群集LNMP+SSL+nfs+负载均衡及高可用
Posted 大虾好吃吗
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了群集LNMP+SSL+nfs+负载均衡及高可用相关的知识,希望对你有一定的参考价值。
目录
大虾好吃吗的博客🦐🦐🦐
实验目标:根据拓扑图搭建环境,安装论坛,创建证书通过https访问,实现负载均衡与高可用。通过代理服务器实现跳板机功能,可以远程访问mysql主机、nfs主机、web主机。
实验拓扑图如下:
实验思路:根据拓扑图给出的信息,先搭建web服务器然后配置mysql、php、nfs,最后搭建代理服务器实现负载均衡。
web1部署
创建证书
1. nginx部署
[root@web1 ~]# rpm -ivh /media/nginx-rpm/* --nodeps --force
[root@web1 ~]# systemctl start nginx
[root@web1 ~]# systemctl enable nginx2. 模拟创建私钥(本地当CA)
[root@web1 ~]# mkdir /etc/nginx/ssl_key
[root@web1 ~]# cd /etc/nginx/ssl_key
[root@web1 ssl_key]# openssl genrsa -idea -out server.key 2048 //新建秘钥
3. 生成证书,去掉私钥密码。(过程中会填写国家、省会、公司、邮箱等,随意填写即可)
[root@web1 ssl_key]# openssl req -days 3650 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt 
创建论坛
编辑http配置文件,使用证书,指定根目录。
[root@web1 ssl_key]# cd /etc/nginx/conf.d/
[root@web1 conf.d]# rm -rf default.conf
[root@web1 conf.d]# vim blog.conf
server
listen 443 ssl;
server_name blog.benet.com;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
root /wordpress;
index index.php index.html;
location ~ \\.php$
root /wordpress;
fastcgi_pass 192.168.1.10:9000; //php服务器主机
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
server
listen 80;
server_name blog.benet.com;
# rewrite .* https://blog.benet.com; //指定重定向(http转https)
# rewrite .* https://$host$request_uri redirect;
# rewrite .* https://$server_name$request_uri redirect;
rewrite .* https://$server_name$1 redirect; //四条都可以重定向,一条即可。
[root@web1 conf.d]# systemctl restart nginxmysql部署
[root@mysql ~]# rpm -ivh /media/mysql5.6-rpm/* --nodeps --force
[root@mysql ~]# systemctl start mysqld
[root@mysql ~]# systemctl enable mysqld
[root@mysql ~]# mysqladmin -uroot password
New password: //请输入新密码
Confirm new password: //请输入新密码
[root@mysql ~]# mysql -uroot -p123
//省略部分内容
mysql> create database blog;
Query OK, 1 row affected (0.00 sec)
mysql> grant all on blog.* to blog@'%' identified by '123456';
Query OK, 0 rows affected (0.00 sec)php部署
[root@php ~]# rpm -ivh /media/php-rpm/* --nodeps --force
[root@php ~]# vim /etc/php-fpm.d/www.conf
listen = 192.168.1.10:9000 //修改为php本机IP
listen.allowed_clients = 192.168.1.7,192.168.1.8 //修改为web主机IP
[root@php ~]# systemctl start php-fpm
[root@php ~]# systemctl enable php-fpmnfs部署
创建共享目录
[root@nfs ~]# yum -y install nfs-utils rpcbind
[root@nfs ~]# cp -rp /media/wordpress-4.9.4-zh_CN.zip /
