Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

High Availability

 
Nuovo argomento   Rispondi    Indice del forum -> Suggerimento nuove funzionalità
Precedente :: Successivo  
Autore Messaggio
mgiammarco



Registrato: 17/01/09 11:38
Messaggi: 32

MessaggioInviato: Sab Gen 17, 2009 11:42 am    Oggetto: High Availability Rispondi citando

Salve,
zeroshell e' una formidabile distro ma gli manca solo una cosa per la perfezione: la possibilita' di collegarne due per fare un HA di tipo attivo/passivo.

In molte aziende se crolla il firewall/dhcp/dns/etc. deve tornare in maniera automatica un servizio alternativo.

L'unica distro opensource che supporta HA e' pfsense ma, a mio parere, come potenza e versatilita' le prende da zeroshell.

Pero' pfsense puo' fare HA attivo/passivo...

Comprendo che implentare l'HA e' una cosa che stravolge totalmente zeroshell, pero' provo a chiederlo ugualmente Wink

Grazie,

Mario
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1559

MessaggioInviato: Sab Gen 17, 2009 4:11 pm    Oggetto: Rispondi citando

Supponi di avere due zeroshell configurati con lo stesso IP sui rispettivi bridge BRIDGE00(ETH00,ETH01) e che forniscano medesimi servizi su IP. Poi che le due ETH01 siano connesse direttamente tra loro e che il firewall (di entrambi i box) blocchi qualsiasi traffico IP e ARP su questa connessione diretta. Ora, che le ETH00 siano connesse sullo stesso switch della LAN a cui devi fornire i servizi: si creera' un loop layer 2 che paralizzerà tutto e fara' impazzire Zeroshell e non solo. Ma se attivi lo Spanning Tree Protocol sul bridge del box che deve rimanere passivo imponendo il Path Cost della ETH00 maggiore di quello della ETH01, il loop si interromperà mettendo la ETH00 in stato di learning. A questo punto lo Zeroshell passivo non puo' comunicare in IP da ETH01 perche' il firewall lo blocca e neanche da ETH00 per lo STP taglia il ramo layer2. Se il box attivo si rompe, il loop si interrompe e lo Spanning Tree Protocol, dopo qualche secondo, riabilita la ETH00 di quello passivo che si ritrova connesso in IP alla LAN.

Capisco che è rudimentale come sistema di ridondanza di un server, ma chissa' che non funzioni e che quindi sia meglio di niente.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
argaar



Registrato: 21/11/07 10:48
Messaggi: 115
Residenza: Roma

MessaggioInviato: Gio Gen 22, 2009 9:48 am    Oggetto: Rispondi citando

fulvio, in linea teorica il concetto funziona, però credo che per HA l'utente intenda altro, quale ad esempio il passaggio di sessioni.

data la natura di Zeroshell io più che altro lavorerei su un box che sia sempre acceso (parlo del box passivo) e che periodicamente abbia una copia del DB sovrascritta dal box primario.

Ci potrebbe essere tra i due un link privato (con tutti i protocolli bloccati tranne il ping e probabilmente scp per il trasferimento dei DB), la macchina "passiva" allora monitorerebbe il box attivo e se non ne rileva la presenza attiva il db che si trova sotto (o forse si potrebbe rendere già attivo e fargli attivare solo la scheda di rete anche se questo ad esempio con switch cisco comporta comunque un downtime di un minutino), per trasferire le sessioni forse si potrebbe utilizzare heartbeat o qualcosa del genere, dove lavoro io è stato fatto integrando heartbeat a squid (o meglio, ad ipcop). Non so come sia stato realizato però poichè di queste cose non sono molto ferrato quindi scusa magari ho detto fesserie.
_________________
Noi esploriamo... e ci chiamate criminali. Noi cerchiamo conoscenza... e ci chiamate criminali. Noi esistiamo senza colore di pelle, nazionalita', credi religiosi e ci chiamate criminali.
Top
Profilo Invia messaggio privato
mgiammarco



Registrato: 17/01/09 11:38
Messaggi: 32

MessaggioInviato: Dom Gen 25, 2009 1:17 pm    Oggetto: HA e' complicato Rispondi citando

Implementare un HA attiv/ passivo e' complicato.
Occorre inanzitutto una linea dedicata fra i due router per scambiarsi le informazioni di stato tcp. Poi per ogni interfaccia/vlan presente sul master deve esserne presente una equivalente sullo slave con un heartbeat fra di loro.
Se sono presenti degli ip devono essere degli ip virtuali che vengono gestiti anche qui dal master e, in mancanza di heartbeat, dallo slave.

A basso livello bisogna attivare il supporto del kernel per copiare lo stato tcp.

Poi bisogna modificare tutte le regole di firewall.

Poi bisogna modificare anche l'interfaccia utente in tutti punti dove offra un ip per permettere di crearne uno condiviso con lo slave...

Insomma un lavoraccio!
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Suggerimento nuove funzionalità Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it