20171020 LVS
- 集群的概念
- LVS介绍
- ipvsadm的使用
- 实现LVS-NAT
- 实现LVS-DR
- LVS高可用
一、集群的概念
(一)系统扩展方式
- Scale UP:向上扩展,增强单机性能
- Scale Out:向外扩展,增加设备,但需要考虑调度分配问题
- 集群(Cluster)即是向外扩展思路的体现
(二)集群的概念和分类
- Cluster:集群,为解决某个特定问题将多台计算机组合起来形成的单个系统
(1)Linux Cluster类型
-
LB(Load Balancing):负载均衡
-
HA(High Availiablity):高可用
- SPOF(Single Point Of Failure):单点失败,必须尽可能消灭出现单点失败的环节
- MTBF(MeanTime Between Failure):平均无故障时间
- MTTR(MeanTime To Restoration/Repair):平均恢复前时间,即故障修复时间
- A=MTBF/(MTBF+MTTR)
取值范围(0,1):99%, 99.5%, 99.9%, 99.99%, 99.999%, 99.9999%,生产环境要求99.999%以上,即一年内故障时间不超过0.001%(约5分钟)
-
HPC(High-performance computing):高性能,超级计算机
(2)Cluster按照实现分类
-
硬件
F5 Big-IP
Citrix Netscaler
A10 A10 -
软件
lvs:Linux Virtual Server
nginx:支持四层调度
haproxy:支持四层调度
(3)Cluster基于工作协议层次分类
-
传输层(通用):基于IP地址与端口DPORT
LVS:
nginx:stream
haproxy:mode tcp -
应用层(专用):针对特定协议,自定义的请求模型分类
也称作代理服务器(proxy server)
http:nginx, httpd, haproxy(mode http), ...
fastcgi:nginx, httpd, ...
mysql:mysql-proxy, ...
(三)负载均衡下实现会话保持
-
http协议是无状态的,cookie和session机制实现会话保持
-
在负载均衡模式下,相同客户端的前后连接可能被分配给不同的服务器提供服务,需要有相关技术解决会话保持问题
-
三种解决技术:
- session sticky:同一用户调度固定服务器
Source IP:LVS sh算法(对某一特定服务而言)
Cookie - session replication:每台服务器拥有全部session
session multicast cluster - session server:专门的session服务器
Memcached, Redis
- session sticky:同一用户调度固定服务器
二、LVS介绍
(一)LVS
-
LVS(Linux Virtual Server):负载调度器,集成内核
-
工作原理:VS根据请求报文的目标IP和目标协议及端口将其调度转发至某RS,根据调度算法来挑选RS
-
LVS集群类型中的术语:
- VS:Virtual Server,又称Director, Dispatcher(调度器), Load Balancer
- RS:Real Server(lvs), upstream server(nginx), backend server(haproxy)
- CIP:Client IP
- VIP:Virtual server IP,VS外网的IP
- DIP:Director IP,VS内网的IP
- RIP:Real server IP
- 访问流程:CIP <--> VIP == DIP <--> RIP
- LVS集群类型
- lvs-nat:修改请求报文的目标IP,即多目标IP的DNAT
- lvs-dr:操纵封装新的MAC地址
- lvs-tun:在原请求IP报文之外新加一个IP首部
- lvs-fullnat:修改请求报文的源和目标IP
(二)LVS-NAT模式
(1)实现原理:
本质是多目标IP的DNAT,通过将请求报文中的目标地址和目标端口修改为VS调度的RS的RIP和PORT实现转发
(2)特点:
- RIP和DIP建议在同一个IP网络,且应该使用私网地址;RS的网关要指向DIP
- 请求报文和响应报文都必须经由Director转发,Director易于成为系统瓶颈
- 支持端口映射,可修改请求报文的目标PORT
- VS必须是Linux系统,RS可以是任意OS系统
(三)LVS-DR(Direct Routing)模式
(1)实现原理:
通过为请求报文重新封装一个MAC首部进行转发,源MAC是DIP所在的接口的MAC,目标MAC是VS调度的RS的RIP所在接口的MAC地址
(2)特点:
- 直接路由,LVS默认模式,应用最广泛
- Director和各RS都配置有VIP
- 源IP/PORT以及目标IP/PORT均保持不变
- RS的RIP可以使用私网地址,也可以是公网地址;RIP与DIP在同一IP网络;RIP的网关不能指向DIP,以确保响应报文不会经由Director
