LVS原理详解以及部署

linux virtual server简称LVS，Internet的快速增加使多媒体网络服务器面对的访问数量快速增长，服务器须要具有提供大量并发访问服务的能力，所以对于大负载的服务器来说， CPU、I/O处理能力很快会成为瓶颈。因为单台服务器的性能老是有限的，简单的提升硬件性能并不能真正解决这个问题。为此，必须采用多服务器和负载均衡技术才能知足大量并发访问的须要。Linux 虚拟服务器(Linux Virtual Servers,LVS) 使用负载均衡技术将多台服务器组成一个虚拟服务器。它为适应快速增加的网络访问需求提供了一个负载能力易于扩展，而价格低廉的解决方案。lvs的负载能力特别强，优化空间特别大，lvs的变种DPVS听说是lvs性能的几倍，由爱奇艺开发，并普遍用于爱奇艺IDC。其余负载均衡服务器还有nginx，haproxy，F5，Netscale。

2、LVS基本原理

---

 

1. 当用户向负载均衡调度器（Director Server）发起请求，调度器将请求发往至内核空间。
2. PREROUTING链首先会接收到用户请求，判断目标IP肯定是本机IP，将数据包发往INPUT链。
3. IPVS是工做在INPUT链上的，当用户请求到达INPUT时，IPVS会将用户请求和本身已定义好的集群服务进行比对，若是用户请求的就是定义的集群服务，那么此时IPVS会强行修改数据包里的目标IP地址及端口，并将新的数据包发往POSTROUTING链。
4. POSTROUTING连接收数据包后发现目标IP地址恰好是本身的后端服务器，那么此时经过选路，将数据包最终发送给后端的服务器。

3、LVS组成

---

 

LVS 由2部分程序组成，包括 ipvs 和 ipvsadm。

1. IPVS(ip virtual server)：一段代码工做在内核空间，叫IPVS，是真正生效实现调度的代码。IPVS的整体结构主要由IP包处理、负载均衡算法、系统配置与管理三个模块及虚拟服务器与真实服务器链表组成。
2. ipvsadm：另一段是工做在用户空间，叫ipvsadm，即IPVS管理器，负责为ipvs内核框架编写规则，定义谁是集群服务，而谁是后端真实的服务器(Real Server)。

4、LVS技术术语

---

 

• DS：Director Server。指的是前端负载均衡器节点。
• RS：Real Server。后端真实的工做服务器。
• VIP：Virtual IP，向外部直接面向用户请求，做为用户请求的目标的IP地址。
• DIP：Director Server IP，主要用于和内部主机通信的IP地址。
• RIP：Real Server IP，后端服务器的IP地址。
• CIP：Client IP，访问客户端的IP地址。

5、LVS工做模式和原理

---

 

5.一、NAT模式

5.1.一、NAT模式工做原理

1. 当用户请求到达Director Server，此时请求的数据报文会先到内核空间的PREROUTING链。 此时报文的源IP为CIP，目标IP为VIP。
2. PREROUTING检查发现数据包的目标IP是本机，将数据包送至INPUT链。
3. IPVS比对数据包请求的服务是否为集群服务，如果，修改数据包的目标IP地址为后端服务器IP，而后将数据包发至POSTROUTING链。 此时报文的源IP为CIP，目标IP为RIP。
4. POSTROUTING链经过选路，将数据包发送给Real Server
5. Real Server比对发现目标为本身的IP，开始构建响应报文发回给Director Server。 此时报文的源IP为RIP，目标IP为CIP。
6. Director Server在响应客户端前，此时会将源IP地址修改成本身的VIP地址，而后响应给客户端。 此时报文的源IP为VIP，目标IP为CIP。

5.1.二、NAT特性

• RIP最好是内网IP
• RS的网关必须指向DIP。
• DIP和RIP必须在同一个网段内。
• 请求和回应的报文都必须通过director，director容易成为瓶颈。
• nat支持端口转发。

