百度360必应搜狗淘宝本站头条
python类型转换python串口编程python计时python异常python进度条
当前位置:网站首页 > 技术资源 > 正文

linux系统防火墙高级配置-Day 6:高可用与负载均衡

off999 2025-03-20 17:57 114 浏览 0 评论

1. 防火墙高可用架构

方案1:Keepalived + iptables/nftables

拓扑
- 主备节点通过VRRP协议实现IP漂移(Virtual IP: 192.168.1.100) - 实时同步防火墙规则(rsync/cron)

Keepalived配置示例

# 主节点配置(/etc/keepalived/keepalived.conf)
vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    virtual_ipaddress {
        192.168.1.100
        }
# 防火墙服务健康检测
track_script {
    chk_firewall
    }
}

vrrp_script chk_firewall {
    script "/usr/bin/systemctl is-active nftables"  # 检测防火墙服务状态
    interval 2
    weight -20  # 服务失败时降低优先级触发切换
    }

规则同步脚本

# 主节点通过rsync推送规则到备节点
#!/bin/bash
nft list ruleset > /etc/nftables.conf
rsync -avz /etc/nftables.conf backup-node:/etc/nftables.conf
ssh backup-node "nft -f /etc/nftables.conf"

2. 四层负载均衡(L4)

iptables实现流量分发

# 随机分发HTTP请求到3台后端
iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.33 \
    -j DNAT --to-destination 10.0.1.101:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.5 \
    -j DNAT --to-destination 10.0.1.102:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -j DNAT --to-destination 10.0.1.103:80

nftables高级负载均衡

# 定义后端服务器集合
nft add set inet load_balance backend_ips { type ipv4_addr; flags constant; elements = { 10.0.1.101, 10.0.1.102, 10.0.1.103 } }

# 轮询模式分发流量
nft add rule nat prerouting tcp dport 80 \
    dnat to jhash ip saddr . tcp dport mod 3 map { \
        0 : 10.0.1.101, \
        1 : 10.0.1.102, \
        2 : 10.0.1.103 \
    }

3. 七层负载均衡(L7)集成

HAProxy透明代理配置

# /etc/haproxy/haproxy.cfg
frontend http-in
    bind 192.168.1.100:80 transparent
    mode http
    default_backend web_servers

backend web_servers
    balance leastconn
    server web1 10.0.1.101:80 check
    server web2 10.0.1.102:80 check

# 防火墙放行并标记流量
nft add rule inet filter forward tcp dport 80 meta mark set 1 accept
sysctl -w net.ipv4.ip_forward=1

Nginx流量管理

# 加权轮询配置
upstream backend {
    server 10.0.1.101 weight=3;
    server 10.0.1.102 weight=2;
    server 10.0.1.103 weight=1;
}

# 联动防火墙限制连接数
limit_conn_zone $binary_remote_addr zone=per_ip:10m;
server {
    location / {
        limit_conn per_ip 50;
        proxy_pass http://backend;
        }
    }

4. 性能调优与监控

连接跟踪优化

# 调整内核参数(/etc/sysctl.conf)
net.netfilter.nf_conntrack_max = 1000000
net.netfilter.nf_conntrack_tcp_timeout_established = 3600

# 监控工具
conntrack -L -o extended | grep ESTABLISHED | wc -l
nft monitor | grep "new flow"

规则集性能评估

# 测试规则匹配速度(nftables)
nft --debug=netlink add rule inet filter input tcp dport 80 counter
# 输出示例:...[ evaluate ] tcp dport 80 => 80 ...

# iptables规则排序优化
iptables -L -n --line-numbers | grep ACCEPT | sort -k 4

5. 实战任务

任务1:构建双机热备集群

  • 在两台节点部署Keepalived和nftables
  • 配置虚拟IP 192.168.1.100,实现主备切换
  • 模拟主节点故障(systemctl stop nftables),验证IP漂移

任务2:配置七层负载均衡

  • 使用Nginx实现基于URI的流量分发:
location /api {
    proxy_pass http://api_servers;
}
location /static {
    proxy_pass http://static_servers;
}
  • 联动防火墙限制每个客户端IP每秒最多10个请求:
nft add rule inet filter input tcp dport 80 \
    meter http_ratelimit { ip saddr limit rate 10/second } \
    counter accept

6. 注意事项

  • 脑裂(Split-Brain)风险:使用多播检测或第三方仲裁服务配置冗余心跳线(eth1专用于VRRP通信)
  • 会话保持(Session Persistence):四层使用hashlimit模块源IP哈希七层通过Cookie或JWT实现粘性会话
  • 监控告警
# 统计被拒绝的负载均衡请求
nft list counters | grep "counter packets"
# 监控Keepalived状态
journalctl -u keepalived -f

相关推荐

win7旗舰版显卡驱动(win7电脑显卡驱动)

步骤如下:1、首先我们打开桌面,右键单击此电脑再右键菜单选择属性。2、进入属性界面,点击设备管理器进入。3、进入设备管理器界面,点击显示适配器。4、展开显示适配器,可以看到一般电脑又集成显卡和独立显卡...

