Virtual Server Administration

Red Hat Enterprise Linux 5

Linux Virtual Server (LVS) for Red Hat Enterprise Linux

Édition 5

Résumé

Building a Linux Virtual Server (LVS) system offers highly-available and scalable solution for production services using specialized routing and load-balancing techniques configured through the PIRANHA. This book discusses the configuration of high-performance systems and services with Red Hat Enterprise Linux and LVS for Red Hat Enterprise Linux 5.

Introduction

This document provides information about installing, configuring, and managing Red Hat Virtual Linux Server (LVS) components. LVS provides load balancing through specialized routing techniques that dispatch traffic to a pool of servers. This document does not include information about installing, configuring, and managing Red Hat Cluster software. Information about that is in a separate document.

The audience of this document should have advanced working knowledge of Red Hat Enterprise Linux and understand the concepts of clusters, storage, and server computing.

This document is organized as follows:

Chapitre 1, Aperçu du serveur virtuel linux
Chapitre 2, Configuration LVS initiale
Chapitre 3, Paramétrer LVS
Chapitre 4, Configurer le routeur LVS avec l'Piranha Configuration Tool
Annexe A, Utilisation de LVS avec un cluster Red Hat

For more information about Red Hat Enterprise Linux 5, refer to the following resources:

Red Hat Enterprise Linux Installation Guide — Provides information regarding installation of Red Hat Enterprise Linux 5.
Red Hat Enterprise Linux Deployment Guide — Provides information regarding the deployment, configuration and administration of Red Hat Enterprise Linux 5.

For more information about Red Hat Cluster Suite for Red Hat Enterprise Linux 5, refer to the following resources:

Red Hat Cluster Suite Overview — Provides a high level overview of the Red Hat Cluster Suite.
Configuring and Managing a Red Hat Cluster — Provides information about installing, configuring and managing Red Hat Cluster components.
Logical Volume Manager Administration — Provides a description of the Logical Volume Manager (LVM), including information on running LVM in a clustered environment.
Global File System: Configuration and Administration — Provides information about installing, configuring, and maintaining Red Hat GFS (Red Hat Global File System).
Global File System 2: Configuration and Administration — Provides information about installing, configuring, and maintaining Red Hat GFS2 (Red Hat Global File System 2).
Using Device-Mapper Multipath — Provides information about using the Device-Mapper Multipath feature of Red Hat Enterprise Linux 5.
Using GNBD with Global File System — Provides an overview on using Global Network Block Device (GNBD) with Red Hat GFS.
Red Hat Cluster Suite Release Notes — Provides information about the current release of Red Hat Cluster Suite.

Red Hat Cluster Suite documentation and other Red Hat documents are available in HTML, PDF, and RPM versions on the Red Hat Enterprise Linux Documentation CD and online at http://www.redhat.com/docs/.

1. Feedback

If you spot a typo, or if you have thought of a way to make this manual better, we would love to hear from you. Please submit a report in Bugzilla (http://bugzilla.redhat.com/bugzilla/) against the component Documentation-cluster.

Be sure to mention the manual's identifier:

Virtual_Server_Administration(EN)-5 (2010-02-08T16:55)

By mentioning this manual's identifier, we know exactly which version of the guide you have.

If you have a suggestion for improving the documentation, try to be as specific as possible. If you have found an error, please include the section number and some of the surrounding text so we can find it easily.

Chapitre 1. Aperçu du serveur virtuel linux

LVS (de l'anglais Linux Virtual Server) est un ensemble de composants logiciels intégrés permettant de répartir la charge IP à travers un ensemble de serveurs réels. LVS s'exécute sur une paire d'ordinateurs ayant la même configuration : un routeur LVS actif et un routeur LVS de sauvegarde. Le routeur LVS actif joue deux rôles :

Répartition de la charge sur les serveurs réels.
Vérification de l'intégrité des services sur chaque serveur réel.

Le routeur LVS de sauvegarde surveille le routeur LVS actif et prend le pas sur ce dernier s'il échoue.

