一、Keepalived与防火墙Zone的协同需求

在高可用集群环境中，Keepalived通过VRRP协议实现主备节点切换，确保服务连续性。然而，当系统部署在启用防火墙（如firewalld或iptables）的环境中时，VRRP广播包的正常传输可能被默认策略阻断，导致高可用功能失效。此时需要精确配置防火墙规则，而防火墙Zone机制为此提供了结构化的解决方案。

防火墙Zone的本质是将网络接口按安全级别划分区域，不同区域适用不同规则集。例如，将承载Keepalived心跳的网卡划入”trusted”区域，可简化规则管理。这种分区方式相比全局规则更具灵活性和可维护性，尤其适合复杂网络环境。

二、防火墙Zone基础配置

1. Zone类型选择

Linux系统默认包含多个预定义Zone：

• trusted：允许所有流量（适用于内部网络）
• internal：默认允许大部分流量，限制外部访问
• public：默认拒绝入站，允许出站（适用于公网接口）
• drop：丢弃所有入站包，无响应

针对Keepalived场景，推荐使用trusted或internal区域，需根据实际网络拓扑决定。若心跳接口位于独立管理网段，trusted更合适；若与业务流量混用，internal可提供适度保护。

2. 网卡与Zone绑定

通过firewall-cmd工具实现动态配置（以CentOS/RHEL为例）：

# 查看现有Zone配置
firewall-cmd --get-active-zones
# 将eth1接口划入trusted区域（永久生效需加--permanent）
firewall-cmd --zone=trusted --add-interface=eth1 --permanent
firewall-cmd --reload

验证配置：

firewall-cmd --zone=trusted --list-interfaces

三、Keepalived专用Zone规则设计

1. VRRP协议放行规则

VRRP使用IP协议号112，需明确放行：

# 创建专用Zone（如keepalived_zone）
firewall-cmd --new-zone=keepalived_zone --permanent
# 添加VRRP协议规则
firewall-cmd --zone=keepalived_zone --add-protocol=vrrp --permanent
# 若使用多播，需放行224.0.0.18组播地址
firewall-cmd --zone=keepalived_zone --add-rich-rule='rule family="ipv4" destination address="224.0.0.18" accept' --permanent

2. 健康检查端口放行

Keepalived的notify脚本或track_script可能涉及特定端口通信：

# 放行TCP 8080端口示例
firewall-cmd --zone=keepalived_zone --add-port=8080/tcp --permanent

3. 服务绑定配置

确保Keepalived服务绑定到正确Zone：

# 查看服务与Zone关联
firewall-cmd --list-services --zone=keepalived_zone
# 添加服务（如已定义http服务）
firewall-cmd --zone=keepalived_zone --add-service=http --permanent

四、实战配置示例

场景：双节点HA集群

节点A配置：

# 创建并配置Zone
firewall-cmd --permanent --new-zone=ha_zone
firewall-cmd --permanent --zone=ha_zone --set-target=ACCEPT
firewall-cmd --permanent --zone=ha_zone --add-interface=eth1
firewall-cmd --permanent --zone=ha_zone --add-protocol=vrrp
firewall-cmd --permanent --zone=ha_zone --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" accept'
firewall-cmd --reload
# Keepalived配置片段
vrrp_instance VI_1 {
    interface eth1
    state MASTER
    virtual_router_id 51
    priority 100
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    virtual_ipaddress {
        192.168.1.100/24 dev eth1
    }
}

节点B配置：

# 类似节点A，但state改为BACKUP，priority设为90
vrrp_instance VI_1 {
    interface eth1
    state BACKUP
    virtual_router_id 51
    priority 90
    # ...其余配置相同
}

五、常见问题解决方案

1. VRRP包被丢弃

现象：keepalived.log出现”VRRP packet dropped”错误
解决：

1. 检查Zone是否包含VRRP协议：

   firewall-cmd --zone=ha_zone --list-protocols

2. 确认多播地址未被过滤：

   iptables -L -n | grep 224.0.0.18

2. 切换后服务不可用

原因：防火墙未放行虚拟IP的相关服务端口
解决：

# 动态添加规则（无需重启防火墙）
firewall-cmd --zone=ha_zone --add-port=80/tcp

3. 配置持久化失效

现象：重启后配置丢失
解决：

1. 确保所有修改添加--permanent参数
2. 执行firewall-cmd --runtime-to-permanent将当前运行时配置转为永久

六、最佳实践建议

1. 最小权限原则：仅放行必要协议和端口，避免使用ACCEPT目标
2. 日志监控：启用防火墙日志：

   firewall-cmd --set-log-denied=all --permanent

3. 测试验证：使用tcpdump验证VRRP包传输：

   tcpdump -i eth1 vrrp -n

4. 配置备份：定期备份防火墙配置：

   firewall-cmd --list-all --zone=ha_zone > ha_zone_backup.txt

5. 自动化管理：通过Ansible等工具统一管理多节点配置

七、进阶配置技巧

1. 富规则应用

实现更精细的控制，例如仅允许特定源IP的VRRP通信：

firewall-cmd --permanent --zone=ha_zone --add-rich-rule='
    rule family="ipv4" 
    source address="192.168.1.5" 
    protocol value="vrrp" 
    accept'

2. IP集使用

对于动态环境，可创建IP集管理允许的节点：

firewall-cmd --permanent --new-ipset=ha_nodes --type=hash:ip
firewall-cmd --permanent --ipset=ha_nodes --add-entry=192.168.1.5
firewall-cmd --permanent --zone=ha_zone --add-rich-rule='
    rule family="ipv4" 
    source ipset="ha_nodes" 
    protocol value="vrrp" 
    accept'

3. 直接接口配置

对于不支持Zone的老版本系统，可直接在接口配置中添加规则：

# 在/etc/sysconfig/network-scripts/ifcfg-eth1中添加
VRRP_FIREWALL=yes

通过系统化的Zone配置，管理员能够在保障高可用性的同时，构建结构清晰、易于维护的防火墙策略。实际部署中，建议先在测试环境验证所有规则，再逐步推广到生产环境。