当前位置:首页 > 技术 > 正文内容

Octavia 负载均衡器配置指南

访客 技术 2026年7月17日 1

配置步骤

第一步。创建租户网络,用户的业务虚拟机将部署在该网络中。

第二步。为负载均衡器选择对应的子网。

第三步。创建监听器(Listener),配置HTTP协议的80端口监听。

第四步。创建监听器所属的池(Pool),采用源IP地址策略,确保来自同一客户端的请求被持续分发到同一个后端服务器。

第五步。向池中添加成员(Member)。添加成员的本质是将业务虚拟机的IP地址与MAC地址绑定到池中。HAProxy通过这些IP地址进行流量分发,相关配置将写入haproxy.cfg配置文件。

第六步。为池配置健康检查(Health Monitor),使用PING方式检测后端成员的健康状态。

测试与分析

创建负载均衡器时会自动生成Amphora虚拟机实例。由于配置了loadbalancer_topology = ACTIVE_STANDBY,系统创建了一个主用Amphora和一个备用Amphora,避免单点故障。如果未配置此参数,则只会创建单个Amphora实例。Pike版本暂不支持主主(Active-Active)模式。

lb-mgmt-net是负载均衡器管理网络,Octavia控制器通过该网络与Amphora进行通信。因此,lb-mgmt-net需要连接到OpenStack的API和管理网络。

在子网中会自动创建三个端口:两个lb-vrrp端口分别对应两个Amphora实例,一个loadbalance端口对应VIP。VIP由运行在Amphora上的Keepalived服务维护,采用VRRP(虚拟路由冗余协议)实现高可用。

可以为VIP绑定浮动IP,实现从外部网络访问负载均衡器。

创建负载均衡器时,系统会自动为VIP创建安全组lb-<负载均衡器ID>。该安全组会随着监听器的变化自动调整规则(增加或删除L4/L7监听器时,octavia-worker会自动添加或删除相应的端口安全组规则)。由于前面配置的监听器监听HTTP 80端口,系统会自动添加80端口的访问规则。如需ping或SSH访问VIP,需要手动添加ICMP和SSH规则。

可以通过以下命令通过LB Network的DHCP命名空间SSH进入Amphora:

ip netns exec qdhcp-<network-id> ssh -i /etc/octavia/.ssh/octavia_ssh_key ubuntu@<amphora-ip> -p 22

通过观察可以发现,Amphora只有一张连接LB Network的网卡。那么连接业务子网的网卡在哪里?

Amphora会启动一个名为amphora-haproxy的命名空间,业务子网的网卡、HAProxy和Keepalived服务进程都运行在该命名空间中。

Amphora核心服务进程

# HAProxy负载均衡服务
usr/sbin/haproxy -f /var/lib/octavia/<pool-id>/haproxy.cfg -f /var/lib/octavia/haproxy-default-user-group.conf

# Keepalived高可用服务
/usr/sbin/keepalived -D -d -f /var/lib/octavia/vrrp/octavia-keepalived.conf

# Amphora Agent,负责与控制器通信并管理后端成员
/usr/bin/python2 /usr/local/bin/amphora-agent --config-file /etc/octavia/amphora-agent.conf

# 动态IP地址获取服务
/sbin/dhclient -1 -v -pf /run/dhclient.<interface>.pid -lf /var/lib/dhcp/dhclient.<interface>.leases -I -df /var/lib/dhcp/dhclient6.<interface>.leases <interface>

Keepalived配置文件示例:

vrrp_script health_check {
  script /var/lib/octavia/vrrp/check_script.sh
  interval 5
  fall 2
  rise 2
}

vrrp_instance vi_<loadbalancer-id> {
 state BACKUP
 interface eth1
 virtual_router_id 1
 priority 90
 nopreempt
 garp_master_refresh 5
 garp_master_refresh_repeat 2
 advert_int 1
 authentication {
  auth_type PASS
  auth_pass <auth-password>
 }

 unicast_src_ip 192.168.0.10
 unicast_peer {
       192.168.0.16
 }

 virtual_ipaddress {
  192.168.0.3
 }
 track_script {
    health_check
 }
}

HAProxy配置文件示例:

# 负载均衡器配置
global
    daemon
    user nobody
    log /dev/log local0
    log /dev/log local1 notice
    stats socket /var/lib/octavia/<pool-id>.sock mode 0666 level user

defaults
    log global
    retries 3
    option redispatch
    timeout connect 5000
    timeout client 50000
    timeout server 50000

peers <pool-id>_peers
    peer node1 192.168.0.10:1025
    peer node2 192.168.0.16:1025

frontend fe_<loadbalancer-id>
    option httplog
    bind 192.168.0.3:80
    mode http
    default_backend be_<pool-id>

backend be_<pool-id>
    mode http
    balance source
    timeout check 5s
    server member1 <instance1-ip>:80 weight 1 check inter 5s fall 3 rise 3
    server member2 <instance2-ip>:80 weight 2 check inter 5s fall 3 rise 3

如需将健康检查改为HTTP GET方式,HAProxy配置变更为:

backend be_<pool-id>
    mode http
    balance source
    timeout check 5s
    option httpchk GET /healthcheck
    http-check expect rstatus 2[0-9][0-9]
    server member1 <instance1-ip>:80 weight 1 check inter 5s fall 3 rise 3
    server member2 <instance2-ip>:80 weight 2 check inter 5s fall 3 rise 3

可以通过以下命令创建七层策略和规则:

openstack loadbalancer l7policy create
openstack loadbalancer l7rule create

创建L7规则时,会为frontend添加ACL规则。例如:

frontend fe_<loadbalancer-id>
    option httplog
    bind 192.168.0.3:80
    mode http
    acl url_match path -m reg ^/api$
    redirect location https://api.example.com if url_match
    default_backend be_<pool-id>

补充说明

除上述功能外,Octavia还支持多种七层负载均衡高级配置,包括:最大连接数限制、会话保持机制、附加HTTP头部字段、TLS终端解密、七层策略动作类型、七层规则类型等。这些功能提供了精细化的流量分发控制能力。

相关文章

Linux crontab 详解

1) crontab 是什么cron 是 Linux 的定时任务守护进程;crontab 是用来编辑/查看“按时间周期执行命令”的表(cron table)。常见两类:用户 crontab:每个用户一份(crontab -e 编辑)系统级 crontab / cron.d:可指定执行用户(/etc/crontab、/etc/cron.d/*)2) crontab 时间...

富文本里可以允许的 HTML 属性

一、所有标签默认允许的安全属性(极少)class        (可选)id           (通常建议禁用)title️ 注意:id 容易被滥用做锚点注入,很多系统直接禁用class 允许的话最好只允许固定前缀(如 editor-*)二、a 标签允许属性<a href="" t...

Mac 安装 Node.js 指南

方法一:通过官网安装包(最简单,适合初学者)如果你只是想快速安装并开始使用,这是最直接的方法。访问 Node.js 官网。页面会显示两个版本:LTS (Recommended For Most Users):长期支持版,最稳定。建议选这个。Current:最新特性版,包含最新功能但可能不够稳定。下载 .pkg 安装包并运行。按照安装向导点击“下一步”即可完成。方法二:使用 Homebrew 安装(...

Dom\HTML_NO_DEFAULT_NS 的副作用:自动加闭合标签

在使用Dom\HTMLDocument时,Dom\HTML_NO_DEFAULT_NS 将禁止在解析过程中设置元素的命名空间, 此设置是为了与DOMDocument向后兼容而存在的。当使用它时,已知的一个副作用就是:自动加闭合标签例如 </img> 为什么会这样?当你使用:Dom\HTML_NO_DEFAULT_NS文档会变成 无命名空间模式,此时内部更接近 XML...

Laravel 事件和监听器创建

在 Laravel 中,使用 Artisan 命令创建 Events(事件) 和 Listeners(监听器) 是非常高效的。你可以通过以下几种方式来实现:1. 手动创建单个 Event如果你只想创建一个事件类,可以使用 make:event 命令:Bashphp artisan make:event UserRegistered执行后,文件将生成在 app/Even...

自定义域名解析神器 dnsmasq

什么是 dnsmasq?dnsmasq 是一个轻量级、功能强大的网络服务工具,专为小型和中等规模网络设计。它是一个综合的网络基础设施解决方案[1]。dnsmasq 能做什么?功能说明应用场景DNS 转发与缓存将 DNS 查询转发到上游服务器(ISP、Google DNS 等),并在本地缓存结果加快 DNS 查询速度,减少外部 DNS 流量本地 DNS解析本地网络设备的主机名,无需编辑&n...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。