موږ پریکړه وکړه چې موږ به هر هغه څه چې د خدماتو مدیرانو په مرسته مو موندلي قونسل ته وسپارو او له هغه ځایه به د iptables قواعد ولیکئ.
موږ څنګه پریکړه وکړه چې دا کار وکړو؟
موږ به ټول خدمات، شبکې او کاروونکي راټول کړو.
راځئ چې د دوی پر بنسټ د iptables قواعد رامینځته کړو.
موږ کنټرول اتومات کوو.
....
ګټه.
قونسل یو ریموټ API نه دی، دا کولی شي په هر نوډ کې وګرځي او iptables ته ولیکي. ټول هغه څه چې پاتې دي د اتوماتیک کنټرولونو سره راځي چې غیر ضروري شیان پاکوي، او ډیری ستونزې به حل شي! موږ به پاتې کار وکړو لکه څنګه چې موږ ځو.
موږ د قونسل په کارولو سره ډیری دا ستونزې حل کړې، له همدې امله موږ دا غوره کړه. شرکت د بدیل پس منظر لپاره پلانونه لري، مګر موږ د ستونزو سره معامله کول زده کړل او اوس د قونسل سره ژوند کوو.
قونسل څنګه کار کوي
موږ به په مشروط ډیټا مرکز کې له دریو څخه تر پنځو سرورونو نصب کړو. یو یا دوه سرورونه به کار ونکړي: دوی به ونشي کولی چې کورم تنظیم کړي او پریکړه وکړي چې څوک سم دي او څوک غلط دي کله چې ډاټا سره سمون نه خوري. له پنځو څخه ډیر هیڅ معنی نلري، تولید به راټیټ شي.
پیرودونکي په هر ترتیب کې سرورونو سره وصل کیږي: ورته اجنټان ، یوازې د بیرغ سره server = false.
له دې وروسته، پیرودونکي د P2P اړیکو لیست ترلاسه کوي او په خپل منځ کې اړیکې رامینځته کوي.
په نړیواله کچه، موږ ډیری ډیټا مرکزونه وصل کوو. دوی هم د P2P سره نښلوي او اړیکه لري.
کله چې موږ غواړو د بل ډیټا مرکز څخه ډاټا بیرته ترلاسه کړو، غوښتنه له سرور څخه سرور ته ځي. دا سکیم ویل کیږي د خدمت پروتوکول. د سیرف پروتوکول، لکه قونسل، د HashiCorp لخوا رامینځته شوی.
د کونسلګرۍ په اړه ځینې مهم حقایق
قونسل اسناد لري چې دا تشریح کوي چې دا څنګه کار کوي. زه به یوازې غوره حقایق وړاندې کړم چې د پوهیدو وړ دي.
د قونسل سرورونه د رایه ورکوونکو څخه یو ماسټر غوره کوي. قونسل د هر ډیټا مرکز لپاره د سرورونو لیست څخه ماسټر غوره کوي ، او ټولې غوښتنې یوازې دې ته ځي ، پرته لدې چې د سرورونو شمیر په پام کې ونیول شي. د ماسټر کنګل کول د بیا ټاکنو لامل نه کیږي. که ماسټر نه وي ټاکل شوی، غوښتنې د چا لخوا نه خدمت کیږي.
ایا تاسو افقی اندازه کول غواړئ؟ بخښنه غواړم، نه.
د بل ډیټا مرکز ته غوښتنه له ماسټر څخه ماسټر ته ځي ، پرته لدې چې کوم سرور ته راشي. ټاکل شوی ماسټر 100٪ بار ترلاسه کوي، پرته له دې چې د مخکینیو غوښتنو بار بار وي. د معلوماتو په مرکز کې ټول سرورونه د معلوماتو تازه کاپي لري، مګر یوازې یو ځواب ورکوي.
د اندازه کولو یوازینۍ لار په پیرودونکي کې د سټیل حالت فعالول دي.
