LAMP+LVS+KEEPALIVED（三）

cxs7225032

　　

LAMP+LVS+KEEPALIVED（三）

(6)访问控制
　　#Order参数决定优先，放在后面的比前面的优先
　　#拒绝192.168.137.102访问，其他允许，ip也可以是网段、主机或者域名
　　Order Allow,Deny
　　Allow From all
　　Deny From 192.168.137.102
　　

　　#拒绝所有，但允许以.winford.local为后缀客户端访问
　　Order Deny,Allow
　　Deny From all
　　Allow From .winford.local
　　

　　#修改httpd.conf

　　#即使使用user1通过认证，但是客户端ip为192.168.137

　　#其他ip则可以访问

5、安全的apache

(1)apache+ssl
　　#安装openssl mod_ssl
　　yum -y install openssl mod_ssl
　　

　　#生成1024位rsa密钥server.key
　　openssl genrsa -des3 -out server.key 1024
　　

　　#生成server.csr文件
　　openssl req -new -key server.key -out server.csr
　　

　　#生成server.crt证书文件
　　openssl req -new -x509 -days 3650 -key server.key -out server.crt
　　

　　#在httpd.conf添加

　　#基于192.168.137.45:443端口

　　#证书和访问效果

6、LAMP+LVS+Keepalived集群

(1)拓扑架构
　　#需要说明的是，我将IP改了，不再使用192.168.137.0/24
　　#改为192.168.10.0/24网段的，6台都是虚拟机，包括一台DNS
　　#全部放在xenserver上面

　　#简略网络拓扑

(2)LVS原理（择自网络）
　　VS/NAT:
　　即virutal server via network address,网络地址转换实现虚拟服务器。当客户端请求到达负载调度器时，调度器将请求报文的目的地址改写成选定的realserver地址，同时将报文目标端口也改写成realserver相应端口,然后将报文请求发送到realserver。realserver处理客户端报文请求，将数据返回给客户端时，会再次经过调度器，调度器将报文源地址和端口改写成虚拟IP和相应端口，然后将数据发送给客户端。NAT方式需要经过两次地址转换，vip（公网地址）-->realserver_ip（私网ip）和realserver-->vip。做NAT是非常耗资源的，一般整个集群系统瓶颈会出现在负载调度器上面。
　　优点：集群系统物理服务器可以使用任何支持TCP/IP操作系统，只有负载调度器需要一个合法IP（公网IP），realserver可以是windows，也可以是linux和bsd.
　　缺点：扩展性有限。因为所有流量都需要经过负载调度器，所以随着realserver节点和客户端请求增加，负载调度器会出现无法处理过来甚至down机情况。
　　VS/TUN:
　　virtual server via ip tunneling，IP隧道技术实现虚拟服务器。这种方式的连接调度和管理与NAT一样，不同之处在于报文转发不同。客户端报文请求到达负载调度器，负载调度器使用IP隧道技术进行封装，然后转发到realserver，realserver对数据进行解封装，直接将请求数据发送到客户端。整个过程无需IP转换，只需要IP封装和解封装。
　　优点：扩展性非常强。集群系统物理服务器可以使用任何支持TCP/IP操作系统。负载高度器只需要对客户端请求进行封装转发，realserver直接回应客户端，回应数据不需要再次经过负载调度器，所以瓶颈不会出现在负载调度器，另外realserver不要求同处一个LAN，开销小性能强。
　　缺点：所有系统必需支持IP隧道协议，负载调度器和realserver节点需要有合法IP（公网IP）
　　VS/DR:
　　virtual server via direct routing,直接路由技术实现虚拟服务器。连接调度和管理方式也前两种相同，只是报文转发不同。VS/DR模式负载调度器只改写请求报文MAC地址，将MAC改写成realserver的MAC地址，然后转发给选定的realserver，realserver直接回应客户端，免去IP隧道开销，瓶颈同样不会出现在负载调度器。
　　优点：扩展性强。集群系统物理服务器可以使用任何支持TCP/IP操作系统，包括windows、linux和bsd等。瓶颈不会出现在负载调度器，开销最小性能最强。
　　缺点：负载调度器和realserver必需同处一个LAN，负载调度器和realserver节点需要有合法IP（公网IP）。
　　性能：VS/DR>VS/TUN>VS/NAT
　　扩展：VS/DR>=VS/TUN>VS/NAT

