@yangwenbo
2022-03-14T08:28:43.000000Z
字数 37109
阅读 571
lvs+keeplived
LVS是Linux Virtual Server 的简写(也叫做IPVS),意即Linux虚拟服务器,是一个虚拟的服务器集群系统,可以在UNIX/LINUX平台下实现负载均衡集群功能。
从上图我们看出,LVS负载均衡调度技术是在Linux内核中实现的,因此,被称之为Linux虚拟服务器(Linux Virtual Server)。我们使用该软件配置LVS时候,不能直接配置内核中的ipbs,而需要使用ipvs管理工具ipvsadm进行管理,或者通过Keepalived软件直接管理ipvs。
- LVS集群负载均衡器接受服务的所有入站客户端计算机请求,并根据调度算法决定哪个集群节点应该处理回复请求。负载均衡器(简称LB)有时也被称为LVS Director(简称Director)。
- LVS虚拟服务器的体系结构如下图所示,一组服务器通过高速的局域网或者地理分布的广域网相互连接,在他们的前端有一个负载调度器(Load Balancer)。 负载调度器能无缝地将网络请求调度到真实服务器上,从而使得服务器集群的结构对客户是透明的,客户访问集群系统提供的网络服务就像访问一台高性能,高可用的服务器一样。客户程序不受服务器集群的影响不需要作任何修改。系统的伸缩性通过在服务集群中透明地加入和删除一个节点来达到,通过检测节点或服务进程故障和正确地重置系统达到高可用性。由于我们的负载调度技术是在Linux内核中实现的,我们称之为Linux虚拟服务器(Linux Virtual Server)。
LVS基本工作过程如下图所示:
为了方便大家探讨LVS技术,LVS社区提供了一个命名的约定,内容如下表:
名称 | 缩写 | 说明 |
---|---|---|
虚拟IP | VIP | VIP为Director用于向客户端计算机提供服务的IP地址。比如:www.yunjisuan.com域名就要解析到vip上提供服务 |
真实IP地址 | RIP | 在集群下面节点上使用的IP地址,物理IP地址 |
Dirctor的IP地址 | DIP | Director用于连接内外网络的IP地址,物理网卡上的IP地址。是负载均衡器上的IP |
客户端主机IP地址 | CIP | 客户端用户计算机请求集群服务器的IP地址,该地址用作发送给集群的请求的源IP地址 |
LVS集群内部的节点称为真实服务器(Real Server),也叫做集群节点。请求集群服务的计算机称为客户端计算机。
与计算机通常在网上交换数据包的方式相同,客户端计算机,Director和真实服务器使用IP地址彼此进行通信。
不同架构角色命名情况如下图:
- IP虚拟服务器软件IPVS
- 在调度器的实现技术中,IP负载均衡技术是效率最高的。在已有的IP负载均衡技术中有通过网络地址转换(Network Address Translation)将一组服务器构成一个高性能的,高可用的虚拟服务器,我们称之为VS/NAT技术(Virtual Server via Network Address Translation),大多数商业化的IP负载均衡调度器产品都是使用NAT的方法,如Cisco的额LocalDirector,F5,Netscaler的Big/IP和Alteon的ACEDirector。
- 在分析VS/NAT 的缺点和网络服务的非对称性的基础上,我们提出通过IP隧道实现虚拟服务器的方法VS/TUN(Virtual Server via IP Tunneling)和通过直接路由实现虚拟服务器的方法VS/DR(Virtual Server via Direct Routing),他们可以极大地提高系统的伸缩性。所以,IPVS软件实现了这三种IP负载均衡技术。淘宝开源的模式FULLNAT.
- LVS的四种工作模式
- NAT(Network Address Translation)
- TUN(Tunneling)
- DR(Direct Routing)
- FULLNAT(Full Network Address Translation)
Virtual Server via Network Address Translation(VS/NAT)
调度时:目的IP改成RIP(DNAT)
返回时:源IP改成VIP(SNAT)
- NAT技术将请求的报文(DNAT)和响应的报文(SNAT),通过调度器地址重写然后在转发发给内部的服务器,报文返回时在改写成原来的用户请求的地址。
- 只需要在调度器LB上配置WAN公网IP即可,调度器也要有私有LAN IP和内部RS节点通信。
- 每台内部RS节点的网关地址,必须要配成调度器LB的私有LAN内物理网卡地址(LDIP),这样才能确保数据报文返回时仍然经过调度器LB。
- 由于请求与响应的数据报文都经过调度器LB,因此,网站访问量大时调度器LB有较大瓶颈,一般要求最多10-20台节点。
- NAT模式支持对IP及端口的转换,即用户请求10.0.0.1:80,可以通过调度器转换到RS节点的10.0.0.2:8080(DR和TUN模式不具备的)
- 所有NAT内部RS节点只需要配置私有LAN IP即可。
- 由于数据包来回都需要经过调度器,因此,要开启内核转发net.ipv4.ip_forward=1,当然也包括iptables防火墙的forward功能(DR和TUN模式不需要)
增加一个IP头部。通过IP隧道进行通信(可以跨网段找到RS节点)
- 负载均衡器通过把请求的报文通过IP隧道的方式转发至真实服务器,而真实服务器将响应处理后直接返回给客户端用户。
- 由于真实服务器将响应处理后的报文直接返回给客户端用户,因此,最好RS有一个外网IP地址,这样效率才会更高。理论上:只要能出网即可,无需外网IP地址。
- 由于调度器LB只处理入站请求的报文。因此,此集群系统的吞吐量可以提高10倍以上,但隧道模式也会带来一定得系统开销。TUN模式适合LAN/WAN。
- TUN模式的LAN环境转发不如DR模式效率高,而且还要考虑系统对IP隧道的支持问题。
- 所有的RS服务器都要绑定VIP,抑制ARP,配置复杂。
- LAN环境一般多采用DR模式,WAN环境可以用TUN模式,但是当前在WAN环境下,请求转发更多的被haproxy/nginx/DNS调度等代理取代。因此,TUN模式在国内公司实际应用的已经很少。跨机房应用要么拉光纤成局域网,要么DNS调度,底层数据还得同步。
- 直接对外的访问业务,例如:Web服务做RS节点,最好用公网IP地址。不直接对外的业务,例如:MySQL,存储系统RS节点,最好用内部IP地址。
Virtual Server via Direct Routing(VS/DR)
VS/DR模式是通过改写请求报文的目标MAC地址,将请求发给真实服务器的,而真实服务器将响应后的处理结果直接返回给客户端用户。同VS/TUN技术一样,VS/DR技术可极大地提高集群系统的伸缩性。而且,这种DR模式没有IP隧道的开销,对集群中的真实服务器也没有必须支持IP隧道协议的要求,但是要求调度器LB与正式服务器RS节点都有一块网卡连在同一物理网段上,即必须在同一个局域网环境。
只修改目标MAC地址,通过MAC找到RS节点(无法跨网段找到RS节点)
- 通过在调度器LB上修改数据包的目的MAC地址实现转发。(源IP地址仍然是CIP,目的IP地址仍然是VIP)
- 请求的报文经过调度器,而RS响应处理后的报文无需经过调度器LB,因此,并发访问量大时使用效率很高(和NAT模式相比)
- 因DR模式是通过MAC地址的改写机制实现的转发,因此,所有RS节点和调度器LB只能在一个局域网LAN中(缺点)
- RS节点的默认网关不需要是调度器LB的DIP,而直接是IDC机房分配的上级路由器的IP(这是RS带有外网IP地址的情况),理论讲:只要RS可以出网即可,不是必须要配置外网IP
- 由于DR模式的调度器仅进行了目的MAC地址的改写,因此,调度器LB无法改变请求的报文的目的端口(缺点)
- 当前,调度器LB支持几乎所有的UNIX,LINUX系统,但目前不支持WINDOWS系统。真实服务器RS节点可以是WINDOWS系统。
- 总的来说DR模式效率很高,但是配置也较麻烦,因此,访问量不是特别大的公司可以用haproxy/nginx取代之。这符合运维的原则:简单,易用,高效。日2000W PV或并发请求1万以下都可以考虑用haproxy/nginx(LVS NAT模式)
- 直接对外的访问业务,例如:Web服务做RS节点,RS最好用公网IP地址。如果不直接对外的业务,例如:MySQl,存储系统RS节点,最好只用内部IP地址。
淘宝的LVS应用模式
- 源IP改成不同的VIP和目的IP改成RIP
