还有一个视频没做！

视频: LVS原理--煮酒品茶

视频: LVS-Nat实现

视频: LVS-Dr实现

讲解时文档:

LVS:声音要大一点!!!

1年内从2000涨到13000的成长经验分享：

http://oldboy.blog.51cto.com/2561410/1228397

主题要求：

1、为什么这么做？

2、这样操作会产生什么后果？

3、有没有更好的方案？

三种模式：

1、原理以及实现。

2、优、缺点。

3、每一项参数背后的意义以及为什么是这样子？

优化：

1、分析LVS各项模式的主要功能以及依赖点。

2、怎么去合理的优化它？

网络以及修改mac的能力也就是CPU的能力。

ulimit ?

syn?

1、监控数据，并对数据进行分析

写自己的监控脚本？nagios?cacti

keepalive

2、找到瓶颈

3、改善瓶颈

安全：

1、Lvs能有什么安全问题？

2、如何解决

LVS/NAT:

关键点：

--转发-- IP_froward :lvs

--网关-- gateway :realserver

--公网IP-- 与客服端能通信的IP，VIP :lvs

c--request-->LVS(LCR)[直接转发]>Web3....>LVS>c--send

lvs > +lvs

 +lvs

gateway:

实现：

1、开启转发

2、realserver设置网关地址

3、配置LVS的DIP和VIP（DIP是与realserver通信，VIP是也客户端通信）

网络拓朴：

在一组服务器前有一个调度器，它们是通过Switch/HUB相连接的。这些服务器提供

相同的网络服务、相同的内容，即不管请求被发送到哪一台服务器，执行结果是一样的。

服务的内容可以复制到每台服务器的本地硬盘上，可以通过网络文件系统（如NFS）共享，

也 可以通过一个分布式文件系统来提供。

原理：

客户通过Virtual IP Address（虚拟服务的IP地址）访问网络服务时，

请求报文到达调度器，调度器根据连接调度算法从一组真实服务器中选出一台服务器，

将报文的目标地址 Virtual IP Address改写成选定服务器的地址，

报文的目标端口改写成选定服务器的相应端口，最后将修改后的报文发送给选出的服务器。

LVS/TUN:

--封包--lvs

--拆包--realserver

--别名--realserver

--能上网--realserver

--抑制ARP--realserver

功劳老是领导的，送死的你去！

c--request-->LVS(WLC)>Web3....>LVS>c--send

c--request-->LVS(LCR)[封装报文]>Web3....>c--send

[封装报文]：

[src:老总,dec:王五(领导代言人的领导)

内容：[src:老总，dec:领导]

]

>>

[src:领导，dec:老总]

网络拓朴：

利用IP隧道技术将请求报文封装转发给后端服务器，响应报文能从后端服务器

直接返回给客户。但在这里，后端服务器有一组而非一个，所以我们不可能

静态地建立一一对应的隧道，而是动态地选择一台服务器，

将请求报文封装和转发给选出的服务器。这样，我们可以利用IP隧道的原理

将一组服务器上的网络服 务组成在一个IP地址上的虚拟网络服务。VS/TUN的

体系结构如图3.3所示，各个服务器将VIP地址配置在自己的

IP隧道设备上。

原理：

IP隧道（IP tunneling）是将一个IP报文封装在另一个IP报文的技术，这可以使得目标为一个IP地址的数据报文能被封装

和转发到另一个IP地址。IP隧道技 术亦称为IP封装技术（IP encapsulation）。IP隧道主要用于移动主机和

虚拟私有网络（Virtual Private Network），在其中隧道都是静态建立的，隧道一端有一个IP地址，另一端也有唯一的IP地址。

LVS/DR:

c--request-->LVS(LCR)[修改mac]>Web3....>c--send

[src:老总,dec:领导[身份证号](领导代言人的领导)]

[src:老总,dec:王五[身份证号](领导代言人的领导)]

包只认IP不认mac

--网关设置为路由--Route lvs/realserver

--修改mac--lvs

--别名--realserver

--能上网--realserver

--抑制ARP--realserver

--工作在LAN--$vip $vip与$rip是同一网段

网络拓朴：

调度器和服务器组都必须在物理上有一个网卡通过不分段的局域网相连，即通过交换机或者高速的HUB相连，中间 没有隔有路由器。VIP地址为调度器和服务器组共享，调度器配置的VIP地址是对外可见的，

用于接收虚拟服务的请求报文；所有的服务器把VIP地址配置在 各自的Non-ARP网络设备上，它对外面是不可见的，只是用于处理目标地址为VIP的网络请求。

原理：

它的连接调度和管理与VS/NAT和VS/TUN中的一样，它的报文转发方法又有不同，将报文直接路由给目标 服务器。在VS/DR中，调度器根据各个服务器的负载情况，动态地选择一台服务器，不修改也不封装IP报文，

而是将数据帧的MAC地址改为选出服务器的 MAC地址，再将修改后的数据帧在与在服务器组的局域网上发送。

因为数据帧的MAC地址是选出的服务器，所以服务器肯定可以收到这个数据帧，从中可以获得该 IP报文。当服务器发现报文的目标地址VIP是在本地的网络设备上，服务器处理这个报文，

然后根据路由表将响应报文直接返回给客户。

三种模式优缺点：

VS/NAT VS/TUN VS/DR

Server any Tunneling Non-arp device

servernetwork private LAN/WAN LAN

server number low (10~20) High (100) High (100)

server gateway load balancer own router Own router

十种调度方法：

轮叫调度（Round-Robin Scheduling）

加权轮叫调度（Weighted Round-Robin Scheduling）

最小连接调度（Least-Connection Scheduling）

加权最小连接调度（Weighted Least-Connection Scheduling）

基于局部性的最少链接（Locality-Based Least Connections Scheduling）

带复制的基于局部性最少链接（Locality-Based Least Connections with Replication Scheduling）

目标地址散列调度（Destination Hashing Scheduling）

源地址散列调度（Source Hashing Scheduling）

最短预期延时调度（Shortest Expected Delay Scheduling）

不排队调度（Never Queue Scheduling）

轮叫调度算法流程

假设有一组服务器S = {S0, S1, …, Sn-1}，一个指示变量i表示上一次选择的

服务器，W(Si)表示服务器Si的权值。变量i被初始化为n-1，其中n > 0。

S = {S0, S1, …, Sn-1}

200，100

加权最小连接调度（Weighted Least-Connection Scheduling）

算法是最小连接调度的超集，各个服务器用相应的权值表示其处理性能。服务器的缺省权值为1，系统管理员可以动态地设置服务器的权 值。加权最小连接调度在调度新连接时尽可能使服务器的已建立连接数和其权值成比例。加权最小连接调度的算法流程如下：

加权最小连接调度的算法流程

假设有一组服务器S = {S0, S1, ..., Sn-1}，W(Si)表示服务器Si的权值，

C(Si)表示服务器Si的当前连接数。所有服务器当前连接数的总和为

CSUM = ΣC(Si)  (i=0, 1, .. , n-1)。当前的新连接请求会被发送服务器Sm，

当且仅当服务器Sm满足以下条件

 (C(Sm) / CSUM)/ W(Sm) = min { (C(Si) / CSUM) / W(Si)}  (i=0, 1, . , n-1)

 其中W(Si)不为零

因为CSUM在这一轮查找中是个常数，所以判断条件可以简化为

 C(Sm) / W(Sm) = min { C(Si) / W(Si)}  (i=0, 1, . , n-1)

 其中W(Si)不为零

因为除法所需的CPU周期比乘法多，且在Linux内核中不允许浮点除法，服务器的

权值都大于零，所以判断条件C(Sm) / W(Sm) > C(Si) / W(Si) 可以进一步优化

为C(Sm)*W(Si) > C(Si)* W(Sm)。同时保证服务器的权值为零时，服务器不被调

度。所以，算法只要执行以下流程。

NAT实现：

yum install -y ipvsadm

转发：ip_forward