好吧,所以...在网络、负载平衡、隧道或 VPN 连接方面,我绝对不是一个专业人士,但是我尝试了一些方法来实现这个理论概念——显然没有成功。 我试图实现的目标:创建一个公共 VPN(因此对来自 Internet 的外部连接开放),让客户端连接到负载均衡器服务器,然后该服务器根据最少连接将流量转发到不在同一网络内且只能通过 Internet 访问的后端服务器(不,不幸的是没有办法改变这一点)并让它们直接响应客户端(DSR),以便带宽主要发生在后端节点上而不是负载均衡器上,这样负载均衡器上就不会出现瓶颈。 所以我的想法是:由于我们的托管商不提供专用网络,我需要远...
我正在设置以下设置: 我使用 vyos 作为路由器/防火墙 在 vyos 上,我还以 DR 模式设置了 IPVS。这意味着 IPVS 将请求数据包 MAC 地址更改为 realserver MAC 地址,并将带有原始 SRC/DST IP 的数据包转发到 realserver。 realserver 接收数据包并直接回复客户端 IP 地址。realserver 在环回上也有 VIP 地址(arp 数据包被禁用)。realserver 配置应该没问题,因为回复将发送到 vyos。 由于 vyos 位于 realservers 和客户端之间的路径上并且还充当路...
有两台服务器具有相同的 VIP,当一台服务器 curl 另一台服务器时,回复数据包(其 src addr 与 lo addr 相同)似乎被请求服务器丢弃。我该如何允许这种情况? 编辑:仅在 ipv4、ipv6 上工作,rp_filter 关闭,转发打开 上下文:我有一个 ipvs LB,它还充当通过第 3 层连接到服务器的路由器。当我使用 LB 中的 VIP less 进行 curl 时,一切正常。但是当 VIP 处于 lo 状态时,来自服务器的回复数据包似乎被丢弃,我在 iptables 中放置了一个跟踪,它只显示 raw:PREROUTING:polic...
$ sudo ipvsadm -A -u 127.10.5.5:1293 $ sudo ipvsadm -L IP Virtual Server version 1.2.1 (size=4096) Prot LocalAddress:Port Scheduler Flags -> RemoteAddress:Port ...
问题是,在 中启用 IPVS 模式后kube-proxy,一切都正常。但是,一旦安装 Traefik,我就会立即失去与 Kubernetes 的连接。 操作系统:CentOS 7.9 $ uname -rs Linux 3.10.0-1160.71.1.el7.x86_64 Kubernetes:1.22.2 CNI:Calico $ kubectl get nodes NAME STATUS ROLES AGE VERSION srv-dev-is-elt-01 ...
Linux 内核能够使用 nftables、iptables 和 ipvs 路由流量。我在这里收集了 3 个相关问题,以便一般性地提出更广泛的总体问题,即如何确定内核路由和防火墙规则的优先级: 一般来说,这些负载平衡/数据包过滤结构的排序是否有优先顺序? 如果从安装角度来看,NFT 和 iptables 管理不当,可能会导致“冲突”(不可预测的结果)。解决此问题的方法似乎是确保安装了 iptables-legacy。是否可以同时运行 NFT 和 iptables,如果可以,给定的 iptables“表”(Mangle、Filter、NAT)将按照什么顺序应...
我无法让 kubernetes IPv6服务通过正确的源 IP 地址传递到 Pod。它在将流量传递到相同 Pod 的SingleStack LoadBalancer姊妹 IPv4 上工作正常。SingleStack LoadBalancer 该集群是一个裸机 v1.21.1 双栈集群,kubeadm使用 Calico v3.18 作为 cni 和 MetalLB 为配置的服务分配负载均衡器 IP type: LoadBalancer。然后配置 Calico 以通过 BGP 将负载均衡器 IP 通告给本地路由器。以一个包含两个服务(一个用于 IPv4,一个用于...
