Netfilter: 利用iptables进行负载均衡

最新推荐文章于 2024-02-04 08:00:00 发布
最新推荐文章于 2024-02-04 08:00:00 发布
阅读量1w 收藏 12
点赞数 2
分类专栏: Networking Netfilter 文章标签: netfilter iptables 负载均衡
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdscq1234/article/details/52643637
版权

目的

1. 实现多个网络接口同时运作,完成多连接的真正并发,多个连接正在的同时访问网络

2. 实现负载均衡,有效扩展带宽增加吞吐量

场景

1. 路由器有2个接口连接2个网络,可以制定相关的策略,将网络流量均分到2个网络中,可以均分,也可以不均分...

2. 手机上有个新潮的功能Download booster(三星),WIFI和4G网络可以同时打开,下载大型文件的时候,可以加速下载,不过这个很烧流量的,闲时流量还可以考虑.. 如下图

应用技术

1. 策略路由:这里主要是通过数据包的MARK值来进行路由选择

2. iptables相关的rule:这里主要是利用iptables的规则,给相关的连接打mark,并将连接的标记保存到对应的每一个数据包中。

思路

假设目前主机有两个interface eth0和eth1,在下载或者上网的过程中,我要每个链接都按照一定的比率被标记成两种mark,比如说一半的概率被标记成5,一半的概率被标记成6,在策略路由选择的时候,标记5的去寻找eth0对应的路由表,然后标记6的数据包去寻找eth1的路由表。这样在上网或者下载过程中,对应连接的数据包,就被分配到不同的网络接口中去了。

实现

1. 解决策略路由的问题 ,  使用iproute2进行配置路由,操作如下:

生成2个路由表,eth0,eth1,并增加对应的默认路由

ip route add table eth1 default via 10.1.1.1 dev eth0
ip route add table eth1 default via 10.2.2.2 dev eth1

生成路由选择的策略,MARK为5 去查找table eth0, MARK为6去查找table eth1 

ip rule add fwmark 0x5 table eth0
ip rule add fwmark 0x6 table eth1

2.解决给连接打MARK的问题,使用iptables的相关模块:

首先给对链接进行均分,这个比率也可以修改...

iptables -t mangle -A  OUTPUT -m state --state NEW -j ETH1
iptables -t mangle -A  OUTPUT -m state --state NEW -m statisti --mode random --probability 0.5 -j ETH2
方法二,也可以利用NTH模块公平分发数据包 

iptables -t mangle -A OUTPUT -m state --state NEW -m statistic --mode nth --every 2 --packet 0 -j ETH0
iptables -t mangle -A OUTPUT -m state --state NEW -m statistic --mode nth --every 2 --packet 1 -j ETH1
这里NEW状态,一般是指一个链接的第一个包,对于TCP来讲基本就是SYN包,UDP的话,相同端口的第一个封包为NEW状态

其次是要对链接进行打MARK,要在ETH0/ETH1这两个chain中实现

ETH0标记 5到链接

iptables -t mangle -N ETH0
iptables -t mangle -A ETH0 -j MARK --set-mark 5  //标记数据包
iptables -t mangle -A ETH0 -j CONNMARK --save-mark //把数据包的MARK设置到整个连接

ETH1标记6到链接 

iptables -t mangle -N ETH1
iptables -t mangle -A ETH1 -j MARK --set-mark 6  //标记数据包
iptables -t mangle -A ETH1 -j CONNMARK --save-mark //把数据包的MARK设置到整个连接

最后要给每一个数据包进行标记

iptables -t mangle -A OUTPUT -m state --state ESTABLISHED,RELATED -j CONNMARK --restore-mark

这样基本就实现了负载分流功能,让两个网卡同时存在,不过这个只是简单的使用命令进行配置,如果写code的话,可能要借助一些三方的工具比如iptables,iproute2来做这些事情。






