+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Использую keepalived для доступа к кластеру WI по одному IP-адресу., Proxmox Виртуальная Среда

juliosene

Guest

19.09.2024 19:31:00

Привет! Это описание решения, которое я использую в своей домашней лаборатории. Возможно, это решение может помочь другим пользователям Proxmox. Я использую Proxmox уже некоторое время. У меня создан кластер из 3 серверов. Несмотря на то, что каждый веб-интерфейс этих серверов предоставляет одну и ту же информацию, у меня не было единого IP-адреса в качестве единой точки входа. С этим сценарием я решил реализовать балансировщик нагрузки keepalived между моими серверами в кластере и создать VIP для создания единой точки доступа к кластеру. Если вы не знаете keepalived, это простое решение, доступное через apt из стандартного репозитория, которое реализует VIP – Virtual IP – между некоторой группой серверов. Вам нужно определить мастер-узел, который будет принимать запросы, перенаправленные с VIP, и резервные узлы, которые übernehmen мастер-функцию, если мастер не работает. Для тех, кому понравилась эта идея, процесс довольно прост. Вы, вероятно, потратите где-то от 15 до 30 минут на реализацию всего. Возможно, эта функция может быть частью какой-то следующей версии Proxmox. Я бы хотел увидеть нативную настройку VIP на уровне Datacenter.

Как сделать:

Шаги 1-3 должны быть выполнены для всех PVE-серверов.

1 – Установите keepalived на своих серверах
# apt install keepalived

2 – Создайте и отредактируйте keepalived.conf
# nano /etc/keepalived/keepalived.conf
Добавьте следующее содержимое в этот файл, заменяя:

#STATE# -> должен быть MASTER или BACKUP
#INTERFACE# -> имя интерфейса, используемого для кластера, вероятно vmbr0
#MYIP# -> IP-адрес PVE
#SERVERSIPS# -> IP-адреса других PVE-серверов. Один IP-адрес в строке.
#PASSWD# -> 8-символьная пароль, который keepalived будет использовать для аутентификации. Должен быть одинаковым для всех PVE-серверов.
#VIP#/#CIR# -> ваш VIP. Убедитесь, что этот IP-адрес свободен для использования как статический IP-адрес в вашей сети.

Код:
vrrp_instance VI_1 {
state #STATE#
interface #INTERFACE#
virtual_router_id 55
priority #PRIORITY#
advert_int 1
unicast_src_ip #MYIP#
unicast_peer {
#SERVERSIPS#
}
authentication {
auth_type PASS
auth_pass #PASSWD#
}
virtual_ipaddress {
#VIP#/#CIR#
}
}

Сохраните и закройте файл (ctr+x -> y).

3 – Перезапустите keepalived
# service keepalived restart

4 – Проверьте свой VIP-адрес
Откройте свой браузер и попытайтесь получить доступ к https://<YOUR_VIP>:8006/ Если у вас есть доступ к Proxmox WI, ваш VIP-адрес работает на вашем мастер-узле. Теперь, на PVE Master узле
# service keepalived stop
Обновите https://<YOUR_VIP>:8006/
В этой ситуации один из резервных узлов должен обрабатывать VIP, и у вас должен быть доступ к Proxmox WI.
На PVE Master
# service keepalived start

VictorSTS

Guest

20.09.2024 11:10:00

Лично я не вижу смысла в этом: просто всегда используйте один и тот же нод для админ-задач, а если он упал, используйте другой. Это и есть красота кластера мультимастер. В некоторых случаях, когда мне нужна дополнительная аутентификация/фильтрация/что-то ещё, я использую HAProxy в виртуалке перед кластером, и он занимается балансировкой. Виртуалка находится в HA, так что её можно перенести на другой хост, если текущий упал. Убедитесь, что интерфейс, по которому проходят keepalived пакеты, полностью приватным, потому что их можно легко подделать, чтобы нарушить нормальную работу keepalived.

juliosene

Guest

20.09.2024 14:07:00

Спасибо за ответ. Я действительно ценю твою точку зрения и заботу. В моём случае это работает в домашней лаборатории. Это ведь такая среда, чтобы что-то тестировать, верно? Так что моё мнение такое: технологии пришли, чтобы упрощать вещи. Иногда делая очень сложные вещи простыми, иногда делая простые повторяющиеся вещи немного проще, и в конце концов, ты экономишь время. Идея этого поста – немного упростить повторяющиеся задачи. Если твоя инфраструктура доступна только тебе изнутри, возможно, это не проблема. Но если тебе приходится делиться IP-адресом с командой или другой компанией (например, чтобы настроить доступ через файрвол), возможно, содержание этого поста будет полезно. Использовать VM с HAproxy или Nginx для перенаправления соединения на Proxmox-сервера WI — это неплохо и работает. Звучит как Xcp-ng и Xen Orchestra, но ты запускаешь WI в конечной точке. Но ты добавляешь ещё один хост в своей коммуникации с Proxmox WI. В итоге это значит ещё одно устройство, которое нужно поддерживать в актуальном состоянии и быть уверенным, что HA работает исправно. Но, конечно, это вариант. Каждое решение имеет свои плюсы и минусы. Лучшее зависит от конкретного сценария использования.

Datajock

Guest

23.10.2024 18:24:00

Мне очень нравится эта идея! Думал, может, уже смотрел, как добавить SSL-сертификат(ы) для доменного имени VIP? У меня в домашней лаборатории хосты Proxmox настроены на автоматическое получение и обновление сертификатов от Let's Encrypt для каждого из них, поэтому я не использую самоподписанные сертификаты и не вижу это надоедливое всплывающее окно в браузере. Было бы здорово, если бы VIP был за доменным именем с SSL-сертификатом. Сложность будет заключаться в настройке, чтобы это работало на всех хостах с одним и тем же сертификатом.

juliosene Guest	#5 0 25.10.2024 15:24:00 Можно создать один сертификат на каждый PVE-сервер с одинаковым доменным именем, например, proxmox.mydomain.com. Keepalived будет менять владельца VIP-адреса только тогда, когда выходит из строя мастер.

SilkBC

Guest

28.01.2025 23:29:00

Просто хотел сказать спасибо за это. Я только что запустил это на своем кластере, и это здорово. Теперь я могу получить доступ к своему кластеру по одному IP-адресу (скрытому за FQDN), и если я занимаюсь обслуживанием или хост выходит из строя, я все равно могу получить к нему доступ по тому же FQDN, не беспокоясь о том, что трафик пойдет на вышедший из строя хост и будет таймаутить.

muzicman0

Guest

29.01.2025 21:21:00

Как задавать приоритеты? Должны ли у каждого узла быть разные? Должен ли мастер иметь низкий или высокий приоритет? РЕДАКТИРОВАНИЕ: Извини, разобрался. Мастер — высокий, все остальные — ниже. Побеждает тот, у кого приоритет выше.

muzicman0

Guest

29.01.2025 23:16:00

Это просто замечательно. Легко настроил. Я использую Caddy как обратный прокси, чтобы мои SSL-сертификаты автоматически обновлялись. Затем блокирую всё, что не приходит из локальной сети, чтобы это не было общедоступным. Сейчас использую виртуальный IP в Caddy, и это работает прозрачно и просто работает, так что я могу получить доступ к своему кластеру через URL с легитимным SSL-сертификатом. Спасибо за это, очень признателен!

juliosene

Guest

13.02.2025 18:38:00

Ещё один небольшой совет: если у вас разное железо и разная загрузка (память и CPU), советую использовать в качестве мастер-ноды хост с наименьшей загрузкой. Это может быть не самый мощный хост, но зато самый стабильный.

muzicman0

Guest

#10

13.02.2025 19:22:00

Спасибо. В моем случае я разместил его на том же узле, где работает Caddy. Мне показалось это самым логичным решением, но в итоге мы распределили нагрузку довольно равномерно между нашими 3 серверами Proxmox в этом кластере.

iwik Guest	#11 0 28.03.2025 13:53:00 Спасибо за подсказку, у меня была та же идея. Да, нативная настройка на уровне ЦОД была бы очень кстати, почти все необходимое уже есть.

UdoB Guest	#12 0 20.09.2024 08:39:00 Очень неплохой первый пост.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры