百度360必应搜狗淘宝本站头条
python类型转换python串口编程python计时python异常python进度条
当前位置:网站首页 > 技术资源 > 正文

linux系统防火墙高级配置-Day 6:高可用与负载均衡

off999 2025-03-20 17:57 130 浏览 0 评论

1. 防火墙高可用架构

方案1:Keepalived + iptables/nftables

拓扑
- 主备节点通过VRRP协议实现IP漂移(Virtual IP: 192.168.1.100) - 实时同步防火墙规则(rsync/cron)

Keepalived配置示例

# 主节点配置(/etc/keepalived/keepalived.conf)
vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    virtual_ipaddress {
        192.168.1.100
        }
# 防火墙服务健康检测
track_script {
    chk_firewall
    }
}

vrrp_script chk_firewall {
    script "/usr/bin/systemctl is-active nftables"  # 检测防火墙服务状态
    interval 2
    weight -20  # 服务失败时降低优先级触发切换
    }

规则同步脚本

# 主节点通过rsync推送规则到备节点
#!/bin/bash
nft list ruleset > /etc/nftables.conf
rsync -avz /etc/nftables.conf backup-node:/etc/nftables.conf
ssh backup-node "nft -f /etc/nftables.conf"

2. 四层负载均衡(L4)

iptables实现流量分发

# 随机分发HTTP请求到3台后端
iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.33 \
    -j DNAT --to-destination 10.0.1.101:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -m statistic --mode random --probability 0.5 \
    -j DNAT --to-destination 10.0.1.102:80

iptables -t nat -A PREROUTING -p tcp --dport 80 \
    -j DNAT --to-destination 10.0.1.103:80

nftables高级负载均衡

# 定义后端服务器集合
nft add set inet load_balance backend_ips { type ipv4_addr; flags constant; elements = { 10.0.1.101, 10.0.1.102, 10.0.1.103 } }

# 轮询模式分发流量
nft add rule nat prerouting tcp dport 80 \
    dnat to jhash ip saddr . tcp dport mod 3 map { \
        0 : 10.0.1.101, \
        1 : 10.0.1.102, \
        2 : 10.0.1.103 \
    }

3. 七层负载均衡(L7)集成

HAProxy透明代理配置

# /etc/haproxy/haproxy.cfg
frontend http-in
    bind 192.168.1.100:80 transparent
    mode http
    default_backend web_servers

backend web_servers
    balance leastconn
    server web1 10.0.1.101:80 check
    server web2 10.0.1.102:80 check

# 防火墙放行并标记流量
nft add rule inet filter forward tcp dport 80 meta mark set 1 accept
sysctl -w net.ipv4.ip_forward=1

Nginx流量管理

# 加权轮询配置
upstream backend {
    server 10.0.1.101 weight=3;
    server 10.0.1.102 weight=2;
    server 10.0.1.103 weight=1;
}

# 联动防火墙限制连接数
limit_conn_zone $binary_remote_addr zone=per_ip:10m;
server {
    location / {
        limit_conn per_ip 50;
        proxy_pass http://backend;
        }
    }

4. 性能调优与监控

连接跟踪优化

# 调整内核参数(/etc/sysctl.conf)
net.netfilter.nf_conntrack_max = 1000000
net.netfilter.nf_conntrack_tcp_timeout_established = 3600

# 监控工具
conntrack -L -o extended | grep ESTABLISHED | wc -l
nft monitor | grep "new flow"

规则集性能评估

# 测试规则匹配速度(nftables)
nft --debug=netlink add rule inet filter input tcp dport 80 counter
# 输出示例:...[ evaluate ] tcp dport 80 => 80 ...

# iptables规则排序优化
iptables -L -n --line-numbers | grep ACCEPT | sort -k 4

5. 实战任务

任务1:构建双机热备集群

  • 在两台节点部署Keepalived和nftables
  • 配置虚拟IP 192.168.1.100,实现主备切换
  • 模拟主节点故障(systemctl stop nftables),验证IP漂移

任务2:配置七层负载均衡

  • 使用Nginx实现基于URI的流量分发:
location /api {
    proxy_pass http://api_servers;
}
location /static {
    proxy_pass http://static_servers;
}
  • 联动防火墙限制每个客户端IP每秒最多10个请求:
nft add rule inet filter input tcp dport 80 \
    meter http_ratelimit { ip saddr limit rate 10/second } \
    counter accept

6. 注意事项

  • 脑裂(Split-Brain)风险:使用多播检测或第三方仲裁服务配置冗余心跳线(eth1专用于VRRP通信)
  • 会话保持(Session Persistence):四层使用hashlimit模块源IP哈希七层通过Cookie或JWT实现粘性会话
  • 监控告警
# 统计被拒绝的负载均衡请求
nft list counters | grep "counter packets"
# 监控Keepalived状态
journalctl -u keepalived -f

相关推荐

电脑重装win7系统后怎么设置

1.首先在win7桌面空白处,点击右键弹出菜单,选择个性化。2.调出个性化设置窗口后,我们切换至开始选项卡,然后点击右侧下方的“选择哪些文件夹显示在开始屏幕上”。3.此时一般正常情况下,可以看到设置选...

简单常用的dos命令(常见dos命令总结)

一些常用的DOS命令包括:1.dir:列出当前目录中的文件和子目录。2.cd:更改当前目录。3.md:创建一个新的目录。4.rd:删除一个目录。5.copy:将文件从一个位置复制到另一个位置...

421事件全文免费阅读(421事件文档全文免费阅读)

对于421事件的真实性,目前没有确凿的官方消息。关于421事件的真实性,有以下几种观点:1.有人认为421事件总体上是真实的,认为其中的污秽和混乱超过了大多数人的认知,涉及到的封建迷信内容对于一些人...

英伟达所有显卡型号(英伟达显卡型号含义)

amdcpu搭配英伟达的显卡,显卡性能不会受到影响的。性能不会受到影响,AMD说配三A平台稳定性最强,而且恢复自动超频一点点,制其实那只是AMD的广告而已,没那回事,AMDCPU配英伟达的显卡也没...

怎么查看win11的产品密钥(怎么查看win11的产品密钥是多少)
  • 怎么查看win11的产品密钥(怎么查看win11的产品密钥是多少)
  • 怎么查看win11的产品密钥(怎么查看win11的产品密钥是多少)
  • 怎么查看win11的产品密钥(怎么查看win11的产品密钥是多少)
  • 怎么查看win11的产品密钥(怎么查看win11的产品密钥是多少)
windows无法连接到这个网络(windows无法连接到这个网络 笔记本)

有可能是因为无线网络的密码变了,也有可能是系统自身的问题,解决方法:1、右键计算机图标。2、点开服务和应用程序,然后点击下面的服务。3、打开服务后找到WLANAutoConfig无线网络服务。4、W...

电脑装机平台(电脑装机城)

网上装机京东比较靠谱。要想在网上组装一台靠谱的电脑,真的需要一双慧眼。笔者认为相对靠谱的还是某东自营店,某宝甚至某猫都是满地坑。如果某东也看不上的话,其实到线下实体店购买也是不错的选择,现在线上线下价...

u盘突然识别不了怎么解决(u盘总是识别不出来)

当出现U盘无法读取的情况时,需要分情况解决。情景一:由于驱动问题导致无法读取U盘1、插上U盘,右击我的电脑--管理--设备管理器,展开通用串行总线控制器。找到USBMassStorageDevi...

斐讯app官网(斐讯官网下载中心app安卓版)
  • 斐讯app官网(斐讯官网下载中心app安卓版)
  • 斐讯app官网(斐讯官网下载中心app安卓版)
  • 斐讯app官网(斐讯官网下载中心app安卓版)
  • 斐讯app官网(斐讯官网下载中心app安卓版)
台式电脑重装系统视频(戴尔台式电脑重装系统重启后无法进入引导)

  电脑在重装系统后看视频卡,原因如下:  1、没安装好显卡驱动。这个可能性极大。  2、没安装好播放器。  3、没安装好硬盘驱动,导致硬盘的速度极低,无法正常提供视频码率。如果没有分区,只是在C盘...

正版win7系统镜像下载官网(win7之家 官方镜像)

1、去微软官方网站下载。2、去系统之家下载,我自己的win10就是从哪里下载安装的,你可以试试哈。ghost镜像的使用一、备份主分区--C盘:假设你的操作系统安装在主分区--C盘,当系统重装不久,或...

win7文件类型怎么更改(win7文件类型怎么更改不了)

重建文件关联,右击word文件,选择打开方式,选择word后同时选中下方的“始终用此程序打开”,如果不行的话可能就是文件关联的图标失效了,也就是文件关联是正常的,但是找不到图标,win7的话可以用wi...

下载设置功能到手机桌面(设置下载安装到手机桌面)

华为手机怎么安装下载内容?1.打开华为应用市场后点击上方的“管理”。2.再点击进入“安装管理”。3.在下载好但没有桌面图标的APP那里点击“∨”处,再点“管理”就能查看到此应用的应用信息。4.选择其...

win7旗舰版恢复出厂设置视频教程

在Windows系统中恢复出厂设置的方法如下:通过Windows系统恢复:关闭电脑,然后按住电源按钮,直到电脑启动,进入Windows启动管理器。选择“疑难解答”或“高级选项”。选择“重置此电脑”,然...

win7分辨率不能调整怎么办(win7屏幕分辨率调不了怎么办 电脑分辨率调整)
win7分辨率不能调整怎么办(win7屏幕分辨率调不了怎么办 电脑分辨率调整)

1、首先检查显示器要设置的分辨率是否支持,方法是:在电脑空白处用鼠标右击选择“屏幕分辨率——高级设置”。在弹出来的属性窗口中,“适配器”选项卡下点击“列出所有模式”按钮,就可以看到里面所支持的分辨率,如果没有所设置的值,则说明不支持,所以就...

2026-01-07 20:03 off999

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.