1、LVS 手冊手冊 修改歷史修改歷史 時間說明修改人 2006-11-29創(chuàng)建文檔* 2006-12-6修改文檔* 2007-1-11增加受攻擊的應對措施* 系統(tǒng)有限公司 版權所有 不得復制 目目 錄錄 第一章第一章 IPVS 負載均衡技術負載均衡技術 .3 1.1 LVS 集群的通用結構 .3 1.2 IP 負載均衡技術 .5 1.2.1 通過NAT實現(xiàn)虛擬服務器（VS/NAT）.5 1.2.2 通過直接路由實現(xiàn)虛擬服務器（VS/DR）.6 1.2.3 通過IP隧道實現(xiàn)虛擬服務器（VS/TUN）.9 1.2.4 三種IP負載均衡技術比較.11 第二章第二章 IPVS+HEARTBEAT+MON

2、 建立建立 LVS 系統(tǒng)系統(tǒng).13 2.1 系統(tǒng)搭建流程.13 2.1.1 Load Balancer的搭建流程.13 2.1.2 Real Server的搭建流程.13 2.2 內核升級.13 2.2.1 LD Server的內核編譯參數(shù).13 2.2.2 Real Server的內核編譯參數(shù).16 2.2.3 內核升級步驟.17 2.3 安裝IPVSADM及配置 IPVS.17 2.3.1 安裝ipvsadm(install_ipvs.sh).17 2.3.2 配置IPVS(config_ipvs.sh).18 2.4 安裝MON及配置MON.18 2.4.1 安裝mon(install_

3、mon.sh).18 2.4.2 配置mon(config_mon.sh).18 2.5 安裝 HEARTBEAT及配置 HEARTBEAT.19 2.5.1 安裝HeartBeat(install_HB.sh).19 2.5.2 配置HeartBeat(config_HB.sh).19 2.6 系統(tǒng)配置信息.20 2.7 自動化安裝包使用說明（LVSPAKEAGE.TAR.GZ） .20 2.8 REAL SERVER的配置.21 第三章第三章 VS/TUN 模式壓力測試報告模式壓力測試報告.22 3.1 VS/TUN 模式壓力測試結論.22 3.2 千 M 網卡，模式 VS/TUN（外網

4、VIP,HTTP 服務）.22 3.2.1 壓力測試條件.22 3.2.2 LD SERVER的情況.23 3.2.3 REAL SERVER 9的情況.23 3.2.4 REAL SERVER 38的情況.24 3.2.5 REAL SERVER 2的情況.24 3.2.6REAL SERVER 0的情況.25 3.2.6REAL SERVER 結論.25 3.3 百 M 網卡，模式 VS/TUN（內網 VIP，UDP 服務）.26 3.3.1 壓力測試條件.26 3.3.2 LD SERVER的情況.2

5、6 3.3.3 REAL SERVER 50的情況.27 3.3.4 REAL SERVER 51的情況.27 3.3.5 REAL SERVER 52的情況.28 3.3.6 REAL SERVER 53的情況.28 3.3.7 REAL SERVER 54的情況.29 3.3.8 結論.29 第四章第四章 高級話題高級話題 .30 4.1 充分利用服務器資源發(fā)揮 LVS 性能.30 4.1.1 雙CPU超線程的至強服務器.30 4.1.2 雙CPU雙核心的至強服務器.30 4.2

6、連接的相關性.31 4.3 本地節(jié)點.33 4.4 MON監(jiān)測程序 .33 4.5 系統(tǒng)可用性分析.33 4.5 RS 上運行 SQUID.34 4.6 系統(tǒng)綁定端口分析.34 4.7 LD 的網絡拓撲及受攻擊時的應對措施.35 4.7.1 LD的網絡拓撲.35 4.7.2 LD受攻擊時的應對措施.36 附錄附錄 1 IPVSADM 使用指南使用指南.38 1 名詞解釋.38 2 IPVSADM 的用法和格式如下.38 3 命令選項.38 4 Q lvs;及 iptables，狀態(tài)機。 anetworking options: 進入進入 network packet filtering 配置配