Ce chapitre fournit un aperçu des composants et fonctions LVS et comporte les sections suivantes :

Section 1.1, « A Basic LVS Configuration »
Section 1.2, « A Three-Tier LVS Configuration »
Section 1.3, « Aperçu de la programmation LVS »
Section 1.4, « Méthodes de routage »
Section 1.5, « La persistance et les marques de pare-feu »
Section 1.6, « LVS — Un diagramme de blocs »

1.1. A Basic LVS Configuration

Figure 1.1, « A Basic LVS Configuration » shows a simple LVS configuration consisting of two layers. On the first layer are two LVS routers — one active and one backup. Each of the LVS routers has two network interfaces, one interface on the Internet and one on the private network, enabling them to regulate traffic between the two networks. For this example the active router is using Network Address Translation or NAT to direct traffic from the Internet to a variable number of real servers on the second layer, which in turn provide the necessary services. Therefore, the real servers in this example are connected to a dedicated private network segment and pass all public traffic back and forth through the active LVS router. To the outside world, the servers appears as one entity.

Figure 1.1. A Basic LVS Configuration

Service requests arriving at the LVS routers are addressed to a virtual IP address, or VIP. This is a publicly-routable address the administrator of the site associates with a fully-qualified domain name, such as www.example.com, and is assigned to one or more virtual servers. A virtual server is a service configured to listen on a specific virtual IP. Refer to Section 4.6, « VIRTUAL SERVERS » for more information on configuring a virtual server using the Piranha Configuration Tool. A VIP address migrates from one LVS router to the other during a failover, thus maintaining a presence at that IP address (also known as floating IP addresses).

Les adresses VIP peuvent avoir un alias pour le même périphérique connectant le routeur LVS au réseau public. Par exemple, si eth0 est connecté à Internet, plusieurs serveurs virtuels peuvent être nommés eth0:1. De façon alternative, chaque serveur virtuel peut être associé à un périphérique différent par service. Par exemple, le trafic HTTP peut être traité sur eth0:1 et le trafic FTP peut être traité sur eth0:2.

Only one LVS router is active at a time. The role of the active router is to redirect service requests from virtual IP addresses to the real servers. The redirection is based on one of eight supported load-balancing algorithms described further in Section 1.3, « Aperçu de la programmation LVS ».

Le routeur LVS contrôle dynamiquement la santé globale des services spécifiques sur les serveurs réels à travers de simples scripts send/expect. Pour aider à détecter la santé des services nécessitant des données dynamiques, tels que HTTPS ou SSL, l'administrateur peut également appeler des exécutables externes. Si le service d'un serveur réel ne fonctionne plus correctement, le routeur LVS actif arrête de lui envoyer des travaux jusqu'à ce qu'il fonctionne à nouveau.

Le routeur LVS de sauvegarde joue le rôle de système de secours. Régulièrement, les routeurs LVS échangent des messages "heartbeat" à travers l'interface publique externe primaire et, en cas d'échec, l'interface privée. Si le noeud de sauvegarde ne reçoit pas de message "heartbeat" dans un intervalle défini, il initie un failover et endosse le rôle de routeur LVS actif. Durant le failover, le routeur LVS de sauvegarde récupère les adresses VIP desservies par le routeur ayant échoué en utilisant une technique appelée ARP spoofing — où le routeur LVS de sauvegarde s'annonce lui-même comme destinataire des paquets IP adressés au noeud défaillant. Lorsque le noeud ayant échoué fonctionne à nouveau, le noeud de sauvegarde reprend son rôle de sauvegarde à chaud (hot-backup).

The simple, two-layered configuration used in Figure 1.1, « A Basic LVS Configuration » is best for serving data which does not change very frequently — such as static webpages — because the individual real servers do not automatically sync data between each node.

