Slodzes līdzsvarošana programmā Zimbra Open-Source Edition, izmantojot HAProxy

Viens no galvenajiem uzdevumiem, veidojot liela mēroga Zimbra OSE infrastruktūru, ir pareiza slodzes līdzsvarošana. Papildus tam, ka tas palielina pakalpojuma kļūdu toleranci, bez slodzes balansēšanas nav iespējams nodrošināt vienādu pakalpojuma atsaucību visiem lietotājiem. Šīs problēmas risināšanai tiek izmantoti slodzes balansētāji – programmatūras un aparatūras risinājumi, kas pārdala pieprasījumus starp serveriem. Starp tiem ir diezgan primitīvi, piemēram, RoundRobin, kas katru nākamo pieprasījumu vienkārši nosūta nākamajam sarakstā esošajam serverim, un ir arī progresīvāki, piemēram, HAProxy, ko plaši izmanto augstas slodzes skaitļošanas infrastruktūrās. vairākas būtiskas priekšrocības. Apskatīsim, kā jūs varat panākt, lai HAProxy slodzes līdzsvarotājs un Zimbra OSE darbotos kopā.

Tātad, saskaņā ar problēmas specifikācijām, mums ir dota Zimbra OSE infrastruktūra, kas ietver divus Zimbra starpniekserverus, divus LDAP serverus, LDAP repliku, četras pastkastīšu krātuves ar 1000 pastkastēm katrā un trīs MTA. Ņemot vērā, ka mums ir darīšana ar pasta serveri, tas saņems trīs veidu trafiku, kam nepieciešama līdzsvarošana: HTTP tīmekļa klienta ielādei, kā arī POP un SMTP e-pasta pārsūtīšanai. HTTP trafika tiks nosūtīta uz serveri Zimbra starpniekserveris ar IP adresēm 192.168.0.57 un 192.168.0.58, un SMTP datplūsma nonāks MTA serveros ar IP adresēm 192.168.0.77 un 192.168.0.78.

Как уже говорилось, для обеспечения равномерного распределения запросов между серверами мы будем использовать балансировщик нагрузки HAProxy, который будет работать на входном узле инфраструктуры Zimbra под управлением Ubuntu 18.04. Установка haproxy в этой операционной системе осуществляется при помощи команды sudo apt-get instalēt haproxy. Pēc tam jums ir nepieciešams failā /etc/default/haproxy mainīt parametru IESPĒJOTS=0 par IESPĒJOTS=1. Tagad, lai pārliecinātos, ka haproxy darbojas, vienkārši ievadiet komandu pakalpojumu haproxy. Ja šis pakalpojums darbojas, tas būs skaidrs no komandas izvades.

Viens no galvenajiem HAProxy trūkumiem ir tas, ka pēc noklusējuma tas nepārraida savienojošā klienta IP adresi, aizstājot to ar savu. Tas var radīt situācijas, kad uzbrucēju nosūtītos e-pastus nevar identificēt. IP adreselai to pievienotu melnajam sarakstam. Tomēr šo problēmu var atrisināt. Lai to izdarītu, jums ir jārediģē fails /opt/zimbra/common/conf/master.cf.in serveros ar Postfix un pievienojiet tam šādas rindiņas:

26      inet  n       -       n       -       1       postscreen
        -o postscreen_upstream_proxy_protocol=haproxy
 
466    inet  n       -       n       -       -       smtpd
%%uncomment SERVICE:opendkim%%  -o content_filter=scan:[%%zimbraLocalBindAddress%%]:10030
        -o smtpd_tls_wrappermode=yes
        -o smtpd_sasl_auth_enable=yes
        -o smtpd_client_restrictions=
        -o smtpd_data_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_recipient_restrictions=
        -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
        -o syslog_name=postfix/smtps
        -o milter_macro_daemon_name=ORIGINATING
        -o smtpd_upstream_proxy_protocol=haproxy
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_filter=[%%zimbraLocalBindAddress%%]:10027
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_options=speed_adjust
 
588 inet n      -       n       -       -       smtpd
%%uncomment SERVICE:opendkim%%  -o content_filter=scan:[%%zimbraLocalBindAddress%%]:10030
        -o smtpd_etrn_restrictions=reject
        -o smtpd_sasl_auth_enable=%%zimbraMtaSaslAuthEnable%%
        -o smtpd_tls_security_level=%%zimbraMtaTlsSecurityLevel%%
        -o smtpd_client_restrictions=permit_sasl_authenticated,reject
        -o smtpd_data_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_recipient_restrictions=
        -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
        -o syslog_name=postfix/submission
        -o milter_macro_daemon_name=ORIGINATING
        -o smtpd_upstream_proxy_protocol=haproxy
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_filter=[%%zimbraLocalBindAddress%%]:10027
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_options=speed_adjust

Sakarā ar to mēs atvērsim 26., 466. un 588. portus, kas saņems ienākošo trafiku no HAProxy. Kad faili ir saglabāti, restartējiet Postfix visos serveros, izmantojot komandu zmmtactl restart.

