负载均衡集群介绍 LVS介绍 LVS调度算法 LVS NAT模式搭建

扩展
lvs 三种模式详解 http://www.it165.net/admin/html/201401/2248.html 
lvs几种算法 http://www.aminglinux.com/bbs/thread-7407-1-1.html
关于arp_ignore和 arp_announce http://www.cnblogs.com/lgfeng/archive/2012/10/16/2726308.html
lvs原理相关的 http://blog.csdn.net/pi9nc/article/details/23380589

负载均衡集群介绍

• 主流开源软件LVS、keepalived、haproxy、nginx等
  • 其中LVS属于4层（网络OSI 7层模型），nginx属于7层，haproxy既能够认为是4层，也能够当作7层使用
  • keepalived的负载均衡功能其实就是lvs，lvs是keepalived内置的
  • lvs这种4层的负载均衡是能够分发TCP协议，web服务是80端口，除了分发80端口，还有其余的端口通讯的，好比MySQL的负载均衡，就能够用LVS实现，而nginx仅仅支持http，https，mail，haproxy；haproxy也支持MySQL这种TCP负载均衡的
  • 7层有限制，不过有些更高级的功能，nginx能够经过站点目录，去区分网站服务器以前，LVS4层的就不支持
• 相比较来讲，LVS这种4层的更稳定，能承受更多的请求，承载的并发量更高，而nginx这种7层的更加灵活，能实现更多的个性化需求

LVS介绍

• LVS是由国人章文嵩开发
• 流行度不亚于apache的httpd，基于TCP/IP作的路由和转发，稳定性和效率很高
• LVS最新版本基于Linux内核2.6，有好多年不更新了
• LVS有三种常见的模式：NAT、DR、IP Tunnel
• LVS架构中有一个核心角色叫作分发器（Load balance），它用来分发用户的请求，还有诸多处理用户请求的服务器（Real Server，简称rs）

• LVS NAT模式，借助iptables的nat表来实现
• 用户的请求到分发器后，经过预设的iptables规则，把请求的数据包转发到后端的rs上去
• rs须要设定网关为分发器的内网ip
• 用户请求的数据包和返回给用户的数据包所有通过分发器，因此分发器成为瓶颈
• 在nat模式中，只须要分发器有公网ip便可，因此比较节省公网ip资源

• 原理图解释：
  • Load Balancer，就是一个分发器；把用户的请求，分发给后端的Real Server ，Real Server这些服务器接收到请求之后，处理好用户请求之后，就从新丢回给Load Balancer；最后Load Balancer再返回给用户；
  • 这个模式的弊端，当访问量、请求量、反馈量大的时候，Load Balancer的压力很大
  • LVS规模，通常规模最多支持10来台服务器，超过10台的话就会有力不从心；
  • nat模式这个结构，只须要有一个公网IP，其余real server服务器所有在内网就能够实现。优势，节省不少的资源

• LVS IP Tunnel模式，须要有一个公共的IP配置在分发器和全部rs上，咱们把它叫作vip
• 客户端请求的目标IP为vip，分发器接收到请求数据包后，会对数据包作一个加工，会把目标IP改成rs的IP，这样数据包就到了rs上
• rs接收数据包后，会还原原始数据包，这样目标IP为vip，由于全部rs上配置了这个vip，因此它会认为是它本身

• 原理图解释：
  • 在load balancer与real server之间创建了虚拟通道，叫作 ip tunnel ；其实是更改了数据包 目的IP；请求过来经过load balancer，经过在real server上配置的VIP；用户请求的时候，数据包里面包好的目的IP，当数据包到达load balancer的时候，load balancer会进行一个数据包目的IP的更改，而后发送到具体的real server上，经过lvs的本身的算法，进行实现到底传输到那个real server上；而后real server再解包处理，再经过一个VIP直接返回到用户，这就省略数据回到load balancer分发器的过程，这样就load balancer就没有瓶颈

• LVS DR模式，也须要有一个公共的IP配置在分发器和全部rs上，也就是vip
  • 和IP Tunnel不一样的是，它会把数据包的MAC地址修改成rs的MAC地址
  • rs接收数据包后，会还原原始数据包，这样目标IP为vip，由于全部rs上配置了这个vip，因此它会认为是它本身

LVS调度算法

• 轮询 Round-Robin 简称：rr 最简单的也是最容易理解
  • 用户请求过来，均衡的分发到rs上
• 加权轮询 Weight Round-Robin 简称：wrr
  • 带权重的轮询，能够对机器单独设置权重，对高权重的机器发送的请求会多一些
• 最小链接 Least-Connection 简称： lc
  • 把请求发送到请求数量小的rs上
• 加权最小链接 Weight Least-Connection 简称： wlc
  • 对请求数量小的rs，加上一个权重，使他优先
• 基于局部性的最小链接 Locality-Based Least Connections 简称： lblc
• 带复制的基于局部性最小链接 Locality-Based Least Connections with Replication 简称： lblcr
• 目标地址散列调度 Destination Hashing 简称：dh
• 源地址散列调度 Source Hashing 简称： sh