CQ小子
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
外壳:用于iptablesnetfilter防火墙规则的自然语言DSL
02-05
外壳:用于iptablesnetfilter防火墙规则的自然语言DSL
查看iptables来理解集群上service如何完成负载均衡
qiaotl的博客
07-12 873
查看iptables规则信息理解发送到service上的请求是如何转发的pod的。
Iptables 和 Netfilter 架构深入解析
最新发布
rubys_的专栏
02-04 1179
防火墙是一种重要的工具,可以配置来保护您的服务器和基础设施。在 Linux 生态系统中,iptables是一个广泛使用的防火墙工具,它与内核的netfilter数据包过滤框架配合工作。由于复杂的语法和涉及的相关部分数量众多,创建可靠的防火墙策略可能令人望而生畏。在本指南中,我们将深入探讨iptables架构,旨在使其更易于理解,以便需要构建自己防火墙策略的用户。我们将讨论iptables如何与netfilter交互,以及各个组件如何结合在一起,提供全面的过滤系统。还有一类特殊的非终止目标:跳转目标。
我在简历里写了TCP长连接架构设计,面试官都被我惊艳了
LoveSummer
12-22 4万+
然后实时计算,得到一个列表排序,这个排序是按照节点数最少的节点排序的。因此在每个接入层节点中的处理上,还有一点非常重要的就是,维持着大量长连接后,如果客户端一直没有请求,或者客户端以为异常导致关闭了连接但是服务端并不知晓,那么这些无用的长连接,服务端肯定是需要清理的,避免占用大量资源。因此,针对 IM 场景,最合理的负载均衡策略,就是根据连接数来负载均衡,客户端新发起连接需要接入的接入层节点一定是连接数最少的,因为每台节点会需要控制最大连接数的限制才能保证最优性能,并且能够及时给压力大的节点减压。
linux iptables实现单机多ip出口ip负载均衡(宽带叠加)
MyBlog
11-18 8198
环境:服务器配有:10.10.0.196/197/198/199 四个ip 希望:实现对外发送请求时,对方看到我的出口ip每次都是不一样的,四个ip轮训作为出口IP 方案:iptables的nth模块 /sbin/iptables -t nat -I POSTROUTING -m state --state NEW -p tcp --dport 443 -o eth0 -m st
iptables的nf_conntrack相关参数引起两个问题
钱国正的专栏
06-13 6237
某关键业务系统上频繁出现业务失败,并发生了一次大规模业务中断。 该系统采用两台IBM Power 740运行AIX 6.1+Oracle 11gR2 RAC作为数据库服务器,两台DELL PowerEdge R720作为应用服务器,前端采用F5作为负载均衡设备。 数据库服务器和应用服务器之间有Cisco ASA5585硬件防火墙进行访问控制。 应用服务器上运行自行开发的C程序,通过Oracle
面试官:聊聊长连接下的负载均衡
mxt51220的博客
10-27 1205
本文介绍了长连接与短连接的特点,为什么需要做长连接负载均衡,以及几个长连接负载均衡的问题和解法,相对来说还是比较通俗易懂,希望对大家有所帮助。
K8S kube-proxy- iptable模式实现原理分析
阿磊的博客
11-30 1653
每台机器上都运行一个kube-proxy服务,它监听api-server 和endpoint变化情况,维护service和pod之间的一对多的关系,通过iptable或者ipvs为服务提供负载均衡的能力。通常kube-proxy作为deemonset运行在各种节点中。 kube-proxy 常支持以下二种: 1)iptables:iptable模式是目前的默认模式,可以看成是userspace模式的升级版,它将请求的代理转发规则全部写入iptable中,砍掉了kube-proxy转发的部分。整...
LVS负载均衡群集——超详细(2万字)
小柏ぁ的博客
11-18 1296
LVS群集详解 群集(集群)的称呼来自英文单词“Cluster”,表示一群、一串的意思,用在服务器领域则表示大量服务器的集合体,以区分于单个服务器。 LVS(Linux Virtual Server)Linux虚拟服务器,将多台虚拟主机组织起来满足同一个需求。由国人章文嵩博士开发,通过LVS提供的负载均衡可实现一个高性能、高可用的服务器群集,从而以低成本实现最优的服务性能。 LVS 官网:http://www.linuxvirtualserver.org/ 阿里SLB...
负载均衡连载之二
weixin_34348174的博客
09-27 205
