[FUG-BR] Cluster de Firewall com carp + pfsync (tutorial)
c0re dumped
ez.c0re em gmail.com
Quinta Novembro 16 10:12:36 BRST 2006
2006/11/16, Rogério Schneider <stockrt em gmail.com>:
> Exatamente Daniel.
>
> Com o CARP é sim possível criar redundância de servers e firewall. No
> caso de firewall, é simplesmente o exemplo utilizado na doc do PF,
> tudo bem... Mas existem outras aplicações, é só usar a imaginação.
Concordo. Uso carp pros firewalls (8 no total), pros proxies (squids)
e pros proxies reversos (pounds). Limitar o carp somente a firewall é
subutilizar a ferramenta.
> Com servers (www, mail) também fica viável, e muito!
> Ai alguém diz: "Não quero máquina ociosa, quero divisão de carga!",
> tudo bem criança!! Cria dois grupos CARP (supondo dois webserers, ok?)
> e cada um é "backup do outro". Pronto, no momento que um deles cair, o
> outro assume as duas identidades (ips virtuais).
> No firewall vc cria um rdr com address pool, utilizando source-hash e
> pronto, cada source vai sempre cair no mesmo server (sessions?
> resolvido) e cada novo source cai em round-robin (load balance?
> resolvido).
Boa. Realmente não tinha pensado nisso.
> Feito o esquema, HA com Load Balance no CARP.
>
> Que manter os estados entre os servers? pfsync, e ninguém perde as conexões.
> - Minha dúvida: É preciso mesmo utilizar pfsync entre os servers
> internos, www, por exemplo? Ou isso apenas se aplica a redundância de
> firewall? E ainda, tendo dois www com o esquema de backup mútuo, será
> que um pfsync entre eles não iria atrapalhar as coisas, já que cada um
> tem a sua table de estados? A não ser que o pfsync faça um merge dos
> estados acho que isso iria causar problemas com sobrescrita de
> estados, perdendo as conexões ativas em um dos pontos, mas ai fica a
> pergunta, será que é preciso pfsync interno?
Acredito que provavelmente sim, pois trabalha na camada de transporte,
mantendo o estado das conexões (TCP e UDP), desta forma, ambos os
proxies reversos (no meu caso) estariam com a tabela de estado de
conexões sincronizadas.
Provavelmente usando um round-robin e pfsync funcionaria pro meu caso,
uma vez que ambos os pounds teriam as mesmas conexões, o que
resolveria os problemas das sessions !
> E fica sempre o problema: sincronia de dados entre os servers,
> principalmente se for mail, aqui sim é que eu quero ver alguém dar
> alguma opinião realmente boa, com conhecimento de causa.
No maeu caso isso é irrelevante uma vez que não há necessidade de
sincronismo entre os arquivos de configuração dou pound, pois ambos
tem que necessariamente ser diferentes.
> Utilizar CARP para failover NÃO É GAMBIARRA, ele foi FEITO para isso,
> é PERFEITO nisso e para load balance usa rdr, e pronto. Não precisa
> nem verificar quem está ativo ou não (pen) pq se vc tem dois grupos
> CARP em backup mútuo o rdr nunca irá direcionar para uma máquina
> inativa. Eu prefiro isso (PF) a DNS balance :)
Justamente o que venho falando desde o começo da thread.
> Agora falar mal do PF tem que estar pesado né? Pode parando....
:)
[]'s
--
No stupid signatures here.
Mais detalhes sobre a lista de discussão freebsd