pfSensebook之高可用性集群(HA)

建站服务器 高可用性集群

注意

成都创新互联长期为上千客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为晋源企业提供专业的成都网站设计、成都网站建设、外贸网站建设晋源网站改版等技术服务。拥有十多年丰富建站经验和众多成功案例,为您定制开发。

CARP概述

注意

切勿使用CARP VIP访问防火墙GUI、SSH或其他。 出于管理的目的,只能在每个单独节点的接口上使用实际的IP地址,而不要使用VIP。 否则,不能事先确定正在访问哪个节点单元。

CARP的IP地址要求

交换机/第2层问题

pfsync概述

pfsync和防火墙规则

pfsync和物理接口

pfsync和升级

XML-RPC配置同步概述

冗余配置示例

注意

本示例仅涵盖IPv4配置。 高可用性与IPv6兼容,但它需要在防火墙接口上进行静态寻址。 准备配置HA时,如果静态IPv6分配不可用,请在所有接口上将IPv6设置为无。

确定IP地址分配

WAN地址

WAN IP地址分配表IP地址作用198.51.100.200/24CARP共享IP地址198.51.100.201/24主节点 WAN IP地址198.51.100.202/24辅助节点 WAN IP地址
LAN地址

LAN IP地址分配表IP地址作用192.168.1.1/24CARP共享IP地址192.168.1.2/24主节点 LAN IP地址192.168.1.3/24辅助节点 LAN IP地址
Sync接口地址

Sync IP地址分配表IP地址作用172.16.1.2/24主节点 Sync IP地址172.16.1.3/24辅助节点 Sync IP 地址

HA网络示例图

群集配置基础

安装、接口分配和基本配置

注意

设置Sync接口

Sync接口防火墙规则示例

配置pfsync

配置同步 (XML-RPC)设置

警告

注意

用户名必须是“admin”,其他用户名不会正常工作!

警告

不要在辅助节对设置同步的区域进行任何更改! 下次主节点执行同步时,这些选项将被覆盖。

配置CARP虚拟IP

导航到主节点上的防火墙>虚拟IPs,设置CARP VIP

单击右侧的按钮在列表顶部添加新的VIP。

注意

必须为处理用户流量的每个接口添加一个VIP,在本示例中,要为WAN和LAN各添加一个。类型:定义VIP的类型,在这种情况下CARP。

接口:定义VIP将驻留的接口,例如WAN

地址:地址框是为VIP输入IP地址值的位置。 还必须选择子网掩码,并且它必须与接口IP地址上的子网掩码相匹配。 在本例中,输入198.51.100.200和24(请参阅WAN IP地址分配)。

虚拟 IP密码:设置CARP VIP的密码。 这只需要两个节点之间的匹配,这将通过同步来处理。 密码和确认密码框必须填写并且必须匹配。

VHID 组: 定义CARP VIP的ID一个常见的策略是使VHID匹配IP地址的最后一个字节,因此在这种情况下选择200

广播频率:确定CARP心跳发送的频率。

Base(基本值):控制Heartbeats之间经过的整秒数,通常为1.这应该在群集节点之间匹配。Skew(偏离值):控制秒的分数(1/256增量)。 主节点通常设置为0或1,次节点将为100或更高。 该调整由XML-RPC同步自动处理。