进入ie浏览器网页官网(贴吧热门评论)

ie浏览器的网页版登录入口是about:blank,即为“空白页”。空白页也被称为首页,是登录的入口,是用户打开浏览器时默认打开的网页,主要包含个人主页、网站网页、组织或活动主页、公司主页等。没有手...

win7自动关机任务(win7创建自动关机任务)

1.取消定时自动关机任务的方法很简单。2.因为Win7系统有定时自动关机任务的功能,但是有时候我们并不需要这个功能,需要取消掉。取消的方法也很简单,只需要在系统设置中找到定时关机任务,然后将其关闭...

xp番茄花园纯净版(番茄花园xp sp2)

换一个GHO系统试试,最好硬盘先格式化一下,还是不行就用U盘启动,然后安装,番茄花园系统XP是一个基于WindowsXP的精简版操作系统,可以通过以下步骤进行安装:1.下载番茄花园系统XP的安装包...

网络适配器下载win7电脑版(榴莲感冒能吃不)

1、在设备管理器-网络适配器中选择你的网卡,点右键,选卸载,注意不要勾选『删除此设备的驱动程序软件』2、确认网卡从设备列表中消失,然后点击工具栏上的『扫描检测硬件改动』按钮,网卡会重新出现在设备列表...

黑苹果性能真的比win10好吗(黑苹果更流畅吗)

安装黑苹果的时候有一个小分区300多M,进PE用DG工具,把U盘中的EFI文件夹copy到那个小分区里就行了。为了保险最好将原来的300M分区里的文件备份一下!系统恢复失败,继续重装系统吧。安装步骤如...

win10系统升级win11(win10系统升级win11后无声音输出设备)

如果你是正版的操作系统的话,可以到微软的官方网站直接下载一个windows11的安装包,直接按下up的文件,它就会根据提示一步一步的安装,然后它就会直接升级到windows11了。如果你不是正版的操作...

thinkpad按f8进不了安全模式

可以通过系统预设进入安全模式,步骤如下:1、打开开始菜单栏,点击设置2、点击更新与恢复3、点击恢复-选择高级启动下的立即重启系统重启后就会提示选择启动的模式,这时选择安全模式即可。Bugch...

window7旗舰版电脑密码忘记了怎么解开

如果忘记win7旗舰版电脑密码,可以尝试以下方法破解:1.使用系统管理员账户登录。2.在开始菜单中,找到“控制面板”并打开。3.在“用户账户和家庭安全”中找到“更改Windows密码”并打开。4...

163邮箱电脑版(163电子邮箱)

163邮箱在电脑端的登入网址是mail.163.com。163邮箱作为国内排名靠前的邮箱,为大家提供邮箱服务,除了免费个人邮箱个人vip邮箱外,还提供企业邮箱的服务。163邮箱可以在outlookf...

win7 重置(win7重置系统)
  • win7 重置(win7重置系统)
  • win7 重置(win7重置系统)
  • win7 重置(win7重置系统)
  • win7 重置(win7重置系统)
国内外十大免费crm软件推荐(免费版crm)

悟空CRM9.0完全开源免费,采用前后端分离模式,前端框架vue后端框架PHP/JAVA多框架语言。ZohoCRM有免费版,限3用户免费,它还配有免费的手机app,很方便。你可以到这个地址查看一...

电脑显示屏(电脑显示屏图片)

1、LCD显示器LCD显示器即液晶显示屏,优点是机身薄,占地小,辐射小,给人以一种健康产品的形象。我看不尽是,使用液晶显示屏不一定可以保护到眼睛,这需要看各人使用计算机的习惯。2、等离子显示器等离子显...

把文件删了怎么恢复(文件删除之后如何恢复)

首先我们需要通过浏览器搜索互盾数据恢复软件,将这款软件下载到我们的电脑上1、下载好后运行互盾数据恢复软件,软件界面有六大功能,因为我们需要对回收站清空的数据进行恢复,所以点击界面的“误清空回收站”即...

360路由器怎么设置密码(360路由器怎么设置密码192.168.0.1)

360路由器p1的具体步骤:1、首先按照说明书进行常规连接路由器,然后我们打开浏览器,地址栏输入luyou.360.cn或192.168.0.1回车。2、立即开启,就会看见下一个设置界面,路由器管理员...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.