百度360必应搜狗淘宝本站头条
python类型转换python串口编程python计时python异常python进度条
当前位置:网站首页 > 技术资源 > 正文

linux系统防火墙高级配置-Day 6:高可用与负载均衡

off999 2025-03-20 17:57 104 浏览 0 评论

1. 防火墙高可用架构

方案1:Keepalived + iptables/nftables

拓扑
- 主备节点通过VRRP协议实现IP漂移(Virtual IP: 192.168.1.100) - 实时同步防火墙规则(rsync/cron)

Keepalived配置示例

# 主节点配置(/etc/keepalived/keepalived.conf)
vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    virtual_ipaddress {
        192.168.1.100
        }
# 防火墙服务健康检测
track_script {
    chk_firewall
    }
}

vrrp_script chk_firewall {
    script "/usr/bin/systemctl is-active nftables"  # 检测防火墙服务状态
    interval 2
    weight -20  # 服务失败时降低优先级触发切换
    }

规则同步脚本

# 主节点通过rsync推送规则到备节点
#!/bin/bash
nft list ruleset > /etc/nftables.conf
rsync -avz /etc/nftables.conf backup-node:/etc/nftables.conf
ssh backup-node "nft -f /etc/nftables.conf"

2. 四层负载均衡(L4)

iptables实现流量分发

# 随机分发HTTP请求到3台后端
iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.33 \
    -j DNAT --to-destination 10.0.1.101:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.5 \
    -j DNAT --to-destination 10.0.1.102:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -j DNAT --to-destination 10.0.1.103:80

nftables高级负载均衡

# 定义后端服务器集合
nft add set inet load_balance backend_ips { type ipv4_addr; flags constant; elements = { 10.0.1.101, 10.0.1.102, 10.0.1.103 } }

# 轮询模式分发流量
nft add rule nat prerouting tcp dport 80 \
    dnat to jhash ip saddr . tcp dport mod 3 map { \
        0 : 10.0.1.101, \
        1 : 10.0.1.102, \
        2 : 10.0.1.103 \
    }

3. 七层负载均衡(L7)集成

HAProxy透明代理配置

# /etc/haproxy/haproxy.cfg
frontend http-in
    bind 192.168.1.100:80 transparent
    mode http
    default_backend web_servers

backend web_servers
    balance leastconn
    server web1 10.0.1.101:80 check
    server web2 10.0.1.102:80 check

# 防火墙放行并标记流量
nft add rule inet filter forward tcp dport 80 meta mark set 1 accept
sysctl -w net.ipv4.ip_forward=1

Nginx流量管理

# 加权轮询配置
upstream backend {
    server 10.0.1.101 weight=3;
    server 10.0.1.102 weight=2;
    server 10.0.1.103 weight=1;
}

# 联动防火墙限制连接数
limit_conn_zone $binary_remote_addr zone=per_ip:10m;
server {
    location / {
        limit_conn per_ip 50;
        proxy_pass http://backend;
        }
    }

4. 性能调优与监控

连接跟踪优化

# 调整内核参数(/etc/sysctl.conf)
net.netfilter.nf_conntrack_max = 1000000
net.netfilter.nf_conntrack_tcp_timeout_established = 3600

# 监控工具
conntrack -L -o extended | grep ESTABLISHED | wc -l
nft monitor | grep "new flow"

规则集性能评估

# 测试规则匹配速度(nftables)
nft --debug=netlink add rule inet filter input tcp dport 80 counter
# 输出示例:...[ evaluate ] tcp dport 80 => 80 ...

# iptables规则排序优化
iptables -L -n --line-numbers | grep ACCEPT | sort -k 4

5. 实战任务

任务1:构建双机热备集群

  • 在两台节点部署Keepalived和nftables
  • 配置虚拟IP 192.168.1.100,实现主备切换
  • 模拟主节点故障(systemctl stop nftables),验证IP漂移

任务2:配置七层负载均衡

  • 使用Nginx实现基于URI的流量分发:
location /api {
    proxy_pass http://api_servers;
}
location /static {
    proxy_pass http://static_servers;
}
  • 联动防火墙限制每个客户端IP每秒最多10个请求:
nft add rule inet filter input tcp dport 80 \
    meter http_ratelimit { ip saddr limit rate 10/second } \
    counter accept

6. 注意事项

  • 脑裂(Split-Brain)风险:使用多播检测或第三方仲裁服务配置冗余心跳线(eth1专用于VRRP通信)
  • 会话保持(Session Persistence):四层使用hashlimit模块源IP哈希七层通过Cookie或JWT实现粘性会话
  • 监控告警
# 统计被拒绝的负载均衡请求
nft list counters | grep "counter packets"
# 监控Keepalived状态
journalctl -u keepalived -f

相关推荐

win11如何格式化硬盘(win11硬盘分区怎么改成gpt)

win11系统格式化电脑和硬盘的方法如下1、打开本地磁盘管理页面,右键点击需要格式化的磁盘,选择【格式化】。2、在弹出的窗口中,勾选【快速格式化】,点击【开始】。3、最后等待格式化完成即可。1.首先我...

手机u盘怎么打开(手机u盘怎么打开怎么使用)
  • 手机u盘怎么打开(手机u盘怎么打开怎么使用)
  • 手机u盘怎么打开(手机u盘怎么打开怎么使用)
  • 手机u盘怎么打开(手机u盘怎么打开怎么使用)
  • 手机u盘怎么打开(手机u盘怎么打开怎么使用)
还原ghost文件(ghost怎么还原)

ghost还原系统的前提是你的电脑里面装有ghost备份还原软件,并已经为计算机做过ghost系统备份,它使得电脑系统出现小故障,不能启动时,能够快速的恢复系统。其操作方法步骤如下:1、下载ghost...

安卓虚拟机运行windows(安卓虚拟机运行机制)

安卓无法直接安装Windows虚拟机,但是可以通过使用虚拟机应用或者远程桌面软件来连接已安装了Windows系统的电脑,达到在安卓系统中使用Windows的效果。其中,使用虚拟机应用需要先root安卓...

img精简版pe下载(img格式pe下载)

答:img系统格式用u盘安装的办法。1.将IMG压缩文件(.img.gz)解压缩,得到.img文件,然后通过Win32DiskImager写入最终的硬盘。2.写好的磁盘直接启动就是安装好的...

华为手机按键怎么调出来(oppo手机按键怎么调出来)
华为手机按键怎么调出来(oppo手机按键怎么调出来)

华为手机功能键是指屏幕内三键导航,设置方法∶打开手机设置,点击系统和更新,点击系统导航方式,选择屏幕内三键导航,就在底部设置了导航键。华为手机功能键设置方法1.点击辅助功能进入华为手机的设置,点击辅助功能。2.点击系统导航方式点击系...

2025-12-12 13:51 off999

连接隔壁加密wifi密码(连接隔壁加密wifi密码有危险吗)

第一步:打开手机桌面上的万能钥匙后进入。第二步:点击右上角的一键查询万能钥匙搜索可用的无线网络。第三步:搜索完成后,可以看到无线网旁边有一个小钥匙图案,代表无线网可以连接。第四步:点击带钥匙图案的无线...

win10系统为啥强制更新(win10系统强制更新怎么办)

当设置中系统更新处的wlan环境下自动更新开关打开时,手机满足连接wlan网络,手机屏幕熄灭和在充电状态的条件,条件满足将会进行智能更新下载。关闭时需要手动更新。任何手机都有新系统推送,推送新的功能,...

微软官网如何下载win10(微软官网怎么下载win10)

从微软官网下载win10具体有以下7步:1、输入微软的官网,进入。2、登录自己的账号。3、一直往下拉,可以看到“获取win10”。4、选择要下载的版本。5、选择下载到你自己制定的文件夹,点击...

兼容模式是什么意思(wifi5兼容模式是什么意思)

是指windows兼容模式,它是在windows中为程序提供了的兼容模式,是为了旧版本的软件能在新框架内运行而设置的。相对于软件,一种是指某个软件能稳定地工作在某操作系统之中,就说这个软件对这个操作系...

c盘损坏进不了系统怎么恢复(c盘损坏能修复吗)

C盘坏了,一般都系统损坏,进入不了桌面,两种情况来硬件硬盘损坏,还是系统坏了?若是系统坏了,就需要重新格式化C盘,重新装载新的系统,一般就担心你的其它盘的数据是否能保存,所以先格式化C盘,其他盘先不格...

vs2010使用教程下载(vs2010中文版下载)

VS2010的使用过程1)创建文件的方式为点击左上角文件->新建->文件,或者直接Ctrl+N,我们在使用这种大型开发工具的时候,需要选择项目工程的方式来进行使用,选择项目选项。2)然...

qq邮箱的正确格式是什么
qq邮箱的正确格式是什么

QQ邮箱格式有四种显示方式:①QQ号码@qq.com;②英文+数字@qq.com;③数字或英文@foxmail.com;④手机号@qq.com;QQ邮箱一共可以设置四个不同的QQ邮箱账号,但是都隶属于一个邮箱。默认邮箱一般为QQ号@qq.c...

2025-12-12 10:03 off999

软件商店下载安装到手机桌面上

在手机的应用商店里直接下载,就会自动安装,好了就在桌面。有以下几种可能的情况和解决办法:1.查找应用程序列表:在手机上按下主屏幕的应用程序图标或托盘中的应用程序列表,查找并点击已下载的应用,这样可以...

怎么进入设备管理器(电脑怎么进入设备管理器)
  • 怎么进入设备管理器(电脑怎么进入设备管理器)
  • 怎么进入设备管理器(电脑怎么进入设备管理器)
  • 怎么进入设备管理器(电脑怎么进入设备管理器)
  • 怎么进入设备管理器(电脑怎么进入设备管理器)

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.