负载均衡这个词,相信大家都耳熟能详了,那我们今天再来回顾一下,常见的负载均衡有硬件的例如F5、网络厂商H3C、Cisco都有自己的负载均衡方案,但是这些都是价格不菲,那到底有没有免费的午餐呢?答案虽然是没有,哈哈,但是我们有章文嵩博士创立的开源负载均衡LVS。
言归正传,LVS+Keepalived架构搭建完毕后,如果我们都负载均衡、后端Nginx都配置的外网ip,采用LVS-DR模式的话,安全方面就得考虑了,当然安全的概率非常大:包括前端硬件防火墙的配置、机房设施管理、人员操作、服务器系统安全等。
那我们今天来讨论服务器系统的安全,常见的有关闭不必要的服务和端口,开启iptables防火墙,如果LVS对外提供80 web服务该如何配置呢?操作系统为CentOS 6.0 x86_64 iptables添加代码如下:(注*确认是否开启22端口对自己内部访问,以防重启iptables后,SA无法远程登陆)
- #允许80端口对外提供服务
- -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
- #LVS DR模式,当用户请求LVS-DR VIP时,只有DR响应客户端的ARP广播包,允许vrrp虚拟路由器冗余协议
- -A INPUT -d 224.0.0.0/8 -j ACCEPT
- -A INPUT -p vrrp -j ACCEPT
如上设置完毕,重启iptables服务 /etc/init.d/iptables restart 即可。
当我们配置好iptables,某一天网站访问量大,突然发现部分客户访问巨慢无比,甚至无法访问网站,查看后台日志狂刷如下信息:
- kernel nf_conntrack: table full, dropping packet
- #准确定位该问题是由于iptables ip_conntrack表爆满之后丢弃数据包的问题。查看系统内核:
- cat /etc/sysctl.conf |grep conntrack
- #没有查找到相关配置,于是决定在/etc/sysctl.conf增加如下两行设置ip_conntrack表值:(注*Centos6以上内核ip_conntrack参数已经改成nf_conntrack)
- net.nf_conntrack_max = 655360
- net.netfilter.nf_conntrack_tcp_timeout_established = 36000
- #然后执行sysctl -p 使其生效:
- #如果报错:error: “net.nf_conntrack_max” is an unknown key
- #则需要使用modprobe载入ip_conntrack模块
- modprobe ip_conntrack
- #查看模块是否已载入
- lsmod|grep ip_conntrack
本文就写到这里了,当然LVS的知识还非常的深入,我也是在不断的学习和总结中,欢迎大家快乐分享!一起成长!
文章参考资料:
http://www.myfreelinux.com/?p=743&cpage=2&replytocom=223803
http://home.wonderad.com/?p=65
http://blog.sina.com.cn/s/blog_704836f40100lwy2.html
本文转自 wgkgood 51CTO博客,原文链接:http://blog.51cto.com/wgkgood/1102870
