lvs高级配置(持久连接、防火墙标记)

最新推荐文章于 2024-08-11 20:46:27 发布
原创 最新推荐文章于 2024-08-11 20:46:27 发布 · 212 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍LVS负载均衡器中持久连接的三种实现方式:每端口持久、每FWM持久和每客户端持久,并详细展示了如何利用防火墙标记(FWM)来定义集群服务。

lvs高级配置(持久连接、防火墙标记)

一、对于session的绑定

session绑定:lvs sh调度算法对某一特定服务;如果开始http访问需要认证转为https认证就有可能分配到另一台服务期。只能特定单独的服务,不支持高级调度算法。

lvs persistence:lvs的持久连接

 

二、功能:

无论ipvs使用何种调度方法,其都能实现将来自于同一个Client的请求始终定向至第一次调度时挑选出的RS;比sh高级的是可以使用高级调度方法。可以定义持久时长:时间超时用户未离开,自动延长时间。当用户退出后,等待一定的时间计时器超时后从持久连接模板中删除记录条目,之后的连接采用选择的调度方式调度,重启持久连接。

持久连接模板:独立于算法 sourceip rs timer

 

三、持久连接的实现方式:

1、每端口持久:PPC,单服务持久调度,可以定义持久时长。时间超时用户未离开,自动延长时间。

例如:

[root@director ~]# ipvsadm -A -t 192.168.3.1:443 -s rr -p

[root@director ~]# ipvsadm -a -t 192.168.3.1:443 -r 192.168.2.3:443 -g

[root@director ~]# ipvsadm -a -t 192.168.3.1:443 -r 192.168.2.4:443 -g

[root@director ~]# ipvsadm -A -t 192.168.3.1:80 -s rr

[root@director ~]# ipvsadm -a -t 192.168.3.1:80 -r 192.168.2.3:80 -g

[root@director ~]# ipvsadm -a -t 192.168.3.1:80 -r 192.168.2.4:80 –g

 

2、每FWM持久:PFWMC,单FWM持久调度,单防火墙标记持久连接,不区分服务。

PORT AFFINITY

例如:

[root@director ~]# ipvsadm -E -f 10 -s rr -p

[root@director ~]# ipvsadm -A -t 192.168.3.1:22 -s rr

[root@director ~]# ipvsadm -a -t 192.168.3.1:22 -r 192.168.2.3:22 -g

[root@director ~]# ipvsadm -a -t 192.168.3.1:22 -r 192.168.2.4:22 –g

 

3、每客户端持久:PCC,单客户端持久调度,把所有的服务定义为集群服务,director都调度到一台Real server

例如:

[root@director ~]# ipvsadm -C

[root@director ~]# ipvsadm -A -t 192.168.3.1:0 -s rr -p

[root@director ~]# ipvsadm -a -t 192.168.3.1:0 -r 192.168.2.3 -g

[root@director ~]# ipvsadm -a -t 192.168.3.1:0 -r 192.168.2.4 –g

 

director会将用户的任何请求都识别为集群服务,并向RS进行调度

TCP:1-65535

UDP: 1-65535

 

四、FWM,防火墙标记

在mangle表中的PREROUTING上定义:

-j MARK –set-mark 10

ipvs: -A -f 10

通过FWM定义集群的方式:

 

(1) 在director上netfilter的mangle表的PREROUTING定义用于”打标”的规则

~]# iptables -t mangle -A PREROUTING -d $vip -p $protocol –dports $port -j MARK –set-mark #

                $vip: VIP地址

                $protocol:协议

                $port: 协议端口

例如:

[root@director ~]# iptables -t mangle -A PREROUTING -d 192.168.3.1 -p tcp -m multiport –dports 80,443 -j MARK –set-mark 10

 

(2) 基于FWM定义集群服务:

~]# ipvsadm -A -f # -s scheduler

例如:

[root@director ~]# ipvsadm -A -f 10 -s rr

[root@director ~]# ipvsadm -a -f 10 -r 192.168.2.3 -g

[root@director ~]# ipvsadm -a -f 10 -r 192.168.2.4 –g

功用:将共享一组RS的集群服务统一进行定义;

 

 

验证拓扑:

一、初始配置

1、director:

[root@director ~]# yum -y install ipvsadm

[root@director ~]# ifconfig eth1 11.100.45.9/24

[root@director ~]# route add default gw 11.100.45.254

 

[root@director ~]# ifconfig eth2 192.168.2.2/24

[root@director ~]# ifconfig lo:0 192.168.3.1/32 broadcast 192.168.3.1

[root@director ~]# route add -host 192.168.3.1 dev lo:0

 

2、server1:

 

[root@server1 ~]# ifconfig eth2 192.168.2.3/24

[root@server1 ~]# ifconfig eth1 11.100.45.4/24

[root@server1 ~]# route add default gw 11.100.45.254

 

[root@server1 ~]# echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore

[root@server1 ~]# echo 1 > /proc/sys/net/ipv4/conf/eth1/arp_ignore

[root@server1 ~]# echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

[root@server1 ~]# echo 2 > /proc/sys/net/ipv4/conf/eth1/arp_announce

 

[root@server1 ~]# ifconfig lo:0 192.168.3.1/32 broadcast 192.168.3.1 up

[root@server1 ~]# route add -host 192.168.3.1 dev lo:0

 

[root@realserver1 ~]# yum -y install httpd

[root@server1 ~]# yum -y install mod_ssl

[root@realserver1 ~]# service httpd start

二、配置http、https

1、server2:

[root@realserver2 ~]# ifconfig eth2 192.168.2.4/24

[root@realserver2 ~]# ifconfig eth1 11.100.45.7/24

[root@realserver2 ~]# route add default gw 11.100.45.254

 

[root@realserver2 ~]# echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore

[root@realserver2 ~]# echo 1 > /proc/sys/net/ipv4/conf/eth1/arp_ignore

[root@realserver2 ~]# echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

[root@realserver2 ~]# echo 2 > /proc/sys/net/ipv4/conf/eth1/arp_announce

 

[root@realserver2 ~]# ifconfig lo:0 192.168.3.1/32 broadcast 192.168.3.1 up

[root@realserver2 ~]# route add -host 192.168.3.1 dev lo:0

 

[root@realserver2 ~]# yum -y install httpd

[root@server2 ~]# yum -y install mod_ssl

[root@realserver2 ~]# service httpd start

 

 

2、ca:

server1:

[root@server1 ~]# mkdir /etc/httpd/ssl -pv

[root@server1 CA]# touch index.txt

[root@server1 CA]# echo 01 > serial

[root@server1 CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)

[root@server1 CA]# openssl req -new -x509 -key private/cakey.pem -days 3650 -out cacert.pem

[root@server1 CA]# (umask 077;openssl genrsa -out www.cpe.com.key 2048)

[root@server1 CA]# openssl req -new -key www.cpe.com.key -days 365 -out www.cpe.com.csr

[root@server1 CA]# openssl ca -in www.cpe.com.csr -out www.cpe.com.crt

 

[root@server1 CA]# cp -a www.cpe.com.* /etc/httpd/ssl/

[root@server1 CA]# ssh root@192.168.2.4 mkdir -pv /etc/httpd/ssl

[root@server1 CA]#scp /etc/httpd/ssl/ root@192.168.2.4:/etc/httpd/ssl/

 

[root@server1 CA]# vim /etc/httpd/conf.d/ssl.conf

DocumentRoot “/var/www/html”

ServerName www.cpe.com:443

SSLCertificateFile /etc/httpd/ssl/www.cpe.com.crt

SSLCertificateKeyFile /etc/httpd/ssl/www.cpe.com.key

[root@server1 CA]# scp /etc/httpd/conf.d/ssl.conf root@192.168.2.4:/etc/httpd/conf.d/ssl.conf

 

三、lvs调度测试

lvs:

[root@director ~]# yum -y install ipvsadm

[root@director ~]# ipvsadm -A -t 192.168.3.1:80 -s rr

[root@director ~]# ipvsadm -a -t 192.168.3.1:80 -r 192.168.2.3:80 -g

[root@director ~]# ipvsadm -a -t 192.168.3.1:80 -r 192.168.2.4:80 -g

 

创建lvs调度:

1.非持久连接fw标记.

[root@director ~]# iptables -t mangle -A PREROUTING -d 192.168.3.1 -p tcp -m multiport –dports 80,443 -j MARK –set-mark 10

[root@director ~]# ipvsadm -C

[root@director ~]# ipvsadm -A -f 10 -s rr

[root@director ~]# ipvsadm -a -f 10 -r 192.168.2.3 -g

[root@director ~]# ipvsadm -a -f 10 -r 192.168.2.4 -g

2.改为fwmark持久连接,增加ssh调度,ssh轮训,而http,https是持久调度的

[root@director ~]# ipvsadm -E -f 10 -s rr -p

[root@director ~]# ipvsadm -A -t 192.168.3.1:22 -s rr

[root@director ~]# ipvsadm -a -t 192.168.3.1:22 -r 192.168.2.3:22 -g

[root@director ~]# ipvsadm -a -t 192.168.3.1:22 -r 192.168.2.4:22 -g

3.验证基于客户端调度(单个客户段所有的服务被调度到同一台real server上了)

[root@director ~]# ipvsadm -C

[root@director ~]# ipvsadm -A -t 192.168.3.1:0 -s rr -p

[root@director ~]# ipvsadm -a -t 192.168.3.1:0 -r 192.168.2.3 -g

[root@director ~]# ipvsadm -a -t 192.168.3.1:0 -r 192.168.2.4 -g

4.基于端口的持久连接(http进行论调,而https进行持久连接)

[root@director ~]# ipvsadm -A -t 192.168.3.1:443 -s rr -p

[root@director ~]# ipvsadm -a -t 192.168.3.1:443 -r 192.168.2.3:443 -g

[root@director ~]# ipvsadm -a -t 192.168.3.1:443 -r 192.168.2.4:443 -g

[root@director ~]# ipvsadm -A -t 192.168.3.1:80 -s rr

[root@director ~]# ipvsadm -a -t 192.168.3.1:80 -r 192.168.2.3:80 -g

[root@director ~]# ipvsadm -a -t 192.168.3.1:80 -r 192.168.2.4:80 -g

 

 

 

 

 

 

 

 

