Belaaschtung an der Zimbra Open-Source Edition mat HAProxy

Eng vun den Haaptaufgaben beim Bau vun enger grousser Zimbra OSE Infrastruktur ass déi richteg Laaschtbalancéierung. Zousätzlech zu der Tatsaach datt et d'Fehlertoleranz vum Service erhéicht, ouni Belaaschtung ass et onméiglech déi selwecht Reaktiounsfäegkeet vum Service fir all Benotzer ze garantéieren. Fir dëse Problem ze léisen, gi Lastbalancer benotzt - Software an Hardwareléisungen déi Ufroen tëscht Serveren ëmverdeelen. Dorënner ginn et zimlech primitiv, wéi RoundRobin, déi einfach all uschléissend Ufro un den nächste Server an der Lëscht schéckt, an et ginn och méi fortgeschratt, zum Beispill HAProxy, dee vill an héichbelaaschte Recheninfrastrukturen benotzt gëtt wéinst engem Zuel vu bedeitende Virdeeler. Loosst eis kucken wéi Dir den HAProxy Loadbalancer an den Zimbra OSE zesumme maache kënnt.

Also, laut de Problemspezifikatioune kréie mir eng Zimbra OSE Infrastruktur, déi zwéi Zimbra Proxien, zwéi LDAP Serveren, eng LDAP Replica, véier Mailbox Späicher mat jee 1000 Mailboxen an dräi MTAen enthält. Well mir et mat engem Mailserver ze dinn hunn, kritt en dräi Zorte vu Verkéier, déi ausgeglach musse ginn: HTTP fir de Web Client ze lueden, souwéi POP an SMTP fir d'E-Mail Weiderleitung. Den HTTP Verkéier gëtt geschéckt un Serveren Zimbra Proxy mat IP Adressen 192.168.0.57 an 192.168.0.58, an den SMTP Traffic geet op MTA Server mat IP Adressen 192.168.0.77 an 192.168.0.78.

Wéi virdru scho gesot, benotze mir den HAProxy Load Balancer, fir eng gläichméisseg Verdeelung vun Ufroen tëscht de Serveren ze garantéieren, deen um Ingress-Knuet vun der Zimbra-Infrastruktur leeft. Ubuntu 18.04. D'Installatioun vun Haproxy an dësem Betribssystem gëtt mat dem Kommando duerchgefouert. sudo apt-get install haproxy. No dëser braucht Dir am Fichier /etc/default/haproxy änneren Parameter AKTIVÉIERT = 0 op AKTIVÉIERT = 1. Elo, fir sécherzestellen datt Haproxy funktionnéiert, gitt just de Kommando Service haproxy. Wann dëse Service leeft, ass dëst kloer aus dem Output vum Kommando.

Ee vun den Haaptnodeeler vun HAProxy ass, datt et d'IP-Adress vum Client, deen sech verbënnt, net standardméisseg iwwerdroe gëtt, mä duerch seng eegen ersetzt. Dëst kann zu Situatiounen féieren, wou E-Maile vun Attacker net identifizéiert kënne ginn. IP Adressfir et op d'Schwaarzlëscht ze setzen. Dëse Problem kann awer geléist ginn. Fir dëst ze maachen, musst Dir d'Datei änneren /opt/zimbra/common/conf/master.cf.in op Serveren mat Postfix a füügt déi folgend Zeilen derbäi:

26      inet  n       -       n       -       1       postscreen
        -o postscreen_upstream_proxy_protocol=haproxy
 
466    inet  n       -       n       -       -       smtpd
%%uncomment SERVICE:opendkim%%  -o content_filter=scan:[%%zimbraLocalBindAddress%%]:10030
        -o smtpd_tls_wrappermode=yes
        -o smtpd_sasl_auth_enable=yes
        -o smtpd_client_restrictions=
        -o smtpd_data_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_recipient_restrictions=
        -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
        -o syslog_name=postfix/smtps
        -o milter_macro_daemon_name=ORIGINATING
        -o smtpd_upstream_proxy_protocol=haproxy
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_filter=[%%zimbraLocalBindAddress%%]:10027
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_options=speed_adjust
 
588 inet n      -       n       -       -       smtpd
%%uncomment SERVICE:opendkim%%  -o content_filter=scan:[%%zimbraLocalBindAddress%%]:10030
        -o smtpd_etrn_restrictions=reject
        -o smtpd_sasl_auth_enable=%%zimbraMtaSaslAuthEnable%%
        -o smtpd_tls_security_level=%%zimbraMtaTlsSecurityLevel%%
        -o smtpd_client_restrictions=permit_sasl_authenticated,reject
        -o smtpd_data_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_recipient_restrictions=
        -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
        -o syslog_name=postfix/submission
        -o milter_macro_daemon_name=ORIGINATING
        -o smtpd_upstream_proxy_protocol=haproxy
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_filter=[%%zimbraLocalBindAddress%%]:10027
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_options=speed_adjust

Dofir wäerte mir d'Ports 26, 466 an 588 opmaachen, déi erakommen Traffic vun HAProxy kréien. Nodeems d'Fichier'en gespäichert sinn, sollt Dir Postfix op all Server nei starten mat dem zmmtactl Restart Kommando.

Duerno fänke mer HAProxy opzestellen. Fir dëst ze maachen, erstellt als éischt eng Backupkopie vun der Astellungsdatei cp /etc/haproxy/haproxy.cfg /etc/haproxy/haproxy.cfg.bak. Da öffnen d'Quelldatei an engem Texteditor /etc/haproxy/haproxy.cfg a fänkt un déi néideg Astellunge Schrëtt fir Schrëtt derbäi. Den éischte Block wäert e Server bäidroen deen d'Logbicher hëlt, déi maximal erlaabt Zuel vu simultane Verbindungen festleeën, souwéi den Numm a Grupp vum Benotzer spezifizéieren, zu deem den Ausféierungsprozess gehéiert.

global
    user daemon
    group daemon
    daemon
    log 127.0.0.1 daemon
    maxconn 5000
    chroot /var/lib/haproxy

D'Figur vu 5000 simultan Verbindungen ass aus engem Grond opgetaucht. Well mir 4000 Mailboxen an eiser Infrastruktur hunn, musse mir d'Méiglechkeet berücksichtegen datt se all gläichzäiteg op hir Aarbechts-E-Mail kommen. Zousätzlech ass et néideg eng kleng Reserve ze verloossen am Fall wou hir Zuel eropgeet.

Loosst eis elo e Block mat Standardastellungen derbäi:

defaults
        timeout client 1m
        log global
        mode tcp
        timeout server 1m
        timeout connect 5s

Dëse Block setzt de maximalen Timeout fir de Client an de Server fir d'Verbindung zouzemaachen wann se ofleeft, a setzt och den Operatiounsmodus vun HAProxy. An eisem Fall funktionnéiert de Lastbalancer am TCP Modus, dat heescht, et iwwerdréit einfach TCP Päckchen ouni hiren Inhalt ze analyséieren.

Als nächst wäerte mir Regele fir Verbindungen op verschiddene Ports addéieren. Zum Beispill, wann den Hafen 25 fir SMTP Verbindungen a Mail benotzt gëtt, da mécht et Sënn fir Verbindungen dohinner op d'MTAs, déi an eiser Infrastruktur verfügbar sinn, weiderzebréngen. Wann d'Verbindung um Hafen 80 ass, dann ass dëst eng http-Ufro déi op Zimbra Proxy weidergeleet muss ginn.

Regel fir Port 25:

frontend smtp-25
bind *:27
default_backend backend-smtp-25
 
backend backend-smtp-25
server mta1 192.168.0.77:26 send-proxy
server mta2 192.168.0.78:26 send-proxy

Regel fir Port 465:

frontend smtp-465
bind *:467
default_backend backend-smtp-465

backend backend-smtp-465
server mta1 192.168.0.77:466 send-proxy
server mta2 192.168.0.78:466 send-proxy

Regel fir Port 587:

frontend smtp-587
bind *:589
default_backend backend-smtp-587
 
backend backend-smtp-587
server mail1 192.168.0.77:588 send-proxy
server mail2 192.168.0.78:588 send-proxy

Regel fir Port 80:

frontend http-80
bind    *:80
default_backend http-80
 
backend http-80
mode tcp
server zproxy1 192.168.0.57:80 check
server zproxy2 192.168.0.58:80 check

Regel fir Port 443:

frontend https
bind  *:443
default_backend https-443
 
backend https-443
mode tcp
server zproxy1 192.168.0.57:80 check
server zproxy2 192.168.0.58:80 check

Notéiert w.e.g. datt an de Regele fir TCP-Päckchen op d'MTA weiderginn, nieft hiren Adressen gëtt et e Parameter schécken-Proxy. Dëst ass néideg fir datt, am Aklang mat den Ännerungen, déi mir virdru gemaach hunn an de Postfix-Astellungen, déi ursprénglech IP Adress vu sengem Sender zesumme mat TCP Päck geschéckt gëtt.

Elo datt all déi néideg Ännerungen op HAProxy gemaach goufen, kënnt Dir de Service mat dem Kommando nei starten Service haproxy Restart an ufänken et ze benotzen.

Fir all Froen am Zesummenhang mat der Zextras Suite, kënnt Dir d'Zextras Vertrieder Ekaterina Triandafilidi per E-Mail kontaktéieren katerina@zextras.com

Source: will.com