5.二、DR模式

5.2.一、DR模式工做原理

1. 首先用户用CIP请求VIP。
2. 根据上图能够看到,无论是Director Server仍是Real Server上都须要配置相同的VIP,那么当用户请求到达咱们的集群网络的前端路由器的时候,请求数据包的源地址为CIP目标地址为VIP,此时路由器会发广播问谁是VIP,那么咱们集群中全部的节点都配置有VIP,此时谁先响应路由器那么路由器就会将用户请求发给谁,这样一来咱们的集群系统是否是没有意义了,那咱们能够在网关路由器上配置静态路由指定VIP就是Director Server,或者使用一种机制不让Real Server 接收来自网络中的ARP地址解析请求,这样一来用户的请求数据包都会通过Director Servrer。
3. 当用户请求到达Director Server，此时请求的数据报文会先到内核空间的PREROUTING链。 此时报文的源IP为CIP，目标IP为VIP。
4.  PREROUTING检查发现数据包的目标IP是本机，将数据包送至INPUT链。
5.  IPVS比对数据包请求的服务是否为集群服务，如果，将请求报文中的源MAC地址修改成DIP的MAC地址，将目标MAC地址修改RIP的MAC地址，而后将数据包发至POSTROUTING链。 此时的源IP和目的IP均未修改，仅修改了源MAC地址为DIP的MAC地址，目标MAC地址为RIP的MAC地址
6.  因为DS和RS在同一个网络中，因此是经过二层来传输。POSTROUTING链检查目标MAC地址为RIP的MAC地址，那么此时数据包将会发至Real Server。
7.  RS发现请求报文的MAC地址是本身的MAC地址，就接收此报文。处理完成以后，将响应报文经过lo接口传送给eth0网卡而后向外发出。 此时的源IP地址为VIP，目标IP为CIP
8. 响应报文最终送达至客户端。

5.2.二、配置DR有三种方式：

第一种方式：

在路由器上明显说明vip对应的地址必定是Director上的MAC，只要绑定，之后再跟vip通讯也不用再请求了，这个绑定是静态的，因此它也不会失效，也不会再次发起请求，可是有个前提，咱们的路由设备必须有操做权限可以绑定MAC地址，万一这个路由器是运行商操做的，咱们无法操做怎么办？第一种方式当然很简便，但未必可行。

第二种方式：

在给别主机上（例如：红帽）它们引进的有一种程序arptables,它有点相似于iptables,它确定是基于arp或基于MAC作访问控制的，很显然咱们只须要在每个real server上定义arptables规则，若是用户arp广播请求的目标地址是本机的vip则不予相应，或者说相应的报文不让出去，很显然网关（gateway）是接受不到的，也就是director相应的报文才能到达gateway，这个也行。第二种方式咱们能够基于arptables。

第三种方式：

在相对较新的版本中新增了两个内核参数(kernelparameter)，第一个是arp_ignore定义接受到ARP请求时的相应级别;第二个是arp_announce定义将本身地址向外通告时的通告级别。【提示：很显然咱们如今的系统通常在内核中都是支持这些参数的，咱们用参数的方式进行调整更具备朴实性，它还不依赖于额外的条件，像arptables,也不依赖外在路由配置的设置，反而一般咱们使用的是第三种配置】

arp_ignore:定义接受到ARP请求时的相应级别

0：  只要本地配置的有相应地址，就给予响应。（默认）

1：  仅回应目标IP地址是本地的入网地址的arp请求。

2：  仅回应目标IP地址是本地的入网地址，并且源IP和目标IP在同一个子网的arp请   求。

3：  不回应该网络界面的arp请求，而只对设置的惟一和链接地址作出回应

4-7：保留未使用

8：  不回应全部的arp请求。

arp_announce：定义将本身地址向外通告是的通告级别;

0:    将本地任何接口上的任何地址向外通告

1：  试图仅向目标网络通告与其网络匹配的地址

2：  仅向与本地接口上地址匹配的网络进行通告

5.2.三、DR特性

• 特色1：保证前端路由将目标地址为VIP报文通通发给Director Server，而不是RS。
• Director和RS的VIP为同一个VIP。
• RS可使用私有地址；也能够是公网地址，若是使用公网地址，此时能够经过互联网对RIP进行直接访问。
• RS跟Director Server必须在同一个物理网络中。
• 全部的请求报文经由Director Server，但响应报文必须不能进过Director Server。
• 不支持地址转换，也不支持端口映射
• RS能够是大多数常见的操做系统
• RS的网关毫不容许指向DIP(由于咱们不容许他通过director)
• RS上的lo接口配置VIP的IP地址
• DR模式是市面上用得最广的。
• 缺陷：RS和DS必须在同一机房中

