【導(dǎo)讀】英文原文:. Overview. usedinacluster:. VirtualIP(VIP)address. RealIP(RIP)address. Director'sIP(DIP)address. Clientputer'sIP(CIP)address. TheVirtualIP(VIP)

　　

【正文】 AT）、直接路由（ LVSDR）、IP 隧道（ LVSTUN）。 盡管在單個 Director 上不止一種轉(zhuǎn)發(fā)方法（轉(zhuǎn)發(fā)方法在每個節(jié)點(diǎn)上可以選擇），但我將簡化這個有關(guān) LVS 集群的討論和描述， Director 同一時間只會使用一種轉(zhuǎn)發(fā)方法。 和 Linux企業(yè)集群搭配使用的最佳轉(zhuǎn)發(fā)方法是 LVSDR（原因稍后會做解釋），但是 LVSNAT 集群是最容易建立的。如果你還沒有建立過 LVS 集群，同時又想在企業(yè)中使用集群，你可能想使用第 12 章中的指令在一個實(shí)驗(yàn)環(huán)境中建立一個小型的 LVSNAT 作為開始，然后學(xué)習(xí)第 13 章中描述的如何將這個集群轉(zhuǎn)換為LVSDR 的方法。 LVSTUN 集群通常不被用于關(guān)鍵應(yīng)用，本章提及主要是為了保持完整性，不會詳細(xì)描寫它。 網(wǎng)絡(luò)地址轉(zhuǎn)換（ LVSNAT）：在一個 LVSNAT 配置中，當(dāng)數(shù)據(jù)包通過內(nèi)核時，Director 使用內(nèi)核的功能（來自內(nèi)核的 Netfilter 代碼）轉(zhuǎn)換網(wǎng)絡(luò) ip 地址和端口。（這叫做網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT），它在第 2 章中已經(jīng)做過介紹了） 注意：在第 12 章中我們將會對 LVSNAT 的網(wǎng)絡(luò)通訊做更詳細(xì)的檢查。 訪問集群服務(wù)的請求是由 Director 在其 VIP 上接收的，然后 Director 轉(zhuǎn)發(fā)這個請求到在其 RIP 上的集群節(jié)點(diǎn)，集群節(jié)點(diǎn)通過向 Director 發(fā)回?cái)?shù)據(jù)包進(jìn)行應(yīng)答，因此 Director 要將集群節(jié)點(diǎn)的 RIP 地址轉(zhuǎn)換成它自己的 VIP 地址，這使得對于在集群外的客戶端計(jì)算機(jī)看起來好像所有數(shù)據(jù)包都是通過一個 ip 地址（ VIP）進(jìn)行發(fā)送和接收的。 LVSNAT 的基本屬性 LVSNAT 轉(zhuǎn)發(fā)方法有以下幾個基本屬性：集群節(jié)點(diǎn)需要與 Director 處于同一網(wǎng)絡(luò)（ VLAN 或子網(wǎng)）；集群節(jié)點(diǎn)的 RIP 地址一般要符合 RFC 1918[2]規(guī)則（即它們是私有的、不可路由的 ip 地址，只用于集群內(nèi)部的通訊） ， Director 攔截客戶端計(jì)算機(jī)和真實(shí)服務(wù)器之間的所有通訊（兩個方向上的數(shù)據(jù)包）。 集群節(jié)點(diǎn)使用 Director 的 DIP 作為它們的默認(rèn)網(wǎng)關(guān)應(yīng)答客戶端計(jì)算機(jī)的請求。 Director 可以重新映射網(wǎng)絡(luò)端口號，即在 Director VIP 的一個端口上接收請求，在另一個 RIP 端口上發(fā)送應(yīng)答，任何類型的操作系統(tǒng)都可以用在集群內(nèi)的節(jié)點(diǎn)上 單個 Director 可能會成為集群的瓶頸。