一、负载均衡LVS基本介绍
LB集群的架构和原理很简单,就是当用户的请求过来时,会直接分发到Director Server上,然后它把用户的请求根据设置好的调度算法,智能均衡地分发到后端真正服务器(real server)上。为了避免不同机器上用户请求得到的数据不一样,需要用到了共享存储,这样保证所有用户请求的数据是一样的。
LVS是 Linux Virtual Server 的简称,也就是Linux虚拟服务器。这是一个由章文嵩博士发起的一个开源项目,它的官方网站是 http://www.linuxvirtualserver.org 现在 LVS 已经是 Linux 内核标准的一部分。使用 LVS 可以达到的技术目标是:通过 LVS 达到的负载均衡技术和 Linux 操作系统实现一个高性能高可用的 Linux 服务器集群,它具有良好的可靠性、可扩展性和可操作性。从而以低廉的成本实现最优的性能。LVS 是一个实现负载均衡集群的开源软件项目,LVS架构从逻辑上可分为调度层、Server集群层和共享存储。
二、LVS的基本工作原理
1. 当用户向负载均衡调度器(Director Server)发起请求,调度器将请求发往至内核空间
2. PREROUTING链首先会接收到用户请求,判断目标IP确定是本机IP,将数据包发往INPUT链
3. IPVS是工作在INPUT链上的,当用户请求到达INPUT时,IPVS会将用户请求和自己已定义好的集群服务进行比对,如果用户请求的就是定义的集群服务,那么此时IPVS会强行修改数据包里的目标IP地址及端口,并将新的数据包发往POSTROUTING链
4. POSTROUTING链接收数据包后发现目标IP地址刚好是自己的后端服务器,那么此时通过选路,将数据包最终发送给后端的服务器
LVS 由2部分程序组成,包括 ipvs 和 ipvsadm。
-
- ipvs(ip virtual server):一段代码工作在内核空间,叫ipvs,是真正生效实现调度的代码。
-
- ipvsadm:另外一段是工作在用户空间,叫ipvsadm,负责为ipvs内核框架编写规则,定义谁是集群服务,而谁是后端真实的服务器(Real Server)
三、LVS相关术语
术语简写 | 术语含义 |
---|---|
CIP | 客户端的IP地址,client ip |
DIP | 负载均衡器对应的实际IP地址 |
VIP | 需在均衡器提供服务的地址 |
RIP | 提供服务的节点地址 |
LB | 负载均衡服务器 |
RS | 节点服务器,Real Server |
DS | Director Server。指的是前端负载均衡器节点。 |
下边是三种工作模式的原理和特点总结。
3.1、LVS/NAT原理和特点
1. 重点理解NAT方式的实现原理和数据包的改变。
(a). 当用户请求到达Director Server,此时请求的数据报文会先到内核空间的PREROUTING链。 此时报文的源IP为CIP,目标IP为VIP
(b). PREROUTING检查发现数据包的目标IP是本机,将数据包送至INPUT链
(c). IPVS比对数据包请求的服务是否为集群服务,若是,修改数据包的目标IP地址为后端服务器IP,然后将数据包发至POSTROUTING链。 此时报文的源IP为CIP,目标IP为RIP
(d). POSTROUTING链通过选路,将数据包发送给Real Server
(e). Real Server比对发现目标为自己的IP,开始构建响应报文发回给Director Server。 此时报文的源IP为RIP,目标IP为CIP
(f). Director Server在响应客户端前,此时会将源IP地址修改为自己的VIP地址,然后响应给客户端。 此时报文的源IP为VIP,目标IP为CIP
2、LVS-NAT模型的特性
RS应该使用私有地址,RS的网关必须指向DIP
DIP和RIP必须在同一个网段内
请求和响应报文都需要经过Director Server,高负载场景中,Director Server易成为性能瓶颈
支持端口映射
RS可以使用任意操作系统
缺陷:对Director Server压力会比较大,请求和响应都需经过director server
3.2、LVS/DR原理和特点
1. 重将请求报文的目标MAC地址设定为挑选出的RS的MAC地址
(a) 当用户请求到达Director Server,此时请求的数据报文会先到内核空间的PREROUTING链。 此时报文的源IP为CIP,目标IP为VIP
(b) PREROUTING检查发现数据包的目标IP是本机,将数据包送至INPUT链
