Keepalived与防火墙Zone配置：保障高可用的安全之道

引言

在构建高可用（High Availability, HA）系统时，Keepalived作为一款广泛使用的软件，通过VRRP（Virtual Router Redundancy Protocol）协议实现主备节点的快速切换，确保了服务的连续性和稳定性。然而，在安全日益重要的今天，如何在开启防火墙的环境下合理配置Keepalived，特别是利用防火墙的Zone功能来增强系统的安全性，成为了系统管理员必须面对的问题。本文将详细阐述Keepalived在防火墙开启环境下的配置策略，特别是防火墙Zone的设置方法。

Keepalived基础与工作原理

Keepalived简介

Keepalived是一个用于管理Linux系统中服务高可用的软件，它通过VRRP协议实现IP地址的浮动，当主节点故障时，备节点能够迅速接管服务，从而保证服务的连续性。Keepalived不仅支持IP地址的切换，还提供了健康检查机制，能够自动检测服务的运行状态，确保只有健康的节点提供服务。

VRRP协议基础

VRRP是一种用于提高局域网内主机可靠性的协议，它通过将多个路由器组成一个虚拟路由器组，实现IP地址的冗余备份。在VRRP组中，有一个主路由器（Master）和多个备路由器（Backup），主路由器负责转发数据包，备路由器则处于待命状态。当主路由器故障时，备路由器会根据优先级选举出新的主路由器，继续提供服务。

防火墙与Zone概念

防火墙基础

防火墙是网络安全的重要组成部分，它通过设置规则来控制进出网络的数据流，从而保护内部网络免受外部攻击。防火墙可以根据源IP、目的IP、端口号等多种条件进行过滤，实现精细化的访问控制。

防火墙Zone

防火墙Zone是一种逻辑上的划分，它将网络划分为不同的安全区域，如信任区（Trusted）、非信任区（Untrusted）和DMZ区（Demilitarized Zone）等。每个Zone可以有不同的安全策略，通过配置Zone间的访问规则，可以实现更加灵活和安全的网络架构。

Keepalived在防火墙开启环境下的配置

防火墙配置准备

在配置Keepalived之前，首先需要确保防火墙已经正确安装并配置了基本的规则。对于使用firewalld作为防火墙管理工具的系统，可以通过以下命令查看和配置Zone：

# 查看所有Zone
firewall-cmd --get-zones
# 查看默认Zone
firewall-cmd --get-default-zone
# 设置默认Zone（可选）
firewall-cmd --set-default-zone=public

配置Keepalived的VRRP通信

Keepalived的主备节点之间需要通过VRRP协议进行通信，以实现状态的同步和切换。为了确保VRRP通信能够正常进行，需要在防火墙上开放VRRP协议使用的多播地址（通常为224.0.0.18）和端口（VRRP默认使用协议号112，但实际通信通过多播IP进行，无需特别开放端口）。

配置防火墙允许VRRP多播

对于firewalld，可以通过添加富规则来允许VRRP多播通信：

# 允许来自VRRP多播地址的ICMP和VRRP协议数据包（实际中VRRP通过多播IP通信，无需特别针对协议号）
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="224.0.0.0/8" accept'
firewall-cmd --reload

注意：上述规则中的source address="224.0.0.0/8"是为了允许来自整个多播地址范围的数据包，实际配置时可能需要根据具体情况调整。VRRP本身不依赖特定端口，而是依赖多播IP进行通信，因此重点在于确保多播数据包不被防火墙拦截。

配置Keepalived的Service IP

Keepalived通过VRRP协议管理一个虚拟IP（VIP），这个VIP会在主备节点之间浮动。为了确保外部能够访问到这个VIP，需要在防火墙上配置允许访问VIP的规则。

将VIP加入信任Zone

假设我们将VIP所在的网卡接口加入到trusted Zone（根据实际安全需求，也可以选择其他Zone），可以通过以下命令实现：

# 假设VIP绑定在eth0接口上，首先查看接口所属Zone
firewall-cmd --get-zone-of-interface=eth0
# 如果接口不在trusted Zone，则将其加入trusted Zone
firewall-cmd --zone=trusted --add-interface=eth0 --permanent
firewall-cmd --reload

配置允许访问VIP的规则

根据服务的需求，配置允许访问VIP的特定端口规则。例如，如果服务运行在TCP 80端口上：

firewall-cmd --zone=trusted --add-port=80/tcp --permanent
firewall-cmd --reload

Keepalived配置示例

以下是一个简单的Keepalived配置示例，假设主节点和备节点分别位于不同的物理服务器上，且VIP为192.168.1.100：

主节点配置（/etc/keepalived/keepalived.conf）：

vrrp_script chk_httpd {
    script "/usr/bin/systemctl is-active httpd"
    interval 2
    weight -20
}
vrrp_instance VI_1 {
    interface eth0
    state MASTER
    virtual_router_id 51
    priority 100
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    virtual_ipaddress {
        192.168.1.100
    }
    track_script {
        chk_httpd
    }
}

备节点配置：

备节点的配置与主节点类似，只需将state改为BACKUP，并调整priority为较低的值（如90）。

验证与测试

配置完成后，需要进行验证和测试以确保Keepalived和防火墙的配置正确无误。

1. 检查Keepalived状态：在主备节点上分别运行systemctl status keepalived，查看服务是否正常运行。
2. 检查VRRP状态：在主节点上运行ip addr show，查看VIP是否已经绑定到接口上；在备节点上运行相同的命令，确认VIP未绑定（或处于备份状态）。
3. 测试故障转移：模拟主节点故障（如停止Keepalived服务或断开网络），观察备节点是否能够迅速接管VIP并提供服务。
4. 检查防火墙规则：运行firewall-cmd --list-all，查看配置的Zone和规则是否正确生效。

结论

通过合理配置Keepalived和防火墙的Zone功能，可以在保障系统高可用的同时，增强系统的安全性。本文详细阐述了Keepalived的工作原理、防火墙Zone的概念及配置方法，并通过实际配置示例和验证步骤，为系统管理员提供了一套完整的解决方案。在实际应用中，应根据具体的安全需求和业务场景，灵活调整配置策略，以达到最佳的安全性和可用性平衡。