負(fù)載均衡這個(gè)詞，相信大家都耳熟能詳了，那我們今天再來回顧一下，常見的負(fù)載均衡有硬件的例如F5、網(wǎng)絡(luò)廠商H3C、Cisco都有自己的負(fù)載均衡方案，但是這些都是價(jià)格不菲，那到底有沒有免費(fèi)的午餐呢？答案雖然是沒有，哈哈，但是我們有章文嵩博士創(chuàng)立的開源負(fù)載均衡LVS。

言歸正傳，LVS+Keepalived架構(gòu)搭建完畢后，如果我們都負(fù)載均衡、后端Nginx都配置的外網(wǎng)ip，采用LVS-DR模式的話，安全方面就得考慮了，當(dāng)然安全的概率非常大：包括前端硬件防火墻的配置、機(jī)房設(shè)施管理、人員操作、服務(wù)器系統(tǒng)安全等。

那我們今天來討論服務(wù)器系統(tǒng)的安全，常見的有關(guān)閉不必要的服務(wù)和端口，開啟iptables防火墻，如果LVS對(duì)外提供80 web服務(wù)該如何配置呢？操作系統(tǒng)為CentOS 6.0 x86_64 iptables添加代碼如下：（注*確認(rèn)是否開啟22端口對(duì)自己內(nèi)部訪問，以防重啟iptables后，SA無法遠(yuǎn)程登陸）

#允許80端口對(duì)外提供服務(wù)???

?

-A?INPUT?-m?state?--state?NEW?-m?tcp?-p?tcp?--dport?80?-j?ACCEPT???

?

#LVS?DR模式，當(dāng)用戶請(qǐng)求LVS-DR?VIP時(shí)，只有DR響應(yīng)客戶端的ARP廣播包，允許vrrp虛擬路由器冗余協(xié)議???

?

-A???INPUT???-d???224.0.0.0/8???-j???ACCEPT???

?

-A???INPUT????-p???vrrp???-j???ACCEPT??

? ? 如上設(shè)置完畢，重啟iptables服務(wù) /etc/init.d/iptables restart 即可。

? ? 當(dāng)我們配置好iptables，某一天網(wǎng)站訪問量大，突然發(fā)現(xiàn)部分客戶訪問巨慢無比，甚至無法訪問網(wǎng)站，查看后臺(tái)日志狂刷如下信息：

kernel?nf_conntrack:?table?full,?dropping?packet???

?

#準(zhǔn)確定位該問題是由于iptables?ip_conntrack表爆滿之后丟棄數(shù)據(jù)包的問題。查看系統(tǒng)內(nèi)核：?

?

cat?/etc/sysctl.conf?|grep?conntrack??

?

#沒有查找到相關(guān)配置，于是決定在/etc/sysctl.conf增加如下兩行設(shè)置ip_conntrack表值：（注*Centos6以上內(nèi)核ip_conntrack參數(shù)已經(jīng)改成nf_conntrack）?

?

net.nf_conntrack_max?=?655360??

?

net.netfilter.nf_conntrack_tcp_timeout_established?=?36000??

?

#然后執(zhí)行sysctl?-p?使其生效:?

?

#如果報(bào)錯(cuò)：error:?“net.nf_conntrack_max”?is?an?unknown?key????

?

#則需要使用modprobe載入ip_conntrack模塊???

?

modprobe?ip_conntrack????

?

#查看模塊是否已載入???

?

lsmod|grep?ip_conntrack??

本文就寫到這里了，當(dāng)然LVS的知識(shí)還非常的深入，我也是在不斷的學(xué)習(xí)和總結(jié)中，歡迎大家快樂分享！一起成長(zhǎng)！

文章參考資料：

http://www.myfreelinux.com/?p=743&cpage=2&replytocom=223803

http://home.wonderad.com/?p=65

http://blog.sina.com.cn/s/blog_704836f40100lwy2.html

總結(jié)

以上是生活随笔為你收集整理的LVS 配置Iptables防火墙及故障解决的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。