1.1.1. Réplication et partage de données entre les serveurs réels

Étant donné qu'il n'y a pas de composant intégré dans LVS pour partager les données entre les serveurs réels, l'administrateur a deux options de base :

Synchroniser les données à travers le pool de serveurs réels.
Ajouter une troisième couche à la topologie pour l'accès aux données partagées.

La première option est préférable pour les serveurs qui n'autorisent pas un grand nombre d'utilisateurs à télécharger ou changer des données sur les serveurs réels. Si la configuration autorise un grand nombre d'utilisateurs à modifier les données, par exemple un site Web de e-commerce, ajouter une troisième couche est préférable.

1.1.1.1. Configuration des serveurs réels pour synchroniser les données

Il existe de nombreuses façons afin de synchroniser les données à travers le pool de serveurs réels. Des scripts shell peuvent par exemple être utilisés de telle manière que, lorsqu'un ingénieur Web modifie une page, celle-ci est postée simultanément sur tous les serveurs. De plus, l'administrateur système peut également utiliser des programmes comme rsync pour répliquer les données modifiées à travers tous les noeuds à un intervalle défini.

Toutefois, ce type de synchronisation de données ne fonctionne pas de façon optimale lorsque la configuration est surchargée par des utilisateurs qui téléchargent fréquemment des fichiers ou émettent constamment des transactions avec la base de données. Pour une configuration avec une charge élevée, la topologie trois tiers est la solution idéale.

1.2. A Three-Tier LVS Configuration

Figure 1.2, « A Three-Tier LVS Configuration » shows a typical three-tier LVS topology. In this example, the active LVS router routes the requests from the Internet to the pool of real servers. Each of the real servers then accesses a shared data source over the network.

Figure 1.2. A Three-Tier LVS Configuration

Cette configuration est idéale pour les serveurs FTP occupés, où les données accessibles sont stockées sur un serveur central, hautement disponible et accédées par chaque serveur réel via un répertoire NFS exporté ou un partage Samba. Cette topologie est également recommandée pour les sites web qui accèdent à une base de données centrale, à haute disponibilité, pour réaliser des transactions. De plus, en utilisant une configuration active-active avec le Red Hat Cluster Manager, les administrateurs peuvent configurer un cluster à haute disponibilité afin qu'il remplisse ces deux rôles simultanément.

Le troisième tiers dans l'exemple ci-dessus n'a pas besoin d'utiliser le Red Hat Cluster Manager, mais l'échec de l'utilisation d'une solution hautement disponible introduirait un point de défaillance unique critique.

1.3. Aperçu de la programmation LVS

Un des avantages de l'utilisation de LVS est sa capacité à effectuer une répartition de charge flexible, au niveau de l'adresse IP, sur le pool de serveurs réels. Cette flexibilité est due à la variété d'algorithmes de programmation à la disposition d'un administrateur lors de la configuration LVS. La répartition de charge LVS est supérieure à d'autres méthodes moins flexibles, telles que la méthode Round-Robin DNS où la nature hiérarchique du DNS et la mise en cache des machines client peuvent conduire à des déséquilibres de charge. De plus, le filtrage de bas niveau employé par le routeur LVS a des avantages par rapport à la transmission de paquets au niveau de l'application car la répartition de charge au niveau des paquets du réseau cause une surcharge minimale et permet une plus grande évolutivité.

Using scheduling, the active router can take into account the real servers' activity and, optionally, an administrator-assigned weight factor when routing service requests. Using assigned weights gives arbitrary priorities to individual machines. Using this form of scheduling, it is possible to create a group of real servers using a variety of hardware and software combinations and the active router can evenly load each real server.

Le mécanisme de programmation pour LVS est fourni par une collection de correctifs noyau appelés modules de serveur virtuel IP ou IPVS. Ces modules activent le changement de la couche de transport layer 4 (L4), qui est désignée pour fonctionner correctement avec plusieurs serveurs sur une adresse IP unique.

