码迷,mamicode.com
首页 > 其他好文 > 详细

lvs负载均衡, ipvs的NAT模式,DR模式的实现

时间:2015-10-19 10:45:34      阅读:457      评论:0      收藏:0      [点我收藏+]

标签:

lvs是一种集群技术,采用IP负载均衡技术和基于内容请求分发技术。调度器(Director)具有很好的吞吐率,将请求均衡地转移到不同的服务器上处理,且调度器自动屏蔽掉服务器的故障,从而将一组服务器构成一个高性能的、高可用的虚拟服务器。

lvs的用户空间的命令行管理工具为ipvsadm,ipvs是工作在内核中netfilter的INPUT的钩子函数上,对进入的报文在没有进入用户空间前,对这些报文进行操作。

lvs的工作类型有四种,分别是lvs-nat,lvs-dr,lvs-tun和lvs-fullnat。最常用的为前两种(lvs-nat,lvs-dr)。

lvs-nat:是一种最简单的方式,所有的RealServer将自己的网关指向Director。客户端请求的都是Director上的IP,然后报文到Director上以后经过DNAT转换,把请求Director的报文重新封装成报文,以Director的IP为源地址,然后请求RS(RealServer),RS直接响应给Director,然后由Director把结果发给客户端。简单来说就是:多目标的DNAT(iptables),它通过修改请求报文的目标IP地址(同时可能会修改目标端口)至挑选出某RS的RIP地址实现转发;

lvs-nat类型的结构图:

 

 

                            技术分享

 

lvs-nat的特点:   

  (1)RS应该和DIP应该使用私网地址,且RS的网关要指向DIP;

  (2)请求和响应报文都要经由director转发;极高负载的场景中,director可能会成为系统瓶颈;

  (3)支持端口映射;

  (4)RS可以使用任意操作系统(OS);

  (5)RS的RIP和Director的DIP必须在同一IP网络;

   优点:实现方便简单,也容易理解;

   缺点:Director会称为一个优化的瓶颈,所有的报文都要经过Director,如果Director坏掉,后果很严重

 

lvs-dr:是通过修改请求中的目标MAC地址进行转发的;

lvs-dr的特点:

 (1) 保证前端路由器将目标IP为VIP的请求报文发送给director,后端的RS要能以VIP的地址响应给客户端; 

解决方案:

静态绑定

arptables

修改RS主机内核的参数      

  (2) RS的RIP可以使用私有地址;但也可以使用公网地址;

  (3) RS跟Director必须在同一物理网络中;

  (4) 请求报文经由Director调度,但响应报文一定不能经由Director;

  (5) 不支持端口映射;

  (6) RS可以大多数OS;

  (7) RS的网关不能指向DIP;

   为了让RS的不响应VIP的ARP响应,需要配置arp_ignore=1  别人来请求时,当别从哪个接口进入,就让那个接口的地址响应,如果不是就不响应;arp_announce=2只让自己的物理网卡的地址通告给别人;为了让RS以VIP为源地址把报文发送给客户端,RS的RIP在物理网卡上,VIP在lo(虚拟的设备)上,报文出去时要定义走lo这个设备,就是加一条路由(route add -host VIP dev lo:0)这样就能保证RS响应客户端时的源IP为VIP。

lvs-tun:就是IP隧道,就是将一个IP报文再封装一个IP报文的首部,这样可以使得目标为一个IP地址的数据报文能被封装和转发到另一个IP地址。

lvs-fullnat:就是在报文进来时做SNAT和DNAT。

后两种不是很常见就不详细说了

lvs-dr的架构图

技术分享

 

这只是一个大概的图,DIP,VIP,RIP同一网段的是这样

DIP,VIP,RIP不同网段的架构图为:

技术分享

 

 下面是一个lvs-nat的示例:

用物理机作为测试机,作为客户端,172.16.249.123这台机器为Director,它有两块网卡,一块配置172.16.249.123为外网地址,另一块配置为192.168.36.1做内网地址

192.168.36.2和192.168.36.3为web服务器即为RealServer,这两台内网主机的网关指向192.168.36.1

内网的网络类型选为VMnet2,

做好之后测试内网之间能不能通信,

技术分享

 

