LVS介绍.ppt

Wait data：在收到第三次握手的ack报文时，如果发现是空ack报文就丢弃，等到有数据ack报文到来时，再与后端进行连接； * Wait data：在收到第三次握手的ack报文时，如果发现是空ack报文就丢弃，等到有数据ack报文到来时，再与后端进行连接； * Wait data：在收到第三次握手的ack报文时，如果发现是空ack报文就丢弃，等到有数据ack报文到来时，再与后端进行连接； * Wait data：在收到第三次握手的ack报文时，如果发现是空ack报文就丢弃，等到有数据ack报文到来时，再与后端进行连接； * * * * * 攻击性能测试方法：剩余5%左右的cpu * LVS介绍 --陈建 主要内容 功能 负载均衡：将用户请求按一定策略分发到后端的server上； 攻击防御：对syn/ack/rst/fin/udp flood等DDOS攻击进行防御，保护后端服务； 负载均衡 调度算法、健康检查、工作方式和normal性能； 攻击防御 防御syn/ack/fin/rst/udp/慢连接攻击的原理和性能指标； 负载均衡 – 调度算法 名称 调度方式 调度原理 适用场合 rr： Round Robin 轮询 逐一调度rs 大部分场合 wrr： Weighted Round Robin 轮询 基于权值轮询 rs多种机型 sh ： Source Hashing hash 基于源ip hash，如果hash到的rs不能使用则丢弃连接 可用于session保持之类的业务 srch ： Source Recyle Hashing hash sh的增强版，如果hash到的rs不能使用则遍历hash桶上下一个rs 可用于session保持之类的业务 dh ： Dest Hashing hash 基于vip hash L7：Level 7 hash 对Url进行crc32运算，然后进行hash 可用于cdn业务 负载均衡 – 调度算法 名称 调度方式 调度原理 适用场合 lc： Least Connection 基于负载的动态调度 选择连接数（256*active+inactive）最少的rs wlc： Weighted Least Connection 基于负载的动态调度 选择（连接数（ 256*active+inactive ）/权值）最小的rs sed： Shortest Expected Delay 基于负载的动态调度 选择延迟最小（（active+1）/weight）的rs nq： Never Queue 基于负载的动态调度 优先选择空闲的rs，如果没有，则使用sed算法选择一个rs。 负载均衡 – 健康检查 检查方式 检查间隔和失败次数 可配置； 检查方式 检查方法 优点 缺点 tcp 完成三次握手后，发送rst结束连接，只保证连接可被接收 Cpu消耗小，适用于大部分场合 不能检查rs是否能够提供服务 http 进行完整的get请求，并可对得到的页面进行digest校验，以保证rs确实能够正确处理请求 保证rs能够提供服务，适用于cdn 消耗较大，4000 个rs消耗15%的cpu 自定义脚本 通过脚本的执行结果来判断是否存活 1）灵活； 2）修改检查逻辑，不需要重新编译程序； 消耗最大，1200个rs消耗85%的cpu 负载均衡 – 工作方式 NAT in和out流都过LVS； RS配置：默认网关指向LVS； LVS与后端rs两层连通； DR in流经LVS，out不流经LVS； RS配置：在lo上配置外网ip client LVS RS client LVS RS 负载均衡 – 工作方式对比 NAT DR lvs能否防攻击 防御tcp、udp、慢连接攻击 不能 对lvs性能要求 高，因为out的流量需要流经lvs 低，因为out流量直接通过路由器返回client 能否支持7层调度算法 能 不能 运维成本 只需要配置rs的默认路由，简单 需要把vip配置在rs的lo设备上，较复杂 负载均衡 – 跨网段功能 原来NAT模型 41:1025 - 45:80 client 41 lvs Vip:45 rs 内网ip: 41:1025 - :80 DNAT :80 - 41:1025 45:80 - 41:1025 SNAT 负载均衡 – 跨网段功能 跨网段模型 41:1025 - 45:80 client 41 lvs Vip:45 rs 内网ip: :2021 - :80 tcp-opt：41 SNAT+DNAT :80 - :2021 45:80 - 41:1025 SNAT+DNAT 负载均衡