钟明家
关注
LVS负载均衡(NAT模式,DR模式,防火墙标记)详细步骤实现
weixin_68526810的博客
08-08 1059
LVS:Linux Virtual Server,负载调度器,内核集成,章文嵩,阿里的四层SLB(Server LoadBalance)是基于LVS+keepalived实现相关术语:VS: Virtual Server,负责调度RS:RealServer,负责真正提供服务CIP:Client IP 客户端的IPVIP: Virtual serve IP VS外网的IPDIP: Director IP VS内网的 IPRIP: Real server IP RS内网 IP。
lvs 防火墙标记持久连接 详解
weixin_44983653的博客
09-27 667
lvs 防火墙标记持久连接 详解VS 和 RS搭建 https 和 http 服务1、VS 建立 CA2、VS 签署证书3、VS 把证书发送给 RS14、VS 把证书发送给 RS24、RS1 和 RS2 的 HTTP 和 HTPPS 设置5、VS 进行 RS1 和 RS2 的 HTTP/HTTPS 的访问ipvsadm -f 示例1、FWM:FireWall Mark 简介2、VS 的 ipvs...
基于防火墙lvs配置
weixin_33897722的博客
12-28 207
基于防火墙lvs配置 要求:1.使用DR方式,基于RR轮询算法 2.实现同一用户的web访问和web加密访问在同一服务器上 3.基于防火墙打标签的方式配置lvs 说明:由于实验条件有限,现使用3台linux虚拟机完成实验配置,其中一台为directory,另两台为Real Server Ip地址分配如下: Direc...
LVS 持久连接 PPC模式、PCC模式、防火墙标记
weixin_34297300的博客
09-11 245
持久连接 PPC模式、PCC模式、防火墙标记LVS】我的是X86的系统ipvsadm 功能类似Iptables管理集群服务 增删改管理RS增删改查看 –L【磨刀不误砍柴工】看清楚,不要配置错了两台RS都安装 192.168.3.123 192.168.3.87网关都一样routeadddefaultgw192.168.3.77【做不同端口持久连接测试用】yu...
lvs持久连接防火墙标记实现多端口绑定服务
reblue520的专栏
03-14 391
lvs持久连接防火墙标记实现多端口绑定服务 LVS持久连接: PCC:将来自于同一个客户端发往VIP的所有请求统统定向至同一个RS; PPC:将来自于一个客户端发往某VIP的某端口的所有请求统统定向至同一个RS;  PFMC: 端口绑定,port affinity 基于防火墙标记,将两个或以上的端口绑定为同一个服务 一、安装ipvs环境 具体请参考...
LVS -- 持久连接
weixin_46686835的博客
01-09 330
LVS持久化 什么是持久化? 把某个客户端的请求始终定向到同一应用服务器上,以保持会话。而且还能实现同一客户端的不同请求都可以定向到同一应用服务器,比如集群中2台应用服务器,每个应用服务器都提供WEB服务和TELNET服务,那么只要客户端一样,即使它两次请求不同服务,也可以定向到同一应用服务器上。注意:持久连接LVS的算法没有关系。 实现原理 在内存的缓冲区里,构建一张hash表,记录了每一个客户端和其配置的真实服务器的映射关系(持久连接模板) 特点 1.比较特殊的SH算法 – 时效性(有时间限
LVS调度算法+防火墙解决轮询调度问题+会话解决
m0_63640988的博客
08-07 758
将新连接调度到权重值最高的真实服务器,直到其活动连接数量超过权重值,之后调度到下一个权重值最高的真实服务器,在此OVF算法中,遍历虚拟服务相关联的真实服务器链表,找到权重值最高的可用真实服务器。在此FO算法中,遍历虚拟服务所关联的真实服务器链表,找到还未过载(未设置IP_VS_DEST_FOVERLOAD标志)的且权重最高的真实服务器,进行调度。当服务器承接大量链接,我们可以对此服务器进行过载标记(IP_VS_DEST_F OVERLOAD),那么vs调度器就不会把链接调度到有过载标记的主z。
LVS(Linux virual server)详解
D2961953033的博客
08-08 2724
详解LVS;部署NAT模式集群;部署DR模式集群;轮询中可能会遇到的错误;防火墙标签解决轮询调度问题
LVS高级应用-利用防火墙标记分类报文
weixin_30273763的博客
02-12 159
实际生产中,我们可能会有多个不同的应用需要在同一个集群进行调度,此时需要借助于防火墙来分类报文,而后基于标记定义集群服务;可以将多个不同的应用使用同一个集群服务进行调度。例如http 和 https是两个集群服务,访问电商网站浏览商品的时候使用的是http链接,但是如果要购买的时候会跳转到https链接,但是https和http不是同一个集群服务,如果跳转到不是同一台主机。会话就没...
