内容简介:
关于dns服务器,有的公司是使用公共的dns,如:222.222.222.222、114.114.114.114等,也有的公司选择搭建自己的dns,能灵活更改配置来满足公司内部的需求;我所在公司是一家做语音呼叫、转发的客服公司,属于中小型企业,客服人数近千人,为了满足不同线路的需求,所以公司选择了自己搭建dns服务器;
通过本场 chat 包含了以下知识技能:
1.DNS服务---dnsmasq的使用和搭建;
2.nginx负载均衡---tcp、udp;
3.keepalived 高可用;
4.简单的iptables转发功能;
目录:
第一章、DNS服务器搭建和使用---dnsmasq
第二章、nginx负载均衡;
第三章、keepalived高可用;
第四章、使用nginx搭建高可用DNS服务器;
说明:一、二、三章之间没有必然的联系,每一章都是独立的知识点,到第四章会整合起来;
第一章---DNS服务器搭建和使用---dnsmasq
介绍:dnsmasq是一个轻便型的dns服务,特别适合局域网使用,搭建方便、配置简单、功能也很齐全;
1.安装dnsmasq: yum install dnsmasq -y
2、Dnsmasq的配置文件为:/etc/dnsmasq.conf
编辑/etc/dnsmasq.conf
找到下列参数修改或添加:
port=53 //服务开启的端口,改成其他端口也无妨,但要注意selinux;
resolv-file=/etc/resolv.dnsmasq.conf //会从这个文件中寻找上游dns服务器
strict-order //去掉前面的#
addn-hosts=/etc/dnsmasq.hosts //在这个目录里面ip和域名dnsmasq
listen-address=127.0.0.1,172.22.10.50 //监听地址,172.22.10.50是本机的ip地址;
3、修改/etc/resolv.conf
/etc/resolv.conf 定义了本机的dns地址(在本身不是dns服务器之前),将该文件内容注释并添加 nameserver 127.0.0.1 ,使用自己作为dns服务器;
4、创建 /etc/resolv.dnsmasq.conf 文件并添加上游dns服务器的地址
默认没有 /etc/resolv.dnsmasq.conf 这个文件的,需要按照dnsmasq配置文件中参数定义的路径创建;
touch /etc/resolv.dnsmasq.conf
echo 'nameserver 114.114.114.114' >> /etc/resolv.dnsmasq.conf
- 以 114.114.114.114 为上游的dns服务器;
resolv.dnsmasq.conf 中设置的是真正的nameserver,可以用电信、联通等公共的DNS,有可以多添加几个nameserver;
5、创建 /etc/dnsmasq.hosts 文件
touch /etc/dnsmasq.hosts
vim 编辑 /etc/dnsmasq.hosts 文件,添加ip对应的域名,例如:
192.168.111.111 xpt.redhat.cn
这样,当客户端要求解析 xpt.redhat.cn 时,会解析为192.168.111.111 ;
6.设置Dnsmasq开机启动并启动Dnsmasq服务:
systemctl start dnsmasq.service
systemctl enable dnsmasq.service
7.检查,看53端口是否打开,
netstat -tunlp | grep 53 查看Dnsmasq是否正常启动:netstat -tlunp|grep 53
tcp 0 0 0.0.0.0:53 0.0.0.0: LISTEN 2491/dnsmasq
tcp 0 0 :::53 ::: LISTEN 2491/dnsmasq
udp 0 0 0.0.0.0:53 0.0.0.0: 2491/dnsmasq
udp 0 0 :::53 :::
到此处,一个简单的dns服务器就搭建成功了,主要是理解配置文件中参数定义的文件路径都是什么作用;
可以使用 自己的windows电脑做测试,将自己windows的dns修改成搭建dns服务器的ip;
运行cmd,使用host 或者nslookup命令都可以:
hsot xpt.redhat.cn
nslookup xpt.redhat.cn
工作流程:
windows向dns服务器发送请求解析 xpt.redhat.cn ,dns服务器接收到之后先去 /etc/dnsmasq.hosts 文件中寻找有误匹配的ip、域名,如果有则返回域名对应的ip,如果没有则向 /etc/resolv.dnsmasq.conf 中定义的上级dns服务器发送请求解析;
来自我的博客: https://blog.51cto.com/13577495/2293863
第二章---nginx负载均衡---tcp、udp
Nginx (engine x) 是一款轻量级的Web 服务器 、反向代理服务器及电子邮件(IMAP/POP3)代理服务器,同时nginx也可以实现简单的负载均衡功能。
nginx官网下载地址:http://nginx.org ,发布版本分为 Linux 和 windows 版本。也可以下载源码,编译后运行。
1.安装
安装nginx所需的依赖包:
yum -y install gcc gcc-c++ autoconf automake
yum -y install zlib zlib-devel openssl openssl-devel pcre-devel
//下载之后解压nginx:
tar xzvf nginx-1.10.3.tar.gz
//进入nginx目录
cd nginx-1.10.3
//预编译,因为要负载udp,所以需要编译进去一个模块;
./configure --with-stream
//make编译、安装
make && makeinstall
此时,nginx就会安装到默认目录: /usr/local/nginx 下了;
/usr/local/nginx/conf/nginx.conf 就是nginx的主配置文件了
如果负载的是tcp,如web服务,配置:
user www www;
worker_processes 4;
error_log logs/error.log info;
pid logs/nginx.pid;
events {
use epoll;
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log logs/access.log main;
sendfile on;
tcp_nopush on;
keepalive_timeout 65;
gzip on;
upstream test1 {
server 172.22.10.237:80;
server 172.22.10.50:80;
}
server {
listen 80;
server_name www.xpt.com;
charset utf-8;
access_log logs/host_80.access.log main;
location / {
proxy_next_upstream http_502 http_504 error timeout invalid_header;
proxy_pass http://test1;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
}
location = /50x.html {
root html;
}
}
}
重点在于 upstream test1 和 server ;
server定义了监听本服务器的端口,当客户端请求该端口的时候会将请求分流到 test1 中定义的主机ip或端口;
这是负载web服务的方法,如果负载dns请求是不是修改一下分流的端口就可以了?答案是不行的,因为负载tcp和udp的配置方法是不同的;
***修改配置文件,负载udp;
worker_processes 4;
events {
worker_connections 1024;
}
stream {
upstream dns {
server 172.22.10.237:53 weight=1;
server 172.22.10.50:53 weight=1;
}
server {
listen 53 udp;
proxy_connect_timeout 1s;
proxy_timeout 20s;
proxy_pass dns;
}
}
***这样,客户端的dns请求就会按照nginx的配置被送到172.22.10.237和172.22.10.50上,前提是两服务器上都搭建有dns服务并能正常解析;
来自我的博客: https://blog.51cto.com/13577495/2334063
三、keepalived高可用;
Keepalived是基于vrrp协议的一款高可用软件;何为高可用?举个例子吧,有两台服务器,一主一备,主服务器负责对外提供服务,备用服务器则以备不测,当主服务器宕机时,备用服务器就顶替主服务器对外提供服务;keepalived就是为两台服务器提供一个共同的虚拟ip---VIP,平时VIP在主服务器上,当主服务宕机,VIP就跑到备用服务器上,引导客户端访问流量到备用服务器,从而实现高可用;
1.安装: yum install keepalived -y
2.主配置文件: /etc/keepalived/keepalived.conf
操作演示:
环境为两台centos7的服务器: 172.22.10.237 和 172.22.10.50 ;两台都安装了keepalived;
172.22.10.237:/etc/keepalived/keepalived.conf 配置:
! Configuration File for keepalived
global_defs {
router_id ld444 //定义路由标识信息,相同局域网唯一
}
vrrp_instance VI_1 {
state MASTER //状态参数,master/backup,只是说明
interface ens192 //虚IP地址放置的网卡位置
virtual_router_id 88 //同一家族要一致,同一个集群id一致
priority 150 //优先级决定是主还是备,越大越优先
unicast_src_ip 172.22.10.237 //填写自己的ip
unicast_peer {
172.22.10.50 //同组中其他服务器ip
}
advert_int 1 //主备通讯时间间隔
authentication {
auth_type PASS
auth_pass 8888 //基于密码认证;
}
virtual_ipaddress {
172.22.10.210/24 dev ens192 label ens192:0 //设备之间使用的虚拟ip地址
}
}
172.22.10.237:/etc/keepalived/keepalived.conf 配置:
! Configuration File for keepalived
global_defs {
router_id ld555
}
vrrp_instance VI_1 {
state BACKUP
interface enp4s0
virtual_router_id 88
priority 100
unicast_src_ip 172.22.10.50
unicast_peer {
172.22.10.237
}
advert_int 1
authentication {
auth_type PASS
auth_pass 8888
}
virtual_ipaddress {
172.22.10.210/24 dev enp4s0 label enp4s0:0
}
}
***如果两台服务器之间的交换机开启了组播功能的话就不需要 unicast_src_ip 和 unicast_peer 的配置了,
这个配置是为了防止交换机没有开启组播功能而无法将vrrp协议发送到指定的备用服务器上;
在两条服务器上启动服务并加入开机启动:
systemctl start keepalived //启动服务;
systemctl enable keepalived //加入开机启动;
这个时候172.22.10.237就会每隔一秒往172.22.10.50发送vrrp包:
172.22.10.50就会以有没有收到主服务器发来的vrrp包来确认主服务器是否存活;
如果能收到,证明主服务器存活,不作出任何动作;
如果收不到vrrp包,就会认为主服务器宕机,这时就会启动VIP来接管服务,顶替主服务器业务;
我们再看看两边的ip:
大家会看到172.22.10.237上会有一个辅助ip ens192:0,这个ip就是VIP了;而172.22.10.50上没有(enp8s0是另一个网卡)
这时,我把172.22.10.237关机来模拟宕机,再看172.22.10.50的网卡:
这个VIP会跑到enp4s0:0上;
注意,当172.22.10.237恢复之后就会继续向172.22.10.50发送vrrp包,172.22.10.50收到vrrp包后就知道主服务器恢复了,
就会关掉VIP,让主服务器继续接管;
keepalived最初是为lvs负载均衡设计的,但并不是一定要和lvs在一起才能使用,keepalived还有其他更进一步的功能,
比如:邮件报警、健康检查、配合lvs做负载均衡、主备双活高了用......等;
四、使用nginx搭建高可用DNS服务器;
到这里就是最后的架构、搭建了;如何做一个高可用的dns服务器呢?
