LVS中NAT模式和DR模式实战讲解

1DR模式

DR：Direct Routing，直接路由，LVS默认模式,应用最广泛,通过为请求报文重新封装一个MAC首部进行转发，源MAC是DIP所在的接口的MAC，目标MAC是某挑选出的RS的RIP所在接口的MAC地址；源 IP/PORT，以及目标IP/PORT均保持不变

mac地址的转换

搭建一个DR模式的集群

架构图：

网络解释：

net模式网段：172.25.250.0/24

仅主机网段：172.25.254.0/24

路由器有两个网卡：一个net一个仅主机

LVS，web1，web2：用一个仅主机网卡再用一个环回网卡

注意：这里VIP的地址用环回网卡（画图的时候lo标记错了）

注意：需要打开路由器的内核路由功能使得路由器本身的两个网卡可以相互通信。并且设置Web服务器的ARP广播的响应，使得客户端发送172.25.254.200请求时只有LVS响应，web不响应。

一：ip设置

注意：客户端的网关写路由器的172.25.250.0网段，lvs，web1，web2写路由器的172.25.254.0网段

客户端：

路由器：

LVS：

Web1：

Web2：

二：路由器打开内核路由功能

vim /etc/sysctl.conf

sysctl -p 重新加载配置文件

三：部署LVS

软件下载：yum install ipvsadm -y

管理集群：

root@lvs \~\]# ipvsadm -A -t 172.25.254.200:80 -s rr 管理集群中RealServer： \[root@lvs \~\]# ipvsadm -a -t 172.25.254.200:80 -r 172.25.254.10:80 -g \[root@lvs \~\]# ipvsadm -a -t 172.25.254.200:80 -r 172.25.254.20:80 -g ![](https://i-blog.csdnimg.cn/direct/b9c5dc78254448eb92270802017fd6f7.png) ##### 四：配置服务器上的web服务 web1： yum install httpd -y echo web1 \> /var/www/html/index.html 关arp echo 1 \> /proc/sys/net/ipv4/conf/all/arp_ignore echo 2 \> /proc/sys/net/ipv4/conf/all/arp_announce echo 1 \> /proc/sys/net/ipv4/conf/lo/arp_ignore echo 2 \> /proc/sys/net/ipv4/conf/lo/arp_announce web2： yum install httpd -y echo web2 \> /var/www/html/index.html 关ARP echo 1 \> /proc/sys/net/ipv4/conf/all/arp_ignore echo 2 \> /proc/sys/net/ipv4/conf/all/arp_announce echo 1 \> /proc/sys/net/ipv4/conf/lo/arp_ignore echo 2 \> /proc/sys/net/ipv4/conf/lo/arp_announce ##### 五：测试 ![](https://i-blog.csdnimg.cn/direct/e4ca62ab931340968cb2a99ada6ba9ac.png) #### DR模式总结： ![](https://i-blog.csdnimg.cn/direct/556728ff38664bafbe533eec56c79f91.png) ### 2.nat模式 ![](https://i-blog.csdnimg.cn/direct/d838d36a438145bc94a4e097d0d020ea.png) 1.客户端发送访问请求，请求数据包中含有请求来源（cip），访问目标地址（VIP）访问目标端口 （9000port） 2.VS服务器接收到访问请求做DNAT把请求数据包中的目的地由VIP换成RS的RIP和相应端口 3.RS1相应请求，发送响应数据包，包中的相应保温为数据来源（RIP1）响应目标（CIP）相应端口 （9000port） 4.VS服务器接收到响应数据包，改变包中的数据来源（RIP1--\>VIP）,响应目标端口（9000--\>80） 5.VS服务器把修改过报文的响应数据包回传给客户端 6.lvs的NAT模式接收和返回客户端数据包时都要经过lvs的调度机，所以lvs的调度机容易阻塞 ##### 搭建一个负载均衡的集群 首先准备4个主机：客户，LVS，nod1.node2 ![](https://i-blog.csdnimg.cn/direct/d7ca27e57f59476c90aae691589ddbe4.png) 1.Director 服务器采用双网卡，一个是桥接网卡连接外网，一个是仅主机网卡与后端Web服务器相连 2.Web服务器采用仅主机网卡与director相连 3.Web服务器网关指向DIP 4.后端web服务器不需要连接外网 **网络配置：ip仅供参考** clict用的nat模式：ip为172.25.250.200.0/24网段 LVS两张网卡：nat的网卡网段172.25.250.200.0/24网段，仅主机网卡网段172.25.254.0/24网段 web1和web2：都为172.25.254.0/24网段 添加LVS网卡，一个选择net模式一个选择仅主机模式 node1，node2选择仅主机 客户选择net模式 **LVS上下载软件：** yum install ipvsadm **修改内核参数：** ![](https://i-blog.csdnimg.cn/direct/e4a0960d37bf4825b02164cff0fc14cc.png) net.ipv4.ip_forward = 1 sysctl -p重新加载 目的：使得LVS主机上两个网卡可以互通 **设置转换规则：** \[root@LVS \~\]# ipvsadm -A -t 172.25.250.200:80 -s rr \[root@LVS \~\]# ipvsadm -a -t 172.25.250.200:80 -r 172.25.254.10:80 -m \[root@LVS \~\]# ipvsadm -a -t 172.25.250.200:80 -r 172.25.254.20:80 -m \[root@LVS \~\]# ipvsadm -Ln #查看配置规则 **配置服务端两个主机的web服务：** \[root@node1 \~\]# yum install httpd \[root@node1 \~\]# echo web1 \> /var/www/html/index.html \[root@node1 \~\]# systemctl enable --now httpd \[root@node2 \~\]# yum install httpd \[root@node2 \~\]# echo web2 \> /var/www/html/index.html \[root@node2 \~\]# systemctl enable --now httpd 效果： ![](https://i-blog.csdnimg.cn/direct/462d82d52874404faefdb9a429a1a603.png) ##### **NAT模式总结** ![](https://i-blog.csdnimg.cn/direct/e74fbbb52d8a4188a296f746055a7ca4.png) **缺点：lvs调度器的NAT模式接收和返回客户端数据包时都要经过lvs的调度机，所以lvs的调度机容易阻塞** ### 3.LVS算法 #### 3.1.lvs调度算法类型 ipvs scheduler：根据其调度时是否考虑各RS当前的负载状态被分为两种： 静态方法和动态方法: 静态方法：仅根据算法本身进行调度，不考虑RS的负载情况 动态方法：主要根据每RS当前的负载状态及调度算法进行调度Overhead=value较小的RS将被调度 #### 3.2.lvs静态调度算法 1、RR：roundrobin 轮询 RS分别被调度，当RS配置有差别时不推荐 2、WRR：Weighted RR，加权轮询根据RS的配置进行加权调度，性能差的RS被调度的次数少 3、SH：Source Hashing，实现session sticky，源IP地址hash；将来自于同一个IP地址的请求始终发往 第一次挑中的RS，从而实现会话绑定 4、DH：Destination Hashing；目标地址哈希，第一次轮询调度至RS，后续将发往同一个目标地址的请 求始终转发至第一次挑中的RS，典型使用场景是正向代理缓存场景中的负载均衡，如：宽带运营商 #### 3.3.lvs动态调度算法 1、LC：least connections（最少链接发） 适用于长连接应用Overhead（负载值）=activeconns（活动链接数） x 256+inactiveconns（非活 动链接数） 2、WLC：Weighted LC（权重最少链接） 默认调度方法Overhead=(activeconns x 256+inactiveconns)/weight 3、SED：Shortest Expection Delay, 初始连接高权重优先Overhead=(activeconns+1+inactiveconns) x 256/weight 但是，当node1的权重为1，node2的权重为10，经过运算前几次的调度都会被node2承接 4、NQ：Never Queue，第一轮均匀分配，后续SED 5、LBLC：Locality-Based LC，动态的DH算法，使用场景：根据负载状态实现正向代理 6、LBLCR：LBLC with Replication，带复制功能的LBLC，解决LBLC负载不均衡问题，从负载重的复制 到负载轻的RS #### 3.4在4.15版本内核以后新增调度算法 1.FO(Weighted Fai Over)调度算法： 常用作灰度发布 在此FO算法中，遍历虚拟服务所关联的真实服务器链表，找到还未过载(未设置IP_VS_DEST_F OVERLOAD标志)的且权重最高的真实服务器，进行调度 当服务器承接大量链接，我们可以对此服务器进行过载标记（IP_VS_DEST_F OVERLOAD），那么vs调度 器就不会把链接调度到有过载标记的主机中。 2.OVF(Overflow-connection)调度算法： 基于真实服务器的活动连接数量和权重值实现。将新连接调度到权重值最高的真实服务器，直到其活动 连接数量超过权重值，之后调度到下一个权重值最高的真实服务器,在此OVF算法中，遍历虚拟服务相关 联的真实服务器链表，找到权重值最高的可用真实服务器。一个可用的真实服务器需要同时满足以下条 件: 未过载(未设置IP_VS_DEST_F OVERLOAD标志) 真实服务器当前的活动连接数量小于其权重值 其权重值不为零 ### 4.防火墙标签解决轮询错误 以http和https为例，当我们在RS中同时开放80和443端口，那么默认控制是分开轮询的，这样我们就出 现了一个轮询错乱的问题 当我第一次访问80被轮询到RS1后下次访问443仍然可能会被轮询到RS1上 ###### 防火墙标记解决轮询调度问题 FWM:FireWall Mark MARK target 可用于给特定的报文打标记, --set-mark value 其中:value 可为0xffff格式，表示十六进制数字借助于防火墙标记来分类报文，而后基于标记定义集群服 务:可将多个不同的应用使用同一个集群服务进行调度 实现方法: 在Director主机打标记 iptables -t mangle -A PREROUTING -d 192.168.0.100 -p tcp -m multiport --dports 80,443 -j MARK --set-mark 6666 ipvsadm -A -f 6666 -s rr ipvsadm -a -f 6666 -r 192.168.0.101 -g ipvsadm -a -f 6666 -r 192.168.0.102 -g 这样设置过后，防火墙就可以把两个端口的不同集群捆绑到一起，这样就解决了轮询错误问题。