 

补充：特色1的解决方法

1. 在前端路由器作静态地址路由绑定，将对于VIP的地址仅路由到Director Server。存在问题：用户未必有路由操做权限，由于有多是运营商提供的，因此这个方法未必实用。
2. arptables：在arp的层次上实如今ARP解析时作防火墙规则，过滤RS响应ARP请求。这是由iptables提供的。
3. 修改RS上内核参数（arp_ignore和arp_announce）将RS上的VIP配置在lo接口的别名上，并限制其不能响应对VIP地址解析请求。

5.三、Tunnel模式

5.3.一、Tunnel模式工做原理

1. 当用户请求到达Director Server，此时请求的数据报文会先到内核空间的PREROUTING链。 此时报文的源IP为CIP，目标IP为VIP 。
2. PREROUTING检查发现数据包的目标IP是本机，将数据包送至INPUT链。
3. IPVS比对数据包请求的服务是否为集群服务，如果，在请求报文的首部再次封装一层IP报文，封装源IP为为DIP，目标IP为RIP。而后发至POSTROUTING链。 此时源IP为DIP，目标IP为RIP。
4. POSTROUTING链根据最新封装的IP报文，将数据包发至RS（由于在外层封装多了一层IP首部，因此能够理解为此时经过隧道传输）。 此时源IP为DIP，目标IP为RIP。
5. RS接收到报文后发现是本身的IP地址，就将报文接收下来，拆除掉最外层的IP后，会发现里面还有一层IP首部，并且目标是本身的lo接口VIP，那么此时RS开始处理此请求，处理完成以后，经过lo接口送给eth0网卡，而后向外传递。 此时的源IP地址为VIP，目标IP为CIP
6. 响应报文最终送达至客户端

5.3.二、Tunnel模式特性

• RIP、VIP、DIP全是公网地址。
• RS的网关不会也不可能指向DIP
• 全部的请求报文经由Director Server，但响应报文必须不能进过Director Server
• 不支持端口映射
• RS的系统必须支持隧道

6、LVS的调度算法

---

 

固定调度算法：rr，wrr，dh，sh

动态调度算法：wlc，lc，lblc，lblcr

固定调度算法：即调度器不会去判断后端服务器的繁忙与否，一如既往得将请求派发下去。

动态调度算法：调度器会去判断后端服务器的繁忙程度，而后依据调度算法动态得派发请求。

6.一、rr：轮询（round robin）

这种算法是最简单的，就是按依次循环的方式将请求调度到不一样的服务器上，该算法最大的特色就是简单。轮询算法假设全部的服务器处理请求的能力都是同样的，调度器会将全部的请求平均分配给每一个真实服务器，无论后端 RS 配置和处理能力，很是均衡地分发下去。这个调度的缺点是，无论后端服务器的繁忙程度是怎样的，调度器都会讲请求依次发下去。若是A服务器上的请求很快请求完了，而B服务器的请求一直持续着，将会致使B服务器一直很忙，而A很闲，这样便没起到均衡的左右。

6.二、wrr：加权轮询（weight round robin）

这种算法比 rr 的算法多了一个权重的概念，能够给 RS 设置权重，权重越高，那么分发的请求数越多，权重的取值范围 0 – 100。主要是对rr算法的一种优化和补充， LVS 会考虑每台服务器的性能，并给每台服务器添加要给权值，若是服务器A的权值为1，服务器B的权值为2，则调度到服务器B的请求会是服务器A的2倍。权值越高的服务器，处理的请求越多。

6.三、dh：目标地址散列调度算法 （destination hash）

简单的说，即将同一类型的请求分配给同一个后端服务器，例如将以 .jgp、.png等结尾的请求转发到同一个节点。这种算法其实不是为了真正意义的负载均衡，而是为了资源的分类管理。这种调度算法主要应用在使用了缓存节点的系统中，提升缓存的命中率。

6.四、sh：源地址散列调度算法（source hash）

即未来自同一个ip的请求发给后端的同一个服务器，若是后端服务器工做正常没有超负荷的话。这能够解决session共享的问题，可是这里有个问题，不少企业、社区、学校都是共用的一个IP，这将致使请求分配的不均衡。

6.五、lc：最少链接数（least-connection）

这个算法会根据后端 RS 的链接数来决定把请求分发给谁，好比 RS1 链接数比 RS2 链接数少，那么请求就优先发给 RS1。这里问题是没法作到会话保持，即session共享。

6.六、wlc：加权最少链接数（weight least-connection）

这个比最少链接数多了一个加权的概念，即在最少链接数的基础上加一个权重值，当链接数相近，权重值越大，越优先被分派请求。

6.七、lblc：基于局部性的最少链接调度算法（locality-based least-connection）

未来自同一目的地址的请求分配给同一台RS若是这台服务器还没有满负荷，不然分配给链接数最小的RS，并以它为下一次分配的首先考虑。

6.八、lblcr：基于地址的带重复最小链接数调度 (Locality-Based Least-Connection with Replication)

这个用得少，能够略过。

7、LVS部署

---

 

7.一、ipvsadm命令详解

ipvsadm是ipvs的管理器，须要yum安装。

基本用法：

ipvsadm COMMAND [protocol] service-address [scheduling-method] [persistence options]

ipvsadm COMMAND [protocol] service-address server-address [packet-forwarding-method] [weight options]

第一条命令用于向LVS系统中添加一个用于负载均衡的virtual server（VS）；第二条命令用来修改已经存在的VS的配置，service address用来指定涉及的虚拟服务即虚拟地址，server-address指定涉及的真实地址。

 

命令参数：

-A, --add-service：     为ipvs虚拟服务器添加一个虚拟服务，即添加一个须要被负载均衡的虚拟地址。虚拟地址须要是ip地址，端口号，协议的形式。

-E, --edit-service：     修改一个虚拟服务。

-D, --delete-service： 删除一个虚拟服务。

-C, --clear：               清除全部虚拟服务。

-R, --restore：            从标准输入获取ipvsadm命令。通常结合下边的-S使用。

-S, --save：                从标准输出输出虚拟服务器的规则。能够将虚拟服务器的规则保存，在之后经过-R直接读入，以实现自动化配置。

-a, --add-server：      为虚拟服务添加一个real server（RS）

-e, --edit-server：      修改RS

-d, --delete-server：  删除

-L, -l, --list：              列出虚拟服务表中的全部虚拟服务。能够指定地址。添加-c显示链接表。

-Z, --zero：               将全部数据相关的记录清零。这些记录通常用于调度策略。

--set tcp tcpfin udp：修改协议的超时时间。

--start-daemon state：设置虚拟服务器的备服务器，用来实现主备服务器冗余。（注：该功能只支持ipv4）

--stop-daemon：      中止备服务器。

-h, --help：               帮助。

 

参数：如下参数能够接在上边的命令后边。

-t, --tcp-service service-address： 

指定虚拟服务为tcp服务。service-address要是host[:port]的形式。端口是0表示任意端口。若是须要将端口设置为0，还须要加上-p选项（持久链接）。

-u, --udp-service service-address：

使用udp服务，其余同上。

-f, --fwmark-service integer：         

用firewall mark取代虚拟地址来指定要被负载均衡的数据包，能够经过这个命令实现把不一样址、端口的虚拟地址整合成一个虚拟服务，可让虚拟服务器同时截获处理去往多个不一样地址的数据包。fwmark能够经过iptables命令指定。若是用在ipv6须要加上-6。

-s, --scheduler scheduling-method：

指定调度算法。调度算法能够指定如下8种：rr（轮询），wrr（权重），lc（最后链接），wlc（权重），lblc（本地最后链接），lblcr（带复制的本地最后链接），dh（目的地址哈希），sh（源地址哈希），sed（最小指望延迟），nq（永不排队）

-p, --persistent [timeout]：             

设置持久链接，这个模式可使来自客户的多个请求被送到同一个真实服务器，一般用于ftp或者ssl中。

-M, --netmask netmask：               

指定客户地址的子网掩码。用于将同属一个子网的客户的请求转发到相同服务器。

-r, --real-server server-address：  

为虚拟服务指定数据能够转发到的真实服务器的地址。能够添加端口号。若是没有指定端口号，则等效于使用虚拟地址的端口号。

[packet-forwarding-method]：

此选项指定某个真实服务器所使用的数据转发模式。须要对每一个真实服务器分别指定模式。

-g, --gatewaying：              使用网关（即直接路由），此模式是默认模式。

-i, --ipip：                            使用ipip隧道模式。

-m, --masquerading：         使用NAT模式。

-w, --weight weight:                         