[root@nfs ~]# cd /
[root@nfs /]# unzip wordpress-4.9.4-zh_CN.zip //解压共享软件包
[root@nfs /]# vim /etc/exports
/wordpress 192.168.1.0/24(rw,sync,no_root_squash) //发布共享目录
[root@nfs /]# chmod -R 777 /wordpress
[root@nfs /]# systemctl start rpcbind nfs
[root@nfs /]# systemctl enable rpcbind nfs挂载目录
1. web1挂载
[root@web1 ~]# showmount -e 192.168.1.11 //检查目录是否正常共享
Export list for 192.168.1.11:
/wordpress 192.168.1.0/24
[root@web1 ~]# mkdir /wordpress
[root@web1 ~]# mount -t nfs 192.168.1.11:/wordpress /wordpress //web1挂载目录 
2. PHP挂载
[root@php ~]# mkdir /wordpress
[root@php ~]# mount -t nfs 192.168.1.11:/wordpress/ /wordpress //PHP挂载目录
LNMP测试
修改测试机hosts文件通过域名访问。
[root@client ~]# echo "192.168.1.7 blog.benet.com" >> /etc/hosts访问浏览器blog.benet.com可以直接转到https,这就是上面重定向的作用。因为本机创建的证书,所以会有风险警告,点击高级
后面就是论坛的安装页面了,点击开始,输入数据库名、用户名密码及mysql服务器IP后点击提交,点击现在安装。
输入论坛信息后,点击安装,安装完成后点击登录就可以输入管理员用户密码登录了。
登录后就可以进行对论坛的编辑了。
经过上面的配置,lnmp和nfs就搭建好了,下面将实现负载均衡及高可用功能。
web2部署
web1已经配置过了配置文件和证书,这里直接复制过来。
[root@web2 ~]# rpm -ivh /media/nginx-rpm/* --nodeps --force
[root@web2 ~]# cd /etc/nginx/conf.d/
[root@web2 conf.d]# rm -rf default.conf
[root@web2 conf.d]# scp -rp root@192.168.1.7:/etc/nginx/conf.d/blog.conf .
[root@web2 conf.d]# cd ..
[root@web2 nginx]# scp -rp root@192.168.1.7:/etc/nginx/ssl_key /etc/nginx //复制证书
[root@web2 nginx]# systemctl start nginx
[root@web2 nginx]# mkdir /wordpress
[root@web2 nginx]# mount -t nfs 192.168.1.11:/wordpress/ /wordpress //挂载论坛目录lb1部署
1. 负载均衡配置
[root@lb1 ~]# rpm -ivh /media/nginx-rpm/* --nodeps --force
[root@lb1 ~]# cd /etc/nginx/conf.d/
[root@lb1 conf.d]# rm -rf default.conf
[root@lb1 conf.d]# vim lb.conf
upstream web
server 192.168.1.7:443;
server 192.168.1.8:443;
server
listen 443 ssl;
server_name blog.benet.com;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
location /
proxy_pass https://web;
include nginx_params;
server
listen 80;
server_name blog.benet.com;
return 302 https://$server_name$1;
[root@lb1 conf.d]# cd ..
[root@lb1 nginx]# vim nginx_params
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_connect_timeout 30;
proxy_send_timeout 60;
proxy_read_timeout 60;
proxy_buffering on;
proxy_buffer_size 32k;
proxy_buffers 4 128k;
[root@lb1 conf.d]# scp -rp root@192.168.1.7:/etc/nginx/ssl_key /etc/nginx/ //复制证书
[root@lb1 conf.d]# nginx -t
[root@lb1 conf.d]# systemctl restart nginx2. 高可用
[root@lb1 ~]# yum -y install keepalived
