LVS高级应用-借助防火墙标记分类报文

最新推荐文章于 2019-10-09 09:27:38 发布
最新推荐文章于 2019-10-09 09:27:38 发布
阅读量794 收藏 1
点赞数
分类专栏: LVS 文章标签: 借助防火墙做标记 LVS高级应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/L835311324/article/details/82634215
版权

有时候会有一种需求,将多个不同的应用用同一个集群进行调度。比如http 和 https是两个集群服务。访问电商网站浏览商品的时候使用的是http链接。但是如果要购买的时候会跳转到https链接。但是https和http不是同一个集群服务。如果跳转到不是同一台主机。会话就没办法保持。可能这时候商品就没了,这时候怎么办?我们就可以借助防火墙打标机来分类报文,将http和https当作同一个集群服务,来做会话保持。

方法:

#打标记方法(在Director主机):
iptables -t mangle -A PREROUTING -d $vip -p $proto --dport $port -j MARK --set-mark NUMBER 

#示例:将目的ip是192.168.253.192,目的端口是80和443的数据包都打上80443的标记
iptables -t mangle -A PREROUTING -d 192.168.253.192   -p tcp -m multiport --dport 80,443  -j MARK --set-mark 80443

#基于标记定义集群服务:
ipvsadm -A -f NUMBER [options]

#示例:新增一个集群服务,基于防火墙标记进行划分,调度方法为轮询
ipvsadm -A -f 80443 -s rr

实验环境:
RS

RSRIPVIP系统版本软件提供的服务
RS1192.168.253.129192.168.253.192CentOS6Nginxhttp,https
RS2192.168.253.140192.168.253.192CentOS7Nginxhttp,https

DR

DRDIPVIP系统版本软件提供的服务
DR192.168.253.128192.168.253.192CentOS7ipvsadm,iptables四层负载均衡

LVS使用的模式:DR

第一步:RS1端安装Nginx

#添加阿里景象站的epel源,不同的系统方式不一样,RS1是CentOS6系统
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo
#yum安装Nginx
yum install nginx -y
mkdir /etc/nginx/ssl

第二步:RS2端安装Nginx

#添加阿里景象站的epel源,不同的系统方式不一样,RS2是CentOS7系统
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
#yum安装Nginx
yum install nginx -y
mkdir /etc/nginx/ssl

第三步:在DR服务器上自建CA,并签发证书

#自建CA
(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
 openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
touch /etc/pki/CA/{serial,index.txt}
echo 01 > /etc/pki/CA/serial
#签发证书,域名为www.ice.com
mkdir -pv  ~/nginx
(umask 077; openssl genrsa -out ~/nginx/ssl.key 2048)
openssl  req -new -key ~/nginx/ssl.key  -out ~/nginx/ssl.csr -days 365 
openssl ca -in ~/nginx/ssl.csr  -out ~/nginx/ssl.crt

第四步:将DR签发的证书,分发到RS1和RS2的/etc/nginx/ssl目录中

scp ~/nginx/ssl.key  root@192.168.253.140 /etc/nginx/ssl/ssl.key
scp ~/nginx/ssl.key  root@192.168.253.129:/etc/nginx/ssl/ssl.key
scp ~/nginx/ssl.crt  root@192.168.253.140:/etc/nginx/ssl/ssl.crt
scp ~/nginx/ssl.crt  root@192.168.253.129:/etc/nginx/ssl/ssl.crt

第五步:修改RS1和RS2的nginx配置文件,配置http和https连接
RS1端配置

mkdir -pv /var/www/html/{http,https}
echo "192.168.253.129:80">/var/www/html/http/index.html
echo "192.168.253.129:443">/var/www/html/https/index.html

nginx配置文件

worker_processes  1;
events {
    worker_connections  1024;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
    server {
        listen       80;
        server_name  localhost;
        root         /var/www/html/http;
        location / {
            index  index.html index.htm;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }
    server {
        listen       443 ssl;
        server_name  www.ice.com;
        ssl_certificate      /etc/nginx/ssl/ssl.crt;
        ssl_certificate_key  /etc/nginx/ssl/ssl.key;
        ssl_session_cache    shared:SSL:1m;
    }
}

RS2端配置

mkdir -pv /var/www/html/{http,https}
echo "192.168.253.140:80">/var/www/html/http/index.html
echo "192.168.253.140:443">/var/www/html/https/index.html

nginx配置文件

user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;
include /usr/share/nginx/modules/*.conf;
events {
    worker_connections 1024;
}
http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
    sendfile            on;
    tcp_nopush          on;
    tcp_nodelay         on;
    keepalive_timeout   65;
    types_hash_max_size 2048;
    include             /etc/nginx/mime.types;
    default_type        application/octet-stream;
    include /etc/nginx/conf.d/*.conf;
    server {
        listen       80 default_server;
        listen       [::]:80 default_server;
        server_name  _;
        root         /var/www/html/http;
        include /etc/nginx/default.d/*.conf;
        location / {
        }
        error_page 404 /404.html;
            location = /40x.html {
        }
        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
    }
    server {
        listen       443 ssl http2 default_server;
        root         /var/www/html/https;
        ssl_certificate "/etc/nginx/ssl/ssl.crt";
        ssl_certificate_key "/etc/nginx/ssl/ssl.key";
        ssl_session_cache shared:SSL:1m;
    }
}