设置权重。权重是0~65535的整数。若是将某个真实服务器的权重设置为0，那么它不会收到新的链接，可是已有链接还会继续维持（这点和直接把某个真实服务器删除时不一样的）。

-x, --u-threshold uthreshold：        

设置一个服务器能够维持的链接上限。0~65535。设置为0表示没有上限。

-y, --l-threshold lthreshold：           

设置一个服务器的链接下限。当服务器的链接数低于此值的时候服务器才能够从新接收链接。若是此值未设置，则当服务器的链接数连续三次低于uthreshold时服务器才能够接收到新的链接。（PS：笔者觉得此设定多是为了防止服务器在可否接收链接这两个状态上频繁变换）

--mcast-interface interface：         

指定使用备服务器时候的广播接口。

--syncid syncid：                           

指定syncid，一样用于主备服务器的同步。

如下选项用于list命令：

-c, --connection：                           

列出当前的IPVS链接。

--timeout：                                     

列出超时

--daemon：

--stats：                                         

状态信息

--rate：                                           

传输速率

--thresholds：                               

列出阈值

--persistent-conn：                       

坚持链接

--sor：                                           

把列表排序。

--nosort：                                     

不排序

-n, --numeric：                             

不对ip地址进行dns查询

--exact：                                       

单位

-6：                                               

若是fwmark用的是ipv6地址须要指定此选项。     

其余注意事项：

1.  若是使用IPv6地址，须要在地址两端加上“[]”。例如：ipvsadm -A -t [2001:db8::80]:80 -s rr
2.  能够经过设置如下虚拟文件的值来防护DoS攻击：/proc/sys/net/ipv4/vs/drop_entry /proc/sys/net/ipv4/vs/drop_packet /proc/sys/net/ipv4/vs/secure_tcp
3. 对于某一目的地址，对应有一个RS子集。对此地址的请求，为它分配子集中链接数最小的RS；若是子集中全部的服务器均已满负荷，则从集群中选择一个链接数较小的服务器，将它加入到此子集并分配链接；若必定时间内，这个子集未被作任何修改，则将子集中负载最大的节点从子集删除。

7.二、NAT模式测试

1）测试环境：

Director：         centos 6.8      VIP：192.168.1.111

                                                DIP：192.168.229.133

RealServer1： centos6.8        RIP：192.168.229.132

RealServer2： centos6.8        RIP：192.168.229.134

2）Director配置

安装ipvsadm：

[root@ShiYanLou LVS]# yum install ipvsadm –y

编辑脚本：/LVS/install.sh

#director设置 nat 防火墙
iptables -t nat -F

#!/bin/bash
VIP=192.168.1.111
DIP=192.168.229.133
RIP1=192.168.229.132
RIP2=192.168.229.134
# director服务器上开启路由转发功能:
echo 1 > /proc/sys/net/ipv4/ip_forward
# 关闭 icmp 的重定向
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth1/send_redirects
# director设置 ipvsadm
IPVSADM='/sbin/ipvsadm'
$IPVSADM -C
$IPVSADM -A -t $VIP:80 -s rr
$IPVSADM -a -t $VIP:80 -r $RIP1:80 -m
$IPVSADM -a -t $VIP:80 -r $RIP2:80 -m

3）RealServer配置

1. 配置RealServer1和RealServer2的网关为DIP。如：
   vi /etc/sysconfig/network-scripts/ifcfg-eth0
   DEVICE=eth0
   HWADDR=00:0C:29:46:3B:8C
   TYPE=Ethernet
   UUID=e2fa0e51-7240-4ef9-8572-bf82ef8bb6a8
   ONBOOT=yes
   NM_CONTROLLED=yes
   BOOTPROTO=static
   IPADDR=192.168.229.132
   NETMASK=255.255.255.0
   GATEWAY=192.168.229.133                #配置网关为DIP
2. 安装httpd

   yum –y install httpd
   标记网页：
   RealServer1：echo ”I am RealServer1 192.168.229.132”>/var/www/html/index.html
   RealServer2：echo “I am RealServer2 192.168.229.134”>/var/www/html/index.html

4）验证

屡次访问http://192.168.1.111

会轮询获得“I am RealServer1 192.168.229.132”“I am RealServer2 192.168.229.134”

