百度360必应搜狗淘宝本站头条
python类型转换python串口编程python计时python异常python进度条
当前位置:网站首页 > 技术资源 > 正文

linux系统防火墙高级配置-Day 6:高可用与负载均衡

off999 2025-03-20 17:57 150 浏览 0 评论

1. 防火墙高可用架构

方案1:Keepalived + iptables/nftables

拓扑
- 主备节点通过VRRP协议实现IP漂移(Virtual IP: 192.168.1.100) - 实时同步防火墙规则(rsync/cron)

Keepalived配置示例

# 主节点配置(/etc/keepalived/keepalived.conf)
vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    virtual_ipaddress {
        192.168.1.100
        }
# 防火墙服务健康检测
track_script {
    chk_firewall
    }
}

vrrp_script chk_firewall {
    script "/usr/bin/systemctl is-active nftables"  # 检测防火墙服务状态
    interval 2
    weight -20  # 服务失败时降低优先级触发切换
    }

规则同步脚本

# 主节点通过rsync推送规则到备节点
#!/bin/bash
nft list ruleset > /etc/nftables.conf
rsync -avz /etc/nftables.conf backup-node:/etc/nftables.conf
ssh backup-node "nft -f /etc/nftables.conf"

2. 四层负载均衡(L4)

iptables实现流量分发

# 随机分发HTTP请求到3台后端
iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.33 \
    -j DNAT --to-destination 10.0.1.101:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.5 \
    -j DNAT --to-destination 10.0.1.102:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -j DNAT --to-destination 10.0.1.103:80

nftables高级负载均衡

# 定义后端服务器集合
nft add set inet load_balance backend_ips { type ipv4_addr; flags constant; elements = { 10.0.1.101, 10.0.1.102, 10.0.1.103 } }

# 轮询模式分发流量
nft add rule nat prerouting tcp dport 80 \
    dnat to jhash ip saddr . tcp dport mod 3 map { \
        0 : 10.0.1.101, \
        1 : 10.0.1.102, \
        2 : 10.0.1.103 \
    }

3. 七层负载均衡(L7)集成

HAProxy透明代理配置

# /etc/haproxy/haproxy.cfg
frontend http-in
    bind 192.168.1.100:80 transparent
    mode http
    default_backend web_servers

backend web_servers
    balance leastconn
    server web1 10.0.1.101:80 check
    server web2 10.0.1.102:80 check

# 防火墙放行并标记流量
nft add rule inet filter forward tcp dport 80 meta mark set 1 accept
sysctl -w net.ipv4.ip_forward=1

Nginx流量管理

# 加权轮询配置
upstream backend {
    server 10.0.1.101 weight=3;
    server 10.0.1.102 weight=2;
    server 10.0.1.103 weight=1;
}

# 联动防火墙限制连接数
limit_conn_zone $binary_remote_addr zone=per_ip:10m;
server {
    location / {
        limit_conn per_ip 50;
        proxy_pass http://backend;
        }
    }

4. 性能调优与监控

连接跟踪优化

# 调整内核参数(/etc/sysctl.conf)
net.netfilter.nf_conntrack_max = 1000000
net.netfilter.nf_conntrack_tcp_timeout_established = 3600

# 监控工具
conntrack -L -o extended | grep ESTABLISHED | wc -l
nft monitor | grep "new flow"

规则集性能评估

# 测试规则匹配速度(nftables)
nft --debug=netlink add rule inet filter input tcp dport 80 counter
# 输出示例:...[ evaluate ] tcp dport 80 => 80 ...

# iptables规则排序优化
iptables -L -n --line-numbers | grep ACCEPT | sort -k 4

5. 实战任务

任务1:构建双机热备集群

  • 在两台节点部署Keepalived和nftables
  • 配置虚拟IP 192.168.1.100,实现主备切换
  • 模拟主节点故障(systemctl stop nftables),验证IP漂移

任务2:配置七层负载均衡

  • 使用Nginx实现基于URI的流量分发:
location /api {
    proxy_pass http://api_servers;
}
location /static {
    proxy_pass http://static_servers;
}
  • 联动防火墙限制每个客户端IP每秒最多10个请求:
nft add rule inet filter input tcp dport 80 \
    meter http_ratelimit { ip saddr limit rate 10/second } \
    counter accept

6. 注意事项

  • 脑裂(Split-Brain)风险:使用多播检测或第三方仲裁服务配置冗余心跳线(eth1专用于VRRP通信)
  • 会话保持(Session Persistence):四层使用hashlimit模块源IP哈希七层通过Cookie或JWT实现粘性会话
  • 监控告警
# 统计被拒绝的负载均衡请求
nft list counters | grep "counter packets"
# 监控Keepalived状态
journalctl -u keepalived -f

相关推荐

高清免费观看电视软件(永久免费观看的电视剧软件)

1.有免费在线看高清电视的网站。2.因为有些网站提供免费的高清电视节目,可以通过网络直接观看,不需要付费。3.除了免费在线观看高清电视的网站,还有一些付费的订阅平台,可以提供更多的高清电视节目选...

