11.2.2 直接路由（LVS-DR）

11.2.2 直接路由（LVS-DR）

在一个LVS-DR配置中，Director转发所有的入站请求到集群内的节点，集群节点直接向客户端计算机发回应答（应答不再经过Director）[3]。如图11-3所示，来自客户端计算机或CIP的请求发送到Director的VIP，然后Director将请求转发到使用同一VIP目标ip地址的集群节点或真实服务器（我们将在第13章中看到Director是如何做这件事的），然后集群节点直接向客户端计算机发送应答数据包，这个应答数据包使用VIP作为它的源ip地址，因而客户端计算机被欺骗总是认为在与一台计算机对话，实际上它是将数据包发送到一台计算机而从另一台计算机接收数据包。

（点击查看大图）图11-3：LVS-DR网络通讯

LVS-DR的基本属性

下面是使用LVS-DR转发方法的集群基本属性：

集群节点必须与Director处于同一网段[4]

集群节点的RIP地址不必是私有ip地址（即它们不需要符合RFC 1918规范）

Director拦截客户端与真实服务器之间的入站（不包括出站）通讯

正常情况下，集群节点不使用Director作为它们的默认网关传递发送到客户端计算机的应答数据包

Director不能重新映射网络端口号

大多数操作系统可以被用于集群内部的真实服务器上[5]

一个LVS-DR Director必LVS-NAT Director能处理更多的真实服务器

尽管LVS-DR Director不能象LVS-NAT Director那样重新映射网络端口号，当使用LVS-DR作为转发方法时只有确认的操作系统可以用在真实服务器上[6]，LVS-DR是Linux企业集群最佳的转发方法，因为它允许你建立能直接从集群之外访问的集群节点，虽然在某些情况下这可能会有安全隐患（影响可以用恰当的VLAN配置标记出来），它提供额外的优点，改善集群的可靠性，可能在刚开始时不是很明显：

如果Director失效，集群节点变成分散的服务器，每一个都有它们自己的ip地址（内部网上的客户端计算机可以使用LVS-DR集群节点的RIP直接连接），然后你可能要告诉用户使用哪个集群节点RIP地址，或使用循环DNS分发各集群节点的RIP地址，直到Director恢复正常[7]，换句话说，在Director出现灾难故障甚至LVS本身出故障时你都是受到保护的[8]。

要测试各集群节点的健康度和测量它们的性能，可以在处于集群外的集群管理器上使用监视工具（本书第四部分将会讨论如何使用Mon和Ganglia软件包进行监视）。

要快速诊断节点的健康情况，而不考虑LVS或Director的健康状况，当出现问题时，你可以直接telnet、ping和ssh到任何集群节点。

在排除故障时，如果应用程序显示有问题的话，你可以告诉最终用户[9]如何通过ip地址（RIP）直接连接到两个不同的集群节点，然后要求最终用户在每个节点上执行相同的任务，你就可以快速地知道是应用程序有问题还是集群节点有问题。

注意：在LVS-DR集群中，可以在每个集群节点上安装数据包过滤或防火墙规则以增强安全性，参考http://www.linuxvirtualserver.org/上关于安全问题和LVS讨论的LVS-HOWTO，本书中我们假设Linux企业集群是受防火墙保护的，并且只有处于信任网络中的客户端计算机能够访问Director和真实服务器。