第六步:在RS1和RS2上修改内核参数,设置VIP

ifconfig lo:0 192.168.253.192/32   up
echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
echo 1 > /proc/sys/net/ipv4/conf/lo/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce
echo 2 > /proc/sys/net/ipv4/conf/lo/arp_announce

第七步:DR:配置VIP,借助防火墙做标记,将http和https当作同一个集群

ifconfig ens33:0 192.168.253.192 up
iptables -F
iptables -t mangle -A PREROUTING -d 192.168.253.192   -p tcp -m multiport --dport 80,443  -j MARK --set-mark 80443
ipvsadm -A -f 80443 -s rr
ipvsadm -a -f 80443 -r 192.168.253.129 -g 
ipvsadm -a -f 80443 -r 192.168.253.140 -g

第八步:测试
我们在这几台服务器之外重新开了一台服务器,假装用户,ip为192.168.253.158,需要将自建的CA文件发送过去

##DR端操作
scp /etc/pki/CA/cacert.pem  root@192.168.253.158:~/

然后修改一下/etc/hosts文件

#假装用户的服务器修改/etc/hosts
#添加一条
192.168.253.192  www.ice.com

然后可以访问测试了
这里写图片描述
这里可以看出。将80和443当作一个集群服务,所以进行轮询第一次是访问192.168.253.140的80端口。第二次则访问192.168.253.129的443端口。这样一直下去。

第九步:修改DR上的ipvsadm的调度算法。
修改调度算法为sh,进行ip绑定,让相同主机访问的服务器是同一个,这样就可以在http切换https的时候也会在同一个服务器达到会话保持的目的。

