【LVS】防火墙mark标记解决调度问题

new不出对象来2024-08-10 20:37

实验环境是在之前部署DR模式集群的基础上做的,参考如下

部署DR模式集群

以http和https为例,当我们在webserver中同时开放80和443端口,那么默认控制是分开轮询的,就会出现了一个轮询错乱的问题:

当第一次访问80被轮询到webserver1后下一次访问443仍然可能会被轮询到webserver1上。

一、问题呈现:

1、在webserver1和webserver2安装mod_ssl并重启

yum install mod_ssl -y

systemctl restart httpd

2、在lvs中设置调度,添加443端口,设定策略

root@lvs \~\]# ipvsadm -A -t 192.168.0.200:443 -s rr \[root@lvs \~\]# ipvsadm -a -t 192.168.0.200:443 -r 192.168.0.10:443 -g \[root@lvs \~\]# ipvsadm -a -t 192.168.0.200:443 -r 192.168.0.10:443 -g

添加后我们就有两组策略了:

测试问题如下:

要解决这个轮询调度问题,实现第一次访问webserver的80端口后,下一次访问到另一台webserver的443端口,就需要用到防火墙标记解决。

二、防火墙标记解决轮询调度问题

FWM:FireWall Mark MARK

target 可用于给特定的报文打标记,

--set-mark value

其中:value 可为0xffff格式,表示十六进制数字借助于防火墙标记来分类报文,而后基于标记定义集群服 务:可将多个不同的应用使用同一个集群服务进行调度。

实现方法:

在Director主机打标记:

iptables -t mangle -A PREROUTING -d vip -p proto -m multiport --dports portl,port2,..-i MARK --set-mark NUMBER

在Director主机基于标记定义集群服务

ipvsadm -A -f NUMBER [options]

1、在lvs主机打标记

root@lvs \~\]# iptables -t mangle -A PREROUTING -d 192.168.0.200 -p tcp -m multiport --dports 80,443 -j MARK --set-mark 66 \[root@lvs \~\]# iptables -t mangle -nL Chain PREROUTING (policy ACCEPT) target prot opt source destination MARK tcp -- 0.0.0.0/0 192.168.0.200 multiport dports 80,443 MARK set 0x42 Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination

2、在lvs主机基于标记定义集群服务

root@lvs \~\]# ipvsadm -A -f 66 -s rr \[root@lvs \~\]# ipvsadm -a -f 66 -r 192.168.0.10 -g \[root@lvs \~\]# ipvsadm -a -f 66 -r 192.168.0.20 -g

3、测试结果

三、lvs持久链接

在我们客户上网过程中有很多情况下需要和服务器进行交互,客户需要提交响应信息给服务器,如果单 纯的进行调度会导致客户填写的表单丢失,为了解决这个问题我们可以用sh算法,但是sh算法比较简单 粗暴,可能会导致调度失衡。

解决方案:

在进行调度时,不管用什么算法,只要相同源过来的数据包我们就把他的访问记录在内存中,也就是把 这个源的主机调度到了那个RS上。

如果在短期(默认360S)内同源再来访问我仍然按照内存中记录的调度信息,把这个源的访问还调度到 同一台RS上。

如果过了比较长的时间(默认最长时间360s)同源访问再次来访,那么就会被调度到其他的RS上

ipvsadm -AlE -tlulf service-address [-s scheduler] [-p [timeout]]默认360秒

在lvs调度器中设定

root@lvs \~\]# ipvsadm -E -f 6666 -s rr -p \[3000

root@lvs \~\]# ipvsadm -LnC

相关推荐
IT飞牛15 分钟前
Linux服务器常用运维工具/命令
linux·运维·服务器
兰德里的折磨55017 分钟前
新手在使用宝塔Linux部署前后端分离项目时可能会出现的问题以及解决方案
linux·运维·服务器
bjzhang7533 分钟前
CentOS的防火墙工具(firewalld和iptables)的使用
linux·运维·centos
毒手药王1 小时前
USR-M100采集数据并提交MQTT服务器
运维·服务器·mqtt3.1.1
matrixlzp1 小时前
Nginx 使用 Keepalived 搭建 nginx 高可用
运维·nginx
网硕互联的小客服2 小时前
CentOS 系统升级失败的原因与排查
linux·运维·服务器
斯普信专业组2 小时前
Ceph集群OSD运维手册:基础操作与节点扩缩容实战
运维·ceph
vx153027823623 小时前
‌CDGP|数据治理:探索企业数据有序与安全的解决之道
大数据·运维·网络·cdgp·数据治理
努力学习的小廉3 小时前
深入了解linux系统—— 自定义shell
linux·运维·chrome
1024小神3 小时前
tauri-plugin-store 这个插件将数据存在本地电脑哪个位置
运维·服务器
热门推荐
01【分布式】Hadoop完全分布式的搭建(零基础)02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06西电B测-计算机网络综合实验(含验收问题)07最新 Kubernetes 集群部署 + flannel 网络插件(保姆级教程,最新 K8S 版本)08苍穹外卖面试总结09DeepSeek各版本说明与优缺点分析10Coze扣子平台完整体验和实践(附国内和国际版对比)