技术分享

然后为为其打开httpd服务,然互配置测试页,为了演示效果我们把两台web服务器的页面配成不同的,(实际中是一模一样的资源的)

打开httpd服务,然后测试页面内容如下:

<h1>Hello , This is 192.168.36.2</h1>

<h1>This is 192.168.36.3</h1>

 

为Director安装ipvsadm,把本地光盘挂上,然后写好yum源的指向

yum install ipvsadm

然后在Director上测试下,能否正常访问

技术分享

保证Director的防火墙是关的

技术分享

Director的核心转发要打开

技术分享

 

然后在Director上做ipvs规则

首先添加集群服务 ipvsadm -A  -t 172.16.249.123:80 -s rr  -t 172.16.249.123:80是指这个地址(172.16.249.123)的tcp协议的80端口开启集群服务 –s rr 指明调度器算法为论调

 

ipvsadm -A -t 172.16.249.123:80-s rr

技术分享

然后添加集群服务中的RS(RealServer)

技术分享

 

这样就做好了,然后测试下

技术分享

 

然后你在刷新下,

技术分享

但是你的httpd服务不能开启长链接,要不就会出新好几次一台RS才会换下一台

在Driector中查看下,也可以看到每个主机响应一次服务

技术分享

 

这些规则使用/etc/sysconfig/ipvsadm 把规则保存到/etc/sysconfig/ipvsadm中

ipvsadm –R <  /etc/sysconfig/ipvsadm 重载这个规则

技术分享

 

 

 

lvs-dr的示例:

我们用VIP和DIP,RIP在同一网段来做一下,这样简单一些

首先规划Director的网卡为eth0,采用桥接模式,只使用一块网卡

地址配置为DIP:172.16.249.123网关指向172.16.0.1;VIP 放到eth0:0这个别名上172.16.249.199

RS1的网卡采用桥接,RIP1:172.16.249.115网关指向172.16.0.1;lo:0 :VIP 172.16.249.199

RS2的网卡采用桥接,RIP2:172.16.249.124  网关指向172.16.0.1;lo:0 :VIP172.16.249.199

首先把Director的另一块VMnet2的网卡断开,然后配置DIP为172.16.249.123,

RS1和RS2的网卡改为桥接,地址为172.16.249.115和172.16.249.124,

然后从RS上测试ping172.16.0.1   ping172.16.249.123都是通的证明网络没问题了

然后配置Director上的VIP 为172.16.249.199/32,掩码使用32位,就是让它只做负载均衡器的调度用的

技术分享

这个时候RS主机ping VIP   172.16.249.199是通的

技术分享

然后要限制从哪个接口进的报文,要让哪个接口去响应

Diretor的这个配置不必须,但RS的必须配置

route add -host 172.16.249.199dev eth0:0

技术分享

然后设置RS

首先要先加这两个参数

arp_ignore=1

arp_announce=2

然后配置VIP,和限定报文从哪个接口进就从哪个接口出去

echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore

echo 1 > /proc/sys/net/ipv4/conf/eth0/arp_ignore 为了禁用彻底,把这一个也配上

echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

echo 2 > /proc/sys/net/ipv4/conf/eth0/arp_announce 为了禁用彻底,把这一个也配上

然后配置VIP地址

ifconfig lo:0 172.16.249.199/32 broadcast172.16.249.199 up

或者ifconfigeth0:0 172.16.249.199 netmask 255.255.255.255 broadcast 172.16.249.199 up