#DR端
ipvsadm -E -f 80443 -s sh

第十步:再次测试
我们修改了调度方法之后再次测试
这里写图片描述
现在可以看到全部都绑定在了192.168.253.140这个服务器上了。

十五十六
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
lvs 防火墙标记和持久连接 详解
weixin_44983653的博客
09-27 536
lvs 防火墙标记和持久连接 详解VS 和 RS搭建 https 和 http 服务1、VS 建立 CA2、VS 签署证书3、VS 把证书发送给 RS14、VS 把证书发送给 RS24、RS1 和 RS2 的 HTTP 和 HTPPS 设置5、VS 进行 RS1 和 RS2 的 HTTP/HTTPS 的访问ipvsadm -f 示例1、FWM:FireWall Mark 简介2、VS 的 ipvs...
lvs持久连接及防火墙标记实现多端口绑定服务
reblue520的专栏
03-14 316
lvs持久连接及防火墙标记实现多端口绑定服务 LVS持久连接: PCC:将来自于同一个客户端发往VIP的所有请求统统定向至同一个RS; PPC:将来自于一个客户端发往某VIP的某端口的所有请求统统定向至同一个RS;  PFMC: 端口绑定,port affinity 基于防火墙标记,将两个或以上的端口绑定为同一个服务 一、安装ipvs环境 具体请参考...
LVS 端口绑定(防火墙标记
睨噷蹇蜣的博客
12-06 1678
防火墙标记主要解决的是端口亲缘性问题 1.LVS添加VIP的时候,是否可以不指定端口呢? 原因就是我的真实服务器中开有多个端口,比如说RS开有 80 81 82 83,我希望访问 VIP:80的时候转到 RS:80 , VIP:81的时候转到 RS:81 ,以此类推 由于端口比较多,我不希望为每个端口添加一次配置 2.一个用户只想在同一台realserver上操作的情况,例如ftp,用户在写操...
lvs高级配置(持久连接、防火墙标记
测试
04-13 233
lvs高级配置(持久连接、防火墙标记) 一、对于session的绑定 session绑定:lvs sh调度算法对某一特定服务;如果开始http访问需要认证转为https认证就有可能分配到另一台服务期。只能特定单独的服务,不支持高级调度算法。 lvs persistence:lvs的持久连接 二、功能: 无论ipvs使用何种调度方法,其都能实现将来自于同一个Client的请求始...
nginx反向代理,lvs-nat和lvs-dr类型,lvs-基于防火墙标记,lvs健康状态检测
qq_42616691的博客
10-09 713
nginx反向代理,负载均衡: ngx_http_proxy_Module 反向代理模块: (1) proxy_pass URL; 注意:proxy_pass后面的路径不带URL时,会将location的rul传递给后端主机 server { listen 80; server_name www.ilinux.io; location /admin { ...
防火墙标记服务
weixin_34413103的博客
10-28 116
防火墙标记只能把多个服务定义成同一个类的,如何把将来之于同一个客户端的所有请求都定义到同一个realserver上? 使用LVS persitence 假设对于特定客户端cip的某个特定请求如http和mail都给定向到同一个realserver上去,需在Director上防火墙标记。 1、director上: iptables -A mangle -t PREROU...
sery-lvs-cluster.rar_cluster_lvs_sery-lvs-cluster
09-14
总的来说,"sery-lvs-cluster.pdf"这份文档将引导初学者深入理解LVS集群技术,掌握其基本概念、工作原理、配置方法以及实际应用,对于希望构建高可用网络服务的IT从业者来说是一份宝贵的参考资料。
LVS VS-DR报文过程分析
04-02
LVS VS-DR 报文过程详解》 LVS(Linux Virtual Server)是一种高性能的负载均衡解决方案,其中VS-DR(Direct Routing)模式是一种基于网络层的负载均衡技术。在VS-DR模式下,客户端的请求直接发送到真实服务器,...
关于linux的综合实验lvs-nginx-dns-tomcat-httpd-nfs
最新发布
05-24
1. 通过keepalived确保lvs、nginx、dns以及网关的高可用 2. 通过lvs的NAT模式实现httpd负载均衡 3. 通过nginx实现tomcat负载均衡 4. 通过nfs提供共享存储 5. 通过www.benet.com访问httpd,www.accp.com访问tomcat
lvs-kiss-开源
05-02
lvs-kiss提供动态负载平衡和故障转移。 易于使用且功能强大。 用perl编写。
keepalived 防火墙配置
u013220323的专栏
11-01 5319
今天搭建了个nginx+keepalived主从负载均衡,在怎么让前端两台nginx+keepalived通信上,很纠结。 按照网上教程部署后,无法通过vip进行主从服务器的切换,排查原因,排查了一下午,才发现,当防火墙关闭后,主从服务器ninx页面切换溜溜的,启动防火墙后,无法切换,也无法访问,郁闷。 原来是防火墙的原因,在网上查了资料后才知道,原来vrrp协议是需要配置的,找到一篇可用的,
企业Web安全防御:防火墙概述
jpygx123的博客
10-30 1939
防火墙概念: 网络安全设备(系统) 用于加强网络间的访问控制 防止外部用户非法使用内部网的资源 保护内部用户的设备不被破坏 防止内部网络的敏感数据被窃取 能根据网络安全策略控制(允许、拒绝、检测)出入网络的信息流,且本身具有较强的抗攻击能力。 防火墙是用于将信任网络和非信任网络隔离的一种技术,它通过制定相应的安全策略,可检测、限制、更改跨越防火墙的数据流,来保护信任网络以防止发生不可预...
防火墙Mangle-连接标记和包标记-从零开始学RouterOS系列09
bierxiu9789的博客
08-09 635
本章主要用途:连接标记和包标记的关系QOS里面的连接标记,对于主要是对于符合规则的数据包进行归类,用于其他模块的调用,如常见的队列Queue,策略路由,PCC多拨等。我们先讲解一下连接标记和包标记,这是为了后面的队列树前提。首先连接是什么?当我们发起一个请求的话,请求网站提供图片下载,就是一条连接。那么图片很大,需要很多次数据包才能下载完成。这就是连接和数据包的关系。一个连...
Lvs Forward 防火墙标记
weixin_34277853的博客
10-20 167
环境: 使用NAT模型Director(堡垒机):192.168.11.26 外网 20.1.1.254 内网RS1:20.1.1.11 网关 20.1.1.254RS2:20.1.1.12 网关 20.1.1.254一、堡垒机[root@web2~]#iptables-APREROUTING-...
iptables防火墙详解(四)使用layer7添加应用层过滤功能
weixin_34367257的博客
08-07 162
在前面的几遍文章中我学习了Linux防火墙iptables,大家也都知道iptables防火墙是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙。以基于网络层的数据包过滤机制为主,同时提供少量的传输层、数据链路层的过滤功能。难以判断数据包对应于何种应用程序(如:QQ MSN等)安装netfilter-layer7补丁包的作用通过为Linux内...
lvs+iptables持久连接
weixin_34015860的博客
11-23 325
例:基于某个客户主机的持久链接,后方两台服务器,前方两台directory,使得某个客户端访问某个服务器时会对这台服务器进行持久的链接。 PCC基于客户端的连接 Ipvsadm –A –t 192.168.2.100:0 –s rr –p 1800 测试: 例:基于某个客户主机端口的持久链接,后方两台服务器分别装有wed server(htt...
linux lvs持久链接和防火墙标记实现http和https共享同一集群服务
小国 -- 致力于网站性能架构,PHP程序开发
05-09 1890
在对web服务lvs负载均很集群的时候(这里主要考虑dr模式中的rr调度算法,weight都为1),有一种问题就是如何让session共享。 例如一个用户登录了一个网站,此时负载均衡到的一个服务器是a服务器,然后发表帖子以后,由于负载均衡的影响,会马上负载均衡到b 服务器,由于session是保存在服务器端的,这个时候用户的session在a服务器上,b服务器上没有这个session信息,就
lvs+keepalived防火墙问题
kaka20099527的专栏
07-26 2969
lvs keepalived 防火墙需开通vrrp协议

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值