百度360必应搜狗淘宝本站头条
python类型转换python串口编程python计时python异常python进度条
当前位置:网站首页 > 技术资源 > 正文

linux系统防火墙高级配置-Day 6:高可用与负载均衡

off999 2025-03-20 17:57 121 浏览 0 评论

1. 防火墙高可用架构

方案1:Keepalived + iptables/nftables

拓扑
- 主备节点通过VRRP协议实现IP漂移(Virtual IP: 192.168.1.100) - 实时同步防火墙规则(rsync/cron)

Keepalived配置示例

# 主节点配置(/etc/keepalived/keepalived.conf)
vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    virtual_ipaddress {
        192.168.1.100
        }
# 防火墙服务健康检测
track_script {
    chk_firewall
    }
}

vrrp_script chk_firewall {
    script "/usr/bin/systemctl is-active nftables"  # 检测防火墙服务状态
    interval 2
    weight -20  # 服务失败时降低优先级触发切换
    }

规则同步脚本

# 主节点通过rsync推送规则到备节点
#!/bin/bash
nft list ruleset > /etc/nftables.conf
rsync -avz /etc/nftables.conf backup-node:/etc/nftables.conf
ssh backup-node "nft -f /etc/nftables.conf"

2. 四层负载均衡(L4)

iptables实现流量分发

# 随机分发HTTP请求到3台后端
iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.33 \
    -j DNAT --to-destination 10.0.1.101:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.5 \
    -j DNAT --to-destination 10.0.1.102:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -j DNAT --to-destination 10.0.1.103:80

nftables高级负载均衡

# 定义后端服务器集合
nft add set inet load_balance backend_ips { type ipv4_addr; flags constant; elements = { 10.0.1.101, 10.0.1.102, 10.0.1.103 } }

# 轮询模式分发流量
nft add rule nat prerouting tcp dport 80 \
    dnat to jhash ip saddr . tcp dport mod 3 map { \
        0 : 10.0.1.101, \
        1 : 10.0.1.102, \
        2 : 10.0.1.103 \
    }

3. 七层负载均衡(L7)集成

HAProxy透明代理配置

# /etc/haproxy/haproxy.cfg
frontend http-in
    bind 192.168.1.100:80 transparent
    mode http
    default_backend web_servers

backend web_servers
    balance leastconn
    server web1 10.0.1.101:80 check
    server web2 10.0.1.102:80 check

# 防火墙放行并标记流量
nft add rule inet filter forward tcp dport 80 meta mark set 1 accept
sysctl -w net.ipv4.ip_forward=1

Nginx流量管理

# 加权轮询配置
upstream backend {
    server 10.0.1.101 weight=3;
    server 10.0.1.102 weight=2;
    server 10.0.1.103 weight=1;
}

# 联动防火墙限制连接数
limit_conn_zone $binary_remote_addr zone=per_ip:10m;
server {
    location / {
        limit_conn per_ip 50;
        proxy_pass http://backend;
        }
    }

4. 性能调优与监控

连接跟踪优化

# 调整内核参数(/etc/sysctl.conf)
net.netfilter.nf_conntrack_max = 1000000
net.netfilter.nf_conntrack_tcp_timeout_established = 3600

# 监控工具
conntrack -L -o extended | grep ESTABLISHED | wc -l
nft monitor | grep "new flow"

规则集性能评估

# 测试规则匹配速度(nftables)
nft --debug=netlink add rule inet filter input tcp dport 80 counter
# 输出示例:...[ evaluate ] tcp dport 80 => 80 ...

# iptables规则排序优化
iptables -L -n --line-numbers | grep ACCEPT | sort -k 4

5. 实战任务

任务1:构建双机热备集群

  • 在两台节点部署Keepalived和nftables
  • 配置虚拟IP 192.168.1.100,实现主备切换
  • 模拟主节点故障(systemctl stop nftables),验证IP漂移

任务2:配置七层负载均衡

  • 使用Nginx实现基于URI的流量分发:
location /api {
    proxy_pass http://api_servers;
}
location /static {
    proxy_pass http://static_servers;
}
  • 联动防火墙限制每个客户端IP每秒最多10个请求:
nft add rule inet filter input tcp dport 80 \
    meter http_ratelimit { ip saddr limit rate 10/second } \
    counter accept

6. 注意事项

  • 脑裂(Split-Brain)风险:使用多播检测或第三方仲裁服务配置冗余心跳线(eth1专用于VRRP通信)
  • 会话保持(Session Persistence):四层使用hashlimit模块源IP哈希七层通过Cookie或JWT实现粘性会话
  • 监控告警
# 统计被拒绝的负载均衡请求
nft list counters | grep "counter packets"
# 监控Keepalived状态
journalctl -u keepalived -f

相关推荐

爱思助手安卓版下载(爱思助手安卓版下载v1.21.03)

容易造成系统的崩溃在爱思助手中安装的软件都打不开或者发生闪退,很容易造成系统的崩溃需要重新刷机,所以一般不太推荐使用爱思助手。爱思助手上下载正版软件不需要AppleID,这是为了方便不会注册的用户,但...

