百度360必应搜狗淘宝本站头条
python类型转换python串口编程python计时python异常python进度条
当前位置:网站首页 > 技术资源 > 正文

linux系统防火墙高级配置-Day 6:高可用与负载均衡

off999 2025-03-20 17:57 143 浏览 0 评论

1. 防火墙高可用架构

方案1:Keepalived + iptables/nftables

拓扑
- 主备节点通过VRRP协议实现IP漂移(Virtual IP: 192.168.1.100) - 实时同步防火墙规则(rsync/cron)

Keepalived配置示例

# 主节点配置(/etc/keepalived/keepalived.conf)
vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    virtual_ipaddress {
        192.168.1.100
        }
# 防火墙服务健康检测
track_script {
    chk_firewall
    }
}

vrrp_script chk_firewall {
    script "/usr/bin/systemctl is-active nftables"  # 检测防火墙服务状态
    interval 2
    weight -20  # 服务失败时降低优先级触发切换
    }

规则同步脚本

# 主节点通过rsync推送规则到备节点
#!/bin/bash
nft list ruleset > /etc/nftables.conf
rsync -avz /etc/nftables.conf backup-node:/etc/nftables.conf
ssh backup-node "nft -f /etc/nftables.conf"

2. 四层负载均衡(L4)

iptables实现流量分发

# 随机分发HTTP请求到3台后端
iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.33 \
    -j DNAT --to-destination 10.0.1.101:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.5 \
    -j DNAT --to-destination 10.0.1.102:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -j DNAT --to-destination 10.0.1.103:80

nftables高级负载均衡

# 定义后端服务器集合
nft add set inet load_balance backend_ips { type ipv4_addr; flags constant; elements = { 10.0.1.101, 10.0.1.102, 10.0.1.103 } }

# 轮询模式分发流量
nft add rule nat prerouting tcp dport 80 \
    dnat to jhash ip saddr . tcp dport mod 3 map { \
        0 : 10.0.1.101, \
        1 : 10.0.1.102, \
        2 : 10.0.1.103 \
    }

3. 七层负载均衡(L7)集成

HAProxy透明代理配置

# /etc/haproxy/haproxy.cfg
frontend http-in
    bind 192.168.1.100:80 transparent
    mode http
    default_backend web_servers

backend web_servers
    balance leastconn
    server web1 10.0.1.101:80 check
    server web2 10.0.1.102:80 check

# 防火墙放行并标记流量
nft add rule inet filter forward tcp dport 80 meta mark set 1 accept
sysctl -w net.ipv4.ip_forward=1

Nginx流量管理

# 加权轮询配置
upstream backend {
    server 10.0.1.101 weight=3;
    server 10.0.1.102 weight=2;
    server 10.0.1.103 weight=1;
}

# 联动防火墙限制连接数
limit_conn_zone $binary_remote_addr zone=per_ip:10m;
server {
    location / {
        limit_conn per_ip 50;
        proxy_pass http://backend;
        }
    }

4. 性能调优与监控

连接跟踪优化

# 调整内核参数(/etc/sysctl.conf)
net.netfilter.nf_conntrack_max = 1000000
net.netfilter.nf_conntrack_tcp_timeout_established = 3600

# 监控工具
conntrack -L -o extended | grep ESTABLISHED | wc -l
nft monitor | grep "new flow"

规则集性能评估

# 测试规则匹配速度(nftables)
nft --debug=netlink add rule inet filter input tcp dport 80 counter
# 输出示例:...[ evaluate ] tcp dport 80 => 80 ...

# iptables规则排序优化
iptables -L -n --line-numbers | grep ACCEPT | sort -k 4

5. 实战任务

任务1:构建双机热备集群

  • 在两台节点部署Keepalived和nftables
  • 配置虚拟IP 192.168.1.100,实现主备切换
  • 模拟主节点故障(systemctl stop nftables),验证IP漂移

任务2:配置七层负载均衡

  • 使用Nginx实现基于URI的流量分发:
location /api {
    proxy_pass http://api_servers;
}
location /static {
    proxy_pass http://static_servers;
}
  • 联动防火墙限制每个客户端IP每秒最多10个请求:
nft add rule inet filter input tcp dport 80 \
    meter http_ratelimit { ip saddr limit rate 10/second } \
    counter accept

6. 注意事项

  • 脑裂(Split-Brain)风险:使用多播检测或第三方仲裁服务配置冗余心跳线(eth1专用于VRRP通信)
  • 会话保持(Session Persistence):四层使用hashlimit模块源IP哈希七层通过Cookie或JWT实现粘性会话
  • 监控告警
# 统计被拒绝的负载均衡请求
nft list counters | grep "counter packets"
# 监控Keepalived状态
journalctl -u keepalived -f

相关推荐

迅雷7下载手机版(迅雷下载手机版教程)

打开浏览器点击工具--Internet选项--安全--自定义级别,然后拉到下面,在"下载"一栏的"文件下载"选项里选择"启用","文件下载的自动提示"选择禁用,然后确定,再应用确定,关闭浏览再重新启...