Pour tracer et diriger efficacement les paquets vers les serveurs réels, IPVS construit une table IPVS dans le noyau. Cette table est utilisée par le routeur LVS actif pour rediriger les requêtes d'une adresse de serveur virtuel entrant et sortant des serveurs réels du pool. Le tableau IPVS est constamment mise à jour par un utilitaire appelé ipvsadm — cet utilitaire ajoute et supprime des membres du cluster en fonction de leur disponibilité.

1.3.1. Algorithmes de programmation

The structure that the IPVS table takes depends on the scheduling algorithm that the administrator chooses for any given virtual server. To allow for maximum flexibility in the types of services you can cluster and how these services are scheduled, Red Hat Enterprise Linux provides the following scheduling algorithms listed below. For instructions on how to assign scheduling algorithms refer to Section 4.6.1, « La sous-section VIRTUAL SERVER ».

Round-Robin Scheduling: Distribue chaque requête consécutivement autour du pool de serveurs réels. En utilisant cet algorithme, tous les serveurs réels sont traités de la même manière, sans prendre en compte la capacité ou la charge. Ce modèle de programmation ressemble au modèle "round-robin DNS" mais il est plus granulaire car il est basé sur une connexion réseau et non sur un hôte. De plus, la programmation "LVS round-robin" ne souffre pas des déséquilibres causés par les requêtes DNS mises en cache.
Weighted Round-Robin Scheduling: Distributes each request sequentially around the pool of real servers but gives more jobs to servers with greater capacity. Capacity is indicated by a user-assigned weight factor, which is then adjusted upward or downward by dynamic load information. Refer to Section 1.3.2, « Programmation et charge des serveurs » for more on weighting real servers.
L'algorithme de programmation Weighted round-robin est l'algorithme préféré lorsqu'il y a des différences sensibles entre la capacité des serveurs réels du pool. Cependant, si la charge des requêtes varie considérablement, un serveur très alourdi pourrait répondre à plus de requêtes qu'il ne devrait.
Least-Connection: Distribue davantage de requêtes aux serveurs réels ayant moins de connexions actives. Parce qu'il garde une trace des connexions aux serveurs réels à travers la table IPVS, "least-connection" est un algorithme de programmation de type dynamique. C'est une bonne option s'il y a un degré de variation important au niveau de la charge des requêtes. Il s'agit de l'algorithme qui correspond le mieux à un pool de serveurs où chaque noeud du serveur a approximativement la même capacité. Si les serveurs réels d'un pool ont des capacités différentes, la programmation weighted least-connection constitue un meilleur choix.
Weighted Least-Connections (default): Distributes more requests to servers with fewer active connections relative to their capacities. Capacity is indicated by a user-assigned weight, which is then adjusted upward or downward by dynamic load information. The addition of weighting makes this algorithm ideal when the real server pool contains hardware of varying capacity. Refer to Section 1.3.2, « Programmation et charge des serveurs » for more on weighting real servers.
Locality-Based Least-Connection Scheduling: Distribue davantage de requêtes aux serveurs ayant moins de connexions actives en fonction de leur adresse IP de destination. Cet algorithme est dédié à une utilisation au sein d'un cluster de serveurs proxy-cache. Il achemine les paquets d'une adresse IP vers le serveur de cette adresse à moins que ce serveur soit au-delà de ses capacités et qu'il soit à plus de la moitié de sa charge, auquel cas il assigne l'adresse IP au serveur réel le moins chargé.
Locality-Based Least-Connection Scheduling with Replication Scheduling: Distribue davantage de paquets aux serveurs ayant moins de connexions actives en fonction de leur adresse IP de destination. Cet algorithme est également dédié à une utilisation au sein d'un cluster de serveurs proxy-cache. Il diffère de la programmation Locality-Based Least-Connection car il mappe l'adresse IP cible à un sous-groupe de noeuds de serveurs réels. Les requêtes sont ensuite routées vers le serveur de ce sous-groupe ayant le moins de connexions. Si tous les noeuds pour l'adresse IP de destination sont en-dessus de leurs capacités, il réplique un nouveau serveur pour cette adresse IP de destination en ajoutant le serveur réel ayant le moins de connexions à partir du pool entier de serveurs réels vers le sous-groupe de serveurs réels. Le noeud le plus chargé est ensuite retiré du sous-groupe de serveurs réels pour éviter les excès de réplication.
Destination Hash Scheduling: Distribue les requêtes vers le pool de serveurs réels en cherchant l'adresse IP de destination dans une table de hachage statique. Cet algorithme est dédié à une utilisation au sein d'un cluster de serveurs proxy-cache.
Source Hash Scheduling: Distribue les requêtes vers le pool de serveurs réels en cherchant l'adresse IP source dans une table de hachage statique. Cet algorithme est dédié aux routeurs LVS avec plusieurs pare-feu.

