百度360必应搜狗淘宝本站头条
python类型转换python串口编程python计时python异常python进度条
当前位置:网站首页 > 技术资源 > 正文

linux系统防火墙高级配置-Day 6:高可用与负载均衡

off999 2025-03-20 17:57 146 浏览 0 评论

1. 防火墙高可用架构

方案1:Keepalived + iptables/nftables

拓扑
- 主备节点通过VRRP协议实现IP漂移(Virtual IP: 192.168.1.100) - 实时同步防火墙规则(rsync/cron)

Keepalived配置示例

# 主节点配置(/etc/keepalived/keepalived.conf)
vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    virtual_ipaddress {
        192.168.1.100
        }
# 防火墙服务健康检测
track_script {
    chk_firewall
    }
}

vrrp_script chk_firewall {
    script "/usr/bin/systemctl is-active nftables"  # 检测防火墙服务状态
    interval 2
    weight -20  # 服务失败时降低优先级触发切换
    }

规则同步脚本

# 主节点通过rsync推送规则到备节点
#!/bin/bash
nft list ruleset > /etc/nftables.conf
rsync -avz /etc/nftables.conf backup-node:/etc/nftables.conf
ssh backup-node "nft -f /etc/nftables.conf"

2. 四层负载均衡(L4)

iptables实现流量分发

# 随机分发HTTP请求到3台后端
iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.33 \
    -j DNAT --to-destination 10.0.1.101:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.5 \
    -j DNAT --to-destination 10.0.1.102:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -j DNAT --to-destination 10.0.1.103:80

nftables高级负载均衡

# 定义后端服务器集合
nft add set inet load_balance backend_ips { type ipv4_addr; flags constant; elements = { 10.0.1.101, 10.0.1.102, 10.0.1.103 } }

# 轮询模式分发流量
nft add rule nat prerouting tcp dport 80 \
    dnat to jhash ip saddr . tcp dport mod 3 map { \
        0 : 10.0.1.101, \
        1 : 10.0.1.102, \
        2 : 10.0.1.103 \
    }

3. 七层负载均衡(L7)集成

HAProxy透明代理配置

# /etc/haproxy/haproxy.cfg
frontend http-in
    bind 192.168.1.100:80 transparent
    mode http
    default_backend web_servers

backend web_servers
    balance leastconn
    server web1 10.0.1.101:80 check
    server web2 10.0.1.102:80 check

# 防火墙放行并标记流量
nft add rule inet filter forward tcp dport 80 meta mark set 1 accept
sysctl -w net.ipv4.ip_forward=1

Nginx流量管理

# 加权轮询配置
upstream backend {
    server 10.0.1.101 weight=3;
    server 10.0.1.102 weight=2;
    server 10.0.1.103 weight=1;
}

# 联动防火墙限制连接数
limit_conn_zone $binary_remote_addr zone=per_ip:10m;
server {
    location / {
        limit_conn per_ip 50;
        proxy_pass http://backend;
        }
    }

4. 性能调优与监控

连接跟踪优化

# 调整内核参数(/etc/sysctl.conf)
net.netfilter.nf_conntrack_max = 1000000
net.netfilter.nf_conntrack_tcp_timeout_established = 3600

# 监控工具
conntrack -L -o extended | grep ESTABLISHED | wc -l
nft monitor | grep "new flow"

规则集性能评估

# 测试规则匹配速度(nftables)
nft --debug=netlink add rule inet filter input tcp dport 80 counter
# 输出示例:...[ evaluate ] tcp dport 80 => 80 ...

# iptables规则排序优化
iptables -L -n --line-numbers | grep ACCEPT | sort -k 4

5. 实战任务

任务1:构建双机热备集群

  • 在两台节点部署Keepalived和nftables
  • 配置虚拟IP 192.168.1.100,实现主备切换
  • 模拟主节点故障(systemctl stop nftables),验证IP漂移

任务2:配置七层负载均衡

  • 使用Nginx实现基于URI的流量分发:
location /api {
    proxy_pass http://api_servers;
}
location /static {
    proxy_pass http://static_servers;
}
  • 联动防火墙限制每个客户端IP每秒最多10个请求:
nft add rule inet filter input tcp dport 80 \
    meter http_ratelimit { ip saddr limit rate 10/second } \
    counter accept

6. 注意事项

  • 脑裂(Split-Brain)风险:使用多播检测或第三方仲裁服务配置冗余心跳线(eth1专用于VRRP通信)
  • 会话保持(Session Persistence):四层使用hashlimit模块源IP哈希七层通过Cookie或JWT实现粘性会话
  • 监控告警
# 统计被拒绝的负载均衡请求
nft list counters | grep "counter packets"
# 监控Keepalived状态
journalctl -u keepalived -f

相关推荐

红警2共和国之辉手机版(红警2共和国之辉手机版操作指南)
  • 红警2共和国之辉手机版(红警2共和国之辉手机版操作指南)
  • 红警2共和国之辉手机版(红警2共和国之辉手机版操作指南)
  • 红警2共和国之辉手机版(红警2共和国之辉手机版操作指南)
  • 红警2共和国之辉手机版(红警2共和国之辉手机版操作指南)
说玩手游app(说玩手游官网)
说玩手游app(说玩手游官网)

1、在手机上下载安装模拟器,选择专业的模拟器,比如BlueStacks、AMD、nox、MEmu等;2、将要玩的手游app的apk文件拷贝到电脑上,然后双击安装;3、双击模拟器安装的app,等待模拟器载入完成;4、在手机上可以就可以开始玩手...

