🥇 איזון עומסים במהדורת קוד פתוח של Zimbra באמצעות HAProxy

אחת המשימות העיקריות בבניית תשתיות Zimbra OSE בקנה מידה גדול היא איזון עומסים נכון. בנוסף לעובדה שהוא מגביר את סבילות התקלות של השירות, ללא איזון עומסים אי אפשר להבטיח את אותה היענות השירות לכל המשתמשים. על מנת לפתור בעיה זו נעשה שימוש באיזוני עומסים - פתרונות תוכנה וחומרה המפיצים מחדש בקשות בין שרתים. ביניהם יש פרימיטיביים למדי, כמו RoundRobin, שפשוט שולח כל בקשה עוקבת לשרת הבא ברשימה, ויש גם מתקדמים יותר, למשל HAProxy שנמצאת בשימוש נרחב בתשתיות מחשוב בעומס גבוה בגלל א. מספר יתרונות משמעותיים. בואו נסתכל כיצד תוכלו לגרום למאזן העומס של HAProxy ול-Zimbra OSE לעבוד יחד.

לכן, בהתאם לתנאי המשימה, ניתנת לנו תשתית ה-Zimbra OSE, הכוללת שני שרתי Zimbra Proxy, שני שרתי LDAP ו-LDAP Replica, ארבעה אחסון דואר עם 1000 תיבות דואר כל אחת ושלושה MTAs. בהתחשב בכך שאנו עוסקים בשרת דואר, הוא יקבל שלושה סוגי תעבורה שצריכים איזון: HTTP להורדת לקוח האינטרנט, וכן POP ו-SMTP לשליחת דוא"ל. במקרה זה, תעבורת HTTP תעבור לשרתי Proxy של Zimbra עם כתובות IP 192.168.0.57 ו-192.168.0.58, ותעבורת SMTP תעבור לשרתי MTA עם כתובות IP 192.168.0.77 ו-192.168.0.78.

כפי שכבר הוזכר, כדי להבטיח שהבקשות יחולקו באופן שווה בין השרתים, נשתמש במאזן העומס HAProxy, שיפעל על צומת הכניסה לתשתית Zimbra המריץ את אובונטו 18.04. התקנת הפרוקסי במערכת הפעלה זו מתבצעת באמצעות הפקודה sudo apt-get התקנת האפרוקסי. אחרי זה אתה צריך בקובץ /etc/default/haproxy לשנות פרמטר ENABLED=0 על ENABLED=1. כעת, על מנת לוודא שהפרוקסי פועל, פשוט הזן את הפקודה פרוקסי שירות. אם שירות זה פועל, זה יהיה ברור מהפלט של הפקודה.

אחד החסרונות העיקריים של HAProxy הוא שבברירת מחדל היא אינה משדרת את כתובת ה-IP של הלקוח המתחבר, ומחליפה אותה בכתובת שלה. זה יכול להוביל למצבים שבהם אימיילים שנשלחו על ידי תוקפים לא ניתנים לזיהוי לפי כתובת IP כדי להוסיף אותה לרשימה השחורה. עם זאת, ניתן לפתור בעיה זו. לשם כך עליך לערוך את הקובץ /opt/zimbra/common/conf/master.cf.in בשרתים עם Postfix והוסיפו לו את השורות הבאות:

26      inet  n       -       n       -       1       postscreen
        -o postscreen_upstream_proxy_protocol=haproxy
 
466    inet  n       -       n       -       -       smtpd
%%uncomment SERVICE:opendkim%%  -o content_filter=scan:[%%zimbraLocalBindAddress%%]:10030
        -o smtpd_tls_wrappermode=yes
        -o smtpd_sasl_auth_enable=yes
        -o smtpd_client_restrictions=
        -o smtpd_data_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_recipient_restrictions=
        -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
        -o syslog_name=postfix/smtps
        -o milter_macro_daemon_name=ORIGINATING
        -o smtpd_upstream_proxy_protocol=haproxy
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_filter=[%%zimbraLocalBindAddress%%]:10027
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_options=speed_adjust
 
588 inet n      -       n       -       -       smtpd
%%uncomment SERVICE:opendkim%%  -o content_filter=scan:[%%zimbraLocalBindAddress%%]:10030
        -o smtpd_etrn_restrictions=reject
        -o smtpd_sasl_auth_enable=%%zimbraMtaSaslAuthEnable%%
        -o smtpd_tls_security_level=%%zimbraMtaTlsSecurityLevel%%
        -o smtpd_client_restrictions=permit_sasl_authenticated,reject
        -o smtpd_data_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_recipient_restrictions=
        -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
        -o syslog_name=postfix/submission
        -o milter_macro_daemon_name=ORIGINATING
        -o smtpd_upstream_proxy_protocol=haproxy
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_filter=[%%zimbraLocalBindAddress%%]:10027
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_options=speed_adjust

בשל כך, נפתח את הפורטים 26, 466 ו-588, אשר יקבלו תעבורה נכנסת מ-HAProxy. לאחר שמירת הקבצים, עליך להפעיל מחדש את Postfix בכל השרתים באמצעות הפקודה zmmtactl restart.