学过上面的知识后,首先可能想到的就是这样:
让nginx负载dns的解析请求,这样对外提供一个172.22.10.156这个ip就可以了;
但是......如果nginx这台服务器出了问题呢?想这种单点故障在企业中都是严禁出现的,各种服务都是有备用方案以备不测的;
既然这样那就换个架构,网上最常见的lvs高可用负载均衡:
对,这样的话就需要4台服务器了,且占用了很多资源;
那如果把nginx负载的功能塞进两台服务器本身呢?
对,这也是公司搭建dns服务的最终架构方案了;两台服务器一主(172.22.10.237)一备(172.22.10.50),实现高可用也实现了负载均衡;客户端只需要向172.22.10.210这个ip请求就可以了;其中还有端口和防火墙转发的知识,后面会一一讲明;
大致的工作流程:
1.客户端向172.22.10.210发送解析请求;
2.172.22.10.210将请求因导至主服务器(172.22.10.237);
3.主服务器(172.22.10.237)的接收请求,通过nginx进行负载均衡,将请求根据配置规则分发到自己的dns服务和备用服务器的dns服务
准备环境:
一、将172.22.10.237和172.22.10.50上搭建dns服务器,我这里使用的dnsmasq,你也可以换成别的;
搭建流程就按照第一章的搭建即可,不过要将dns开启的端口换成别的!!! 我把dns的端口换成了 5454,你也可以换成其他端口,
但是不要占用53端口!因为后面nginx要使用53端口来接收客户端的请求;
然后开启dns服务,设置开机启动;
二、搭建nginx服务;
由于是分发udp数据,所以编译的时候需要 --with-stream 模块;直接上我的配置了
172.22.10.237和172.22.10.50上 nginx.conf 的配置相同:
#user nobody;
worker_processes 4;
events {
worker_connections 1024;
}
stream {
upstream dns {
server 172.22.10.237:5353 weight=1;
server 172.22.10.50:5354 weight=1;
}
server {
listen 53 udp;
proxy_connect_timeout 1s;
proxy_timeout 20s;
proxy_pass dns;
}
}
然后启动nginx,这样nginx就占用了53端口,客户端请求的时候就可以代理接收;
三、172.22.10.237和172.22.10.50搭建keepalived;
上面已经说过如何搭建了,这里就不再啰嗦,直接上我的配置了;
172.22.10.237的/etc/keepalived/keepalived.conf :
! Configuration File for keepalived
global_defs {
router_id ld444
}
vrrp_instance VI_1 {
state MASTER
interface ens192
virtual_router_id 88
priority 150
unicast_src_ip 172.22.10.237
unicast_peer {
172.22.10.50
}
advert_int 1
authentication {
auth_type PASS
auth_pass 8888
}
virtual_ipaddress {
172.22.10.210/24 dev ens192 label ens192:0
}
}
172.22.10.50的/etc/keepalived/keepalived.conf :
! Configuration File for keepalived
global_defs {
router_id ld555
}
vrrp_instance VI_1 {
state BACKUP
interface enp4s0
virtual_router_id 88
priority 100
unicast_src_ip 172.22.10.50
unicast_peer {
172.22.10.237
}
advert_int 1
authentication {
auth_type PASS
auth_pass 8888
}
virtual_ipaddress {
172.22.10.210/24 dev enp4s0 label enp4s0:0
}
}
两服务器都启动keepalived并设置加入开机自启;
这时172.22.10.210这个ip就会挂在主服务器172.22.10.237的网卡上;
并且在172.22.1050上能接收到vrrp的数据包:
四、配置防火墙转发;
最后一步! 配置防火墙转发,
PREROUTING 表示数据包进入服务器的第一道“大门”,需要在这里做一个nat转发;
在172.22.10.237上执行:
iptables -t nat -A PREROUTING -d 172.22.10.210 -p udp --dport 53 -j DNAT --to 172.22.10.237:53
在172.22.10.50上执行:
iptables -t nat -A PREROUTING -d 172.22.10.210 -p udp --dport 53 -j DNAT --to 172.22.10.50:53
-d : 目标主机
-p : 协议
--dport : 目标端口
-j DNAT : 转发
--to : 转发到
上面执行后效果就是:将客户端访问我172.22.10.210的53端口的udp协议转发给自己172.22.10.XXX的53端口;
明白了吧,再说一遍流程,客户端请求 172.22.10.210 ,dns解析会找53端口,刚到服务器就被防火墙拦下了,并且转发到了主ip的53端口,
53端口的请求被nginx接收,nginx按照配置规则进行负载分发到172.22.10.237:5454 和 172.22.10.50:5454,这样dnsmasq就接收到了,继而进行解析、反馈;