[FUGSPBR] Alta Disponibilidade
Felipe Neuwald
neuwald em rudah.com.br
Dom Maio 11 16:56:35 BRT 2003
Caro Alessandro,
O ambiente é complexo sim, por isto que vim até aqui, para agitar as
discussões. :) Não sei se você entendeu direito, eu terei dois Firewalls, pela
limitação de interfaces e eu não querer utilizar NICs QUAD no meu Firewall.
Tenho o primeiro Firewall, que terá um slave, e um segundo Firewall, que
estará conectado no meu primeiro Firewall através de uma rede de ligação com
máscara 255.255.255.252. Vale lembrar que este segundo Firewall também tera
redundânica. Entendido agora?
Ok, assunto entendido.
Alessandro, e para trabalhar com load-balance com estes dois Firewalls com
VRRP. How?
Em questão de limitação de gastos, acredito que terei uma grande liberdade
neste aspecto, pois é um projeto grande e que tenho que trabalhar com a
hipótese de não apresentar falhas (pelo menos o mínimo possível).
Ok, vamos supor que eu utilizarei switches de layer 7 da Cisco.
Em relação a Filesystem, preferiria utilizar tecnologias de software livre,
por questões ideológicas mesmo.
Em relação ao balance dos links, acredito que utilizarei dois provedores:
Telebrasília (Brasiltelecom) e Diveo (ou Ebt).
Sei que o custo do projeto não é nem um pouco barato, mas temos como
prioridade a Alta Disponibilidade, já que teremos clientes em que no contrato
existirão cláusulas do tipo "Se a conectividade parar por motivo de falhar da
CONTRATADA, a mesma deve vender a alma". Just kiding, mas algo assim.
Sobre os links dos provedores, serão dois cabos de fibra ótica que chegarão
até aqui, um de cada provedor. Em relação a redundância de energia, terei três
no-breaks funcionando com sistemas inteligentes, caso houver queda de energia,
dois funcionam e um fica em stand-by, caso algum deles pare. Em relação a
geradores de energia o sistema é parecido, portanto estarei muito seguro em
relação à alimentação elétrica.
Sobre o sincronismo de conexões entre os Firewalls, já imaginava que isto
seria difícil. Em relação à isso, até não há problema se eu perder as conexões
já existentes, desde que o meu Firewall slave assuma em um curto período de
tempo. Não vou querer milagre né, isto é um assunto que podemos discutir
futuramente.
Bom, Alessandro, como você mesmo falou o assunto é extenso e dá margens a
muitas configurações e soluções, depende muito do administrador.
Deixo em aberto que terei condições de manter ambientes semelhantes a este
para pesquisa de Alta Disponibilidade em FreeBSD, que é um tópico que sempre
me atraiu muito.
Um grande abraço,
---
Felipe Neuwald
neuwald em rudah.com.br
Rudah On-Line SysAdm
On Sat, 10 May 2003 03:21:10 -0300, Alessandro Maurilio Sanches Sant'Anna wrote
> Caro Felipe,
>
> Um pouco complexo mesmo o seu ambiente mais com alguns pontos que
> você precisa esclarecer melhor. Você vai querer a redundância de
> firewalls porém ambos tem funções diferentes. Para a redundância,
> deveriam ter a mesma configuração e trabalhar em load-balance com
> VRRP. Quais são suas limitações de gasto neste projeto? Para a
> disponibilidade e balance, pode usar switches de layer 7 como Alteon,
> Foundry ServerIron, F5 Big-IP, Cisco CSS e outros.
>
> Com relação a filesystem, opção de uso de NAS ou se o dinheiro for
> problema, pensar em OpenAFS, Coda, DFS (IBM/Transarc), como
> filesystem distribuido e com redundância de acesso.
>
> Com relação ao balance dos links, já que vai usar Cisco, você pode utilizar
> HSRP entre os 2 Cisco, enviar todo o tráfego para um Cisco e
> trabalhar com roteamento e métricas para balancear o tráfego... pode
> usar EIGRP. Quando um canal cair, você continua com 50% da banda.
> Tudo depende de quem são seus provedores de acesso, pois dependendo
> da situação, o que coloquei acima pode não funcionar.
>
> Leve em consideração que o ambiente que pretende montar não é
> barato. O ideal é fazer um sanduiche de firewalls utilizando no
> mímino 4 switches L7, sem contar as DMZ's. Assim você não terá um
> ponto de falha. Os seus links internet serão por operadoras
> diferentes e meios físicos diferentes? Com abordagens diferentes no
> seu local? Sua energia será fornecida por circuítos independentes,
> UPS's separados etc?
>
> Talvez um problema será o sincronismo de sessões entre os firewalls,
> se vai estar utilizando apenas filtro de pacotes ou proxy. Esta
> consistência de sessões entre firewalls é encontrada em poucos
> produtos comerciais hoje e no caso do FreeBSD, vai necessitar de
> algum desenvolvimento.
>
> É claro que se a criticidade não for com tantos 9 como falou, pode adotar
> soluções mais simples que poderão te garantir uma disponibilidade
> alta, mais não algo como 99,9999% como alguns ambientes de hosting
> garantem, com o custo de perda de sessões ativas na falha de um
> firewall, eventual problema num switch e ter seu ambiente
> parcialmente fora etc.
