Inona no tokony hatao raha tsy ampy ny herin'ny mpizara iray hikarakarana ny fangatahana rehetra, ary tsy manome fampifandanjana entana ny mpanamboatra rindrambaiko? Misy safidy maro, manomboka amin'ny fividianana mpandanja entana ka hatramin'ny famerana ny isan'ny fangatahana. Izay marina dia tsy maintsy faritana amin'ny toe-javatra, amin'ny fiheverana ny toe-javatra misy. Amin'ity lahatsoratra ity dia holazainay aminao izay azonao atao raha voafetra ny teti-bolanao ary manana mpizara maimaim-poana ianao.
Amin'ny maha-rafitra izay nilaina ny fampihenana ny enta-mavesatra amin'ny iray amin'ireo mpizara, dia nisafidy DLP (rafitra fisorohana leakage fampahalalana) avy amin'ny InfoWatch izahay. Ny endri-javatra iray amin'ny fampiharana dia ny fametrahana ny fiasan'ny balancer amin'ny iray amin'ireo mpizara "ady".
Iray amin'ireo olana sedray ny tsy fahaizana mampiasa Source NAT (SNAT). Nahoana no nilaina izany sy ny fomba namaha ny olana, holazainay bebe kokoa.
Noho izany, tamin'ny voalohany dia toy izao ny kisary lojika amin'ny rafitra misy:
Ny fifamoivoizana ICAP, SMTP, hetsika avy amin'ny solosaina mpampiasa dia nokarakaraina tao amin'ny mpizara Traffic Monitor (TM). Nandritra izany fotoana izany, ny mpizara database dia niatrika mora foana ny entana taorian'ny fanodinana ny hetsika tao amin'ny TM, fa ny entana tao amin'ny TM dia navesatra. Niharihary izany tamin'ny fisehon'ny filaharana hafatra ao amin'ny mpizara Device Monitor (DM), ary koa avy amin'ny CPU sy ny fitadidiana entana ao amin'ny TM.
Raha vao jerena, raha manampy mpizara TM hafa amin'ity drafitra ity izahay, dia azo avadika ho azy ny ICAP na DM, saingy nanapa-kevitra ny tsy hampiasa an'io fomba io izahay, satria nihena ny fandeferana diso.
Famaritana ny vahaolana
Teo am-pikarohana vahaolana mety, dia niorim-paka tamin'ny rindrambaiko zaraina malalaka izahay miaraka amin'ny . Satria ny keepalived dia mamaha ny olana amin'ny famoronana cluster failover ary afaka mitantana ihany koa ny mpandrindra LVS.
Ny zavatra tiana ho tratrarina (ahena ny enta-mavesatra amin'ny TM ary mitazona ny haavon'ny fandeferana amin'izao fotoana izao) dia tokony ho niasa araka ity rafitra manaraka ity:
Rehefa nanamarina ny fampiasa dia hita fa tsy manohana ny SNAT ny fivoriambe RedHat mahazatra napetraka amin'ny mpizara. Amin'ity tranga ity dia nikasa ny hampiasa SNAT izahay mba hahazoana antoka fa ny fonosana sy ny valin-kafatra ho azy ireo dia alefa amin'ny adiresy IP iray ihany, raha tsy izany dia hahazo ity sary manaraka ity izahay:
Tsy azo ekena izany. Ohatra, ny mpizara proxy, izay nandefa fonosana amin'ny adiresy IP Virtual (VIP), dia manantena valiny avy amin'ny VIP, fa amin'ity tranga ity dia avy amin'ny IP2 ho an'ny fivoriana alefa any amin'ny backup. Vahaolana hita: ilaina ny mamorona latabatra zotra hafa amin'ny backup ary mampifandray ireo mpizara TM roa miaraka amin'ny tambajotra misaraka, araka ny aseho eto ambany:
Fikirana
Hampihatra drafitry ny mpizara roa miaraka amin'ny serivisy ICAP, SMTP, TCP 9100 ary mpanenjana entana napetraka amin'ny iray amin'izy ireo.
Manana mpizara RHEL6 roa izahay, izay nesorina ny tahiry mahazatra sy ny fonosana sasany.
Serivisy mila mifandanja:
β’ ICAP β tcp 1344;
β’ SMTP β tcp 25.
Serivisy fifindran'ny fifamoivoizana avy amin'ny DM - tcp 9100.
Voalohany, mila manomana ny tambajotra isika.
Adiresy IP virtoaly (VIP):
β’ IP: 10.20.20.105.
Server TM6_1:
β’ IP ivelany: 10.20.20.101;
β’ IP anatiny: 192.168.1.101.
Server TM6_2:
β’ IP ivelany: 10.20.20.102;
β’ IP anatiny: 192.168.1.102.
Avy eo dia mamela ny fandefasana IP amin'ny mpizara TM roa izahay. Ny fomba hanaovana izany dia voalaza ao amin'ny RedHat .
Manapa-kevitra izahay hoe iza amin'ireo lohamilina hanananay no lehibe indrindra ary iza no ho backup. Avelao ny master ho TM6_1, backup ho TM6_2.
Amin'ny backup dia mamorona tabilao routing balancer vaovao sy fitsipika zotra izahay:
[root@tm6_2 ~]echo 101 balancer >> /etc/iproute2/rt_tables
[root@tm6_2 ~]ip rule add from 192.168.1.102 table balancer
[root@tm6_2 ~]ip route add default via 192.168.1.101 table balancerIreo baiko etsy ambony ireo dia miasa mandra-piverin'ny rafitra. Mba hahazoana antoka fa voatahiry ny lalana aorian'ny famerenana indray dia azonao atao ny mampiditra azy ireo /etc/rc.d/rc.local, fa tsara kokoa amin'ny alΓ lan'ny fisie fichier /etc/sysconfig/network-scripts/route-eth1 (fanamarihana: syntax samihafa no ampiasaina eto).
