LAMP+LVS+KEEPALIVED（三）

ewr23

LAMP+LVS+KEEPALIVED（三） (6)访问控制#Order参数决定优先，放在后面的比前面的优先
#拒绝192.168.137.102访问，其他允许，ip也可以是网段、主机或者域名
Order Allow,Deny
Allow From all
Deny From 192.168.137.102

#拒绝所有，但允许以.winford.local为后缀客户端访问
Order Deny,Allow
Deny From all
Allow From .winford.local

#修改httpd.conf

#即使使用user1通过认证，但是客户端ip为192.168.137

#其他ip则可以访问

5、安全的apache(1)apache+ssl#安装openssl mod_ssl
yum -y install openssl mod_ssl

#生成1024位rsa密钥server.key
openssl genrsa -des3 -out server.key 1024

#生成server.csr文件
openssl req -new -key server.key -out server.csr

#生成server.crt证书文件
openssl req -new -x509 -days 3650 -key server.key -out server.crt

#在httpd.conf添加

#基于192.168.137.45:443端口

#证书和访问效果



6、LAMP+LVS+Keepalived集群(1)拓扑架构#需要说明的是，我将IP改了，不再使用192.168.137.0/24
#改为192.168.10.0/24网段的，6台都是虚拟机，包括一台DNS
#全部放在xenserver上面

#简略网络拓扑

(2)LVS原理（择自网络）VS/NAT:
即virutal server via network address,网络地址转换实现虚拟服务器。当客户端请求到达负载调度器时，调度器将请求报文的目的地址改写成选定的realserver地址，同时将报文目标端口也改写成realserver相应端口,然后将报文请求发送到realserver。realserver处理客户端报文请求，将数据返回给客户端时，会再次经过调度器，调度器将报文源地址和端口改写成虚拟IP和相应端口，然后将数据发送给客户端。NAT方式需要经过两次地址转换，vip（公网地址）-->realserver_ip（私网ip）和realserver-->vip。做NAT是非常耗资源的，一般整个集群系统瓶颈会出现在负载调度器上面。
优点：集群系统物理服务器可以使用任何支持TCP/IP操作系统，只有负载调度器需要一个合法IP（公网IP），realserver可以是windows，也可以是linux和bsd.
缺点：扩展性有限。因为所有流量都需要经过负载调度器，所以随着realserver节点和客户端请求增加，负载调度器会出现无法处理过来甚至down机情况。
VS/TUN:
virtual server via ip tunneling，IP隧道技术实现虚拟服务器。这种方式的连接调度和管理与NAT一样，不同之处在于报文转发不同。客户端报文请求到达负载调度器，负载调度器使用IP隧道技术进行封装，然后转发到realserver，realserver对数据进行解封装，直接将请求数据发送到客户端。整个过程无需IP转换，只需要IP封装和解封装。
优点：扩展性非常强。集群系统物理服务器可以使用任何支持TCP/IP操作系统。负载高度器只需要对客户端请求进行封装转发，realserver直接回应客户端，回应数据不需要再次经过负载调度器，所以瓶颈不会出现在负载调度器，另外realserver不要求同处一个LAN，开销小性能强。
缺点：所有系统必需支持IP隧道协议，负载调度器和realserver节点需要有合法IP（公网IP）
VS/DR:
virtual server via direct routing,直接路由技术实现虚拟服务器。连接调度和管理方式也前两种相同，只是报文转发不同。VS/DR模式负载调度器只改写请求报文MAC地址，将MAC改写成realserver的MAC地址，然后转发给选定的realserver，realserver直接回应客户端，免去IP隧道开销，瓶颈同样不会出现在负载调度器。
优点：扩展性强。集群系统物理服务器可以使用任何支持TCP/IP操作系统，包括windows、linux和bsd等。瓶颈不会出现在负载调度器，开销最小性能最强。
缺点：负载调度器和realserver必需同处一个LAN，负载调度器和realserver节点需要有合法IP（公网IP）。
性能：VS/DR>VS/TUN>VS/NAT
扩展：VS/DR>=VS/TUN>VS/NAT
(3)负载调度算法（常用，择自网络）轮叫调度（Round Robin):
负载调度器通过"轮叫"算法将报文请求按顺序1：1地址分配到每个realserver，平等对待每个realserver，不管理realserver实际负载状况和连接状态。
加权轮叫调度（Weighted Round Robin):
通过设置权值高低来调度报文请求，对realserver不同的权值，性能好的设置较高权值，性能差的设置较低权值，这样保证性能好的realserver处理更多的报文请求，较弱的处理少一点报文请求，合理地利用的服务器资源。负载调度器还可以自动查询realserver负载情况，并动态地调整其权值。
最少连接调度（Least Connections)：
最少连接调度算法动态地将报文请求调度到已建立的连接最少的realserver上，如果realserver性能相近，调度算法可以较好地实现均衡负载。
加权最少连接调度(Weighted Least Connections)：
使用权值表来表示realserver处理能力，性能强的可以调协较高权值，性能北的可以较低权值，权值默认值为1。加权最少连接调度在分配新连接请求时尽可能使用realserver节点的已建立连接数与其权值成正比。

不常用的负载调度算法：
基于局部性最少连接调度（Locality-Based Least Connections）、带复制的基于局部性最少连接调度（Locality-Based Least Connections with-apr Replication）、目标地址散列（Destination Hashing）、源地址散列（Source Hashing）
(4)源码安装ipvsadm-1.26#查看加载ip_vs
lsmod | grep ip_vs

#如果没有ip_vs相关显示，则将ip_vs加载到内核
modprobe ip_vs

#安装内核并建立软链接
yum -y install kernel-devel
ln -sv /usr/src/kernels/2.6.32-504.16.2.el6.x86_64/ /usr/src/linux/

#安装相关依赖包
yum -y install libnl* popt-static

#安装ipvsadm，默认安装到/sbin/ipvsadm
make && make install

#ipvsadm常用参数
-A：添加一个集群服务
-s：调度方法，默认是wlc
-p timeout：持久连接
-E：修改定义过的集群服务
-D：删除指定的集群服务
-r：指定rs
-w：指定权重
-e：修改指定的rs属性
-C:清空所有的集群服务

#ipvsadm-save或ipvsadm -S保存规则
#ipvsadm-restore或ipvsadm -R载入指定的规则
-L  【optios】
-n：数字格式显示ip地址
-c：显示连接数相关信息
--stats：显示统计数据
--rate：速率
--exact：显示统计数据的精确值
-Z：计数器清零
(5)Keepalived源码安装#OpenSSL is not properly installed on your system.
#先安装openssl和openssl-devel，再安装keepalived
#指定安装到/usr/local/keepalived
yum -y install openssl openssl-devel
./configure --sysconfdir=/etc --with-kernel-dir=/usr/src/kernels/2.6.32-504.16.2.el6.x86_64/ --prefix=/usr/local/keepalived/
make && make install
ln -s /usr/local/keepalived/sbin/keepalived

#keepalived相关文件
/etc/keepalived/keepalived.conf
/usr/local/local/keepalived/