centos8的firewalld防火墙底层使用了全新的nftables替代了iptables。部分软件会存在兼容性问题。
在配置keepalived+nginx双机主备时,发现如果不手动reload防火墙,虚拟ip无法正常ping通,重启后,对该ip的端口访问也会被防火墙拦截。
此时可尝试修改/etc/firewalld/firewalld.conf将nftables改为iptables来使用老的防火墙模式。
此外keepalived要求防火墙放行vrrp协议
firewall-cmd --add-protocol=vrrp --permanent
firewall-cmd --reload