7、置 Core 配置配置 IP： b配置配置 LVS 2.2.2 Real Server 的內核編譯參數(shù)的內核編譯參數(shù) RS 的內核只需在現(xiàn)有內核的基礎上開啟的內核只需在現(xiàn)有內核的基礎上開啟 net options 中的中的 ip tunnlig 選項即可，如下選項即可，如下 圖：圖： 同時需要關閉狀態(tài)機，公司內核中默認沒有狀態(tài)機的，因此，也可以不進行該配制。同時需要關閉狀態(tài)機，公司內核中默認沒有狀態(tài)機的，因此，也可以不進行該配制。 2.2.3 內核升級步驟內核升級步驟 a根據(jù) LD/RS，將對應的內核放置在系統(tǒng)的/boot 目錄下。 b修改/etc/lilo.conf 文件 c執(zhí)行 lilo

8、命令，進行變更 dreboot 需要注意的是，如果是跨內核版本升級，如 2.4 升到 2.6，需要考慮主 機的網線順序的更換問題。 2.3 安裝安裝 ipvsadm 及配置及配置 IPVS 2.3.1 安裝安裝 ipvsadm(install_ipvs.sh) a /software/ipvs.html 下載對應內核版本的 ipvsadm b 進入 ipvsadm 目錄，并 make 以及 make install c 輸入命令 ipvsadm，若有如下提示則安裝正確。 IP Virtual Server version 1.2.

9、1 (size=65536) Prot LocalAddress:Port Scheduler Flags - RemoteAddress:Port Forward Weight ActiveConn InActConn 2.3.2 配置配置 IPVS(config_ipvs.sh) a 配置系統(tǒng)參數(shù)（eth0 為綁定 VIP 的網卡設備） echo 0 /proc/sys/net/ipv4/ip_forward echo 1 /proc/sys/net/ipv4/conf/all/send_redirects echo 1 /proc/sys/net/ipv4/conf/default/se

10、nd_redirects echo 1 /proc/sys/net/ipv4/conf/eth0/send_redirects b 配置 IPVS 的服務類型、VIP 地址以及對應的 RS 信息，例如： /sbin/ipvsadm -A t 41:80 -s wlc /sbin/ipvsadm -a -t 41:80 -r 39 -i -w 1 /sbin/ipvsadm -a -t 41:80 -r 0 -i -w 1 （ipvsadm的使用請參見附錄1） 2.4 安裝安裝 mon

11、及配置及配置 mon 2.4.1 安裝安裝 mon(install_mon.sh) a 軟件的準備 1 mon-0.99.1.tar.gz 2 Mon-0.11.tar.gz 3 Time-HiRes-01.20.tar.gz 4 Period-1.20.tar.gz 5 Convert-BER-1.31.tar.gz b 安裝 perl 模塊，就是 ，三個 perl 模塊和一個 Mon 編譯進系統(tǒng) cd perl MakeFile.pl make make install c 直接 tar xvzf mon-0.99.1.tar.gz ，mon 就安裝完畢。 2.4.2 配置配

12、置 mon(config_mon.sh) a 將 lvs 的 alert 腳本 lvs.alert 復制到 mon-0.99.1/alert.d，(lvs.alert 請見 LVSPackage.tar.gz) b 將 mon 的配置文件 mon.cf 復制到 mon-0.99.1（mon.cf 請見 LVSPackage.tar.gz） 2.5 安裝安裝 HeartBeat 及配置及配置 HeartBeat 2.5.1 安裝安裝 HeartBeat(install_HB.sh) a 軟件準備 1 libnet-.tar.gz 2 heartbeat-2.0.7.tar.gz b

13、 安裝 libnet tar -xzvf libnet-.tar.gz cd /root/libnet ./configure make make install c 安裝HeartBeat tar -xzvf heartbeat-2.0.7.tar.gz rm heartbeat-2.0.7.tar.gz cd heartbeat-2.0.7 groupadd -g 65 haclient useradd -g 65 -u 17 hacluster ./ConfigureMe configure make make install 2.5.2 配置配置 HeartBeat(co

14、nfig_HB.sh) a 復制配置文件（下述配置文件請見LVSPackage.tar.gz） cp doc/ha.cf doc/haresources doc/authkeys /etc/ha.d/ cp doc/ha.cf /etc/ha.d/ha.cf cp doc/haresources /etc/ha.d/haresources cp doc/TencentLvs /etc/ha.d/resource.d/ chmod 600 authkeys b 修改配置文件 在/etc/ha.d/ha.cf中加入Active和Standby LD的節(jié)點信息以及heartbeat心跳線的制 作，例

15、如 echo node $A_hostname /etc/ha.d/ha.cf echo node $S_hostname /etc/ha.d/ha.cf echo “ucast eth1 $S_hostip” /etc/ha.d/ha.cf 在/etc/ha.d/haresources中加入需要拉動的資源信息，例如 echo S_hostname IPaddr:41/24/eth1 TencentLvs etc/ha.d/haresources 2.6 系統(tǒng)配置信息系統(tǒng)配置信息 將如下三句加入到/etc/rc.d/rc.local中 /usr/lib/heartbeat

16、/heartbeat Sleep(40) /usr/lib/heartbeat/hb_takeover 2.7 自動化安裝包使用說明（自動化安裝包使用說明（LVSPakeage.tar.gz） 1. cp vmlinuz-1-p4-LVS-LD /boot/vmlinuz-1 vi /etc/lilo.conf，增加如下語句 image = /boot/vmlinuz-1 root = /dev/sda1 label = Linux2616 read-only 將 default 修改為 default = Linux2616 reboot 2.

17、/install_ipvs.sh 3./install_mon.sh 4./install_HB.sh 5.修改/usr/local/lvs/lvs.conf 配置文件 6./config_ipvs.sh，利用 ipvsadm 查看結果 7./config_mon.sh 8./configHB.sh uname ucastip phost phostip (ucastip 為本機心跳 IP，phostip 為對方的 心跳 IP) 9./startHB.sh ucastip (ucastip 為自己的心跳 IP) 10.相應的 iptables 設置 2.8 Real Server 的配置的配置

18、 a 配置系統(tǒng)參數(shù) echo 0 /proc/sys/net/ipv4/ip_forward b 配置tunl0 /sbin/ifconfig tunl0 $VIP broadcast $VIP netmask 0 xffffffff up /sbin/route add -host $VIP dev tunl0 c 解決arp問題 echo 1 /proc/sys/net/ipv4/conf/tunl0/arp_ignore echo 2 /proc/sys/net/ipv4/conf/tunl0/arp_announce echo 1 /proc/sys/net/ipv4/conf/all

19、/arp_ignore echo 2 /proc/sys/net/ipv4/conf/all/arp_announce d 解決源地址驗證問題 echo 0 /proc/sys/net/ipv4/conf/tunl0/rp_filter echo 0 /proc/sys/net/ipv4/conf/all/rp_filter 第三章第三章 VS/TUN 模式壓力測試報告模式壓力測試報告 3.1 VS/TUN 模式壓力測試結論模式壓力測試結論 1 對對 Load Banlancer 來說，在來說，在 VS/TUN 模式，千兆網卡的條件下，請求包模式，千兆網卡的條件下，請求包 的長度的長度 /pr

