百度360必应搜狗淘宝本站头条
python类型转换python串口编程python计时python异常python进度条
当前位置:网站首页 > 技术资源 > 正文

linux系统防火墙高级配置-Day 6:高可用与负载均衡

off999 2025-03-20 17:57 144 浏览 0 评论

1. 防火墙高可用架构

方案1:Keepalived + iptables/nftables

拓扑
- 主备节点通过VRRP协议实现IP漂移(Virtual IP: 192.168.1.100) - 实时同步防火墙规则(rsync/cron)

Keepalived配置示例

# 主节点配置(/etc/keepalived/keepalived.conf)
vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    virtual_ipaddress {
        192.168.1.100
        }
# 防火墙服务健康检测
track_script {
    chk_firewall
    }
}

vrrp_script chk_firewall {
    script "/usr/bin/systemctl is-active nftables"  # 检测防火墙服务状态
    interval 2
    weight -20  # 服务失败时降低优先级触发切换
    }

规则同步脚本

# 主节点通过rsync推送规则到备节点
#!/bin/bash
nft list ruleset > /etc/nftables.conf
rsync -avz /etc/nftables.conf backup-node:/etc/nftables.conf
ssh backup-node "nft -f /etc/nftables.conf"

2. 四层负载均衡(L4)

iptables实现流量分发

# 随机分发HTTP请求到3台后端
iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.33 \
    -j DNAT --to-destination 10.0.1.101:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.5 \
    -j DNAT --to-destination 10.0.1.102:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -j DNAT --to-destination 10.0.1.103:80

nftables高级负载均衡

# 定义后端服务器集合
nft add set inet load_balance backend_ips { type ipv4_addr; flags constant; elements = { 10.0.1.101, 10.0.1.102, 10.0.1.103 } }

# 轮询模式分发流量
nft add rule nat prerouting tcp dport 80 \
    dnat to jhash ip saddr . tcp dport mod 3 map { \
        0 : 10.0.1.101, \
        1 : 10.0.1.102, \
        2 : 10.0.1.103 \
    }

3. 七层负载均衡(L7)集成

HAProxy透明代理配置

# /etc/haproxy/haproxy.cfg
frontend http-in
    bind 192.168.1.100:80 transparent
    mode http
    default_backend web_servers

backend web_servers
    balance leastconn
    server web1 10.0.1.101:80 check
    server web2 10.0.1.102:80 check

# 防火墙放行并标记流量
nft add rule inet filter forward tcp dport 80 meta mark set 1 accept
sysctl -w net.ipv4.ip_forward=1

Nginx流量管理

# 加权轮询配置
upstream backend {
    server 10.0.1.101 weight=3;
    server 10.0.1.102 weight=2;
    server 10.0.1.103 weight=1;
}

# 联动防火墙限制连接数
limit_conn_zone $binary_remote_addr zone=per_ip:10m;
server {
    location / {
        limit_conn per_ip 50;
        proxy_pass http://backend;
        }
    }

4. 性能调优与监控

连接跟踪优化

# 调整内核参数(/etc/sysctl.conf)
net.netfilter.nf_conntrack_max = 1000000
net.netfilter.nf_conntrack_tcp_timeout_established = 3600

# 监控工具
conntrack -L -o extended | grep ESTABLISHED | wc -l
nft monitor | grep "new flow"

规则集性能评估

# 测试规则匹配速度(nftables)
nft --debug=netlink add rule inet filter input tcp dport 80 counter
# 输出示例:...[ evaluate ] tcp dport 80 => 80 ...

# iptables规则排序优化
iptables -L -n --line-numbers | grep ACCEPT | sort -k 4

5. 实战任务

任务1:构建双机热备集群

  • 在两台节点部署Keepalived和nftables
  • 配置虚拟IP 192.168.1.100,实现主备切换
  • 模拟主节点故障(systemctl stop nftables),验证IP漂移

任务2:配置七层负载均衡

  • 使用Nginx实现基于URI的流量分发:
location /api {
    proxy_pass http://api_servers;
}
location /static {
    proxy_pass http://static_servers;
}
  • 联动防火墙限制每个客户端IP每秒最多10个请求:
nft add rule inet filter input tcp dport 80 \
    meter http_ratelimit { ip saddr limit rate 10/second } \
    counter accept

6. 注意事项

  • 脑裂(Split-Brain)风险:使用多播检测或第三方仲裁服务配置冗余心跳线(eth1专用于VRRP通信)
  • 会话保持(Session Persistence):四层使用hashlimit模块源IP哈希七层通过Cookie或JWT实现粘性会话
  • 监控告警
# 统计被拒绝的负载均衡请求
nft list counters | grep "counter packets"
# 监控Keepalived状态
journalctl -u keepalived -f

相关推荐

免费追剧免费观看在线(免费追剧大全在线观看全集)

悠悠影视app。悠悠影视是最近新出的一款追剧神器,全新的UI界面,覆盖电影、电视剧、动漫、综艺全网资源专题系列追剧更方便,内含高速、稳定和蓝光秒播源,支持投屏、倍速和下载等功能,永久免费。...

