LVS-DNAT

工作原理:

在数据包进入本机内部之前,就改变它的目的地址(需要在内核实现)

简单实现LVS-DNAT及LVS-DR_blank

LVS的工作机制类似iptables,一部分工作在用户空间(ipvsadm),一部分工作在内核空间

安装ipvsadm软件就足以实现LVS的功能

使用ipvsadm,早期需要重新编译内核,不过现在版本的redhat默认直接做进内核

# 查看内核是否含有ipvs

grep –I –c 5 ipvs /boot/config-‘uname -r’

ipvsadm命令的使用:

ipvsadm功能

1:定义集群服务

2:定义真正的REALSERVER

3:查看定义的信息

1.定义集群服务

ipvsadm

-t 基于tcp的集群服务

-u 基于udp

-f 基于firewall的集群服务,防火墙的类型

-A 添加一个新集群

-E 修改一个集群

-s 指定算法 默认 wlc

-D 删除一个集群

-g|i|m gateway|internet|net DR|TUN|DNAT模型

-w 权重

-C 清空规则

-S 保存规则到某个文件

-R 从某个文件恢复规则

-L|l 查看

-n --numeric 数字方式显示地址

--stats 显示统计的数据信息(statistics的简写)

--rate 显示速率信息

-Z 清空计数器

添加/删除director

ipvsadm -A| -E -t |-u VIP:port -s

ipvsadm -D -t|-u VIP:port

添加/删除realserver

ipvsadm -a |-e -t|-u VIP:port -r REALSERVER [-g|-i|-m] [-w weight]

ipvsadm -d -t|-u VIP:port -r READSERVER

 

配置安装LVS过程

1.安装OS

2.后方安装apache

3.设置默认路由

4.安装lvs

5.配置LVS,定义好规则

6.做测试

简单实现LVS-DNAT及LVS-DR_工作原理_02

1.两个apache作为realserver 只提供静态页面

2.Directory打开转发功能

3.两个realserver处于同一个网段

准备:

1) 3台干净的虚拟机:RS1 RS2 Director (需要加一块网卡)

2) 配置各自的好yum源

 

一:配置好地址,安装软件

realserver端:

ifconfig eth0 10.0.0.11/8

route add default gw 10.0.0.1/8

yum install httpd php php-mysql mysql mysql-server php-mbstring -y

# 测试网页是否显示

vim /var/www/html/index.html

realserver1

service httpd start

elinks http://10.0.0.11

directory端:

ifconifg eth0 10.0.0.1/8

yum install ipvsadm

# 打开ipforward

echo 1 > /proc/sys/net/ipv4/ip_forward

#添加director

ipvsadm -A -t 172.16.14.1:80 -s rr

# 查看集群服务

ipvsadm -L -n

#添加realserver

ipvsadm -a -t 172.16.14.1:80 -r 10.0.0.11 -m

ipvsadm -a -t 172.16.14.1:80 -r 10.0.0.12 -m

ipvsadm -L -n

集群已经构建好了。。。。用浏览器测试下

简单实现LVS-DNAT及LVS-DR_target_03

# 压力测试,十个并发连接,发起10000次

ab -c 10 -n 10000 http://172.16.14.1/index.html

# 查看结果

简单实现LVS-DNAT及LVS-DR_target_04

# 使用加权最少连接

ipvsadm -E -t 172.16.14.1:80 -s wlc

# 修改权重

ipvsadm -e -t 172.16.14.1:80 -r 10.0.0.11 -m -w 3

# 压力测试,十个并发连接,发起10000次

ab -c 10 -n 10000 http://172.16.14.1/index.html

# 换别的算法来测试,看看效果 单引号

watch -n 1 ‘ipvsadm -L -n’

# 保存ipvsadm 结果,否则开机就没有了

# 对于redhat

service ipvsadm save

chkconfig ipvsadm on

# 或者

ipvsadm -S > /etc/sysconfig/ipvsadm

 

LWC算法结果:

简单实现LVS-DNAT及LVS-DR_数据包_05

 

RR算法结果:

简单实现LVS-DNAT及LVS-DR_style_06

 

LC算法结果:

简单实现LVS-DNAT及LVS-DR_工作原理_07

 

SED算法结果:

正常:

简单实现LVS-DNAT及LVS-DR_工作原理_08

受干扰

简单实现LVS-DNAT及LVS-DR_style_09

==========================================================================

LVS-DR

工作原理

通过设置内核参数,禁止RS直接响应用户请求,既将RS都隔离起来,只允许它们响应DR转发过来的请求。

使用LVS-DR 前提

内核有 arp_announce 和 arp_ignore

arp_annouce 定义通过哪个地址向别人通告本地MAC-ip对应信息所定义的限制级别

0 表示响应任意本地地址,任何接口(IP地址属于内核而不是网卡)

1 尽可能的避免用和来源主机的IP地址非同一个网络的地址响应它

2 总是用本地的最佳地址给予响应(同一个网段)

arp_ignore 定义响应方式和类型

0 无论地址放在任何地方都响应

1 只有在所请求的地址和请求所进来的接口一致(既进来的接口和请求的地址是同一个网段)的时候才响应

想想一下 arp_ignore=1 arg_annouce=2

服务器拒绝响应2.2

解决数据进入:

为了避免RS直接响应,给服务器的lo:0设置VIP地址,给本地网卡设置成CIP,这样RS就不会直接响应了,隐藏了RS

解决数据出去:

而默认情况下,Linux设置数据包从哪块网卡出去,源地址设为该网卡地址,通过添加一条特殊路由信息,如果目标地址是lo的VIP地址,那么出去的时候源地址设置为lo的地址。

路由信息的原理:

添加一条主机路由,将VIP的地址自己设置成一个网段,既子网掩码为255.255.255.255,这样VIP出去的时候没有比VIP更优的了,就成为最佳IP

相关网络规划如下:

简单实现LVS-DNAT及LVS-DR_style_10

需要配置:

1.Lo设为VIP

2.修改内核参数

3.添加特殊路由

配置LVS-DR须注意:

1.设置网卡模式为桥接

2.RIP地址不一定必须是公网地址

一、设置网卡

Director端

1.DIP配置在接口上,VIP要配置在接口别名上

# director ,一步到位,否则需要重启网络服务

ifconfig eth0:0 172.16.14.1 broadcast 172.16.14.1 netmask 255.255.255.255 up # VIP

ifconfig eth0 172.16.14.10 # DIP

VIP应该设置在别名地址上,DIP设置在静态地址上,所有VIP设置在eth0:0

简单实现LVS-DNAT及LVS-DR_blank_11

 

2.RS端:DIP 要配置在接口上,VIP要配置在lo的别名上

ifconfig eth0 172.16.14.11 # RIP

# 配置内核参数,禁止响应对VIP的ARP广播请求

echo 1 > /proc/sys/net/ipv4/conf/lo/arp_ignore

echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore

echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

echo 2 > /proc/sys/net/ipv4/conf/lo/arp_announce

# 此时设置VIP,就不会和director冲突

# 255.255.255.255 自闭

# VIP 只向自己广播

ifconfig lo:0 172.16.14.1 broadcast 172.16.14.1 netmask 255.255.255.255 up

# 增加路由信息,所有出去的信息都以dev的信息为准

route add -host 172.16.14.1 dev lo:0

route -n

所有的RS都要设置

二.配置ipvsadm

ipvsadm -C # 去掉上次的

ipvsadm -A -t 172.16.14.1:80 -s wlc

ipvsadm -a -t 172.16.14.1:80 -r 172.16.14.11 -g w 2

ipvsadm -a -t 172.16.14.1:80 -r 172.16.14.12 -g w 4

ipvsadm -L -n

简单实现LVS-DNAT及LVS-DR_数据包_12

ipvsadm -L -n --rate 统计数据包

简单实现LVS-DNAT及LVS-DR_style_13