud (VPC) 的 Internet 网关的路由。
**安全组或网络 ACL 不允许流量**
负载均衡器的安全组和负载均衡器子网的任何网络 ACLs 都必须允许来自客户端的入站流量以及通过侦听器端口流向客户端的出站流量。
## 负载均衡器无法接收发送到自定义域的请求
如果负载均衡器无法接收发送到自定义域的请求,请检查以下问题:
**自定义域名无法解析为负载均衡器 IP 地址**
+ 使用命令行界面确认自定义域名解析为哪个 IP 地址。
+ **Linux、macOS 或 Unix** – 您可以在终端中使用 `dig` 命令。Ex.`dig example.com`
+ **Windows** – 您可以在命令提示符中使用 `nslookup` 命令。Ex.`nslookup example.com`
+ 使用命令行界面确认负载均衡器 DNS 解析为哪个 IP 地址。
+ 比较两个输出的结果。IP 地址必须匹配。
如果使用 Route 53 托管您的自定义域,请参阅《*Amazon Route 53 开发人员指南*》中的[我的域在 Internet 上不可用](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/troubleshooting-domain-unavailable.html)。
## 发送到负载均衡器的 HTTPS 请求返回“NET::ERR\$1CERT\$1COMMON\$1NAME\$1INVALID”
如果 HTTPS 请求收到来自负载均衡器的 `NET::ERR_CERT_COMMON_NAME_INVALID`,请查看以下可能的原因:
+ HTTPS 请求中使用的域名与 ACM 证书所关联的侦听器中指定的备用名称不匹配。
+ 正在使用负载均衡器的默认 DNS 名称。无法使用默认 DNS 名称发出 HTTPS 请求,因为无法为 `*.amazonaws.com` 域请求公有证书。
## 负载均衡器显示的处理时间较长
负载均衡器计算处理时间的方式因配置而异。
+ 如果与您 AWS WAF 的 Application Load Balancer 关联并且客户端发送了 HTTP POST 请求,则发送 POST 请求的数据的时间将反映在负载均衡器访问日志的`request_processing_time`字段中。此行为对于 HTTP POST 请求是符合预期的。
+ 如果未与您 AWS WAF 的 Application Load Balancer 关联,并且客户端发送了 HTTP POST 请求,则发送 POST 请求的数据的时间将反映在负载均衡器访问日志的`target_processing_time`字段中。此行为对于 HTTP POST 请求是符合预期的。
## 负载均衡器发送响应代码 000
使用 HTTP/2 连接时,如果通过一个连接提供的请求数超过 10000,则负载均衡器将发送 GOAWAY 帧并使用 TCP FIN 关闭连接。
## 负载均衡器生成 HTTP 错误
以下 HTTP 错误由负载均衡器生成。负载均衡器将 HTTP 代码发送到客户端,将请求保存到访问日志并增加 `HTTPCode_ELB_4XX_Count` 或 `HTTPCode_ELB_5XX_Count` 指标。
**Topics**
+ [HTTP 400:错误请求](#http-400-issues)
+ [HTTP 401: 未授权](#http-401-issues)
+ [HTTP 403:禁止访问](#http-403-issues)
+ [HTTP 405:不允许的方法](#http-405-issues)
+ [HTTP 408:请求超时](#http-408-issues)
+ [HTTP 413:有效负载过大](#http-413-issues)
+ [HTTP 414:URI 太长](#http-414-issues)
+ [HTTP 460](#http-460-issues)
+ [HTTP 463](#http-463-issues)
+ [HTTP 464](#http-464-issues)
+ [HTTP 500:内部服务器错误](#http-500-issues)
+ [HTTP 501:未实现](#http-501-issues)
+ [HTTP 502:无效网关](#http-502-issues)
+ [HTTP 503:服务不可用](#http-503-issues)
+ [HTTP 504:网关超时](#http-504-issues)
+ [HTTP 505:不支持版本](#http-505-issues)
+ [HTTP 507:存储空间不足](#http-507-issues)
+ [HTTP 561: 未授权](#http-561-issues)
+ [HTTP 562:JWKS 请求失败](#http-562-issues)
### HTTP 400:错误请求
可能的原因:
+ 客户端发送的请求格式错误,不符合 HTTP 规范。
+ 请求标头超过了每个请求行 16K、单个标头 16K 或整个请求标头 64K 的限制。
+ 客户端在发送完整的请求正文之前关闭了连接。
### HTTP 401: 未授权
您已将侦听器规则配置为对用户进行身份验证,但出现下列情况之一:
+ 已将 `OnUnauthenticatedRequest` 配置为拒绝未经身份验证的用户或 IdP 拒绝访问。
+ IdP 返回的声明大小超出了负载均衡器支持的最大大小。
+ 客户端提交了一个不带主机标头的 HTTP/1.0 请求,并且负载均衡器未能生成重定向 URL。
+ 请求的范围未返回 ID 令牌。
+ 您未在客户端登录超时到期之前完成登录过程。有关更多信息,请参阅[客户端登录超时](listener-authenticate-users.md#client-login-timeout)。
+ 由于以下原因之一,JWT 身份验证失败:
+ 请求缺少授权标头。 (JWTHeaderNotPresent)
+ 请求中的令牌格式无效。在以下情况下可能会发生这种情况:
+ Token 格式错误或缺少必填部分(标头、有效负载或签名)
+ 标题缺少 “持有者” 前缀
+ 标头包含不同的身份验证类型(例如,“Basic”)
+ 授权标头存在但缺少令牌
+ 请求中存在多个令牌 (JWTRequestFormatInvalid)
+ 令牌签名验证失败。在以下情况下可能会发生这种情况:
+ 签名不匹配
+ 公钥无效或无法转换为解码密钥
+ 公钥大小不是 2K
+ 使用不支持的算法对令牌进行签名
+ 令牌中的 KID 不存在于 JWKS 端点中 () JWTSignature ValidationFailed
+ JWT 缺少验证所需的索赔。 (JWTClaimNotPresent)
+ JWT 中声明值的格式与指定的配置格式不匹配。 (JWTClaimFormatInvalid)
### HTTP 403:禁止访问
您配置了 AWS WAF Web 访问控制列表 (Web ACL) 来监控对您的 Application Load Balancer 的请求,该列表阻止了请求。
### HTTP 405:不允许的方法
客户端使用 TRACE 方法,而 Application Load Balancer 不支持该方法。
### HTTP 408:请求超时
客户端在空闲超时期到期前未发送数据。发送 TCP keep-alive 不会阻止此超时。在每个空闲超时期过去之前发送至少 1 个字节的数据。根据需要增加空闲超时期长度。
### HTTP 413:有效负载过大
可能的原因:
+ 目标是 Lambda 函数,请求正文超过 1 MB。
+ 请求标头超过了每个请求行 16K、单个标头 16K 或整个请求标头 64K 的限制。
### HTTP 414:URI 太长
请求 URL 或查询字符串参数过大。
### HTTP 460
负载均衡器收到了来自客户端的请求,但客户端在空闲超时期限结束前就关闭了与负载均衡器的连接。
检查客户端超时期限是否超过负载均衡器的空闲超时期限。确保目标在客户端超时期限之前向客户端提供响应,或增加客户端超时期限以匹配负载均衡器空闲超时 (如果客户端支持这样做)。
### HTTP 463
负载均衡器收到一个包含多个 IP 地址的 **X-Forwarded-For** 请求标头。IP 地址的上限为 30。
