+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Кластер межсетевого экрана Active/Active, Proxmox Виртуальная Среда

Asir

Guest

09.05.2019 14:48:00

Я не уверен, что выбрал правильный сайт для объяснения этого случая. Я хочу сделать кластер файрвола с балансировкой нагрузки и высокой доступностью. Думал использовать Proxmox для кластера и сделать 2 ноды для балансировки нагрузки и еще 2 – для высокой доступности. Проблема в том, как сделать саму балансировку нагрузки? Я думал использовать LACP или какую-то технику, которая могла бы распределять входящий трафик на свиче перед нодами. Но не уверен, что это возможно. Есть ли у Proxmox решения для таких случаев? Знаете, пробовал ли кто-то что-то подобное? Спасибо, и извините за мой английский.

Asir

Guest

28.05.2019 11:36:00

У меня есть файрвол на двух нодах, но я не могу найти способ распределить трафик между этими двумя нодами с помощью HAproxy. Я пробовал HAProxy с двумя apache-нодами — и это работает. Я спросил в сообществе HAproxy, и мне сказали, что HAProxy — не форвардинг-прокси, а реверс-прокси, и именно это мне нужно. Я не совсем уверен, что это так, но... у меня не получается распределить трафик. Есть идеи? Большое спасибо!

guletz

Guest

28.05.2019 12:45:00

Привет! Как я уже говорил, ты можешь сделать систему балансировки нагрузки с помощью HAproxy для любых TCP-сервисов, вот пример:
Код:
listen haproxy_server
bind *:2424
mode tcp
option tcplog
timeout client 10800s
timeout server 10800s
balance leastconn
server r1 NODE1:1234
server r2 NODE2:1234

В этом примере клиенты подключаются к балансировщику по TCP на порт 2424, а нагрузка распределяется между NODE1 и NODE2 по TCP, но на порту 1234. При этом tcp-порты могут быть одинаковыми (например, 2424 вместо 1234).

Asir

Guest

28.05.2019 13:41:00

Спасибо, попробую! Я немного запутался. Значит, если хочу балансировать все соединения, мне нужно добавить все сервисы, которые хочу балансировать, в файрволлы? Например, для ssh прописать bind *:22, для веб-сервисов bind *:80 и так далее?

guletz Guest	#5 0 28.05.2019 16:11:00 Да.

spirit

Guest

29.05.2019 16:57:00

Насколько мне известно, единственный способ распределить входящий трафик между двумя фаерволами одновременно — это использовать ECMP + BGP на вашем вышестоящем роутере. При этом необходима пара фаерволов с двунаправленной синхронизацией сессий/conntrack. На самом деле гораздо проще использовать активный/пассивный HA-фаервол с плавающим VIP, например. Либо воспользоваться фаерволом Proxmox.

guletz Guest	#7 0 29.05.2019 18:26:00 Привет, @spirit, как обычно, твои предложения справедливы. Но не забывай про опыт пользователя

Asir

Guest

04.06.2019 10:47:00

Я пробую вариант с HAproxy и... не работает. Не уверен, правильно ли настроил конфигурацию. Если пользователь хочет зайти, например, на Youtube, мне нужно сделать что-то вроде этого, да?:
Код:
listen haproxy_server
bind *:80
mode tcp
option tcplog
balance leastconn
server r1 NODE1:1234
server r2 NODE2:1234

Но у меня балансировка так не работает. Если поочерёдно выбирать узлы, как в настройках фаервола, они работают нормально. Но если сделать это шлюзом, балансировки нет. Где я ошибся?

guletz

Guest

04.06.2019 12:00:00

В конфигурации haproxy нет ошибок. Проверьте еще раз ваши бэкенды и номера их портов. Также можно включить логи haproxy, чтобы видеть все запросы, которые доходят до haproxy. Проверьте, можете ли вы установить соединение с любого из бэкендов haproxy с хоста haproxy (telnet NODE1/2 1234).

Asir Guest	#10 0 04.06.2019 13:11:00 Когда я пытаюсь подключиться через telnet, появляется сообщение «Connection refused». Раньше я открывал этот порт с помощью iptables. Если я использую другой порт, например 80, машина не будет вести себя как фаервол, да?

guletz

Guest

#11

04.06.2019 14:58:00

Привет, @Asir, тогда снова проверь свои iptables! Всё зависит от того, что ты понимаешь под "вести себя как фаервол". Для меня фаервол — это «что-то», что применяет правила или списки контроля доступа (ACL), разрешающие или блокирующие определённый трафик. Так что в данном случае, если ты БЛОКИРУЕШЬ всё (пришедшее из интернета), кроме INPUT на хост HAproxy на порт 80, значит, у тебя есть фаервол. Удачи!

Asir Guest	#12 0 04.06.2019 15:09:00 Я имею в виду, что настройка iptables на этих узлах работает так же, как и стандартная настройка iptables на других машинах.

guletz Guest	#13 0 04.06.2019 15:26:00 Взгляни сюда!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры