# 自托管容错 NAT 网关:Keepalived VRRP 领导选举 + BGP Anycast 路由 + Prometheus 告警 > 使用 Keepalived VRRP 实现主备切换、BGP Anycast 任意播路由、Prometheus 监控告警,自建 NAT 网关匹配 AWS 高可用性,成本仅为几分之一。 ## 元数据 - 路径: /posts/2025/11/22/self-hosting-fault-tolerant-nat-gateway-with-vrrp-bgp/ - 发布时间: 2025-11-22T07:32:53+08:00 - 分类: [systems-engineering](/categories/systems-engineering/) - 站点: https://blog.hotdry.top ## 正文 自托管 NAT 网关是云原生环境中常见的网络组件,用于私有网络出公网流量转发。AWS NAT Gateway 提供高可用(HA)配置,但小时计费模式下成本高企,年费数万美元。自建方案利用 Keepalived VRRP 实现领导选举与 VIP 漂移、BGP Anycast 路由多节点负载与故障转移、Prometheus 告警监控,可实现 99.99% 可用性,成本降至原先的 1/10 以下。 ### VRRP 领导选举与 VIP 漂移核心机制 Keepalived 基于 VRRP(Virtual Router Redundancy Protocol)协议,实现主备节点间虚拟 IP(VIP)无缝漂移,避免单点故障。主节点(MASTER)优先级高于备节点(BACKUP),通过组播心跳(advert_int 1s)检测存活。主节点故障时,备节点 3s 内接管 VIP。 **可落地配置参数(主节点 /etc/keepalived/keepalived.conf):** ``` global_defs { router_id NAT_MASTER vrrp_garp_interval 0 vrrp_gna_interval 0 } vrrp_script chk_nat { script "pidof iptables || exit 1" interval 2 weight -20 # 失败降优先级 20 } vrrp_instance VI_NAT { state MASTER interface eth0 # 出公网接口 virtual_router_id 51 priority 110 # 主备差值 ≥10 advert_int 1 authentication { auth_type PASS auth_pass natkey123 } virtual_ipaddress { 10.0.0.1/24 # 内网 VIP,作为后端默认网关 } track_script { chk_nat } } ``` 备节点将 state 改为 BACKUP、priority 100。启用 IP 转发:`sysctl -w net.ipv4.ip_forward=1`,持久化 `/etc/sysctl.conf`。 NAT 规则(主备同步脚本):`iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth1 -j MASQUERADE`。使用 `notify_master/backup/fault` 脚本同步规则,避免漂移后丢失。 **证据验证**:DigitalOcean 教程显示,此配置下主备切换 <3s,ping 不丢包。“通过 Keepalived 和 iptables,我们可以在 Linux 上配置高可用的 NAT 网关,确保主网关故障时备份自动接管。” 风险:网络分区导致脑裂(split-brain),限制造成 vrrp_strict 模式,unicast_peer 绑定对端 IP 防组播风暴。 ### BGP Anycast 路由实现任意播高可用 传统 VRRP 限单数据中心,跨 AZ/DC 需 BGP Anycast。将 NAT VIP 作为 Anycast IP,多节点向上游 ISP 宣布相同前缀(/32),BGP 自动路由至最近健康节点,故障时撤回路由(withdraw)秒级收敛。 **部署清单**: 1. 获取 ASN & PI IP(自有或隧道如 Cloudflare Magic Transit)。 2. 安装 FRR/Bird:`yum install frrouting`,配置 BGP: ``` router bgp 65001 bgp router-id 10.0.0.1 neighbor 203.0.113.1 remote-as 64496 # 上游 ISP address-family ipv4 unicast network 10.0.0.1/32 # Anycast NAT IP neighbor 203.0.113.1 activate exit-address-family ``` 3. Keepalived notify_master 脚本:`vtysh -c "configure terminal" -c "router bgp 65001" -c "address-family ipv4 unicast" -c "network 10.0.0.1/32" -c "end" -c "write"`;fault/stop 撤回。 多节点(3+)部署,ECMP 等价多径分流。Prometheus exporter(如 bgp-exporter)监控 peer 状态,告警撤回延迟 >5s。 **参数阈值**: - BGP keepalive 60s、hold 180s。 - AS-Path 预置本地优先。 - 成本:VPS 月费 $10/节点 vs AWS NAT $0.045/小时(年 $400+)。 ### Prometheus 告警与监控要点 集成 node_exporter + blackbox_exporter 监控: - VRRP:`up{job="keepalived"} == 0` → "MASTER 丢失"。 - BGP:`bgp_peer_state != "Established"` → 路由中断。 - Conntrack:`node_nf_conntrack_entries{zone="0"} > 80%` → NAT 表满。 - 流量:`rate(node_network_receive_bytes_total[5m]) > 1GB/s` → 过载。 **告警规则(prometheus.yml)**: ``` groups: - name: nat-ha rules: - alert: VRRP_Failover expr: changes(keepalived_master[2m]) > 0 for: 1m annotations: summary: "NAT {{ $labels.instance }} 发生 failover" ``` Grafana Dashboard:面板显示 VIP 绑定、peering、延迟、丢包。回滚:优先级临时降级,手动 withdraw BGP。 ### 完整部署清单与测试 1. 两节点(Ubuntu/CentOS):4C8G,公网 IP。 2. 安装:Keepalived、FRR、Prometheus。 3. 配置 NAT/VRRP/BGP,测试:`kill keepalived`,VIP 漂移 <5s;`ip route del` 模拟,BGP 撤回收敛 <30s。 4. 规模:3节点 Anycast,RTO <1s,RPO 0。 此方案匹配 AWS NAT HA(多 AZ、多 IP),但自管 VPS 年成本 < $500。脑裂防范:单向心跳 + quorum(奇数节点)。 **资料来源**: - DigitalOcean HA NAT Gateway 教程。 - Keepalived 官方文档 & FRR BGP 配置示例。 ## 同分类近期文章 ### [Apache Arrow 10 周年:剖析 mmap 与 SIMD 融合的向量化 I/O 工程流水线](/posts/2026/02/13/apache-arrow-mmap-simd-vectorized-io-pipeline/) - 日期: 2026-02-13T15:01:04+08:00 - 分类: [systems-engineering](/categories/systems-engineering/) - 摘要: 深入分析 Apache Arrow 列式格式如何与操作系统内存映射及 SIMD 指令集协同,构建零拷贝、硬件加速的高性能数据流水线,并给出关键工程参数与监控要点。 ### [Stripe维护系统工程:自动化流程、零停机部署与健康监控体系](/posts/2026/01/21/stripe-maintenance-systems-engineering-automation-zero-downtime/) - 日期: 2026-01-21T08:46:58+08:00 - 分类: [systems-engineering](/categories/systems-engineering/) - 摘要: 深入分析Stripe维护系统工程实践,聚焦自动化维护流程、零停机部署策略与ML驱动的系统健康度监控体系的设计与实现。 ### [基于参数化设计和拓扑优化的3D打印人体工程学工作站定制](/posts/2026/01/20/parametric-ergonomic-3d-printing-design-workflow/) - 日期: 2026-01-20T23:46:42+08:00 - 分类: [systems-engineering](/categories/systems-engineering/) - 摘要: 通过OpenSCAD参数化设计、BOSL2库燕尾榫连接和拓扑优化,实现个性化人体工程学3D打印工作站的轻量化与结构强度平衡。 ### [TSMC产能分配算法解析:构建半导体制造资源调度模型与优先级队列实现](/posts/2026/01/15/tsmc-capacity-allocation-algorithm-resource-scheduling-model-priority-queue-implementation/) - 日期: 2026-01-15T23:16:27+08:00 - 分类: [systems-engineering](/categories/systems-engineering/) - 摘要: 深入分析TSMC产能分配策略,构建基于强化学习的半导体制造资源调度模型,实现多目标优化的优先级队列算法,提供可落地的工程参数与监控要点。 ### [SparkFun供应链重构:BOM自动化与供应商评估框架](/posts/2026/01/15/sparkfun-supply-chain-reconstruction-bom-automation-framework/) - 日期: 2026-01-15T08:17:16+08:00 - 分类: [systems-engineering](/categories/systems-engineering/) - 摘要: 分析SparkFun终止与Adafruit合作后的硬件供应链重构工程挑战,包括BOM自动化管理、替代供应商评估框架、元器件兼容性验证流水线设计