Dè a nì thu mura h-eil cumhachd aon fhrithealaiche gu leòr airson a h-uile iarrtas a phròiseasadh, agus nach eil an neach-dèanamh bathar-bog a ’toirt seachad cothromachadh luchdan? Tha mòran roghainnean ann, bho bhith a’ ceannach cothromachadh luchdan gu bhith a’ cuingealachadh àireamh nan iarrtasan. Feumaidh am fear a tha ceart a bhith air a dhearbhadh leis an t-suidheachadh, a 'toirt aire do na suidheachaidhean a th' ann mar-thà. San artaigil seo innsidh sinn dhut dè as urrainn dhut a dhèanamh ma tha do bhuidseit cuibhrichte agus gu bheil frithealaiche an-asgaidh agad.

Mar shiostam airson an robh e riatanach an luchd air aon de na frithealaichean a lughdachadh, thagh sinn DLP (siostam casg aodion fiosrachaidh) bho InfoWatch. B’ e feart den bhuileachadh suidheachadh a’ ghnìomh cothromachaidh air aon de na frithealaichean “sabaid”.

B’ e aon de na duilgheadasan a thachair dhuinn nach robh e comasach Stòr NAT (SNAT) a chleachdadh. Carson a bha feum air seo agus mar a chaidh an duilgheadas fhuasgladh, mìnichidh sinn tuilleadh.

Mar sin, an toiseach bha an diagram loidsigeach den t-siostam gnàthach a’ coimhead mar seo:

Chaidh trafaic ICAP, SMTP, tachartasan bho choimpiutairean luchd-cleachdaidh a phròiseasadh air an t-seirbheisiche Traffic Monitor (TM). Aig an aon àm, dhèilig frithealaiche an stòr-dàta gu furasta ris an luchd às deidh làimhseachadh thachartasan air an TM, ach bha an luchd air an TM fhèin trom. Bha seo follaiseach bho choltas ciudha teachdaireachd air an t-seirbheisiche Device Monitor (DM), a bharrachd air bhon CPU agus luchd cuimhne air an TM.

Aig a’ chiad dol-a-mach, ma chuireas sinn frithealaiche TM eile ris an sgeama seo, dh’ fhaodadh an dàrna cuid ICAP no DM a bhith air an tionndadh thuige, ach chuir sinn romhainn gun a bhith a’ cleachdadh an dòigh seo, leis gun deach fulangas locht a lughdachadh.

Tuairisgeul air fuasgladh

Anns a 'phròiseas a bhith a' lorg fuasgladh iomchaidh, shocraich sinn air bathar-bog a chaidh a sgaoileadh gu saor air a chumail beò còmhla ri LVS. Leis gu bheil keepalived a’ fuasgladh na duilgheadas a thaobh cruthachadh cruinneachadh fàilligeadh agus faodaidh e cuideachd an LVS balancer a riaghladh.

Bu chòir gum biodh na bha sinn airson a choileanadh (lùghdaich an luchd air TM agus cùm suas an ìre de fhulangas sgàinidhean an-dràsta) air obrachadh a rèir an sgeama a leanas:

Nuair a chaidh sgrùdadh a dhèanamh air comas-gnìomh, thionndaidh e a-mach nach eil an co-chruinneachadh àbhaisteach RedHat a chaidh a chuir a-steach air na frithealaichean a’ toirt taic do SNAT. Anns a’ chùis againn, bha sinn an dùil SNAT a chleachdadh gus dèanamh cinnteach gun tèid pacaidean a tha a’ tighinn a-steach agus freagairtean dhaibh a chuir bhon aon sheòladh IP, air neo gheibheadh ​​sinn an dealbh a leanas:

Tha seo mì-fhreagarrach. Mar eisimpleir, bidh neach-frithealaidh progsaidh, às deidh dha pacaidean a chuir gu seòladh Virtual IP (VIP), an dùil ri freagairt bho VIP, ach sa chùis seo thig e bho IP2 airson seiseanan a thèid a chuir gu cùl-taic. Chaidh fuasgladh a lorg: bha e riatanach clàr slighe eile a chruthachadh air an cùl-taic agus dà fhrithealaiche TM a cheangal ri lìonra air leth, mar a chithear gu h-ìosal:

Roghainnean

Cuiridh sinn an gnìomh sgeama de dhà fhrithealaiche le seirbheisean ICAP, SMTP, TCP 9100 agus cothromachadh luchdan air a chuir air aon dhiubh.

