![在这里插入图片描述](https://img-blog.csdnimg.cn/20190523164458835.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQyMjI3ODE4,size_16,color_FFFFFF,t_70)
上午的发现了,定义了所谓的DH算法,无论访问什么地址都往一个地址上调度
仔细想想应该可以想通为什么,是因为目标地址哈希基于访问rs服务器的IP地址,而不是url的哈希
因为lvs只是基于4层(传输层,网络层,mac地址,网络接口层),基于内核级的,内核级的是识别不了应用层协议的,而url是基于应用层的
lvs实现的是传输层以下的反向代理,要实现url 就需要nginx和haproxy
n是以数字方式显示
-L解析了,名字还不对
查看lvs的链接输出
现在没有,再访问一下看看
客户端地址,VIP
conns连接数
inpkts传入数据包 包的个数为单位
outpkts输出数据包 个数为单位
inbytes 字节数
outbytes 字节数
inpps 每秒传输数据包 个数
inbps每秒传入数据包 字节数
ipvs规则也是存放在内存中的
、
**地址写成16进制了,50=16进制数,16*5=80 **
-Z是清空计数器,数字就都没有了
清楚所有内容,类似iptables -F
刚才制定的规则其实是不保存的
可以把ipvs具体规则保存在文件里
**实现wlc,需要有权重,就是-w **
再次测试一下
轮循了
但是光这样敲是存不住的,存下来需要用save
本身不是保存的意思,只是把策略显示出来,但是把计算机名做了解析,ip地址反向解析成名字了
先把策略存放在一个位置
-C清除,之前保存的,试试重新加载
现在的规则就有问题了,因为反向解析的问题,强烈建议加n,不然解析出来不对
清除,重新再敲一遍命令,然后保存
查看启动的时候的定义
服务停的时候才保存,到指定的文件里
设置开机启动
开机的时候就会自动加载刚才我们配置的策略
nat的工作特性,支持端口,RIP和DIP不一定需要在一个网络,一般用nat模式也是一个网络的,因为路由器性能是比较差的,一般中间是交换机
机器重启过了,策略也没有丢,这就是nat模型
可以创建多个集群服务,同时放在一个lvs服务器,比如说实现一个https
端口都不一样
用6.9做,上面还没有什么服务,现在是个路由器
先把https先实现了,不去搭CA证书了,直接自签名证书
不用记,实在不行看看脚本
这些就直接生成自签名证书了
这个私钥是带口令的,每次使用的时候都会要求你输入口令
配合mod-ssl加密
加密以后需要调用文件,修改配置文件
最好把这些私钥文件放到和http相关的里面
私钥文件
重启服务需要输入口令
调度器增加一个服务
在路由器上建立一个网站
用客户端测试一下 -k把证书忽略一下,要不然会检查证书
再搭建一个就是轮循
接下来实现更为常见的DR
筹划一个拓补图
生产中,客户端的网关不可能是200,可能是离得最近的一个路由
6.9还原一下
都还原一下,需要用到5台机器
修改客户端地址和网关
重启网络服务
配置第二台主机,是一个路由器
生成另外一个网卡
修改一下网卡名字
重启一下服务器
还缺一个路由没有,需要加ipforward
先改后面的rs服务器,改一个ip就可以了
加一个gateway
给中间的路由器加上ipforward
-p生效一下
ping一下是否ping通
从外到里应该也能ping通
rs服务器需要加网关
另外一台也配置
现在网络已经都通了
现在开始正式LVS的配置,现在只是网络通了
VIP的地址一般不是绑定在物理网卡 ,而是绑定在回环网卡上lo,这个只是一个习惯,一般来讲绑定在回环网卡上
vip绑定i回环网卡上是为了,接收远程用户发的请求,一看是留用的地址,就不会把数据包抛弃
需要修改内核参数,来防止地址冲突
ignore设置为1,是在目标ip配置在本地请求报文的接口上,才给予响应 (别人问我,我也不搭理)
announce设置为2,必须避免,肯定不会将接口向非本网络进行广播(我也不把自己公布给其他人)
sysconfig/sysctl.conf 永久保存,临时的就敲命令
现在就算把地址配置到回环网卡上,也不会冲突了
32代表这个网络里就一台主机
重复这个操作在30.27上在配置一个
都拥有了自己的虚拟ip
先搭建web服务
安装httpd服务
在30.7上先测试
客户端可以,可能是vip导致的
查看是否mac地址冲突
一般都是坐在客户端去访问服务器,而不是lvs去访问服务器,所以lvs访问不了服务器也无所谓
现在配置调度策略,dr模型默认是g,默认就是dr模型,route是dr模型
客户端连接不过去,查看有没有问题
抓包试试
已经收到了,但是没有回应
查看路由有没有问题
先删除一个集群的服务器规则,测试看看,只往27上调度
收到报文,但是没有回去的包
把回环网卡上的地址先删除
加一个地址,再测试一下看看
设置地址冲突不报警的设置
绑定 在原来的网卡上
再加一个地址,只配置了一个VIP,还有一个DIP
这个是DIP
再绑定一个VIP
现在的规则是调度到27的主机上去
就成功了,之前可能是因为少配置了DIP
把17服务器加进去,而且是轮循的
就成了,所以说回环网卡,虚拟VIP绑定到哪里都可以
现在LVS服务器是有网关的,就可以把这个先干掉、
现在删除了网关,测试看一下
网关删除了就停止了,现在重新加一个网关
现在加回来也不动了
现在把规则保存
重启一下、
但是能通了,是因为服务器有一个放在eth0
网卡上了地址,相当于对外发布了,lvs重启,就自动连接上27了
现在把LVS服务器规则加载
把vip加上
写到文件里
就可以了
vip再重新加一下
网关不配不行,但是随便配(再找个网段里,,随便配一个地址)就是因为进来经过lvs但是回应不走lvs了
为什么不配网关不行,因为你的机器和别人访问的,如果你网关不配的话,就不让通讯
实现的是一个单网络的DR模型
-g 代表dr模型,可选可不选,因为默认就是dr模型
一个网段的缺点就是这些RIP都必须是公网地址
VIP和RIP都需要是公网地址,但是别人访问的是LVS,跟本访问不到你的公网地址,这样我们的公网地址就浪费了,而且这样做存在危险,会直接访问你
所以一般来讲,真正的生产环境是两个网段的,VIP公网地址,RS服务器RIP和DIP都是私网地址