3.2.2. Enrutamiento directo e iptables
También puede solucionar el problema de ARP mediante el método de enrutamiento directo al crear reglas de cortafuegos
iptables. Para configurar el enrutamiento con iptables, agregue reglas que creen un proxy transparente para que el servidor real sirva los paquetes enviados a la dirección VIP, aunque la dirección VIP no exista en el sistema.
El método
iptables es más fácil de configurar que el método de arptables_jf. Este método también evita todo el problema de LVS ARP, ya que la dirección IP virtual solo existe en el director activo LVS.
Sin embargo, hay problemas de rendimiento cuando se utiliza el método
iptables en comparación con arptables_jf, ya que hay sobrecarga en el envío y enmascaramiento de cada paquete.
Tampoco puede reutilizar puertos mediante el método
iptables. Por ejemplo, no es posible ejecutar dos servicios Apache HTTP Server independientes vinculados al puerto 80, ya que ambos se deben vincular INADDR_ANY en lugar de las direcciones IP virtuales.
Para configurar el enrutamiento directo mediante el método
iptables, siga los pasos a continuación:
- En cada servidor real, ejecute el siguiente comando para cada combinación VIP, puerto y protocolo (TCP o UDP) que va a ser servida para el servidor real:
iptables -t nat -A PREROUTING -p <tcp|udp> -d <vip> --dport <port> -j REDIRECTEste comando hará que los servidores reales procesen paquetes destinados para VIP y el puerto que les asignen. - Guarde la configuración en cada servidor real:
#
service iptables save#chkconfig --level 2345 iptables onLos comandos anteriores hacen que el sistema recargue la configuración deiptablesen el arranque — antes de que se inicie la red.