注意：关闭Director的防火墙iptables，否则访问不成功。

7.三、DR模式测试

1）测试环境

Director：        centos 6.8        VIP：eth0:0：192.168.229.111

                                                 DIP：eth0：192.168.229.133

RealServer1： centos6.8        RIP：eth0：192.168.229.132

                                                 VIP：lo:0：192.168.229.111

RealServer2： centos6.8        RIP：eth0：192.168.229.134

                                                 VIP：lo:0：192.168.229.111

2）Director配置

脚本以下：

#! /bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
ipv=/sbin/ipvsadm
vip=192.168.229.111
rs1=192.168.229.132
rs2=192.168.229.134
ifconfig eth0:0 down
ifconfig eth0:0 $vip broadcast $vip netmask 255.255.255.0 up
route add -host $vip dev eth0:0
$ipv -C
$ipv -A -t $vip:80 -s rr
$ipv -a -t $vip:80 -r $rs1:80 -g
$ipv -a -t $vip:80 -r $rs2:80 –g

3）RealServer配置

脚本以下：

#!/bin/bash
vip=192.168.229.111
ifconfig lo:0 $vip broadcast $vip netmask 255.255.255.255 up
route add -host $vip lo:0
echo "1" >/proc/sys/net/ipv4/conf/lo/arp_ignore
echo "2" >/proc/sys/net/ipv4/conf/lo/arp_announce
echo "1" >/proc/sys/net/ipv4/conf/all/arp_ignore
echo "2" >/proc/sys/net/ipv4/conf/all/arp_announce

4）验证

屡次访问http://192.168.1.111

会轮询获得“I am RealServer1 192.168.229.132”  “I am RealServer2 192.168.229.134”

注意：关闭Director的防火墙iptables，否则访问不成功。

7.四、Tun模式测试

1）测试环境

Director：        centos 6.8        VIP：eth0:0：192.168.299.111

                                                 DIP：eth0：192.168.229.133

RealServer1： centos6.8        RIP：eth0：192.168.229.132

                                                 VIP：tunl0：192.168.229.111

RealServer2： centos6.8        RIP：eth0：192.168.229.134

                                                 VIP：tunl0：192.168.229.111

2）Director配置

脚本以下：

#! /bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
ipv=/sbin/ipvsadm
vip=192.168.229.111
rs1=192.168.229.132
rs2=192.168.229.134
ifconfig eth0:0 down
ifconfig eth0:0 $vip broadcast $vip netmask 255.255.255.0 up
route add -host $vip dev eth0:0
iptables -t nat -F
setenforce 0
$ipv -C
$ipv -A -t $vip:80 -s rr
$ipv -a -t $vip:80 -r $rs1:80 -i
$ipv -a -t $vip:80 -r $rs2:80 -i

3）RealServer配置

a、加载ipip模块

[root@ulife3test LVS]# modprobe ipip

b、配置VIP：

[root@ulife3test LVS]# cd /etc/sysconfig/network-scripts/
[root@ulife3test network-scripts]# cp ifcfg-lo ifcfg-tunl0
[root@ulife3test network-scripts]# vi ifcfg-tunl0
DEVICE=tunl0
IPADDR=192.168.229.111
NETMASK=255.255.255.0
ONBOOT=yes
NAME=tunl0
[root@ulife3test network-scripts]# service network restart

c、关闭arp转发：

[root@ulife3test network-scripts]# echo '0'>/proc/sys/net/ipv4/ip_forward
[root@ulife3test network-scripts]# vi /etc/sysctl.conf                #加入如下行
net.ipv4.conf.tunl0.arp_ignore = 1
net.ipv4.conf.tunl0.arp_announce = 2
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.all.arp_announce = 2
net.ipv4.conf.tunl0.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0
[root@ulife3test network-scripts]# sysctl -p                           #永久生效
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.tunl0.arp_ignore = 1
net.ipv4.conf.tunl0.arp_announce = 2
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.all.arp_announce = 2
net.ipv4.conf.tunl0.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0

d、关闭selinux

setenforce 0或者修改/etc/selinux/config 配置文件中SELINUX=disabled而后重启系统。

4）验证

屡次访问http://192.168.1.111

会轮询获得“I am RealServer1 192.168.229.132”“I am RealServer2 192.168.229.134”

注意：关闭Director的防火墙iptables，否则访问不成功。