(c) IPVS比对数据包请求的服务是否为集群服务,若是,将请求报文中的源MAC地址修改为DIP的MAC地址,将目标MAC地址修改RIP的MAC地址,然后将数据包发至POSTROUTING链。 此时的源IP和目的IP均未修改,仅修改了源MAC地址为DIP的MAC地址,目标MAC地址为RIP的MAC地址
(d) 由于DS和RS在同一个网络中,所以是通过二层来传输。POSTROUTING链检查目标MAC地址为RIP的MAC地址,那么此时数据包将会发至Real Server。
(e) RS发现请求报文的MAC地址是自己的MAC地址,就接收此报文。处理完成之后,将响应报文通过lo接口传送给eth0网卡然后向外发出。 此时的源IP地址为VIP,目标IP为CIP
(f) 响应报文最终送达至客户端
2. LVS-DR模型的特性
特点1:保证前端路由将目标地址为VIP报文统统发给Director Server,而不是RS
RS可以使用私有地址;也可以是公网地址,如果使用公网地址,此时可以通过互联网对RIP进行直接访问
RS跟Director Server必须在同一个物理网络中
所有的请求报文经由Director Server,但响应报文必须不能进过Director Server
不支持地址转换,也不支持端口映射
RS可以是大多数常见的操作系统
RS的网关绝不允许指向DIP(因为我们不允许他经过director)
RS上的lo接口配置VIP的IP地址
缺陷:RS和DS必须在同一机房中
3. 特点1的解决方案:
在前端路由器做静态地址路由绑定,将对于VIP的地址仅路由到Director Server
存在问题:用户未必有路由操作权限,因为有可能是运营商提供的,所以这个方法未必实用
arptables:在arp的层次上实现在ARP解析时做防火墙规则,过滤RS响应ARP请求。这是由iptables提供的
修改RS上内核参数(arp_ignore和arp_announce)将RS上的VIP配置在lo接口的别名上,并限制其不能响应对VIP地址解析请求。
3.3、LVS/Tun原理和特点
在原有的IP报文外再次封装多一层IP首部,内部IP首部(源地址为CIP,目标IIP为VIP),外层IP首部(源地址为DIP,目标IP为RIP)
(a) 当用户请求到达Director Server,此时请求的数据报文会先到内核空间的PREROUTING链。 此时报文的源IP为CIP,目标IP为VIP 。
(b) PREROUTING检查发现数据包的目标IP是本机,将数据包送至INPUT链
(c) IPVS比对数据包请求的服务是否为集群服务,若是,在请求报文的首部再次封装一层IP报文,封装源IP为为DIP,目标IP为RIP。然后发至POSTROUTING链。 此时源IP为DIP,目标IP为RIP
(d) POSTROUTING链根据最新封装的IP报文,将数据包发至RS(因为在外层封装多了一层IP首部,所以可以理解为此时通过隧道传输)。 此时源IP为DIP,目标IP为RIP
(e) RS接收到报文后发现是自己的IP地址,就将报文接收下来,拆除掉最外层的IP后,会发现里面还有一层IP首部,而且目标是自己的lo接口VIP,那么此时RS开始处理此请求,处理完成之后,通过lo接口送给eth0网卡,然后向外传递。 此时的源IP地址为VIP,目标IP为CIP
(f) 响应报文最终送达至客户端
LVS-Tun模型特性
RIP、VIP、DIP全是公网地址
RS的网关不会也不可能指向DIP
所有的请求报文经由Director Server,但响应报文必须不能进过Director Server
不支持端口映射
RS的系统必须支持隧道
其实企业中最常用的是 DR 实现方式,而 NAT 配置上比较简单和方便,后边实践中会总结 DR 和 NAT 具体使用配置过程。
四、LVS的八种调度算法
1. 轮叫调度 rr
这种算法是最简单的,就是按依次循环的方式将请求调度到不同的服务器上,该算法最大的特点就是简单。轮询算法假设所有的服务器处理请求的能力都是一样的,调度器会将所有的请求平均分配给每个真实服务器,不管后端 RS 配置和处理能力,非常均衡地分发下去。
2. 加权轮叫 wrr
这种算法比 rr 的算法多了一个权重的概念,可以给 RS 设置权重,权重越高,那么分发的请求数越多,权重的取值范围 0 – 100。主要是对rr算法的一种优化和补充, LVS 会考虑每台服务器的性能,并给每台服务器添加要给权值,如果服务器A的权值为1,服务器B的权值为2,则调度到服务器B的请求会是服务器A的2倍。权值越高的服务器,处理的请求越多。
3. 最少链接 lc
这个算法会根据后端 RS 的连接数来决定把请求分发给谁,比如 RS1 连接数比 RS2 连接数少,那么请求就优先发给 RS1
4. 加权最少链接 wlc
这个算法比 lc 多了一个权重的概念。
5. 基于局部性的最少连接调度算法 lblc
