LVS 설정 Iptables 방화벽 및 고장 해결

부하 균형 이라는 단 어 는 모두 가 잘 알 고 있 을 것 이 라 고 믿 습 니 다. 그럼 오늘 다시 한 번 살 펴 보 겠 습 니 다. 흔히 볼 수 있 는 부하 균형 은 하드웨어 가 있 습 니 다. 예 를 들 어 F5, 인터넷 업 체 H3C, Cisco 는 모두 자신의 부하 균형 방안 을 가지 고 있 습 니 다. 그러나 이것들 은 모두 가격 이 만만 하지 않 습 니 다. 그러면 도대체 무료 점심 이 있 습 니까?답 은 없 지만 하하, 우 리 는 장문 숭 박사 가 만 든 개원 부하 균형 LVS 가 있다.
다시 말 하면 LVS + Keepalived 구조 구축 이 끝 난 후에 우리 가 모두 부하 균형, 백 엔 드 Nginx 가 모두 설정 한 외부 네트워크 ip 을 LVS - DR 모델 로 사용 하면 안전 에 대해 고려 해 야 한다. 물론 안전 할 확률 이 매우 크다. 전단 하드웨어 방화벽 의 배치, 기관실 설치 관리, 인원 조작, 서버 시스템 안전 등 을 포함한다.
그러면 우 리 는 오늘 서버 시스템 의 안전 에 대해 토론 합 니 다. 흔히 볼 수 있 는 불필요 한 서비스 와 포트 를 닫 고 iptables 방화벽 을 엽 니 다. 만약 에 LVS 가 대외 적 으로 80 웹 서 비 스 를 제공한다 면 어떻게 설정 해 야 합 니까?운영 체 제 는 CentOS 6.0 x8664 iptables 추가 코드 는 다음 과 같 습 니 다. (주 * 22 포트 를 열 어 자신의 내부 에 접근 하 는 지 확인 하 십시오. iptables 를 다시 시작 하면 SA 가 원 격 으로 로그 인 할 수 없습니다)

   
   
   
   
    
    
    
    #  80           
    
    
    
     
    
    
    
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT   
    
    
    
     
    
    
    
    #LVS DR  ，     LVS-DR VIP ，  DR      ARP   ，  vrrp            
    
    
    
     
    
    
    
    -A   INPUT   -d   224.0.0.0/8   -j   ACCEPT   
    
    
    
     
    
    
    
    -A   INPUT    -p   vrrp   -j   ACCEPT

위 설정 이 완료 되면 iptables 서비스 / etc / init. d / iptables restart 를 다시 시작 하면 됩 니 다.
우리 가 iptables 를 설정 하면 어느 날 사이트 의 방 문 량 이 많 고 일부 고객 들 의 방문 이 매우 느 리 며 심지어 사 이 트 를 방문 할 수 없다 는 것 을 알 게 되 었 습 니 다. 배경 로 그 를 보면 다음 과 같은 정 보 를 볼 수 있 습 니 다.

   
   
   
   
    
    
    
    kernel nf_conntrack: table full, dropping packet   
    
    
    
     
    
    
    
    #          iptables ip_conntrack             。      ： 
    
    
    
     
    
    
    
    cat /etc/sysctl.conf |grep conntrack  
    
    
    
     
    
    
    
    #         ，     /etc/sysctl.conf        ip_conntrack  ：（ *Centos6    ip_conntrack      nf_conntrack） 
    
    
    
     
    
    
    
    net.nf_conntrack_max = 655360  
    
    
    
     
    
    
    
    net.netfilter.nf_conntrack_tcp_timeout_established = 36000  
    
    
    
     
    
    
    
    #    sysctl -p     : 
    
    
    
     
    
    
    
    #    ：error: “net.nf_conntrack_max” is an unknown key    
    
    
    
     
    
    
    
    #     modprobe  ip_conntrack     
    
    
    
     
    
    
    
    modprobe ip_conntrack    
    
    
    
     
    
    
    
    #            
    
    
    
     
    
    
    
    lsmod|grep ip_conntrack

본 고 는 여기까지 썼 습 니 다. 물론 LVS 의 지식 은 매우 깊이 있 습 니 다. 저도 끊 임 없 는 학습 과 정리 에서 여러분 의 즐 거 운 공 유 를 환영 합 니 다!함께 성장!
글 참고 자료:
http://www.myfreelinux.com/?p=743&cpage=2&replytocom=223803
http://home.wonderad.com/?p=65
http://blog.sina.com.cn/s/blog_704836f40100lwy2.html

이 내용에 흥미가 있습니까?

현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:

Linux에서 PBR (Policy Base Routing)

Cisco나 YAMAHA의 라우터라면 필터등을 이용해 정책 베이스 라우팅할 수 있다고 생각합니다. 마찬가지로 리눅스에서도 하고 싶습니다. 정책 베이스 라우팅이란, 통상의 라우팅과 달리, 호스트내에서 완결시키는 라우팅...

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다