ផ្ទុកតុល្យភាពនៅក្នុង Zimbra Open-Source Edition ដោយប្រើ HAProxy

ភារកិច្ចចម្បងមួយនៅពេលសាងសង់ហេដ្ឋារចនាសម្ព័ន្ធ Zimbra OSE ខ្នាតធំគឺការធ្វើសមតុល្យបន្ទុកត្រឹមត្រូវ។ បន្ថែមពីលើការពិតដែលថាវាបង្កើនការអត់ឱនកំហុសនៃសេវាកម្មដោយមិនមានតុល្យភាពបន្ទុកវាមិនអាចទៅរួចទេក្នុងការធានានូវការឆ្លើយតបដូចគ្នានៃសេវាកម្មសម្រាប់អ្នកប្រើប្រាស់ទាំងអស់។ ដើម្បីដោះស្រាយបញ្ហានេះ ការផ្ទុកតុល្យភាពត្រូវបានប្រើ - ដំណោះស្រាយផ្នែកទន់ និងផ្នែករឹងដែលចែកចាយសំណើឡើងវិញរវាងម៉ាស៊ីនមេ។ ក្នុងចំណោមនោះមានកម្មវិធីដែលមានលក្ខណៈបឋមដូចជា RoundRobin ដែលគ្រាន់តែផ្ញើសំណើជាបន្តបន្ទាប់នីមួយៗទៅកាន់ម៉ាស៊ីនមេបន្ទាប់ក្នុងបញ្ជី ហើយក៏មានកម្រិតខ្ពស់ជាងនេះផងដែរ ឧទាហរណ៍ HAProxy ដែលត្រូវបានគេប្រើយ៉ាងទូលំទូលាយនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធកុំព្យូទ័រដែលមានបន្ទុកខ្ពស់ដោយសារ ចំនួននៃអត្ថប្រយោជន៍សំខាន់ៗ។ តោះមើលពីរបៀបដែលអ្នកអាចធ្វើឱ្យ HAProxy load balancer និង Zimbra OSE ដំណើរការជាមួយគ្នា។

ដូច្នេះ យោងតាមលក្ខខណ្ឌនៃភារកិច្ច យើងត្រូវបានផ្តល់ហេដ្ឋារចនាសម្ព័ន្ធ Zimbra OSE ដែលមាន Zimbra Proxy ពីរ LDAP និង LDAP ចម្លងម៉ាស៊ីនមេ កន្លែងផ្ទុកសំបុត្រចំនួន 1000 ដែលមានប្រអប់សំបុត្រចំនួន 192.168.0.57 នីមួយៗ និង MTAs ចំនួនបី។ ដោយសារយើងកំពុងដោះស្រាយជាមួយម៉ាស៊ីនមេ វានឹងទទួលបាននូវចរាចរណ៍បីប្រភេទដែលត្រូវការតុល្យភាព៖ HTTP សម្រាប់ទាញយកកម្មវិធីអ៊ីនធឺណិត ក៏ដូចជា POP និង SMTP សម្រាប់ការផ្ញើអ៊ីមែល។ ក្នុងករណីនេះ ចរាចរណ៍ HTTP នឹងទៅកាន់ម៉ាស៊ីនមេ Zimbra Proxy ដែលមានអាសយដ្ឋាន IP 192.168.0.58 និង 192.168.0.77 ហើយចរាចរណ៍ SMTP នឹងទៅកាន់ម៉ាស៊ីនមេ MTA ដែលមានអាសយដ្ឋាន IP 192.168.0.78 និង XNUMX។

ដូចដែលបានបញ្ជាក់រួចមកហើយ ដើម្បីធានាថាសំណើត្រូវបានចែកចាយស្មើៗគ្នារវាងម៉ាស៊ីនមេ យើងនឹងប្រើ HAProxy load balancer ដែលនឹងដំណើរការលើថ្នាំង Zimbra infrastructure ingress ដែលដំណើរការ Ubuntu 18.04។ ការដំឡើង haproxy នៅលើប្រព័ន្ធប្រតិបត្តិការនេះត្រូវបានធ្វើដោយប្រើពាក្យបញ្ជា sudo apt-get ដំឡើង haproxy. បន្ទាប់ពីនេះអ្នកត្រូវការនៅក្នុងឯកសារ /etc/default/haproxy ផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រ បើកដំណើរការ=0 នៅលើ បើកដំណើរការ=1. ឥឡូវនេះ ដើម្បីប្រាកដថា haproxy កំពុងដំណើរការ គ្រាន់តែបញ្ចូលពាក្យបញ្ជា សេវា haproxy. ប្រសិនបើសេវាកម្មនេះកំពុងដំណើរការ វានឹងច្បាស់ពីលទ្ធផលនៃពាក្យបញ្ជា។

គុណវិបត្តិចម្បងមួយរបស់ HAProxy គឺថាតាមលំនាំដើម វាមិនបញ្ជូនអាសយដ្ឋាន IP របស់ម៉ាស៊ីនភ្ញៀវតភ្ជាប់ទេ ដោយជំនួសវាដោយខ្លួនវាផ្ទាល់។ នេះអាចនាំឱ្យមានស្ថានភាពដែលអ៊ីមែលដែលផ្ញើដោយអ្នកវាយប្រហារមិនអាចកំណត់អត្តសញ្ញាណដោយអាសយដ្ឋាន IP ដើម្បីបន្ថែមវាទៅក្នុងបញ្ជីខ្មៅ។ ទោះយ៉ាងណាក៏ដោយបញ្ហានេះអាចត្រូវបានដោះស្រាយ។ ដើម្បីធ្វើដូចនេះអ្នកត្រូវកែសម្រួលឯកសារ /opt/zimbra/common/conf/master.cf.in នៅលើម៉ាស៊ីនមេជាមួយ Postfix ហើយបន្ថែមបន្ទាត់ខាងក្រោមទៅវា៖

26      inet  n       -       n       -       1       postscreen
        -o postscreen_upstream_proxy_protocol=haproxy
 
466    inet  n       -       n       -       -       smtpd
%%uncomment SERVICE:opendkim%%  -o content_filter=scan:[%%zimbraLocalBindAddress%%]:10030
        -o smtpd_tls_wrappermode=yes
        -o smtpd_sasl_auth_enable=yes
        -o smtpd_client_restrictions=
        -o smtpd_data_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_recipient_restrictions=
        -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
        -o syslog_name=postfix/smtps
        -o milter_macro_daemon_name=ORIGINATING
        -o smtpd_upstream_proxy_protocol=haproxy
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_filter=[%%zimbraLocalBindAddress%%]:10027
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_options=speed_adjust
 
588 inet n      -       n       -       -       smtpd
%%uncomment SERVICE:opendkim%%  -o content_filter=scan:[%%zimbraLocalBindAddress%%]:10030
        -o smtpd_etrn_restrictions=reject
        -o smtpd_sasl_auth_enable=%%zimbraMtaSaslAuthEnable%%
        -o smtpd_tls_security_level=%%zimbraMtaTlsSecurityLevel%%
        -o smtpd_client_restrictions=permit_sasl_authenticated,reject
        -o smtpd_data_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_recipient_restrictions=
        -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
        -o syslog_name=postfix/submission
        -o milter_macro_daemon_name=ORIGINATING
        -o smtpd_upstream_proxy_protocol=haproxy
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_filter=[%%zimbraLocalBindAddress%%]:10027
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_options=speed_adjust

ដោយសារបញ្ហានេះ យើងនឹងបើកច្រក 26, 466 និង 588 ដែលនឹងទទួលបានចរាចរចូលពី HAProxy ។ បន្ទាប់ពីឯកសារត្រូវបានរក្សាទុក អ្នកគួរតែចាប់ផ្តើម Postfix ឡើងវិញនៅលើ servers ទាំងអស់ដោយប្រើពាក្យបញ្ជា zmmtactl restart ។

បន្ទាប់ពីនោះ យើងចាប់ផ្តើមដំឡើង HAProxy ។ ដើម្បីធ្វើដូចនេះដំបូងបង្កើតច្បាប់ចម្លងបម្រុងទុកនៃឯកសារការកំណត់ cp /etc/haproxy/haproxy.cfg /etc/haproxy/haproxy.cfg.bak. បន្ទាប់មកបើកឯកសារប្រភពនៅក្នុងកម្មវិធីនិពន្ធអត្ថបទ /etc/haproxy/haproxy.cfg ហើយចាប់ផ្តើមបន្ថែមការកំណត់ចាំបាច់ទៅវាមួយជំហានម្តងៗ។ ប្លុកទីមួយនឹងបន្ថែមម៉ាស៊ីនមេដែលយកកំណត់ហេតុ កំណត់ចំនួនអតិបរមាដែលអនុញ្ញាតនៃការតភ្ជាប់ក្នុងពេលដំណាលគ្នា ក៏ដូចជាការបញ្ជាក់ឈ្មោះ និងក្រុមអ្នកប្រើប្រាស់ដែលដំណើរការប្រតិបត្តិនឹងជាកម្មសិទ្ធិ។

global
    user daemon
    group daemon
    daemon
    log 127.0.0.1 daemon
    maxconn 5000
    chroot /var/lib/haproxy

តួលេខនៃការតភ្ជាប់ដំណាលគ្នាចំនួន 5000 បានបង្ហាញខ្លួនសម្រាប់ហេតុផលមួយ។ ដោយសារយើងមានប្រអប់សំបុត្រចំនួន 4000 នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់យើង យើងត្រូវពិចារណាពីលទ្ធភាពដែលពួកគេទាំងអស់នឹងចូលប្រើអ៊ីមែលការងាររបស់ពួកគេក្នុងពេលតែមួយ។ លើសពីនេះទៀតវាចាំបាច់ក្នុងការទុកទុនបម្រុងតូចមួយក្នុងករណីដែលចំនួនរបស់ពួកគេកើនឡើង។

