一、四层负载均衡技术基础

四层负载均衡工作于OSI模型传输层（第四层），基于IP地址和端口号进行流量分发，与七层负载均衡（应用层）形成互补。Nginx自1.9.0版本起通过stream模块原生支持四层负载均衡，突破了传统反向代理对HTTP协议的依赖。

1.1 核心工作原理

Nginx四层负载均衡通过监听指定端口（TCP/UDP），接收客户端连接请求后，根据预设算法选择后端服务器，建立新连接并将数据流透明转发。整个过程不解析应用层协议，具有更高的处理效率和更低的资源消耗。

典型数据流路径：

1. 客户端发起TCP连接至Nginx监听端口（如3306）
2. Nginx根据负载均衡算法选择后端MySQL服务器
3. 建立Nginx到后端的独立连接
4. 双向数据流通过Nginx中转

1.2 与七层负载均衡对比

特性	四层负载均衡	七层负载均衡
协议支持	TCP/UDP	HTTP/HTTPS
处理层级	传输层	应用层
性能开销	低（约5% CPU占用）	高（需解析应用协议）
功能扩展	有限（连接管理为主）	丰富（重写、缓存等）
典型场景	数据库、游戏、IoT设备	Web应用、API网关

二、Nginx四层负载均衡核心配置

2.1 基础配置结构

# 主配置文件nginx.conf中引入stream模块
load_module modules/ngx_stream_module.so;
stream {
    upstream db_backend {
        server 192.168.1.10:3306;
        server 192.168.1.11:3306;
        server 192.168.1.12:3306 backup;
    }
    server {
        listen 3306;
        proxy_pass db_backend;
        proxy_connect_timeout 1s;
    }
}

2.2 负载均衡算法详解

Nginx四层支持五种核心算法：

1. 轮询（round-robin）：默认算法，按顺序分配连接

   upstream tcp_backend {
       server 10.0.0.1:3306;
       server 10.0.0.2:3306;
   }

2. 加权轮询（weight）：按权重分配连接，适用于服务器性能差异场景

   upstream tcp_backend {
       server 10.0.0.1:3306 weight=3;
       server 10.0.0.2:3306 weight=1;
   }

3. 最少连接（least_conn）：优先分配给当前连接数最少的服务器

   upstream tcp_backend {
       least_conn;
       server 10.0.0.1:3306;
       server 10.0.0.2:3306;
   }

4. IP哈希（ip_hash）：基于客户端IP固定分配服务器（仅TCP）

   upstream tcp_backend {
       ip_hash;
       server 10.0.0.1:3306;
       server 10.0.0.2:3306;
   }

5. 随机（random）：Nginx 1.11.3+支持，可配合two参数

   upstream tcp_backend {
       random two;
       server 10.0.0.1:3306;
       server 10.0.0.2:3306;
   }

2.3 关键参数配置

参数	作用	推荐值
proxy_timeout	连接超时时间	60s
proxy_connect_timeout	后端连接建立超时	5s
send_timeout	发送数据超时	30s
recv_timeout	接收数据超时	30s
proxy_buffer_size	缓冲区大小	4k/8k
ssl_protocols	允许的SSL协议版本	TLSv1.2 TLSv1.3

三、高级功能实现

3.1 UDP负载均衡配置

游戏、DNS等UDP协议支持示例：

stream {
    upstream dns_servers {
        server 192.168.1.10:53;
        server 192.168.1.11:53;
    }
    server {
        listen 53 udp;
        proxy_pass dns_servers;
        proxy_timeout 1s;
        proxy_responses 1; # UDP特殊参数
    }
}

3.2 SSL终止与透传

SSL终止配置

stream {
    server {
        listen 443 ssl;
        proxy_pass backend_servers;
        ssl_certificate     /etc/nginx/ssl/server.crt;
        ssl_certificate_key /etc/nginx/ssl/server.key;
        ssl_protocols       TLSv1.2 TLSv1.3;
        ssl_ciphers         HIGH:!aNULL:!MD5;
    }
}

SSL透传配置

stream {
    upstream ssl_backend {
        server 192.168.1.10:443;
    }
    server {
        listen 443;
        proxy_pass ssl_backend;
        proxy_ssl on; # 启用SSL透传
        proxy_ssl_verify off; # 根据需求设置验证
    }
}