描述:一些文本可以识别VIP,例如WAN CARP VIP。

注意

如果CARP对给定网络的延迟过于敏感,建议一次调整基本值一秒钟,直到稳定为止。

以上描述以WAN VIP为例。 LAN VIP也进行类似配置,但它将使用LAN接口,地址为192.168.1.1(请参阅LAN IP地址分配)。

如果WAN子网中有任何额外的IP地址用于1:1 NAT、端口转发、×××等,也可以在这里进行添加。

编辑完成后,点击应用更改。

添加VIP后,请检查辅助节点上的防火墙>虚拟IPs,以确保VIP按预期进行了同步。

如果同步成功,两个节点上的虚拟IP地址将如下图所示。

CARP虚拟IP地址列表

为CARP配置出站NAT

下面将配置NAT,以便LAN上的客户端使用共享的WAN IP访问广域网。

导航到防火墙> NAT(地址转换),出站选项卡

单击选中手动出站NAT规则生成

点击保存

将出现一组与自动出站NAT适用的规则。 调整内部子网源的规则,以改为使用CARP IP地址。

找到页面的转换部分

从地址下拉列表中选择WAN CARP VIP地址

更改描述以提及此规则将NAT LAN连接到WAN CARP VIP地址

警告

如果稍后添加其他本地接口(如第二个LAN,DMZ等),并且该接口使用私有IP地址,则必须在此时添加其他手动出站NAT规则。

完成后,规则更改将与使用CARP VIP的LAN出站NAT规则中的规则更改类似。

CARP VIP的LAN出站NAT规则

修改DHCP服务器

高可用与多WAN

确定IP地址分配

WAN和WAN2 IP地址

WAN IP地址IP地址作用198.51.100.200用于出站NAT的共享CARP VIP198.51.100.201主节点防火墙 WAN198.51.100.202辅助节点防火墙 WAN198.51.100.203用于1:1 NAT的共享CARP VIP

WAN2 IP地址IP地址作用203.0.113.10用于出站NAT的共享CARP VIP203.0.113.11主节点防火墙 WAN2203.0.113.12辅助节点防火墙 WAN2203.0.113.13用于1:1 NAT的共享CARP VIP
LAN地址

LAN IP 地址分配IP地址作用192.168.1.1CARP共享LAN VIP192.168.1.2主节点防火墙LAN192.168.1.3辅助节点防火墙 LAN
DMZ地址

DMZ IP地址分配表IP地址作用192.168.2.1CARP共享DMZ VIP192.168.2.2主节点防火墙 DMZ192.168.2.3辅助节点防火墙 DMZpfsync地址

Sync IP地址分配IP地址作用172.16.1.2主节点防火墙 Sync172.16.1.3辅助节点防火墙 SyncNAT配置

防火墙配置

具有DMZ的多WAN HA图

具有DMZ的多WAN HA示意图

验证故障转移功能

检查CARP状态

检查配置是否正确同步

检查DHCP故障转移状态

DHCP故障转移池状态

测试CARP故障切换

提供无NAT的冗余

公共IP分配

网络概述

WAN网络

WEB 网络

DBDMZ网络

Sync网络

网络拓扑

HA与路由IPs的关系图

注意

包含数据库服务器的网段通常不需要公开访问,因此更常用的是使用私有IP子网,但可以使用此处说明的示例,而不考虑两个内部子网的功能。

第2层冗余

具有冗余交换机的HA示意图

交换机配置

主机冗余

其他单点故障

高可用性与桥接

使用IP别名减少心跳流量

接口

故障排除

常见错误配置

每个CARP VIP使用不同的VHID

最好的解决方法是使用一组独特的VHID。 如果正在使用已知安全的专用网络,请从1开始编号。在VRRP或CARP发生冲突的网络上,咨询该网络的管理员以查找空闲区域的VHID。

不正确的时间

不正确的子网掩码

CARP接口的IP地址

不正确的哈希错误

两个系统都显示为MASTER

主节点降级为BACKUP

当主节点被降级时CARP状态

#sysctlnet.inet.carp.demotion
net.inet.carp.demotion:240

虚拟机内部问题(ESX)

ESX VDS混杂模式解决方法

ESX VDS升级问题

ESX VDS端口镜像问题

ESX客户端端口问题

ESX物理网卡故障无法触发故障切换

KVM + Qemu问题

VirtualBox问题

其他交换机和第2层问题

配置同步问题

HA和多WAN故障排除
文章标题:pfSensebook之高可用性集群(HA)
文章出自:http://hbruida.cn/article/cjohco.html