这个算法是请求数据包的目标 IP 地址的一种调度算法,该算法先根据请求的目标 IP 地址寻找最近的该目标 IP 地址所有使用的服务器,如果这台服务器依然可用,并且有能力处理该请求,调度器会尽量选择相同的服务器,否则会继续选择其它可行的服务器
6. 复杂的基于局部性最少的连接算法 lblcr
记录的不是要给目标 IP 与一台服务器之间的连接记录,它会维护一个目标 IP 到一组服务器之间的映射关系,防止单点服务器负载过高。
7. 目标地址散列调度算法 dh
该算法是根据目标 IP 地址通过散列函数将目标 IP 与服务器建立映射关系,出现服务器不可用或负载过高的情况下,发往该目标 IP 的请求会固定发给该服务器。
8. 源地址散列调度算法 sh
与目标地址散列调度算法类似,但它是根据源地址散列算法进行静态分配固定的服务器资源。
五、LVS服务部署
5.1 、环境准备
主机名称规则 | IP地址 | 服务器说明 | 应用 |
---|---|---|---|
lb01 | 10.0.0.51/24 | LVS服务器主机 | ipvsadm 、keepalived |
lb02 | 10.0.0.52/24 | LVS服务器备用机 | ipvsadm 、keepalived |
web01 | 10.0.0.7/24 | Nginx服务器 | Nginx |
web02 | 10.0.0.8/24 | Nginx服务器 | Nginx |
说明:总共需要4台服务器完成本次项目
5.2、LVS+Keepaliver下载
LVS可以通过yum命令安装,或者通过源码编译的方式安装,在此选择yum安装。分别在两台LVS服务器安装LVS服务,安装过程如下
#下载
yum -y install ipvsadm keepalived
#查看版本
ipvsadm -v
#查看内核是否有ip_vs服务运行
lsmod | grep ip_vs
注:如果没有以上三个输出,可以使用命令ipvsadm或者modprobe ip_vs重新加载
5.3、web部署配置
1)在web01和web02服务器安装nginx服务,能正常提供访问;
# 停止 Firewalld 防火墙服务
[root@web01 ~]# systemctl stop firewalld
# 临时禁用 SELinux 安全策略强制执行
[root@web01 ~]# setenforce 0
# 安装Nginx
[root@web01 ~]# yum -y install nginx
# 站点目录和网页准备
[root@web01 ~]# mkdir /code
[root@web01 ~]# vim /code/index.html
then is web01
[root@web01 ~]# vim /etc/nginx/conf.d/test.conf
server {
listen 80;
server_name _;
location / {
root /code;
index index.html index.htm;
}
}
# 使用 Vim 编辑配置文件 /etc/sysconfig/network-scripts/ifcfg-lo:0
[root@web01 ~]# vim /etc/sysconfig/network-scripts/ifcfg-lo:0
DEVICE=lo:0
ONBOOT=yes
IPADDR=10.0.0.3
NETMASK=255.255.255.255
# 重启网络服务,使配置生效
[root@web01 ~]# systemctl restart network
# 启动设备 lo:0
[root@web01 ~]# ifup lo:0
# 显示设备 lo:0 的配置信息
[root@web01 ~]# ifconfig lo:0
# 添加主机路由,将流量发送到 10.0.0.3 通过设备 lo:0
[root@web01 ~]# route add -host 10.0.0.3 dev lo:0
# 使用 Vim 编辑 sysctl 配置文件,添加如下内容
[root@web01 ~]# vim /etc/sysctl.conf
net.ipv4.conf.lo.arp_ignore = 1
net.ipv4.conf.lo.arp_announce = 2
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.all.arp_announce = 2
# 应用 sysctl.conf 文件中的配置,使更改生效
[root@web01 ~]# sysctl -p
#启动nginx
[root@web01 ~]# systemctl enable nginx --now
测试访问
5.4、配置LVS服务
