背景
物理机上部署的 k8s 没有负载均衡器, 其 nginx-ingress 部署 master 节点上, 并且在 hostnetwork 上监听 80 和 443 端口, 如果 k8s 前面没有 lvs 等负载, 那么请求只会到其中一台 nginx-ingress 上, nginx-ingress 相当于是主备模式, 单个 nginx-ingress 会成为性能瓶颈, 所以需要在 k8s 前面部署 lvs, 并且使用 DR 模式, 如图
术语
CIP: 客户的 ip
DIP: lvs 上用于与后端服务器进行数据交互的 ip, lvs 修改完 MAC 地址后, 将包从该 ip 发到 lan 上
RIP: 后端服务器的 ip, 需要跟 DIP 在同一网段
VIP: 对外提供服务, 由 keepalived 生成的虚 ip, 一般是外网
lvs: lvs 服务器, 部署了 lvs 服务, 用于负载流量到后端真实服务器
RealServer: 后端真实服务器
DR 模式优缺点
优点
- 由于请求经过
lvs到RealServer, 但是相应直接从RealServer到客户端, 不再走lvs, 所以性能和效率都很高
缺点
- 不支持端口映射, 也就是
RealServer和vip提供的端口必须一致, 因为DR模式,lvs只修改包的MAC地址, 不涉及三层的修改 RealServer与LVS不能在同一台机器上, 详见: http://linbo.github.io/2017/08/20/lvs-dr
备注
- 可以直接使用
ipvsadm来创建lvs规则,但没有vip保证ip高可用,而keepalived本身就是lvs实现的,所以可以直接通过keepalived来实现lvs规则,并且有vip NAT模式lvs需要开启路由转发(echo "1" > /proc/sys/net/ipv4/ip_forward),DR模式不需要DR模式的每台lvs服务器以及RealServer服务器的lo口上都绑定有vip, 而这么多服务器有同一个外网vip, 如何保证客户端访问到lvs的vip, 就需要RealServer设置ARP抑制- 如果
lvs只有一个外网口,DIP和RIP需要在同一网段,也就是DIP,VIP,RIP要在同一网段,也就是都要使用外网ip,如果有两台lvs,两台RealServer,那么总共需要5个外网ip,同时因为RealServer有公网ip,那么RealServer其实可以直接对外提供服务,但将RealServer暴露在外网不太安全 - 上面的方式太消耗外网
ip,并且不安全,所以实际使用中可以只使用一个外网ip实现DR模式,也就是VIP与 (DIP和RIP) 使用不同网段,其中VIP使用外网段,DIP和RIP使用内网段,其中lvs要有两个网口,其中一个网口用于绑定vip,另一个网口用于绑定内外ip,与RealServer的内网ip相通,并且设置RealServer的默认路由为自己的内网路由器网关,不能是DIP,详见:(如果RealServer默认网关想使用DIP,需要打补丁,太麻烦) vip要配置在RealServer的lo口, 并且子网掩码必须是32位, 如果不是32位, 例如24位,lo会相应整个24段的所有ip的请求
部署
最终环境
操作系统均为 ubuntu18.04
| 角色 | 内网ip | 外网ip | vip |
|---|
最低0.47元/天 解锁文章
356
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