- RS处理完毕返回时,返回给不同的LVS调度器
- 所有LVS调度器之间通过session表进行Client Address的共享
- LVS的调度算法决定了如何在集群节点之间分布工作负荷。
- 当Director调度器收到来自客户端计算机访问它的VIP上的集群服务的入站请求时,Director调度器必须决定哪个集群节点应该处理请求。Director调度器可用于做出该决定的调度方法分成两个基本类别:
- 固定调度方法:rr,wrr,dh,sh
- 动态调度算法:wlc,lc,lblc,lblcr,SED,NQ
10种调度算法见如下表格(rr,wrr,wlc重点):
算法 | 说明 |
---|---|
rr | 轮循调度,它将请求依次分配不同的RS节点,也就是在RS节点中均摊请求。这种算法简单,但是只适合于RS节点处理性能相差不大的情况 |
wrr | 权重轮循,它将依据不同RS节点的权值分配任务。权值较高的RS将优先获得任务,并且分配到的连接数将比权值较低的RS节点更多。相同权值的RS得到相同数目的连接数 |
dh | 目的地址哈希调度,以目的地址为关键字查找一个静态hash表来获得需要的RS |
sh | 源地址哈希调度,以源地址为关键字查找一个静态hash表来获得需要的RS |
wlc | 加权最小连接数调度,实际连接数除以权值,最小的RS作为分配的RS |
lc | 最小连接数调度,连接数最小的RS作为分配的RS |
lblc | 基于地址的最小连接数调度,将来自同一目的地址的请求分配给同一台RS节点 |
lblcr | 基于地址带重复最小连接数调度 |
SED | 最短的期望的延迟(不成熟) |
NQ | 最小队列调度(不成熟) |
- 一般的网络服务,如Http,Mail,MySQL等,常用的LVS调度算法为:
- 基本轮叫调度rr算法
- 加权最小连接调度wlc
- 加权轮叫调度wrr算法
- 基于局部性的最少链接LBLC和带复制的基于局部性最少链接LBLCR主要适用于Web Cache和Db Cache集群,但是我们很少这样用。(都是一致性哈希算法)
- 源地址散列调度SH和目标地址散列调度DH可以结合使用在防火墙集群中,它们可以保证整个系统的唯一出入口。
- 最短预期延时调度SED和不排队调度NQ主要是对处理时间相对比较长的网络服务。
实际使用中,这些算法的适用范围不限于这些。我们最好参考内核中的连接调度算法的实现原理,根据具体业务需求合理的选型。
LVS集群的特点可以归结如下:
实现三种IP负载均衡技术和10种连接调度算法的IPVS软件。在IPVS内部实现上,采用了高效的Hash函数和垃圾回收机制,能正确处理所调度报文相关的ICMP消息(有些商品化的系统反而不能)。虚拟服务的设置数目没有限制,每个虚拟服务都有自己的服务器集。它支持持久的虚拟服务(如HTTP Cookie 和HTTPS等需要该功能的支持),并提供详尽的统计数据,如连接的处理速率和报文的流量等。针对大规模拒绝服务(Deny of service)攻击,实现了三种防卫策略:有基于内容请求分发的应用层交换软件KTCPVS,它也是在Linux内核中实现。有相关的集群管理软件对资源进行检测,能及时将故障屏蔽,实现系统的高可用性。主,从调度器能周期性地进行状态同步,从而实现更高的可用性。
(1)后端真实服务器可运行任何支持TCP/IP的操作系统,包括Linux,各种Unix(如FreeBSD,Sun Solaris,HP Unix等),Mac/OS和windows NT/2000等。
(2)负载均衡调度器LB能够支持绝大多数的TCP和UDP协议:
协议 | 内容 |
---|---|
TCP | HTTP,FTP,PROXY,SMTP,POP3,IMAP4,DNS,LDAP,HTTPS,SSMTP等 |
UDP | DNS,NTP,TCP,视频,音频流播放协议等 |
无需对客户机和服务作任何修改,可适用大多数Internet服务。
(3)调度器本身当前不支持windows系统。支持大多数的Linux和UINIX系统。
LVS服务器集群系统具有良好的伸缩性,可支持几百万个并发连接。配置100M网卡,采用VS/TUN或VS/DR调度技术,集群系统的吞吐量可高达1Gbits/s;如配置千兆网卡,则系统的最大吞吐量可接近10Gbits/s
LVS服务器集群软件已经在很多大型的,关键性的站点得到很好的应用,所以它的可靠性在真实应用得到很好的证实。
LVS集群软件是按GPL(GNU Public License)许可证发行的自由软件,这意味着你可以得到软件的源代码,有权对其进行修改,但必须保证你的修改也是以GPL方式发行。
标题 | 地址 |
---|---|
LVS项目介绍 | http://www.linuxvirtualserver.org/zh/lvs1.html |
LVS集群的体系结构 | http://www.linuxvirtualserver.org/zh/lvs2.html |
LVS集群中的IP负载均衡技术 | http://www.linuxvirtualserver.org/zh/lvs3.html |
LVS集群的负载调度 | http://www.linuxvirtualserver.org/zh/lvs4.html |
(1)数据库及memcache等对内业务的负载均衡环境
管理IP地址 | 角色 | 备注 |
---|---|---|
192.168.200.95 | LVS调度器(Director) | 对外提供服务的VIP为192.168.200.250 |
192.168.200.96 RS1 | (真实服务器) | |
192.168.200.97 RS2 | (真实服务器) |
特别提示:上面的环境为内部环境的负载均衡模式,即LVS服务是对内部业务的,如数据库及memcache等的负载均衡
(2)web服务或web cache等负载均衡环境
外部IP地址 | 内部IP地址 | 角色 | 备注 |
---|---|---|---|
192.168.43.95 | 192.168.200.95 | LVS调度器(Director) | 对外提供服务的VIP为192.168.200.250 |
192.168.43.96 | 192.168.200.96 | RS1(真实服务器) | |
192.168.43.97 | 192.168.200.97 | RS2(真实服务器) |
提示:
这个表格一般是提供Web或Web cache负载均衡的情况,此种情况特点为双网卡环境。这里把192.168.0.200/24假设为内网卡,192.168.200.200/24假设为外网卡。
内部IP(eth0) | 网卡模式 | 外部IP(eth1) | 网卡模式 | 角色 | 备注 |
---|---|---|---|---|---|
192.168.200.95 | NAT8 | LVS负载均衡器 | VIP:192.168.200.250 网关为:192.168.200.99 | ||
192.168.200.96 | NAT8 | Web01节点 | 网关为:192.168.200.99 | ||
192.168.200.97 | NAT8 | Web02节点 | 网关为:192.168.200.99 | ||
192.168.200.98 | NAT8 | 内网客户端 | 网关为:192.168.200.99 | ||
192.168.200.99 | NAT8 | 192.168.43.99 | 桥接 | 网关型防火墙 | 双网卡均无网关 |
192.168.43.100 | 桥接 | 外网客户端 | 不配网关 |
(1)安装依赖软件包
[root@ApacheWeb01 ~]# yum -y install gcc gcc-c++ make cmake unzip tree
[root@ApacheWeb01 ~]# rpm -qa gcc gcc-c++ make cmake unzip tree
gcc-c++-4.4.7-4.el6.x86_64
tree-1.5.3-2.el6.x86_64
make-3.81-20.el6.x86_64
gcc-4.4.7-4.el6.x86_64
cmake-2.6.4-5.el6.x86_64
unzip-6.0-1.el6.x86_64
(2)源码编译构建apache服务
#为了避免冲突,若系统中已经安装httpd服务,务必删除
[root@ApacheWeb01 ~]# rpm -q httpd
package httpd is not installed
#源码构建apache
[root@ApacheWeb01 ~]# tar xf httpd-2.2.17.tar.gz -C /usr/src/
