11.2.3 IP隧道（LVS-TUN）

11.2.3 IP隧道（LVS-TUN）

在数据包必须传递到另一个网络或因特网上时，可以使用ip隧道，ip隧道能够将数据包从一个子网或虚拟局域网（VLAN）转发到另一个子网或虚拟局域网（VLAN），建立ip隧道是Linux内核功能的一部分，LVS-TUN转发方法允许你将集群节点放在与Director不同的网络上。
注意：本书中我们不会使用LVS-TUN，将它放在这里只是为了保持完整性。

LVS-TUN配置通过封装来自客户端访问集群服务的请求，即使集群节点与Director不在同一物理网段也能进行转发，增强了LVS-DR的功能。例如：将一个数据包放入另一个数据包以便它可以跨因特网传输（里面的数据包成为外面数据包的有效数据负载），任何知道如何拆分这些数据包的服务器，无论它们是在你的内部网还是在以太网上，都能够成为集群节点，如图11-4所示[10]。

（点击查看大图）图 11-4：LVS-TUN网络通讯

该图中连接Director和集群节点的箭头显示了一个从Director传递到集群节点的封装数据包（一个数据包存储在另一个数据包中），这个数据包可以通过任何网络传递，包括因特网，和它从Director移动到集群节点一样。

LVS-TUN的基本属性

LVS-TUN集群有一下属性：

集群节点不需要与Director在同一个网段

RIP地址必须是私有ip地址

正常情况下，Director仅拦截客户端与集群节点之间的入站通讯

从真实服务器返回到客户端的数据包必须不通过Director（默认网关不能是DIP，它必须一个路由器或另一台与Director独立的机器）

Director不能重新映射网络端口号

只有支持ip隧道协议[11]的操作系统能成为集群内的服务器（参考包括在LVS发行包中configure-lvs脚本里的注释信息，找出已知支持该协议的操作系统）

本书中我们不会用到LVS-TUN转发方法，因为我们想建立一个足够可靠的运行关键应用的集群，将Director与集群节点分隔只会增加集群故障的潜在隐患，尽管使用地理上分散的集群节点看起来好像可以快速建立一个灾难恢复数据中心，但这样的配置不会改善集群的可靠性，因为Director与集群节点之间的连接断开将影响到所有的客户端连接。Linux企业集群必须能与所有运行在所有集群节点上的应用程序共享数据（这是第16章的主题），地理上分散的集群节点只会减低速度和数据共享的可靠性。

[2]RFC 1918保留下面的ip地址块作为私有地址：

10.0.0.0到10.255.255.255
172.16.0.0到172.31.255.255
192.168.0.0到192.168.255.255

[3]没有特别的LVS“火星人”修改应用到Director的内核补丁，如果应答数据包试图通过Director返回，一般LVS-DR Director将直接丢掉应答数据包。

[4]LVS-DR转发方法要求这样才能正常运行，参考第13章中关于LVS-DR集群的更多信息。

[5]操作系统必须被配置为能够让网络接口避免应答ARP广播，更多信息请参考第13章中的“ARP广播和LVS-DR集群”。

[6]LVS-DR集群内的真实服务器必须能够接收到VIP的数据包，而不应答到VIP的ARP广播（参考第13章）。

[7]参考第8章中关于循环DNS讨论的“使用Heartbeat共享负载--循环DNS”小节。

[8]这在正确建立和测试集群配置的情况基本上是不可能发生的问题，我们将会在第15章中讨论如何建立一个高可用Director。

[9]假设客户端计算机的ip地址、VIP和RIP都是私有（RFC 1918）ip地址。

[10]如果你的集群节点需要通过因特网通讯，你应该在发送数据包之前对其加密，可以使用IPSec协议实现（参考http://www.freeswan.org/上的FreeS/WAN项目），使用IPSec建立一个高可用集群超出了本书的范围。

[11]在因特网上搜索“Linux 2.4高级路由HOWTO”了解关于ip隧道协议更多的信息。