په زاړه حالت کې، تاسو کولی شئ پرته له کورم ځواب ورکړئ. دا یو حالت دی په کوم کې چې موږ د ډیټا ثبات پریږدو، مګر د معمول په پرتله یو څه چټک لوستل، او کوم سرور ځواب ورکوي. په طبیعي توګه، یوازې د ماسټر له لارې ثبت کول.
قونسل د معلوماتو مرکزونو ترمنځ ډاټا کاپي نه کوي. کله چې یو فدراسیون راټول شي، هر سرور به یوازې خپل معلومات ولري. د نورو لپاره، هغه تل د بل چا سره مخ کیږي.
د عملیاتو اتومیت د لیږد څخه بهر تضمین ندی. په یاد ولرئ چې تاسو یوازینی څوک نه یاست چې شیان بدلولی شئ. که تاسو دا په بل ډول غواړئ، د تالاشۍ سره معامله ترسره کړئ.
د بندولو عملیات د تالاشۍ تضمین نه کوي. غوښتنه له ماسټر څخه ماسټر ته ځي ، او مستقیم نه ، نو هیڅ تضمین شتون نلري چې بلاک کول به کار وکړي کله چې تاسو بلاک کړئ ، د مثال په توګه ، په بل ډیټا مرکز کې.
ACL هم د لاسرسي تضمین نه کوي (په ډیری مواردو کې). ACL ممکن کار ونکړي ځکه چې دا په یو فدراسیون ډیټا مرکز کې زیرمه شوی - د ACL ډیټا مرکز (لومړني DC) کې. که چیرې DC تاسو ته ځواب ونه وايي، ACL به کار ونکړي.
یو منجمد ماسټر به د ټول فدراسیون کنګل کیدو لامل شي. د مثال په توګه، په یو فدراسیون کې 10 د معلوماتو مرکزونه شتون لري، او یو یې خراب شبکه لري، او یو ماسټر ناکام دی. هرڅوک چې له هغه سره اړیکه ونیسي په یوه حلقه کې ودرول شي: یوه غوښتنه شتون لري، هیڅ ځواب نشته، تار کنګل کیږي. هیڅ لاره نشته چې پوه شي چې دا به کله پیښ شي ، یوازې په یو یا دوه ساعتونو کې به ټول فدراسیون سقوط وکړي. هیڅ شی نشته چې تاسو یې په اړه څه کولی شئ.
وضعیت، نصاب او ټاکنې د جلا تار په واسطه اداره کیږي. بیا ټاکنې به نه کیږي، دریځ به هیڅ ونه ښیې. تاسو فکر کوئ چې تاسو یو ژوندی قونسل لرئ، تاسو پوښتنه کوئ، او هیڅ شی نه کیږي - هیڅ ځواب نشته. په ورته وخت کې، وضعیت ښیي چې هرڅه سم دي.
د نړۍ ګړندي خوندي کولو یا یو څوک ژر غیر فعال کولو لپاره ، د ټولو زنځیرونو په پیل کې موږ دوه ipsets جوړ کړل: rules_allow и rules_deny. څنګه کار کوي؟
د مثال په توګه، یو څوک زموږ په ویب کې د بوټونو سره بار جوړوي. مخکې، تاسو باید د هغه IP د لاګونو څخه ومومئ، د شبکې انجنیرانو ته یې واخلئ، ترڅو دوی د ټرافیک سرچینه ومومي او هغه یې منع کړي. دا اوس مختلف ښکاري.
موږ دا قونسل ته لیږو، 2,5 ثانیې انتظار وکړئ، او دا کار وشو. څرنګه چې قونسل د P2P له لارې په چټکۍ سره توزیع کوي، دا د نړۍ په هره برخه کې هرچیرې کار کوي.
