NAT模式實現加密調度
實驗準備:禁用selinux,禁用iptables,同步time,避免調度數據時間不一樣,日誌什麼的都很麻煩。
實驗思路:這是一個簡單的實現調度的實驗,調度器充當路由器,需要實現路由轉發的功能。realserver都是在同一個網段,使用私網地址,記住把realserver橋接的網卡都斷開。
實驗步驟:
第一步:做好實驗準備
iptables -F
setenforce 0
ntpdate 172.17.0.1或者hwclock -s 把Bios時間寫入系統時間
第二步:準備好兩個realserver,做真實的web服務器
yum install httpd
systemctl start httpd
第三步:斷開橋接的網卡
ifconfig ens37 down
ifconfig eth1 down
第四步:配置realserver網關指向dip,原路返回
route add default gw 192.168.253.142
第五步:VS充當路由需要路由轉發功能
echo 1 > /proc/sys/net/ipv4/ip_forward
或者如下修改配置文件
vim /etc/sysctl.conf
net.ipv4.ip_forword = 1
第六步:準備VS,安裝ipvsadm軟件包。
yum install ipvsadm
第七步:配置NAT模式
ipvsadm -A -t 172.17.252.78:80 -s wlc
ipvsadm -a -t 172.17.252.78:80 -r 192.168.253.250:80 -m -w 1
ipvsadm -a -t 172.17.252.78:80 -r 192.168.253.129:80 -m -w 1
第八步:在realserver寫入倆站點測試
echo aliyun.com >/var/www/html/index.html
echo baiduyun.com >/var/www/html/index.html
第九步:查看VS配置
ipvsadm -ln
第十步:測試頁面
curl 172.17.252.78
Tips:
1.網關不要搞錯,不然可能不會按照指定的路徑連接。
2.ipvsadm保存操作
保存:建議保存至/etc/sysconfig/ipvsadm
ipvsadm-save > /PATH/TO/IPVSADM_FILE
ipvsadm -S > /PATH/TO/IPVSADM_FILE
systemctl stop ipvsadm.service
重載:
ipvsadm-restore < /PATH/FROM/IPVSADM_FILE
ipvsadm -R < /PATH/FROM/IPVSADM_FILE
systemctl restart ipvsadm.service
實驗補充:實現加密
第一步:安裝mod_ssl軟件包,生成加密配置文件
yum install mod_ssl
第二步:生成自簽名證書
cd /etc/pki/tls/certs
make httpd.pem ----私鑰和文件放在一起的
或者
make httpd.crt ---方便,不用更改路徑,是分開私鑰和證書,但是需要輸入密碼
第三步:更改配置文件,證書和私鑰路徑
vim /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/httpd.crt
SSLCertificateKeyFile /etc/pki/tls/certs/httpd.key
systemctl restart httpd
第四步:用crt的方式需要自己解密,不然一直輸入密碼很麻煩
openssl rsa -in httpd.key -out httpd2.key
cp httpd2.key httpd.key
rm httpd2.key
第五步:建立realserver各自的443站點
Centos7:
mkdir /app/website2 -p
echo aliyun.com 443 > /app/website2/index.html
Centos6:
mkdir /app/website -p
echo baidu.com 443 > /app/website/index.html
echo baidu.com 443 > /app/website/index.html
第六步:重啓realserver服務,然後在VS上加上NAT調度配置
ipvsadm -A -t172.17.252.78:443 -s wlc
ipvsadm -a -t172.17.252.78:443 -r 192.168.253.250:443 -m -w 1
ipvsadm -a -t172.17.252.78:443 -r 192.168.253.129:443 -m -w 1