[root@ApacheWeb01 ~]# cd /usr/src/httpd-2.2.17/
[root@ApacheWeb01 httpd-2.2.17]# ./configure --prefix=/usr/local/httpd --enable-so --enable-rewrite --enable-charset-lite --enable-cgi && make && make install
#以下省略。。。
[root@ApacheWeb01 httpd-2.2.17]# cd /usr/local/httpd/
[root@ApacheWeb01 httpd]# ls
bin build cgi-bin conf error htdocs icons include lib logs man manual modules
[root@ApacheWeb01 httpd]# ln -s /usr/local/httpd/bin/* /usr/local/bin/
[root@ApacheWeb01 httpd]# cp /usr/local/httpd/bin/apachectl /etc/init.d/httpd
[root@ApacheWeb01 httpd]# chmod +x /etc/init.d/httpd
[root@ApacheWeb01 httpd]# cd /usr/local/httpd/htdocs/
[root@ApacheWeb01 htdocs]# echo "`hostname -I` I am apache" > index.html
[root@vWeb01 htdocs]# cat index.html
192.168.200.96 I am apache
[root@ApacheWeb01 htdocs]# cd /usr/local/httpd/conf
[root@ApacheWeb01 conf]# awk '/#ServerName/{print NR,$0}' httpd.conf
97 #ServerName www.example.com:80
[root@ApacheWeb01 conf]# sed -i -e '97 s/#//;s/example/yunjisuan/' httpd.conf
[root@ApacheWeb01 conf]# sed -n '97p' httpd.conf
ServerName www.yunjisuan.com:80
[root@ApacheWeb01 conf]# /etc/init.d/httpd start
[root@ApacheWeb01 conf]# netstat -antup | grep httpd
tcp 0 0 :::80 :::* LISTEN 53295/httpd
[root@ApacheWeb01 conf]# echo "`hostname -I` www.yunjisuan.com" >> /etc/hosts
[root@ApacheWeb01 conf]# tail -1 /etc/hosts
192.168.200.96 www.yunjisuan.com
[root@ApacheWeb01 conf]# curl www.yunjisuan.com
192.168.200.96 I am apache
(3)开启apache状态页
要打开apache的ServerStatus页面,需要在httpd.conf文件最下边加入代码段
[root@ApacheWeb01 conf]# pwd
/usr/local/httpd/conf
[root@ApacheWeb01 conf]# tail -7 /usr/local/httpd/conf/httpd.conf
ExtendedStatus On
<location /server-status>
SetHandler server-status
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
</location>
#最后,重启动apache即可
[root@ApacheWeb01 conf]# /etc/init.d/httpd restart
(4)下载apache zabbix模版并解压
#从如下地址下载apache zabbix模版:
[root@ApacheWeb01 ~]# wget https://github.com/lorf/zapache/archive/master.zip
#解压zip格式压缩文件
[root@ApacheWeb01 ~]# unzip master
[root@ApacheWeb01 ~]# ls -d zapache-master/
zapache-master/
[root@ApacheWeb01 ~]# tree zapache-master/
zapache-master/
├── httpd-server-status.conf.sample
├── README.md
├── userparameter_zapache.conf.sample
├── zapache
├── zapache-template-active.xml
└── zapache-template.xml
0 directories, 6 files
以下的安装都是在LVS LB 192.168.200.95上
(1)下载相关软件包
wget http://www.linuxvirtualserver.org/software/kernel-2.6/ipvsadm-1.24.tar.gz # <===适合5.x系统
wget http://www.linuxvirtualserver.org/software/kernel-2.6/ipvsadm-1.26.tar.gz # <===适合6.x系统
(2)安装准备命令
[root@LVS ~]# lsmod | grep ip_vs #查看linux内核是否有ipvs服务
[root@LVS ~]# uname -r #查看内核版本
2.6.32-431.el6.x86_64
[root@LVS ~]# cat /etc/redhat-release #查看系统版本
CentOS release 6.5 (Final)
[root@LVS ~]# yum -y install kernel-devel #光盘安装
[root@LVS ~]# rpm -qa kernel-devel
kernel-devel-2.6.32-431.el6.x86_64
[root@LVS ~]# ls -ld /usr/src/kernels/2.6.32-431.el6.x86_64/
drwxr-xr-x. 22 root root 4096 Sep 24 18:49 /usr/src/kernels/2.6.32-431.el6.x86_64/
#安装完就会出现此目录
[root@LVS ~]# ln -s /usr/src/kernels/2.6.32-431.el6.x86_64/ /usr/src/linux #做一个软连接
[root@LVS ~]# ll -d /usr/src/linux/
drwxr-xr-x. 22 root root 4096 Sep 24 18:49 /usr/src/linux/
[root@LVS ~]# ll /usr/src/
total 8
drwxr-xr-x. 2 root root 4096 Sep 23 2011 debug
drwxr-xr-x. 3 root root 4096 Sep 24 18:48 kernels
lrwxrwxrwx. 1 root root 39 Sep 24 18:50 linux -> /usr/src/kernels/2.6.32-431.el6.x86_64/
特别注意:
此ln命令的链接路径要和uname -r输出结果内核版本对应,工作中如果做安装虚拟化可能有多个内核路径
如果没有/usr/src/kernels/2.6.32-431.el6.x86_64/路径,很可能是因为缺少kernel-devel软件包。可通过yum进行安装
centos5.x版本不能用ipvs1.26
(3)安装lvs命令:
[root@LVS rpm]# pwd
/root/rpm
[root@LVS rpm]# yum -y install createrepo
[root@LVS rpm]# which createrepo
/usr/bin/createrepo
[root@LVS rpm]# createrepo -v .