6.2 故障隔离、失败切换框架keepalived        作者:田逸([email protected]) Keepalived是运行在lvs之上,它的主要功能是实现真实机的故障隔离及负载均衡器间的失败切换FailOver.lvs结合keepalived,就实现了3层、4层、5/7层交换的功能,下面摘录来自官方网站www.keepalived.org的一段描述: The main goal o...
iptables匹配statistic
redwingz的博客
05-08 1025
statistic匹配帮助信息如下。 # iptables -m statistic -h statistic match options: --mode mode Match mode (random, nth) random mode: [!] --probability p Probability nth mode: [!] --every n Match every nth packet
go-iptables:围绕iptables实用程序进行包装
04-28
go-iptables 绑定iptables实用程序。... Netfilter开发人员大力提倡使用iptables实用程序进行编程操作。 go-iptablesiptables实用程序的调用与附加和删除规则的函数包装在一起; 创建,清除和删除链。
rust-iptables:iptables的Rust绑定
05-07
iptables 此板条箱为Linux中的应用程序提供了绑定(受启发)。 这个板条箱使用iptables二进制文件来操作链和表。 此源代码是根据MIT许可(可在LICENSE文件中找到)许可的。 [ dependencies ]iptables = " 0.4 ...
Linux网络安全Netfilter机制与iptables工具
10-21
传统 ipchains 的任何功能(来源与目的封包过滤、导向、伪装)。 提供 Source NAT 与 Destination NAT 的功能。 可以针对特定使用者、群组、PID 等限制网络连结的过滤存取。 可以设定封包在 Routing Table 进出前时先...
Linux netfilter/iptables知识点详解
09-14
在本篇文章里小编给大家整理的是关于Linux netfilter/iptables知识点详解,有兴趣的朋友们可以参考下。
TCP-IP详解:滑动窗口(Sliding Window)
热门推荐
深邃 精致 内涵 坚持
09-07 12万+
从传输数据来讲,TCP/UDP以及其他协议都可以完成数据的传输,从一端传输到另外一端,TCP比较出众的一点就是提供一个可靠的,流控的数据传输,所以实现起来要比其他协议复杂的多,先来看下这两个修饰词的意义: 1. Reliability ,提供TCP的可靠性,TCP的传输要保证数据能够准确到达目的地,如果不能,需要能检测出来并且重新发送数据。 2. Data Flow Control,提供TCP的流控特性,管理发送数据的速率,不要超过设备的承载能力 为了能够实现以上2点,TCP实现了很多细节的功能来保证数
TCP-IP详解:快速重传与快速恢复
深邃 精致 内涵 坚持
09-23 4万+
快速重传算法 快速重传算法在之前的文章中有介绍,如果收到一个out-of-order的报文段时, TCP需要立刻产生一个ACK,这个ACK不应该被延时,目的在于让对方知道收到一个失序的报文,并告诉对方自己希望收到的报文seq,我们不知道这个重复的ACK的原因,因为还是会等待少量的重复ACK到来,如果连续收到3个或者3个以上的dup ACK,就被判断这个报文被丢失了,于是就需要立即重传丢失的数据段
TCP-IP详解: RTT和RTO的计算方法
深邃 精致 内涵 坚持
09-11 3万+
对于segment的重传,重传的时间RTO设定是非常重要的,如果设置太短,可能会导致并没有丢包而重传,如果设置太长了,可能因为等待ACK而浪费掉很多时间,牺牲传输的效率。从思想上来讲,其实我们还是希望重传的时间需要稍稍的大于RTT就可以了。但是这个RTT没有什么可以使用的定值,他是不断变化的。
TCP-IP详解:SACK选项(Selective Acknowledgment)
深邃 精致 内涵 坚持
09-11 3万+
参考教材:TCP-IP Guide 引入理由 在文章TCP-IP详解:超时重传机制中,有介绍到快速重传和超时重传都会面临到一个重传什么包的问题,因为发送端也不清楚丢失包后面传送的数据是否有成功的送到。主要原因还是对于TCP的确认系统,不是特别的好处理这种不连续确认的状况了,只有低于ACK number的片段都被收到才有进行ACK,out-of-order的片段只能是等待,同时,这个
netfilteriptables的区别
06-13
iptables是基于Netfilter框架的一个用户空间的工具,用于配置和控制Linux内核中的Netfilter子系统。 简单来说,Netfilter是一个内核层面的框架,提供了对网络数据包的处理和过滤的功能,而iptables是基于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值