百度360必应搜狗淘宝本站头条
python类型转换python串口编程python计时python异常python进度条
当前位置:网站首页 > 技术资源 > 正文

linux系统防火墙高级配置-Day 6:高可用与负载均衡

off999 2025-03-20 17:57 142 浏览 0 评论

1. 防火墙高可用架构

方案1:Keepalived + iptables/nftables

拓扑
- 主备节点通过VRRP协议实现IP漂移(Virtual IP: 192.168.1.100) - 实时同步防火墙规则(rsync/cron)

Keepalived配置示例

# 主节点配置(/etc/keepalived/keepalived.conf)
vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    virtual_ipaddress {
        192.168.1.100
        }
# 防火墙服务健康检测
track_script {
    chk_firewall
    }
}

vrrp_script chk_firewall {
    script "/usr/bin/systemctl is-active nftables"  # 检测防火墙服务状态
    interval 2
    weight -20  # 服务失败时降低优先级触发切换
    }

规则同步脚本

# 主节点通过rsync推送规则到备节点
#!/bin/bash
nft list ruleset > /etc/nftables.conf
rsync -avz /etc/nftables.conf backup-node:/etc/nftables.conf
ssh backup-node "nft -f /etc/nftables.conf"

2. 四层负载均衡(L4)

iptables实现流量分发

# 随机分发HTTP请求到3台后端
iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.33 \
    -j DNAT --to-destination 10.0.1.101:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.5 \
    -j DNAT --to-destination 10.0.1.102:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -j DNAT --to-destination 10.0.1.103:80

nftables高级负载均衡

# 定义后端服务器集合
nft add set inet load_balance backend_ips { type ipv4_addr; flags constant; elements = { 10.0.1.101, 10.0.1.102, 10.0.1.103 } }

# 轮询模式分发流量
nft add rule nat prerouting tcp dport 80 \
    dnat to jhash ip saddr . tcp dport mod 3 map { \
        0 : 10.0.1.101, \
        1 : 10.0.1.102, \
        2 : 10.0.1.103 \
    }

3. 七层负载均衡(L7)集成

HAProxy透明代理配置

# /etc/haproxy/haproxy.cfg
frontend http-in
    bind 192.168.1.100:80 transparent
    mode http
    default_backend web_servers

backend web_servers
    balance leastconn
    server web1 10.0.1.101:80 check
    server web2 10.0.1.102:80 check

# 防火墙放行并标记流量
nft add rule inet filter forward tcp dport 80 meta mark set 1 accept
sysctl -w net.ipv4.ip_forward=1

Nginx流量管理

# 加权轮询配置
upstream backend {
    server 10.0.1.101 weight=3;
    server 10.0.1.102 weight=2;
    server 10.0.1.103 weight=1;
}

# 联动防火墙限制连接数
limit_conn_zone $binary_remote_addr zone=per_ip:10m;
server {
    location / {
        limit_conn per_ip 50;
        proxy_pass http://backend;
        }
    }

4. 性能调优与监控

连接跟踪优化

# 调整内核参数(/etc/sysctl.conf)
net.netfilter.nf_conntrack_max = 1000000
net.netfilter.nf_conntrack_tcp_timeout_established = 3600

# 监控工具
conntrack -L -o extended | grep ESTABLISHED | wc -l
nft monitor | grep "new flow"

规则集性能评估

# 测试规则匹配速度(nftables)
nft --debug=netlink add rule inet filter input tcp dport 80 counter
# 输出示例:...[ evaluate ] tcp dport 80 => 80 ...

# iptables规则排序优化
iptables -L -n --line-numbers | grep ACCEPT | sort -k 4

5. 实战任务

任务1:构建双机热备集群

  • 在两台节点部署Keepalived和nftables
  • 配置虚拟IP 192.168.1.100,实现主备切换
  • 模拟主节点故障(systemctl stop nftables),验证IP漂移

任务2:配置七层负载均衡

  • 使用Nginx实现基于URI的流量分发:
location /api {
    proxy_pass http://api_servers;
}
location /static {
    proxy_pass http://static_servers;
}
  • 联动防火墙限制每个客户端IP每秒最多10个请求:
nft add rule inet filter input tcp dport 80 \
    meter http_ratelimit { ip saddr limit rate 10/second } \
    counter accept

6. 注意事项

  • 脑裂(Split-Brain)风险:使用多播检测或第三方仲裁服务配置冗余心跳线(eth1专用于VRRP通信)
  • 会话保持(Session Persistence):四层使用hashlimit模块源IP哈希七层通过Cookie或JWT实现粘性会话
  • 监控告警
# 统计被拒绝的负载均衡请求
nft list counters | grep "counter packets"
# 监控Keepalived状态
journalctl -u keepalived -f

相关推荐

免费视频剪辑制作软件(免费使用的视频剪辑软件)

非常荣幸回答你的问题,我自己也在做搞笑类视频。也和你一样,先期也是四处找素材。1.b站,我以前经常在那里找,里面会有一些很好的素材,我以前会引用一些油管的视频。都是别人从油管搬运到b站的,我再剪辑一部...

