Nginx 四层(stream)反向代理 + DNS 负载均衡

π大星星️2025-07-30 2:39

一、实验目标

  1. 用 Nginx(IP:192.168.65.135)做四层反向代理,将 53/udp 请求轮询转发到两台权威 DNS:

    • 192.168.65.131

    • 192.168.65.132

  2. 验证:外部查询 dns.xiaott.org 时,135 端口返回的结果在 131/132 之间切换,且均带 aa(权威)标志。

──────────────────────────────────

二、实验拓扑

复制代码 
Client ──UDP/53──► 192.168.65.135 (Nginx stream)
                    ├─► 192.168.65.131:53 (BIND)  
                    └─► 192.168.65.132:53 (BIND)

──────────────────────────────────

三、环境信息

角色 IP 软件/版本 备注
Nginx Proxy 192.168.65.135 nginx-1.24.0 --with-stream 已启用 stream 模块
DNS-1 192.168.65.131 bind-9.16.23 权威域:xiaott.org
DNS-2 192.168.65.132 bind-9.16.23 权威域:xiaott.org
Client 192.168.65.x dig 9.16.23 用于测试

──────────────────────────────────

四、DNS 权威服务器配置(131 & 132)

  1. 区域文件 /var/named/xiaott.org.zone(两台内容一致,仅 serial 不同,便于观察)

    $TTL 1D
    @ IN SOA dns.xiaott.org. root.xiaott.org. (
    2025072801 ; serial on 131
    1D 1H 1W 3H )
    IN NS dns.xiaott.org.
    dns IN A 192.168.65.131 ; <-- 131 上
    bbs IN A 192.168.65.131

    $TTL 1D
    @ IN SOA dns.xiaott.org. root.xiaott.org. (
    2025072802 ; serial on 132
    1D 1H 1W 3H )
    IN NS dns.xiaott.org.
    dns IN A 192.168.65.132 ; <-- 132 上
    bbs IN A 192.168.65.132

  1. 启动并验证

    systemctl enable --now named
    named-checkzone xiaott.org /var/named/xiaott.org.zone
    dig @127.0.0.1 dns.xiaott.org +short

返回各自 IP 表示权威服务器正常。

──────────────────────────────────

五、Nginx 四层反向代理配置(135)

  1. 目录结构

    /usr/local/nginx/
    └── tcp.d/
    └── dns.conf

  2. 内容:/usr/local/nginx/tcp.d/dns.conf

    stream {
    upstream dns_cluster {
    server 192.168.65.131:53 max_fails=3 fail_timeout=5s;
    server 192.168.65.132:53 max_fails=3 fail_timeout=5s;
    }

    复制代码 
     server {
     listen 53 udp;               # 四层 UDP
     proxy_pass dns_cluster;
     proxy_responses 1;           # 等待 1 个 DNS 响应
     proxy_timeout 1s;
 }

    }

  1. 引入主配置

    nginx.confinclude 区域添加:

include /usr/local/nginx/tcp.d/*.conf;

  1. 启动 Nginx

    nginx -t # 语法检查
    systemctl reload nginx
    ss -unlp | grep 53 # 确认 135 正在监听 udp/53

──────────────────────────────────

六、测试与现象记录

序号 客户端命令 返回 IP 来源服务器 备注
1 dig @192.168.65.135 dns.xiaott.org 192.168.65.131 DNS-1 aa 标志
2 再次执行 192.168.65.132 DNS-2 轮询到第二台
3 关闭 131 的 named 仅 132 返回 DNS-2 故障转移
4 重启 131 131/132 交替出现 负载均衡恢复

抓包验证(135 上):

tcpdump -i any -nn udp port 53 and host 192.168.65.135

可看到源端口 53 的报文交替发往 131 与 132。

──────────────────────────────────

七、结论

  1. Nginx 成功以四层 UDP 反向代理将 53 端口请求轮询到后端两台权威 DNS。

  2. 通过 max_failsfail_timeout 实现健康检查与故障摘除。

  3. 客户端始终感知单一入口(192.168.65.135),无需关心后端变化。

相关推荐
java_logo13 分钟前
QWEN3 企业级 Docker 容器化部署指南
运维·docker·容器·qwen3部署·qwen3部署文档·qwen3部署教程·qwen3部署方案
huohaiyu19 分钟前
网络中的一些基本概念
运维·服务器·网络
Kiyra20 分钟前
虚拟机假死?SSH 能连却卡 Logo 界面
运维·ssh
GDAL23 分钟前
NGINX njs 全解析:从基础配置到高级特性实战
nginx·njs
tap.AI1 小时前
Deepseek(九)多语言客服自动化:跨境电商中的多币种、多语种投诉实时处理
运维·人工智能·自动化
ling-451 小时前
Linux-day09 11
linux·运维·服务器
202321336054 刘1 小时前
Linux常用命令分类整理
linux·运维·数据库
oMcLin1 小时前
如何在 Debian 11 上通过配置 LVM 和 RAID 结合,提升大规模存储系统的性能与冗余性
运维·debian
C_心欲无痕1 小时前
网络相关 - Ngrok内网穿透使用
运维·前端·网络
宇钶宇夕1 小时前
CoDeSys入门实战一起学习(四):应用程序运行、监控与调试
运维·自动化
热门推荐
01GitHub 镜像站点02Labelme从安装到标注:零基础完整指南03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04Linux下V2Ray安装配置指南05Claude Code 2.1.2 升级报错?别折腾了,一行命令搞定06jdk21下载、安装(Windows、Linux、macOS)07【踩坑笔记】50系显卡适配的 PyTorch 安装082025-04-03 Latex学习1——本地配置Latex + VScode环境09KGG转MP3工具|非KGM文件|解密音频10Overleaf编译超时,超出免费计划编译时限(已解决)