LVS NAT模式搭建

• NAT模式搭建 – 准备工做
  • 三台机器
  • 分发器，也叫调度器（简写为dir）
    • 内网：180.134，外网：142.144（vmware仅主机模式）
  • rs1
    • 内网：180.135，设置网关为180.134
  • rs2
    • 内网：180.138，设置网关为180.134
  • 三台机器上都执行执行
  • systemctl stop firewalld; systemc disable firewalld
  • systemctl start iptables-services; iptables -F; service iptables save
• NAT模式搭建
  • 在dir上安装ipvsadm
  • yum install -y ipvsadm
  • 在dir上编写脚本，vim /usr/local/sbin/lvs_nat.sh//内容以下

#! /bin/bash
# director 服务器上开启路由转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
# 关闭icmp的重定向
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects
# 注意区分网卡名字，阿铭的两个网卡分别为ens33和ens37
echo 0 > /proc/sys/net/ipv4/conf/ens33/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/ens37/send_redirects
# director 设置nat防火墙
iptables -t nat -F
iptables -t nat -X
iptables -t nat -A POSTROUTING -s 192.168.180.0/24  -j MASQUERADE
# director设置ipvsadm
IPVSADM='/usr/sbin/ipvsadm'
$IPVSADM -C
$IPVSADM -A -t 192.168.142.144:80 -s wlc -p 3
$IPVSADM -a -t 192.168.142.144:80 -r 192.168.180.135:80 -m -w 1
$IPVSADM -a -t 192.168.142.144:80 -r 192.168.180.138:80 -m -w 1

• NAT模式效果测试
  • 两台rs上都安装nginx
  • 设置两台rs的主页，作一个区分，也就是说直接curl两台rs的ip时，获得不一样的结果
  • 浏览器里访问192.168.142.144，多访问几回看结果差别

LVS NAT模式搭建

NAT模式搭建-准备工做

• NAT模式是经过iptables实现的，因此必须配置一些iptables规则
• 在配置前准备三台机器，一台做为分发器，也叫作调度器，简称 dir，另外两台就是real server，用来处理用户请求的服务器，rs一、rs2（克隆虚拟机步骤）
• 克隆虚拟机的注意点

• A机器IP为192.168.180.13四、B机器IP为192.168.180.135，C机器IP为192.168.180.138

  • A机器增长一块网卡，并启动查看网段为192.168.142（根据本身机器来设置），设置新的网卡IP为192.168.142.144，并在物理机访问这个IP地址，看是否正常通讯
    • 增长新的网卡须要更改IP，而后重启网卡，并重启网络服务。增长网卡注意点

• PS：网关最后设置，不然包没法下载

• B机器和C机器的网关必须设置成分发器（即A机器）的内网IP，若不设置成它的网关，是无法通讯的

  • 这时B、C机器就没法上网了

网卡配置文件中更改（即本机器）
vi /etc/sysconfig/network-scripts/ifcfg-ens33

更改完以后重启网络服务
systemctl restart network

[root@yong-02 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.180.134 0.0.0.0         UG    100    0        0 ens33
192.168.180.0   0.0.0.0         255.255.255.0   U     100    0        0 ens33

• 三台机器设置完成后，关闭三台机器的防火墙

关闭firewalld服务
systemctl stop firewalld

使firewalld服务再也不开机启动
systemctl disable firewalld

• 机器B、机器C 下载安装iptables-services 包

yum install -y iptables-services

• 有时下载包的时候特别慢，就是epel.repo源的缘由致使的，这里能够临时关闭，就是直接更更名字便可（由于epel.repo源是国外的资源，因此很慢）
• 机器B、机器C 启动iptables服务
• systemctl start iptables

机器B
[root@yong-02 ~]# systemctl start iptables

机器C
[root@yong-03 ~]# systemctl start iptables

• 机器B、机器C 设置开机启动
• systemctl enable iptables
• iptables -F
• service iptables save

机器B
[root@yong-02 ~]# systemctl start iptables
[root@yong-02 ~]# systemctl enable iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@yong-02 ~]# iptables -F
[root@yong-02 ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  肯定  ]
[root@yong-02 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 74 packets, 4884 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 42 packets, 3952 bytes)
 pkts bytes target     prot opt in     out     source               destination  