1.3.2. Programmation et charge des serveurs

L'administrateur LVS peut assigner une charge à chaque noeud du pool de serveurs réels. Cette charge correspond à une valeur entière qui est prise en compte par les algorithmes de programmation weight-aware (par exemple l'algorithme weighted least-connections) et qui permet au routeur LVS de partager la charge entre du matériel n'ayant pas les mêmes capacités.

Les charges sont en rapport les unes par rapport aux autres. Par exemple, si un serveur réel a une charge de 1 et que l'autre serveur possède une charge de 5, le serveur avec une charge de 5 obtiendra 5 connexions pour chaque connexion reçue par l'autre serveur. La valeur par défaut d'un serveur réel est 1.

Bien que l'utilisation de la charge (weight) pour des configurations matérielles variées dans un pool de serveurs réels puisse aider à répartir la charge du cluster efficacement, cela peut également causer des déséquilibres temporaires lorsqu'un serveur réel est introduit dans le pool de serveurs réels et qu'il est programmé pour utiliser une connexion weighted least-connections. Par exemple, supposez qu'il y ait trois serveurs dans le pool de serveurs réels. Les serveurs A et B ont une charge de 1 et le troisième, le serveur C, a une charge de 2. Si le serveur C échoue pour une raison ou une autre, les serveurs A et B distribuerons équitablement la charge abandonnée. Cependant, lorsque le serveur C est à nouveau disponible, le routeur LVS s'aperçoit qu'il n'a pas de connexion et l'inonde avec toutes les requêtes entrantes jusqu'à ce qu'il soit au même niveau que les serveurs A et B.

Pour empêcher ce phénomène, les administrateurs peuvent faire du serveur virtuel un serveur quiesce — à chaque fois qu'un serveur réel est à nouveau disponible, la table least-connections est remise à zéro et le routeur LVS dirige les requêtes comme si tous les serveurs réels venaient d'être ajoutés au cluster.

1.4. Méthodes de routage

Red Hat Enterprise Linux utilise la traduction d'adresses réseau ou le routage NAT pour LVS, qui permet aux administrateurs une immense flexibilité lors de l'utilisation du matériel disponible et de l'intégration de LVS dans un réseau existant.

1.4.1. Routage NAT

Figure 1.3, « LVS Implemented with NAT Routing », illustrates LVS utilizing NAT routing to move requests between the Internet and a private network.

Figure 1.3. LVS Implemented with NAT Routing

Dans cet exemple, il y a deux NIC dans le routeur LVS actif. La NIC pour Internet a une adresse IP réelle sur eth0 et une adresse IP flottante possédant un alias sur eth0:1. La NIC pour l'interface réseau privée a une adresse IP réelle sur eth1 et une adresse IP flottante possédant un alias sur eth1:1. En cas de failover, l'interface virtuelle exposée à Internet et celle privée exposée à l'interface virtuelle sont récupérées simultanément par le routeur LVS de sauvegarde. Tous les serveurs réels sur le réseau privé utilisent l'adresse IP flottante pour le routeur NAT comme leur route par défaut afin de communiquer avec le routeur LVS actif pour que leurs capacités à répondre aux requêtes Internet ne soit pas détériorées.

In this example, the LVS router's public LVS floating IP address and private NAT floating IP address are aliased to two physical NICs. While it is possible to associate each floating IP address to its own physical device on the LVS router nodes, having more than two NICs is not a requirement.

En utilisant cette topologie, le routeur LVS actif reçoit la requête et la redirige vers le serveur approprié. Le serveur réel traite ensuite la requête et retourne les paquets au routeur LVS. Le routeur LVS utilise la traduction d'adresses réseau pour remplacer l'adresse du serveur réel dans les paquets avec l'adresse VIP publique des routeurs LVS. Ce processus est appelé IP masquerading car les adresses IP courantes des serveurs réels sont cachées des clients effectuant la requête.

En utilisant ce routage NAT, les serveurs réels peuvent être n'importe quel type d'ordinateur exécutant une variété de systèmes d'exploitation. Le principal inconvénient du routage NAT est que le routeur LVS peut devenir un goulet d'étranglement dans les grands déploiements en clusters car il doit traiter les requêtes entrantes et sortantes.

1.4.2. Routage direct

Mettre en place une configuration LVS qui utilise le routage direct offre des performances supérieures par rapport aux autres topologies réseau LVS. Le routage direct permet aux serveurs réels de traiter et router les paquets directement vers un utilisateur les demandant plutôt que de passer les paquets sortants à travers le routeur LVS. Le routage direct réduit les risques de problèmes de performance réseau en reléguant le travail du routeur LVS pour ne traiter que les paquets entrants.

Figure 1.4. LVS Implemented with Direct Routing

Dans une configuration LVS classique de routage direct, le routeur LVS reçoit des requêtes serveur entrantes par l'intermédiaire d'une adresse IP virtuelle (VIP) et utilise un algorithme de programmation pour diriger les requêtes vers les serveurs réels. Chaque serveur réel traite les requêtes et envoie les réponses directement aux clients sans passer par les routeurs LVS. Cette méthode de routage permet une plus grande évolutivité car les serveurs réels peuvent être ajoutés sans charge supplémentaire sur le routeur LVS pour router les paquets sortants du serveur réel vers le client.

1.4.2.1. Routage direct et la limitation d'ARP

S'il existe de nombreux avantages à l'utilisation du routage direct dans LVS, il existe aussi des limitations. Le problème le plus courant avec LVS via le routage direct est le Protocole de résolution d'adresses (ARP de l'anglais Address Resolution Protocol).

In typical situations, a client on the Internet sends a request to an IP address. Network routers typically send requests to their destination by relating IP addresses to a machine's MAC address with ARP. ARP requests are broadcast to all connected machines on a network, and the machine with the correct IP/MAC address combination receives the packet. The IP/MAC associations are stored in an ARP cache, which is cleared periodically (usually every 15 minutes) and refilled with IP/MAC associations.

Le problème avec les requêtes ARP dans une configuration LVS de routage direct est que dans la mesure où l'adresse IP d'une requête client doit être associée à une adresse MAC pour être traitée, l'adresse IP virtuelle du système LVS doit également être associée à une adresse MAC. Cependant, parce que le routeur LVS et les serveurs réels ont la même adresse VIP, la requête ARP est diffusée à tous les noeuds associés à l'adresse VIP. Cela peut causer plusieurs problèmes, tels que l'adresse VIP associée directement à un des serveurs réels et traitant les requêtes directement, sans passer par le routeur LVS et ainsi allant à l'encontre du but de la configuration LVS.

Pour résoudre ce problème, assurez-vous que les requêtes entrantes soient toujours envoyées au routeur LVS plutôt qu'à l'un des serveurs réels. Pour ce faire, vous pouvez utiliser arptables_jf ou l'outil de filtrage des paquets iptables pour les raisons suivantes :

arptables_jf empêche ARP d'associer les adresses VIP avec les serveurs réels.
La méthode iptables esquive complètement le problème ARP en ne configurant pas les adresses VIP sur les serveurs réels en premier lieu.

For more information on using arptables or iptables in a direct routing LVS environment, refer to Section 3.2.1, « Routage direct et arptables_jf » or Section 3.2.2, « Routage direct et iptables ».

1.5. La persistance et les marques de pare-feu

Dans certains cas, il se peut qu'un client veuille se reconnecter plusieurs fois au même serveur réel, plutôt que d'avoir un algorithme de répartition de charge qui envoie sa requête au meilleur serveur disponible. Ceci est par exemple valable pour les formulaires Web ayant plusieurs pages, les cookies, SSL et les connexions FTP. Dans ces cas, pour que le client fonctionne correctement, il faut que les transactions soient traitées par le même serveur afin de garder le contexte. LVS fournit deux fonctionnalités différentes pour gérer cela : la persistance et les marques de pare-feu.

1.5.1. Persistance

Lorsqu'elle est activée, la persistance agit comme un minuteur. Lorsqu'un client se connecte à un service, LVS se souvient de sa dernière connexion pendant une période de temps spécifique. Si le client se connecte à nouveau avec la même adresse IP avant la fin de cette période, le client est envoyé vers le même serveur auquel il s'était connecté précédemment — sans passer par le mécanisme de répartition de charge. Lorsqu'une connexion est effectuée après cette période, elle est traitée en fonction des règles de programmation mises en place.

La persistance permet également à l'administrateur de spécifier un masque de sous-réseau à appliquer sur l'adresse IP du client afin de contrôler les adresses qui ont un plus haut niveau de persistance et ainsi grouper les connexions vers ce sous-réseau.

Le groupement de connexions destinées à différents ports peut être important pour les protocoles qui utilisent plus d'un port pour communiquer, tels que FTP. Cependant, la persistance n'est pas la façon la plus efficace de gérer le problème de groupement de connexions destinées à différents ports. Dans de telles situations, il est préférable d'utiliser les marques de pare-feu.

1.5.2. Marques de pare-feu

Les marques de pare-feu sont un moyen simple et efficace pour grouper les ports utilisés par un protocole ou un groupe de protocoles connexes. Par exemple, si LVS est déployé pour exécuter un site de e-commerce, les marques de pare-feu peuvent être utilisées pour empaqueter les connexions HTTP sur le port 80 et sécuriser les connexions HTTPS sur le port 443. En assignant la même marque de pare-feu au serveur virtuel pour chaque protocole, les informations d'état de la transaction peuvent être préservées car le routeur LVS redirige toutes les requêtes vers le même serveur réel après qu'une connexion soit ouverte.

Parce qu'elles sont simples à utiliser et efficaces, les administrateurs LVS devraient utiliser, dès que possible, les marques de pare-feu afin de grouper les connexions. Toutefois, les administrateurs devraient encore ajouter la persistance aux serveurs virtuels, conjointement aux marques de pare-feu, pour s'assurer que les clients soient reconnectés au même serveur pendant une période désirée.

1.6. LVS — Un diagramme de blocs

LVS routers use a collection of programs to monitor cluster members and cluster services. Figure 1.5, « LVS Components » illustrates how these various programs on both the active and backup LVS routers work together to manage the cluster.

Figure 1.5. LVS Components

Le démon pulse est exécuté sur les deux routeurs LVS actifs et passifs. Sur le routeur de sauvegarde, pulse envoie un signal heartbeat à l'interface publique du routeur actif afin de s'assurer que le routeur LVS actif fonctionne correctement. Sur le routeur actif, pulse démarre le démon lvs et répond aux requêtes heartbeat du routeur LVS de sauvegarde.

Une fois démarré, le démon lvs appelle l'utilitaire ipvsadm afin de configurer et maintenir la table de routage IPVS (de l'anglais IP Virtual Server) dans le noyau et démarre un processus nanny pour chaque serveur virtuel configuré sur chaque serveur réel. Chaque processus nanny vérifie l'état d'un service configuré sur un serveur réel et indique au démon lvs si le service sur ce serveur réel ne fonctionne pas correctement. Si un dysfonctionnement est détecté, le démon lvs demande à l'utilitaire ipvsadm de supprimer ce serveur réel de la table de routage IPVS.