德语翻译(德语翻译拍照)

德语的英文是Germany,而德国的英文是German。Germany还有德国的,德国人的意思。举例:IhaveaGermancar.-我有一部德国(的)车。Hecomesfrom...

win10激活工具免费版(win10激活工具哪个好用)
  • win10激活工具免费版(win10激活工具哪个好用)
  • win10激活工具免费版(win10激活工具哪个好用)
  • win10激活工具免费版(win10激活工具哪个好用)
  • win10激活工具免费版(win10激活工具哪个好用)
安装下载浏览器(浏览器官方正版下载)
  • 安装下载浏览器(浏览器官方正版下载)
  • 安装下载浏览器(浏览器官方正版下载)
  • 安装下载浏览器(浏览器官方正版下载)
  • 安装下载浏览器(浏览器官方正版下载)
免费主题壁纸大全(免费主题壁纸大全下载图片怎么删除不了)

在oppo手机的主题商店里面下载免费的主题都是可以更换锁屏壁纸的只要我们在oppo主题商店里面搜索免费主题,然后下载主题之后再应用主题的时候,我们选择锁屏壁纸,这样我们在应用的时候,下载的免费主题,...

励销云一年收费标准(励销云官网)

励销云成立于2014年,位于陆家嘴软件园,经过多年的发展,公司已经达到600多人的规模,并完成了B+轮融资(腾讯);励销云通过人工智能(AI)、大数据等新一代技术,提供从“找客—筛客—管客”的一体化...

向日葵视频(向日葵视频色板安卓下载app)

1.登录向日葵客户端后,在菜单的设置中勾选“开启屏幕录像”;勾选成功后,当有远程控制时,所有的电脑操作记录、聊天记录、上网记录等都会被录制下来,并储存在相应的目录下。2.如果想要查看屏幕录像,只需点...

iso镜像文件下载(iso镜像文件下载后打不开)

vmwareiso镜像文件可以从VMware官网下载。具体的下载步骤如下:1.打开VMware官网,进入产品下载页面。2.在产品下载页面,选择需要下载的VMware产品,比如VMwareWork...

iso镜像文件能直接安装吗(iso镜像文件安装工具)

不能。1、iso和gho文件都不是可执行文件,不能直接安装,需要用其它程序打开。iso文件是光盘镜像文件,一般需要专用工具软件才能操作,比如UltraISO、WinISO、DaemonTools等,...

安卓市场应用软件有哪些(安卓应用市场有哪几个)
  • 安卓市场应用软件有哪些(安卓应用市场有哪几个)
  • 安卓市场应用软件有哪些(安卓应用市场有哪几个)
  • 安卓市场应用软件有哪些(安卓应用市场有哪几个)
  • 安卓市场应用软件有哪些(安卓应用市场有哪几个)
大智慧股票行情网(大智慧股票价格行情)

股票之间有横线是设置改变的问题,你可以找到系统维护工具将它恢复到刚安装状态.至于股票数量不足,你可以输入67沪深A股涨幅榜看一下所有的股票是多少只,有1800以上就没有问题,如果不足那就软件出了问题,...

adobe animate(Adobe Animate怎么读)
adobe animate(Adobe Animate怎么读)

图形透明度可以点击新增调节,在滤镜的工具栏中找到新增调节点击,里面有亮度对比,饱和度向右滑动就能看见12种调节功能,选择并拖动小圆点,能更加精细地调节画面效果。参考对比如黑金+80。亮度_15,对比+10,饱和+10,光感+5,锐化+50,...

2026-01-27 06:03 off999

360系统重装大师(360可以重装系统吗)

1、360系统重装大师很好用。但是也有缺点。2、360系统重装大师,附在360安全软件中,安装快捷,运行方便。3、缺点(1)只能进入桌面后使用,如果系统无法进入桌面,则不能使用。(2)暂时只能安装原来...

输入qq号就能看空间(输入qq号就能看空间的网站)

1、点击进入QQ,在QQ界面选择[动态];2、找到[好友动态]并点击进入;3、在好友动态的左上角部位有个自己头像的圆圈,点击进入即可;还有另外一种方法即:;1、进入QQ界面把界面往右划;2、点击左上角...

大智慧股票交易软件(大智慧股票交易软件下载)

大智慧可以绑定的券商有很多,比如有:渤海证券,长城证券,国瑞证券,财达证券,德邦证券,大通证券,东吴证券,国盛证券,华安证券,华宝证券,华龙证券,华融证券,万和证券,湘财证券,英大证券,中邮证券等等。...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.