### HTTP 464
负载均衡器收到一个与目标组协议的版本配置不兼容的传入请求协议。
可能的原因:
+ 请求协议是 HTTP/1.1,而目标组协议版本是 gRPC 或 HTTP/2。
+ 请求协议是 gRPC,而目标组协议版本是 HTTP/1.1。
+ 请求协议是 HTTP/2,请求不是 POST,而目标组协议版本是 gRPC。
### HTTP 500:内部服务器错误
可能的原因:
+ 您配置了 AWS WAF Web 访问控制列表 (Web ACL),但在执行 Web ACL 规则时出现错误。
+ 负载均衡器无法与 IdP 令牌终端节点或 IdP 用户信息终端节点进行通信。
+ 确认 IdP 的 DNS 可公开解析。
+ 验证您的负载均衡器的安全组和 VPC 的网络是否允许 ACLs 对这些终端节点进行出站访问。
+ 验证您的 VPC 可以访问 Internet。如果您有面向内部的负载均衡器,请使用 NAT 网关启用 Internet 访问。
+ 从 IdP 收到的用户声明大小超过 11KB。
+ IdP 令牌端点或 IdP 用户信息端点需要超过 5 秒钟才能响应。
+ 负载均衡器无法与 JWKS 端点通信,或者 JWKS 端点在 5 秒钟内没有响应。
+ JWKS 端点返回的响应大小超过 150KB 或者 JWKS 端点返回的密钥数量超过 10
+ 目标组启用了目标优化器,但代理遇到了意外错误。请参阅[对目标优化器进行故障排除](#troubleshoot-target-optimizer)。
### HTTP 501:未实现
可能的原因:
+ 负载均衡器收到具有不支持的值的 **Transfer-Encoding** 标头。**Transfer-Encoding** 支持的值为 `chunked` 和 `identity`。作为替代方案,您可以使用 **Content-Encoding** 标头。
+ websocket 请求被路由到启用了目标优化器的目标组。
### HTTP 502:无效网关
可能的原因:
+ 负载均衡器在尝试建立连接时从目标收到了 TCP RST。
+ 负载均衡器收到来自目标的意外响应,如当尝试建立连接时,收到“ICMP Destination unreachable (Host unreachable)”。检查是否允许来自负载均衡器子网的流量流至目标端口上的目标。
+ 当负载均衡器具有目标的未完成请求时,目标关闭了具有 TCP RST 或 TCP FIN 的连接。检查目标的保持活动状态持续时间是否短于负载均衡器的空闲超时值。
+ 目标响应格式错误,或者包含无效的 HTTP 标头。
+ 整个响应标头的目标响应标头超过了 32 K。
+ 对于已取消注册的目标正在处理的请求,取消注册延迟期已结束。增加延迟期,以便较长的操作能够完成。
+ 目标是 Lambda 函数,响应正文超过 1 MB。
+ 目标是一个 Lambda 函数,该函数在达到其配置的超时之前未响应。
+ 目标是一个返回错误的 Lambda 函数,或是受到 Lambda 服务限制的函数。
+ 负载均衡器在连接到目标时遇到 SSL 握手错误。
有关更多信息,请参阅 AWS 支持知识中心中的[如何排除 Application Load Balancer HTTP 502 错误](https://repost.aws/knowledge-center/elb-alb-troubleshoot-502-errors)。
### HTTP 503:服务不可用
可能的原因:
+ 负载均衡器的目标组没有任何已注册的目标,或者已注册的目标均处于 `unused` 状态。
+ 该请求被路由到启用了目标优化器的目标组,但由于没有目标准备好接收请求而被拒绝。请参阅[对目标优化器进行故障排除](#troubleshoot-target-optimizer)。
### HTTP 504:网关超时
可能的原因:
+ 负载均衡器未能在连接超时到期 (10 秒) 之前建立与目标的连接。
+ 负载均衡器与目标建立了连接,但在空闲超时周期到期之前未响应。
+ 子网的网络 ACL 不允许临时端口 (1024-65535) 上从目标到负载均衡器节点的流量。
+ 目标返回的 content-length 标头大于整个正文。负载均衡器因等待缺少的字节而超时。
