Suite de cluster de Red Hat: Configuration et gestion d'un cluster | ||
---|---|---|
Précédent | Chapitre 11. Installation d'un cluster LVS Red Hat Enterprise Linux | Suivant |
Quelle que soit la topologie choisie, les routeurs LVS demandent une configuration plus approfondie lorsque des services LVS multi-ports sont créés. Des services multi-ports peuvent être créés de manière artificielle lorsque des balises pare-feu sont utilisées pour regrouper des protocoles différents, mais néanmoins apparentés, comme HTTP (port 80) et HTTPS (port 443), ou lorsque LVS est utilisé pour mettre en grappe de vrais protocoles multi-ports, comme FTP. Dans les deux cas, le routeur LVS utilise des balises pare-feu pour préciser que des paquets à destination de différents ports, mais portant les mêmes balises pare-feu, devraient être traités de manière identique. De plus, utilisées avec la persistance, les balises pare-feu garantissent le routage des connexions de la machine cliente vers le même hôte, tant que les connexions se produisent pendant le laps de temps imparti par les paramètres de persistance. Pour obtenir de plus amples informations sur l'attribution de la persistance à un serveur virtuel, consultez la Section 12.6.1.
Le mécanisme utilisé pour répartir les charges sur les serveurs réels — IPVS — peut reconnaître les balises pare-feu assignées à un paquet, mais ne peut malheureusement pas assigner lui-même des balises pare-feu. La tâche consistant à assigner des balises pare-feu doit être effectuée par un filtre de paquets réseau comme iptables en dehors de l'Outil de configuration de Piranha.
Pour attribuer des balises pare-feu à un paquet à destination d'un port spécifique, l'administrateur doit utiliser iptables.
Cette section explique, à titre d'exemple, comment regrouper HTTP et HTTPS . Ceci étant, FTP est un autre protocole multi-ports fréquemment clusterisé. Si un cluster LVS est utilisé pour des services FTP, consultez la Section 11.4 pour obtenir de plus amples informations sur la meilleure façon de configurer le cluster.
La règle de base dont il faut se souvenir lors de l'utilisation de balises pare-feu est que pour chaque protocole utilisant une balise pare-feu dans l'Outil de configuration de Piranha, il doit y avoir une règle proportionnelle pour iptables ou pour assigner des balises aux paquets réseau.
Avant de créer des règles pour les filtres des paquets réseau, assurez-vous qu'aucune règle n'existe déjà. Pour ce faire, ouvrez une invite du shell, connectez-vous en tant que super-utilisateur et tapez la commande suivante :
/sbin/service iptables status |
Si iptables ne tourne pas, l'invite réapparaîtra aussitôt.
Si iptables est actif, un ensemble de règles apparaîtra. Si des règles existent, tapez la commande suivante :
/sbin/service iptables stop |
Si les règles déjà en place sont importantes, vérifiez le contenu de /etc/sysconfig/iptables et copiez toute règle devant être conservée dans un endroit sûr avant de poursuivre.
Ci-dessous figurent des règles qui assignent la même balise pare-feu, soit 80, au trafic entrant à destination de l'adresse IP flottante n.n.n.n, sur les ports 80 et 443. Pour obtenir des instructions sur l'attribution de la VIP à l'interface réseau publique, consultez la Section 12.6.1. Notez également que vous devez vous connecter en tant que super-utilisateur et charger le module iptables avant d'émettre des règles pour la première fois.
/sbin/modprobe ip_tables /sbin/iptables -t mangle -A PREROUTING -p tcp \ -d n.n.n.n/32 --dport 80 -j MARK --set-mark 80 /sbin/iptables -t mangle-A PREROUTING -p tcp \ -d n.n.n.n/32 --dport 443 -j MARK --set-mark 80 |
Dans les commandes iptables ci-dessus, la série n.n.n.n devrait être remplacée par l'IP flottante pour vos serveurs virtuels HTTP et HTTPS. Avec ces commandes, tout trafic envoyé vers la VIP sur les ports appropriés se verra assigner une balise pare-feu de 80, qui sera à son tour reconnue par l'IPVS et transmise de la manière appropriée.
![]() | Attention |
---|---|
Les commandes ci-dessus prendront effet immédiatement, mais ne seront pas conservées lors de la ré-initialisation du système. Pour garantir la restauration des paramétrages des filtres des paquets réseau lors de la ré-initialisation, reportez-vous à la Section 11.5 |
Précédent | Sommaire | Suivant |
Création du cluster | Niveau supérieur | FTP dans un cluster LVS |