机器C同上

• 清空并查看机器A的规则

[root@yong-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 27 packets, 1888 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 20 packets, 1968 bytes)
 pkts bytes target     prot opt in     out     source               destination

• 关闭机器机器A，机器B，机器C，三台机器的selinux

setenforce 0    //临时关闭selinux

getenforce    //查看selinux是否关闭


为了保险起见，在配置文件中永久关闭selinux
vi /etc/selinux/config
SELINUX=enforcing更改成SELINUX=disabled

准备工做结束

NAT模式搭建

• 首先在分发器dir上（即A机器），安装ipvsadm ，这个是实现 lvs 的一个重要的工具，缺乏这个工具，将没有办法实现 lvs 的功能

[root@yong-01 ~]# yum install -y ipvsadm

• 在分发器（A机器）上编写一个脚本（LVS全都是以脚本的方式去执行的，这样比较方便进行维护不用一条命令一条命令的进行操做）

[root@yong-01 ~]# vim /usr/local/sbin/lvs_nat.sh

#! /bin/bash
# director 服务器上开启路由转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward   //对内核参数修改，打开路由转发
# 关闭icmp的重定向
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects  //假装操做，否则不能转发rs的数据
echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects //假装操做，否则不能转发rs的数据
# 注意区分网卡名字，dir机器的两块网卡分别为ens33和ens37
echo 0 > /proc/sys/net/ipv4/conf/ens33/send_redirects  
echo 0 > /proc/sys/net/ipv4/conf/ens37/send_redirects
# director 设置nat防火墙
iptables -t nat -F
iptables -t nat -X
iptables -t nat -A POSTROUTING -s 192.168.180.0/24  -j MASQUERADE  //MASQUERADE实现同网段的机器去上网，路由器使用的就是这个功能
# director设置ipvsadm
IPVSADM='/usr/sbin/ipvsadm' //设置一个变量，方便下面命令引用
$IPVSADM -C //清空规则
$IPVSADM -A -t 192.168.142.144:80 -s lc -p 3   //用来定义lvs 的模式；wlc，为算法，能够按需求选择 lvs 里面适合的算法
$IPVSADM -a -t 192.168.142.144:80 -r 192.168.180.135:80 -m -w 1     //小规则，-r 指定dir机器IP，-m 指定nat模式，-w指定rs权重 
$IPVSADM -a -t 192.168.142.144:80 -r 192.168.180.138:80 -m -w 1    //小规则，-r 指定dir机器IP，-m 指定nat模式，-w指定rs权重

• IPVSADM -A -t 192.168.142.144:80 -s lc -p 3 ： -A增长一个规则，-t 制定lvs 模式，以后IP 就是dir的IP，-s 指定算法；-p 指定超时时间，（数据包转发超时时间）
• 超时时间解释：
  • 用户1访问的是a机器，-p 的意思就是在同一个时间，一直在同一台机器上进行请求
• 执行脚本，如果没输出，表示脚本没有错误

[root@yong-01 ~]# sh /usr/local/sbin/lvs_nat.sh

NAT模式效果测试

• NAT模式效果测试
  • 两台rs上都安装nginx
  • 设置两台rs的主页，作一个区分，也就是说直接curl两台rs的ip时，获得不一样的结果
  • 浏览器里访问192.168.142.144，多访问几回看结果差别

1. 首先查看B机器和C机器上的nginx服务是否开启 启动nginx
2. 设置两台rs的主页，作一个区分，也就是说直接curl两台rs的ip时，获得不一样的结果

• 编辑B机器的索引页

[root@yong-02 ~]# vim /usr/share/nginx/html/index.html
[root@yong-02 ~]# curl localhost
yongge02.

• 编辑c机器的索引页

[root@yong-03 ~]# vim /usr/local/nginx/html/index.html
[root@yong-03 ~]# curl localhost
yongge03.

• 这时浏览器访问模拟的公网IP，即192.168.142.144，如果浏览器访问不成功，可用curl测试

[root@yong-01 ~]# curl 192.168.142.144
yongge02.
[root@yong-01 ~]# curl 192.168.142.144
yongge03.

1. 查看A机器上的nat规则

[root@yong-01 ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 29 packets, 5245 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 25 packets, 1610 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    1    76 MASQUERADE  all  --  *      *       192.168.180.0/24     0.0.0.0/0

• 查看 ipvsadm 规则

[root@yong-01 ~]# ipvsadm -ln
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
  -> RemoteAddress:Port           Forward Weight ActiveConn InActConn
TCP  192.168.142.144:80 rr
  -> 192.168.180.135:80           Masq    1      0          6         
  -> 192.168.180.138:80           Masq    1      0          6