百度360必应搜狗淘宝本站头条
python类型转换python串口编程python计时python异常python进度条
当前位置:网站首页 > 技术资源 > 正文

linux系统防火墙高级配置-Day 6:高可用与负载均衡

off999 2025-03-20 17:57 116 浏览 0 评论

1. 防火墙高可用架构

方案1:Keepalived + iptables/nftables

拓扑
- 主备节点通过VRRP协议实现IP漂移(Virtual IP: 192.168.1.100) - 实时同步防火墙规则(rsync/cron)

Keepalived配置示例

# 主节点配置(/etc/keepalived/keepalived.conf)
vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    virtual_ipaddress {
        192.168.1.100
        }
# 防火墙服务健康检测
track_script {
    chk_firewall
    }
}

vrrp_script chk_firewall {
    script "/usr/bin/systemctl is-active nftables"  # 检测防火墙服务状态
    interval 2
    weight -20  # 服务失败时降低优先级触发切换
    }

规则同步脚本

# 主节点通过rsync推送规则到备节点
#!/bin/bash
nft list ruleset > /etc/nftables.conf
rsync -avz /etc/nftables.conf backup-node:/etc/nftables.conf
ssh backup-node "nft -f /etc/nftables.conf"

2. 四层负载均衡(L4)

iptables实现流量分发

# 随机分发HTTP请求到3台后端
iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.33 \
    -j DNAT --to-destination 10.0.1.101:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.5 \
    -j DNAT --to-destination 10.0.1.102:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -j DNAT --to-destination 10.0.1.103:80

nftables高级负载均衡

# 定义后端服务器集合
nft add set inet load_balance backend_ips { type ipv4_addr; flags constant; elements = { 10.0.1.101, 10.0.1.102, 10.0.1.103 } }

# 轮询模式分发流量
nft add rule nat prerouting tcp dport 80 \
    dnat to jhash ip saddr . tcp dport mod 3 map { \
        0 : 10.0.1.101, \
        1 : 10.0.1.102, \
        2 : 10.0.1.103 \
    }

3. 七层负载均衡(L7)集成

HAProxy透明代理配置

# /etc/haproxy/haproxy.cfg
frontend http-in
    bind 192.168.1.100:80 transparent
    mode http
    default_backend web_servers

backend web_servers
    balance leastconn
    server web1 10.0.1.101:80 check
    server web2 10.0.1.102:80 check

# 防火墙放行并标记流量
nft add rule inet filter forward tcp dport 80 meta mark set 1 accept
sysctl -w net.ipv4.ip_forward=1

Nginx流量管理

# 加权轮询配置
upstream backend {
    server 10.0.1.101 weight=3;
    server 10.0.1.102 weight=2;
    server 10.0.1.103 weight=1;
}

# 联动防火墙限制连接数
limit_conn_zone $binary_remote_addr zone=per_ip:10m;
server {
    location / {
        limit_conn per_ip 50;
        proxy_pass http://backend;
        }
    }

4. 性能调优与监控

连接跟踪优化

# 调整内核参数(/etc/sysctl.conf)
net.netfilter.nf_conntrack_max = 1000000
net.netfilter.nf_conntrack_tcp_timeout_established = 3600

# 监控工具
conntrack -L -o extended | grep ESTABLISHED | wc -l
nft monitor | grep "new flow"

规则集性能评估

# 测试规则匹配速度(nftables)
nft --debug=netlink add rule inet filter input tcp dport 80 counter
# 输出示例:...[ evaluate ] tcp dport 80 => 80 ...

# iptables规则排序优化
iptables -L -n --line-numbers | grep ACCEPT | sort -k 4

5. 实战任务

任务1:构建双机热备集群

  • 在两台节点部署Keepalived和nftables
  • 配置虚拟IP 192.168.1.100,实现主备切换
  • 模拟主节点故障(systemctl stop nftables),验证IP漂移

任务2:配置七层负载均衡

  • 使用Nginx实现基于URI的流量分发:
location /api {
    proxy_pass http://api_servers;
}
location /static {
    proxy_pass http://static_servers;
}
  • 联动防火墙限制每个客户端IP每秒最多10个请求:
nft add rule inet filter input tcp dport 80 \
    meter http_ratelimit { ip saddr limit rate 10/second } \
    counter accept

6. 注意事项

  • 脑裂(Split-Brain)风险:使用多播检测或第三方仲裁服务配置冗余心跳线(eth1专用于VRRP通信)
  • 会话保持(Session Persistence):四层使用hashlimit模块源IP哈希七层通过Cookie或JWT实现粘性会话
  • 监控告警
# 统计被拒绝的负载均衡请求
nft list counters | grep "counter packets"
# 监控Keepalived状态
journalctl -u keepalived -f

相关推荐

免费p图软件(电脑免费p图软件)
免费p图软件(电脑免费p图软件)

分享几款免费看vip电影电视剧的app,只要在各大播放器上映的电影,在这几款app都可以看到。1、火星影视2、新电影天堂3、呲哩呲哩4、鲨鱼影视这些软件直接可以百度下载,爱奇艺,腾讯视频电脑上有哪些画画的软件好用,要免费的,windows自...

2025-12-25 01:03 off999

英特尔i5处理器性能排行榜(英特尔i5处理器性能介绍)

性能从高到低:i5-11600k(f),i5-11600(f),i5-11500,i5-10600k(f),i5-11400(f),i5-11600t,i5-10600(f),i5-11500t,i5...

联想笔记本各个系列(联想笔记本各个系列区别)
  • 联想笔记本各个系列(联想笔记本各个系列区别)
  • 联想笔记本各个系列(联想笔记本各个系列区别)
  • 联想笔记本各个系列(联想笔记本各个系列区别)
  • 联想笔记本各个系列(联想笔记本各个系列区别)
视频修复软件免费版(高清视频修复软件免费版)
视频修复软件免费版(高清视频修复软件免费版)

视频修复软件众多,电脑端用会声会影,可以进行编辑,特效,完善音视频你所构建大多部分内容。另外如果是视频损坏的话也可以用另外一款软件也是比较适合,比如AllMediaFixer是多媒体文件修复工具,如果你有一些多媒体文件无法播放时,可能这...

2025-12-24 23:51 off999

电脑黑屏只能看见鼠标(联想电脑黑屏只有鼠标箭头怎么办)

1、按电脑上面的重启按钮,然后按住键盘上面的F8。  2、按键盘上面的方向键选择,安全模式里面的第一个选项。  3、进入桌面后点击控制面板,选择卸载。  4、然后右键卸载最近安装的软件,接着点击左下角...

2012年win7系统32位(电脑系统win732位)

你好朋友;没有;微软自从windowsserver2008r2操作系统开始;只会发布64位的windows服务器操作系统了;朋友换句话也就是说;凡是win2008之后的服务器操作系统;...

台式电脑线路安装步骤图(台式电脑怎么安装线路图)

安装电脑线路需要以下步骤:首先,确定电脑所需的线路类型,如电源线、网线等。然后,将线路插头与相应的接口连接,确保插头与接口对应正确。接下来,将线路沿着合适的路径布置,避免过度弯曲或拉扯。在布置线路时,...

qq空间触屏版登录入口(qq空间登录入口首页)

z.qq.com可以通过以下方式登录手机QQ空间:1、使用手机登录手机腾讯网3g.qq.com,点击“空间”,根据提示QQ号码和QQ密码就可以登录;2、通过手机直接输入手机QQ空间网址z.qq.co...

笔记本电脑开机密码怎么关闭

1、用户账户密码取消  取消用户账户密码的方法比较简单,在“控制面板”中的“用户账户”中,选择你要修改的账户,然后点“删除我的密码”的选项,选择“删除密码”即可,也可以在选择更改密码时,把新密码留空,...

鼠标usb设备无法识别(鼠标usb设备无法识别win10)

1.前置USB线接错。当主板上的USB线和机箱上的前置USB接口对应相接时把正负接反就会发生这类故障,这也是相当危险的,因为正负接反很可能会使得USB设备烧毁。所以尽量采用机箱后置的USB接口,也少...

腾讯游戏实名认证中心官网(腾讯游戏实名制平台)
腾讯游戏实名认证中心官网(腾讯游戏实名制平台)

腾讯游戏实名认证非常的简单,首先,打开腾讯游戏实名注册网址:jkyx.qq.com打开jkyx.qq.com,登陆你的QQ账号,如果你的QQ账号已经实名注册了,该网站就能看到已注册的信息的。如果还未实名注册的玩家,就可以在该网站按照要求填...

2025-12-24 19:03 off999

电脑城照片(电脑照的相片在哪里找)

开平的电脑城在市府文化广场旁边那条桥的桥头(光明路),美媛电脑城,不过好像很破烂,此外曙光路很多电脑店。有三家电子/电脑城,其中最大两家在107国道沙井上南加油站路段两旁,那里有很多电子零件和电脑...

kali linux安装教程(kali linux最新版安装教程)

KaliLinux官方正确安装方法为先从官网下载最新版本的ISO镜像文件,然后使用软件如Rufus将ISO文件写入U盘或DVD,接着在计算机启动时选择U盘或DVD作为启动设备,进入KaliLinu...

asus电脑开不了机怎么办(华硕电脑开不机怎么办)

1、检查电源和电源适配器如果华硕笔记本无法开机,首先要排查电源和电源适配器是否正常工作。可以检查电源适配器是否插紧,是否有松动或断裂。另外,可以更换电源适配器或更换电池,看是否可以开机。2、检查硬件连...

bios硬盘启动项是哪个(电脑bios硬盘启动)

1、开机按F2(具体按键看开机屏幕提示)进入BIOS系统,打开Boot选项卡;2、在Boot页面下找到IDE1,一般这个表示的就是电脑硬盘,按键盘上的F6将该启动项向上移至第一位,也就是将硬盘设为第一...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.