升级到 v1.19.7 后kubeadm,我的 pod 无法kube-dns通过服务的 ClusterIP 请求服务。改用kube-dnspod IP 地址时,DNS 解析可以正常工作。 kube-dnspod 已启动并正在运行: $ kubectl get pods -n kube-system -l k8s-app=kube-dns NAME READY STATUS RESTARTS AGE coredns-7674cdb774-2m58h 1/1 Running 0 ...
我们正在使用ipvsL4 负载平衡,它以 ipip 隧道模式将数据包传输到 L7 后端。 有三个 ipvs 系统配置了源散列以实现持久性。有时,ipvs 会将数据包传输到错误的后端。 例如,ipvs 1 从客户端 1.1.1.1 接收数据包,并将该数据包发送到后端 realserver 1,同一客户端的下一个数据包由 ipvs 2 接收,然后发送到后端 realserver 2。现在,后端 2 不知道这个数据包,因为连接实际上是由 realserver 1 发起的,因此 realserver 2 使用 RST 数据包结束连接。 这不仅发生在特定客户端上,所有...
在 VRRP 配置中,我一直使用 /32 子网掩码,但我不知道背后的原因。 有时我使用相同的子网掩码作为主接口,例如 /24,在某些情况下它可以起作用,而在其他情况下,直到我设置 /32 才起作用。 例如,Mikrotik 文档 指出了这一点,但没有解释: 注意:如果 VRRP 上配置的地址与路由器的任何其他接口上的地址来自同一子网,则 VRRP 接口上的地址必须具有 /32 网络掩码。 这真的是要求吗?在 FreeBSD CARP 上我没有发现类似的要求。 ...
我想用 IPVS 替换 iptables(8),以实现涉及双向 NAT 的 TCP 反向代理。 我当前使用的 iptables 设置在功能上相当于用户空间转发器(如 socat(1))。它具有以下设置: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8000 -j DNAT --to-destination 172.31.1.1:80 # iptables -P FORWARD ACCEPT iptables -t nat -A POSTROUTING -o eth1 -d 172.31.1.1...
我将 IPVS 配置为: $ ipvsadm --save -A -t localhost:<port> -s rr -a -t localhost:<port> -r <other_hostname>:<port> -m -w 1 它似乎正在运行: $ ipvsadm IP Virtual Server version 1.2.1 (size=4096) Prot LocalAddress:Port Scheduler Flags -> RemoteAddress:Port ...
我在运行 keepalived 的主管节点上有以下设置: 本机 IP 10.65.5.72 贵宾 10.65.5.230 为端口 80 和 443 启用 keepalived DR 模式 我正在调试一个问题,我无法从主管节点本身访问 IPVS 服务,在此过程中注意到 IPVS 流量似乎没有经过 netfilter。为了验证,我在 iptables 中的原始表中设置了以下规则: Chain PREROUTING (policy ACCEPT 143K packets, 133M bytes) pkts bytes target prot o...
配置 Debian 版本 9.7 架构 ppc64 问题 我正在运行keepalived并且遇到了 IPVS 问题,以下是日志: 2 月 16 日 17:02:35 srv Keepalived_vrrp[10109]: IPVS: 没有此文件或目录 2 月 16 日 17:02:35 srv Keepalived_vrrp[10109]: IPVS: 守护进程已运行 然后,keepalived守护进程在循环中失败,并显示以下日志: 2 月 16 日 17:02:37 srv-dhcp Keepalived_vrrp[101...
简单来说,我在群集模式下为一个服务设置了 2 个容器。容器接收 udp 数据包并将其发送回多个客户端,这些客户端的 IP 和端口存储在数据库中。负载平衡:来自一个 IP 的数据包进入同一个容器。 情况如下: 容器 1 从客户端 1 接收数据包(10.255.0.2:5874- 我们在容器内看到的数据包的源 ip 和端口)并向他发回响应(成功)。 容器 2 收到来自客户端 2 的数据包(10.255.0.2:5875)并希望将该数据包发送回两个客户端(使用数据库中的地址),但只有客户端2接收数据包! 我目前收集的调试信息: sudo nsenter...