iPVS FULLNAT
FullNAT: 除了DR/NAT/TUNNEL之外IPVS下的新的包转发模式,解决了DR/NAT/TUNNEL中的一些缺点(如不能跨vlan或者跨vlan成本太高,服务搭建较复杂,不易运维等)。
主要规则如下:
local ip address (IDC internal ip address, lip)
IPVS 转换cip-vip 到/来自 lip-rip,这里的lip和rip都是IDC 内部ip地址,所以LVS负载均衡器和真实主机可以不在同一个vlan中, 而且真实主机只需要接入内网。
FULLNAT实现如下功能:
1.数据包从外部进来的时候,目标ip更换为realserver ip,源ip更换为内网local ip;
2.数据包发送出去的时候,目标ip更换为client ip,源ip更换为vip;
性能:和NAT比,正常转发性能下降<10%;
SYNPROXY: 抵御同步泛滥(也叫拒绝服务攻击DDoS)攻击
Linux kernel 2.6.32 IPVS下的FullNAT和SYNPROXY程序代码 是由阿里的吴家明和360的陈建以及淘宝朱顺明,在阿里章文嵩的一些建议下写成的。程序代码的写成也受到了源NAT和SYNPROXY 思想的影响。
FullNAT和 SYNPROXY支持被吴家明加到了keepalived/ipvsadm
编译
1. LVS Kernel
1.1 从redhat获取kernel rpm:
这里放在host1主机root用户的加目录下
kernel-2.6.32-220.23.1.el6.src.rpm1.2 获取kernel源码
rpm -ivh kernel-2.6.32-220.23.1.el6.src.rpm
cd ~/rpmbuild/SPECS
#yum provides */rpmbuild
#yum install rpm-build-4.8.0-37.el6.x86_64
rpmbuild -bp kernel.spec注意:执行rpmbuild -bp kernel.spec命令的时候可能会提示一些依赖需要解决,可以通过yum源或者下载相应的rpm包来解决依赖问题(perl(ExtUtils::Embed) 包名为perl-ExtUtils-Embed)。然后还有一个问题:过程中会停下来,这时候需要执行以下命令的一条或者两条用来生成随机数(新开终端):
yum whatprovides *\rngd
yum install rng-tools-2-13.el6_2.x86_64 -y
rngd -r /dev/urandom1.3 添加lvs补丁
tar zxf Lvs-fullnat-synproxy.tar.gz ##解压补丁
cd /root/rpmbuild/BUILD/kernel-2.6.32-220.23.1.el6/linux-2.6.32-220.23.1.el6.x86_64 ##切换工作目录到内核文件目录中:
cp /root/lvs-fullnat-synproxy/lvs-2.6.32-220.23.1.el6.patch ##复制到当前目录就是内核文件目录中
patch -p12.6.32-220.23.1.el6.patch ##打补丁
1.4 打完补丁后我们来进行编译安装(虚拟机的话尽量内存给的大一点,因为比较费时间,物理机的话可以多开几个线程同时编译)
make ##物理机的话可以加参数 -j16 ,表示同时开启16个线程进行编译;编译时间较长,耐心等待或者打局游戏再来看
make modules_install ##安装模块
make install 执行完以上步骤之后修改/boot/grub/grub.conf文件中第一个出现的default值为0,然后reboot,主机起来后使用uname -r查看结果是否为kernel-2.6.32,如果是的就可以去3. LVS 工具的安装这一步了
3.LVS 工具的安装 (keepalived/ipvsadm/quaage)
3.1keepalived安装
- keepalived是集群管理中保证集群高可用的一个服务软件,其功能类似于heartbeat,用来防止单点故障。
keepalived工作原理 - keepalived是以VRRP协议为实现基础的,VRRP全称Virtual Router Redundancy
Protocol,即虚拟路由冗余协议。 - 虚拟路由冗余协议,可以认为是实现路由器高可用的协议,即将N台提供相同功能的路由器组成一个路由器组,这个组里面有一个master和多个backup,master上面有一个对外提供服务的vip(该路由器所在局域网内其他机器的默认路由为该vip),master会发组播,当backup收不到vrrp包时就认为master宕掉了,这时就需要根据VRRP的优先级来选举一个backup当master。这样的话就可以保证路由器的高可用了。
- keepalived主要有三个模块,分别是core、check和vrrp。core模块为keepalived的核心,负责主进程的启动、维护以及全局配置文件的加载和解析。check负责健康检查,包括常见的各种检查方式。vrrp模块是来实现VRRP协议的。
keepalived的配置文件
keepalived只有一个配置文件keepalived.conf,里面主要包括以下几个配置区域,分别是global_defs、static_ipaddress、static_routes、vrrp_script、vrrp_instance和virtual_server。刚才解压Lvs-fullnat-synproxy.tar.gz的时候会生成一个压缩包lvs-tools.tar.gz,继续对其进行解压生成一个目录tools,进入该目录中keepalived
cd /root/lvs-fullnat-synproxy/tools/keepalived
./configure --with-kernel-dir="/lib/modules/`uname -r`/build"
make
make install.安装完成之后因为配置文件和启动脚本都不在一般目录下,所以需要做软链接
ln -s /usr/local/etc/rc.d/init.d/keepalived /etc/init.d/
ln -s /usr/local/etc/sysconfig/keepalived /etc/sysconfig/
ln -s /usr/local/etc/keepalived /etc/
ln -s /usr/local/sbin/keepalived /usr/sbin注意如果报错缺少依赖包安装即可,这里缺少openssl-devel.x86_64 和 popt-devel.x86_64,安装后再次执行./configure –with-kernel-dir=”/lib/modules/
uname -r/build”知道显示以下内容安装成功
3.2ipvsadm安装
cd ~/lvs-fullnat-synproxy/tools/ipvsadm;
make;
make install;重点内容