5.4.1、服务端配置
keepalived配置文件准备:
可参考下方模板自行更改,或者可以直接使用下方已更改好的
模板配置
cd /etc/keepalived/
cp keepalived.conf keepalived.conf.bak
vim keepalived.conf
......
global_defs { #定义全局参数
--10行--修改,邮件服务指向本地
smtp_server 127.0.0.1
--12行--修改,指定服务器(路由器)的名称,主备服务器名称须不同,主为LVS_01,备为LVS_02
router_id LVS_01
}
vrrp_instance VI_1 { #定义VRRP热备实例参数
--20行--修改,指定热备状态,主为MASTER,备为BACKUP
state MASTER
--21行--修改,指定承载vip地址的物理接口
interface ens33
--22行--修改,指定虚拟路由器的ID号,每个热备组保持一致
virtual_router_id 10
--23行--修改,指定优先级,数值越大优先级越高,主为100,备为99
priority 100
advert_int 1 #通告间隔秒数(心跳频率)
authentication { #定义认证信息,每个热备组保持一致
auth_type PASS #认证类型
--27行--修改,指定验证密码,主备服务器保持一致
auth_pass abc123
}
virtual_ipaddress { #指定群集vip地址
192.168.229.100
}
}
--36行--修改,指定虚拟服务器地址(VIP)、端口,定义虚拟服务器和Web服务器池参数
virtual_server 192.168.2.67 80 {
delay_loop 6 #健康检查的间隔时间(秒)
lb_algo rr #指定调度算法,轮询(rr)
--39行--修改,指定群集工作模式,直接路由(DR)
lb_kind DR
persistence_timeout 50 #连接保持时间(秒)
protocol TCP #应用服务采用的是 TCP协议
--43行--修改,指定第一个Web节点的地址、端口
real_server 192.168.2.105 80 {
weight 1 #节点的权重
--45行--删除,添加以下健康检查方式
TCP_CHECK {
connect_port 80 #添加检查的目标端口
connect_timeout 3 #添加连接超时(秒)
nb_get_retry 3 #添加重试次数
delay_before_retry 4 #添加重试间隔
}
}
real_server 192.168.2.200 80 { #添加第二个 Web节点的地址、端口
weight 1
TCP_CHECK {
connect_port 80
connect_timeout 3
nb_get_retry 3
delay_before_retry 4
}
}
##删除后面多余的配置##
}
#启动服务
systemctl start keepalived
#查看ip
ip a #查看虚拟网卡vip
以修改好的配置
[root@db01 ~]# cd /etc/keepalived/
[root@db01 keepalived]#cp keepalived.conf keepalived.conf.bak
[root@db01 keepalived]# vim keepalived.conf
#LVS主机
global_defs {
router_id LVS_01
}
vrrp_instance VI_1 {
state MASTER
interface eth0
virtual_router_id 50
priority 150
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
10.0.0.3
}
}
virtual_server 10.0.0.3 80 {
delay_loop 6
lb_algo rr
lb_kind DR
persistence_timeout 50
protocol TCP
real_server 10.0.0.7 80 {
weight 1
TCP_CHECK {
connect_port 80
connect_timeout 3
nb_get_retry 3
delay_before_retry 3
}
}
real_server 10.0.0.8 80 {
weight 1
TCP_CHECK {
connect_port 80
connect_timeout 3
nb_get_retry 3
delay_before_retry 3
}
}
}
#LVS备机