[root@LVS rpm]# cat /etc/yum.repos.d/CentOS-Media.repo
[c6-media]
name=CentOS-$releasever - Media
baseurl=file:///media/CentOS/
file:///media/cdrom/
file:///media/cdrecorder/
gpgcheck=1
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
[rpm]
name=rpm
baseurl=file:///root/rpm/
gpgcheck=0
enabled=1
[root@LVS rpm]# yum -y clean all
[root@LVS rpm]# yum makecache
[root@LVS rpm]# yum -y install libnl* popt* #需要通过公网源安装
#去掉[rpm]本地源yum安装依赖包
[root@LVS ~]# yum -y install gcc gcc-c++ make cmake
[root@LVS ~]# rpm -qa gcc gcc-c++ make cmake
gcc-c++-4.4.7-4.el6.x86_64
make-3.81-20.el6.x86_64
gcc-4.4.7-4.el6.x86_64
cmake-2.6.4-5.el6.x86_64
[root@LVS ~]# tar xf ipvsadm-1.26.tar.gz -C /usr/src/
[root@LVS ~]# cd /usr/src/ipvsadm-1.26/
[root@LVS ipvsadm-1.26]# make && make install #直接编译不需要./configure
[root@LVS ipvsadm-1.26]# which ipvsadm
/sbin/ipvsadm
[root@LVS ipvsadm-1.26]# /sbin/ipvsadm #以绝对路径执行一下,一致可以看见版本信息
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
-> RemoteAddress:Port Forward Weight ActiveConn InActConn
[root@LVS ipvsadm-1.26]# lsmod | grep ip_vs #执行完/sbin/ipvsadm就会有信息
ip_vs 125220 0
libcrc32c 1246 1 ip_vs
ipv6 317340 270 ip_vs,ip6t_REJECT,nf_conntrack_ipv6,nf_defrag_ipv6
#==>出现这个内容就表示LVS已经安装好,并加载到了内核
- LVS安装小结:
- CentOS5.X安装lvs,使用1.24版本。
- CentOS6.X安装lvs,使用1.26版本。
- 安装lvs后,要执行ipvsadm把ip_vs模块加载到内核。
(1)配置LVS虚拟IP(VIP)
[root@LVS ~]# ifconfig eth0:0 192.168.200.250 broadcast 192.168.200.250 netmask 255.255.255.0 up
[root@LVS ~]# ifconfig eth0:0
eth0:0 Link encap:Ethernet HWaddr 00:0C:29:36:4B:93
inet addr:192.168.200.250 Bcast:192.168.200.250 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
(2)手工执行配置添加LVS服务并增加两台RS
[root@LVS ~]# ipvsadm -C #清空ipvs历史设置
[root@LVS ~]# ipvsadm --set 30 5 60 #设置超时时间(tcp tcpfin udp)(实验建议不写)
[root@LVS ~]# ipvsadm -A -t 192.168.200.250:80 -s rr -p 20(实验不写-p 20)
#说明:
-A:添加一个虚拟路由主机(LB)
-t:指定虚拟路由主机的VIP地址和监听端口
-s:指定负载均衡算法
-p:指定会话保持时间
[root@LVS ~]# ipvsadm -a -t 192.168.200.250:80 -r 192.168.200.96:80 -g -w 1
[root@LVS ~]# ipvsadm -a -t 192.168.200.250:80 -r 192.168.200.97:80 -g -w 1
#说明:
-a:添加RS节点
-t:指定虚拟路由主机的VIP地址和监听端口
-r:指定RS节点的RIP地址和监听端口
-g:指定DR模式
-w:指定权值
(3)查看lvs配置结果
[root@LVS ~]# ipvsadm -L -n
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
-> RemoteAddress:Port Forward Weight ActiveConn InActConn
TCP 192.168.200.250:80 rr
-> 192.168.200.96:80 Route 1 0 0
-> 192.168.200.97:80 Route 1 0 0
(4)ipvs配置删除方法
[root@lvs01 ~]# ipvsadm -D -t 192.168.200.250:80 -s rr #删除虚拟路由主机
[root@lvs01 ~]# ipvsadm -d -t 192.168.200.250:80 -r 192.168.200.96:80
#删除RS节点
此时,可以打开浏览器访问http://192.168.200.250体验结果,如果没意外,是无法访问的。(RS将包丢弃了)
#在ApacheWeb01上操作
[root@ApacheWeb01 ~]# ifconfig lo:0 192.168.200.250/32 up #掩码必须设置32
[root@ApacheWeb01 ~]# ifconfig lo:0
lo:0 Link encap:Local Loopback
inet addr:192.168.200.250 Mask:0.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
#在ApacheWeb02上操作
[root@ApacheWeb02 ~]# ifconfig lo:0 192.168.200.250/32 up #掩码必须设置32
[root@ApacheWeb02 ~]# ifconfig lo:0
lo:0 Link encap:Local Loopback
inet addr:192.168.200.250 Mask:0.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
注意:
在测试时候你会发现刷新看的都是同一个RS节点
这是因为浏览器的缓存问题
等一段时间以后,刷新就会重新负载均衡到新RS节点了
- 因为在DR模式下,RS节点和LVS同处一个局域网网段内。
- 当网关通过ARP广播试图获取VIP的MAC地址的时候
- LVS和节点都会接收到ARP广播并且LVS和节点都绑定了192.168.200.250这个VIP,所以都会去响应网关的这个广播,导致冲突现象。
- 因此,我们需要对RS节点做抑制ARP广播的措施。
#NginxWeb02同理
[root@ApacheWeb01 ~]# echo "1" > /proc/sys/net/ipv4/conf/lo/arp_ignore
[root@ApacheWeb01 ~]# echo "2" > /proc/sys/net/ipv4/conf/lo/arp_announce
[root@ApacheWeb01 ~]# echo "1" > /proc/sys/net/ipv4/conf/all/arp_ignore
[root@ApacheWeb01 ~]# echo "2" > /proc/sys/net/ipv4/conf/all/arp_announce
防火墙的双网卡都不要设置网关,因为自己的就网关
[root@网关型iptables ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
#内网网卡
link/ether 00:0c:29:4a:41:4e brd ff:ff:ff:ff:ff:ff
inet 192.168.200.99/24 brd 192.168.200.255 scope global eth0
inet6 fe80::20c:29ff:fe4a:414e/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
#外网网卡
link/ether 00:0c:29:4a:41:58 brd ff:ff:ff:ff:ff:ff
inet 192.168.43.99/24 brd 192.168.43.255 scope global eth1
inet6 fe80::20c:29ff:fe4a:4158/64 scope link
valid_lft forever preferred_lft forever
[root@网关型iptables ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.43.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1003 0 0 eth1