+ 目标是 Lambda 函数,并且 Lambda 服务在连接超时过期之前没有响应。
+ 负载均衡器在连接到目标时遇到 SSL 握手超时(10 秒)。
### HTTP 505:不支持版本
负载均衡器收到一个意外的 HTTP 版本请求。例如,负载均衡器建立了 HTTP/1 连接,但收到了 HTTP/2 请求。
### HTTP 507:存储空间不足
重定向 URL 过长。
### HTTP 561: 未授权
已配置侦听器规则以验证用户的身份,但在验证用户身份时,IdP 返回错误代码。查看访问日志以获取相关的[错误原因代码](load-balancer-access-logs.md#error-reason-codes)。
### HTTP 562:JWKS 请求失败
负载均衡器未能从 JWKS(JSON Web 密钥集)端点收到成功且有效的响应。成功响应的状态码应在 200-299 范围内,但收到的状态码却不同。有效的回复不应存在以下问题:
+ 非 JSON 格式
+ 无效字符
+ JWKS 格式无效
+ 必填的 JWKS 属性缺失/无效
+ 公钥有不支持的算法
+ 无法将公钥转换为解码密钥
+ 公钥大小不是 2K
## 目标生成 HTTP 错误
负载均衡器将有效的 HTTP 响应从目标转发到客户端,包括 HTTP 错误。目标生成的 HTTP 错误记录在 `HTTPCode_Target_4XX_Count` 和 `HTTPCode_Target_5XX_Count` 指标中。
## AWS Certificate Manager 证书不可用
决定将 HTTPS 侦听器与 Application Load Balancer 配合使用时, AWS Certificate Manager 需要您在颁发证书之前验证域所有权。如果在安装过程中错过了此步骤,则证书将保持 `Pending Validation` 状态,直到验证后才能使用。
+ 如果使用电子邮件验证,请参阅《*AWS Certificate Manager 用户指南*》中的[电子邮件验证](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html)。
+ 如果使用 DNS 验证,请参阅《*AWS Certificate Manager 用户指南*》中的 [DNS 验证](https://docs.aws.amazon.com/acm/latest/userguide/dns-validation.html)。
## 不支持多行标头
应用程序负载均衡器不支持多行标头,包括 `message/http` 媒体类型标头。如果提供了多行标头,应用程序负载均衡器会在将其传递给目标之前附加冒号字符“`:`”。
## 使用资源地图排查不正常目标的问题
如果您的应用程序负载均衡器目标未通过运行状况检查,则可以使用资源地图来查找不正常目标并根据失败原因代码采取措施。有关更多信息,请参阅 [查看应用程序负载均衡器资源地图](view-resource-map.md)。
资源地图提供了两个视图:**概述**和**不正常目标地图**。默认情况下,**概述**处于选中状态,并显示您的负载均衡器的所有资源。选择**不正常目标地图**视图将仅显示与应用程序负载均衡器关联的每个目标组中的不正常目标。
**注意**
必须启用**显示资源详细信息**才能查看资源地图中所有适用资源的运行状况检查摘要和错误消息。未启用时,您必须选择每个资源才能查看其详细信息。
**目标组**列显示每个目标组的正常目标和不正常目标的摘要。这可以帮助确定是所有目标都未通过运行状况检查,还是只有特定目标未通过运行状况检查。如果目标组中的所有目标均未通过运行状况检查,请检查目标组的配置。选择目标组名称以在新选项卡中打开其详细信息页面。
**目标**列显示每个目标的目标 ID 和当前运行状况检查状态。当目标运行状况不佳时,将显示运行状况检查失败原因代码。当单个目标未通过运行状况检查时,请验证目标是否有足够的资源,并确认目标上运行的应用程序是否可用。选择一个目标 ID 以将在新选项卡中打开其详细信息页面。
选择**导出**后,您可以选择将应用程序负载均衡器资源地图的当前视图导出为 PDF。
验证您的实例是否未通过运行状况检查,然后根据失败原因代码检查是否存在以下问题:
+ **不正常:HTTP 响应不匹配**
+ 验证目标上运行的应用程序是否正在向应用程序负载均衡器的运行状况检查请求发送正确的 HTTP 响应。
+ 或者,您可以更新应用程序负载均衡器的运行状况检查请求,以匹配目标上运行的应用程序的响应。
+ **不正常:请求超时**
+ 验证与您的目标和应用程序负载均衡器关联的安全组和网络访问控制列表(ACL)未阻止连接。
+ 验证目标是否具有足够的资源来接受来自应用程序负载均衡器的连接。
+ 验证目标上运行的任何应用程序的状态。
+ 可以在每个目标的应用程序日志中查看应用程序负载均衡器的运行状况检查响应。有关更多信息,请参阅 [Health check reason codes](target-group-health-checks.md#target-health-reason-codes)。
+ **不健康: FailedHealthChecks**
+ 验证目标上运行的任何应用程序的状态。
+ 验证目标是否在侦听运行状况检查端口上的流量。
**使用 HTTPS 侦听器时**
您可以选择用于前端连接的安全策略。用于后端连接的安全策略是根据正在使用的前端安全策略自动选择的。如果你的听众有:
**FIPS 后量子 TLS 策略**-后端连接使用 `ELBSecurityPolicy-TLS13-1-0-FIPS-PQ-2025-09`
**FIPS 策略**-后端连接使用 `ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04`
**后量子 TLS 策略**-后端连接使用 `ELBSecurityPolicy-TLS13-1-0-PQ-2025-09`
**TLS 1.3 政策**-后端连接使用 `ELBSecurityPolicy-TLS13-1-0-2021-06`
后端连接使用的所有其他 TLS 策略 `ELBSecurityPolicy-2016-08`
有关更多信息,请参阅[安全策略](describe-ssl-policies.md)。
+ 验证目标是否按照安全策略指定的正确格式提供服务器证书和密钥。
+ 验证目标是否支持一个或多个匹配的密码,以及应用程序负载均衡器提供的用于建立 TLS 握手的协议。
## 对目标优化器进行故障排除
有关详细监控,请参阅[目标优化器](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)指标
**配置错误**
+ `HTTPCode_ELB_502_Count`:负载均衡器在尝试建立连接时收到了来自代理的 TCP RST。
+ `HTTPCode_ELB_504_Count`:在空闲超时时间到期之前,负载均衡器未能与代理建立连接。
+ `HTTPCode_Target_5XX_Count`:代理在尝试建立连接时收到了来自目标应用程序的 TCP RST。*(仅在目标应用程序本身未生成此错误响应时适用。)*
要修复这些问题,请确保:
+ 目标上的安全组配置正确。
+ 代理正在按预期配置运行。
+ 目标应用程序正在运行并监听代理中配置的 TARGET\$1CONTROL\$1DESTINATION\$1ADDRESS。
**服务不可用错误 (`HTTPCode_ELB_503_Count`)**
一致的 HTTP 503 错误意味着没有足够的目标来接收 ALB 的请求。该 TargetControlRequestRejectCount 指标代表了这些被拒绝的请求。该 TargetControlWorkQueueLength 指标将降至接近零的值。要解决此问题,请考虑:
+ 增加目标数量
+ 将代理上的 TARGET\$1CONTROL\$1MAX\$1CONCURRENCY 变量设置为更大的值。
**运行状况检查错误**
+ 如果运行状况检查端口与 TARGET\$1CONTROL\$1DATA\$1ADDRESS 相同,则来自ALB的运行状况检查请求将通过代理发送到目标应用程序。如果运行状况检查失败(由于 HTTP 502 或超时),请参阅 “配置错误” 部分。