یوځل چې ما یو څه په بشپړ ډول د فایر وال سره د غلطۍ له امله WOT بند کړ. rules_allow - دا د داسې قضیو په وړاندې زموږ بیمه ده. که موږ د فایر وال سره کوم ځای کې غلطي کړې وي، یو څه بل ځای بند شوی وي، موږ کولی شو تل یو مشروط واستوو 0.0/0ژر تر ژره هرڅه پورته کړئ. وروسته به موږ هر څه د لاس په واسطه تنظیم کړو.
ipset اضافه کړئ سیټ 0.0.0.0/0. څه پیښیږي که تاسو 0.0.0.0/0 ipset ته اضافه کړئ؟ ایا ټول IPs به اضافه شي؟ ایا انټرنیټ ته لاسرسی به شتون ولري؟
نه، موږ به یو بګ ترلاسه کړو چې موږ ته دوه ساعته ځنډ وخت مصرفوي. سربیره پردې، بګ د 2016 راهیسې کار نه دی کړی، دا په RedHat Bugzilla کې د #1297092 شمیرې لاندې موقعیت لري، او موږ دا په ناڅاپي ډول وموندل - د پراختیا کونکي راپور څخه.
دا اوس په BEFW کې یو سخت قانون دی 0.0.0.0/0 په دوه ادرس بدلیږي: 0.0.0.0/1 и 128.0.0.0/1.
د ipset بیا رغونه سیټ < فایل. ipset څه کوي کله چې تاسو ورته ووایاست restore؟ ایا تاسو فکر کوئ چې دا د iptables په څیر کار کوي؟ ایا دا به ډاټا بیرته ترلاسه کړي؟
د دې په څیر هیڅ شی نه دی - دا یوځای کوي، او زاړه پتې هیڅ ځای ته نه ځي، تاسو لاسرسی بند نه کړئ.
موږ یو بګ وموندلو کله چې د انزوا معاینه کوو. اوس دلته یو پیچلی سیسټم شتون لري - پرځای یې restore نیول شوی create tempبیا restore flush temp и restore temp. د تبادلې په پای کې: د اتومیت لپاره، ځکه چې که تاسو دا لومړی کوئ flush او په دې وخت کې یو پیکټ راځي، دا به رد شي او یو څه به غلط شي. نو هلته یو څه تور جادو شتون لري.
قونسل kv get -datacenter=نور. لکه څنګه چې ما وویل، موږ فکر کوو چې موږ د ځینې معلوماتو غوښتنه کوو، مګر موږ به یا هم ډاټا یا تېروتنه ترلاسه کړو. موږ کولی شو دا په سیمه ایزه توګه د قونسل له لارې ترسره کړو، مګر پدې حالت کې دواړه به کنګل شي.
د ځایی قونسل پیرودونکی د HTTP API په اړه یو پوښ دی. مګر دا یوازې ځړول کیږي او Ctrl+C، یا Ctrl+Z، یا بل څه ته ځواب نه ورکوي، یوازې kill -9 په راتلونکي کنسول کې. موږ له دې سره مخ شو کله چې موږ یو لوی کلستر جوړوو. مګر موږ لاهم حل نه لرو؛ موږ په قونسل کې د دې تېروتنې د حل کولو لپاره چمتووالی نیسو.
د قونسل مشر ځواب نه ورکوي. د معلوماتو په مرکز کې زموږ ماسټر ځواب نه ورکوي، موږ فکر کوو: "شاید د بیا انتخاب الګوریتم به اوس کار وکړي؟"
نه، دا به کار ونکړي، او څارنه به هیڅ ونه ښیې: قونسل به ووایي چې د ژمنې شاخص شتون لري، یو مشر موندل شوی، هرڅه سم دي.
موږ څنګه له دې سره معامله کوو؟ service consul restart په هر ساعت کې په کرون کې. که تاسو 50 سرورونه لرئ، کومه لویه معامله نه ده. کله چې د دوی څخه 16 وي، تاسو به پوه شئ چې دا څنګه کار کوي.
پایلې
د پایلې په توګه، موږ لاندې ګټې ترلاسه کړې:
د ټولو لینکس ماشینونو 100٪ پوښښ.
سرعت.
اتوماتیک.
موږ هارډویر او د شبکې انجنیران د غلامۍ څخه آزاد کړل.
د ادغام امکانات څرګند شوي چې تقریبا لامحدود دي: حتی د کوبرنیټس سره، حتی د ځواب وړ سره، حتی د پایتون سره.