20、oc/irq/$ETH0_NU/smp_affinity 指定 CPU3 來處理 eth0 網卡的中斷請求。 4， ETH1_NU=cat /proc/interrupts | grep eth1 | awk -F : print $1 查看處理 eth1 網卡的 irq 中斷號。 5， echo 2 /proc/irq/$ETH1_NU/smp_affinity 指定 CPU1 來處理 eth1 網卡的中斷請求。 4.1.2 雙雙 CPU 雙核心的至強服務器雙核心的至強服務器 在 linux 下，對于雙 CPU 雙核心的服務器來說，若內核中沒有開啟 HT 選項， 則默認可以識別到 4 塊 C

21、PU。分別為 CPU0；CPU1；CPU2；CPU3。其中 CPU0 和 CPU1 為同一 CPU 的 2 個核。 基于雙核至強 CPU 的架構，對于同一物理 CPU 的 2 個核心是共享 4M 二級 Cache 的，因此，將一塊網卡的中斷對應到同一個物理 CPU 的 2 個核心上，可 以在保證二級 Cache 命中率的前提下，充分發(fā)揮雙核心 CPU 的性能，進一步提 高 LD Server 的處理能力。 具體處理方法如下： 1.cat /proc/cpuinfo | grep processor | wc l 查看 CPU 處理器個數(shù) 2.ETH0_NU=cat /proc/interrup

22、ts | grep eth0 | awk -F : print $1 查看處理 eth0 網卡的 irq 中斷號。 3.echo c /proc/irq/$ETH0_NU/smp_affinity 指定 CPU2 和 CPU3 來處理 eth0 網卡的中斷請求。 4.ETH1_NU=cat /proc/interrupts | grep eth1 | awk -F : print $1 查看處理 eth1 網卡的 irq 中斷號。 5.echo 3 /proc/irq/$ETH1_NU/smp_affinity 指定 CPU0 和 CPU1 來處理 eth1 網卡的中斷請求。 4.2 連接的相

23、關性連接的相關性 在之前的 LVS 配置和使用中，均假設每個連接都相互獨立的，所以每個連 接被分配到一個服務器，跟過去和現(xiàn)在的分配沒有任何關系。但是，有時由于 功能或者性能方面的原因，一些來自同一用戶的不同連接必須被分配到同一臺 服務器上。 FTP 是一個因為功能設計導致連接相關性的例子，在 FTP 使用中，客戶需 要建立一個控制連接與服務器交互命令，建立其他數(shù)據(jù)連接來傳輸大量的數(shù)據(jù)。 在主動的 FTP 模式下，客戶通知 FTP 服務器它所監(jiān)聽的端口，服務器主動地建 立到客戶的數(shù)據(jù)連接，服務器的端口一般為 20。IPVS 調度器可以檢查報文的 內容，可以獲得客戶通知 FTP 服務器它所監(jiān)聽的端

24、口，然后在調度器的連接 Hash 表中建立一個相應的連接，這樣服務器主動建立的連接可以經過調度器。 但是，在被動的 FTP 模式下，服務器告訴客戶它所監(jiān)聽的數(shù)據(jù)端口，服務器被 動地等待客戶的連接。在 VS/TUN 或 VS/DR 下，IPVS 調度器是在從客戶到 服務器的半連接上，服務器將響應報文直接發(fā)給客戶，IPVS 調度器不可能獲 得服務器告訴客戶它所監(jiān)聽的數(shù)據(jù)端口。 SSL（Secure Socket Layer）是一個因為性能方面原因導致連接相關性 的例子。當一個 SSL 連接請求建立時，一個 SSL 的鍵值（SSL Key）必須要 在服務器和客戶進行選擇和交換，然后數(shù)據(jù)的傳送都要經過

