【LVS】防火墙mark标记解决调度问题

new不出对象来2024-08-10 20:37

实验环境是在之前部署DR模式集群的基础上做的,参考如下

部署DR模式集群

以http和https为例,当我们在webserver中同时开放80和443端口,那么默认控制是分开轮询的,就会出现了一个轮询错乱的问题:

当第一次访问80被轮询到webserver1后下一次访问443仍然可能会被轮询到webserver1上。

一、问题呈现:

1、在webserver1和webserver2安装mod_ssl并重启

yum install mod_ssl -y

systemctl restart httpd

2、在lvs中设置调度,添加443端口,设定策略

root@lvs \~# ipvsadm -A -t 192.168.0.200:443 -s rr

root@lvs \~# ipvsadm -a -t 192.168.0.200:443 -r 192.168.0.10:443 -g

root@lvs \~# ipvsadm -a -t 192.168.0.200:443 -r 192.168.0.10:443 -g

添加后我们就有两组策略了:

测试问题如下:

要解决这个轮询调度问题,实现第一次访问webserver的80端口后,下一次访问到另一台webserver的443端口,就需要用到防火墙标记解决。

二、防火墙标记解决轮询调度问题

FWM:FireWall Mark MARK

target 可用于给特定的报文打标记,

--set-mark value

其中:value 可为0xffff格式,表示十六进制数字借助于防火墙标记来分类报文,而后基于标记定义集群服 务:可将多个不同的应用使用同一个集群服务进行调度。

实现方法:

在Director主机打标记:

iptables -t mangle -A PREROUTING -d vip -p proto -m multiport --dports portl,port2,..-i MARK --set-mark NUMBER

在Director主机基于标记定义集群服务

ipvsadm -A -f NUMBER options

1、在lvs主机打标记

root@lvs \~# iptables -t mangle -A PREROUTING -d 192.168.0.200 -p tcp -m multiport --dports 80,443 -j MARK --set-mark 66

root@lvs \~# iptables -t mangle -nL

Chain PREROUTING (policy ACCEPT)

target prot opt source destination

MARK tcp -- 0.0.0.0/0 192.168.0.200 multiport dports 80,443 MARK set 0x42

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

Chain POSTROUTING (policy ACCEPT)

target prot opt source destination

2、在lvs主机基于标记定义集群服务

root@lvs \~# ipvsadm -A -f 66 -s rr

root@lvs \~# ipvsadm -a -f 66 -r 192.168.0.10 -g

root@lvs \~# ipvsadm -a -f 66 -r 192.168.0.20 -g

3、测试结果

三、lvs持久链接

在我们客户上网过程中有很多情况下需要和服务器进行交互,客户需要提交响应信息给服务器,如果单 纯的进行调度会导致客户填写的表单丢失,为了解决这个问题我们可以用sh算法,但是sh算法比较简单 粗暴,可能会导致调度失衡。

解决方案:

在进行调度时,不管用什么算法,只要相同源过来的数据包我们就把他的访问记录在内存中,也就是把 这个源的主机调度到了那个RS上。

如果在短期(默认360S)内同源再来访问我仍然按照内存中记录的调度信息,把这个源的访问还调度到 同一台RS上。

如果过了比较长的时间(默认最长时间360s)同源访问再次来访,那么就会被调度到其他的RS上

ipvsadm -AlE -tlulf service-address -s scheduler -p \[timeout]默认360秒

在lvs调度器中设定

root@lvs \~\]# ipvsadm -E -f 6666 -s rr -p \[3000

root@lvs \~# ipvsadm -LnC

相关推荐
向日葵.14 小时前
linux & qnx & git 命令 2
linux·运维·git
睡不醒男孩03082314 小时前
第四篇:数据库国产化与信创替代的守护者:基于CLup的异构数据库一站式运维平台构建
运维·数据库·金融·clup·中启乘数
Jonm14 小时前
exsi系统使用storcli重组raid阵列(不停机)
运维·esxi·raid
极客先躯14 小时前
高级java每日一道面试题-2026年02月04日-实战篇[Docker]-如何在容器之间共享数据?
java·运维·网络·docker·容器·自动化·高级面试题
Android系统攻城狮14 小时前
Linux Pulseaudio深度解析之pa_context_set_sink_mute_by_index用流程与实战(四十七)
linux·运维·服务器·音频进阶·pulseaudio进阶
木白CPP14 小时前
aarch64-linux-gnu* (gcc,ld,objcopy,objdump)工具总结
linux·运维·gnu
A.说学逗唱的Coke14 小时前
【运维专题】playbooks保姆级使用指南
运维·开发语言·python
豆是浪个14 小时前
Linux(Centos 7.6)命令详解:xargs
linux·运维·服务器
shchojj14 小时前
gitlab推送触发jekins编译
运维·gitlab
Java开发追求者14 小时前
oracle解决服务器正常使用但是互联网无法使用问题
运维·服务器·ora-12154·windows监听问题·oracle互联网无法访问
热门推荐
01《置身钉内》原文-可播放阅读02GitHub 镜像站点03【AI】2026 年具身智能模型和世界模型总结04Codex 下载安装指南:Windows 和 macOS 官方版下载052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?062026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf07【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法08CC-Switch 下载、安装与使用配置指南【2026.5.29】09AI科技热点日报 | 2026年6月1日10CC-Switch & Claude 基于 Linux 服务器安装使用指南