LVS+DR部署

LVS-DR的工作原理：

1.客户端会发送请求到vip

2.LVS的调度器接受请求之后，根据算法选择一台真实服务器，请求转发到后端RS，请求的报文的目的MAC地址，修改成后端真实服务器的MAC地址，转发。

3.后端真实服务器处理接受请求，处理完成之后，由于后端服务器直接把响应结果转发给客户端，响应报文中的目的mac地址修改成客户端的MAC地址，直接把响应报文转发到客户端

4.调度器，后端真实服务器都有VIP地址，调度器和后端真实服务器在同一网段。

核心：用MAC地址做转发

DR模式的特点：

1.调度器的IP和真实服务器的IP必须在同一个物理网络中

2.真实服务器的IP地址可以是私有地址，也可以是公网地址。如果配置的公网，则可以通过互联网直接访问。

3.调度器只作为访问入口，但是不做网关（即不对数据进行转发），要把服务器的转发功能关闭

4.后端真实服务器的网关也不能指向调度器，真实服务器的数据包不允许经过调度器。

5.后端真实服务器上，基于LO接口配置VRRP的IP地址

DR模式的调度器和后端服务器都在一个网段中，通过ARP请求实现局域网

VIP：标识后端的真实服务器，保证调度器和后端服务器之间的通信，保证请求可以正确的转发到后端服务器，实现高可用和故障转移

常见问题

问题1：

由于调度器和后端真实服务器都有相同的VIP地址，导致响应冲突，ARP通信紊乱。

对真实服务器进行处理，让他不响应针对VIP的响应请求

VIP地址使用LO的虚拟地址：arp_ignore=1

后端服务器只响应目的IP为本地IP，也就是RIP。后端服务器的真正IP地址。ens33网卡提供的地址。

问题2：

返回报文使用的源地址还是VIP地址，调度器还是VIP，怎么把响应返回到客户端不经过调度器？

后端真实服务器做一个内核参数的优化：arp_announce=2 系统不使用IP数据包的源地址，来设置arp的请求。真实的物理网卡地址。

LVS+DR的负载均衡部署

test1 20.0.0.10 调度器
test2 20.0.0.20 web集群1
test3 20.0.0.30 web集群2
test4 NFS
VIP 20.0.0.100
客户端随机选择
 
关闭防火墙
systemctl stop firewalld
setenforce 0
 
test1
 
modprobe ip_vs
yum -y install ipvsadm
//配置vip地址
ifconfig ens33:0 20.0.0.100/24
//虚拟网卡
 
//调度器的内核优化
vim /etc/sysctl.conf
net.ipv4.ip_forward=0
#关闭服务器作为网关的转发功能
 
net.ipv4.conf.all.send_redirects = 0
#控制是否发送ICMP的重定向消息，禁止重定向
 
net.ipv4.conf.default.send_redirects = 0
#禁止默认网络接口，就是调度器的网卡，发送ICMP的重定向消息
 
net.ipv4.conf.ens33.send_redirects = 0
#指明网卡设备，ens33不发送重定向消息
wq!
sysctl -p
 
ipvsadm -A -t 20.0.0.100:80 -s rr
ipvsadm -a -t 20.0.0.100:80 -r 20.0.0.20:80 -g
ipvsadm -a -t 20.0.0.100:80 -r 20.0.0.30:80 -g
ipvsadm-save > /etc/sysconfig/ipvsadm
systemctl restart ipvsadm.service
ipvsadm -D -t 20.0.0.10:80
ipvsadm -ln
ipvsadm -A -t 20.0.0.100:80 -s rr
ipvsadm -a -t 20.0.0.100:80 -r 20.0.0.20:80 -g
ipvsadm -a -t 20.0.0.100:80 -r 20.0.0.30:80 -g
 
test4
mkdir kgc benet
vim /etc/exports
/opt/kgc 20.0.0.0/24(rw,sync)
/opt/benet 20.0.0.0/24(rw,sync)
wq!
chmod 777 /opt/kgc /opt/benet
systemctl restart rpcbind
systemctl restart nfs
exportfs -rv
 