#防火墙不需要配置网关,因此没有默认路由信息
[root@网关型iptables ~]# head /etc/sysctl.conf
# Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and
# sysctl.conf(5) for more details.
# Controls IP packet forwarding
net.ipv4.ip_forward = 1 #修改为1
# Controls source route verification
net.ipv4.conf.default.rp_filter = 1
[root@网关型iptables ~]# sysctl -p #让配置即刻生效
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
error: "net.bridge.bridge-nf-call-ip6tables" is an unknown key
error: "net.bridge.bridge-nf-call-iptables" is an unknown key
error: "net.bridge.bridge-nf-call-arptables" is an unknown key
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
特别提示:
ApacheWeb01,ApacheWeb02,LVS负载均衡器,以及内网客户端均将网关设置成网关型防火墙的eth0:192.168.200.99
内网客户端用于模拟lvs应用于内网的负载均衡情况
比如lvs数据库读负载均衡,比如lvs memcached缓存组负载均衡
由于这类型的负载均衡请求都是由内网服务器发起,因此用内网客户端来模拟
#内网客户端访问测试
[root@内网Client ~]# hostname -I
192.168.200.98 #内网客户端IP
[root@内网Client ~]# route -n #默认路由为网关防火墙
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 eth0
0.0.0.0 192.168.200.99 0.0.0.0 UG 0 0 0 eth0
[root@内网Client ~]# curl 192.168.200.250
192.168.200.96 I am apache
[root@内网Client ~]# curl 192.168.200.250
192.168.200.97 I am apache
[root@内网Client ~]# curl 192.168.200.250
192.168.200.96 I am apache
[root@内网Client ~]# curl 192.168.200.250
192.168.200.97 I am apache
#从上面可以看出,内网客户端模拟访问lvs负载均衡器,成功!
外网客户端模拟的是lvs转发外网用户访问需求给RS节点处理的情况
模拟外网客户端,要求客户端不能配置任何网关
由于外网客户端要访问内网的LVS需要经过网关防火墙的跳转,因此需要在防火墙服务器上做iptables的DNAT和SNAT,配置如下:
[root@网关型iptables ~]# hostname -I
192.168.200.99(内网网卡) 192.168.43.99 (外网网卡)
[root@网关型iptables ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.43.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1003 0 0 eth1
[root@网关型iptables ~]# iptables -t nat -A PREROUTING -i eth1 -d 192.168.43.99 -p tcp --dport 80 -j DNAT --to-destination 192.168.200.250
[root@网关型iptables ~]# iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth1 -j SNAT --to-source 192.168.43.99
[root@网关型iptables ~]# iptables -t nat -L -nv
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 192.168.43.99 tcp dpt:80 to:192.168.200.250
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- * eth1 192.168.200.0/24 0.0.0.0/0 to:192.168.43.99
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
进行外网客户端访问LVS负载均衡器测试
特别提示:
由于浏览器缓存及LVS默认会话保持等影响,个人简单的测试切换RS的几率要很多次并且间隔一定时间访问才行。尽可能关闭浏览器换不同的客户端IP来测试,效果更明显一些。用单机测试是有这种情况(负载均衡的算法倾向于一个客户端IP定向到一个后端服务器,以保持会话连贯性),如果用两三台机器去测试也许就不一样。
在测试访问的同时可以通过ipvsadm -Lnc来查看访问结果,如下所示:
[root@LVS ~]# ipvsadm -lnc
IPVS connection entries
pro expire state source virtual destination
TCP 01:45 FIN_WAIT 192.168.43.100:53085 192.168.200.250:80 192.168.200.96:80
TCP 01:47 FIN_WAIT 192.168.43.100:53087 192.168.200.250:80 192.168.200.96:80
TCP 01:48 FIN_WAIT 192.168.43.100:53088 192.168.200.250:80 192.168.200.97:80
TCP 01:46 FIN_WAIT 192.168.43.100:53086 192.168.200.250:80 192.168.200.97:80
- 定义对目标地址为本地IP的ARP询问不同的应答模式
- 0(默认值):回应任何网络接口上对任何本地IP地址的arp查询请求。
- 1:只回答目标IP地址是来访网络接口本地地址的ARP查询请求
- 2:只回答目标IP地址是来访网络接口本地地址的ARP查询请求,且来访IP必须在该网络接口的子网段内。
- 3:不回应该网络界面的arp请求,而只对设置的唯一和连接地址做出回应。
- 4-7:保留未使用
- 8:不回应所有(本地地址)的arp查询。
- 对网络接口上,本地IP地址的发出的,ARP回应,作出相应级别的限制:确定不同程度的限制,宣布对来自本地源IP地址发出Arp请求的接口。
- 0(默认值):在任意网络接口(eth0,eth1,lo)上的任何本地地址
- 1:尽量避免不在该网络接口子网段的本地地址做出arp回应,当发起ARP请求的源IP地址是被设置应该经由路由达到此网络接口的时候很有用。此时会检查来访IP是否为所有接口上的子网段内IP之一。如果该来访IP不属于各个网络接口上的子网段内,那么将采用级别2的方式来进行处理。
- 2:对查询目标使用最适当的本地地址,在此模式下将忽略这个IP数据包的源地址并尝试选择能与该地址通信的本地地址,首要是选择所有的网络接口的子网中外出访问子网中包含该目标IP地址的本地地址。如果没有合适的地址被发现,将选择当前的发送网络接口或其他的有可能接受到该ARP回应的网络接口来进行发送。限制了使用本地的vip地址作为优先的网络接口。
[root@LVS ~]# cat ipvs_server.sh
#!/bin/bash
# author:Mr.yang
#LVS scripts
. /etc/init.d/functions
VIP=192.168.200.250
SUBNET="eth0:`echo $VIP | awk -F "." '{print $4}'`"
PORT=80
RIP=(
192.168.200.96
192.168.200.97
)
function start(){
if [ `ifconfig | grep $VIP | wc -l` -ne 0 ];then
stop
fi
ifconfig $SUBNET $VIP broadcast $VIP netmask 255.255.255.0 up
ipvsadm -C
ipvsadm --set 30 5 60
ipvsadm -A -t $VIP:$PORT -s rr -p 20
for ((i=0;i<${#RIP[*]};i++))
do
ipvsadm -a -t $VIP:$PORT -r ${RIP[$i]} -g -w 1
done
}
function stop(){
ipvsadm -C
if [ `ifconfig | grep $VIP | wc -l` -ne 0 ];then
ifconfig $SUBNET down
fi
route del -host $VIP dev eth0 &>/dev/null
}
case "$1" in
start)
start
echo "ipvs is started"
;;
stop)
stop
echo "ipvs is stopped"
;;
restart)
stop
echo "ipvs is stopped"
start
echo "ipvs is started"
;;
*)
echo "USAGE:$0 {start | stop | restart}"
esac
[root@LVS ~]# cat rs_server.sh
#!/bin/bash
# author:Mr.yang
# RS_sever scripts
. /etc/rc.d/init.d/functions
VIP=192.168.200.250
case "$1" in
start)
echo "start LVS of REALServer IP"
interface="lo:`echo $VIP | awk -F "." '{print $4}'`"
/sbin/ifconfig $interface $VIP broadcast $VIP netmask 255.255.255.255 up
route add -host $VIP dev $interface
echo "1" > /proc/sys/net/ipv4/conf/lo/arp_ignore
echo "2" > /proc/sys/net/ipv4/conf/lo/arp_announce
echo "1" > /proc/sys/net/ipv4/conf/all/arp_ignore
