pfSensebook之高可用性集群(HA)
建站服务器 高可用性集群
注意
成都创新互联长期为上千客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为晋源企业提供专业的成都网站设计、成都网站建设、外贸网站建设,晋源网站改版等技术服务。拥有十多年丰富建站经验和众多成功案例,为您定制开发。CARP概述注意
切勿使用CARP VIP访问防火墙GUI、SSH或其他。 出于管理的目的,只能在每个单独节点的接口上使用实际的IP地址,而不要使用VIP。 否则,不能事先确定正在访问哪个节点单元。
CARP的IP地址要求交换机/第2层问题pfsync概述pfsync和防火墙规则pfsync和物理接口
pfsync和升级XML-RPC配置同步概述
冗余配置示例
注意
本示例仅涵盖IPv4配置。 高可用性与IPv6兼容,但它需要在防火墙接口上进行静态寻址。 准备配置HA时,如果静态IPv6分配不可用,请在所有接口上将IPv6设置为无。
确定IP地址分配WAN地址
LAN地址
Sync接口地址
HA网络示例图
群集配置基础安装、接口分配和基本配置
注意
设置Sync接口Sync接口防火墙规则示例
配置pfsync
配置同步 (XML-RPC)设置警告
注意
用户名必须是“admin”,其他用户名不会正常工作!
警告
不要在辅助节对设置同步的区域进行任何更改! 下次主节点执行同步时,这些选项将被覆盖。
配置CARP虚拟IP导航到主节点上的防火墙>虚拟IPs,设置CARP VIP
单击右侧的按钮在列表顶部添加新的VIP。
注意
必须为处理用户流量的每个接口添加一个VIP,在本示例中,要为WAN和LAN各添加一个。类型:定义VIP的类型,在这种情况下CARP。
接口:定义VIP将驻留的接口,例如WAN
地址:地址框是为VIP输入IP地址值的位置。 还必须选择子网掩码,并且它必须与接口IP地址上的子网掩码相匹配。 在本例中,输入198.51.100.200和24(请参阅WAN IP地址分配)。
虚拟 IP密码:设置CARP VIP的密码。 这只需要两个节点之间的匹配,这将通过同步来处理。 密码和确认密码框必须填写并且必须匹配。
VHID 组: 定义CARP VIP的ID一个常见的策略是使VHID匹配IP地址的最后一个字节,因此在这种情况下选择200
广播频率:确定CARP心跳发送的频率。
Base(基本值):控制Heartbeats之间经过的整秒数,通常为1.这应该在群集节点之间匹配。Skew(偏离值):控制秒的分数(1/256增量)。 主节点通常设置为0或1,次节点将为100或更高。 该调整由XML-RPC同步自动处理。
描述:一些文本可以识别VIP,例如WAN CARP VIP。
注意
如果CARP对给定网络的延迟过于敏感,建议一次调整基本值一秒钟,直到稳定为止。
以上描述以WAN VIP为例。 LAN VIP也进行类似配置,但它将使用LAN接口,地址为192.168.1.1(请参阅LAN IP地址分配)。
如果WAN子网中有任何额外的IP地址用于1:1 NAT、端口转发、×××等,也可以在这里进行添加。
编辑完成后,点击应用更改。
添加VIP后,请检查辅助节点上的防火墙>虚拟IPs,以确保VIP按预期进行了同步。
如果同步成功,两个节点上的虚拟IP地址将如下图所示。
CARP虚拟IP地址列表
为CARP配置出站NAT下面将配置NAT,以便LAN上的客户端使用共享的WAN IP访问广域网。
导航到防火墙> NAT(地址转换),出站选项卡
单击选中手动出站NAT规则生成
点击保存
将出现一组与自动出站NAT适用的规则。 调整内部子网源的规则,以改为使用CARP IP地址。
找到页面的转换部分
从地址下拉列表中选择WAN CARP VIP地址
更改描述以提及此规则将NAT LAN连接到WAN CARP VIP地址
警告
如果稍后添加其他本地接口(如第二个LAN,DMZ等),并且该接口使用私有IP地址,则必须在此时添加其他手动出站NAT规则。
完成后,规则更改将与使用CARP VIP的LAN出站NAT规则中的规则更改类似。
CARP VIP的LAN出站NAT规则
修改DHCP服务器高可用与多WAN
确定IP地址分配WAN和WAN2 IP地址
LAN地址
DMZ地址
具有DMZ的多WAN HA示意图
验证故障转移功能检查CARP状态检查配置是否正确同步
检查DHCP故障转移状态DHCP故障转移池状态
测试CARP故障切换提供无NAT的冗余公共IP分配
网络概述
WAN网络
WEB 网络
DBDMZ网络
Sync网络
网络拓扑
HA与路由IPs的关系图
注意
包含数据库服务器的网段通常不需要公开访问,因此更常用的是使用私有IP子网,但可以使用此处说明的示例,而不考虑两个内部子网的功能。
第2层冗余具有冗余交换机的HA示意图
交换机配置主机冗余
其他单点故障
高可用性与桥接使用IP别名减少心跳流量
接口
故障排除
常见错误配置
每个CARP VIP使用不同的VHID
最好的解决方法是使用一组独特的VHID。 如果正在使用已知安全的专用网络,请从1开始编号。在VRRP或CARP发生冲突的网络上,咨询该网络的管理员以查找空闲区域的VHID。
不正确的时间不正确的子网掩码
CARP接口的IP地址
不正确的哈希错误
两个系统都显示为MASTER主节点降级为BACKUP
当主节点被降级时CARP状态
#sysctlnet.inet.carp.demotion
net.inet.carp.demotion:240
虚拟机内部问题(ESX)
ESX VDS混杂模式解决方法ESX VDS升级问题
ESX VDS端口镜像问题
ESX客户端端口问题
ESX物理网卡故障无法触发故障切换
KVM + Qemu问题
VirtualBox问题
其他交换机和第2层问题
配置同步问题
HA和多WAN故障排除
文章标题:pfSensebook之高可用性集群(HA)
文章出自:http://hbruida.cn/article/cjohco.html