ឥឡូវនេះ ចូរយើងបន្ថែមប្លុកជាមួយនឹងការកំណត់លំនាំដើម៖

defaults
        timeout client 1m
        log global
        mode tcp
        timeout server 1m
        timeout connect 5s

ប្លុកនេះកំណត់ការអស់ពេលអតិបរមាសម្រាប់ម៉ាស៊ីនភ្ញៀវ និងម៉ាស៊ីនមេ ដើម្បីបិទការតភ្ជាប់នៅពេលដែលវាផុតកំណត់ ហើយក៏កំណត់របៀបប្រតិបត្តិការរបស់ HAProxy ផងដែរ។ ក្នុងករណីរបស់យើង ឧបករណ៍ផ្ទុកតុល្យភាពដំណើរការក្នុងរបៀប TCP ពោលគឺវាគ្រាន់តែបញ្ជូនកញ្ចប់ព័ត៌មាន TCP ដោយមិនវិភាគមាតិការបស់វា។

បន្ទាប់យើងនឹងបន្ថែមច្បាប់សម្រាប់ការតភ្ជាប់នៅលើច្រកផ្សេងៗ។ ឧទាហរណ៍ ប្រសិនបើច្រក 25 ត្រូវបានប្រើសម្រាប់ការតភ្ជាប់ SMTP និងសំបុត្រ នោះវាសមហេតុផលក្នុងការបញ្ជូនការតភ្ជាប់ទៅវាទៅ MTAs ដែលមាននៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់យើង។ ប្រសិនបើការតភ្ជាប់គឺនៅលើច្រក 80 នោះនេះគឺជាសំណើ http ដែលត្រូវការបញ្ជូនបន្តទៅ Zimbra Proxy ។

ច្បាប់សម្រាប់ច្រក 25៖

frontend smtp-25
bind *:27
default_backend backend-smtp-25
 
backend backend-smtp-25
server mta1 192.168.0.77:26 send-proxy
server mta2 192.168.0.78:26 send-proxy

ច្បាប់សម្រាប់ច្រក 465៖

frontend smtp-465
bind *:467
default_backend backend-smtp-465

backend backend-smtp-465
server mta1 192.168.0.77:466 send-proxy
server mta2 192.168.0.78:466 send-proxy

ច្បាប់សម្រាប់ច្រក 587៖

frontend smtp-587
bind *:589
default_backend backend-smtp-587
 
backend backend-smtp-587
server mail1 192.168.0.77:588 send-proxy
server mail2 192.168.0.78:588 send-proxy

ច្បាប់សម្រាប់ច្រក 80៖

frontend http-80
bind    *:80
default_backend http-80
 
backend http-80
mode tcp
server zproxy1 192.168.0.57:80 check
server zproxy2 192.168.0.58:80 check

ច្បាប់សម្រាប់ច្រក 443៖

frontend https
bind  *:443
default_backend https-443
 
backend https-443
mode tcp
server zproxy1 192.168.0.57:80 check
server zproxy2 192.168.0.58:80 check

សូមចំណាំថានៅក្នុងច្បាប់សម្រាប់ការបញ្ជូនបន្តកញ្ចប់ TCP ទៅ MTA នៅជាប់អាសយដ្ឋានរបស់ពួកគេមានប៉ារ៉ាម៉ែត្រមួយ។ ផ្ញើប្រូកស៊ី. នេះគឺចាំបាច់ដើម្បីឱ្យស្របតាមការផ្លាស់ប្តូរដែលយើងបានធ្វើពីមុនចំពោះការកំណត់ Postfix អាសយដ្ឋាន IP ដើមរបស់អ្នកផ្ញើរបស់វាត្រូវបានផ្ញើរួមជាមួយកញ្ចប់ TCP ។

ឥឡូវនេះការផ្លាស់ប្តូរចាំបាច់ទាំងអស់ត្រូវបានធ្វើឡើងចំពោះ HAProxy អ្នកអាចចាប់ផ្តើមសេវាកម្មឡើងវិញដោយប្រើពាក្យបញ្ជា សេវា haproxy ចាប់ផ្តើមឡើងវិញ ហើយចាប់ផ្តើមប្រើវា។

សម្រាប់សំណួរទាំងអស់ដែលទាក់ទងនឹង Zextras Suite អ្នកអាចទាក់ទងអ្នកតំណាង Zextras Ekaterina Triandafilidi តាមរយៈអ៊ីមែល [អ៊ីមែលការពារ]

ប្រភព: www.habr.com