百度360必应搜狗淘宝本站头条
python类型转换python串口编程python计时python异常python进度条
当前位置:网站首页 > 技术资源 > 正文

linux系统防火墙高级配置-Day 6:高可用与负载均衡

off999 2025-03-20 17:57 129 浏览 0 评论

1. 防火墙高可用架构

方案1:Keepalived + iptables/nftables

拓扑
- 主备节点通过VRRP协议实现IP漂移(Virtual IP: 192.168.1.100) - 实时同步防火墙规则(rsync/cron)

Keepalived配置示例

# 主节点配置(/etc/keepalived/keepalived.conf)
vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    virtual_ipaddress {
        192.168.1.100
        }
# 防火墙服务健康检测
track_script {
    chk_firewall
    }
}

vrrp_script chk_firewall {
    script "/usr/bin/systemctl is-active nftables"  # 检测防火墙服务状态
    interval 2
    weight -20  # 服务失败时降低优先级触发切换
    }

规则同步脚本

# 主节点通过rsync推送规则到备节点
#!/bin/bash
nft list ruleset > /etc/nftables.conf
rsync -avz /etc/nftables.conf backup-node:/etc/nftables.conf
ssh backup-node "nft -f /etc/nftables.conf"

2. 四层负载均衡(L4)

iptables实现流量分发

# 随机分发HTTP请求到3台后端
iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.33 \
    -j DNAT --to-destination 10.0.1.101:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.5 \
    -j DNAT --to-destination 10.0.1.102:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -j DNAT --to-destination 10.0.1.103:80

nftables高级负载均衡

# 定义后端服务器集合
nft add set inet load_balance backend_ips { type ipv4_addr; flags constant; elements = { 10.0.1.101, 10.0.1.102, 10.0.1.103 } }

# 轮询模式分发流量
nft add rule nat prerouting tcp dport 80 \
    dnat to jhash ip saddr . tcp dport mod 3 map { \
        0 : 10.0.1.101, \
        1 : 10.0.1.102, \
        2 : 10.0.1.103 \
    }

3. 七层负载均衡(L7)集成

HAProxy透明代理配置

# /etc/haproxy/haproxy.cfg
frontend http-in
    bind 192.168.1.100:80 transparent
    mode http
    default_backend web_servers

backend web_servers
    balance leastconn
    server web1 10.0.1.101:80 check
    server web2 10.0.1.102:80 check

# 防火墙放行并标记流量
nft add rule inet filter forward tcp dport 80 meta mark set 1 accept
sysctl -w net.ipv4.ip_forward=1

Nginx流量管理

# 加权轮询配置
upstream backend {
    server 10.0.1.101 weight=3;
    server 10.0.1.102 weight=2;
    server 10.0.1.103 weight=1;
}

# 联动防火墙限制连接数
limit_conn_zone $binary_remote_addr zone=per_ip:10m;
server {
    location / {
        limit_conn per_ip 50;
        proxy_pass http://backend;
        }
    }

4. 性能调优与监控

连接跟踪优化

# 调整内核参数(/etc/sysctl.conf)
net.netfilter.nf_conntrack_max = 1000000
net.netfilter.nf_conntrack_tcp_timeout_established = 3600

# 监控工具
conntrack -L -o extended | grep ESTABLISHED | wc -l
nft monitor | grep "new flow"

规则集性能评估

# 测试规则匹配速度(nftables)
nft --debug=netlink add rule inet filter input tcp dport 80 counter
# 输出示例:...[ evaluate ] tcp dport 80 => 80 ...

# iptables规则排序优化
iptables -L -n --line-numbers | grep ACCEPT | sort -k 4

5. 实战任务

任务1:构建双机热备集群

  • 在两台节点部署Keepalived和nftables
  • 配置虚拟IP 192.168.1.100,实现主备切换
  • 模拟主节点故障(systemctl stop nftables),验证IP漂移

任务2:配置七层负载均衡

  • 使用Nginx实现基于URI的流量分发:
location /api {
    proxy_pass http://api_servers;
}
location /static {
    proxy_pass http://static_servers;
}
  • 联动防火墙限制每个客户端IP每秒最多10个请求:
nft add rule inet filter input tcp dport 80 \
    meter http_ratelimit { ip saddr limit rate 10/second } \
    counter accept

6. 注意事项

  • 脑裂(Split-Brain)风险:使用多播检测或第三方仲裁服务配置冗余心跳线(eth1专用于VRRP通信)
  • 会话保持(Session Persistence):四层使用hashlimit模块源IP哈希七层通过Cookie或JWT实现粘性会话
  • 监控告警
# 统计被拒绝的负载均衡请求
nft list counters | grep "counter packets"
# 监控Keepalived状态
journalctl -u keepalived -f

相关推荐

win10下载官网下载不了(win10下载官网为什么打不开)

