LVS是Linux Virtual Server的简写,意思是Linux虚拟服务器,它工作在input链上,当客户端发送的请求到达input链上以后,通过LVS的验证若是关于lvs的请求就会在此链上直接修改目标地址,而后通过postrouting链传送给其定义的服务器,LVS和iptables不能同时使用。
一、LVS的原理
1、NET的基本原理
把从客户端发来的IP包的IP头目的地址在DR上换成其中一台RS(real server)的IP地址并发至此RS,而RS则在处理完成后把数据经过DR主机发回给客户端,DR在这个时候再把数据包的源IP地址转换为DR接口上的IP地址即可,期间,无论是进来的数据还是出去的数据都必须经过DR。如下图所示:
LVS/NET 模型
2、DR的基本原理:
1)LVS调度器收到目标地址为VIP的请求包后,将MAC地址改成RS的MAC地址,并通过交换机(链路层)发给RS
2)RS的链路层收到请求后,往上传给IP层。IP层需要验证请求的目标IP地址。所以RS需要配置一个VIP的loopback(以下简称为lo,意为环回接口)device。这样RS的IP层收到报文后,会往上递交给传输层,之所以配置成lo,是因为lo对外不可见,不会跟LVS的VIP起冲突。
3)RS处理完成后,将应答包直接返回给客户端。若是公网服务器,则RS需要连接在互联网(公网IP或网关)才能将应答包返回。如下图所示:
LVS/DR 模型
3、TUN的基本原理
TUN模式使用网络分层的原理,把从客户端发来的数据包基础上,封装一个新的IP头标记(不完整的IP头,只有目的IP部)发给RS,RS收到后先把DR发过来的数据包头给解开,还原其数据包原样,处理后,直接返回给客户端,而不需要再经过DR。需要注意的是由于RS需要对DR发过来的数据包进行还原,也就是说必须支持IP TUNNEL协议,所以在RS的内核中,必须编译支持IP TUNNEL这个选项。
二、LVS的类型有哪些?它们各有什么特点?
1)NAT:地址转换(类似DNAT)
集群节点跟director必须在同一个网络IP
RIP通常是私有地址,仅用于各集群节点间的通信
director位于client和realserver之间,并负责处理进出的所有通信
realserver必须将网关指向DIP
支持端口映射
realserver可以使用任意OS
较大规模应用场景中,director易成为系统瓶颈
2)DR:直接路由(只处理请求报文)
集群节点跟director必须在同一个物理网络中
RIP可以使用公网地址,实现便捷的远程管理和监控
director仅负责处理入站请求,响应报文则由realserver直接发往客户端;
realserver不能将网关指向DIR
不支持端口映射;
3)TUN:(隧道)
集群节点可以跨越互联网(Internet);
RIP必须是公网地址;
director仅负责入站请求,响应报文则由realserver直接发往客户端;
只有支持隧道功能的OS才能用于realserver;
不支持端口映射;
三、LVS调度算法
1、固定调度
四种静态的调度方法
rr:Round Robin,轮叫,轮询
wrr:Weight Round Robin,加权,考虑服务器本身权重的意义
sh:source hash,源地址hash,只要是来自于同一个客户
dh(Destination Hashing):目标地址散列,将相同的的请求发送给同一个IP
2、动态调度
六种动态调度方法:
1)lc:Least Connections,最少连接
active*256+inactive (谁的小,挑谁)
2)wlc:Weighted Least Connections,加权最少连接
(active*256+inactive)/weight
3)sed:最短期望延迟
(active+1)*256/weight
4)nq:never queue 永不排队
5)lblc:Locality-Based Least Connections,基于本地的最少连接
6(lblcr:Locality-Based Least Connections with Replication,基于本地的带复制功能的最少连接
默认方法(最理想的方法):wlc
四、管理集群服务的命令行工具ipvsadm
1、ipvsadm的几个重要功能:
1)管理集群服务
添加:-A -t|u|f service-address [-s scheduler]
-t:TCP协议的集群
-u:UDP协议的集群
service-address: IP:PORT
-f:FWM,防火墙标记
service-address: Mark Number
修改:-E
删除:-D -t|u|f service-address
eg:#ipvsadm -A -t 172.16.66.1:80 -s rr
2)管理集群服务中的RS
添加:-a -t|u|f service-address -r server-address [-g|i|m] [-w weight]
-t|u|f service-address:事先定义好的某集群服务
-r server-address:某RS的地址,在NAT模型中,可使用IP:PORT实现端口映射
[-g|i|m]:LVS类型(若不指定则默认为DR)
-g:DR 表示DR模型
-i:TUN 能够跨越互联网的
-m:NAT 地址伪装
[-w weight]:定义服务器权重
修改:-e
删除:-d -t|u|f service-address -r server-address 指定从哪个集群服务中删除那个用户
eg:# ipvsadm -a -t 172.16.100.1:80 -r 192.168.10.8 -m
eg:# ipvsadm -a -t 172.16.100.1:80 -r 192.168.10.9 -m
3)查看
-L|l
-n: 数字格式显示主机地址和端口
--stats: 统计数据
--rate: 速率
--timeout: 显示tcp、tcpfin和udp的会话超时时长
--sort: 对查看的内容进行排序,默认是升序
--daemon:
-c: 显示当前的ipvs连接状况
