🥇HAProxy를 사용하는 Zimbra Open-Source Edition의 로드 밸런싱

대규모 Zimbra OSE 인프라 구축의 주요 작업 중 하나는 적절한 로드 밸런싱입니다. 서비스의 내결함성을 높이는 것 외에도 로드 밸런싱 없이는 모든 사용자에게 동일한 서비스 응답성을 보장하는 것이 불가능합니다. 이 문제를 해결하기 위해 서버 간에 요청을 재분배하는 소프트웨어 및 하드웨어 솔루션인 로드 밸런서가 사용됩니다. 그중에는 단순히 다음 요청을 목록의 다음 서버로 보내는 RoundRobin과 같은 다소 원시적인 것이 있고 HAProxy와 같은 더 진보된 것이 있습니다. 많은 중요한 이점. HAProxy 로드 밸런서와 Zimbra OSE가 어떻게 함께 작동하는지 살펴보겠습니다.

따라서 문제의 조건에 따라 Zimbra 프록시 1000개, LDAP 및 LDAP 복제 서버 192.168.0.57개, 각각 192.168.0.58개의 사서함이 있는 192.168.0.77개의 메일 저장소 및 192.168.0.78개의 MTA가 있는 Zimbra OSE 인프라가 제공됩니다. 우리가 메일 서버를 다루고 있다는 점을 감안할 때 균형을 맞춰야 하는 세 가지 유형의 트래픽, 즉 웹 클라이언트 다운로드를 위한 HTTP와 이메일 전송을 위한 POP 및 SMTP가 수신됩니다. 이 경우 HTTP 트래픽은 IP 주소가 XNUMX 및 XNUMX인 Zimbra 프록시 서버로 이동하고 SMTP 트래픽은 IP 주소가 XNUMX 및 XNUMX인 MTA 서버로 이동합니다.

이미 언급했듯이 서버 간에 요청을 균등하게 분배하기 위해 Ubuntu 18.04를 실행하는 Zimbra 인프라의 입력 노드에서 실행되는 HAProxy 로드 밸런서를 사용할 것입니다. 이 운영 체제에 haproxy 설치는 다음 명령을 사용하여 수행됩니다. sudo apt-get 설치 haproxy. 그 후 파일에서 필요합니다. /etc/default/하프록시 매개변수 변경 활성화됨=0 에 활성화됨=1. 이제 haproxy가 작동하는지 확인하려면 다음 명령을 입력하십시오. 서비스 haproxy. 이 서비스가 실행 중인 경우 명령 출력에서 지워집니다.

HAProxy의 주요 단점 중 하나는 기본적으로 연결된 클라이언트의 IP 주소를 전송하지 않고 자체 IP 주소로 대체한다는 것입니다. 이로 인해 공격자가 보낸 편지를 블랙리스트에 추가하기 위해 IP 주소로 식별할 수 없는 상황이 발생할 수 있습니다. 그러나 이 문제는 해결할 수 있습니다. 이렇게 하려면 파일을 편집해야 합니다. /opt/zimbra/common/conf/master.cf.in Postfix 서버에서 다음 행을 추가하십시오.

26      inet  n       -       n       -       1       postscreen
        -o postscreen_upstream_proxy_protocol=haproxy
 
466    inet  n       -       n       -       -       smtpd
%%uncomment SERVICE:opendkim%%  -o content_filter=scan:[%%zimbraLocalBindAddress%%]:10030
        -o smtpd_tls_wrappermode=yes
        -o smtpd_sasl_auth_enable=yes
        -o smtpd_client_restrictions=
        -o smtpd_data_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_recipient_restrictions=
        -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
        -o syslog_name=postfix/smtps
        -o milter_macro_daemon_name=ORIGINATING
        -o smtpd_upstream_proxy_protocol=haproxy
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_filter=[%%zimbraLocalBindAddress%%]:10027
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_options=speed_adjust
 
588 inet n      -       n       -       -       smtpd
%%uncomment SERVICE:opendkim%%  -o content_filter=scan:[%%zimbraLocalBindAddress%%]:10030
        -o smtpd_etrn_restrictions=reject
        -o smtpd_sasl_auth_enable=%%zimbraMtaSaslAuthEnable%%
        -o smtpd_tls_security_level=%%zimbraMtaTlsSecurityLevel%%
        -o smtpd_client_restrictions=permit_sasl_authenticated,reject
        -o smtpd_data_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_recipient_restrictions=
        -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
        -o syslog_name=postfix/submission
        -o milter_macro_daemon_name=ORIGINATING
        -o smtpd_upstream_proxy_protocol=haproxy
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_filter=[%%zimbraLocalBindAddress%%]:10027
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_options=speed_adjust

이로 인해 HAProxy에서 들어오는 트래픽을 수신할 포트 26, 466 및 588을 열 것입니다. 파일을 저장한 후 zmmtactl restart 명령을 사용하여 모든 서버에서 Postfix를 다시 시작하십시오.