Tha dà fhrithealaiche RHEL6 againn, às an deach na stòran àbhaisteach agus cuid de phasganan a thoirt air falbh.

Seirbheisean a dh'fheumas sinn a chothromachadh:

• ICAP – tcp 1344;

• SMTP – tcp 25.

Seirbheis tar-chuir trafaic bho DM - tcp 9100.

An toiseach, feumaidh sinn an lìonra a dhealbhadh.

Seòladh IP mas-fhìor (VIP):

• IP: 10.20.20.105.

Frithealaiche TM6_1:

• IP taobh a-muigh: 10.20.20.101;

• IP a-staigh: 192.168.1.101.

Frithealaiche TM6_2:

• IP taobh a-muigh: 10.20.20.102;

• IP a-staigh: 192.168.1.102.

An uairsin bidh sinn a’ comasachadh gluasad IP air dà fhrithealaiche TM. Tha mar a nì thu seo air a mhìneachadh air RedHat an seo.

Bidh sinn a’ co-dhùnadh dè na frithealaichean a bhios againn am prìomh fhear agus dè am fear a bhios mar chùl-taic. Biodh maighstir TM6_1, cùl-taic a bhith TM6_2.

Air cùl-taic bidh sinn a’ cruthachadh clàr slighe cothromachaidh ùr agus riaghailtean slighe:

[root@tm6_2 ~]echo 101 balancer >> /etc/iproute2/rt_tables
[root@tm6_2 ~]ip rule add from 192.168.1.102 table balancer
[root@tm6_2 ~]ip route add default via 192.168.1.101 table balancer

Bidh na h-òrdughan gu h-àrd ag obair gus an tèid an siostam ath-thòiseachadh. Gus dèanamh cinnteach gu bheil na slighean air an gleidheadh ​​​​an dèidh ath-thòiseachadh, faodaidh tu an cur a-steach /etc/rc.d/rc.local, ach nas fheàrr tro fhaidhle nan roghainnean /etc/sysconfig/network-scripts/route-eth1 (nota: tha co-chòrdadh eadar-dhealaichte air a chleachdadh an seo).

Stàlaich keepvived air an dà fhrithealaiche TM. Chleachd sinn rpmfind.net mar an stòr sgaoilidh:

[root@tm6_1 ~]#yum install https://rpmfind.net/linux/centos/6.10/os/x86_64/Packages/keepalived-1.2.13-5.el6_6.x86_64.rpm

Anns na roghainnean cumail beò, bidh sinn a’ sònrachadh aon de na frithealaichean mar mhaighstir, am fear eile mar chùl-taic. An uairsin shuidhich sinn VIP agus seirbheisean airson cothromachadh luchdan. Mar as trice tha am faidhle roghainnean suidhichte an seo: /etc/keepalived/keepalived.conf.

Roghainnean airson am frithealaiche TM1

vrrp_sync_group VG1 { 
   group { 
      VI_1 
   } 
} 
vrrp_instance VI_1 { 
        state MASTER 
        interface eth0 

        lvs_sync_daemon_inteface eth0 
        virtual_router_id 51 
        priority 151 
        advert_int 1 
        authentication { 
                auth_type PASS 
                auth_pass example 
        } 

        virtual_ipaddress { 
                10.20.20.105 
        } 
}

virtual_server 10.20.20.105 1344 {
    delay_loop 6
    lb_algo wrr 
    lb_kind NAT
    protocol TCP

    real_server 192.168.1.101 1344 {
        weight 1
        TCP_CHECK { 
                connect_timeout 3 
            connect_port 1344
        nb_get_retry 3
        delay_before_retry 3
        }
    }

    real_server 192.168.1.102 1344 {
        weight 1
        TCP_CHECK { 
                connect_timeout 3 
            connect_port 1344
        nb_get_retry 3
        delay_before_retry 3
        }
    }
}

virtual_server 10.20.20.105 25 {
    delay_loop 6
    lb_algo wrr 
    lb_kind NAT
    protocol TCP

