Rootop 服务器运维与web架构

使用keepalived时iptables需要开放的协议

| 暂无评论

原理说明:
1、 通过vrrp协议广播,每个keepalived vrrp都去争取master
2、 以virtual_router_id为组队标识。 同为一个vip服务的keepalived的virtual_router_id相同
3、 以priority 为权值,同一个virtual_router_id下那个priority大那个就是master,其它为backup
之前实验都是关闭iptables配置keepalived,后来开启iptables后,发现主从切换,vip无法获取或者释放。
因为iptables过滤了vrrp协议,它不属于任何端口,像icmp一样,需要单独放行。
iptables -A INPUT -p vrrp -j ACCEPT
或者直接写入到/etc/sysconfig/iptables中即可。

我这里的iptables脚本:

#!/bin/bash
iptables -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 9419 -j ACCEPT
iptables -A INPUT -p tcp --dport 9420 -j ACCEPT
iptables -A INPUT -p tcp --dport 9421 -j ACCEPT
iptables -A INPUT -p tcp --dport 9425 -j ACCEPT
iptables -A INPUT -p tcp --dport 873 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p vrrp -j ACCEPT

service iptables save
service iptables restart
exit

原创文章,转载请注明。本文链接地址: https://www.rootop.org/pages/2348.html

作者:Venus

专注于 服务器运维与web架构 E-mail:venus#rootop.org

发表评论