creation VIP

[dsebire]

Salut les jeunes !

bon, j'ai cherché sur le forum, apparemment le sujet n'a pas encore été abordé.

je cherche une solution pour créer des VIP pour faire du failover de service voir du load balancing.
pour ceux qui connaissent, comme un F5

en fait ma problématique de base, c'est que certains équipements ne peuvent être configurés avec un FQDN pour attaquer des machines proposant des services.
idem, pour attaquer un serveur DNS, pas trop d'autre choix que de donner son IP.

bref, pour pallier a tout ça, je veux créer des VIPs, les configurer sur mes équipements une fois pour toute et après modifier le pool sur lequel elles pointent.

j'ai pensé a une (des) VM linux avec X cartes LAN qui font du routage/forward vers les IP des machines qui proposent les services mais je trouve ça très moyen.
de plus, je vois pas trop comment gérer le failover ou load balancing avec cette méthode.

vous avez 4h ! (bah oui, pensez a ceux qui passent le bac )

PS: si vous avez des solution hard pour pas cher, je prend.

merci

[dsebire]

suis tombé la dessus: http://www.pavnay.fr/index.php/fr/admin ... cluster-ip

[kalistyan]

Mode HS On!

Je ne pensais pas tomber sur le thème FO et LB!
Cela va être coton!!!

[dsebire]

ipvsadm a l'air pas mal, seulement rien de packagé pour le monitoring.
faut tout se taper a la main.

[Zedoune]

J'utilise carp pour mes machines en fail-over, avec pf on peut aussi faire du load-balancing.

[flash91]

tu as quelques distribs fw comme pfsense qui le proposent de base.

sinon en soft pur, haproxy, lvs/ipvs

[Zedoune]

tu as quelques distribs fw comme pfsense qui le proposent de base.

sinon en soft pur, haproxy, lvs/ipvs

nginx fait du loadbaling / failover pour le web aussi

[dsebire]

je veux pouvoir faire du LB / FO sur n'importe quel service (ntp, DNS, DHCP, et non, pas web )

[Zedoune]

je veux pouvoir faire du LB / FO sur n'importe quel service (ntp, DNS, DHCP, et non, pas web )

Sous *BSD tu as CARP ça marche très bien et ça demande 2 ou 3 lignes de config

[kalistyan]

Alors finalement, comment as tu procédé ?

[merlin2000fr]

Salut salut

En général quand tu pars sur un services FO, c'est que tu auras à un moment ou un autre ton cœur de réseau à doubler.

Personnellement ;
- j'ai commencé par monter un FW en FO avec un PFsense qui tourne depuis presque 6/7 ans
- j'ai continué avec un doublage de ligne FAI pour avoir une continuité de signal sauf que là je suis tributaire du la boucle local de notre opérateur historique. (le cout du faisceau vers les nuage en illimité est trop cher à mon gout au vu de pref)
- j'ai bientôt fini le doublage de mon storage de data (deux pc en bl réplication synchro)
- je finirais par le doublage des swtichs ( les éléments maitres sur le switch 1 et les esclave ou secondaire sur le swicht 2) pour ma dorsale réseaux, là le manque de moyen pour l'instant

[dsebire]

Salut salut

En général quand tu pars sur un services FO, c'est que tu auras à un moment ou un autre ton cœur de réseau à doubler.

Personnellement ;
1/ - j'ai commencé par monter un FW en FO avec un PFsense qui tourne depuis presque 6/7 ans
2/ - j'ai continué avec un doublage de ligne FAI pour avoir une continuité de signal sauf que là je suis tributaire du la boucle local de notre opérateur historique. (le cout du faisceau vers les nuage en illimité est trop cher à mon gout au vu de pref)
3/ - j'ai bientôt fini le doublage de mon storage de data (deux pc en bl réplication synchro)
4/ - je finirais par le doublage des swtichs ( les éléments maitres sur le switch 1 et les esclave ou secondaire sur le swicht 2) pour ma dorsale réseaux, là le manque de moyen pour l'instant

hello,
1/ déjà fait, mais pas avec PF, c'est du routeur hard en HA
2/ j'ai 3 lignes dont 2 sur cuivre et 1 sur fibre
3/ déjà fait. repli temps réel entre 2 machines
4/ pour les switch, rien de redondant, mais par contre, matos de base, avec du spare dans l'armoire.
bascule manuelle en 2mn

perso, je crains pas la perte d'un switch, sont sur de l'ondulé, tournent H24 en environnement "propre" (pas une salle blanche mais a l'abris de la poussière). j'ai bossé dans des grands groupes ou le nombre de switch se comptent en milliers, le taux de panne est ridicule a coté du reste