在某些情況下，隨著集群節(jié)點(diǎn)數(shù)量的增長， Director 將會成為網(wǎng)絡(luò)通訊的瓶頸，因?yàn)樗袘?yīng)答數(shù)據(jù)包都必須通過Director，一顆 400MHz 的 處理器能夠容納 100Mbps 的連接，因此，在一般情況下，網(wǎng)絡(luò)更可能比 LVS Director 更可能成為瓶頸。 LVSNAT 集群比 LVSDR 集群更難以管理，因?yàn)榧汗芾韱T處于集群之外的計(jì)算機(jī)前，受阻于直接對集群節(jié)點(diǎn)的訪問，和其他客戶端非常類似，在視圖從集群外部管理集群時，在 tel 或 ssh 連接到一個指定的集群節(jié)點(diǎn)之前，管理員首先必須登陸到 Director，如果集群連接到因特網(wǎng)，客戶端計(jì)算機(jī)使用網(wǎng)頁瀏覽器連接到集群，管理員登陸到 Director 可能是一個令人滿意的集群安全特性，因?yàn)楣芾砭W(wǎng)絡(luò)通常只允許內(nèi)部 ip 地址通過 shell 訪問集群節(jié)點(diǎn)，但是，在 Linux企業(yè)集群中，集群通常是受防火墻保護(hù)的，你可以更容易從集群之外直接連接到要管理的集群節(jié)點(diǎn)。（我們將在本書的第四部分看到在 LVSDR 集群中的集群節(jié)點(diǎn)管理器可以位于集群之外，使用 Mon 和 Ganglia 軟件包遠(yuǎn)程收集關(guān)于集群的診斷信息。） 直接路由（ LVSDR）：在一個 LVSDR 配置中， Director 轉(zhuǎn)發(fā)所有的入站請求到集群內(nèi)的節(jié)點(diǎn)，集群節(jié)點(diǎn)直接向客戶端計(jì)算機(jī)發(fā)回應(yīng)答（應(yīng)答不再經(jīng)過Director） [3]。來自客戶端計(jì)算機(jī)或 CIP 的請求發(fā)送到 Director 的 VIP，然后Director 將請求轉(zhuǎn)發(fā)到使用同一 VIP 目標(biāo) ip 地址的集群節(jié)點(diǎn)或真實(shí)服務(wù)器（我們將在第 13 章中看到 Director 是如何做這件事的），然后集群節(jié)點(diǎn)直接向客戶端計(jì)算機(jī)發(fā)送應(yīng)答數(shù)據(jù)包，這個應(yīng)答數(shù)據(jù)包使用 VIP 作為它的源 ip 地址，因而客戶端計(jì)算機(jī)被欺騙總是認(rèn)為在與一臺計(jì)算機(jī)對話，實(shí)際上它是將數(shù)據(jù)包發(fā)送到一臺計(jì)算機(jī)而從另一臺計(jì)算機(jī)接收數(shù)據(jù)包。 LVSDR 的基本屬性： 下面是使用 LVSDR 轉(zhuǎn)發(fā)方法的集群基本屬性：集群節(jié)點(diǎn)必須與 Director處于同一網(wǎng)段 [4]。集群節(jié)點(diǎn)的 RIP 地址不必是私有 ip 地址（即它們不需要符合RFC 1918 規(guī)范）。 Director 攔截客戶端與真實(shí)服務(wù)器之間的入站（不包括出站）通訊。 正常情況下，集群節(jié)點(diǎn)不使用 Director 作為它們的默認(rèn)網(wǎng)關(guān)傳遞發(fā)送到客戶端計(jì)算機(jī)的應(yīng)答數(shù)據(jù)包。 Director 不能重新映射網(wǎng)絡(luò)端口號大多數(shù)操作系統(tǒng)可以被用于集群內(nèi)部的真實(shí)服務(wù)器上 [5]。一個 LVSDR Director 比 LVSNAT Director 能處理更多的真實(shí)服務(wù)器。 