一步步带你学习负载均衡器准备工作09之多端口服务
3.4 多端口服务和负载均衡器
当创建多端口的负载均衡器服务时,LVS路由器在任何类型的均衡器拓扑都需要额外的配置操作。通过使用firewall标记去捆绑不同但是协议相关的服务进行假性多端口服务的创建,如HTTP(端口80)和HTTPS(端口443)的创建,或者负载均衡器使用的是真实的多端口服务的创建,如FTP。两种情况下,LVS路由器使用防火墙标记进行识别包的目标端口,但是防火墙标记相同,则应当被同样对待。同样的,当和持久性关联时,防火墙标记确保客户端机器路由能连接到同一台服务器,只要连接发生在指定的永久性时间内。
尽管这个机制用来平衡负载到真实服务器,IPVS,能识别数据包的防火墙标记,它却不能指定防火墙标记。这个指定防火墙标记的工作必须由网络包过滤器,iptables去做。在rhel7默认的防火墙管理工具为firewalld,能够用来配置iptables。如果愿意,iptables可以被直接配置。
3.4.1 使用firewalld指配防火墙标记
给访问特定的端口数据包指配防护墙标记,管理员可以使用firewalld的firewall-cmd工具
确认firewalld是运行的:#systemctl status firewalld
启动firewalld,执行:#systemctl start firewalld
确保firewalld在开机启动:#systecmctl enable firewalld
该部分阐述了如何捆绑HTTP和HTTPS作为例子,然而,FTP是另外一个普遍集群使用多端口协议。
当使用防火墙标记的一个基本的原则是keepalived中每个使用防火墙标记的协议需要一个相应的防火墙规则去分配防护墙标记给网络数据包。
在创建网络包过滤规则前,确定没有其他规则存在。打开shell,登录root帐号输入如下命令:#firewall-cmd --list-rich-rules
如果没有规则,界面会里面回到命令显示界面。
如果firewalld启用并且有许多的规则,则会显示一套规则。
如果已经存在的规则是重要的,在操作之前检查/etc/firewalld/zones/里面的内容并复制到任何安全的地方保存。使用如下的命令格式删除一个不想要的规则:firewall-cmd --zone=zone --remove-rich="rule" --permanent
--permanent选项使得设置永久生效,但是命令只有在下次系统启动的时候才会生效。如果需要让设置马上生效,重复命令并忽略--permannet选项。
第一个负载均衡器相关的防火墙规则是配置允许VRRP流量使得keepalived服务能够正常运行。输入如下的命令:#firewall-cmd --add-rich-rule="rule protocol value="vrrp" accept" --permanent
如果zone是忽略的使用默认的zone。
以下规则指配同样的标记,80,使得进来的流量访问目标浮动IP地址n.n.n.n的端口80和443.#firewall-cmd --add-rich-rule="rule family="ipv4" destination address="n.n.n.n/32" port port="80" protocol="tcp" mark set="80"" --permanent #firewall-cmd --add-rich-rule="rule family="ipv4" destination address="n.n.n.n/32" port port="443" protocol="tcp" mark set="80"" --permanent #firewall-cmd --reload success #firewall-cmc --list-rich-rules rule protocol value="vrrp" accept rule family="ipv4" destination address="n.n.n.n/32" port port="80" protocol="tcp" mark set=80 rule family="ipv4" destination address="n.n.n.n/32" port port="443" protocol="tcp" mark set=80
如果zone被忽略,则使用默认zone。
3.4.2 使用iptables指定防火墙标记
为了给访问特地的端口数据包设置防火墙标记,管理员也可以使用iptables。
