11.3. Multi-Port Services und LVS Clustering

Wenn LVS Multi-Port Services erzeugt werden, erfordern LVS Router zusätzliche Konfiguration, unabhängig von der verwendeten Topologie. Multi-Port Services können künstlich erzeugt werden, indem Firewall-Markierungen verwendet werden, um verschiedene, jedoch verwandte, Protokolle, wie HTTP (Port 80) und HTTPS (Port 443), zusammen zu fassen. Multi-Port Services können auch erzeugt werden, wenn LVS benutzt wird, um echte Multi-Port Protokolle, wie FTP, zusammen zu fassen. In beiden Fällen benutzt der LVS Router Firewall-Markierungen, um festzustellen, dass Pakete, welche für verschiedene Ports bestimmt sind, jedoch die selbe Firewall-Markierung tragen, gleich behandelt werden sollen. Auch, wenn gemeinsam mit Persistenz benutzt, stellen Firewall-Markierungen sicher, dass Verbindungen von der Client-Maschine zum selben Host weitergeleitet werden, solange diese in dem vorgegebenen Zeitintervall, angegeben im Persistenz-Parameter, hergestellt werden. Für mehr zum Zuweisen von Persistenz zu einem virtuellen Server, sehen Sie Abschnitt 12.6.1.

Unglücklicherweise, obwohl der Mechanismus zum Lastausgleich auf den realen Servern — IPVS — die zu einem Paket zugewiesenen Firewall-Markierungen erkennen kann, kann dieser nicht selbst Firewall-Markierungen zuweisen. Die Zuweisung von Firewall-Markierungen muss von einem Netzwerk-Paket-Filter, wie iptables oder iptables, ausserhalb von Piranha Configuration Tool geschehen.

11.3.1. Zuweisung von Firewall-Markierungen

Um Firewall-Markierungen zu einem Paket, das für einen bestimmten Port bedacht ist, zuzuweisen, muss der Administrator iptables verwenden.

Dieser Abschnitt illustriert, als Beispiel, wie HTTP und HTTPS zusammengefasst werden, FTP ist ein anderes häufig zusammengefasstes Multi-Port Protokoll. Sollte ein LVS Cluster für FTP Services verwendet werden, sehen Sie Abschnitt 11.4 für Details zum bestmöglichen Konfigurieren des Clusters.

Die Grundregel, die Sie sich für die Benutzung von Firewall-Markierungen behalten sollten, ist, dass für jedes Protokoll, welches eine Firewall-Markierung in Piranha Configuration Tool verwendet, eine Regel zur Zuweisung von Markierungen zu den Netzwerk-Paketen in iptables existieren muss.

Bevor Sie die Regeln für das Filtern von Netzwerk-Paketen erzeugen, stellen Sie sicher, dass keine Regeln bereits vorhanden sind. Dazu, öffnen Sie eine Shell, melden Sie sich als root an, und geben Sie folgendes ein:

/sbin/service iptables status

Sollte iptables nicht laufen, wird der Prompt sofort wieder erscheinen.

Ist iptables aktiv, wird dies eine Reihe von Regeln anzeigen. Sind Regeln vorhanden, geben Sie den entsprechenden der folgenden Befehle an:

/sbin/service iptables stop

Sollten die vorhandenen Regeln wichtig sein, prüfen Sie den Inhalt von /etc/sysconfig/iptables und kopieren Sie die Regeln, welche Sie behalten wollen, zu einem sicheren Ort, bevor Sie fortfahren.

Unten sind Regeln angegeben, die die selbe Firewall-Markierung, 80, zu dem eingehenden Verkehr zuweisen, der für die schwebende IP Adresse, n.n.n.n, auf Ports 80 und 443 bestimmt ist. Für Anleitungen zur Zuweisung der VIP Adresse zu der öffentlichen Netzwerk-Schnittstelle, siehe Abschnitt 12.6.1. Beachten Sie auch, dass Sie sich als root anmelden und das Modul für iptables laden müssen, bevor Sie erstmalig Regeln angeben.

/sbin/modprobe ip_tables
/sbin/iptables -t mangle -A PREROUTING -p tcp \
	    -d n.n.n.n/32 --dport 80 -j MARK --set-mark 80
/sbin/iptables -t mangle-A PREROUTING -p tcp \
               -d n.n.n.n/32 --dport 443 -j MARK --set-mark 80

In den oben angegebenen iptables-Befehlen, sollte n.n.n.n mit der schwebenden IP-Adresse Ihres virtuellen HTTP und HTTPS Servers ersetzt werden. Diese Befehle haben den Netto-Effekt der Zuweisung einer Firewall-Markierung von 80 zu jeglichem an die VIP auf den entsprechenden Ports adressiertem Verkehr. Dies wird von der IPVS erkannt und richtig weitergeleitet.

WarnungWarnung
 

Die oben angegebenen Befehle werden sofort in Kraft treten, werden allerdings bei einem Neustart nicht erhalten bleiben. Um die Filtereinstellungen für Netzwerk-Pakete über einen Neustart hinaus zu erhalten, sehen Sie Abschnitt 11.5.