盡管 LVSDR Director 不能象 LVSNAT Director 那樣重新映射網(wǎng)絡(luò)端口號，當(dāng)使用 LVSDR 作為轉(zhuǎn)發(fā)方法時只有確認(rèn)的操作系統(tǒng)可以用在真實(shí)服務(wù)器上 [6]，LVSDR 是 Linux 企業(yè)集群最佳的轉(zhuǎn)發(fā)方法，因?yàn)樗试S你建立能直接從集群之外訪問的集群節(jié)點(diǎn)，雖然在某些情況下這可能會有安全隱患（影響可以用恰當(dāng)?shù)腣LAN 配置標(biāo)記出來），它提供額外的優(yōu)點(diǎn)，改善集群的可靠性，可能在剛開始時不是很明顯： 如果 Director 失效，集群節(jié)點(diǎn)變成分散的服務(wù)器，每一個都有它們自己的ip 地址（內(nèi)部網(wǎng)上的客戶端計(jì)算機(jī)可以使用 LVSDR 集群節(jié)點(diǎn)的 RIP 直接連接），然后你可能要告訴用戶使用哪個集群節(jié)點(diǎn) RIP 地址，或使用循環(huán) DNS 分發(fā)各集群節(jié)點(diǎn)的 RIP 地址，直到 Director 恢復(fù)正常 [7]，換句話說，在 Director 出現(xiàn)災(zāi)難故障甚至 LVS 本身出故障時你都是受到保護(hù)的 [8]。 要測試各集群節(jié)點(diǎn)的健康度和測量它們的性能，可以在處于集群外的集群管理器上使用監(jiān)視工具（本書第四部分將會討論如何使用 Mon 和 Ganglia 軟件包進(jìn)行監(jiān)視）。 要快速診斷節(jié)點(diǎn)的健康情況，而不考慮 LVS 或 Director 的健康狀況，當(dāng)出現(xiàn)問題時，你可以直接 tel、 ping 和 ssh 到任何集群節(jié)點(diǎn)。 在排除故障時，如果應(yīng)用程序顯示有問題的話，你可以告訴最終用戶 [9]如何通過 ip 地址（ RIP）直接連接到兩個不同的集群節(jié)點(diǎn)，然后要求最終用戶在每個節(jié)點(diǎn)上執(zhí)行相同的任務(wù)，你就可以快速地知道是應(yīng)用程序有問題還是集群節(jié)點(diǎn)有問題。 注意：在 LVSDR 集群中，可以在每個集群節(jié)點(diǎn)上安裝數(shù)據(jù)包過濾或防火墻規(guī)則以增強(qiáng)安全性，參考 題和 LVS 討論的 LVSHOWTO，本書中我們假設(shè) Linux 企業(yè)集群是受防火墻保護(hù)的，并且只有處于信任網(wǎng)絡(luò)中的客戶端計(jì)算機(jī)能夠訪問 Director 和真實(shí)服務(wù)器。 IP 隧道（ LVSTUN） :在數(shù)據(jù)包必須傳遞到另一個網(wǎng)絡(luò)或因特網(wǎng)上時，可以使用 ip 隧道， ip 隧道能夠?qū)?shù)據(jù)包從一個子網(wǎng)或虛擬局域網(wǎng)（ VLAN）轉(zhuǎn)發(fā)到另一個子網(wǎng)或虛擬局域網(wǎng)（ VLAN），建立 ip隧道是 Linux內(nèi)核功能的一部分， LVSTUN轉(zhuǎn)發(fā)方法允許你將集群節(jié)點(diǎn)放在與 Director 不同的網(wǎng)絡(luò)上。 注意：本書中我們不會使用 LVSTUN，將它放在這里只是為了保持完整性。 LVSTUN 配置通過封裝來自客戶端訪問集群服務(wù)的請求，即使集群節(jié)點(diǎn)與Director 不在同一物理網(wǎng)段也能進(jìn)行轉(zhuǎn)發(fā)，增強(qiáng)了 LVSDR 的功能。