Pēc tam sāksim HAProxy iestatīšanu. Lai to izdarītu, vispirms izveidojiet iestatījumu faila dublējumkopiju cp /etc/haproxy/haproxy.cfg /etc/haproxy/haproxy.cfg.bak. Pēc tam atveriet avota failu teksta redaktorā /etc/haproxy/haproxy.cfg un sāciet soli pa solim pievienot tai nepieciešamos iestatījumus. Pirmais bloks būs servera pievienošana, kas ņem žurnālus, iestatot maksimālo atļauto vienlaicīgo savienojumu skaitu, kā arī norādot lietotāja vārdu un grupu, kurai piederēs izpildes process.

global
    user daemon
    group daemon
    daemon
    log 127.0.0.1 daemon
    maxconn 5000
    chroot /var/lib/haproxy

5000 vienlaicīgu savienojumu skaitlis parādījās kāda iemesla dēļ. Tā kā mūsu infrastruktūrā ir 4000 pastkastīšu, mums ir jāņem vērā iespēja, ka tās visas vienlaikus piekļūs savam darba e-pastam. Turklāt ir nepieciešams atstāt nelielu rezervi gadījumam, ja to skaits palielinās.

Tagad pievienosim bloku ar noklusējuma iestatījumiem:

defaults
        timeout client 1m
        log global
        mode tcp
        timeout server 1m
        timeout connect 5s

Šis bloks iestata maksimālo taimautu klientam un serverim, lai aizvērtu savienojumu, kad tas beidzas, kā arī iestata HAProxy darbības režīmu. Mūsu gadījumā slodzes balansētājs darbojas TCP režīmā, tas ir, tas vienkārši pārsūta TCP paketes, neanalizējot to saturu.

Tālāk mēs pievienosim noteikumus savienojumiem dažādos portos. Piemēram, ja SMTP savienojumiem un pastam tiek izmantots ports 25, tad savienojumus uz to ir lietderīgi pārsūtīt uz mūsu infrastruktūrā pieejamajiem MTA. Ja savienojums ir portā 80, tas ir http pieprasījums, kas ir jāpārsūta uz Zimbra starpniekserveri.

Noteikums 25. portam:

frontend smtp-25
bind *:27
default_backend backend-smtp-25
 
backend backend-smtp-25
server mta1 192.168.0.77:26 send-proxy
server mta2 192.168.0.78:26 send-proxy

Noteikums 465. portam:

frontend smtp-465
bind *:467
default_backend backend-smtp-465

backend backend-smtp-465
server mta1 192.168.0.77:466 send-proxy
server mta2 192.168.0.78:466 send-proxy

Noteikums 587. portam:

frontend smtp-587
bind *:589
default_backend backend-smtp-587
 
backend backend-smtp-587
server mail1 192.168.0.77:588 send-proxy
server mail2 192.168.0.78:588 send-proxy

Noteikums 80. portam:

frontend http-80
bind    *:80
default_backend http-80
 
backend http-80
mode tcp
server zproxy1 192.168.0.57:80 check
server zproxy2 192.168.0.58:80 check

Noteikums 443. portam:

frontend https
bind  *:443
default_backend https-443
 
backend https-443
mode tcp
server zproxy1 192.168.0.57:80 check
server zproxy2 192.168.0.58:80 check

Lūdzu, ņemiet vērā, ka noteikumos par TCP pakešu pārsūtīšanu uz MTA blakus to adresēm ir parametrs sūtīt-starpniekserveris. Tas ir nepieciešams, lai saskaņā ar iepriekš veiktajām izmaiņām Postfix iestatījumos kopā ar TCP paketēm tiktu nosūtīta sākotnējā sūtītāja IP adrese.

Tagad, kad HAProxy ir veiktas visas nepieciešamās izmaiņas, varat restartēt pakalpojumu, izmantojot komandu pakalpojuma haproxy restartēšana un sāciet to lietot.

Par visiem jautājumiem, kas saistīti ar Zextras Suite, varat sazināties ar Zextras pārstāvi Jekaterinu Triandafilidi pa e-pastu katerina@zextras.com

Avots: www.habr.com