echo "2" > /proc/sys/net/ipv4/conf/all/arp_announce
;;
stop)
interface="lo:`echo $VIP | awk -F "." '{print $4}'`"
/sbin/ifconfig $interface down
echo "STOP LVS of REALServer IP"
echo "0" > /proc/sys/net/ipv4/conf/lo/arp_ignore
echo "0" > /proc/sys/net/ipv4/conf/lo/arp_announce
echo "0" > /proc/sys/net/ipv4/conf/all/arp_ignore
echo "0" > /proc/sys/net/ipv4/conf/all/arp_announce
;;
*)
echo "Usage: $0 {start|stop}"
exit 1
esac
内部IP(eth0) | 网卡模式 | 外部IP(eth1) | 网卡模式 | 角色 | 备注 |
---|---|---|---|---|---|
192.168.200.94 | NAT8 | 192.168.100.50 | NAT(仅主机) | LVS负载均衡主服务器 | VIP:192.168.200.240 网关为:192.168.200.99 |
192.168.200.95 | NAT8 | 192.168.100.100 | NAT(仅主机) | LVS负载均衡副服务器 | VIP:192.168.200.250 网关为:192.168.200.99 |
192.168.200.96 | NAT8 | Web01节点 | 网关为:192.168.200.99 | ||
192.168.200.97 | NAT8 | Web02节点 | 网关为:192.168.200.99 | ||
192.168.200.100 | NAT8 | Nginx反向代理 | 网关为:192.168.200.99 | ||
192.168.200.98 | NAT8 | 内网客户端 | 网关为:192.168.200.99 | ||
192.168.200.99 | NAT8 | 192.168.43.99 | 桥接 | 网关型防火墙 | 双网卡均无网关 |
192.168.43.100 | 桥接 | 外网客户端 | 不配网关 |
过程略
[root@lb ~]# yum install -y pcre-devel openssl-devel gcc gcc-c++ make curl
[root@lb ~]# rpm -qa pcre-devel openssl-devel gcc gcc-c++ make curl
gcc-c++-4.4.7-4.el6.x86_64
pcre-devel-7.8-6.el6.x86_64
make-3.81-20.el6.x86_64
gcc-4.4.7-4.el6.x86_64
openssl-devel-1.0.1e-15.el6.x86_64
curl-7.19.7-37.el6_4.x86_64
[root@lb ~]# useradd -s /sbin/nologin -M www
[root@lb ~]# tar xf nginx-1.10.2.tar.gz -C /usr/src/
[root@lb ~]# cd /usr/src/nginx-1.10.2/
[root@lb nginx-1.10.2]# ./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module && make && make install
以下省略。。。
[root@lb nginx-1.10.2]# ln -s /usr/local/nginx/sbin/* /usr/local/sbin/
将在两台NginxWeb服务器的节点上操作:配置并查看Web服务器的配置结果
[root@NginxWeb01 conf]# pwd
/usr/local/nginx/conf
[root@NginxWeb01 conf]# cat nginx.conf
worker_processes 1;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
log_format main '$remote_addr-$remote_user[$time_local]"$request"'
'$status $body_bytes_sent "$http_referer"'
'"$http_user_agent""$http_x_forwarded_for"';
server {
listen 80;
server_name bbs.yunjisuan.com;
location / {
root html/bbs;
index index.html index.htm;
}
access_log logs/access_bbs.log main;
}
server {
listen 80;
server_name www.yunjisuan.com;
location / {
root html/www;
index index.html index.htm;
}
access_log logs/access_www.log main;
}
}
[root@NginxWeb01 conf]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@NginxWeb01 ~]# /usr/local/nginx/sbin/nginx
[root@NginxWeb01 ~]# netstat -antup | grep nginx
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 56374/nginx
[root@NginxWeb01 ~]# mkdir /usr/local/nginx/html/{www,bbs}
[root@NginxWeb01 ~]# echo "`hostname -I `www" >> /usr/local/nginx/html/www/index.html
[root@NginxWeb01 ~]# cat /usr/local/nginx/html/www/index.html
192.168.200.96 www
[root@NginxWeb01 ~]# echo "`hostname -I `bbs" >> /usr/local/nginx/html/bbs/index.html
[root@NginxWeb01 ~]# cat /usr/local/nginx/html/bbs/index.html
192.168.200.96 bbs
#NginxWeb01
[root@NginxWeb01 ~]# tail -2 /etc/hosts
192.168.200.96 www.yunjisuan.com
192.168.200.96 bbs.yunjisuan.com
[root@NginxWeb01 ~]# which curl
/usr/bin/curl
[root@NginxWeb01 ~]# curl www.yunjisuan.com
192.168.200.96 www
[root@NginxWeb01 ~]# curl bbs.yunjisuan.com
192.168.200.96 bbs
#NginxWeb02
[root@NginxWeb02 ~]# tail -2 /etc/hosts
192.168.200.97 www.yunjisuan.com
192.168.200.97 bbs.yunjisuan.com
[root@NginxWeb02 ~]# which curl
/usr/bin/curl
[root@NginxWeb02 ~]# curl www.yunjisuan.com
192.168.200.97 www
[root@NginxWeb02 ~]# curl bbs.yunjisuan.com
192.168.200.97 bbs
[root@lb conf]# pwd
/usr/local/nginx/conf
[root@lb conf]# cat nginx.conf
worker_processes 1;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
upstream www_server_pools {
server 192.168.200.96:80 weight=1;
server 192.168.200.97:80 weight=1;
}
server {
listen 80;
server_name www.yunjisuan.com;
location / {
proxy_pass http://www_server_pools;
proxy_set_header host $host;
}
}
}
[root@lb conf]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@lb conf]# /usr/local/nginx/sbin/nginx
[root@lb conf]# netstat -antup | grep nginx
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 3876/nginx
[root@lb ~]# hostname -I #这里是lb负载均衡器IP
192.168.200.100
[root@lb ~]# tail -1 /etc/hosts
192.168.200.100 www.yunjisuan.com
192.168.200.100 bbs.yunjisuan.com
---------------------------------------------------------------------
[root@lb ~]# which curl
/usr/bin/curl
[root@lb conf]# curl www.yunjisuan.com
192.168.200.96 www #可以看出两个Web节点按照1:1的比例被访问.
[root@lb conf]# curl www.yunjisuan.com
192.168.200.97 www #可以看出两个Web节点按照1:1的比例被访问.
[root@lb conf]# curl www.yunjisuan.com
192.168.200.96 www
[root@lb conf]# curl www.yunjisuan.com
192.168.200.97 www
[root@lb conf]# curl bbs.yunjisuan.com
192.168.200.96 bbs #可以看出两个Web节点按照1:1的比例被访问.
[root@lb conf]# curl bbs.yunjisuan.com
192.168.200.97 bbs #可以看出两个Web节点按照1:1的比例被访问.