例如：將一個數(shù)據(jù)包放入另一個數(shù)據(jù)包以便它可以跨因特網(wǎng)傳輸（里面的數(shù)據(jù)包成為外面數(shù)據(jù)包的有效數(shù)據(jù)負(fù)載），任何知道如何拆分這些數(shù)據(jù)包的服務(wù)器，無論它們是在你的內(nèi)部網(wǎng)還是在以太網(wǎng)上，都能夠成為集群節(jié)點(diǎn)。 連接 Director和集群節(jié)點(diǎn)的箭頭顯示了一個從 Director傳遞到集群節(jié)點(diǎn)的封裝數(shù)據(jù)包（一個數(shù)據(jù)包存儲在另一個數(shù)據(jù)包中），這個數(shù)據(jù)包可以通過任何網(wǎng)絡(luò)傳遞，包括因特網(wǎng)，和它從 Director 移動到集群節(jié)點(diǎn)一樣。 LVSTUN 的基本屬性 LVSTUN 集群有以下屬性：集群節(jié)點(diǎn)不需要與 Director 在同一個網(wǎng)段； RIP地 址必須是私有 ip 地址。 正常情況下， Director 僅攔截客戶端與集群節(jié)點(diǎn)之間的入站通訊。從真實(shí)服務(wù)器返回到客戶端的數(shù)據(jù)包必須不通過 Director（默認(rèn)網(wǎng)關(guān)不能是 DIP，它必須一個路由器或另一臺與 Director 獨(dú)立的機(jī)器）。 Director 不能重新映射網(wǎng)絡(luò)端口號 只有支持 ip 隧道協(xié)議 [11]的操作系統(tǒng)能成為集群內(nèi)的服務(wù)器（參考包括在LVS 發(fā)行包中 configurelvs 腳本里的注釋信息，找出已知支持該協(xié)議的操作系統(tǒng)）。 本書中我們不會用到 LVSTUN 轉(zhuǎn)發(fā)方法，因?yàn)槲覀兿虢⒁粋€足夠可靠的運(yùn)行關(guān)鍵應(yīng) 用的集群，將 Director 與集群節(jié)點(diǎn)分隔只會增加集群故障的潛在隱患，盡管使用地理上分散的集群節(jié)點(diǎn)看起來好像可以快速建立一個災(zāi)難恢復(fù)數(shù)據(jù)中心，但這樣的配置不會改善集群的可靠性，因?yàn)?Director 與集群節(jié)點(diǎn)之間的連接斷開將影響到所有的客戶端連接。 Linux 企業(yè)集群必須能與所有運(yùn)行在所有集群節(jié)點(diǎn)上的應(yīng)用程序共享數(shù)據(jù)（這是第 16 章的主題），地理上分散的集群節(jié)點(diǎn)只會減低速度和數(shù)據(jù)共享的可靠性。 [2]RFC 1918 保留下面的 ip 地址塊作為私有地址： 到 到 到 [3]沒有特別的 LVS“火星人”修改應(yīng)用到 Director 的內(nèi)核補(bǔ)丁，如果應(yīng)答數(shù)據(jù)包試圖通過 Director 返回，一般 LVSDR Director 將直接丟掉應(yīng)答數(shù)據(jù)包。 [4]LVSDR 轉(zhuǎn)發(fā)方法要求這樣才能正常運(yùn)行，參考第 13 章中關(guān)于 LVSDR 集群的更多信息。 [5]操作系統(tǒng)必須被配置為能夠讓網(wǎng)絡(luò)接口避免應(yīng)答 ARP 廣播，更多信息請參考第 13 章中的“ ARP 廣播和 LVSDR 集群”。 [6]LVSDR 集群內(nèi)的 真實(shí)服務(wù)器必須能夠接收到 VIP 的數(shù)據(jù)包，而不應(yīng)答到 VIP的 ARP 廣播（參考第 13 章）。 [7]參考第 8 章中關(guān)于循環(huán) DNS 討論的“使用 Heartbeat 共享負(fù)載 循環(huán) DNS”小節(jié)。 [8]這在正確建立和測試集群配置的情況基本上是不可能發(fā)生的問題，我們將會在第 15 章中討論如何建立一個高可用 Director。 [9]假設(shè)客戶端計(jì)算機(jī)的 ip 地址、 VIP 和 RIP 都是私有（ RFC 1918） ip 地址。 [10]如果你的集群節(jié)點(diǎn)需要通過因特網(wǎng)通訊，你應(yīng)該在發(fā)送數(shù)據(jù)包之前對其加密，可以使用 IPSec 協(xié)議實(shí)現(xiàn)（參考 FreeS/WAN項(xiàng)目），使用 IPSec 建立一個高可用集群超出了本書的范圍。 [11]在因特網(wǎng)上搜索“ Linux 高級路由 HOWTO”了解關(guān)于 ip 隧道協(xié)議更多的信息。 LVS 調(diào)度方法 我們前面已經(jīng)討論了三種轉(zhuǎn)發(fā)數(shù)據(jù)包到集群節(jié)點(diǎn)的方法，現(xiàn)在一起來看一下如何橫跨集群節(jié)點(diǎn)分配工作負(fù)載，當(dāng) Director 接收到一個來自客戶端計(jì)算機(jī)訪問集群 VIP 上服務(wù)的入站請求時，它必須確定由哪個節(jié)點(diǎn)接收該請求， Director可以使用兩個基本的調(diào)度方法做出這個決定：固定調(diào)度和動態(tài)調(diào) 度。 注意：當(dāng)某個節(jié)點(diǎn)由于維護(hù)需要從集群中抽出時，你可以使用固定的或動態(tài)的調(diào)度方法將其權(quán)重值設(shè)為 0，這樣就不會給它分配新的連接了，當(dāng)所有用戶正常退出后維護(hù)就可以執(zhí)行了，我們將在第 19 章詳細(xì)討論集群維護(hù)。 固定（或非動態(tài)）調(diào)度方法 在固定或動態(tài)調(diào)度方法中， Director 為入站請求選擇集群節(jié)點(diǎn)時不會檢查之前分配的連接有多少是活動的，下面是目前固定調(diào)度方法的清單： 循環(huán)法（ RR） 當(dāng) Director 接收到一個新的請求時，它在它的服務(wù)器列表中挑選下一個服務(wù)器，在一個環(huán)形的回路中循環(huán)。 權(quán)重循環(huán)（ WRR）：基于集群 節(jié)點(diǎn)能夠處理的負(fù)載進(jìn)程數(shù)量，給每個節(jié)點(diǎn)指定一個權(quán)重或排序，這個權(quán)重和循環(huán)技術(shù)一起在新的請求抵達(dá)時用于選擇要使用的下一個集群節(jié)點(diǎn)，而不考慮活動連接的數(shù)量，權(quán)重越高，接收新連接的優(yōu)先級也越高，權(quán)重值為 2 的節(jié)點(diǎn)接收新連接的數(shù)量是權(quán)重值為 1 的節(jié)點(diǎn)的兩倍，如果你將節(jié)點(diǎn)的權(quán)重值修改為 0，將不運(yùn)行新的連接抵達(dá)該節(jié)點(diǎn)（當(dāng)前活動的連接也將被丟棄），我們將在本章的“權(quán)重最小連接（ WLC）”小節(jié)中看到 LVS 如何使用權(quán)重平衡入站負(fù)載。 目標(biāo)散列法：這個方法總是向集群內(nèi)同一個服務(wù)器同一個 ip 地址發(fā)送請求，與基于本地最小連接（ LBLC）調(diào)度方法類似（我們稍后會討論），當(dāng)集群中的服務(wù)器是緩存服務(wù)器或代理服務(wù)器時這個方法非常有用。 源散列法：在 Director 需要將應(yīng)答數(shù)據(jù)包按請求數(shù)據(jù)包原路返回時可以使用這個方法，只有在 Director 連接到不止一個物理網(wǎng)絡(luò)上時使用這個方法，以便 Director 知道通過哪個路由器或防火墻將應(yīng)答數(shù)據(jù)包返回到正確的客戶端計(jì)算機(jī)。