微软拼音输入法app(微软拼音输入法App下载)
微软拼音输入法app(微软拼音输入法App下载)

1、选择微软拼音输入法的图标,点击鼠标右键,出现菜单后选择设置选项。2、在高级里把美式键盘改为微软拼音输入法,然后点击右下角的属性按钮。3、点击逐键提示选项后,选择确定按钮,在后面出现对话框中点击应用即可。微软拼音输入法是一种基于语句的智能...

2025-12-31 04:51 off999

win10怎么更新蓝牙驱动(win10 更新蓝牙驱动)

1.电脑桌面,右键【此电脑】,点击【属性】。2.然后点击【设备管理器】。3.然后展开【蓝牙】。4.然后鼠标右键【Bluetooth】,点击【更新驱动程序(P)】。5.选择一种方式更新驱动,更新完驱动就...

360免费升级正版win10(360 win10免费升级)

  XP无法直接升级到Windows10.  能否升级还需要看硬件配置是否达标。如果达标可以通过以下方法来安装。  1、去系统网站下载win10镜像文件。  2、使用软碟通软件把镜像文件里面的gho....

w7正版系统多少钱一年(正版win7旗舰版系统多少钱)

所有的正版windows系统都是需要付费购买的,包括笔记本电脑中预装好的正版系统,相应的费用也算入购机款中。你问的外行了。1、OEM系统是正版的,但是只能用于本品牌机上,也就是联想的WIN7系统(即O...

excel2007破解版下载电脑版(excel 破解版)

现在excel2007可以说是免费软件,也可以说不是,因为现在在网上下载不了免费的2007年版excel软件,只能下载破译版的或用电信交钱下载。但有些电脑重装系统会带有2007年版的excel,这就是...

comfast设置连接wifi(comfast路由器设置方法)

1,网关没有设置,2,DNS服务器没有设置,或者说设置成自动获取IP地址.具体不知道你是什么样的路由器,一般来说正常情况下网桥都是可以接收wifi信号的。所谓的网桥是使用有线网络连接到网桥设备上,然...

windows电脑管家(windows电脑管家有用吗)

可以按照以下的方法步骤解决:1,在电脑左下角的搜索框内输入“电脑管家”,即可在电脑中匹配到该程序2,右键点击该程序图标,选择“打开文件位置”3,点击“打开文件位置”即可打开该程序在电脑中的地址窗口,右...

hosts文件可以删除吗(hosts文件删除会自动生成吗)

我的回答:是需要权限。Linux系统的话,可以直接使用root账号去删除hosts文件。Windows系统的话,可以使用administrator管理员账号,以管理员权限去删除。Linux系统里面一般...

如何注册企业邮箱帐号(注册企业邮箱怎么开通)

注册企业邮箱需要按照以下步骤进行操作:挑选企业邮箱服务商:在选择服务商时,需要考虑其信誉、可靠性、服务质量等方面。打开所选服务商的官方网站:在网站上查找注册入口,并点击进入。填写注册表单:根据页面提示...

卸载内置软件app(卸载内置应用软件)
  • 卸载内置软件app(卸载内置应用软件)
  • 卸载内置软件app(卸载内置应用软件)
  • 卸载内置软件app(卸载内置应用软件)
  • 卸载内置软件app(卸载内置应用软件)
分区助手怎么用给c盘扩容(分区助手如何扩大c盘容量)

360分区助手扩大c盘的方法如下1、下载分区助手软件,安装一定要安装到C盘,安装在其他盘内不可用。折腾还得安装回来,安装后打开软件,选择主页面左侧“扩展分区向导”。2、直接点击“下一步”,默认选择扩...

u盘不显示文件夹(u盘不显示文件夹但是有内存)

如果您的U盘不显示文件夹,可能是由于文件夹被隐藏或损坏造成的。您可以通过以下方法解决此问题:首先,打开文件管理器,点击"查看"选项卡,勾选"隐藏文件",然后查看U盘根目...

电脑自带磁盘分区工具(磁盘分区工具在哪里)

1、右击我的电脑,选择“管理”。2、接着,在计算机管理界面选择“存储——磁盘管理”3、接着系统会自动的查询压缩空间,然后选择选择好需要压缩空间的大小。接着点击“压缩”4、等待系统自动将磁盘空间压...

win10激活密钥永久(win10激活密钥永久正版企业版最新)

要获得Windows10专业版永久激活密钥,可以通过微软官方零售渠道或可靠的第三方卖家购买正版产品密钥。使用第三方卖家时,务必注意其信誉和真实性。激活后,密钥将与您的Microsoft帐户关...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.