一步步带你学习负载均衡器准备工作09之多端口服务

　　3.4 多端口服务和负载均衡器
　　当创建多端口的负载均衡器服务时，LVS路由器在任何类型的均衡器拓扑都需要额外的配置操作。通过使用firewall标记去捆绑不同但是协议相关的服务进行假性多端口服务的创建，如HTTP(端口80)和HTTPS（端口443）的创建，或者负载均衡器使用的是真实的多端口服务的创建，如FTP。两种情况下，LVS路由器使用防火墙标记进行识别包的目标端口，但是防火墙标记相同，则应当被同样对待。同样的，当和持久性关联时，防火墙标记确保客户端机器路由能连接到同一台服务器，只要连接发生在指定的永久性时间内。
　　尽管这个机制用来平衡负载到真实服务器，IPVS，能识别数据包的防火墙标记，它却不能指定防火墙标记。这个指定防火墙标记的工作必须由网络包过滤器，iptables去做。在rhel7默认的防火墙管理工具为firewalld，能够用来配置iptables。如果愿意，iptables可以被直接配置。
　　3.4.1 使用firewalld指配防火墙标记
　　给访问特定的端口数据包指配防护墙标记，管理员可以使用firewalld的firewall-cmd工具
　　确认firewalld是运行的：#systemctl status firewalld
　　启动firewalld，执行：#systemctl start firewalld
　　确保firewalld在开机启动：#systecmctl enable firewalld
　　该部分阐述了如何捆绑HTTP和HTTPS作为例子，然而，FTP是另外一个普遍集群使用多端口协议。
　　当使用防火墙标记的一个基本的原则是keepalived中每个使用防火墙标记的协议需要一个相应的防火墙规则去分配防护墙标记给网络数据包。
　　在创建网络包过滤规则前，确定没有其他规则存在。打开shell，登录root帐号输入如下命令：#firewall-cmd --list-rich-rules
　　如果没有规则，界面会里面回到命令显示界面。
　　如果firewalld启用并且有许多的规则，则会显示一套规则。
　　如果已经存在的规则是重要的，在操作之前检查/etc/firewalld/zones/里面的内容并复制到任何安全的地方保存。使用如下的命令格式删除一个不想要的规则：firewall-cmd --zone=zone --remove-rich=＂rule＂ --permanent
　　--permanent选项使得设置永久生效，但是命令只有在下次系统启动的时候才会生效。如果需要让设置马上生效，重复命令并忽略--permannet选项。
　　第一个负载均衡器相关的防火墙规则是配置允许VRRP流量使得keepalived服务能够正常运行。输入如下的命令：#firewall-cmd --add-rich-rule=＂rule protocol value=＂vrrp＂ accept＂ --permanent
　　如果zone是忽略的使用默认的zone。
　　以下规则指配同样的标记，80，使得进来的流量访问目标浮动IP地址n.n.n.n的端口80和443.#firewall-cmd --add-rich-rule=＂rule family=＂ipv4＂ destination address=＂n.n.n.n/32＂ port port=＂80＂ protocol=＂tcp＂ mark set=＂80＂＂ --permanent #firewall-cmd --add-rich-rule=＂rule family=＂ipv4＂ destination address=＂n.n.n.n/32＂ port port=＂443＂ protocol=＂tcp＂ mark set=＂80＂＂ --permanent #firewall-cmd --reload success #firewall-cmc --list-rich-rules rule protocol value=＂vrrp＂ accept rule family=＂ipv4＂ destination address=＂n.n.n.n/32＂ port port=＂80＂ protocol=＂tcp＂ mark set=80 rule family=＂ipv4＂ destination address=＂n.n.n.n/32＂ port port=＂443＂ protocol=＂tcp＂ mark set=80
　　如果zone被忽略，则使用默认zone。
　　3.4.2 使用iptables指定防火墙标记
　　为了给访问特地的端口数据包设置防火墙标记，管理员也可以使用iptables。
　　这个部分阐述了如何捆绑HTTP和HTTPS作为一个例子；FTP是另外一个常见的集群多端口协议。
　　使用防火墙标记需要记住的基本规则是在keepalived中使用防火墙标记的每一个协议必须有一个相应的防火墙规则给网络包指配掩码。
　　在创建网络包过滤规则前，确认无其他的规则。步骤如下，打开一个shell界面，登录root帐号并执行如下的命令：/usr/sbin/service iptables status
　　如果iptables没有运行，界面会立刻重新回到显示界面。
　　如果iptables已经启用，它会显示一套规则。如果显示了规则，输入如下命令：/sbin/service iptables stop
　　如果已经存在的规则是重要的，检查/etc/sysconfig/iptables的内容并复制到任何安全的地方进行保存。
　　第一个负载均衡器相关的配置防火墙规则的是允许VRRP流量以便keepalived能正常工作。/usr/sbin/iptables -I INPUT -p vrrp -j ACCEPT
　　以下的规则指配了同样的防火墙标记，80，让进来的流量访问浮动IP地址,n.n.n.n的端口80和443./usr/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 -m multiport --dports 80,443 -j MARK --set-mark 80
　　注意在你能设置规则之前，你需要第一时间以root登录并加载iptables模块。
　　在以上iptables命令中，n.n.n.n应当使用你的HTTP和HTTPS虚拟服务器的浮动IP地址进行替换。这些命令对网络有影响，任何指配到VIP地址的防火墙标记80端口上流量，反过来被IPVS识别并且被恰当地转发。