[root@lb conf]# curl bbs.yunjisuan.com
192.168.200.96 bbs
[root@lb conf]# curl bbs.yunjisuan.com
192.168.200.97 bbs
[root@NginxWeb01 ~]# ifconfig lo:0 192.168.200.240/32 up
[root@NginxWeb01 ~]# ifconfig lo:1 192.168.200.250/32 up
[root@NginxWeb01 ~]# ifconfig lo:0 #主VIP
lo:0 Link encap:Local Loopback
inet addr:192.168.200.240 Mask:0.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
[root@NginxWeb01 ~]# ifconfig lo:1 #副VIP
lo:1 Link encap:Local Loopback
inet addr:192.168.200.250 Mask:0.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
[root@主LVS ~]# yum -y install keepalived #光盘本地yum源安装即可
[root@主LVS ~]# which keepalived
/usr/sbin/keepalived
[root@主LVS ~]# /etc/init.d/keepalived start
Starting keepalived: [ OK ]
[root@主LVS ~]# ps -ef | grep keep | grep -v grep
root 1441 1 0 22:47 ? 00:00:00 /usr/sbin/keepalived -D
root 1443 1441 0 22:47 ? 00:00:00 /usr/sbin/keepalived -D
root 1444 1441 0 22:47 ? 00:00:00 /usr/sbin/keepalived -D
#提示:启动后有3个Keepalived进程表示安装正确
[root@主LVS ~]# ip add | grep 192.168
inet 192.168.200.94/24 brd 192.168.200.255 scope global eth0
inet 192.168.200.240/24 brd 192.168.200.240 scope global secondary eth0:0
inet 192.168.100.50/24 brd 192.168.100.255 scope global eth1
#提示:默认情况会启动三个VIP地址
[root@主LVS ~]# /etc/init.d/keepalived stop
Stopping keepalived: [ OK ]
#提示:测试完毕后关闭服务,上述测试需要同时在lb01和lb02两台服务器上进行
[root@主LVS keepalived]# pwd
/etc/keepalived
[root@主LVS keepalived]# cat keepalived.conf
! Configuration File for keepalived
global_defs {
notification_email {
1773464408@qq.com
}
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server 127.0.0.1
}
smtp_connect_timeout 30
router_id yang1
}
vrrp_instance VI_1 {
state MASTER
interface eth1
virtual_router_id 55
priority 150
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.168.200.240/24 dev eth0 label eth0:1
}
}
vrrp_instance VI_2 {
state BACKUP
interface eth1
virtual_router_id 56
priority 100
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.168.200.250/24 dev eth0 label eth0:2
}
}
[root@副LVS keepalived]# pwd
/etc/keepalived
[root@副LVS keepalived]# cat keepalived.conf
! Configuration File for keepalived
global_defs {
notification_email {
1773464408@qq.com
}
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server 127.0.0.1
}
smtp_connect_timeout 30
router_id yang2
}
vrrp_instance VI_1 {
state BACKUP
interface eth1
virtual_router_id 55
priority 100
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.168.200.240/24 dev eth0 label eth0:1
}
}
vrrp_instance VI_2 {
state MASTER
interface eth1
virtual_router_id 56
priority 150
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.168.200.250/24 dev eth0 label eth0:2
}
}
[root@主LVS ~]# /etc/init.d/keepalived start
Starting keepalived: [ OK ]
[root@主LVS ~]# ip a | egrep "192.168.200.240|192.168.200.250"
inet 192.168.200.240/24 brd 192.168.200.240 scope global secondary eth0:0
inet 192.168.200.250/24 scope global secondary eth0:2
#由于副LVS还没开服务,所以主备VIP都显示在主LVS上
[root@副LVS ~]# /etc/init.d/keepalived start
Starting keepalived: [ OK ]
[root@副LVS ~]# ip a | egrep "192.168.200.240|192.168.200.250"
inet 192.168.200.250/24 brd 192.168.200.250 scope global secondary eth0:0
#在主LVS开启的情况下,副LVS开启服务后,只显示了vrrp_instance VI_2实例副LVS作为主模式的VIP 192.168.200.250
[root@主LVS ~]# ip a | egrep "192.168.200.240|192.168.200.250"
inet 192.168.200.240/24 brd 192.168.200.240 scope global secondary eth0:0
#现在主LVS上只有192.168.200.240了
如果出现脑裂现象,不妨执行以下内容:
[root@主LVS ~]# ifconfig eth0:0 192.168.200.240 broadcast 192.168.200.240 netmask 255.255.255.0 down #把之前设置的VIP关掉
[root@副LVS ~]# ifconfig eth0:0 192.168.200.250 broadcast 192.168.200.250 netmask 255.255.255.0 down #把之前设置的VIP关掉
以下操作过程,在LVS主和备上完全一样
[root@主LVS ~]# ipvsadm -C
[root@主LVS ~]# ipvsadm -A -t 192.168.200.240:80 -s rr
[root@主LVS ~]# ipvsadm -a -t 192.168.200.240:80 -r 192.168.200.96:80 -g -w 1
[root@主LVS ~]# ipvsadm -a -t 192.168.200.240:80 -r 192.168.200.97:80 -g -w 1
[root@主LVS ~]# ipvsadm -A -t 192.168.200.250:80 -s rr
[root@主LVS ~]# ipvsadm -a -t 192.168.200.250:80 -r 192.168.200.96:80 -g -w 1
[root@主LVS ~]# ipvsadm -a -t 192.168.200.250:80 -r 192.168.200.97:80 -g -w 1
[root@主LVS ~]# ipvsadm -Ln
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
-> RemoteAddress:Port Forward Weight ActiveConn InActConn
TCP 192.168.200.240:80 rr
-> 192.168.200.96:80 Route 1 0 0
-> 192.168.200.97:80 Route 1 0 0
TCP 192.168.200.250:80 rr
-> 192.168.200.96:80 Route 1 0 0
-> 192.168.200.97:80 Route 1 0 0
#在主LVS上
[root@主LVS ~]# /etc/init.d/keepalived start
Starting keepalived: [ OK ]
[root@主LVS ~]# ip a | egrep "192.168.200.240|192.168.200.250"
inet 192.168.200.240/24 scope global secondary eth0:1
#在副LVS上
[root@副LVS ~]# /etc/init.d/keepalived start
[root@副LVS ~]# ip a | egrep "192.168.200.240|192.168.200.250"
inet 192.168.200.250/24 scope global secondary eth0:2
[root@内网Client ~]# curl 192.168.200.240
192.168.200.96 bbs
[root@内网Client ~]# curl 192.168.200.240
192.168.200.97 bbs
[root@内网Client ~]# curl 192.168.200.240
192.168.200.96 bbs
[root@内网Client ~]# curl 192.168.200.240
192.168.200.97 bbs
[root@内网Client ~]# curl 192.168.200.250
192.168.200.96 bbs
[root@内网Client ~]# curl 192.168.200.250
192.168.200.97 bbs
[root@内网Client ~]# curl 192.168.200.250
192.168.200.96 bbs
[root@内网Client ~]# curl 192.168.200.250
192.168.200.97 bbs
#在LVS主上进行访问连接查询
[root@主LVS ~]# ipvsadm -Lnc
IPVS connection entries
pro expire state source virtual destination
TCP 00:31 FIN_WAIT 192.168.200.98:46263 192.168.200.240:80 192.168.200.97:80
TCP 00:29 FIN_WAIT 192.168.200.98:46260 192.168.200.240:80 192.168.200.96:80
TCP 00:30 FIN_WAIT 192.168.200.98:46261 192.168.200.240:80 192.168.200.97:80
