ubuntu防火墙如何实现负载均衡

Ubuntu 防火墙实现负载均衡的可行路径

在 Ubuntu 上，负载均衡通常借助内核的 Netfilter/iptables 或 IPVS（LVS） 完成；若使用 firewalld，更多是做端口转发与策略编排，底层仍依赖上述内核能力。下面给出三种常用做法与关键配置要点，便于按场景选择。

方案一 使用 iptables statistic 模块做端口转发均衡

• 适用：简单的四层转发（DNAT）到多台后端，快速落地。
• 思路：在 nat/PREROUTING 用 statistic 模块按“每第 N 个包/随机概率”分发到不同后端，在 nat/POSTROUTING 做 SNAT/MASQUERADE 回包。
• 示例（轮询分发到两台后端，LB 外网卡为 eth0）：

  #!/usr/bin/env bash
  set -e
  
  # 启用转发
  sudo sysctl -w net.ipv4.ip_forward=1
  
  # 清空规则
  sudo iptables -t nat -F
  
  # 轮询：第1个包到 192.168.1.200:80，其余到 192.168.1.201:80
  sudo iptables -t nat -A PREROUTING -p tcp --dport 80 \
       -m statistic --mode nth --every 2 --packet 0 \
       -j DNAT --to-destination 192.168.1.200:80
  sudo iptables -t nat -A PREROUTING -p tcp --dport 80 \
       -j DNAT --to-destination 192.168.1.201:80
  
  # 回程源地址转换
  sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  

• 概率分发示例（3 台后端，概率分别为 1/3、1/2、余下）：

  sudo iptables -t nat -A PREROUTING -p tcp --dport 80 \
       -m statistic --mode random --probability 0.33 \
       -j DNAT --to-destination 192.168.1.101:80
  sudo iptables -t nat -A PREROUTING -p tcp --dport 80 \
       -m statistic --mode random --probability 0.50 \
       -j DNAT --to-destination 192.168.1.102:80
  sudo iptables -t nat -A PREROUTING -p tcp --dport 80 \
       -j DNAT --to-destination 192.168.1.103:80
  

• 提示：基于“每包/每流”的转发对长连接（如下载、视频）可能带来乱序或会话粘滞问题；如需会话保持，可改用基于源地址的更粗粒度分发策略。

方案二 使用 IPVS LVS 与 Keepalived 构建高性能四层负载均衡

• 适用：高并发、生产级四层转发，支持 NAT/DR/TUN 模式与健康检查、主备高可用。
• 思路：用 Keepalived 管理 VRRP 虚拟 IP（VIP）与 IPVS 调度；后端服务器按模式配置（如 DR 模式需抑制 ARP 响应并在本地回环绑定 VIP）。
• 关键步骤与示例：
  • 安装组件：sudo apt-get install ipvsadm keepalived
  • 开启转发：sudo sysctl -w net.ipv4.ip_forward=1
  • Keepalived 配置片段（主节点示例，VIP 为 192.168.98.100，调度算法 wrr，NAT/DR 按需选择）：

    global_defs { router_id LVS_DEVEL }
    
    vrrp_instance VI_1 {
        state MASTER
        interface ens33
        virtual_router_id 51
        priority 120
        advert_int 1
        authentication { auth_type PASS auth_pass 1111 }
        virtual_ipaddress { 192.168.98.100 }
    }
    
    virtual_server 192.168.98.100 80 {
        delay_loop 6
        lb_algo wrr
        lb_kind DR          # 或 NAT/TUN
        persistence_timeout 50
        protocol TCP
    
        real_server 192.168.98.7 80 {
            weight 1
            TCP_CHECK { connect_timeout 3 }
        }
        real_server 192.168.98.14 80 {
            weight 2
            TCP_CHECK { connect_timeout 3 }
        }
    }
    

  • DR 模式后端要点（在每台 realserver 上执行）：

    VIP=192.168.98.100
    ip addr add $VIP/32 dev lo:0
    ip route add $VIP dev lo:0
    sysctl -w net.ipv4.conf.lo.arp_ignore=1
    sysctl -w net.ipv4.conf.lo.arp_announce=2
    sysctl -w net.ipv4.conf.all.arp_ignore=1
    sysctl -w net.ipv4.conf.all.arp_announce=2
    

  • 启动：sudo systemctl start keepalived（主备部署时，备节点 state 为 BACKUP、priority 更低）。

方案三 使用 firewalld 做端口转发与分发编排

• 适用：已有 firewalld 管理策略，需将单端口分发到本机多个服务端口（如 80→8080/8081）。
• 示例（将 80 端口分发到本机 8080 与 8081，按概率近似分流）：

  sudo apt-get install --reinstall firewalld
  sudo firewall-cmd --permanent --zone=public --add-forward-port=port=80:proto=tcp:toport=8080
  sudo firewall-cmd --permanent --zone=public --add-forward-port=port=80:proto=tcp:toport=8081
  sudo firewall-cmd --reload
  

• 说明：firewalld 的富转发规则可更细粒度控制，但多目标“均衡”通常仍需借助 iptables statistic 或上层 L4/L7 代理 实现。

方案对比与选型建议

• 选型建议：
  • 快速临时分流或实验环境：优先 iptables statistic。
  • 生产高并发与高可用：选择 IPVS LVS + Keepalived（必要时配合后端健康检查脚本）。
  • 已采用 firewalld 的运维体系：用 firewalld 做端口转发与策略入口，底层仍建议接入 iptables/IPVS 实现均衡。