그런 다음 HAProxy 구성을 시작하겠습니다. 이렇게 하려면 먼저 설정 파일의 백업 복사본을 만듭니다. cp /etc/haproxy/haproxy.cfg /etc/haproxy/haproxy.cfg.bak. 그런 다음 텍스트 편집기에서 소스 파일을 엽니다. /etc/haproxy/haproxy.cfg 필요한 설정을 점차적으로 추가하기 시작하십시오. 첫 번째 블록은 로그를 가져오는 서버를 추가하고, 허용되는 최대 동시 연결 수를 설정하고, 실행 가능한 프로세스가 속할 사용자의 이름과 그룹을 지정하는 것입니다.

global
    user daemon
    group daemon
    daemon
    log 127.0.0.1 daemon
    maxconn 5000
    chroot /var/lib/haproxy

동시 접속자 5000명이라는 수치가 나온 데는 이유가 있다. 우리 인프라에는 4000개의 사서함이 있으므로 모든 사서함이 동시에 작업 메일로 이동할 가능성을 제공해야 합니다. 또한 개수가 늘어날 경우를 대비하여 약간의 여백을 남겨 둘 필요가 있습니다.

이제 기본 설정으로 블록을 추가해 보겠습니다.

defaults
        timeout client 1m
        log global
        mode tcp
        timeout server 1m
        timeout connect 5s

이 블록은 연결이 만료될 때 연결을 닫기 위한 최대 클라이언트 및 서버 대기 시간을 설정하고 HAProxy 작동 모드도 설정합니다. 우리의 경우 로드 밸런서는 TCP 모드에서 작동합니다. 즉, 내용을 분석하지 않고 단순히 TCP 패킷을 전송합니다.

다음으로 다양한 포트의 연결에 대한 규칙을 추가합니다. 예를 들어 SMTP 연결 및 메일 전송에 포트 25를 사용하는 경우 인프라에 있는 MTA로 연결을 전달하는 것이 좋습니다. 연결이 포트 80에 있는 경우 Zimbra 프록시로 전달해야 하는 http 요청입니다.

포트 25에 대한 규칙:

frontend smtp-25
bind *:27
default_backend backend-smtp-25
 
backend backend-smtp-25
server mta1 192.168.0.77:26 send-proxy
server mta2 192.168.0.78:26 send-proxy

포트 465에 대한 규칙:

frontend smtp-465
bind *:467
default_backend backend-smtp-465

backend backend-smtp-465
server mta1 192.168.0.77:466 send-proxy
server mta2 192.168.0.78:466 send-proxy

포트 587에 대한 규칙:

frontend smtp-587
bind *:589
default_backend backend-smtp-587
 
backend backend-smtp-587
server mail1 192.168.0.77:588 send-proxy
server mail2 192.168.0.78:588 send-proxy

포트 80에 대한 규칙:

frontend http-80
bind    *:80
default_backend http-80
 
backend http-80
mode tcp
server zproxy1 192.168.0.57:80 check
server zproxy2 192.168.0.58:80 check

포트 443에 대한 규칙:

frontend https
bind  *:443
default_backend https-443
 
backend https-443
mode tcp
server zproxy1 192.168.0.57:80 check
server zproxy2 192.168.0.58:80 check

TCP 패킷을 MTA로 전달하는 규칙에서 해당 주소 옆에 매개변수가 있음을 유의하십시오. 송신 프록시. 이전에 변경한 Postfix 설정에 따라 발신자의 원래 IP 주소도 TCP 패킷과 함께 전송되도록 하기 위해 필요합니다.

이제 HAProxy에 필요한 모든 변경 사항이 적용되었으므로 다음 명령으로 서비스를 다시 시작할 수 있습니다. 서비스 haproxy 재시작 그리고 그것을 사용하기 시작하십시오.

Zextras Suite와 관련된 모든 질문은 Zextras Ekaterina Triandafilidi 대표에게 이메일로 문의할 수 있습니다. [이메일 보호]

출처 : habr.com

HAProxy를 사용하는 Zimbra Open-Source Edition의 로드 밸런싱

코멘트를 추가 답장을 취소