LVS负载均衡核心架构与百万级并发实战

1. LVS核心架构解析：为什么它能扛住百万级并发？

第一次接触LVS是在2013年某电商大促期间，当时我们的Nginx集群在50万并发时就开始出现TCP连接堆积。运维总监连夜搭建的LVS-DR模式集群，用6台物理服务器就扛住了峰值230万的请求。这个经历让我深刻认识到：在真正的高并发场景下，LVS才是Linux生态中隐藏的"核武器"。

LVS本质上是一个运行在内核态的TCP/UDP负载均衡器，通过直接修改IP层数据包实现流量转发。与Nginx等应用层代理不同，它不需要解析HTTP协议，也不建立完整的TCP连接，这种"过路财神"式的工作机制使其单机就能处理百万级并发。目前主流云厂商的SLB服务底层大多基于LVS魔改，比如阿里云的CLB就直接源自LVS-IPVS模块。

2. LVS三大转发模式实战对比

2.1 DR模式：性能王者的代价

DR(Direct Routing)模式是性能最高的方案，响应数据包由Real Server直接返回客户端。我曾用3台Dell R730搭建测试环境：

• 调度器：Intel Xeon Gold 6140 ×2，开启IPVS内核模块
• Real Server：Nginx 1.18，开启lo:0虚拟接口配置ARP抑制
• 压测工具：wrk -c 50000 -t 32

测试结果显示DR模式的吞吐量是NAT模式的4.7倍，但配置过程需要特别注意：

bash复制# Real Server上的关键配置
echo 1 > /proc/sys/net/ipv4/conf/lo/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/lo/arp_announce
ifconfig lo:0 $VIP netmask 255.255.255.255 up

警告：DR模式必须确保Real Server的VIP不可达，否则会导致ARP广播风暴。2016年某金融系统上线时就因忘记配置arp_ignore导致全网瘫痪。

2.2 NAT模式：最易上手的双刃剑

NAT模式通过修改目标IP实现转发，适合新手快速搭建。但在实际使用中发现三个致命缺陷：

1. 调度器成为带宽瓶颈（所有回包都要经过它）
2. 需要维护复杂的iptables规则
3. 真实服务器必须使用私有IP

一个典型的NAT配置示例：

bash复制ipvsadm -A -t $VIP:80 -s rr
ipvsadm -a -t $VIP:80 -r $RIP1 -m
ipvsadm -a -t $VIP:80 -r $RIP2 -m

2.3 TUN模式：跨机房方案的成本

TUN模式通过IP隧道实现跨网络转发，我们在多活容灾方案中曾使用过。虽然解决了地理限制问题，但存在两个痛点：

• IPIP隧道头增加额外40字节开销
• 要求所有Real Server支持TUN设备
  实测吞吐量比DR模式下降约35%，仅建议在必须跨机房时使用。

3. 生产环境部署的七个关键细节

3.1 会话保持的智能选择

电商网站购物车必须保持会话粘滞，但简单的源IP哈希会导致负载不均。我们的解决方案是：

bash复制ipvsadm -A -t $VIP:443 -s sh  # 使用source hash调度
ipvsadm --set-tcp tcp tcpfin udp  # 调整超时参数

同时配合Nginx的sticky模块实现双重保障，当检测到某Real Server负载超过阈值时自动切换。

3.2 健康检查的陷阱

初期我们使用默认的TCP检查，直到某次Java应用Full GC时出现"假活"状态。现在采用分层检测方案：

1. 内核层：ipvsadm自带TCP检查
2. 应用层：自定义脚本检查/api/health
3. 业务层：模拟交易测试（通过日志分析）

3.3 与Keepalived的完美配合

Keepalived不仅提供HA功能，还能动态调整权重。这是我们线上环境的配置片段：

bash复制vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    virtual_ipaddress {
        192.168.1.100/32 dev eth0
    }
}

4. 性能调优实战记录

4.1 中断均衡的奥秘

在40G网卡环境下，需要手动配置SMP affinity：

bash复制# 查看中断分布
cat /proc/interrupts | grep eth
# 绑定CPU
echo 1 > /proc/irq/123/smp_affinity

实测这项优化使PPS（Packets Per Second）提升2.3倍。

4.2 内存池的隐藏参数

调整内核参数避免内存回收影响：

sysctl复制net.ipv4.vs.expire_nodest_conn = 1
net.ipv4.vs.conn_reuse_mode = 0
net.ipv4.vs.schedule_icmp = 1

4.3 网卡多队列配置

现代网卡需要开启多队列并绑定CPU：

bash复制ethtool -L eth0 combined 16
for i in {0..15}; do echo $((1<<$i)) > /proc/irq/$i/smp_affinity; done

5. 典型故障排查手册

5.1 案例一：TCP SYN堆积

现象：客户端大量Connection timeout
排查步骤：

1. netstat -s | grep -i listen 查看SYN队列溢出
2. sysctl -w net.ipv4.tcp_max_syn_backlog=8192
3. ipvsadm -l --timeout 检查超时设置

5.2 案例二：负载不均

现象：某Real Server CPU长期100%
解决方案：

1. 改用wlc调度算法
2. 开启ipvsadm --start-daemon监控
3. 添加-x参数显示详细连接数

5.3 案例三：ARP冲突

现象：VIP时通时断
快速修复：

bash复制arping -U -I eth0 -c 1 $VIP
sysctl -w net.ipv4.conf.all.arp_ignore=1

6. 云原生时代的LVS演进

虽然Kubernetes的Service机制普及，但LVS在以下场景仍不可替代：

• 需要四层负载均衡的金融支付系统
• 视频直播等超高并发场景
• 对延迟极其敏感的交易系统

我们在K8s集群中的创新用法：

yaml复制apiVersion: v1
kind: Service
metadata:
  annotations:
    service.beta.kubernetes.io/aws-load-balancer-type: "nlb"
    service.beta.kubernetes.io/aws-load-balancer-backend-protocol: "tcp"

最后分享一个真实数据：某证券交易系统迁移到LVS+DPDK方案后，99分位延迟从47ms降至9ms。这提醒我们：在追求云原生的同时，不要忘记这些经过时间检验的基础技术。