- RS和Director要在同一个物理网络
- 请求报文要经由Director,但响应报文不经由Director,而由RS直接发往Client
- 不支持端口映射(端口不能修改)
- RS可使用大多数OS系统
(3)通过RS目标MAC实现调度的条件:防止IP地址冲突
有以下三种方法
- Director上静态绑定VIP和RS的MAC地址
- 在RS上使用arptables工具
arptables -A IN -d $VIP -j DROP
arptables -A OUT -s $VIP -j mangle --mangle-ip-s $RIP - 在RS上修改内核参数以限制arp通告及应答级别,推荐此种方法
arp_announce
arp_ignore
(四)LVS-TUN模式
(1)实现原理:
不修改请求报文的IP首部(源IP为CIP,目标IP为VIP),而在原IP报文之外再封装一个IP首部(源IP是DIP,目标IP是RIP),将报文发往挑选出的目标RS;RS直接响应给客户端(源IP是VIP,目标IP是CIP)
(2)特点:
- DIP, VIP, RIP都应该是公网地址
- RS的网关不能,也不可能指向DIP
- 请求报文要经由Director,但响应不能经由Director
- 不支持端口映射
- RS的OS须支持隧道功能
(五)LVS-FULLNAT模式
(1)实现原理:
通过同时修改请求报文的源IP地址和目标IP地址进行转发
CIP --> DIP
VIP --> RIP
(2)特点:
- VIP是公网地址,RIP和DIP是私网地址,且通常不在同一IP网络;因此,RIP的网关一般不会指向DIP
- RS收到的请求报文源地址是DIP,因此,只需响应给DIP;但Director还要将其发往Client
- 请求和响应报文都经由Director
- 支持端口映射;
- 注意:此类型kernel默认不支持
(六)LVS四种模式异同
-
lvs-nat与lvs-fullnat:请求和响应报文都经由Director
lvs-nat:RIP的网关要指向DIP
lvs-fullnat:RIP和DIP未必在同一IP网络,但要能通信 -
lvs-dr与lvs-tun:请求报文要经由Director,但响应报文由RS直接发往Client
lvs-dr:通过封装新的MAC首部实现,通过MAC网络转发
lvs-tun:通过在原IP报文外封装新IP头实现转发,支持远距离通信
(七)ipvs scheduler:调度算法
- 根据调度时是否考虑各RS当前的负载状态,分为静态方法和动态方法
(1)静态方法:仅根据算法本身进行调度
- RR:roundrobin,轮询
- WRR:Weighted RR,加权轮询
- SH:Source Hashing,源地址哈希,将来自于同一个IP地址的请求始终发往第一次挑中的RS,从而实现会话绑定
- DH:Destination Hashing,目标地址哈希,将发往同一个目标地址的请求始终转发至第一次挑中的RS,典型使用场景是正向代理缓存场景中的负载均衡,如:宽带运营商
(2)动态方法:主要根据每RS当前的负载状态及调度算法进行调度
- Overhead值较小的RS将被调度
- LC:least connections,适用于长连接应用
Overhead=activeconns*256+inactiveconns - WLC:Weighted LC,默认调度方法
Overhead=(activeconns*256+inactiveconns)/weight - SED:Shortest Expection Delay,初始连接高权重优先
Overhead=(activeconns+1)*256/weight - NQ:Never Queue,第一轮均匀分配,后续SED
- LBLC:Locality-Based LC,动态的DH算法,使用场景:根据负载状态实现正向代理
- LBLCR:LBLC with Replication,带复制功能的LBLC
解决LBLC负载不均衡问题,从负载重的复制到负载轻的RS
三、ipvsadm的使用
- ipvsadm:集群服务管理和集群服务的RS管理工具
(一)管理集群服务
- 命令:
- 增、改
ipvsadm -A|E -t|u|f service-address [-s scheduler] [-p [timeout]] - 删除
ipvsadm -D -t|u|f service-address
- 增、改
- -t|u|f service-address
- service-address:VIP:PORT
-t:TCP协议的端口,VIP:TCP_PORT
-u:UDP协议的端口,VIP:UDP_PORT
-f:firewall MARK,标记,一个数字
- service-address:VIP:PORT
- [-s scheduler]:指定集群的调度算法,默认为wlc
(二)管理集群上的RS
-
命令:
- 增、改
ipvsadm -a|e -t|u|f service-address -r server-address [-g|i|m] [-w weight] - 删
ipvsadm -d -t|u|f service-address -r server-address
- 增、改
-
-t|u|f VIP:PORT -r RIP:PORT,省略PORT则为不做端口映射
-
lvs类型:
-g:gateway,dr类型,默认
-i:ipip,tun类型
-m:masquerade,nat类型 -
-w weight:权重
(三)FWM(FireWall Mark)
-
FWM的功能:分类报文并基于标记定义集群服务;实现多个不同的应用使用同一个集群服务进行调度
-
实现方法:
- 在Director主机打标记
iptables -t mangle -A PREROUTING -d $vip -p $proto -m multiport --dports $port1,$port2,… -j MARK --set-mark NUMBER - 在Director主机基于标记定义集群服务
ipvsadm -A -f NUMBER [options] - --set-mark NUMBER:NUMBER为16进制数
- 在Director主机打标记
(四)持久连接
-
session 绑定:对共享同一组RS的多个集群服务,需要统一进行绑定,lvs sh算法无法实现
-
持久连接(lvs persistence)模板:实现无论使用任何调度算法,在一段时间内(默认360s),能够实现将来自同一个地址的请求始终发往同一个RS
ipvsadm -A|E -t|u|f service-address [-s scheduler] -p [timeout] -
持久连接实现方式:
- 每端口持久(PPC):每个端口对应定义为一个集群服务,每集群服务单独调度
- 每防火墙标记持久(PFWMC):基于防火墙标记定义集群服务;可实现将多个端口上的应用统一调度,即所谓的port Affinity
- 每客户端持久(PCC):基于0端口(表示所有服务)定义集群服务,即将客户端对所有应用的请求都调度至后端主机,必须定义为持久模式
(五)其他ipvsadm命令
- 清空定义的所有内容:ipvsadm -C
- 清空计数器:ipvsadm -Z [-t|u|f service-address]
- 查看:ipvsadm -L|l [options]
--numeric, -n:以数字形式输出地址和端口号
--exact:扩展信息,精确值
--connection,-c:当前IPVS连接输出
--stats:统计信息
--rate :输出速率信息 - 查看当前内存中ipvs规则:/proc/net/ip_vs
- 查看当前内存中ipvs连接:/proc/net/ip_vs_conn
(六)保存及重载规则
-
保存:建议保存至/etc/sysconfig/ipvsadm
ipvsadm-save > /PATH/TO/IPVSADM_FILE
ipvsadm -S > /PATH/TO/IPVSADM_FILE
systemctl stop ipvsadm.service -
重载:
ipvsadm-restore < /PATH/FROM/IPVSADM_FILE
ipvsadm -R < /PATH/FROM/IPVSADM_FILE
systemctl restart ipvsadm.service
四、实现LVS-NAT
(一)设计要点:
- RIP与DIP在同一IP网络, RIP的网关要指向DIP
- 支持端口映射
- Director要打开核心转发功能
(二)实现功能:
NAT模型实现https负载均衡集群
(三)实验环境:
-
需要4台主机
主机1:Director(Virtual Server), VIP: 172.18.58.230, DIP: 192.168.136.230
主机2:Real Server1, RIP1: 192.168.136.229
主机3:Real Server2, RIP2: 192.168.136.129
主机4:Client, CIP: 172.168.58.15 -
说明:
172.18.0.0/16网段代表外网,192.168.136.0/24网段代表内网
一般来说Client和VS不再同一网段,中间应有多台路由器,本实验忽略此部分
RS1和RS2提供的服务应是一致的,但为了证明实验结果,故意对返回结果做了区分
(四)实验步骤:
(1)实验准备
- 关闭实验主机的iptables, firewalld, selinux服务
// CentOS 6关闭iptables
service iptables stop
chkconfig iptables off
// CentOS 7关闭firewalld
systemctl stop firewalld
systemctl disable firewalld
// 关闭selinux
vim /etc/sysconfig/selinux
SELINUX=permissive
setenforce 0
- 同步时间:
ntpdate time_server_ip
(2)准备RS1, RS2的httpd服务
vim /var/www/html/index.html
RS1 homepage // RS1上的内容
RS2 homepage // RS2上的内容
service httpd start
// 测试httpd服务
curl 192.168.136.229
curl 192.168.136.129
(3)配置路由
// RS1/2配置默认网关
route add default gw 192.168.136.230
// Client配置默认网关
route add default gw 172.18.58.230
// VS开启路由功能
vim /etc/sysctl.conf
net.ipv4.ip_forward=1
sysctl -p
(4)Director上配置LVS-NAT
ipvsadm -A -t 172.18.58.230:80 -s wrr
ipvsadm -a -t 172.18.58.230:80 -r 192.168.136.229:80 -m -w 2
ipvsadm -a -t 172.18.58.229:80 -r 192.168.136.129:80 -m
ipvsadm -Ln
(5)测试http服务的lvs-nat模式
for i in {1..10}; do curl 172.18.58.230 ; done
从测试结果中看出,director明显按照wrr算法,以RS1:RS2=2:1的比例调度
(6)实现httpd加密服务的lvs-nat模式
- 在RS1上生成自签名证书
cd /etc/pki/tls/certs
make httpd.crt
// 建立密钥时需要输入密码,需要对密钥解密
openssl rsa -in /etc/pki/tls/certs/httpd.key -out /etc/pki/tls/certs/httpd2.key
mv httpd2.key httpd.crt /etc/httpd/conf.d/
cd /etc/httpd/conf.d
mv httpd2.key httpd.key
- 复制证书和密钥到RS2上,必须保证RS上的证书和密钥是同一份
cd /etc/httpd/conf.d
scp httpd* 192.168.136.129:/etc/httpd/conf.d/
- 安装mod_ssl并修改RS1, RS2上的httpd配置文件
yum install mod_ssl
vim /etc/httpd/conf.d/ssl.conf
DocumentRoot "/app/website"
SSLCertificateFile /etc/httpd/conf.d/httpd.crt
SSLCertificateKeyFile /etc/httpd/conf.d/httpd.key
- 在RS1, RS2上建立相应网页文件
mkdir -p /app/website
echo "RS1 encrypted homepage" > /app/website/index.html // RS1上的内容
echo "RS2 encrypted homepage" > /app/website/index.html // RS2上的内容
- 在RS1, RS2上重启并测试服务
service httpd restart
curl -k https://192.168.136.229 // 在RS1本机测试https连接
curl -k https://192.168.136.129 // 在RS2本机测试https连接
- 在Director上配置LVS-NAT
ipvsadm -A -t 172.18.58.230:443 -s wrr
ipvsadm -a -t 172.18.58.230:443 -r 192.168.136.229:443 -m -w 2
ipvsadm -a -t 172.18.58.230:443 -r 192.168.136.129:443 -m
- 在Client上测试https服务
for i in {1..10}; do curl -k https://172.18.58.230 ; done
五、实现LVS-DR
(一)DR模型中,各主机上均需要配置VIP,解决地址冲突的方式有三种:
- 在前端网关做静态绑定
- 在各RS使用arptables
- 在各RS修改内核参数,来限制arp响应和通告的级别
- 限制响应级别:arp_ignore
0:默认值,表示可使用本地任意接口上配置的任意地址进行响应
1:仅在请求的目标IP配置在本地主机的接收到请求报文的接口上时,才给予响应 - 限制通告级别:arp_announce
0:默认值,把本机所有接口的所有信息向每个接口的网络进行通告
1:尽量避免将接口信息向非直接连接网络进行通告
2:必须避免将接口信息向非本网络进行通告
- 限制响应级别:arp_ignore
(二)实验功能:
DR模型实现https负载均衡集群
(三)实验环境:
-
需要5台主机:
主机1:Router, IP1: 172.18.58.130, IP2: 192.168.136.130
主机2:Director(Virtual Server), VIP: 192.168.136.230, DIP: 192.168.136.30
主机3:Real Server1, RIP: 192.168.136.229
主机4:Real Server2, RIP: 192.168.136.129
主机5:Client, CIP: 172.18.58.15 -
说明:
RS1和RS2提供的服务应是一致的,但为了证明实验结果,故意对返回结果做了区分
(四)实验步骤:
(1)实验准备
- 关闭实验主机的iptables, firewalld, selinux服务
// CentOS 6关闭iptables
service iptables stop
chkconfig iptables off
// CentOS 7关闭firewalld
systemctl stop firewalld
systemctl disable firewalld
// 关闭selinux
vim /etc/sysconfig/selinux
SELINUX=permissive
setenforce 0
- 同步时间:
ntpdate time_server_ip
(2)准备RS1, RS2的httpd服务
vim /var/www/html/index.html
RS1 homepage LVS-DR // RS1上的内容
RS2 homepage LVS-DR // RS2上的内容
service httpd start
// 测试httpd服务
curl 192.168.136.229
curl 192.168.136.129
(3)配置路由
// RS1/2配置默认网关
route add default gw 192.168.136.130
// VS配置默认网关
route add default gw 192.168.136.130
// Client配置默认网关
route add default gw 172.18.58.130
// Router开启路由功能
vim /etc/sysctl.conf
net.ipv4.ip_forward=1
sysctl -p
(4)RS配置
// 限制arp响应和通告的级别
echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
echo 1 > /proc/sys/net/ipv4/conf/lo/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce
echo 2 > /proc/sys/net/ipv4/conf/lo/arp_announce
// 将VIP绑定到lo网卡上
ip a a 192.168.136.230 dev lo
(5)Director上配置LVS-DR
// 将DIP绑定到VIP所在的网卡
ip a a 192.168.136.30/24 dev ens37
// 配置LVS-DR
ipvsadm -A -t 192.168.136.230:80 -s wrr
ipvsadm -a -t 192.168.136.230:80 -r 192.168.136.229:80 -g -w 2
ipvsadm -a -t 192.168.136.230:80 -r 192.168.136.129:80 -g
ipvsadm -Ln
(6)测试http服务的lvs-nat模式
for i in {1..10}; do curl 192.168.136.230 ; done
从测试结果中看出,director明显按照wrr算法,以RS1:RS2=2:1的比例调度
(7)实现httpd加密服务的lvs-nat模式
- 在RS1上生成自签名证书
cd /etc/pki/tls/certs
make httpd.crt
// 建立密钥时需要输入密码,需要对密钥解密
openssl rsa -in /etc/pki/tls/certs/httpd.key -out /etc/pki/tls/certs/httpd2.key
mv httpd2.key httpd.crt /etc/httpd/conf.d/
cd /etc/httpd/conf.d
mv httpd2.key httpd.key
- 复制证书和密钥到RS2上,必须保证RS上的证书和密钥是同一份
cd /etc/httpd/conf.d
scp httpd* 192.168.136.129:/etc/httpd/conf.d/
- 安装mod_ssl并修改RS1, RS2上的httpd配置文件
yum install mod_ssl
vim /etc/httpd/conf.d/ssl.conf
DocumentRoot "/app/website"
SSLCertificateFile /etc/httpd/conf.d/httpd.crt
SSLCertificateKeyFile /etc/httpd/conf.d/httpd.key
- 在RS1, RS2上建立相应网页文件
mkdir -p /app/website
echo "RS1 encrypted homepage LVS-DR" > /app/website/index.html // RS1上的内容
echo "RS2 encrypted homepage LVS-DR" > /app/website/index.html // RS2上的内容
- 在RS1, RS2上重启并测试服务
service httpd restart
curl -k https://192.168.136.229 // 在RS1本机测试https连接
