怎样实现CentOS FTP服务器的负载均衡

CentOS FTP服务器负载均衡实现指南

一、方案总览与选择

• 软件负载均衡：使用 HAProxy 或 Nginx Stream 做四层转发，简单、灵活、易维护，适合大多数场景。
• 内核级方案：使用 LVS（DR）+ Keepalived，性能更高、可扩展性强，适合大流量与高可用场景。
• 高可用增强：在任一方案前叠加 Keepalived VIP，避免单点故障。
• 其他：可用 硬件负载均衡器（如 F5） 或 DNS 轮询（简单但无健康检查与连接粘性控制）。

二、方案一 HAProxy四层负载均衡（推荐起步）

• 安装与启用
  • 执行：sudo yum install haproxy -y && sudo systemctl enable --now haproxy
• 核心配置示例（/etc/haproxy/haproxy.cfg）
  • 全局与默认

    global
        log /dev/log local0
        log /dev/log local1 notice
        daemon
        maxconn 4096
    
    defaults
        log     global
        mode    tcp
        option  tcplog
        timeout connect 5000ms
        timeout client  50000ms
        timeout server  50000ms
    

  • 前端与后端

    frontend ftp_front
        bind *:21
        default_backend ftp_back
    
    backend ftp_back
        balance roundrobin
        server ftp1 192.168.1.101:21 check
        server ftp2 192.168.1.102:21 check
    

• 防火墙放行
  • 执行：sudo firewall-cmd --permanent --add-service=ftp && sudo firewall-cmd --reload
• 说明
  • 此配置为纯四层转发，控制连接由负载均衡器处理；数据连接在被动模式（PASV）下由后端 FTP 服务器直接返回客户端，因此需配合后文的被动端口与防火墙策略。

三、方案二 LVS DR + Keepalived（高性能与高可用）

• 拓扑与角色
  • Director（负载均衡器）：开启 IP 转发，配置 VIP（如 192.168.1.100）；后端为 Real Server（FTP 服务器）。
• Director 配置要点
  • 开启转发：echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf && sudo sysctl -p
  • 安装工具：sudo yum install ipvsadm keepalived -y
  • LVS/Keepalived 示例（/etc/keepalived/keepalived.conf）

    vrrp_instance VI_1 {
        state MASTER
        interface eth0
        virtual_router_id 51
        priority 100
        advert_int 1
        authentication { auth_type PASS auth_pass 42 }
        virtual_ipaddress { 192.168.1.100/24 }
    }
    
    virtual_server 192.168.1.100 21 {
        delay_loop 6
        lb_algo rr
        lb_kind DR
        protocol TCP
        real_server 192.168.1.101 21 {
            weight 1
            TCP_CHECK { connect_timeout 10 connect_port 21 }
        }
        real_server 192.168.1.102 21 {
            weight 1
            TCP_CHECK { connect_timeout 10 connect_port 21 }
        }
    }
    

  • 启动：sudo systemctl enable --now keepalived
• Real Server 配置要点（DR 模式）
  • 在回环接口配置 VIP（/32） 并抑制 ARP：

    SNS_VIP=192.168.1.100
    ip addr add $SNS_VIP/32 dev lo:0
    route add -host $SNS_VIP dev lo:0
    echo 1 >/proc/sys/net/ipv4/conf/lo/arp_ignore
    echo 2 >/proc/sys/net/ipv4/conf/lo/arp_announce
    echo 1 >/proc/sys/net/ipv4/conf/all/arp_ignore
    echo 2 >/proc/sys/net/ipv4/conf/all/arp_announce
    

• 说明
  • DR 模式要求后端服务器将 VIP 仅绑定在 lo:0，由内核直接回包，避免经由 Director 转发数据连接，性能更佳。

四、FTP被动模式与防火墙关键配置

• 后端 FTP 服务器（以 vsftpd 为例，/etc/vsftpd/vsftpd.conf）
  • 启用被动模式并限定端口范围（示例：2121–2130）：

    pasv_enable=YES
    pasv_min_port=2121
    pasv_max_port=2130
    pasv_address=192.168.1.100   # 对外暴露的 VIP（LVS 或 HAProxy 前端地址）
    

  • 重启：sudo systemctl restart vsftpd
• 防火墙与 SELinux
  • 放行控制与被动端口（示例范围 2121–2130）：

    sudo firewall-cmd --permanent --add-port=21/tcp
    sudo firewall-cmd --permanent --add-port=2121-2130/tcp
    sudo firewall-cmd --reload
    

  • SELinux（如启用）：

    sudo setsebool -P ftp_home_dir on
    sudo setsebool -P allow_ftpd_full_access on
    

• 说明
  • 被动模式下，客户端数据连接目标为 PASV_ADDRESS:PASV_PORT；因此需确保该地址与端口对客户端可达，并在负载均衡器/防火墙放行对应端口范围。

五、安全、高可用与验证

• 加密传输
  • 若使用 FTPS（推荐）：在 vsftpd 启用 ssl_enable=YES、force_local_data_ssl=YES、force_local_logins_ssl=YES，并配置证书；防火墙放行 990/tcp（FTPS 控制通道）。HAProxy/Nginx 侧可按需配置 TLS 终止或透传。
• 高可用
  • 单台负载均衡器仍可能单点，建议在 LVS/HAProxy 前叠加 Keepalived VIP，实现主备自动切换。
• 健康检查与监控
  • HAProxy/Nginx 支持后端 TCP 健康检查；建议结合日志与监控（如 Prometheus + Grafana）观察连接数、成功率与延迟。
• 快速验证
  • 连接测试：ftp <负载均衡器IP> 或 lftp <负载均衡器IP>；上传/下载大文件验证吞吐与稳定性；在负载均衡器与后端查看日志：tail -f /var/log/vsftpd/vsftpd.log、tail -f /var/log/haproxy.log。
• 共享存储（可选）
  • 多台 FTP 服务器需共享数据目录时，可用 NFS 将同一目录挂载到各节点，确保内容一致性。