(3)负载调度算法（常用，择自网络）
　　轮叫调度（Round Robin):
　　负载调度器通过"轮叫"算法将报文请求按顺序1：1地址分配到每个realserver，平等对待每个realserver，不管理realserver实际负载状况和连接状态。
　　加权轮叫调度（Weighted Round Robin):
　　通过设置权值高低来调度报文请求，对realserver不同的权值，性能好的设置较高权值，性能差的设置较低权值，这样保证性能好的realserver处理更多的报文请求，较弱的处理少一点报文请求，合理地利用的服务器资源。负载调度器还可以自动查询realserver负载情况，并动态地调整其权值。
　　最少连接调度（Least Connections)：
　　最少连接调度算法动态地将报文请求调度到已建立的连接最少的realserver上，如果realserver性能相近，调度算法可以较好地实现均衡负载。
　　加权最少连接调度(Weighted Least Connections)：
　　使用权值表来表示realserver处理能力，性能强的可以调协较高权值，性能北的可以较低权值，权值默认值为1。加权最少连接调度在分配新连接请求时尽可能使用realserver节点的已建立连接数与其权值成正比。
　　

　　不常用的负载调度算法：
　　基于局部性最少连接调度（Locality-Based Least Connections）、带复制的基于局部性最少连接调度（Locality-Based Least Connections with-apr Replication）、目标地址散列（Destination Hashing）、源地址散列（Source Hashing）

(4)源码安装ipvsadm-1.26
　　#查看加载ip_vs
　　lsmod | grep ip_vs
　　

　　#如果没有ip_vs相关显示，则将ip_vs加载到内核
　　modprobe ip_vs
　　

　　#安装内核并建立软链接
　　yum -y install kernel-devel
　　ln -sv /usr/src/kernels/2.6.32-504.16.2.el6.x86_64/ /usr/src/linux/
　　

　　#安装相关依赖包
　　yum -y install libnl* popt-static
　　

　　#安装ipvsadm，默认安装到/sbin/ipvsadm
　　make && make install
　　

　　#ipvsadm常用参数
　　-A：添加一个集群服务
　　-s：调度方法，默认是wlc
　　-p timeout：持久连接
　　-E：修改定义过的集群服务
　　-D：删除指定的集群服务
　　-r：指定rs
　　-w：指定权重
　　-e：修改指定的rs属性
　　-C:清空所有的集群服务
　　

　　#ipvsadm-save或ipvsadm -S保存规则
　　#ipvsadm-restore或ipvsadm -R载入指定的规则
　　-L  【optios】
　　-n：数字格式显示ip地址
　　-c：显示连接数相关信息
　　--stats：显示统计数据
　　--rate：速率
　　--exact：显示统计数据的精确值
　　-Z：计数器清零

(5)Keepalived源码安装
　　#OpenSSL is not properly installed on your system.
　　#先安装openssl和openssl-devel，再安装keepalived
　　#指定安装到/usr/local/keepalived
　　yum -y install openssl openssl-devel
　　./configure --sysconfdir=/etc --with-kernel-dir=/usr/src/kernels/2.6.32-504.16.2.el6.x86_64/ --prefix=/usr/local/keepalived/
　　make && make install
　　ln -s /usr/local/keepalived/sbin/keepalived
　　

　　#keepalived相关文件
　　/etc/keepalived/keepalived.conf
　　/usr/local/local/keepalived/