TCP 00:30 FIN_WAIT 192.168.200.98:46262 192.168.200.240:80 192.168.200.96:80
#在LVS副上进行访问连接查询
[root@副LVS ~]# ipvsadm -Lnc
IPVS connection entries
pro expire state source virtual destination
TCP 01:48 FIN_WAIT 192.168.200.98:39253 192.168.200.250:80 192.168.200.97:80
TCP 01:48 FIN_WAIT 192.168.200.98:39252 192.168.200.250:80 192.168.200.96:80
TCP 01:47 FIN_WAIT 192.168.200.98:39251 192.168.200.250:80 192.168.200.97:80
TCP 01:46 FIN_WAIT 192.168.200.98:39250 192.168.200.250:80 192.168.200.96:80
#在LVS主上停掉keepalived服务
[root@主LVS ~]# /etc/init.d/keepalived stop
Stopping keepalived: [ OK ]
[root@主LVS ~]# ip a | egrep "192.168.200.240|192.168.200.250"
[root@主LVS ~]#
#在LVS副上查看VIP
[root@副LVS ~]# ip a | egrep "192.168.200.240|192.168.200.250"
inet 192.168.200.250/24 scope global secondary eth0:2
inet 192.168.200.240/24 scope global secondary eth0:1
#再次在内网客户端上进行访问测试
[root@内网Client ~]# curl 192.168.200.240
192.168.200.96 bbs
[root@内网Client ~]# curl 192.168.200.240
192.168.200.97 bbs
[root@内网Client ~]# curl 192.168.200.240
192.168.200.96 bbs
[root@内网Client ~]# curl 192.168.200.240
192.168.200.97 bbs
[root@内网Client ~]# curl 192.168.200.250
192.168.200.96 bbs
[root@内网Client ~]# curl 192.168.200.250
192.168.200.97 bbs
[root@内网Client ~]# curl 192.168.200.250
192.168.200.96 bbs
[root@内网Client ~]# curl 192.168.200.250
192.168.200.97 bbs
#在LVS副上进行访问连接查询
[root@副LVS ~]# ipvsadm -Lnc
IPVS connection entries
pro expire state source virtual destination
TCP 01:32 FIN_WAIT 192.168.200.98:39262 192.168.200.250:80 192.168.200.97:80
TCP 01:33 FIN_WAIT 192.168.200.98:39263 192.168.200.250:80 192.168.200.96:80
TCP 01:24 FIN_WAIT 192.168.200.98:46278 192.168.200.240:80 192.168.200.96:80
TCP 01:25 FIN_WAIT 192.168.200.98:46279 192.168.200.240:80 192.168.200.97:80
TCP 01:24 FIN_WAIT 192.168.200.98:46277 192.168.200.240:80 192.168.200.97:80
TCP 01:34 FIN_WAIT 192.168.200.98:39264 192.168.200.250:80 192.168.200.97:80
TCP 01:22 FIN_WAIT 192.168.200.98:46276 192.168.200.240:80 192.168.200.96:80
TCP 01:31 FIN_WAIT 192.168.200.98:39261 192.168.200.250:80 192.168.200.96:80
#开启LVS主上的keepalived服务
[root@主LVS ~]# /etc/init.d/keepalived start
Starting keepalived: [ OK ]
[root@主LVS ~]# ip a | egrep "192.168.200.240|192.168.200.250"
inet 192.168.200.240/24 scope global secondary eth0:1
#查看LVS副上VIP资源是否释放
[root@副LVS ~]# ip a | egrep "192.168.200.240|192.168.200.250"
inet 192.168.200.250/24 scope global secondary eth0:2
综上,至此基于LVS的keepalived高可用功能实验完毕
[root@主LVS keepalived]# pwd
/etc/keepalived
[root@主LVS keepalived]# cat keepalived.conf
! Configuration File for keepalived
global_defs {
notification_email {
1773464408@qq.com
}
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server 127.0.0.1
}
smtp_connect_timeout 30
router_id yang1
}
vrrp_instance VI_1 {
state MASTER
interface eth1
virtual_router_id 55
priority 150
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.168.200.240/24 dev eth0 label eth0:1
}
}
vrrp_instance VI_2 {
state BACKUP
interface eth1
virtual_router_id 56
priority 100
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.168.200.250/24 dev eth0 label eth0:2
}
}
virtual_server 192.168.200.240 80 { #虚拟主机VIP
delay_loop 6
lb_algo rr #算法
lb_kind DR #模式
nat_mask 255.255.255.0 #掩码
# persistence_timeout 50 #会话保持
protocol TCP #协议
real_server 192.168.200.96 80 { #RS节点
weight 1 #权重
TCP_CHECK { #节点健康检查
connect_timeout 8 #延迟超时时间
nb_get_retry 3 #重试次数
delay_before_retry 3 #延迟重试次数
connect_port 80 #利用80端口检查
}
}
real_server 192.168.200.97 80 { #RS节点
weight 1
TCP_CHECK {
connect_timeout 8
nb_get_retry 3
delay_before_retry 3
connect_port 80
}
}
}
virtual_server 192.168.200.250 80 {
delay_loop 6
lb_algo rr
lb_kind DR
nat_mask 255.255.255.0
# persistence_timeout 50
protocol TCP
real_server 192.168.200.96 80 {
weight 1
TCP_CHECK {
connect_timeout 8
nb_get_retry 3
delay_before_retry 3
connect_port 80
}
}
real_server 192.168.200.97 80 {
weight 1
TCP_CHECK {
connect_timeout 8
nb_get_retry 3
delay_before_retry 3
connect_port 80
}
}
}
以上keepalived配置文件在LVS主和备上都进行修改。
然后在lvs服务器上通过ipvsadm -C清除之前设置的规则
重新启动keepalived服务进行测试,操作过程如下:
[root@主LVS ~]# ipvsadm -C #清除之前设置的规则
[root@主LVS ~]# ipvsadm -Ln #没有ipvs规则
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
-> RemoteAddress:Port Forward Weight ActiveConn InActConn
[root@主LVS ~]# /etc/init.d/keepalived stop #关闭主LVS的keepalived服务
Stopping keepalived: [ OK ]
[root@主LVS ~]# ip a | egrep "192.168.200.240|192.168.200.250" #没有VIP
[root@主LVS ~]# ipvsadm -Ln #没有ipvs规则
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
-> RemoteAddress:Port Forward Weight ActiveConn InActConn
[root@主LVS ~]# /etc/init.d/keepalived start #启动keepalived服务
Starting keepalived: [ OK ]
[root@主LVS keepalived]# ipvsadm -Ln #出现ipvs规则
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
-> RemoteAddress:Port Forward Weight ActiveConn InActConn
TCP 192.168.200.240:80 rr
-> 192.168.200.96:80 Route 1 0 0
-> 192.168.200.97:80 Route 1 0 0
TCP 192.168.200.250:80 rr
-> 192.168.200.96:80 Route 1 0 0
-> 192.168.200.97:80 Route 1 0 0
[root@主LVS ~]# ip a | egrep "192.168.200.240|192.168.200.250"
#出现VIP
inet 192.168.200.240/24 scope global secondary eth0:1
生产环境中ipvsadm -L -n 发现两台RS的负载不均衡,一台有很多请求,一台没有。并且没有请求的那台RS经测试服务正常,lo:VIP也有。但是就是没有请求。
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
-> RemoteAddress:Port Forward Weight ActiveConn InActConn
TCP 192.168.200.240:80 rr
-> 192.168.200.96:80 Route 1 0 0
-> 192.168.200.97:80 Route 1 0 0
问题原因:
persistent 10的原因,persistent会话保持,当clientA访问网站的时候,LVS把请求分发给了52,那么以后clientA再点击的其他操作其他请求,也会发送给52这台机器。
解决办法:
到keepalived中注释掉persistent 10 然后/etc/init.d/keepalived reload,然后可以看到以后负载均衡两边都均衡了。