LVS持久连接(搭建+详解)
Hala
02-18 1146
文章目录LVS持久连接参考阅读负载均衡器测试PPC加强负载器上的配置真实服务器测试PCC加强负载器上的配置真实服务器测试 LVS持久连接 类似于SH算法,即将同一源的IP的Client,发送给同一Server 优先于通用算法 SH DH RR LBLC 如何持久连接? C每次访问负载器时,持久化时间加30,即为了保证持久持久化时间消耗殆尽后,以通用算法来计算 原理:内存分页分配一个缓存,记录C与RS的相关对应数据,保证每次连接可以优化 应用场景:LVS集群中 分类: PCC 持
linux lvs持久链接和防火墙标记实现http和https共享同一集群服务
小国 -- 致力于网站性能架构,PHP程序开发
05-09 1949
在对web服务做lvs负载均很集群的时候(这里主要考虑dr模式中的rr调度算法,weight都为1),有一种问题就是如何让session共享。 例如一个用户登录了一个网站,此时负载均衡到的一个服务器是a服务器,然后发表帖子以后,由于负载均衡的影响,会马上负载均衡到b 服务器,由于session是保存在服务器端的,这个时候用户的session在a服务器上,b服务器上没有这个session信息,就
防火墙LVS
weixin_30634661的博客
06-28 326
转载于:https://www.cnblogs.com/WIU1905/p/11100846.html
最详细的LVS部署DR模式及防火墙标签设置
Webston的博客
08-11 938
以http和https为例,当我们在RS中同时开放80和443端口,那么默认控制是分开轮询的,这样我们就出 现了一个轮询错乱的问题 当我第一次访问80被轮询到RS1后下次访问443仍然可能会被轮询到RS1上。注意,在进行网卡修改的时候,修改完配置文件要将进行重载再重启网卡才能让配置文件生效。在lvs中设置调度,因为我们要调度80和443两个端口所以我们需要设定两组策略。1:仅在请求的目标IP配置在本地主机的接收到请求报文的接口上时,才给予响应。0:默认值,把本机所有接口的所有信息向每个接口的网络进行通告。
LVS-DR配置
hdyebd的博客
05-06 1158
1. DR配置 环境准备: 三台机器: RS1节点:192.168.192.137 RS2节点:192.168.192.138 LVS:192.168.192.139 首先对三台机器进行时间同步配置 yum install ntpdate -y ntpdate cn.pool.ntp.org LVS配置 安装LVS [root@dir ~]# yum install ipvsad...
LVS工作模式详解及防火墙标签解决轮询错误
最新发布
P1282791580的博客
08-11 704
集群:同一个业务系统,部署在多台服务器上,集群中,每一台服务器实现的功能没有差别,数据和代码都是一样的分布式:一个业务被拆成多个子业务,或者本身就是不同的业务,部署在多台服务器上。分布式中,每一台服务器实现的功能是有差别的,数据和代码也是不一样的,分布式每台服务器功能加起来,才是完整的业务分布式是以缩短单个任务的执行时间来提升效率的,而集群则是通过提高单位时间内执行的任务数来提升效率对于大型网站,访问用户很多,实现一个群集,在前面部署一个负载均衡服务器,后面几台服务器完成同一业务。
LVS均衡负载(四) LVS持久连接
tjiyu的博客
09-11 5802
LVS均衡负载(四) LVS持久连接:1、什么是LVS持久连接;2、为什么会用到LVS持久连接;3、LVS持久连接类型--PPC、PCC、PNMPP;4、其他关注点:为什么不使用SH算法、2个LVS的持续时间;5、配置配置PPC、配置PCC、配置PNMPP;6、测试PNMPP
Linux LVS防火墙规则设置
KrbwCoder的博客
09-26 284
LVS集群中,防火墙规则的设置至关重要,以确保网络安全和正常的流量转发。本文将介绍如何使用防火墙规则来保护LVS集群,并提供相应的源代码示例。通过设置适当的防火墙规则,我们可以保护LVS集群并确保其正常运行。请记住,在修改防火墙规则之前,务必谨慎并测试规则的有效性。请注意,在上述规则中,和应替换为实际的LVS集群节点IP地址,应替换为实际的服务所需的端口。同样,应替换为受信任的IP地址或IP地址范围。
lvs+keepalived防火墙问题
kaka20099527的专栏
07-26 3035
lvs keepalived 防火墙需开通vrrp协议
HAProxy与LVS安装配置教程
"这篇文档详细介绍了HAProxy和LVS的安装及配置过程,适用于需要搭建高可用和负载均衡环境的IT专业人士。" HAProxy是一款开源的负载均衡器,专门处理HTTP和TCP流量,广泛用于web服务,能有效地提高系统的可扩展性和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值