NAT模式实现加密调度

实验准备:禁用selinux,禁用iptables,同步time,避免调度数据时间不一样,日志什么的都很麻烦。

实验思路:这是一个简单的实现调度的实验,调度器充当路由器,需要实现路由转发的功能。realserver都是在同一个网段,使用私网地址,记住把realserver桥接的网卡都断开。

实验步骤:

第一步:做好实验准备

iptables -F

setenforce   0

ntpdate 172.17.0.1或者hwclock  -s  把Bios时间写入系统时间

第二步:准备好两个realserver,做真实的web服务器

yum install httpd

systemctl start  httpd

第三步:断开桥接的网卡

ifconfig ens37 down

ifconfig eth1 down

第四步:配置realserver网关指向dip,原路返回

route add default gw 192.168.253.142

第五步:VS充当路由需要路由转发功能

echo 1 > /proc/sys/net/ipv4/ip_forward

或者如下修改配置文件

vim /etc/sysctl.conf

net.ipv4.ip_forword = 1

第六步:准备VS,安装ipvsadm软件包。

yum install ipvsadm

第七步:配置NAT模式

ipvsadm -A -t 172.17.252.78:80 -s wlc

ipvsadm -a -t 172.17.252.78:80 -r 192.168.253.250:80 -m -w 1

ipvsadm -a -t 172.17.252.78:80 -r 192.168.253.129:80 -m -w 1

第八步:在realserver写入俩站点测试

echo aliyun.com >/var/www/html/index.html

echo  baiduyun.com >/var/www/html/index.html

第九步:查看VS配置

ipvsadm  -ln

第十步:测试页面

curl 172.17.252.78

Tips:

1.网关不要搞错,不然可能不会按照指定的路径连接。

2.ipvsadm保存操作

保存:建议保存至/etc/sysconfig/ipvsadm

ipvsadm-save > /PATH/TO/IPVSADM_FILE

ipvsadm -S > /PATH/TO/IPVSADM_FILE

systemctl stop ipvsadm.service

重载:

ipvsadm-restore < /PATH/FROM/IPVSADM_FILE

ipvsadm -R < /PATH/FROM/IPVSADM_FILE

systemctl restart ipvsadm.service


实验补充:实现加密

第一步:安装mod_ssl软件包,生成加密配置文件

yum install mod_ssl

第二步:生成自签名证书

cd /etc/pki/tls/certs

make  httpd.pem   ----私钥和文件放在一起的

或者

make  httpd.crt  ---方便,不用更改路径,是分开私钥和证书,但是需要输入密码

第三步:更改配置文件,证书和私钥路径

vim  /etc/httpd/conf.d/ssl.conf


SSLCertificateFile /etc/pki/tls/certs/httpd.crt

SSLCertificateKeyFile /etc/pki/tls/certs/httpd.key

systemctl  restart httpd

第四步:用crt的方式需要自己解密,不然一直输入密码很麻烦

openssl rsa -in httpd.key -out httpd2.key

cp  httpd2.key httpd.key

rm httpd2.key

第五步:建立realserver各自的443站点

Centos7:

mkdir /app/website2  -p

echo aliyun.com 443 >  /app/website2/index.html

Centos6:

mkdir /app/website  -p

echo baidu.com 443 > /app/website/index.html

echo baidu.com 443 > /app/website/index.html

第六步:重启realserver服务,然后在VS上加上NAT调度配置

ipvsadm -A -t172.17.252.78:443 -s wlc 

ipvsadm -a -t172.17.252.78:443 -r 192.168.253.250:443 -m -w 1   

ipvsadm -a -t172.17.252.78:443 -r 192.168.253.129:443 -m -w 1

第七步:客户端测试b181ede6009cdf6a53fc68afc87dd1c6.png