[root@lb1 ~]# vim /etc/keepalived/keepalived.conf
global_defs
router_id lb1 //修改路由名称
vrrp_strict //删除此行
vrrp_instance VI_1
state MASTER
interface ens33 //指定网卡信息
virtual_router_id 51
priority 100
advert_int 1
authentication
auth_type PASS
auth_pass 1111
virtual_ipaddress
192.168.1.200 //指定漂移地址
[root@lb1 ~]# systemctl start keepalived查看漂移地址
lb2部署
1. 负载均衡
[root@lb2 ~]# rpm -ivh /media/nginx-rpm/* --nodeps --force
[root@lb2 ~]# scp -rp root@192.168.1.5:/etc/nginx/* /etc/nginx/
[root@lb2 ~]# cd /etc/nginx/conf.d/
[root@lb2 conf.d]# rm -rf default.conf
[root@lb2 conf.d]# systemctl start nginx2. 高可用
[root@lb2 ~]# yum -y install keepalived
[root@lb2 ~]# vim /etc/keepalived/keepalived.conf
global_defs
router_id lb2 //修改路由名称
vrrp_strict //删除此行
vrrp_instance VI_1
state BACKUP //指定为备份主机
interface ens33 //指定网卡信息
virtual_router_id 51
priority 99 //指定优先级
advert_int 1
authentication
auth_type PASS
auth_pass 1111
virtual_ipaddress
192.168.1.200 //指定漂移地址
[root@lb2 ~]# systemctl start keepalived群集测试
删掉之前配置的hosts文件,指定IP为漂移地址。
[root@client ~]# vim /etc/hosts
192.168.1.200 blog.benet.com客户机访问blog.benet.com会自动转为https://blog.benet.com登录博客就成功了。
通过关闭lb1的keepalived,查看lb2主机的ip地址, 确认漂移地址转到lb2主机上。继续访问浏览器发现 可以正常访问。
解决故障
开启lb1的 keepalived服务器,关闭nginx服务并访问网页会发现无法访问网页的问题,下面将解决这一问题。
[root@lb1 ~]# systemctl start keepalived
[root@lb1 ~]# systemctl stop nginx
[root@lb1 ~]# mkdir /sh
[root@lb1 ~]# vim /sh/check_nginx_proxy.sh
#!/bin/bash
killall -0 nginx
if [ $? -ne 0 ];then
systemctl stop keepalived
fi
[root@lb1 ~]# chmod +x /sh/check_nginx_proxy.sh
[root@lb1 ~]# vim /etc/keepalived/keepalived.conf //将脚本追踪模块添加到keepalived配置文件
vrrp_script check_nginx_proxy
script "/sh/check_nginx_proxy.sh"
interval 2
weight 5
vrrp_instance VI_1 //分别在此模块内和上方添加两个模块
state MASTER
interface ens33
virtual_router_id 51
priority 100
advert_int 1
authentication
auth_type PASS
auth_pass 1111
virtual_ipaddress
192.168.1.200
track_script
check_nginx_proxy
[root@lb1 ~]# systemctl restart keepalived重启后验证关闭lb1主机的nginx服务,发现依旧可以访问论坛表明成功了。
[root@lb1 ~]# systemctl stop nginx
跳板机功能
现lnmp的负载均衡及高可用功能均已实现,但客户机仍服务直接访问后放mysql及web等主机,通过客户机访问代理服务器转跳至目标主机。
分别连接web1、nfs主机,连接mysql数据库,客户端通过访问虚拟端口连接。
[root@lb1 ~]# vim /etc/nginx/nginx.conf
//在http字段上方添加
stream
upstream web1
server 192.168.1.7:22;
upstream mysql
server 192.168.1.9:3306;
upstream nfs
server 192.168.1.11:22;
server
listen 5555;
proxy_pass web1;
proxy_connect_timeout 30;
proxy_timeout 60;
server
listen 7777;
proxy_pass mysql;
proxy_connect_timeout 30;
proxy_timeout 60;
server
listen 9999;
proxy_pass nfs;
proxy_connect_timeout 30;
proxy_timeout 60;
[root@lb1 ~]# nginx -t
[root@lb1 ~]# systemctl restart nginx把此文件复制到lb2主机上,实现负载均衡。
[root@lb2 ~]# scp -rp root@192.168.1.5:/etc/nginx/nginx.conf /etc/nginx/
[root@lb2 ~]# systemctl restart nginx测试
连接web1服务器测试成功。
连接nfs服务器测试成功 。
mysql服务器因为指定的3306端口,先需要使用win端软件连接直接登录mysql数据库。
通过SQLyog连接就可以看到数据库表中的内容了。
以上便是实验的全部过程,注意分清主机名称,思考含义。出现问题排除问题,检查问题,重点关注配置文件。
LVS负载均衡群集
前言
互联网应用中,随着站点对硬件性能、响应速度、服务稳定性、数据可靠性等要求越来越高,单台服务器已经无法满足负载均衡及高可用的要求。
解决办法
(1)使用价格昂贵的小型机、大型机
(2)使用多台相对廉价的普通服务器构建服务群集
通过整合多台服务器,使用 LVS来达到服务器的高可用和负载均衡,并以同一个 IP地址对外提供相同的服务。
在企业中常用的一种群集技术——LVS (Linux Virtual Server,Linux虚拟服务器)
关于LVS虚拟服务器Linux Virtual Server
是针对Linux内核开发的负载均衡解决方案
1998年5月,由我国的章文嵩博士创建
官方网站∶ http://www.linuxvirtualserver.org/
LVS实际上相当于基于IP地址的虚拟化应用,为基于IP地址和内容请求分发的负载均衡提出了一种高效的解决方法,但只支持四层转发
一。群集的含义
Cluster,集群、群集
由多台主机构成,但对外只表现为一个整体,只提供一个访问入口(域名或IP地址),相当于一台大型计算机。
二。群集分类
根据群集所针对的目标差异,可分为三种类型
负载均衡群集
高可用群集
高性能运算群集
2.1)负载均衡群集(LB/Load Balance Cluster)
提高应用系统的响应能力、尽可能处理更多的访问请求、减少延迟为目标,获得高并发、高负载(LB)的整体性能
LB的负载分配依赖于主节点的分流算法,将来自客户机的访问请求分担给多个服务器节点,从而缓解整个系统的负载压力。例如,"DNS轮询" "反向代理"等
2.2)高可用群集(HA/High Availability Cluster)
提高应用系统的可靠性、尽可能地减少中断时间为目标,确保服务的连续性,达到高可用(HA)的容错效果
HA的工作方式包括双工和主从两种模式,双工即所有节点同时在线。主从则只有主节点在线,但当出现故障时从节点能自动切换为主节点。例如,"故障切换" "双机热备"等
2.3)高性能运算群集(HPC/High Performance Computer Cluster)
以提高应用系统的CPU运算速度、扩展硬件资源和分析能力为目标,获得相当于大型、超级计算机的高性能运算(HPC)能力
高性能依赖于"分布式运算"、 "并行计算",通过专用硬件和软件将多个服务器的CPU、内存等资源整合在一起,实现只有大型、超级计算机才具备的计算能力。例如,"云计算" "网格计算"等
三。负载均衡群集架构
负载均衡群集是目前企业用得最多的群集类型
3.1)负载均衡的结构
第一层:负载调度器(Load Balancer或Director)
访问整个群集系统的唯一入口,对外使用所有服务器共有的VIP地址,也称为群集IP地址。通常会配置主、备两台调度器实现热备份,当主调度器失效以后能够平滑替换至备用调度器,确保高可用性。
第二层:服务器池(Server Pool)
群集所提供的应用服务、由服务器池承担,其中每个节点具有独立的RIP地址(真实IP),只处理调度器分发过来的客户机请求。当某个节点暂时失效时,负载调度器的容错机制会将其隔离,等待错误排除以后再重新纳入服务器池。
第三层:共享存储(Share Storage)
为服务器池中的所有节点提供稳定、一致的文件存取服务,确保整个群集的统一性共享存储可以使用NAS设备,或者提供NFS共享服务的专用服务器。
3.2)负载均衡群集工作模式分析
群集的负载调度技术有三种工作模式
地址转换(NAT模式)
IP隧道
直接路由
3.3)NAT模式地址转换
Network Address Translation,简称NAT模式,类似于防火墙的私有网络结构,负载调度器作为所有服务器节点的网关,即作为客户机的访问入口,也是各节点回应客户机的访问出口
服务器节点使用私有IP地址,与负载调度器位于同一个物理网络,安全性要优于其他两种方式
结论:
一般不常用,因为调度服务器在NAT模式中既要接受数据还需要转发数据,即作为入口也作为出口,从而拥有的并发量要接受数据和转发数据都需要使用,在高频状态下会影响整个群集的工作性能,作为调度器还需进行调度算法等配置,可能会成为整个群集性能的瓶颈,所以不太可取