לאחר מכן, בואו נתחיל להגדיר את HAProxy. לשם כך, תחילה צור עותק גיבוי של קובץ ההגדרות cp /etc/haproxy/haproxy.cfg /etc/haproxy/haproxy.cfg.bak. לאחר מכן פתח את קובץ המקור בעורך טקסט /etc/haproxy/haproxy.cfg והתחל להוסיף לו את ההגדרות הדרושות צעד אחר צעד. הבלוק הראשון יהיה הוספת שרת שלוקח יומנים, קביעת המספר המרבי המותר של חיבורים בו-זמניים, כמו גם ציון השם והקבוצה של המשתמש אליו ישתייך תהליך הביצוע.

global
    user daemon
    group daemon
    daemon
    log 127.0.0.1 daemon
    maxconn 5000
    chroot /var/lib/haproxy

הנתון של 5000 חיבורים בו-זמניים הופיע מסיבה כלשהי. מכיוון שיש לנו 4000 תיבות דואר בתשתית שלנו, עלינו לשקול את האפשרות שכולן יגשו למייל העבודה שלהם בו זמנית. בנוסף, יש צורך להשאיר רזרבה קטנה למקרה שמספרם יגדל.

עכשיו בואו נוסיף בלוק עם הגדרות ברירת מחדל:

defaults
        timeout client 1m
        log global
        mode tcp
        timeout server 1m
        timeout connect 5s

בלוק זה מגדיר את פסק הזמן המקסימלי עבור הלקוח והשרת לסגור את החיבור כאשר הוא יפוג, וכן מגדיר את מצב הפעולה של HAProxy. במקרה שלנו, מאזן העומס פועל במצב TCP, כלומר, הוא פשוט משדר מנות TCP מבלי לנתח את תוכנן.

בשלב הבא נוסיף כללים לחיבורים בפורטים שונים. לדוגמה, אם יציאה 25 משמשת עבור חיבורי SMTP ודואר, אז הגיוני להעביר אליה את החיבורים ל-MTAs הזמינים בתשתית שלנו. אם החיבור נמצא ביציאה 80, אז זו בקשת http שצריך להעביר ל-Zimbra Proxy.

כלל עבור יציאה 25:

frontend smtp-25
bind *:27
default_backend backend-smtp-25
 
backend backend-smtp-25
server mta1 192.168.0.77:26 send-proxy
server mta2 192.168.0.78:26 send-proxy

כלל עבור יציאה 465:

frontend smtp-465
bind *:467
default_backend backend-smtp-465

backend backend-smtp-465
server mta1 192.168.0.77:466 send-proxy
server mta2 192.168.0.78:466 send-proxy

כלל עבור יציאה 587:

frontend smtp-587
bind *:589
default_backend backend-smtp-587
 
backend backend-smtp-587
server mail1 192.168.0.77:588 send-proxy
server mail2 192.168.0.78:588 send-proxy

כלל עבור יציאה 80:

frontend http-80
bind    *:80
default_backend http-80
 
backend http-80
mode tcp
server zproxy1 192.168.0.57:80 check
server zproxy2 192.168.0.58:80 check

כלל עבור יציאה 443:

frontend https
bind  *:443
default_backend https-443
 
backend https-443
mode tcp
server zproxy1 192.168.0.57:80 check
server zproxy2 192.168.0.58:80 check

שימו לב שבכללים להעברת מנות TCP ל-MTA, ליד הכתובות שלהם יש פרמטר שלח-פרוקסי. זה הכרחי כדי שבהתאם לשינויים שעשינו קודם לכן בהגדרות Postfix, כתובת ה-IP המקורית של השולח שלו תישלח יחד עם מנות TCP.

כעת, לאחר שבוצעו כל השינויים הדרושים ב-HAProxy, ניתן להפעיל מחדש את השירות באמצעות הפקודה הפעלה מחדש של פרוקסי שירות ולהתחיל להשתמש בו.

לכל השאלות הקשורות ל-Zextras Suite, ניתן ליצור קשר עם נציגת Zextras Ekaterina Triandafilidi בדואר אלקטרוני [מוגן בדוא"ל]

מקור: www.habr.com

איזון עומסים במהדורת קוד פתוח של Zimbra באמצעות HAProxy

הוספת תגובה ביטול תגובה