打字赚钱一小时50元(国家正规赚钱平台)
打字赚钱一小时50元(国家正规赚钱平台)

网上有没有可靠的打字员的兼职呢?紧固件咨询顾问认为网上是绝对没有可靠的打字员的兼职的,都是假的,骗人的。打字赚钱,如果还要押金的话,你一定是遇上骗子了。打字谁不会打,只要能打字就能赚钱,还能赚大钱,这样的好事如果有,绝对轮不到你,不知道排队...

2026-01-28 08:43 off999

oa系统怎么使用(oa系统具体操作流程)

1.通过互联网找到公司OA系统的网站,通过系统给出的初始账号和密码登录系统。一些单位有内部网,而另一些单位直接通过互联网访问。2.登录OA系统后,首先找到“密码设置”,修改登录名和密码。对于OA系统来...

搜狗手机助手下载(搜狗手机助手免费下载)

如果你的电脑中安装了360手机助手,当你的手机和电脑连接后,会自动在你的手机上安装360手机助手,你可以把手机和电脑中的360手机助手都卸载就可以了。搜狗ai帮写开启方法:1、在输入界面,点击输入框,...

成品视频怎么直播(成品视频怎么直播赚钱)

珍珠首饰成品和直播间开的各有优劣。成品首饰经过严格筛选和加工,品质较为稳定,且款式多样,适合不同场合佩戴。而直播间开的珍珠首饰,通常可以看到珍珠的真实情况,价格相对较为透明,且有更多定制化的可能。但需...

itunes电脑版下载官网(itunes pc版本下载)
itunes电脑版下载官网(itunes pc版本下载)

在苹果官网下载正版iTunes有如下几个步骤:一、打开浏览器输入“iTunes”进行搜索。二、找到“iTunes-Apple(中国)官网”点击进入(注意要找到官网进入)。三、打开官网后,在首页点击“Microsoft”进行下一步操作。四、最...

2026-01-28 07:43 off999

酷狗直播手机网页版(酷狗直播pc网页版)
  • 酷狗直播手机网页版(酷狗直播pc网页版)
  • 酷狗直播手机网页版(酷狗直播pc网页版)
  • 酷狗直播手机网页版(酷狗直播pc网页版)
  • 酷狗直播手机网页版(酷狗直播pc网页版)
多媒体播放器(多媒体播放器怎么使用)

1.开启蓝牙耳机:拨动蓝牙耳机的电源开关,长按住蓝牙耳机的【电源】按钮5秒钟左右松手,直至指示灯长亮蓝色即可。注:(蓝牙耳机型号不同,具体蓝牙耳机开启方式请参考蓝牙耳机说明书操作)2.开启手机蓝牙:向...

全国教育平台登录入口(2020全国教育平台登录入口)
全国教育平台登录入口(2020全国教育平台登录入口)

1、首先我们需要打开全国中小学教育平台官网,进入到主页当中;官网链接:https://www.xueanquan.com/(复制打开)2、在主界面右上角我们可以看到登录入口,点击“您好,请登录”,输入账号及密码;3、这里的账号老师和学生之间...

2026-01-28 06:51 off999

新手怎么从1688拿货(新手怎么从1688拿货卖烟酒怎么拿货)

在1688平台上进货分为以下几个步骤:1.注册并登录1688账号:首先,您需要在阿里巴巴旗下的小额批发平台1688(https://www.1688.com/)注册一个账号。如果已经有淘宝...

放置三国满v无限元宝(放置三国无限元宝破解版是真的吗)

步骤如下:。首先,你需要打开GG,然后运行游戏,并进入游戏中的商店或充值界面。接下来,输入当前游戏元宝的值并点击“搜索”按钮。然后在游戏中重新获得几个元宝,再次输入新的元宝值并点击“搜索”按钮。重复此...

安卓安装包下载(telegarm安卓安装包下载)

安装软件可以使用手机自带的应用商店,或者下载apk安装包安装手机安装包安装方法:1.apk文件是安卓手机的安装包,可以通过手机qq来安装和打开apk文件。2.首先在手机上打开qq,找到页面中的apk文...

电脑一键还原系统最简单方法
  • 电脑一键还原系统最简单方法
  • 电脑一键还原系统最简单方法
  • 电脑一键还原系统最简单方法
  • 电脑一键还原系统最简单方法
财经股票怎么投资(股票初学者相关财经知识)

可以!答案是肯定的,不过现在对直播的主讲人还是有一些要求和限制的,首先主讲人要有从业人员资格证书,这是硬件条件。其次就是所讲的内容是什么,要符合要求,不能讲股票名称,推荐股票,通常情况下↓都是对大盘走...

魔兽争霸3冰封王座下载教程(魔兽争霸3冰封王座下载教程手机版)

没法下载,因为没有说明在什么平台下载可以在网易的官方网站上进行下载,下载地址如下:https://dz.blizzard.cn/下载的时候请选择中间的“平台完整版”,这个版本包含了《魔兽争霸3》游戏本...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.