curl -k https://192.168.136.129 // 在RS2本机测试https连接
- 在Director上配置LVS-NAT
ipvsadm -A -t 192.168.136.230:443 -s wrr
ipvsadm -a -t 192.168.136.230:443 -r 192.168.136.229:443 -w 2
ipvsadm -a -t 192.168.136.230:443 -r 192.168.136.129:443
- 在Client上测试https服务
for i in {1..10}; do curl -k https://192.168.136.230 ; done
(五)实验进阶1:使用FWM将http和https服务统一调度
-
在Director上将http和https服务统一打成一个标签
iptables -t mangle -A PREROUTING -d 192.168.136.230 -p tcp -m multiport --dports 80,443 -j MARK --set-mark 10 -
在Director上重新配置LVS-DR
ipvsadm -C
ipvsadm -A -f 10 -s wrr
ipvsadm -a -f 10 -r 192.168.136.229 -g -w 2
ipvsadm -a -f 10 -r 192.168.136.129 -g
- 在Client上测试
for i in {1..10}; do curl 192.168.136.230; curl -k https://192.168.136.230; done
(六)实验进阶2:实现所有调度算法都可以会话绑定,绑定时间120s
- 在Director上重新配置LVS-DR
ipvsadm -C
ipvsadm -A -f 10 -s wrr -p 120
ipvsadm -a -f 10 -r 192.168.136.229 -g -w 2
ipvsadm -a -f 10 -r 192.168.136.129 -g
- 在Client上测试
for i in {1..10}; do curl 192.168.136.230; curl -k https://192.168.136.230; done
六、LVS高可用
(1)Director不可用,整个系统将不可用,SPoF(Single Point of Failure)
- 解决方案:高可用
- 相关技术:keepalived heartbeat/corosync
(2)某RS不可用时,Director依然会调度请求至此RS
- 解决方案:由Director对各RS健康状态进行检查,失败时禁用,成功时启用
- 相关技术:keepalived heartbeat/corosync, ldirectord
- 检测方式:
(a) 网络层检测,icmp
(b) 传输层检测,端口探测
(c) 应用层检测,请求某关键资源
RS全不用时:back server, sorry server
(3)通过ldirectord管理LVS,实现当某RS不可用时LVS自动切换至其他RS
-
VS上安装ldirectord
yum install ldirectord-3.9.6-0rc1.1.1.x86_64.rpm -
VS上修改配置文件
cp /usr/share/doc/ldirectord-3.9.6/ldirectord.cf /etc/ha.d/
vim /etc/ha.d/ldirectord.cf
checktimeout=3
checkinterval=1
autoreload=yes
quiescent=no
virtual=192.168.136.230:80
real=192.168.136.229:80 gate 2
real=192.168.136.129:80 gate 1
fallback=127.0.0.1:80 gate // sorry server
service=http
scheduler=wrr
protocol=tcp
checktype=negotiate
checkport=80
request="index.html"
receive="homepage"
ipvsadm -C // ldirectord服务启动后接管ipvsadm对LVS的管理,提前清空设置
systemctl start ldirectord
- VS上配置sorry server页面
yum intall httpd
vim /var/www/html/index.html
Sorry, wait a moment.
systemctl httpd start
-
Client上测试
for i in {1..10}; do curl 192.168.136.230; done- VS按照权重调度
- 关闭RS1的httpd服务后,VS自动都调度至RS2
-
关闭RS2后,RS全部无法连接,VS自动调度到sorry server
-
初始状态,关闭RS1的httpd服务后,关闭RS2的httpd服务,这三个状态下ldirectord服务自动修改调度设置,无需人工干预