手机pdf阅读器哪个好用(手机pdf阅读器哪个好用一点)

PDF手机版推荐如下:WPSOffice。这是一款大家最常用的办公软件,不仅有PC版,还推出了功能完善的手机版本。配合它的云空间,用户即便不在电脑边上,也能直接查找电脑上的文件,而且可以随意地打开任...

多人联机游戏(好玩的多人联机游戏)

《丧尸之战》是一款火爆的末日经营游戏,游戏将养成元素和末日生存元素完美结合在一起。《球球大战蛇蛇》是一款能够通过网络联机和朋友一起挑战的趣味贪吃蛇类游戏,在游戏中玩家需要控制自己的蛇去完成养成任务。《...

vmware虚拟机官网(vmware虚拟机官网网址)

工具/原料VMwareworkstation10、win7系统ISO镜像文件。创建一个虚拟机1.首先要创建一个虚拟机,这相当于组装一台电脑一样;双击vmwareworkstation程序,然后会弹...

模拟器游戏大全(动物模拟器游戏大全)

还有别的模拟器。吾爱游戏宝盒吾爱游戏宝盒到目前为止也是能够提供稳定的服务,不管是街机、MD、FC、PSP、SFC、单机等游戏都是拥有海量的资源,畅玩的一些游戏画质相对来说会更好一些,可以说只要你想的游...

免费影视软件哪款最好(最好的影视app软件)

1、《影视大全高清版》新年到,影视大全为大家带来了全新的应用界面,独具一格的视听感受。包含超多国内外大片,无论是科幻、文学、侦探、或是战争类型应有尽有,给你以极致享受。2、《南瓜电影》超多精彩电影随时...

电脑重新安装系统怎么安装(电脑重新安装系统怎么安装的)

要远程重新装系统,首先需要一个远程连接软件,如TeamViewer或AnyDesk。然后,需要获取目标计算机的远程访问权限,并确保目标计算机有可靠的网络连接。接下来,通过远程连接软件远程访问目标计算机...

北京交警app下载安装(北京交警app下载安装进京证)

有几种原因.程序本身的问题,这个可以卸载之前的,下载一个最新版的.缓存太多,清除该应用的缓存数据,.手机系统的原因,可以关机重启.恢复出厂设置或者刷机苹果手机下载北京交通app打不开有两个原因1.ap...

鸠摩搜书(鸠摩搜书官网版app下载)

鸠摩搜书是一个可以让用户搜索、浏览和下载图书的平台,无需安装APP,直接在网页上就可以使用。使用方法很简单:1.打开鸠摩搜书官网,在主界面中输入你想要找的书名或者作者名字;2.点击“搜索”,会出现...

注册(注册消防工程师)

1.注册会计职称考试报名注册号是什么对于注册会计职称考试报名注册号是什么东西这个问题做出以下的解答。其实这种报名注册号就指的是考生在进入报名系统后填写自己信息,然后报名成功后界面会弹出一个相信的注册号...

win7系统镜像文件(win7镜像文件是什么意思)

Win7镜像文件官网下载地址是:<https://www.microsoft.com/zh-cn/software-download/home>Win7ISO镜像下载方法:1.打开浏览...

世界杯开直播在线直播观看免费

世界杯直播由抖音独家买断。抖音斥资超10亿元(截至发稿,抖音官方未就具体金额作出回应)从央视拿下了今年冬季世界杯的转播权,成为继快手拿下东京奥运会和北京冬奥会转播权之后,又一个掀起全民体育风潮的短视频...

看股市行情下载什么软件好(看股票行情下载什么软件好)

电脑版好用股票软件:1、大智慧证券信息平台:一套用来进行证券行情显示、行情分析、外汇及期货信息,并同时进行信息即时接收的超级证券信息平台。面向证券决策机构和各阶层证券分析、咨询、投资人员,并特别关注...

网络防火墙(网络防火墙品牌前十大排名)

网络防火墙是一种用来加强网络之间访问控制的特殊网络互联设备。计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还...

pdf转word有密码怎么办(如果pdf转word要密码)

pdf文件转换成加密word文件的步骤如下:下载并安装一个能够将PDF文件转换成Word文件的软件,如迅捷PDF转换器。打开安装好的软件,点击操作界面的上方菜单栏,选择“PDF操作”菜单下的“PDF转...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.