4)删除所有集群服务
-C:清空ipvs规则
5)保存规则
-S
#ipvsadm -s > /path/to/somefile
6)载入此前的规则
-R
#ipvsadm -R < /path/form/somefile
五、LVS-NET的实现过程
1、首先规划好IP
Director Server(以下简称DR)DIP:192.168.66.1 VIP:172.16.66.2
Real Server 1 (以下简称RS1) DIP:192.168.66.2
Real Server 2 (以下简称RS2) DIP:192.168.66.3
2、配置RS1、RS2服务器
1)RS1服务器的配置过程:
RS1的IP配置为:192.168.66.2 网关是:192.168.66.1
wget
yum install httpd –y 安装web服务
提供相应的网页页面并启动web服务:
2)RS2服务器的配置过程
RS1的IP配置为:192.168.66.3 网关是:192.168.66.1
wget
yum install httpd –y 安装web服务
提供相应的网页页面并启动web服务:
3、配置Director服务器
1)在Director服务器上再要添加一块网卡eth1,其IP为DIP:192.168.66.1 则eth0为VIP,其IP为172.16.66.2(提醒:eth1网卡的连接方式是Host-only,RS1、RS2的网卡连接方式也是Host-only)
wget ftp://172.16.0.1/pub/gls/server.repo -O /etc/yum.repos.d/server.repo
2)同步时间
3)安装、启动ipvsadm并测试web服务是否能访问
yum install ipvsadm –y 安装ipvsadm
service ipvsadm start 启动ipvsadm
4)添加集群服务
(-m以nat模式运作)
5)ipvsadm –L –n ipvsadm规则查看
在物理主机上 访问172.16.66.2 刷新几次再执行ipvsadm –L –n命令就会发现InActConn比例接近1:1
六、LVS-DR的实现过程
1、首先划分好IP
Director:eth0,DIP:172.16.66.2 eth0:0,VIP:172.16.66.1
RS1: Eth0,RIP:172.16.66.7 lo:0,VIP:172.16.66.1
RS2: Eth0,RIP:172.16.66.8 lo:0,VIP:172.16.66.1
2、Director的IP、网卡配置过程
ifdown eth1 down Director的eth1断开连接
vim /etc/sysconfig/network-scrips/ifcfg-eth1 编辑文件内容修改如下:
service network restart 重启网络服务器
ifconfig eth0:0 172.16.66.1/16 为eth0配置一个别名
ifconfig 查看别名是否设置成功
把网卡的连接方式改为桥接,以下RS1、RS2的网卡也改成桥接,因为服务器间要在同一台交换机上
3、RS1、RS2的配置过程
1)RS1服务器的IP配置
vim /etc/sysconfig/network-scripts/ifcfg-eth0 设置IP和网关
service network restart 重启网络服务器
2)RS2服务器的IP配置
vim /etc/sysconfig/network-scripts/ifcfg-eth0 设置IP和网关
service network restart 重启网络服务器
测试能否ping通RS1和Director服务器
3)RS1服务的配置
cd /proc/sys/net/ipv4/conf/
(小知识补充:还可以用另外一种命令实现上述命令的执行过程
sysctl -w net.ipv4.conf.eth0.arp_announce=2
sysctl -w net.ipv4.conf.all.arp_announce=2 )
ifconfig lo:0 172.16.66.1/16 配置VIP
在物理主机上ping 172.16.66.1看看是否能ping通
Ping通后 可执行 arp -a 命令查看哪一个IP响应了
ifconfig lo:0 down 关闭VIP
ifconfig lo:0 172.16.66.1 broadcast 172.16.66.1 netmask 255.255.255.255 up (broadcast为广播地址,255.255.255.255意味着只跟自己在同一个网段内,全是网络地址)
route add -host 172.16.66.1 dev lo:0 添加路由
4)RS2服务的配置
配置RS2的VIP并启用
在物理主机上ping172.16.66.1 查看是否能ping通, 然后执行arp –a查看响应状态
ifconfig lo:0 down 关闭VIP
ifconfig lo:0 172.16.66.1 netmask 255.255.255.255 broadcast 172.16.66.1 up
(broadcast为广播地址,255.255.255.255意味着只跟自己在同一个网段内,全是网络地址)
ifconfig
route add -host 172.16.66.1 dev lo:0 添加路由
4、Directory服务的配置过程
1)添加路由并访问web服务
2)设置ipvsadm
3)打开浏览器访问一下 172.16.66.1 刷新出现两次RS1,一次RS2
ipvsadm -L -n (刷新查看一下权重比例为1:2)
这就是DR模型的LVS
小知识点:
arp_ignore:定义接收到ARP请求时的响应级别;
0:只要本地配置有相应的地址,就给予响应
1:仅在请求的目标地址配置请求到达的接口上的时候,才给予响应
arp_announce:定义将自己地址向外通告时的通告级别
0:将本地任何接口上的任何地址向外通告
1:试图仅向目标网络通告与其网络匹配的地址;
2:仅向与本地接口上的地址匹配的网络进行通告