2026-01-29 18:51 off999

安卓市场应用软件下载(安卓市场下载软件app)
  • 安卓市场应用软件下载(安卓市场下载软件app)
  • 安卓市场应用软件下载(安卓市场下载软件app)
  • 安卓市场应用软件下载(安卓市场下载软件app)
  • 安卓市场应用软件下载(安卓市场下载软件app)
捕鱼破解版无限金币钻石(捕鱼达人破解版无限金币)

安卓能下载无限金币版游戏。应用商店里有很多无限金币版安卓游戏,比如捕鱼达人2;安卓Android是一个以Linux为基础的半开源操作系统,主要用于移动设备,由Google和开放手持设备联盟开发与领导。...

免费下载qq2020新版本(免费下载qq2019新版本)
免费下载qq2020新版本(免费下载qq2019新版本)

方法/步骤首先要把自己的手机qq升级到最新的版本,然后再手机上登录到自己的qq号码,再点击下面导航栏的“动态”1,打开qq聊天窗口点击“表情”图标,然后点击符号“+”。2,打开表情商城界面点击“下载”按钮,然后点击“返回”按键。3,打开表情...

2026-01-29 18:03 off999

自助建站(自助建站系统)

很多自助建站系统都不错,不过漏洞也多,个人推荐Pageadmin,帝国,wp这些比较靠谱推荐文汇建站等几款国内热门自助建站系统1文汇建站:免费建站,通过浏览器在线注册就可以使用,不需要下载端安装。文...

wpsoffice官方免费下载(wps官网免费下载)
wpsoffice官方免费下载(wps官网免费下载)

不是所有安装好系统的电脑都带有微软office。微软office在电脑系统中需要另行安装,因为这是一个非免费软件,想要使用正版是需要向微软交费购买的。目前因为国际公约的约定,如果软件使用者是用于学习、研究的目的使用某个软件则不构成侵权,所以...

2026-01-29 17:43 off999

86五笔输入法官方下载电脑版

1、先在浏览器里面输入王码五笔型输入法,在搜索结果里面选择一个下载。2、在弹出来的选项中勾选86版,并点击下面的下载。3、点击了下载之后,在弹出来的选项里面设置下载的保存路径。4、将文件下载到电脑里,...

雨燕直播360高清直播(雨燕直播360高清直播在线观看)
雨燕直播360高清直播(雨燕直播360高清直播在线观看)

雨燕体育直播并没有官网。雨燕体育是一款专为喜欢体育的用户打造的掌上体育资讯服务应用,涵盖了超多全面的体育资讯内容,各种不同的赛事资源、体育场馆以及运动指导这里通通都有,一键搜索本人感兴味的内容进行查看,了解到更多的体育资内容,可以第一时间知...

2026-01-29 17:03 off999

无水印音乐mv视频素材(无水印音乐mv视频素材下载)

01.ChaodianVideo这是一个素材相当丰富的网站,包括影视、动漫、古风、搞笑和校园爱情的视频素材都有,也有一系诶特效元素和MG动画素材等,整体来讲质量相当不错,千万不能错过了!2.樱花动...

腾讯手机管家网页版(腾讯手机管家的网址)

首先需要使用数据线链接,手机完成匹配之后,使用WIFI链接,会随机刷出验证码。一数据线连接打开腾讯手机管家的PC版——打开应用宝就可二无数据线连接打开腾讯手机管家——高级工具——应用宝——管理——连接...

植物大战僵尸原版下载入口(植物大战僵尸原版下载入口安装)

手机植物大战僵尸原版可以在应用商店进行下载。因为应用商店是手机系统的官方软件平台,提供了众多应用程序供用户选择下载,大部分应用都可以在应用商店中直接进行下载和安装。如果在应用商店中没有找到,可以在官方...

客户端app下载安装(下载手机客户端app及安装)

1、点APP客户端下载2、选择在浏览器中打开(比如UC,QQ,看你装了什么浏览器)3、下载4、有的APP下载后会自动弹出安装包(想省事选择打包安装),安装就好5、有的APP下载后没弹出安装页面,那就到...

大智慧官方网下载(大智慧正版免费下载官网)

手机上下载不了电脑版的东西,可以选择电脑能下载,但打不开,只能下手机版下载东北证券大智慧交易系统下不来,有可能是你不符合下载条件,或者是你的网络有问题。大智慧软件每日收盘后自动下载的内容是:当天所有股...

18游戏盒(18游戏盒2021)

1.18游戏盒加载不出来。2.可能是由于以下原因导致加载失败:a)网络连接问题,如网络不稳定或速度较慢;b)服务器问题,可能是游戏盒的服务器出现故障或维护;c)设备问题,如设备内存不足或存在...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.