High Availability Firewall/Router

Jan Kasprzak kas na fi.muni.cz
Úterý Září 7 21:06:29 CEST 2010 

Dalibor Straka wrote:
: postavil jsem kdysi HA fw/router nad ucarpd, pozdeji jsem zjistil, ze
: HeartBeat je mnohem lepsi a robusnejsi, tak jsem postavil HA fw/rt za
: pomoci hb. Ted jsem se zase docetl, ze nej-nej-nej je corosync a hb se
: jiz dale nebude vyvijet
: 
: 	Development of the Heartbeat project has been effectively
: 	halted. Linbit has taken over maintenance but has publicly
: 	stated that there will be no new features.
: 
: Na cem stavite HA fw/router vy?

	My mame heartbeat se starou konfiguraci (haresources). O prazdninach
jsme zkouseli delat migraci na corosync + pacemaker, s velmi negativnim
vysledkem (ta konfigurace pres cman je hrozna - clovek dva radky
z haresources prepise asi tak do 2-3 obrazovek prikazu; pritom obcas
- nemeli jsme cas v ostrem provozu otestovat kdy - to spadne se SIGSEGV.
Pak jsme zkusili heartbeat jako messaging layer a nad tim pacemaker,
se zhruba stejnym vysledkem.

	Vratili jsme se k puvodni stare konfiguraci heartbeatu,
ktera je jednoducha, prehledna, a funguje. Jediny problem je, ze nejde
startovat resources paralelne, a ze vsechny musi skoncit uspesne - jinak
heartbeat pusti vsechny dosud ziskane resources: napriklad kdyz
spadne named, tak heartbeat pusti vsechna rozhrani, coz je u routeru
fakt spatne. Zabalili jsme skripty do shelloveho wrapperu ktery vzdy
vraci 0. No a jeste IPaddr6 neumi predavat virtualni adresu ktera je
v link-local scope. Patch jsem posilal do bugzilly fedory a mozna i
do mailing listu linux-ha - uz si nepamatuju.

: Pozadavky jsou mirne - staci failover neni potreba dualni chod,
: balancing, stroje nesdili zadna data (drbd/db/...).

	My mame na routeru dhcp server, a mame sdileny drbd disk
na kterem je dhcpd.leases (+ nejake drobnosti typu data arpwatche).

: Jsou to fakt jenom
: dva tupy firewally, ktery si po vypadku musi
: - nastavit predni i zadni IP
: - osetrit jsouci arp zaznamy
: - aktivovat iptables pravidla pro nove IP

	IPtables mame aktivovane porad.

: - pro jistotu vyradit druhy router/fw

	Tohle nedelame.

: Krouzim kolem nekolika "features" s velkymi otazniky:
: - pouzit na druhem routeru stejnou MAC? Nebo explicitne propagovat
:   prepnuti stroju (zmena MAC) kvuli arpu a cim?

	Mame jen virtualni IP adresu, ne MAC adresu. IPaddr z resource-agents
sam posila gratuitous ARP pri prevzeti adresy.

: Je nejaka _rozumna_, elegantni moznost fungovani obou firewallu zaroven?
: Tady bych bral i s _mirnou_ dopomoci cisco switchu. Neco ve stylu
: "bonding" driveru pro dve sitovky.

	Tohle nedelame, zejmena proto ze by to zeslozitilo konfiguraci
firewallu (a mimo jine bychom museli vypnout RP-filter.

-Yenya

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/    Journal: http://www.fi.muni.cz/~kas/blog/ |
Please don't top post and in particular don't attach entire digests to your
mail or we'll all soon be using bittorrent to read the list.     --Alan Cox

Další informace o konferenci Linux