交管12123成绩查询(交管12123成绩查询怎么查)
  • 交管12123成绩查询(交管12123成绩查询怎么查)
  • 交管12123成绩查询(交管12123成绩查询怎么查)
  • 交管12123成绩查询(交管12123成绩查询怎么查)
  • 交管12123成绩查询(交管12123成绩查询怎么查)
flash下载安卓版下载(flashget安卓下载)

通过iTunes上的iTunesstore或者iPhone上的AppStore下载要是越狱版本91助手也可以下载而且有更多免费的游戏就是说你的电脑没有flash插件,需要安装flash插件才能...

模拟农场20(模拟农场20国产收割机)
  • 模拟农场20(模拟农场20国产收割机)
  • 模拟农场20(模拟农场20国产收割机)
  • 模拟农场20(模拟农场20国产收割机)
  • 模拟农场20(模拟农场20国产收割机)
电子公章印章在线制作(电子公章印章在线制作教程)

首先说明:电子公章制作需要有授权才能够进行!公章做成电子版可以通过Word来进行。具体方法步骤如下:1、准备工作:首先需要你(妳)将实体印章拍成图片格式上传到计算机保存桌面。2、制作操作:打开计算机办...

12306掐点抢票技巧(抢不到票去人工窗口能买到吗)

1、提前做好准备:在12306官网上预订车票前,先登录账号并保存好乘车人信息和常用联系人信息。此外,在购票日前,可以提前进行车次和座位的查询和选择。2、时间选择:00:00到08:00。3、车次选择:...

qq炫舞官网掌上炫舞(qq炫舞官方网站最新活动)

你好,进入掌上炫舞商城的方法如下:1.打开掌上炫舞游戏,进入游戏主界面。2.点击屏幕左下角的“商城”按钮。3.进入商城后,可以选择购买游戏中的道具、礼包等物品。4.在商城中选择要购买的物品后,...

西瓜音乐免费听(西瓜音乐免费听歌的app)
西瓜音乐免费听(西瓜音乐免费听歌的app)

TOP15:少年原唱:梦然热度值:1,013,022我还是从前那个少年没有一丝丝改变抖音梦然-《少年》mvTOP14:好想爱这个世界啊原唱:华晨宇热度值:1,013,096不想离开当你的笑容绽开这世界突然填满色彩华晨宇新歌《好想...

2026-02-03 17:43 off999

酷酷狗app正版下载安装(酷狗音乐下载最新版酷)

卖八个金,目前六阶的酷酷狗以及松鼠都是属于不错的两个战宠,酷酷狗的平A伤害十分之高,与黑霸对比也不会落下风,当我们使用技能还可以增加大量伤害,大约等于黑霸的两倍。虽然说松鼠的伤害对比酷酷狗来说十分一...

迅雷app(迅雷app下载安装官网手机版)
迅雷app(迅雷app下载安装官网手机版)

首先打开迅雷app,点击我的转存然后点击我们下载的文件然后点击左下角下载就好拉迅雷下载完的视频是直接保存到我的转存里。如果要想再把我的转存里面文件,下载到手机上,首先选择底部云盘图标进入我的转存页面,找到里面要下载的视频,勾选打√,下面会出...

2026-02-03 17:03 off999

苹果itunes在哪里打开(itunes从哪打开)
苹果itunes在哪里打开(itunes从哪打开)

1、将你的iPhone关机。2、同时按住开关机键和Home键。3、当你看见白色的苹果Logo时,请松开开关机键,并继续保持按住Home键。4、开启iTunes,等待其提示你进入恢复模式后,即可按住键盘上的Shift键,点击“恢复”,选择相应...

2026-02-03 16:51 off999

如何申请qq号(如何申请qq号详细步骤)

只需在网页上申请即可获得QQ号码或Email帐号,无需任何费用。为了打击使用自动机进行批量申请QQ帐号的行为,我们对网页申请进行了部分限制,有可能对少数申请造成影响。手机免费申请(仅支持申请QQ号码)...

visual studio官网下载(microsoft visual studio官方下载)

以下是VisualStudio2017的下载和安装步骤:1.打开浏览器,并在搜索引擎中搜索"VisualStudio2017下载"。2.找到微软官方的VisualStud...

手机可编辑的办公软件(手机可编辑的办公软件下载)
  • 手机可编辑的办公软件(手机可编辑的办公软件下载)
  • 手机可编辑的办公软件(手机可编辑的办公软件下载)
  • 手机可编辑的办公软件(手机可编辑的办公软件下载)
  • 手机可编辑的办公软件(手机可编辑的办公软件下载)
cad2014破解版激活教程(cad 2014破解版怎么样激活)
cad2014破解版激活教程(cad 2014破解版怎么样激活)

步骤如下:1.打开CAD2014,点击激活,勾选同意协议之后它会告诉您,您的序列号是错误的,这时点击关闭等一会再点击激活即可;2.在激活界面中选择“我拥有一个Autodesk激活码”;3.启动对应版本的XFORCEKeygen32bit...

2026-02-03 15:51 off999

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.