[dsebire]

Alors finalement, comment as tu procédé ?

j'ai été au plus simple, j'ai rien fait

[nidosaur]

si mon retour peut toujours servir...

tu peux utiliser assez facilement haproxy pour faire du LB, c'est probablement ce qu'il y a de plus simple en low cost pour la mise en place.
je l'utilise au boulot pour faire du LB sur une solution SSO donc LB vers des glassfish hébergeant OpenAM et des LB sur les serveur OpenDS
j'ai aussi du LB sur des varnish et des apache. Tu peux faire de la réécriture d'entete avec des belles regex ... enfin bref c'est plutot bien. tu peux interfacer avec stunnel si tu as besoin de faire l'injection de certificat.

A coté de ca maintenant on a aussi des LB LTM et des LB ISP F5 et ca marche aussi trés trés bien car il y a beaucoup plus de souplesse a tout point de vue (type de LB, du monitor sur mesure, des regles de failover, injection de certificat ...)

sur la partie ISP, tu peux utiliser des enregistrements NS, c'est donc le F5 ISP qui répond aux requêtes DNS si bien que si tu as un lien down, il répondra toujours le lien UP.

[dsebire]

upppppppp !

bon, j'ai joué un peu. (ipvsadm et ldirectord)

je pense que ça a un énorme potentiel.

SAUF (oui, avec moi ya toujours un sauf ) pour que ça marche, il faut que les serveur physiques aient comme passerelle le load balancer

sinon, ça fait ça:

root:~# nslookup vmwin7 192.168.1.241
;; reply from unexpected source: 192.168.1.3#53, expected 192.168.1.241#53
;; reply from unexpected source: 192.168.1.3#53, expected 192.168.1.241#53
;; reply from unexpected source: 192.168.1.3#53, expected 192.168.1.241#53
;; connection timed out; no servers could be reached

192.168.1.3: serveur reel
192.168.1.241 serveur virtuel (la VIP donc)

la demande est bien forwardée par le LB de la VIP vers le serveur physique, le physique répond au demandeur en direct qui se demande qui s'est qui se mêle de la conversation vu qu'il cause avec la VIP

les tcpdump:
sur la VIP: (192.168.1.241)

12:06:02.932473 IP 192.168.1.5.59598 > 192.168.1.241.53: UDP, length 38
12:06:02.932516 IP 192.168.1.5.59598 > 192.168.1.3.53: UDP, length 38
12:06:07.932521 IP 192.168.1.5.59598 > 192.168.1.241.53: UDP, length 38
12:06:07.932565 IP 192.168.1.5.59598 > 192.168.1.3.53: UDP, length 38
12:06:12.932679 IP 192.168.1.5.59598 > 192.168.1.241.53: UDP, length 38
12:06:12.932712 IP 192.168.1.5.59598 > 192.168.1.3.53: UDP, length 38

sur le demandeur: (192.168.1.5)

12:04:51.777903 IP 192.168.1.5.58681 > 192.168.1.241.53: UDP, length 38
12:04:56.777582 IP 192.168.1.5.58681 > 192.168.1.241.53: UDP, length 38
12:05:01.777697 IP 192.168.1.5.58681 > 192.168.1.241.53: UDP, length 38
12:06:02.929466 IP 192.168.1.5.59598 > 192.168.1.241.53: UDP, length 38
12:06:02.929856 IP 192.168.1.3.53 > 192.168.1.5.59598: UDP, length 54
12:06:07.929522 IP 192.168.1.5.59598 > 192.168.1.241.53: UDP, length 38
12:06:07.929935 IP 192.168.1.3.53 > 192.168.1.5.59598: UDP, length 54
12:06:12.929682 IP 192.168.1.5.59598 > 192.168.1.241.53: UDP, length 38
12:06:12.930093 IP 192.168.1.3.53 > 192.168.1.5.59598: UDP, length 54

le serveur DNS est en 192.168.1.3, mais je ne peux pas faire de dump dessus (prod, peux pas installer de wireshark)

ce n'est pas envisageable de mettre en Gateway par défaut la VIP sur les serveurs de PROD (SPOF, alors que pour l'instant, j'arrive à m'en sortir en HA)

du coup, je vais laisser tomber.

PS: pour la partie monitoring, ipvsadm peut générer du snmp qui se récupère avec cacti