High Availability Firewall/Router
Jan Kasprzak
kas na fi.muni.cz
Úterý Září 7 21:06:29 CEST 2010
Dalibor Straka wrote:
: postavil jsem kdysi HA fw/router nad ucarpd, pozdeji jsem zjistil, ze
: HeartBeat je mnohem lepsi a robusnejsi, tak jsem postavil HA fw/rt za
: pomoci hb. Ted jsem se zase docetl, ze nej-nej-nej je corosync a hb se
: jiz dale nebude vyvijet
:
: Development of the Heartbeat project has been effectively
: halted. Linbit has taken over maintenance but has publicly
: stated that there will be no new features.
:
: Na cem stavite HA fw/router vy?
My mame heartbeat se starou konfiguraci (haresources). O prazdninach
jsme zkouseli delat migraci na corosync + pacemaker, s velmi negativnim
vysledkem (ta konfigurace pres cman je hrozna - clovek dva radky
z haresources prepise asi tak do 2-3 obrazovek prikazu; pritom obcas
- nemeli jsme cas v ostrem provozu otestovat kdy - to spadne se SIGSEGV.
Pak jsme zkusili heartbeat jako messaging layer a nad tim pacemaker,
se zhruba stejnym vysledkem.
Vratili jsme se k puvodni stare konfiguraci heartbeatu,
ktera je jednoducha, prehledna, a funguje. Jediny problem je, ze nejde
startovat resources paralelne, a ze vsechny musi skoncit uspesne - jinak
heartbeat pusti vsechny dosud ziskane resources: napriklad kdyz
spadne named, tak heartbeat pusti vsechna rozhrani, coz je u routeru
fakt spatne. Zabalili jsme skripty do shelloveho wrapperu ktery vzdy
vraci 0. No a jeste IPaddr6 neumi predavat virtualni adresu ktera je
v link-local scope. Patch jsem posilal do bugzilly fedory a mozna i
do mailing listu linux-ha - uz si nepamatuju.
: Pozadavky jsou mirne - staci failover neni potreba dualni chod,
: balancing, stroje nesdili zadna data (drbd/db/...).
My mame na routeru dhcp server, a mame sdileny drbd disk
na kterem je dhcpd.leases (+ nejake drobnosti typu data arpwatche).
: Jsou to fakt jenom
: dva tupy firewally, ktery si po vypadku musi
: - nastavit predni i zadni IP
: - osetrit jsouci arp zaznamy
: - aktivovat iptables pravidla pro nove IP
IPtables mame aktivovane porad.
: - pro jistotu vyradit druhy router/fw
Tohle nedelame.
: Krouzim kolem nekolika "features" s velkymi otazniky:
: - pouzit na druhem routeru stejnou MAC? Nebo explicitne propagovat
: prepnuti stroju (zmena MAC) kvuli arpu a cim?
Mame jen virtualni IP adresu, ne MAC adresu. IPaddr z resource-agents
sam posila gratuitous ARP pri prevzeti adresy.
: Je nejaka _rozumna_, elegantni moznost fungovani obou firewallu zaroven?
: Tady bych bral i s _mirnou_ dopomoci cisco switchu. Neco ve stylu
: "bonding" driveru pro dve sitovky.
Tohle nedelame, zejmena proto ze by to zeslozitilo konfiguraci
firewallu (a mimo jine bychom museli vypnout RP-filter.
-Yenya
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Journal: http://www.fi.muni.cz/~kas/blog/ |
Please don't top post and in particular don't attach entire digests to your
mail or we'll all soon be using bittorrent to read the list. --Alan Cox
Další informace o konferenci Linux