LVS-NAT + LVS-DR

LVS

现在lvs已经是linux内核标准的一部分，使用lvs可以达到的技术目标是：通过linux达到负载均衡技术和linux操作系统实现一个高性能高可用的linux服务器集群，他具有良好的可靠性，可延展性和可操作性，从而以低廉的成本实现最优的性能，Lvs是一个实现负载均衡集群开源软件项目，lvs从逻辑上可以分为调度层， server集群层，和共享存储

一个调度主机，有两个网卡

lvs的工作原理

1. 当用户向负载均衡调度器（director server）发起请求，调度器将请求发往内核空间

2. prerouting链首先会接受到用户请求，判断目标ip确定是本机ip，将数据包发往input链

3. IPVS是工作在input链上的，当用户请求到达input时，ipvs会将用户请求和自己定义好的集群服务器进行比对，如果用户请求就是定义的集群服务，那么此时ipvs会强行修改数据包里的目标ip地址以及端口，并将新的数据包发往POSTROUTING链

4. POSTROUTING链接收到数据包后，发现目标ip地址刚好是自己的后端服务器，那么通过选路，将数据包最终发送给后端服务器

lvs组成及术语

1.ipvs:

ip virtual server,一段代码工作在内核空间，ipvs，是真正生效实现

调度的代码（类似nginx中的proxy_pass）

2.ipvsadm

另一段是工作在用户空间，ipvsadm，负责为ipvs内核框架编写规则，定义

谁是集群服务，谁是后端真正的服务器（real server）类似nginx中的

upstrean

DS:前端负责均衡节点（负载均衡服务器）

RS：后端真实工作服务器（web服务器）

vip向外部直接面向用户请求，作为用户请求的目标ip地址（负载均衡的ip地址，提供给用户）

DIP Director Server Ip 和内部主机通讯的ip地址（负责与Real Server交互的内部Ip）

RIP Real Server Ip 后端服务器ip地址

CIP client IP 访问客户端ip地址

vip:对外，公网

dip:对内，局域网

lvs的工作模式

LVS-NAT模式

nat模式工作原理

1. 用户请求ds，此时请求的报文会先到内核空间prerouting链，此时报文ip为cip，目标ip为vip

2. prerouting检测发现数据包目标ip是本机，将数据包送到input链

3. ipvs对比数据包请求的服务是否为集群服务，如果是，修改数据包的目标ip地址为后端服务器的IP地址，然后将数据包发送给POSTROUTING链，此时报文ip为cip，目标ip为rip

4. POSTROUTING通过选路，将数据发送给Real Server

5. RealServer对比发现目标ip为自己的ip，开始构建响应报文发回给Director Server此时报文的源ip为RIP，目标ip为CIP

6. Derector Server在响应客户端前，会将源ip地址修改为自己的VIP，然后响应给客户端，目标ip为cip，此时报文源IP为VIP，目标ip为cip

nat模式的特性

1. Rs应该是私有地址，Rs网关必须指向DIP

2. DIP和RIP必须在同一个网段内

3. 请求和响应报文都应该经过Director Server，高负载场景中Director Server容易成为性能瓶颈

4. 支持端口映射

5. Rs可是使用任意操作系统

6. 缺陷，对Ds压力会比较大，请求和响应都需要经过ds，

nat环境搭建

主机名称	ip地址	功能
web01	192.168.118.200	rs
web02	192.168.118.201	realserver
nat	vip:192.168.10.100 dip:192.168.118.10	负载均衡调度器directorserver,ntp
dns	192.168.118.110	dns

web服务器：

下载nginx，在index.html写入内容，启动nginx,编写计划任务

yum -y install nginx

echo "web-----01" > /usr/share/nginx/html/index.html
[root@web01 ~]# nginx
[root@web01 ~]# crontab -e

30 3 * * * /usr/sbin/ntpdate 192.168.118.10 //时间服务器的IP

nat服务器：

需要两块网卡，再添加一块网卡

配置vip网卡：

1. 在编辑虚拟网络中创建桥接模式的网卡，并且桥接到有网的适配器上

2. 在vmware的虚拟主机资源管理器找到虚拟主机，右键菜单，设置

3. 添加新的网卡，自定义为刚才创建的桥接模式网卡

4. 此时在虚拟主机中使用ifconfig无法找到新的网卡

5. ip a能够查看到新的ens36网卡，没有路由

6. 编辑网卡配置

7. 重启network服务

同步时间，编写计划任务，配置时间服务器，启动服务，设置开机自启动

142 yum -y install ntpdate.x86_64
143 ntpdate cn.ntp.org.cn
144 which ntpdate
145 crontab -e

* 2 * * * /usr/sbin/ntpdate cn.ntp.org.cn

147 yum -y install ntp
148 systemctl start ntpd
149 systemctl enable ntpd

dns服务器：

[root@dns ~]# yum -y install bind

[root@dns ~]# vim /etc/named.conf //添加any
[root@dns ~]# vim /etc/named.rfc1912.zones

zone "yuanyu.zhangmin" IN {
type master;
file "yuanyu.zhangmin.zone";
allow-update { none; };
};

