【LVS】防火墙mark标记解决调度问题

new不出对象来2024-08-10 20:37

实验环境是在之前部署DR模式集群的基础上做的,参考如下

部署DR模式集群

以http和https为例,当我们在webserver中同时开放80和443端口,那么默认控制是分开轮询的,就会出现了一个轮询错乱的问题:

当第一次访问80被轮询到webserver1后下一次访问443仍然可能会被轮询到webserver1上。

一、问题呈现:

1、在webserver1和webserver2安装mod_ssl并重启

yum install mod_ssl -y

systemctl restart httpd

2、在lvs中设置调度,添加443端口,设定策略

root@lvs \~\]# ipvsadm -A -t 192.168.0.200:443 -s rr \[root@lvs \~\]# ipvsadm -a -t 192.168.0.200:443 -r 192.168.0.10:443 -g \[root@lvs \~\]# ipvsadm -a -t 192.168.0.200:443 -r 192.168.0.10:443 -g

添加后我们就有两组策略了:

测试问题如下:

要解决这个轮询调度问题,实现第一次访问webserver的80端口后,下一次访问到另一台webserver的443端口,就需要用到防火墙标记解决。

二、防火墙标记解决轮询调度问题

FWM:FireWall Mark MARK

target 可用于给特定的报文打标记,

--set-mark value

其中:value 可为0xffff格式,表示十六进制数字借助于防火墙标记来分类报文,而后基于标记定义集群服 务:可将多个不同的应用使用同一个集群服务进行调度。

实现方法:

在Director主机打标记:

iptables -t mangle -A PREROUTING -d vip -p proto -m multiport --dports portl,port2,..-i MARK --set-mark NUMBER

在Director主机基于标记定义集群服务

ipvsadm -A -f NUMBER [options]

1、在lvs主机打标记

root@lvs \~\]# iptables -t mangle -A PREROUTING -d 192.168.0.200 -p tcp -m multiport --dports 80,443 -j MARK --set-mark 66 \[root@lvs \~\]# iptables -t mangle -nL Chain PREROUTING (policy ACCEPT) target prot opt source destination MARK tcp -- 0.0.0.0/0 192.168.0.200 multiport dports 80,443 MARK set 0x42 Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination

2、在lvs主机基于标记定义集群服务

root@lvs \~\]# ipvsadm -A -f 66 -s rr \[root@lvs \~\]# ipvsadm -a -f 66 -r 192.168.0.10 -g \[root@lvs \~\]# ipvsadm -a -f 66 -r 192.168.0.20 -g

3、测试结果

三、lvs持久链接

在我们客户上网过程中有很多情况下需要和服务器进行交互,客户需要提交响应信息给服务器,如果单 纯的进行调度会导致客户填写的表单丢失,为了解决这个问题我们可以用sh算法,但是sh算法比较简单 粗暴,可能会导致调度失衡。

解决方案:

在进行调度时,不管用什么算法,只要相同源过来的数据包我们就把他的访问记录在内存中,也就是把 这个源的主机调度到了那个RS上。

如果在短期(默认360S)内同源再来访问我仍然按照内存中记录的调度信息,把这个源的访问还调度到 同一台RS上。

如果过了比较长的时间(默认最长时间360s)同源访问再次来访,那么就会被调度到其他的RS上

ipvsadm -AlE -tlulf service-address [-s scheduler] [-p [timeout]]默认360秒

在lvs调度器中设定

root@lvs \~\]# ipvsadm -E -f 6666 -s rr -p \[3000

root@lvs \~\]# ipvsadm -LnC

相关推荐
whp40414 分钟前
windows server2019 不成功的部署docker经历
运维·docker·容器
IT界小黑的对象1 小时前
virtualBox部署ubuntu22.04虚拟机 NAT+host only 宿主机ping不通虚拟机
linux·运维·服务器
weixin_527550401 小时前
Linux 环境下高效视频切帧的实用指南
linux·运维·音视频
keson要进步1 小时前
CICD实战(一) -----Jenkins的下载与安装
运维·ci/cd·centos·自动化·jenkins
keson要进步1 小时前
CICD实战(二)-----gitlab的安装与配置
linux·运维·gitlab
藥瓿亭2 小时前
K8S认证|CKS题库+答案| 4. RBAC - RoleBinding
linux·运维·服务器·云原生·容器·kubernetes·cks
发非人非2 小时前
Shell编程核心符号与格式化操作详解
运维
fydw_7153 小时前
生产环境中安装和配置 Nginx 以部署 Flask 应用的详细指南
运维·nginx·flask
二进制coder3 小时前
服务器健康摩尔斯电码:深度解读S0-S5状态指示灯
运维·服务器
依旧风轻3 小时前
服务器信任质询
运维·服务器
热门推荐
01基于STM32的智能电池管理系统02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04【无人机】无人机通信模块,无人机图数传模块的介绍,数传,图传,图传数传一体电台,05从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07VMware虚拟机安装Win7专业版保姆级教程(附镜像包)08DeepSeek各版本说明与优缺点分析09组基轨迹建模 GBTM的介绍与实现(Stata 或 R)10海康Visionmaster-常见问题排查方法-启动阶段