百度360必应搜狗淘宝本站头条
python类型转换python串口编程python计时python异常python进度条
当前位置:网站首页 > 技术资源 > 正文

linux系统防火墙高级配置-Day 6:高可用与负载均衡

off999 2025-03-20 17:57 136 浏览 0 评论

1. 防火墙高可用架构

方案1:Keepalived + iptables/nftables

拓扑
- 主备节点通过VRRP协议实现IP漂移(Virtual IP: 192.168.1.100) - 实时同步防火墙规则(rsync/cron)

Keepalived配置示例

# 主节点配置(/etc/keepalived/keepalived.conf)
vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    virtual_ipaddress {
        192.168.1.100
        }
# 防火墙服务健康检测
track_script {
    chk_firewall
    }
}

vrrp_script chk_firewall {
    script "/usr/bin/systemctl is-active nftables"  # 检测防火墙服务状态
    interval 2
    weight -20  # 服务失败时降低优先级触发切换
    }

规则同步脚本

# 主节点通过rsync推送规则到备节点
#!/bin/bash
nft list ruleset > /etc/nftables.conf
rsync -avz /etc/nftables.conf backup-node:/etc/nftables.conf
ssh backup-node "nft -f /etc/nftables.conf"

2. 四层负载均衡(L4)

iptables实现流量分发

# 随机分发HTTP请求到3台后端
iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.33 \
    -j DNAT --to-destination 10.0.1.101:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.5 \
    -j DNAT --to-destination 10.0.1.102:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -j DNAT --to-destination 10.0.1.103:80

nftables高级负载均衡

# 定义后端服务器集合
nft add set inet load_balance backend_ips { type ipv4_addr; flags constant; elements = { 10.0.1.101, 10.0.1.102, 10.0.1.103 } }

# 轮询模式分发流量
nft add rule nat prerouting tcp dport 80 \
    dnat to jhash ip saddr . tcp dport mod 3 map { \
        0 : 10.0.1.101, \
        1 : 10.0.1.102, \
        2 : 10.0.1.103 \
    }

3. 七层负载均衡(L7)集成

HAProxy透明代理配置

# /etc/haproxy/haproxy.cfg
frontend http-in
    bind 192.168.1.100:80 transparent
    mode http
    default_backend web_servers

backend web_servers
    balance leastconn
    server web1 10.0.1.101:80 check
    server web2 10.0.1.102:80 check

# 防火墙放行并标记流量
nft add rule inet filter forward tcp dport 80 meta mark set 1 accept
sysctl -w net.ipv4.ip_forward=1

Nginx流量管理

# 加权轮询配置
upstream backend {
    server 10.0.1.101 weight=3;
    server 10.0.1.102 weight=2;
    server 10.0.1.103 weight=1;
}

# 联动防火墙限制连接数
limit_conn_zone $binary_remote_addr zone=per_ip:10m;
server {
    location / {
        limit_conn per_ip 50;
        proxy_pass http://backend;
        }
    }

4. 性能调优与监控

连接跟踪优化

# 调整内核参数(/etc/sysctl.conf)
net.netfilter.nf_conntrack_max = 1000000
net.netfilter.nf_conntrack_tcp_timeout_established = 3600

# 监控工具
conntrack -L -o extended | grep ESTABLISHED | wc -l
nft monitor | grep "new flow"

规则集性能评估

# 测试规则匹配速度(nftables)
nft --debug=netlink add rule inet filter input tcp dport 80 counter
# 输出示例:...[ evaluate ] tcp dport 80 => 80 ...

# iptables规则排序优化
iptables -L -n --line-numbers | grep ACCEPT | sort -k 4

5. 实战任务

任务1:构建双机热备集群

  • 在两台节点部署Keepalived和nftables
  • 配置虚拟IP 192.168.1.100,实现主备切换
  • 模拟主节点故障(systemctl stop nftables),验证IP漂移

任务2:配置七层负载均衡

  • 使用Nginx实现基于URI的流量分发:
location /api {
    proxy_pass http://api_servers;
}
location /static {
    proxy_pass http://static_servers;
}
  • 联动防火墙限制每个客户端IP每秒最多10个请求:
nft add rule inet filter input tcp dport 80 \
    meter http_ratelimit { ip saddr limit rate 10/second } \
    counter accept

6. 注意事项

  • 脑裂(Split-Brain)风险:使用多播检测或第三方仲裁服务配置冗余心跳线(eth1专用于VRRP通信)
  • 会话保持(Session Persistence):四层使用hashlimit模块源IP哈希七层通过Cookie或JWT实现粘性会话
  • 监控告警
# 统计被拒绝的负载均衡请求
nft list counters | grep "counter packets"
# 监控Keepalived状态
journalctl -u keepalived -f

相关推荐

windows7副本不是正版影响使用吗

会经常弹出提示和安全警告,如果我们安装了一个非正版的windows系统,就会经常弹出此windows副本不是正版的提示,那么此windows副本不是正版有什么影响呢,其实除了视觉外,功能也会有影响。w...