[root@dns ~]# cd /var/named/
[root@dns named]# cp -p named.localhost yuanyu.zhangmin.zone
[root@dns named]# vim yuanyu.zhangmin.zone

[root@dns named]# named-checkconf /etc/named.conf
[root@dns named]# named-checkconf /etc/named.rfc1912.zones
[root@dns named]# named-checkzone yuanyu.zhangmin.zone yuanyu.zhangmin.zone
[root@dns named]# systemctl restart named

client客户端：

[root@allow ~]# echo "nameserver 192.168.118.110" > /etc/resolve.conf
[root@allow ~]# ping nat.yuanyu.zhangmin -c2
PING nat.yuanyu.zhangmin (192.168.118.135) 56(84) bytes of data.
64 bytes from 192.168.118.135 (192.168.118.135): icmp_seq=1 ttl=64 time=0.639 ms
64 bytes from 192.168.118.135 (192.168.118.135): icmp_seq=2 ttl=64 time=0.305 ms

nat配置规则：在nat服务器配置

安装ipvsadm

[root@nat ~]# yum -y install ipvsadm.x86_64

查看所有的规则，如果已经配置好规则，重启之后也就没有了

# 清空以往的规则

[root@nat ~]# ipvsadm -C

# 查看规则

[root@nat ~]# ipvsadm -L -n

# 新增规则

[root@nat ~]# ipvsadm -A -t 192.168.10.100:80 -s rr

# 添加主机，即添加rs web01,web02添加规则

[root@nat ~]# ipvsadm -a -t 192.168.10.100:80 -r

192.168.118.200:80 -m

[root@nat ~]# ipvsadm -a -t 192.168.10.100:80 -r

192.168.118.201:80 -m

# 设置ip转发

[root@nat ~]# vim /etc/sysctl.conf

net.ipv4.ip_forward=1

# 设置生效

[root@nat ~]# sysctl -p

net.ipv4.ip_forward = 1 //支持IP转发了

web服务器网关配置：

临时修改web01和web02的网关，网关必须指向dip（调度服务器的对内的ip)

这也要求了rs ip和dip要在同一个网段，因为dip是要作为网关存在的

[root@web01 ~]# route del default

[root@web01 ~]# route add default gw 192.168.118.100

[root@web02 ~]# route del default

[root@web02 ~]# route add default gw 192.168.118.100

升级

lvs-nat模式的优点配置简单，缺点是请求和响应都必须经过ds，容易成为性能瓶颈

希望有这样的模式，请求的时候使用input链进行负载均衡，响应的时候就不要经过ds，直接由rs响应给客户端

在nat模式的时候，请求vip，接收vip的响应

构想请求vip，接受rip响应，这是不允许 lvs-dr模式，但是我们可以在rs上也配置vip

LVS-DR模式

1.性能更优，回路不再经过ds

2.ds和rs为了保证用户响应，都要求配置统一的vip

3.由于rs是直接响应client，网关一定不能设置为ds 的dip

4.对rs的vip进行抑制，让ds的vip接收请求，rs的vip不接受请求

5.rs的vip绑定点lo回路网卡上

设置ds主机：192.168.118.202

1.在ens33上挂一个IP地址(vip)192.168.118.203,在rs上的vip和这个vip相同

9 ifconfig ens33:0 192.168.118.203 broadcast 192.168.118.203 netmask 255.255.255.255 up

2.设置主机路由
11 route add -host 192.168.118.203 dev ens33:0
3. 安装ipvsadm
13 yum -y install ipvsadm

4.配置规则

ipvsadm -C //清空规则
14 ipvsadm -A -t 192.168.118.203:80 -s rr
15 ipvsadm -a -t 192.168.118.203:80 -r 192.168.118.200 -g
17 ipvsadm -a -t 192.168.118.203:80 -r 192.168.118.201 -g
18 ipvsadm -Ln
注意：

rs不在需要指定端口，dr不支持端口映射，vip上是80端口，最终就是80端口

-m nat

-g gateway

设置rs主机

1.在lo接口上绑定vip

2.设置主机路由

3.抑制rs接收请求

web01:

[root@web01 ~]# ifconfig lo:0 192.168.118.203 broadcast 192.168.118.203 netmask 255.255.255.255 up
[root@web01 ~]# route add -host 192.168.118.203 dev lo:0
[root@web01 ~]# ifconfig
抑制rs的vip接收请求

echo 1 > /proc/sys/net/ipv4/conf/lo/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/lo/arp_announce
echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

web02的操作与web01一样，可以使用脚本来操作：

[root@web02 ~]# cat arp.sh
ifconfig lo:0 192.168.118.203 broadcast 192.168.118.203 netmask 255.255.255.255 up
route add -host 192.168.118.203 dev lo:0

echo 1 > /proc/sys/net/ipv4/conf/lo/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/lo/arp_announce
echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

测试使用，查看状态

在浏览器上访问vip 192.168.118.203,在dr上查看详情

[root@dr ~]# ipvsadm -Ln --stats
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Conns InPkts OutPkts InBytes OutBytes
-> RemoteAddress:Port
TCP 192.168.118.203:80 6 140 0 39432 0
-> 192.168.118.200:80 3 12 0 518 0
-> 192.168.118.201:80 3 128 0 38914 0