3.3 动态后端管理

通过Lua脚本实现动态后端更新：

stream {
    lua_shared_dict upstream_conf 1m;
    init_by_lua_block {
        local upstream_conf = ngx.shared.upstream_conf
        upstream_conf:set("backends", {
            {ip="192.168.1.10", port=3306},
            {ip="192.168.1.11", port=3306}
        })
    }
    upstream dynamic_backend {
        server 192.168.1.10:3306; # 初始配置
    }
    server {
        listen 3306;
        content_by_lua_block {
            -- 动态更新逻辑
        }
        proxy_pass dynamic_backend;
    }
}

四、性能优化实践

4.1 连接池优化

stream {
    upstream mysql_backend {
        server 192.168.1.10:3306;
        server 192.168.1.11:3306;
        # 连接池参数
        keepalive 32; # 每个worker保持的空闲连接数
        keepalive_time 60s; # 空闲连接超时
    }
}

4.2 缓冲区调优

stream {
    server {
        listen 3306;
        proxy_pass mysql_backend;
        # 缓冲区配置
        proxy_buffer_size 16k;
        proxy_buffers 8 16k;
        proxy_busy_buffers_size 32k;
    }
}

4.3 监控与日志

stream {
    log_format proxy_log '$remote_addr [$time_local] '
                         '$protocol $status $bytes_sent $bytes_received '
                         '$session_time "$upstream_addr"';
    access_log /var/log/nginx/stream-access.log proxy_log;
    error_log /var/log/nginx/stream-error.log warn;
}

五、典型应用场景

5.1 数据库负载均衡

MySQL集群配置示例：

stream {
    upstream mysql_cluster {
        least_conn;
        server 10.0.0.1:3306 max_fails=3 fail_timeout=30s;
        server 10.0.0.2:3306 max_fails=3 fail_timeout=30s;
        server 10.0.0.3:3306 backup;
    }
    server {
        listen 3306;
        proxy_pass mysql_cluster;
        proxy_connect_timeout 2s;
    }
}

5.2 游戏服务器负载均衡

UDP游戏服务器配置：

stream {
    upstream game_servers {
        hash $remote_addr consistent; # 一致性哈希
        server 192.168.1.10:7777 weight=5;
        server 192.168.1.11:7777 weight=3;
        server 192.168.1.12:7777 weight=2;
    }
    server {
        listen 7777 udp;
        proxy_pass game_servers;
        proxy_timeout 5s;
        proxy_responses 0; # UDP无响应限制
    }
}

六、故障排查指南

6.1 常见问题处理

1. 连接拒绝：

   • 检查后端服务器防火墙设置
   • 验证netstat -tulnp | grep 3306监听状态
   • 确认Nginx worker进程数配置

2. 连接超时：

   • 调整proxy_connect_timeout参数
   • 检查网络链路质量（使用mtr工具）
   • 验证后端服务最大连接数限制

3. 数据传输异常：

   • 检查proxy_buffer_size配置
   • 验证MTU设置（建议1500字节）
   • 检查是否有数据包分片

6.2 诊断命令

# 查看stream模块统计
nginx -T 2>&1 | grep stream
# 实时监控连接数
watch -n 1 "ss -tulnp | grep nginx"
# 日志分析
zgrep "connect failed" /var/log/nginx/stream-error.log*

七、最佳实践建议

1. 分层架构设计：

   • 四层负载均衡作为入口层
   • 七层负载均衡处理HTTP请求
   • 结合CDN实现全球加速

2. 容量规划：

   • 每核心处理3-5K TCP连接
   • 预留20%资源余量
   • 定期进行压力测试

3. 安全加固：

   • 限制源IP访问范围
   • 启用TCP SYN保护
   • 定期更新Nginx版本

4. 高可用方案：

   • Keepalived+VRRP实现VIP切换
   • 结合Consul实现服务发现
   • 异地多活架构设计

通过系统掌握Nginx四层负载均衡技术，开发者可以构建高性能、高可用的网络服务架构。实际部署时建议先在测试环境验证配置，逐步扩大部署规模，并建立完善的监控告警体系。