3.4)TUN模式IP隧道
IP Tunnel,简称TUN模式,采用开放式的网络结构,负载调度器仅作为客户机的访问入口,各节点通过各自的Internet连接直接回应客户机,而不再经过负载调度器
服务器节点分散在互联网中的不同位置,具有独立的公网IP地址,通过专用IP隧道与负载调度器相互通信
结论:
因为每一条服务器都分散在互联网中,对于很讲究灾备(天灾人祸使某地的服务器坏了可以切换到备用服务器)的企业才会使用,正常情况下不太可取,因为每台服务器需要独立的公网IP,公网IP本身数量有限,还需要支付费用,并且使用IP隧道转发时还需在2/3层时添加一个专用的IP头部,无形中增加了封装解封装时的工作流程,效率也随之降低
3.5)DR模式直接路由
Direct Routing,简称DR模式,采用半开放式的网络结构,与TUN模式的结构类似,但各节点并不是分散在各地,而是与调度器位于同一个物理网络负载调度器与各节点服务器通过本地网络连接,不需要建立专用的IP隧道
结论:
数据通过路由器到达调度器,调度器依据调度算法分配给主机,主机处理数据后通过路由发送给用户,不在经过调度器,减少了调度器的负载情况也无需使用公网IP或IP隧道增加成本,是比较实用的模式
四。LVS常用的负载调度算法
轮询(Round Robin)
将收到的访问请求按照顺序轮流分配给群集中的各节点(真实服务器),均等地对待每一台服务器,而不管服务器实际的连接数和系统负载
加权轮询(Weighted Round Robin)
根据调度器设置的权重值来分发请求,权重值高的节点优先获得任务,分
配的请求数越多,可以保证性能强的服务器承担更多的访问流量
最少连接(Least Connections)
根据真实服务器已建立的连接数进行分配,将收到的访问请求优先分配给连接数最少的节点
加权最少连接(Weighted Least Connections)
在服务器节点的性能差异较大时,可以为真实服务器自动调整权重性能较高的节点将承担更大比例的活动连接负载
五。LVS-NAT模式配置实验
LVS现在已成为 Linux 内核的一部分,默认编译为ip_vs模块,必要时能够自动调用。在CentOS 7系统中,以下操作可以手动加载 ip_vs 模块,并查看当前系统中ip_vs模块的版本信息。
modprobe ip_vs #手动加载ip_vs模块
cat /proc/net/ip_vs #确认内核对LVS的支持
5.1)使用ipvsadm工具
使用ipvsadm工具对群集管理
ipvsadm 工具选项说明∶
5.2)部署步骤
1.加载ip_vs模块,安装ipvsadm工具
2.开启路由转发
3.新建LVS虚拟服务器并添加节点服务器
4. 配置节点服务器
建立测试网站挂载
NFS共享存储
建立测试网页
5.保存规则并测试
5.3)具体部署
负载调度器:内网关 ens33∶ 192.168.150.20,外网关ens36∶12.0.0.1
Web节点服务器1∶192.168.150.10
Web节点服务器2∶192.168.150.15
NFS服务器∶ 192.168.150.25
客户端∶ 12.0.0.120
1.部署共享存储(NFS服务器∶ 192.168.150.25)
#关闭防火墙和SE安全
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
#安装并开启nfs服务
yum install nfs-utils rpcbind -y
systemctl start rpcbind.service
systemctl start nfs
systemctl enable nfs
systemctl enable rpcbind.service
#创建共享目录文件
mkdir /opt/kgc /opt/benet
chmod 777 /opt/kgc /opt/benet
echo \'this is kgc com!\' > /opt/kgc/index.html
echo\'this is benet com!\' > /opt/benet/index.html
vim /etc/exports
/opt/kgc 192.168.150.0/24(rw,sync)
/opt/benet 192.168.150.0/24(rw, sync)
#手动发布共享
exportfs -rv
2.配置节点服务器(192.168.150.10、192.168.150.15)
systemctl stop firewalld.service
systemctl disable firewalld.service
setenforce 0
#因为是LVS-NAT模式,所以web服务器的网关需要修改成调度器地址,DNS不需要可以注释掉,重启网卡
vim /etc/sysconfig/network-scripts/ifcfg-ens33
yum install httpd -y
systemctl start httpd.service
systemctl enable httpd.service
yum install nfs-utils rpcbind -y
systemctl start rpcbind
systemctl start nfs
showmount -e 192.168.150.25
192.168.150.10服务器
mount 192.168.150.25:/opt/kgc /var/www/html
vim /etc/ fstab