    real_server 192.168.1.101 25 {
        weight 1
        TCP_CHECK { 
                connect_timeout 3 
            connect_port 25
        nb_get_retry 3
        delay_before_retry 3
        }
    }

    real_server 192.168.1.102 25 {
        weight 1
        TCP_CHECK { 
                connect_timeout 3 
            connect_port 25
        nb_get_retry 3
        delay_before_retry 3
        }
    }
}

virtual_server 10.20.20.105 9100 {
    delay_loop 6
    lb_algo wrr 
    lb_kind NAT
    protocol TCP

    real_server 192.168.1.101 9100 {
        weight 1
        TCP_CHECK { 
                connect_timeout 3 
            connect_port 9100
        nb_get_retry 3
        delay_before_retry 3
        }
    }

    real_server 192.168.1.102 9100 {
        weight 1
        TCP_CHECK { 
                connect_timeout 3 
            connect_port 9100
        nb_get_retry 3
        delay_before_retry 3
        }
    }
}

Roghainnean airson am frithealaiche TM2

vrrp_sync_group VG1 { 
   group { 
      VI_1 
   } 
} 
vrrp_instance VI_1 { 
        state BACKUP 
        interface eth0 

        lvs_sync_daemon_inteface eth0 
        virtual_router_id 51 
        priority 100 
        advert_int 1 
        authentication { 
                auth_type PASS 
                auth_pass example 
        } 

        virtual_ipaddress { 
                10.20.20.105 
        } 
}

Bidh sinn a 'stàladh LVS air a' mhaighstir, a bheir cothromachadh air an trafaig. Chan eil e ciallach cothromachadh a chuir a-steach airson an dàrna frithealaiche, leis nach eil againn ach dà sheirbheisiche san rèiteachadh.

[root@tm6_1 ~]##yum install https://rpmfind.net/linux/centos/6.10/os/x86_64/Packages/ipvsadm-1.26-4.el6.x86_64.rpm

Bidh an cothromachadh air a riaghladh le keepvived, a tha sinn air a rèiteachadh mu thràth.

Gus an dealbh a chrìochnachadh, leig dhuinn cumail beò ri autostart air an dà fhrithealaiche:

[root@tm6_1 ~]#chkconfig keepalived on

co-dhùnadh

A 'sgrùdadh nan toraidhean

Feuch an ruith sinn air adhart air an dà fhrithealaiche:

service keepalived start

A’ dèanamh cinnteach gu bheil seòladh brìgheil VRRP ri fhaighinn

Dèan cinnteach gu bheil an VIP air a mhaighstir:

Agus chan eil VIP air cùl-taic:

A’ cleachdadh an àithne ping, nì sinn sgrùdadh air na tha ri fhaighinn den VIP:

A-nis faodaidh tu maighstir a dhùnadh agus an àithne a ruith a-rithist ping.

Bu chòir don toradh fuireach mar a tha e, agus air cùl-taic chì sinn VIP:

A’ cumail sùil air cothromachadh seirbheis

Gabhamaid SMTP mar eisimpleir. Nach cuir sinn air bhog dà cheangal gu 10.20.20.105 aig an aon àm:

telnet 10.20.20.105 25

На master мы должны увидеть, что оба подключения активны и соединены на разные сервера:

[root@tm6_1 ~]#watch ipvsadm –Ln

Mar sin, tha sinn air rèiteachadh a tha a’ fulang le lochdan de sheirbheisean TM a chuir an gnìomh le bhith a’ stàladh cothromachadh air aon de na frithealaichean TM. Airson an t-siostam againn, lughdaich seo an luchd air TM le leth, a rinn e comasach fuasgladh fhaighinn air duilgheadas dìth sgèileadh còmhnard a ’cleachdadh an t-siostam.

Anns a 'mhòr-chuid de shuidheachaidhean, tha am fuasgladh seo air a chur an gnìomh gu luath agus gun chosgaisean a bharrachd, ach uaireannan tha grunn chuingealachaidhean agus duilgheadasan ann an rèiteachadh, mar eisimpleir, nuair a thathar a' cothromachadh trafaig UDP.

Source: www.habr.com