route add -host 172.16.249.199 dev lo:0

然后把另一台RS也这样配置

echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore

echo 1 > /proc/sys/net/ipv4/conf/eth0/arp_ignore 为了禁用彻底,把这一个也配上

echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

echo 2 > /proc/sys/net/ipv4/conf/eth0/arp_announce 为了禁用彻底,把这一个也配上

然后配置VIP地址

ifconfig lo:0 172.16.249.199/32 broadcast172.16.249.199 up

route add -host 172.16.249.199dev lo:0

这样RS就做好了,刚才web服务已经启动了,为了确认查看80端口是否启用

然后在Director上使用RIP地址请求进行测试

技术分享

然后把Director上的以前做的规则清掉,

技术分享

然后重新配置ipvsadm规则

ipvsadm -A -t 172.16.249.199:80 -s rr

ipvsadm -a -t 172.16.249.199:80 -r172.16.249.115 -g

ipvsadm -a -t 172.16.249.199:80 -r172.16.249.124 -g

技术分享

用物理机的浏览器访问出问题了不能随时论调,隔一段时间能切换,应该是浏览器缓存问题;打开一个虚拟机测试没有问题

技术分享

这样做容易出现这样的问题,在虚拟机下测试没有问题,证明这个实验是成功的,就是受网络或者浏览器的影响,

 

 

下面我们用VIP和DIP,RIP在不同网段来做一下(在物理机和Director之间加上一个路由器)

技术分享

首先规划Director的网卡为eth0,采用桥接模式

地址配置为DIP:192.168.36.10 ;VIP 放到eth0:0这个别名上10.1.1.2

RS1的网卡VMnet2,RIP:192.168.36.8;lo:0 :VIP 10.1.1.2

RS2的网卡VMnet2,RIP:192.168.36.9;lo:0 :VIP 10.1.1.2

 

物理机的地址为172.16.249.100

添加一条路由

route add 10.1.1.0 mask 255.255.255.010.1.1.1

首先要有一个路由器,打开一个虚拟机打开核心转发功能,然后加入两块网卡(也可以一块网卡),类型为VMnet2,地址分别为eth1:192.168.36.1/24 ,eth1:0为10.1.1.2/24 ;一块为桥接为172.16.249.117

路由条目为

技术分享

一台虚拟机做Director,一块网卡,网卡类型为VMnet2,地址eth0为DIP192.168.36.10/24

eth0:0为10.1.1.2/8

在 Director上要添加一条路由

route add  default  gw 10.1.1.1

RS的IP地址为192.168.36.8和192.168.36.9默认网关指向192.168.36.1

这样物理网络就创建好了

ping测试下

在 Director上是能ping通 172.16.249.110

技术分享

从物理机也能ping通10.1.1.2 ,

技术分享

从RS上能ping通物理机

技术分享

技术分享

 

然后启动RS的80服务,就可以在Director上设置集群服务了

从Director上测试以下web服务

 

技术分享

然后在Director上做集群服务配置,配置如下图

技术分享

然后在RS 配置这两个参数

arp_ignore=1

arp_announce=2

然后配置VIP,和限定报文从哪个接口进就从哪个接口出去

echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore

echo 1 > /proc/sys/net/ipv4/conf/eth0/arp_ignore 为了禁用彻底,把这一个也配上

echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

echo 2 > /proc/sys/net/ipv4/conf/eth0/arp_announce 为了禁用彻底,把这一个也配上

然后配置VIP地址

ifconfig lo:0 10.1.1.2/32  broadcast 10.1.1.2 up      

route add -host 10.1.1.2 dev lo:0

然后把另一台RS也这样配置

echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore

echo 1 > /proc/sys/net/ipv4/conf/eth0/arp_ignore 为了禁用彻底,把这一个也配上

echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

echo 2 >  /proc/sys/net/ipv4/conf/eth0/arp_announce 为了禁用彻底,把这一个也配上

然后配置VIP地址

ifconfig lo:0 10.1.1.2/32 broadcast 10.1.1.2 up

route add -host 10.1.1.2   devlo:0

可以写到脚本里

技术分享

然后执行脚本,验证一下

技术分享

技术分享

技术分享

技术分享

 

然后进行测试

技术分享

技术分享

 

在Director上看一下,可以看到连接数是相同的

技术分享

从这里可以看出来,上面DIP,VIP,RIP在同一网段时,物理机浏览器测不轮调,是因为MAC地址影响的,这里面加了个路由器,隔离了一些arp的广播报文,所以物理主机没有受到影响。

 

 这样lvs的lvs-nat和lvs-dr的实验就做完了,如有指教和建议可以留言。

本文转自:程序员鼓励师

lvs负载均衡, ipvs的NAT模式,DR模式的实现

标签:

原文地址:http://www.cnblogs.com/jinshiyill/p/4891041.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!