在高防节点发生故障切换或后端服务器宕机时，要保证会话（Session）不丢失，最稳妥的方案是将会话状态从本地内存迁移到外部共享存储（如 Redis 集群），并配合负载均衡器的健康检查机制，确保故障切换时请求被路由到存有会话数据的可用实例。

核心原理与架构澄清

高防节点主要负责流量清洗，故障切换通常指高防 IP 漂移或后端源站负载均衡切换。默认情况下，许多应用将会话信息保存在当前服务进程的内存里。当流量被切换到另一台机器时，新机器内存里没有该用户的会话记录，导致用户被强制登出。只有将会话数据存放在所有节点都能访问的共享存储中，才能实现真正的故障无关。

分步实施指南

1. 确认当前会话存储方式
检查代码配置，查看 Session 驱动是 File、Redis 还是 Memory。如果是 Memory 或本地 File，必须修改。

• Spring Boot：检查 application.yml 中的 spring.session.store-type 配置。
• PHP (Laravel)：检查 .env 文件中的 SESSION_DRIVER 配置。

2. 部署高可用 Redis 存储
搭建 Redis Sentinel 或 Cluster 模式。确保应用服务器能通过内网稳定访问 Redis。注意开启持久化，防止 Redis 重启导致会话丢失。

# redis.conf 关键配置
appendonly yes
appendfsync everysec
# 集群模式建议关闭 cluster-require-full-coverage 以避免脑裂导致不可用
cluster-require-full-coverage no

3. 应用层接入 Redis Session
修改应用配置，指向 Redis 集群地址。以下以 Spring Boot 为例：

# application.yml
spring:
  session:
    store-type: redis
  redis:
    host: 192.168.1.100
    port: 6379
    password: your_password
    timeout: 2000ms

4. 配置负载均衡健康检查
在负载均衡器（如 Nginx）上配置被动健康检查。当某个节点不可达时，自动剔除，流量分发到其余节点。注意：开源版 Nginx 不支持主动健康检查，需依赖被动参数。

upstream backend {
    server 192.168.1.10:80 max_fails=3 fail_timeout=30s;
    server 192.168.1.11:80 max_fails=3 fail_timeout=30s;
    keepalive 32;
}

5. 会话标识传递
确保客户端 Cookie 或 Token 在切换过程中不被清除。通常负载均衡器透传 Cookie 即可，无需特殊配置，除非开启了 Cookie 重写。

验证方法

1. 登录态检查
用户登录后，手动停止其中一台后端服务进程。刷新页面，确认用户仍处于登录状态，无跳转登录页。

2. 存储位置验证
登录 Redis 客户端，使用命令查看 Session 键是否存在，确认数据未保存在本地内存。

redis-cli -h 192.168.1.100 -p 6379
keys "SESSION:*"

3. 连通性测试
使用 curl 携带 Cookie 请求接口，模拟节点故障，观察响应头和状态码是否保持一致。

curl -b "JSESSIONID=xxx" http://your-domain.com/api/user

常见风险与排查

1. 共享存储单点故障
如果 Redis 本身没有做高可用，Redis 宕机会导致所有节点都无法读取会话，比单节点故障影响更大。务必使用 Sentinel 或 Cluster 模式。

2. Redis 脑裂风险
在网络分区情况下，Redis Cluster 可能出现脑裂。建议配置 cluster-require-full-coverage no，允许部分节点继续服务。

3. Cookie 域名不一致
负载均衡器如果有域名转发配置，需确保 Set-Cookie 的 Domain 属性正确，否则切换 IP 后浏览器可能丢弃 Cookie。

4. 会话过期时间不同步
确保所有应用实例的系统时间同步（使用 NTP），否则会话有效期判断可能出现偏差，导致意外失效。