global_defs {
router_id LVS_02
}
vrrp_instance VI_1 {
state MASTER
interface eth0
virtual_router_id 50
priority 120
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
10.0.0.3
}
}
virtual_server 10.0.0.3 80 {
delay_loop 6
lb_algo rr
lb_kind DR
persistence_timeout 50
protocol TCP
real_server 10.0.0.7 80 {
weight 1
TCP_CHECK {
connect_port 80
connect_timeout 3
nb_get_retry 3
delay_before_retry 3
}
}
real_server 10.0.0.8 80 {
weight 1
TCP_CHECK {
connect_port 80
connect_timeout 3
nb_get_retry 3
delay_before_retry 3
}
}
}
#启动服务
[root@db01 keepalived]# systemctl enable keepalived --now
#VIP查看
[root@db01 keepalived]# ip a
5.4.2、配置分发策略
LVS主机执行
# 保存当前 IPVS 配置到 /etc/sysconfig/ipvsadm 文件中
[root@db01 keepalived]# ipvsadm-save > /etc/sysconfig/ipvsadm
# 清空当前的 IPVS 配置
[root@db01 keepalived]# ipvsadm -C
# 添加一个 IPVS 虚拟服务器,监听 10.0.0.3:80 地址,使用轮询(Round Robin)调度算法
[root@db01 keepalived]# ipvsadm -A -t 10.0.0.3:80 -s rr
参数说明:
- -A:--add-service,表示添加一个虚拟服务器
- -t:--tcp-service,指定这是一个tcp的虚拟服务器
- 10.0.0.21:80:表示提供服务的ip地址以及端口号
- -s:--scheduler,指定调度器,“rr|wrr|lc|wlc|lblc|lblcr|dh|sh|sed|nq”选择一种,默认是wlc
# 在虚拟服务器 10.0.0.3:80 上添加一个真实服务器 10.0.0.7:80、10.0.0.8:80,权重为 1,使用组播(Group)
[root@db01 keepalived]# ipvsadm -a -t 10.0.0.3:80 -r 10.0.0.7:80 -g -w 1
[root@db01 keepalived]# ipvsadm -a -t 10.0.0.3:80 -r 10.0.0.8:80 -g -w 1
参数说明:
ipvsadm: 是用于配置 IPVS 负载均衡的命令行工具。
-a: 表示添加一个新的服务条目到 IPVS 配置中。
-t 10.0.0.3:80: 指定虚拟服务器的地址和端口。这里是虚拟服务器的 IP 地址为 10.0.0.3,监听的端口为 80。
-r 10.0.0.7:80: 指定要添加的真实服务器的地址和端口。这里是真实服务器的 IP 地址为 10.0.0.7,服务端口为 80。
-g: 表示使用组播(Group)模式。在这种模式下,多个真实服务器共享同一个 IP 地址和端口,以便负载均衡。
-w 1: 设置真实服务器的权重为 1。权重用于确定流量分发的比例,如果有多个真实服务器,权重越高的服务器将获得更多的流量。
# 显示当前的 IPVS 配置信息
[root@db01 keepalived]# ipvsadm -ln
# 再次保存当前 IPVS 配置到 /etc/sysconfig/ipvsadm 文件中
[root@db01 keepalived]# ipvsadm-save > /etc/sysconfig/ipvsadm
5.4.3、调整内核 proc 响应参数,关闭linux内核的重定向参数响应
LVS主机执行
[root@db01 keepalived]# vim /etc/sysctl.conf
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.eth0.send_redirects = 0
[root@db01 keepalived]# sysctl -p
六、测试验证
浏览器访问:10.0.0.3
要等待一会再刷新,时间可能会稍长