可能有几个原因导致您无法在官网下载Windows10。首先,您需要确保您正在访问Microsoft官网,因为只有在官网上才能下载Windows10。如果您已经在官网上但仍然无法下载,可能是因为服务...

lenovo键盘锁住了怎么解锁(lenovo电脑键盘锁了怎么解锁)
lenovo键盘锁住了怎么解锁(lenovo电脑键盘锁了怎么解锁)

情况一:有时候只是键盘的键位被锁住了,我们可以尝试通过FN+F8解锁,这种方法适用于笔记本。如果是键盘上的数字键盘锁住了,可以按一下NumLock键位解锁,看到上面有个灯亮了就说明解锁了。情况二:1、首先鼠标右键点击此电脑图标,然后点击管理...

2026-01-07 18:51 off999

vivo手机怎么切换经典桌面(vivo手机从哪里切换经典桌面)
vivo手机怎么切换经典桌面(vivo手机从哪里切换经典桌面)

  1、从手机桌面中找到变形器的图标。   2、选择带有安卓系统的图标就可以从平行空间退出,并切换到经典桌面。   3、想要再次进入平行空间的话只...

2026-01-07 18:03 off999

磁盘写保护的解除方法(磁盘写保护如何处理)
  • 磁盘写保护的解除方法(磁盘写保护如何处理)
  • 磁盘写保护的解除方法(磁盘写保护如何处理)
  • 磁盘写保护的解除方法(磁盘写保护如何处理)
  • 磁盘写保护的解除方法(磁盘写保护如何处理)
硬盘安装步骤(硬盘的安装教程)

   随着电脑技术不断改进和发展。硬盘的技术也在不断更新,从过去的几百兆、几个G、几十G、几百G到如今的几个T硬盘容量赿来赿大,读写速度赿来趆快。但硬盘安装的步骤几乎...

pe启动工具(pe启动工具排行榜)

u盘pe是可以重复使用的,没有问题的,可以给无数的电脑安装系统。用u盘的做的pe只要不是中病毒,或者你格式化u盘,里面的pe系统一直都是可以用的哈。只是说现在的pe系统最新的更新的技术不一样,...

笔记本电脑按键失灵怎么解决

笔记本电脑按键失灵可能是由于键盘内部灰尘或者物质堵塞,也可能是由于键盘接触不良或者硬件故障导致。修复方法可以尝试清洗键盘或更换键盘,如果还是不行则需要检查硬件或者寻求专业维修人员的帮助。在日常使用中,...

苹果手机imei查询官网(苹果手机imei查询官网免费)

IMEI查询官网:首页:http://www.imeidb.comIMEIdb的客户包括了国内知名手机厂商、IMEIdb始创于2011年IMEIdb是国内唯一的提供面向普通用户和商业用户的IMEI一体...

qq如何修改登录密码(qq怎么修改登录密码)
  • qq如何修改登录密码(qq怎么修改登录密码)
  • qq如何修改登录密码(qq怎么修改登录密码)
  • qq如何修改登录密码(qq怎么修改登录密码)
  • qq如何修改登录密码(qq怎么修改登录密码)
斐讯路由器还能用吗(2021年斐讯路由器还能用吗)

斐讯路由器K2P以上型号的路由器还能用并且还不错。k2p接人个500M左右的网络还可以,K3、K3C更不用说了。斐讯虽然倒闭了,但网络上好多大师给这些路由器续命,适配了不少优秀的路由固件。可以呀,我有...

windows 10下载工具(win10下载软件的工具)

Windows10系统下载软件方法,如果你想使用你的Windows10系统下载软件,那么你可以去你的电脑的应用市场里面,首先下载一个ie的浏览器,这样把你的ie浏览器安装到电脑桌面上面,然后可以在...

个人电子邮箱格式怎么填写(电子邮箱 个人)

很高兴为您解答,电子邮箱的格式通常为:xxx@xx.com。其中xxx为用户名(邮箱帐户名),“@”后面的是域名;如腾讯的邮箱格式一般为:xxxx@qq.com(xxxx为QQ号码)邮箱名加艾特加邮箱...

internet下载地址(internet download manager下载安装版)

下载IE7破解版安装是先验证然后不会通过啊!那样你就把C:\DocumentsandSettings\AllUsers\ApplicationData\WindowsGenuineAdvantage\...

flash官方插件手机版(手机flash插件下载安卓版)

1、下载最新版本的AdobeFlashPlayer的APP到你的Android设备上。2、确保你的浏览器支持Flash,并在你的设备上依次度打开设置>安全勾选上“未知的来源”。3、...

如何启动资源管理器(如何启动资源管理器中的文件)

在Windows中,启动资源管理器有以下三种方法:1.使用快捷键Win+E:这是最常用的方法,按下Windows键和字母"E"键同时,即可快速打开资源管理器。这种方法简便快捷,...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.