showmount -e
 
echo "this is kgc" > /
 
test2
yum -y install nginx
systemctl restart nginx
systemctl restart rpcbind
systemctl restart nfs
showmount -e 20.0.0.40
mount 20.0.0.10:/opt/kgc /usr/share/nginx/html
curl 20.0.0.20
cd /etc/ssyconfig/network-script
cp ifcfg-lo ifcfg-lo:0
 
vim ifcfg-lo:0
DEVICE=lo:0
ONBOOT=yes
IPADDR=20.0.0.100
NETMASK=255.255.255.255
ifup lo:0
 
route add -host 20.0.0.100 dev lo:0
//添加一个路由，把vip的地址绑定到lo:0。作为LVS的VIP地址，标识，告诉调度器，进行转发请求的IP地址寻址
 
vim /etc/sysctl.conf
net.ipv4.conf.lo.arp_ignore=1
//设置lo接口忽略任何接口的ARP请求
 
net.ipv4.conf.lo.arp_announce=2
//设置lo接口仅会相应本地的IP地址，其他的接口ARP请求全部忽略
net.ipv4.conf.all.arp_ignore=1
//所有接口忽略来自任务接口的ARP请求
 
net.ipv4.conf.all.arp_announce=2
//所有接口仅会响应本地的IP地址的ARP请求，其他的接口的ARP请求全部忽略
 
test3
yum -y install nginx
mount 20.0.0.40:/opt/benet /usr/share/nginx/html
cd /etc/ssyconfig/network-script
cp ifcfg-lo ifcfg-lo:0
 
vim ifcfg-lo:0
DEVICE=lo:0
ONBOOT=yes
IPADDR=20.0.0.100
NETMASK=255.255.255.255
ifup lo:0
 
vim /etc/sysctl.conf
net.ipv4.conf.lo.arp_ignore=1
//设置lo接口忽略任何接口的ARP请求
 
net.ipv4.conf.lo.arp_announce=2
//设置lo接口仅会相应本地的IP地址，其他的接口ARP请求全部忽略
net.ipv4.conf.all.arp_ignore=1
//所有接口忽略来自任务接口的ARP请求
 
net.ipv4.conf.all.arp_announce=2
//所有接口仅会响应本地的IP地址的ARP请求，其他的接口的ARP请求全部忽略

总结

DR模式核心：相应客户端由后端的真实服务器来完成，不需要经过调度器

VIP作用

vip地址：调度器和后端服务器都要有vip地址

vip地址：暴露访问地址 ， 调度器转发请求的标识 ， 调度器和后端服务器之间的通信 ， 高可用（DR）

其他所有的请求和响应都是禁用

NAT工作原理：

1、 在调度器上配置双网卡，一个指内，一个指外

2、 配置一个可以和公网进行通信的VIP

3、 通过配置转发策略，访问公网的VIP会把请求转发到后台的RS。请求的格式是报文。调度器会修改请求的目标IP地址和端口（12.0.0.1:80 20.0.0.20:80）

4、 RS处理完请求后响应客户端，先到调度器，调度器进行地址转换，把内网地址转换成公网地址。最后响应调度器给用户。 20.0.0.20:80 ---- 调度器 ---- nat地址转换 ----- 12.0.0.1:80 ---- 客户端

客户端进入是改请求报文。出去是地址转换 转发由调度器通过算法来完成，后端服务器只管接受响应。也不需要修改任何配置。
 

DR工作原理：

1、 客户端发送请求到vip

2、 LVS的调度器接受请求后，根据算法选择一台后端的真实服务器，请求转发到后端RS，请求报文的目的MAC地址。修改成后端真实服务器的MAC地址。然后转发。

3、 后端真实服务器接受请求，处理完成之后，由于后端服务器直接把响应结果转发给客户端，响应报文中的目的MAC地址修改。直接把响应报文转发到客户端。

4、 调度器，后端真实服务器都有vip地址，调度的地址和后端真实服务器在同一网段。

客户端进入时请求调度器的VIP地址，通过LVS交换器配置的算法把请求的目的MAC地址，修改为后台的真实服务器的MAC地址。实现转发。后端服务器处理完成后，会修改响应报文中的目的MAC地址，之间转发到客户端。