100个有效qq号以及密码2025(2021最新qq号和密码大全)
100个有效qq号以及密码2025(2021最新qq号和密码大全)

有关QQ登记全国之最的数据目前并没有最新数据更新,最新的该项数据是截止于2019年12月的数据,接下来为大家带来QQ等级全国第一的用户的有关数据,仅供大家娱乐之用:截止2019年12月,全国qq等级第一名的名字叫做“小风波”,QQ等级高达1...

2026-01-13 05:51 off999

联想window7(联想windows7怎么设置锁屏时间)
  • 联想window7(联想windows7怎么设置锁屏时间)
  • 联想window7(联想windows7怎么设置锁屏时间)
  • 联想window7(联想windows7怎么设置锁屏时间)
  • 联想window7(联想windows7怎么设置锁屏时间)
怎么更新ios版本(怎么更新ios版本15.0)

苹果系统升级到指定版本的方法:下载安装【爱思助手】,打开软件后用数据线连接iPhone和电脑。等待自动安装驱动,软件显示iPhone信息后点击左侧【下载固件】。在顶部选择手机型号,将固件类型改为【可刷...

安卓手机mtp驱动下载(安卓手机驱动程序下载)
  • 安卓手机mtp驱动下载(安卓手机驱动程序下载)
  • 安卓手机mtp驱动下载(安卓手机驱动程序下载)
  • 安卓手机mtp驱动下载(安卓手机驱动程序下载)
  • 安卓手机mtp驱动下载(安卓手机驱动程序下载)
免费安装电脑系统软件(免费安装电脑系统软件哪个好)

应该是可以的只要你舍得出钱一半来说就算是笔记本换系统去电脑城就行了不会超过50块还能给你把驱动全部打好为什么非要去苏宁装呢?朋友,你好:如果在买后一年以内,属于保修范围,装系统不收费,...

网络适配器消失了(空腹血糖6.0,总感觉口渴怎么办)

网络适配器不见了原因一:未安装网卡驱动  如果电脑的系统驱动安装包中无合适的驱动文件,导致网卡驱动未能安装,自己又不知道网卡的型号,可以先从其他地方复制一个网卡万能驱动来进行安装。电脑能够上网后,再下...

电脑的摄像头怎么打开摄像头
  • 电脑的摄像头怎么打开摄像头
  • 电脑的摄像头怎么打开摄像头
  • 电脑的摄像头怎么打开摄像头
  • 电脑的摄像头怎么打开摄像头
如何关闭杀毒软件和防火墙(电脑防火墙怎么设置)

问题一、怎样关闭防火墙?  1、展开桌面下的开始菜单,在搜索栏中输入【防火墙】;  2、选择搜索结果控制面板下的【Windows防火墙】程序进入;  3、选择左栏【打开或关闭Windows防火墙】...

中关村在线笔记本报价大全(中关村在线笔记本论坛)

i5的主机有很多种啊,目前比较高性能的联想主机是联想拯救者系列,其中一款是5299元。中关村的价格都不太准的,价格也不是实时更新的,你还不如直接看京东,参考如下:AMDR53500X处理器:10...

win7音量图标不见了如何恢复

你好sese0955,win7音量图标关闭了,实际就是win7系统扬声器音量图标消失。你可以在提示栏点击小三角图标并打开,找到音量图标行为栏将‘仅显示通知’更改为‘显示图标和通知’,完成更改后记住点击...

安卓手机怎么关闭安全模式(安卓手机怎么关闭安全模式vivo)
安卓手机怎么关闭安全模式(安卓手机怎么关闭安全模式vivo)

下面介绍如何关闭oppor17安全模式的操作方法:第一步,打开oppor17手机,找到设置选项点击进入第二步,找到并且点击页面下方的其它设置选项。第三步,在出现的页面里,找到并且点击还原手机这个选项。第四步,找到并且点击抹掉全部内容和设置...

2026-01-13 00:51 off999

windows xp 死机之歌(windows死机之歌完整)

无法正常关机,其原因有:1、关机前运行了很多程序尚未关闭,造成关机命令延后执行或系统假死。2、关机程序与其它程序发生冲突或损坏。3、病毒感染,或者是硬盘或内存出现问题等等。处理办法:1、强制...

win10新硬盘分区(win10硬盘分区整数对照表)

要对一个新硬盘进行分区,你可以按照以下步骤进行操作:1.连接新硬盘到计算机上,并确保它被正确地识别。2.打开“文件资源管理器”或者按下Win键+E来打开资源管理器窗口。3.在资源管理器左侧的导航...

华硕电脑官网驱动下载(华硕官网驱动下载教程)

在华硕官网上查找和下载驱动的步骤如下:1.打开华硕官网的支持页面:https://www.asus.com/support/2.在“输入型号名称以开始支援”搜索框中,输入你的华硕设备型号或者序列号...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.