192.168.150.25:/opt/kgc /var/www/html nfs defaults,_netdev 0 0 #_netdev表示需要网络支持
mount -a #重新读取挂载
192.168.150.15服务器
mount 192.168.150.25:/opt/benet /var/www/html
vim /etc/ fstab
192.168.150.25:/opt/benet /var/www/html nfs defaults,_netdev 0 0
mount -a
3.配置负载调度器(内网关 ens33:192.168.150.20,外网关ens36:12.0.0.1) systemctl stop firewalld. service
systemctl disable firewalld.service
setenforce 0
#配置外网卡信息,并且网关就是本身注释掉网关以及DNS地址,重启网卡
cp -a /etc/sysconfig/network-scripts/ifcfg-ens33 /etc/sysconfig/network-scripts/ifcfg-ens36
vim /etc/sysconfig/network-scripts/ifcfg-ens33
vim /etc/sysconfig/network-scripts/ifcfg-ens33
systemctl restart network
ifconfig #确认一下网卡信息
(1)配置SNAT转发规则
vim /etc/sysctl.conf #永久开启SNAT转发功能
net.ipv4.ip_forward=1
或 echo \'1\'> /proc/sys/net/ipv4/ip_forward #临时开启SNAT转发功能
sysctl-p #读取修改后的配置
iptables -t nat -F #清空nat表中所有链
iptables -F #清空表中所有链
iptables -t nat -A POSTROUTING -s 192.168.150.0/24 -o ens36 -j SNAT --to-source 12.0.0.1
#添加规则,-t:指定表 -A:指定链 -s:指定源IP -o:指定外网网卡 -j:指定控制类型 -to:转换为12.0.0.1 访问外网
iptables -t nat -nL #查看一下转发规则是否配置成功
(2)加载LVS内核模块
modprobe ip_vs #加载ip_vs模块
cat /proc/net/ip_vs #查看ip_vs版本信息
补充:
#加载所有的ip_vs模块,grep-o"^[^.]*":精确匹配开头不包含.的部分
for i in $(ls/usr/lib/modules/$(uname-r)/kernel/net/netfilter/ipvs|grep-o"^[^.]*")
do
echo $i
/sbin/modinfo -F filename $i > /dev/null 2>&1 && /sbin/modprobe $i
done
(3)安装ipvsadm管理工具
yum -y install ipvsadm
#启动服务前须先手动创建该文件用来保存负载分配策略才能启动成功
ipvsadm-save > /etc/sysconfig/ipvsadm
或者
ipvsadm --save >/etc/sysconfig/ipvsadm
systemctl start ipvsadm. service
(4)配置负载分配策略(NAT模式只要在服务器上配置,节点服务器不需要特殊配置)
#清除原有所有的策略
ipysadm -C
#添加虚拟服务器VIP地址和TCP端口为12.0.0.1:80使用轮询负载调度算法
ipvsadm -A -t 12.0.0.1:80 -s rr
#添加节点服务器VIP地址和TCP端口为12.0.0.1:80RIP地址和TCP端口为本身并且设置权重为1(权重不设置默认为1)
ipvsadm -a -t 12.0.0.1:80 -r 192.168.150.10:80 -m [-w 1]
ipvsadm -a -t 12.0.0.1:80 -r 192.168.150.15:80 -m [-w 1]
ipvsadm #启用策略
ipvsadm -ln #查看节点状态,Masq代表NAT模式
ipvsadm-save >/etc/sysconfig/ipvsadm #保存策略,可以误删恢复或是重启后读取
-----------------------------------------------------------------------
ipvsadm -d -t 12.0.0.1:80 -r 192.168.150.10:80 #删除群集中某一节点服务器
ipvsadm -D -t 12.0.0.1:80 #删除整个虚拟服务器
systemctl stop ipvsadm #停止服务(清除策略)
systemctl start ipvsadm #启动服务(重建规则)
ipvsadm-restore < /etc/sysconfig/ipvsadm #恢复LVS策略
4.测试结果
在一台IP为12.0.0.120的客户机使用http://12.0.0.1/,不断刷新浏览器负载均衡效果,因为是四层转发所以刷新有60s左右的间隔
以上是关于群集LNMP+SSL+nfs+负载均衡及高可用的主要内容,如果未能解决你的问题,请参考以下文章