这个部分阐述了如何捆绑HTTP和HTTPS作为一个例子;FTP是另外一个常见的集群多端口协议。
使用防火墙标记需要记住的基本规则是在keepalived中使用防火墙标记的每一个协议必须有一个相应的防火墙规则给网络包指配掩码。
在创建网络包过滤规则前,确认无其他的规则。步骤如下,打开一个shell界面,登录root帐号并执行如下的命令:/usr/sbin/service iptables status
如果iptables没有运行,界面会立刻重新回到显示界面。
如果iptables已经启用,它会显示一套规则。如果显示了规则,输入如下命令:/sbin/service iptables stop
如果已经存在的规则是重要的,检查/etc/sysconfig/iptables的内容并复制到任何安全的地方进行保存。
第一个负载均衡器相关的配置防火墙规则的是允许VRRP流量以便keepalived能正常工作。/usr/sbin/iptables -I INPUT -p vrrp -j ACCEPT
以下的规则指配了同样的防火墙标记,80,让进来的流量访问浮动IP地址,n.n.n.n的端口80和443./usr/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 -m multiport --dports 80,443 -j MARK --set-mark 80
注意在你能设置规则之前,你需要第一时间以root登录并加载iptables模块。
在以上iptables命令中,n.n.n.n应当使用你的HTTP和HTTPS虚拟服务器的浮动IP地址进行替换。这些命令对网络有影响,任何指配到VIP地址的防火墙标记80端口上流量,反过来被IPVS识别并且被恰当地转发。
张琳梓出席第70届世界小姐大赛澳门总决赛2021年10月22日,由新丝路产业集团唯咖国际冠军联合总会主办,深圳三舍文化传媒新丝路模特管理有限公司承办,横琴梧桐树大厦华侨城锦绣中华协办的第70届世界小姐澳门总决赛在深圳锦绣
特斯拉赛博卡测试侧镜,四轮转向很难相信自从特斯拉赛博卡车,埃隆?马斯克曾乘雪橇前往隐形战斗机原型的不锈钢机身。用金属球砸窗户。一些人认为它将于2021年发行。直到2022年。嗯,时间过得很快,很快就不会有一辆网
新玛莎拉蒂GrecaleSUV推迟到2022年春季现在是2021年,这意味着是的,我们正在谈论另一个供应链问题,导致新的车辆延误。即将到来的玛莎拉蒂GrecaleSUV是最新的受害者,它的首次亮相现在推迟到2022年春季。简单地说
新的本田思域轿车Si明天到达本田今天早些时候在其社交媒体平台上出人意料地宣布了这一消息,并贴出了一张显示全新思域思轿车右后方的照片。这是我们第一次正确地看到真正的汽车,明天我们将看到它的所有荣耀。尽管这只是一
谁在领跑WiFi6专利竞赛?下一代WiFi6技术的技术优势将使连接的场馆和城市连接的汽车连接的工厂和连接的家庭成为可能。然而,WiFi6SEPs的许可正逐渐成为一个问题,特别是在需要在SEP所有者和标准实施者
黑客攻击智能建筑运营技术系统的三个原因ByBetsyConroy毫无疑问,智能建筑包含比商业房地产历史上任何时候都多的连接系统和设备。虽然智能建筑技术可实现高效安全健康和高效的环境,但它们也扩大了网络犯罪的数字攻击面,
未来(停车)就在这里微型激光雷达如何在物联网中应用ByPhilipConstantine,CEOLightWareLiDARLLC。法国科技公司Parkki正在利用激光雷达技术,让你在商店停车变得更容易更快,最终也更智能。关于科技
安卓不再向华为授权,鸿蒙系统100天1亿,华为将迎来新盟友受美国影响之后,安卓也停止向华为提供新系统。不过,华为自研的新系统,已经取得不错的成绩,在100天获得了超1亿的升级人数。不仅如此,华为还将迎来新新盟友。你知道是谁吗?安卓不再向华
你家餐桌上用什么灯?30岁的你要好好选择,老婆喜欢才行这里是灯圈儿,这里只讲LED产品。家装中,作为全屋灯具中的细分品类,餐吊灯慢慢成为了更多装修朋友考虑的产品。同为灯具,显然餐吊灯并没有客厅灯那么惹人眼。在整屋的装修中,全屋灯具就尴
4组数据公布!照明市场到底是好是坏?近日,照明行业最新公布四组数据,分别关乎智能照明市场规模生产情况效益情况及出口情况。照明市场到底是好是坏?可从中窥得一二。值得注意的是,这四组数据均呈增长态势,且增长幅度皆超20。
新零售来袭,月影家居如何做好品牌营销?近年来,随着时代的发展,市场的变迁,月影家居品牌为了能够在这个竞争激烈的市场上占有一席之地而做出改变,现如今月影家居呈现出以下特点品牌定位年轻化,营销方式年轻化,产品年轻化,大力开