1. 背景与总体思路

场景说明：香港地区轻量应用服务器运行SSR，遇到并发连接数/带宽瓶颈。
总体思路：先做保护（备份、监控），优先纵向扩容（升级规格）快速缓解，再做横向扩容（多实例+负载均衡）实现弹性扩展，配合内核与SSR参数调优。

2. 备份与快照（实操）

步骤一：登录腾讯云控制台 → 轻量应用服务器 → 选择实例。
步骤二：停止SSR服务（如 systemctl stop ssr 或 python server.py stop），执行文件/配置备份：cp -r /etc/shadowsocksr ~/ssr_backup_$(date +%F).tar.gz。
步骤三：在控制台点击“创建快照/备份”，等待完成；或者使用镜像导出用于恢复的镜像。保证在扩容前有回滚点。

3. 纵向扩容（升级规格）

步骤一：控制台操作：实例 → 操作 → 升级/更改规格（选择更高CPU/带宽套餐）。
步骤二：如控制台不支持在线更改，先创建新实例（更高规格）并分配弹性IP（EIP），然后将快照镜像应用到新实例，启动并验证服务。
步骤三：切换弹性IP或更新域名解析至新实例IP，验证连接稳定性后关停旧实例。

4. 横向扩容总体设计

方案选项：使用腾讯云CLB（推荐）或基于轻量应用服务器自建HAProxy/LVS + keepalived。
推荐理由：CLB省运维且支持健康检查；自建适合高级网络优化与自定义转发规则。选择时考虑成本、复杂度与运维能力。

5. 使用腾讯云CLB做TCP负载均衡（实操）

步骤一：控制台 → 负载均衡 → 创建实例（选择地域：香港）。
步骤二：创建监听器：协议 TCP，端口填SSR端口（如8388），转发到后端服务器组。
步骤三：添加后端实例：将多个轻量服务器加入后端，设置端口一致并启用健康检查（TCP端口检查）。
步骤四：在实例安全组/防火墙开放CLB来源IP的访问，或直接放通对应端口。测试流量通过CLB并观察健康检查。

6. 自建HAProxy + keepalived方案（实操）

适用于不想使用CLB时。步骤一：选两台或三台轻量应用服务器作为前端负载层。
步骤二：安装keepalived配置虚拟IP（VIP）实现高可用，示例配置放在 /etc/keepalived/keepalived.conf。
步骤三：安装HAProxy，配置TCP模式转发到后端SSR组（balance roundrobin或leastconn）。
步骤四：在防火墙/安全组允许VIP和后端端口，验证VIP可达并检查会话分发。

7. SSR配置与多端口策略

建议：每台后端开启多个端口/用户，分散连接压力。编辑 /etc/shadowsocksr/user-config.json：添加多端口映射或多个用户对象。
操作：修改配置后重启SSR：systemctl restart ssr 或使用 python server.py restart。并在负载均衡器中配置对应端口映射。

8. 内核与系统参数调优（关键）

在每台实例执行：sysctl -w net.core.somaxconn=65535；net.ipv4.tcp_fin_timeout=30；net.ipv4.ip_local_port_range="1024 65000"。
持久化：将上述加入 /etc/sysctl.conf 并 sysctl -p。开启BBR：echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf；echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf，然后重启或 modprobe。

9. 并发连接数与文件描述符设置

检查与设置：ulimit -n 100000；编辑 /etc/security/limits.conf 添加 * soft nofile 100000 与 * hard nofile 200000。
对systemd服务生效：在服务单元文件中加入 LimitNOFILE=200000，reload systemd 并重启服务。

10. 监控与告警实操

建议部署监控：使用腾讯云监控或自行安装 Prometheus + node_exporter + Grafana。
监控项：带宽、连接数、CPU、内存、磁盘IO、负载均衡健康检查。设置阈值告警（带宽 > 80%、连接数接近上限等）并配置短信/邮箱通知。

11. 自动化部署与扩容演练

使用 Ansible 或 Terraform 编写实例创建、配置脚本（包括SSR安装、内核调优、安全组规则）。
演练流程：通过脚本快速创建新节点、加入CLB并验证健康，确保扩容可在短时间内完成，建议每季度进行一次演练。

12. 流量控制与降级策略

实操建议：在HAProxy/CLB上设置连接数上限或使用限速插件；对免费/低优先级用户限速，保证核心业务带宽。
当发现异常突增时：临时增加规则拒绝恶意IP、启用更严格的连接超时并快速扩容备用实例。

13. 常见问题与故障排查步骤

步骤：1）确认健康检查返回正常；2）检查安全组/防火墙端口是否放行；3）检查SSR日志（/var/log/ssr.log）与系统负载；4）若CLB报错，检查后端端口对应关系并重试健康检查。

14. 成本与容量评估建议

并发估算：根据单连接平均带宽与并发数倒算总带宽需求（并预留20%-30%）。成本控制：纵向升级短期、横向扩容长期更灵活。记录每次扩容后的实际使用，逐步调整策略。

15. 安全建议

启用安全组白名单规则、限制管理端口仅允许运维IP访问；启用日志审计和定期漏洞扫描。对CLB开启访问控制策略与流量清洗能力（如遇DDoS）。

16. 总结与最佳实践

推荐流程：1. 先备份；2. 快速纵向扩容缓解；3. 构建横向可扩展架构（CLB或HAProxy）；4. 内核/系统调优；5. 自动化与监控。常备运行手册与演练，保证在高并发突发风险下可快速响应。

Q1: 在轻量应用服务器上能否直接使用腾讯云CLB做SSR负载均衡？

A1: 可以。CLB支持TCP/UDP四层转发，创建TCP监听器并添加SSR后端实例即可。但需保证安全组/防火墙放通CLB到后端的检测端口与SSR端口，同时后端SSR配置端口需一致或在CLB做端口映射。

Q2: 横向扩容时如何保证客户端会话稳定（避免频繁断开）？

A2: 推荐使用CLB开启较长的空闲超时时间，同时后端可采用多端口或多用户策略分散连接；若自建HAProxy，可配置tcp-check和slowstart，必要时使用源地址散列或sticky-session来保持会话一致性。

Q3: 扩容后如何验证性能是否达标？

A3: 用流量回放或压力工具（如 iperf、wrk 针对TCP或自定义脚本）模拟并发连接与带宽，观察CLB/后端CPU、网络吞吐、丢包率与响应时延；结合监控阈值判断是否满足目标并发与带宽要求。

来源：高并发场景下腾讯云轻量应用服务器香港ssr的扩容方案