>
> Vou ficando por aqui... mais o assunto é extenso e dá margens a
> muitas configurações e soluções... vai do administrador.
>
> []'s
>
> Alessandro.
>
> -----Original Message-----
> From: fugspbr-bounces em fugspbr.org [mailto:fugspbr-
> bounces em fugspbr.org] On Behalf Of Felipe Neuwald Sent: sexta-feira,
> 9 de maio de 2003 12:18 To: FreeBSD User Group - BR Subject:
> [FUGSPBR] Alta Disponibilidade
>
> Caros Amigos,
>
> tenho pretensão de fazer aqui na minha rede um sistema completamente
> implementado com HA. Quero ter tudo em redundância, de uma forma que
> eu possa garantir para os meus clientes garantia de 99,999% (e mais
> alguns 9 se necessário) de conectividade. Para isto, irei refazer
> toda a minha estrutura computacional, incluindo os servidores. Vou
> descrever minha topologia e como irá funcionar a mesma abaixo: Terei
> dois Links de 5 Megabits, onde eu estarei redirecionando tráfego
> para cada link conforme a necessidade. Existe alguma forma de eu
> implementar com que 50% dos pacotes saiam por um link e 50% dos
> outros saiam por outro? Ou que 50% das conexões saiam pelo link 1 e
> 50% saiam pelo link 2? A primeira dúvida e desafio da minha
> topologia "um pouco bastante" complicada. :) Ok, para cada link eu
> terei um roteador Cisco, independentes um do outro, em redes
> elétricas separadas. Ok, agora terei meu Firewall, que também quero que
> tenha redundância.
> Será um Firewall com 6 interfaces, em que uma delas irá para outro Firewall
> com mais 5 interfaces. Sei que é uma topologia muito grande e
> exigirá muito processamento para o roteamento dos pacotes, mas é
> assim mesmo que deve ser. Provavelmente terei máquinas bi-
> processadas e com muita memória. Ok, vou falar sobre o primeiro Firewall.
> Segue abaixo as especificações de cada NIC dele:
> NIC 1 - Rede de ligação com o Link 1 - Cisco 1
> NIC 2 - Rede de ligação com o Link 2 - Cisco 2
> NIC 3 - Rede de Servidores
> NIC 4 - Rede de Clientes 1 - Discados
> NIC 5 - Rede de Clientes 2 - Dedicados
> NIC 6 - Rede de ligação com o Firewall 2
>
> Ok, agora confiram o Firewall 2:
> NIC 1 - Rede de ligação com o Firewall 1
> NIC 2 - Rede de Servidores Jail (co-location)
> NIC 3 - Rede de Servidores de Backup
> NIC 4 - Rede de Servidores de Acesso (rede com menos segurança,
> provavelmente
> única rede que terá acesso ssh externo entre outros)
> NIC 5 - Rede local (Este Firewall fará NAT apenas para esta rede, o Firewall
> 1
> não faz NAT).
>
> Sobre o hardware das máquinas, comprarei para todos os sistemas duas
> máquinas
> idênticas. Uma servirá de Master e outra de Slave, e pretendo
> comunicá-las através de um cabo serial.
>
> Então eu teria o seguinte:
>
> +----------+ +----------+
> |Firewall 1|----cabo serial----|Firewall 1|
> |Master | |Slave |
> +----------+ +----------+
>
> Para isso, em cada interface eu teria o seguinte (vou citar como
> exemplo a comunicação do cisco 1 com os Firewall 1 Master e Slave):
>
> Cisco
> |
> |
> porta 1 porta 2 porta 3
> Switch
> porta 1 porta 2 porta 3
> | |
> | |
> | |
> Firewall Master Firewall Slave
>
> Para todas as redes conectadas eu teria que utilizar 3 portas de
> switch, e também terei que configurar os switchs nestas VLANs para
> não armazenar MAC Address, senão com certeza terei problemas na hora
> das interfaces de uma máquina Slave subir.
>
> Até aí tudo bem (nem tudo, o problema é implementar), tenho o
> projeto de deixar todas as minhas máquinas neste mesmo projeto que
> eu apresentei acima dos Firewalls (menos servidores DNS, pois já
> existe a configuração de Master e Slave no próprio Registro.br).
> Agora as perguntas que não querem calar: vou conseguir implementar
> esta topologia no FreeBSD (em Alta Disponibilidade)? Alguém já
> implementou algo parecido? No final das contas quero que quando uma
> máquina caia, a outra assuma, ou que quando algum serviço pare, a
> outra assuma, mas para isto os dados delas precisam estar
> sincronizados. Idéias? Sugestões? Estou iniciando o projeto aqui. Se
> quiserem, nós podemos criar um projeto do tipo "FreeBSD-HA", e
> resolver estas dúvidas inquietantes da natureza do daemonzinho.
>
> Um grande abraço para todos,
>
> ---
> Felipe Neuwald
> neuwald em rudah.com.br
> Rudah On-Line SysAdm
> _______________________________________________________________
> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>
> _______________________________________________________________
> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd