迷彩 潜伏 隐蔽 伪装
分类: 系统运维
2013-03-18 23:04:03
此架构我简单说明下:
一般为了维护方便,企业网站的服务器都在自己的内部机房里,只开放了Keepalived的VIP地址的两个端口80、443,通过Juniper SSG550防火墙映射出去,外网DNS对应映射后的公网IP。此架构的防火墙及网络安全说明如下:
此系统架构仅映射内网VIP的80及443端口于外网的Juniper SSG550防火墙下,其他端口均关闭,内网所有机器均关闭iptables及ipfw防火墙;外网DNS指向即通过Juniper或华赛USG5000映射出来的外网地址。
本节内容出自我的项目方案,这种负载均衡方式同时也应用于我公司的电子商务网站中,目前已稳定上线一年多了。通过下面的内容,大家可以迅速架构一个企业级的负载均衡高可用的Web环境。在负载均衡高可用技术上,我一直主力推崇以Nginx+Keepalived作Web的负载均衡高可用架构,并积极将其应用于真实项目中,此架构极适合灵活稳定的环境。Nginx负载均衡作服务器遇到的故障一般有:
服务器网线松动等网络故障;
服务器硬件故障发生损坏现象而crash;
Nginx服务进程死掉(这种情况理论上会遇到,但事实上我线上的服务器没有出现过这种情况,足以证明了Nginx作为负载均衡器/反向代理服务器的稳定性,我们可以通过技术手段来解决这一问题);
具体实施步骤如下:
一、安装和配置Nginx及Keepalived,没什么技术含量,大家可以参考我的专题系列的文章,如下地址。
二、编写SHELL脚本,来实现Nginx服务进程的高HA,脚本内容如下:
我稍为解释一下,这是一个无限循环的脚本,放在主Nginx机器上(因为目前主要是由它提供服务),每隔5秒执行一次,用ps -C 命令来收集nginx的PID值到底是否为0,如果是0的话(即Nginx进程死掉了),尝试启动nginx进程;如果继续为0,即nginx启动失改,则关闭本机的Keeplaived进程,VIP地址则会由备机接管,当然了,整个网站就会由备机的Nginx来提供服务了,这样保证Nginx进程的高可用。
当然还有别的办法,比如我们可以写另外的SHELL脚本,每隔5秒wget首页的index.php或index.jsp文件或ping网站的VIP地址,如果$?返回码为非零值(即错误),我们也可以关闭主Nginx机器,由备机接管,有兴趣的朋友可以自行编写这些脚本。