Mametraka keepalived amin'ny mpizara TM roa. Nampiasa rpmfind.net ho loharano fizarana izahay:
[root@tm6_1 ~]#yum install https://rpmfind.net/linux/centos/6.10/os/x86_64/Packages/keepalived-1.2.13-5.el6_6.x86_64.rpmAo amin'ny toe-javatra keepalived, dia manendry ny iray amin'ireo mpizara ho tompon'andraikitra, ny iray hafa ho backup. Avy eo dia mametraka VIP sy serivisy ho an'ny fifandanjana entana. Ny fisie fichier dia matetika eto: /etc/keepalived/keepalived.conf.
Fikirana ho an'ny mpizara TM1
vrrp_sync_group VG1 {
group {
VI_1
}
}
vrrp_instance VI_1 {
state MASTER
interface eth0
lvs_sync_daemon_inteface eth0
virtual_router_id 51
priority 151
advert_int 1
authentication {
auth_type PASS
auth_pass example
}
virtual_ipaddress {
10.20.20.105
}
}
virtual_server 10.20.20.105 1344 {
delay_loop 6
lb_algo wrr
lb_kind NAT
protocol TCP
real_server 192.168.1.101 1344 {
weight 1
TCP_CHECK {
connect_timeout 3
connect_port 1344
nb_get_retry 3
delay_before_retry 3
}
}
real_server 192.168.1.102 1344 {
weight 1
TCP_CHECK {
connect_timeout 3
connect_port 1344
nb_get_retry 3
delay_before_retry 3
}
}
}
virtual_server 10.20.20.105 25 {
delay_loop 6
lb_algo wrr
lb_kind NAT
protocol TCP
real_server 192.168.1.101 25 {
weight 1
TCP_CHECK {
connect_timeout 3
connect_port 25
nb_get_retry 3
delay_before_retry 3
}
}
real_server 192.168.1.102 25 {
weight 1
TCP_CHECK {
connect_timeout 3
connect_port 25
nb_get_retry 3
delay_before_retry 3
}
}
}
virtual_server 10.20.20.105 9100 {
delay_loop 6
lb_algo wrr
lb_kind NAT
protocol TCP
real_server 192.168.1.101 9100 {
weight 1
TCP_CHECK {
connect_timeout 3
connect_port 9100
nb_get_retry 3
delay_before_retry 3
}
}
real_server 192.168.1.102 9100 {
weight 1
TCP_CHECK {
connect_timeout 3
connect_port 9100
nb_get_retry 3
delay_before_retry 3
}
}
}Fikirana ho an'ny mpizara TM2
vrrp_sync_group VG1 {
group {
VI_1
}
}
vrrp_instance VI_1 {
state BACKUP
interface eth0
lvs_sync_daemon_inteface eth0
virtual_router_id 51
priority 100
advert_int 1
authentication {
auth_type PASS
auth_pass example
}
virtual_ipaddress {
10.20.20.105
}
}Mametraka LVS amin'ny tompony izahay, izay hampifandanja ny fifamoivoizana. Tsy misy dikany ny fametrahana balancer ho an'ny mpizara faharoa, satria mpizara roa ihany no ananantsika.
[root@tm6_1 ~]##yum install https://rpmfind.net/linux/centos/6.10/os/x86_64/Packages/ipvsadm-1.26-4.el6.x86_64.rpmNy balancer dia hotantanan'ny keepalived, izay efa namboarinay.
Mba hamenoana ny sary, andao ampio keepalived amin'ny autostart amin'ny lohamilina roa:
[root@tm6_1 ~]#chkconfig keepalived onfamaranana
Fanamarinana ny valiny
Andao handeha amin'ny keepalived amin'ny mpizara roa:
service keepalived startFanamarinana ny fisian'ny adiresy virtoaly VRRP
Andao ho azo antoka fa ao amin'ny master ny VIP:
Ary tsy misy VIP amin'ny backup:
Amin'ny fampiasana ny baiko ping, hanamarina ny fisian'ny VIP izahay:
Azonao atao ny manakatona ny master ary mamerina ny baiko indray ping.
Ny valiny dia tokony hitoetra ho mitovy, ary amin'ny backup dia hahita VIP isika:
Fanamarinana ny fifandanjana amin'ny serivisy
Andeha horaisintsika ohatra ny SMTP. Andao hanomboka fifandraisana roa amin'ny 10.20.20.105 miaraka:
telnet 10.20.20.105 25Amin'ny master dia tokony ho hitantsika fa ny fifandraisana roa dia mavitrika ary mifandray amin'ny mpizara samihafa:
[root@tm6_1 ~]#watch ipvsadm βLn
Noho izany, nampihatra ny fanefena mandefitra amin'ny serivisy TM izahay amin'ny alΓ lan'ny fametrahana balancer amin'ny iray amin'ireo mpizara TM. Ho an'ny rafitray, dia nampihena ny enta-mavesatra tao amin'ny TM tamin'ny antsasany izany, izay nahafahana namaha ny olana amin'ny tsy fahampian'ny scaling horizontaly amin'ny fampiasana ny rafitra.
Amin'ny ankabeazan'ny tranga, ity vahaolana ity dia ampiharina haingana ary tsy misy vidiny fanampiny, saingy indraindray dia misy fetra sy fahasarotana maromaro amin'ny fanamafisana, ohatra, rehefa mandanjalanja ny fifamoivoizana UDP.
Source: www.habr.com