Red Hat Cluster Suite: Configurando e Administrando um Cluster | ||
---|---|---|
Anterior | Capítulo 11. Configurando um Cluster LVS Red Hat Enterprise Linux | Próxima |
Os roteadores LVS sob qualquer topologia requerem configuração extra para criar serviços LVS multi-portas. Os serviços multi-portas podem ser criados artificialmente usando marcas de firewall para agrupar protocolos diferentes, mas relacionados, como o HTTP (porta 80) e o HTTPS (porta 443), ou quando o LVS é usado para agrupar protocolos multi-portas reais, como o FTP. Em qualquer um dos casos, o roteador LVS usa marcas de firewall para reconhecer que os pacotes destinados para portas diferentes, mas com a mesma marca de firewall, devem ser suportados identicamente. Além disso, quando somados à persistência, as marcas de firewall garantem que as conexões da máquina cliente são roteadas para a mesma máquina, desde que as conexões ocorram dentro do período de tempo especificado pelo parâmetro 'persistence'. Para mais informações sobre a definição deste parâmetro num servidor virtual, veja a Seção 12.6.1.
Infelizmente, o mecanismo usado para balancear as cargas nos servidores reais — IPVS — pode reconhecer as marcas de firewall atribuídas a um pacote, mas não pode atribuir marcas de firewall a si próprio. A tarefa de atribuir marcas de firewall deve ser executada pelo filtro de pacotes da rede, o iptables, fora da Ferramenta de Configuração do Piranha.
Para atribuir marcas de firewall a um pacote destinado para uma porta específica, o administrador deve usar o iptables.
Esta seção mostra como agrupar o HTTP e o HTTPS como um exemplo, apesar do FTP ser um outro protocolo multi-porta comumente clusterizado. Se um cluster LVS é usado para serviços FTP, veja a Seção 11.4 para mais detalhes sobre a melhor configuração do cluster.
A regra básica a lembrar ao usar marcas de firewall é: para todo protocolo usando uma marca de firewall na Ferramenta de Configuração do Piranha, deve existir uma regra iptables proporcional para atribuir marcas aos pacotes de rede.
Antes de criar regras de filtragem de pacotes, garanta que não haja regras existentes. Para fazer isso, abra uma janela de comandos, autentique-se como root e digite:
/sbin/service iptables status |
Se o iptables não está rodando, o prompt aparece imediatamente.
Se o iptables está ativo, exibe um conjunto de regras. Se houver regras presentes, digite o seguinte comando:
/sbin/service iptables stop |
Se as regras já existentes forem importantes, verifique o conteúdo do /etc/sysconfig/iptables e copie todas as regras que valham em uma localidade segura antes de continuar.
Veja abaixo as regras que atribuem a mesma marca de firewall, 80, para tráfego de entrada destinado ao endereço IP flutuante, n.n.n.n, nas portas 80 e 443. Para instruções sobre a atribuição do VIP à interface de rede pública, veja a Seção 12.6.1. Também note que você deve se autenticar como root e carregar o módulo do iptables antes de atribuir regras pela primeira vez.
/sbin/modprobe ip_tables /sbin/iptables -t mangle -A PREROUTING -p tcp \ -d n.n.n.n/32 --dport 80 -j MARK --set-mark 80 /sbin/iptables -t mangle-A PREROUTING -p tcp \ -d n.n.n.n/32 --dport 443 -j MARK --set-mark 80 |
Nos comandos iptables anteriores, n.n.n.n deve ser substituído pelo IP flutuante dos seus servidores HTTP e HTTPS virtuais. Estes commandos têm o efeito de rede de atribuir para qualquer tráfego, endereçado ao VIP nas portas apropriadas, uma marca de firewall 80, que por sua vez é reconhecida pelo IPVS e encaminhada apropriadamente.
![]() | Atenção |
---|---|
Os comandos acima terão efeito imediato, mas não insista numa reinicialização do sistema. Para garantir que a configuração do filtro de pacotes de rede sejam recuperadas na reinicialização, consulte a Seção 11.5. |