25、這個鍵值進行加密， 來保證數(shù)據(jù)的安全性。因為客戶和服務器協(xié)商和生成 SSL Key 是非常耗時的， 所以 SSL 協(xié)議在 SSL Key 的生命周期內，以后的連接可以用這個 SSL Key 和服務器交換數(shù)據(jù)。如果 IPVS 調度器將以后的連接調度到其他服務器，這會 導致連接的失敗。 在 IPVS 中解決連接相關性的方法是持久服務（Persistent Service）的 處理。在 IPVS 中使用兩個模板來表示客戶和服務器之間的持久服務，模板 protocol, client_ip, 0, virtual_ip, virtual_port, dest_ip, dest_port 表示來自同一客

26、戶 client_ip 到虛擬服務virtual_ip, virtual_port的任何 連接都會被轉發(fā)到目標服務器dest_ip, dest_port，模板protocol, client_ip, 0, virtual_ip, 0 dest_ip, 0表示來自同一客戶 client_ip 到虛擬 服務器 virtual_ip 的任何連接都會被轉發(fā)到目標服務器 dest_ip，前者用于單 一的持久服務，后者用于所有端口的持久服務。 當一個客戶訪問一個持久服務時，IPVS 調度器會在連接 Hash 表中建立一 個模板，所以在采用持久服務時，調度器需要記錄每個連接的狀態(tài)，會占用一 定的內存空間（每

27、個連接占用 128byte）。這個模板會在一個可設置的時間內 過期，如果模板有所控制的連接沒有過期，則這個模板不會過期。在這個模板 沒有過期前，所有來自這個客戶到相應服務的任何連接會被發(fā)送到同一臺服務 器。在 ipvsadm 設置時可以指定-p 選項加上超時時間代表調度器實現(xiàn)持久服 務（超時時間單位為 s），例如 ipvsadm -A -t :80 -p 30。 持久服務還可設置持久的粒度，即可設置將來自一個 C 類地址范圍的所有 客戶請求發(fā)送到同一臺服務器。這個特征可以保證當使用多個代理服務器的客 戶訪問集群時，所有的連接會被發(fā)送到同一服務器。 雖然持久服務可能會導致服務器

28、間輕微的負載不平衡，因為持久服務的一 般調度粒度是基于每個客戶機的，但是這有效地解決連接相關性問題，如 FTP、SSL 和 HTTP Cookie 等。 4.3 本地節(jié)點本地節(jié)點 本地結點（Local Node）功能是讓調度器本身也能處理請求，在調度時就相 當一個本地結點一樣，在實現(xiàn)時就是根據(jù)配置將部分連接轉交給在用戶空間的 服務進程，由服務進程處理完請求將結果返回給客戶。該功能的用處如下： 當集群中服務器結點較少時，如只有三、四個結點，調度器在調度它們時， 大部分的 CPU 資源是閑置著，可以利用本地結點功能讓調度器也能處理一部分 請求，來提高系統(tǒng)資源的利用率。 在分布式服務器中，我們可以利

29、用 IPVS 調度的本地結點功能，在每臺服務 器上加載 IPVS 調度模塊，在一般情況下，利用本地結點功能服務器處理到達 的請求，當管理程序發(fā)現(xiàn)服務器超載時，管理程序將其他服務器加入調度序列 中，將部分請求調度到其他負載較輕的服務器上執(zhí)行。 在地理上分布的服務器鏡像上，鏡像服務器利用本地結點功能處理請求， 當服務器超載時，服務器通過 VS/TUN 將請求調度到鄰近且負載較輕的服務器 上。 4.4 Mon 監(jiān)測程序監(jiān)測程序 在 mon 的 mon.d 目錄下有大量的服務檢測腳本，但由于 RS 上搭建的服務 種類繁多，mon.d 中的腳本不一定能完全滿足要求，所以必須編寫監(jiān)測 RS 上服 務的腳本

30、和程序。實現(xiàn)針對具體業(yè)務的檢測腳本非常簡單，只需做到如下兩點： 1可以用任何語言編寫檢測腳本或程序，用監(jiān)測 RS 上業(yè)務時 exit 0 代表 RS 上的業(yè)務服務正常，exit 1 代表 RS 上的業(yè)務服務不正常。 2將檢測腳本或程序復制到 mon.d 目錄下即可，在 mon.cf 中就可以指定 Mon 總是在運行檢測腳本完畢后才會運行下一檢測腳本，例如 mon.cf 中設 定時間間隔為 10s，但是檢測腳本運行時間超過 10 秒，那么 mon 不會運行新的 檢測腳本，所以檢測腳本的運行時間需要比 mon 設定的檢測間隔時間短。 4.5 系統(tǒng)可用性分析系統(tǒng)可用性分析 在 LVS/TUN 模式下

31、，客戶端首先向 Load Balancer 發(fā)出請求，之后 Load Balancer 將請求報文轉給 Real Server，最后 Real Server 將響應報文回復給客戶 端。在這個過程中，為保證系統(tǒng)的可用性，必須做到： 1，當 Load Balancer 不能正常工作時（譬如遭受惡意或非惡意的故障） ，必 須立刻由另外一臺服務器接管 Load Balancer 的 VIP，并且能提供和 Load Balancer 相同的服務。 2，當某一臺 Real Server 不能正常提供服務時，Load Balancer 必須立刻收到 該消息，在 Real Server 不能正常提供服務的時段

32、內不轉發(fā)任何客戶端的請求， 當 Real Server 能恢復正常時，Load Balancer 也必須能收到該消息，將客戶端請 求負載均衡到該機器上。 在 IPVS+HeartBeat+Mon 系統(tǒng)中，很好的完成了如上兩點，利用 HeartBeat 的心跳機制進行主備 Load Balancer 之間的切換，利用 Mon 對 Real Server 進行 實時的監(jiān)測。在 中進行如下測試很好的論證了這兩點： 1，Load Balancer 重啟，此時服務遭受中斷，但在三秒后服務恢復正常，備 用 Load Balancer 將主 Load Balancer 完全接管，此后備用 Load Bala

33、ncer 的流量 和主 Load Balancer 的流量提供服務時的流量相同。 2，三臺 Real Server 中某臺的 http 服務關閉，八秒后 Load Balancer 探測到 該 Real Server 不能正常提供服務（探測間隔可設置，最小為一秒） ，實時刷新 ipvs 規(guī)則，以后的請求將不再導向到該 Real Server。 3，啟動第 2 步中那臺 Real Server 的 http 服務，八秒后 Load Balancer 探測 到該 Real Server 能正常提供服務，實時刷新 ipvs 規(guī)則，以后的請求將繼續(xù)負載 均衡到該 Real Server。 4.5 RS

34、 上運行上運行 Squid 對于很多 cache 類的業(yè)務采用 squid 能夠大大提供系統(tǒng)性能 4.6 系統(tǒng)綁定端口分析系統(tǒng)綁定端口分析 按照第二章的步驟建立 LVS 系統(tǒng)后，利用 netstat 會發(fā)現(xiàn)在 上綁定了 四個端口： Tcp:258:*LISTEN23614/perl Udp:3277:* 11363/heartbeat: wr Udp:258:* 23614/perl Udp:69:*11363/heartbeat: wr 由上可以得知，由 p

35、erl 綁定了一個 TCP 端口處于 listen 狀態(tài)，還綁定了一 個 udp 端口，heartbeat 綁定了兩個 UDP 端口。Perl 綁定的兩個外網端口可以通 過修改配置文件來解決，在 mon.cf 中加入如下兩句即可（可通過 config_mon.sh 自動加入，更新后的 config_mon.sh 已經解決該問題,ipL 為內網 IP）： echo serverbind = $ipL mon.cf echo trapbind = $ipL mon.cf heartbeat 配置文件中并沒有選項來配置需要綁定的 IP，故需要修改源碼解 決。但是修改源碼有一定風險，所以推薦盡量用 i

36、ptables 對端口進行控制。附 件中 heartbeat-2.7.0-bindeth1.tar.gz 為只綁定內網 IP 的源碼，安裝和第二章所述 安裝一致，只是在配置需要注意，在文件 ha.cf 中的 ucast 選項必須為 ucast eth1 phostip，其中 phostip 一定是另外一臺 LD 的內網 IP。 4.7 LD 的網絡拓撲及受攻擊時的應對措施的網絡拓撲及受攻擊時的應對措施 4.7.1 LD 的網絡拓撲的網絡拓撲 作為對外服務的 LVS 的前端 LD 服務器，原則上需要部署在專區(qū)中，并配 置上相應的網絡、機架資源環(huán)境作為保障。目前對于主備的 LD 部署方案來 講，比

37、較推薦采用下面的網絡拓撲方案： 同組的主 LD Server 和備份 LD Server 分別接入不同的接入層交換機，并上 連到不同的核心交換機中，一旦出現(xiàn)內網接入層或單核心故障，可以快速進行 切換。 示意圖如下： LG-E11-C6509-LC LG-E10-C6509-LC LD1-ALD1-SLD2-SLD2-A LD1-A和LD1-S是一組 A表示激活，S表示備用。 LG-E12-C6506-WC LG-E13-C6506-WC 公網流量 10G10G 樞 紐 ISD-LVS-W-2 ISD-LVS-W-1 ISD-LVS-L-1 ISD-LVS-L-2 內外網接入層交換機均為 雙機熱

38、備接入 4.7.2 LD 受攻擊時的應對措施受攻擊時的應對措施 由于 LD 承擔著后面所有接入層服務器外網流量的接入任務，且自身不具有 AntiDDOS 功能，一旦受到惡意的攻擊，其帶來的影響將會是非常嚴重的。因 此，我們必須考慮這樣的情況并預先做好應對的防范措施。 現(xiàn)就具體的情況進行一個分析： （1） 單個或多個 LD 的 VIP 受到攻擊 對于整個 LD 專區(qū)來說，在其外網接入端，會需要部署一臺 AntiDDOS 的黑洞 設備，并預先設置好對應的路由及應急切換策略，一旦出現(xiàn)針對某 VIP 的攻擊 時，則將該 VIP 的所有外網入流量切換到黑洞設備上，過濾后再轉回 LD 的 VIP。最大程度

39、上避免 LD 受到影響。 （2） LD 專區(qū)所在 IDC 的外網核心受到攻擊或 LD 專區(qū)所在 IDC 掉電 由于 LD 專區(qū)是建立在某一物理的 IDC 中的，一旦出現(xiàn)該物理 IDC 外網核心受 攻擊或該物理 IDC 掉電的情況，則所有 LD 對應的服務都無可避免的將受到影 響。 此時，我們只能通過采取 DNS 回退的辦法來應急處理。該辦法需要滿足以下 2 個條件： A、 預先對所有切換到 LVS 上的 DNS 進行 TTL=1800 或更低的設置。 B、 有維護一個 LD-DNSIP 對應關系表，一旦出現(xiàn)攻擊，可以通過該表 作為進行 DNS 回退的依據(jù)。 如果以上兩條件滿足，則受攻擊時，服務

40、恢復的時間大概可估算為： 服務受影響時間 = DNS 變更的實施時間 + DNS 變更的完全生效時間 如果操作得當，服務理論上可以在 1 小時左右完全恢復正常。 附錄附錄 1 IPVSADM 使用指南使用指南 1 名詞解釋名詞解釋 virtual-service-address（VIP）：虛擬服務器的 ip 地址 real-service-address(RIP)：是指真實服務器的 ip 地址 scheduler：調度方法 2 ipvsadm 的用法和格式如下的用法和格式如下 ipvsadm -A|E -t|u|f virutal-service-address:port -s scheduler -ptimeout -M netmask ipvsadm -D -t|u|f virtual-service-address