Si le routeur de sauvegarde ne reçoit pas de réponse à partir du routeur actif, il initie un failover en appelant send_arp afin de réassigner toutes les adresses IP virtuelles aux adresses matérielles NIC (adresse MAC) du noeud de sauvegarde. Il envoie également une commande au routeur actif via les interfaces réseau publiques et privées afin d'arrêter le démon lvs sur le routeur actif et démarre le démon lvs sur le noeud de sauvegarde afin d'accepter les requêtes pour les serveurs virtuels configurés.

1.6.1. LVS Components

Section 1.6.1.1, « pulse » shows a detailed list of each software component in an LVS router.

1.6.1.1. `pulse`

This is the controlling process which starts all other daemons related to LVS routers. At boot time, the daemon is started by the /etc/rc.d/init.d/pulse script. It then reads the configuration file /etc/sysconfig/ha/lvs.cf. On the active router, pulse starts the LVS daemon. On the backup router, pulse determines the health of the active router by executing a simple heartbeat at a user-configurable interval. If the active router fails to respond after a user-configurable interval, it initiates failover. During failover, pulse on the backup router instructs the pulse daemon on the active router to shut down all LVS services, starts the send_arp program to reassign the floating IP addresses to the backup router's MAC address, and starts the lvs daemon.

1.6.1.2. `lvs`

Le démon lvs s'exécute sur le routeur LVS actif une fois qu'il est appelé par pulse. Il lit le fichier de configuration /etc/sysconfig/ha/lvs.cf, appelle l'utilitaire ipvsadm pour construire et maintenir la table de routage IPVS et assigne un processus nanny à chaque service LVS configuré. Si nanny reporte une panne sur un serveur réel, lvs indique à l'utilitaire ipvsadm de supprimer le serveur réel de la table de routage IPVS.

1.6.1.3. `ipvsadm`

Ce service met à jour la table de routage IPVS dans le noyau. Le démon lvs configure et administre LVS en appelant ipvsadm pour ajouter, changer ou supprimer les entrées dans la table de routage IPVS.

1.6.1.4. `nanny`

Le démon d'analyse nanny est démarré sur le routeur actif. À travers ce démon, le routeur actif détermine l'état de fonctionnement de chaque serveur réel et, éventuellement, analyse sa charge de travail. Un processus séparé est démarré pour chaque service défini sur chaque serveur réel.

1.6.1.5. `/etc/sysconfig/ha/lvs.cf`

Il s'agit du fichier de configuration LVS. Directement ou indirectement, tous les démons obtiennent leurs informations de configuration à partir de ce fichier.

1.6.1.6. Piranha Configuration Tool

Il s'agit de l'outil Web pour analyser, configurer et administrer LVS. C'est l'outil par défaut pour maintenir le fichier de configuration LVS /etc/sysconfig/ha/lvs.cf.

1.6.1.7. `send_arp`

Ce programme envoie les diffusions ARP lorsque l'adresse IP flottante change d'un nœud à un autre durant le failover.

Chapitre 2, Configuration LVS initiale reviews important post-installation configuration steps you should take before configuring Red Hat Enterprise Linux to be an LVS router.

Chapitre 2. Configuration LVS initiale

Après avoir installé Red Hat Enterprise Linux, vous devez suivre quelques étapes de base afin de configurer les routeurs LVS et les serveurs réels. Ce chapitre couvre en détails ces étapes de base :

Note

Le noeud du routeur LVS qui devient le noeud actif une fois que LVS est démarré, s'appelle également le noeud primaire. Lors de la configuration de LVS, utilisez l'Piranha Configuration Tool sur le noeud primaire.

2.1. Configuration des services sur les routeurs LVS

Le programme d'installation de Red Hat Enterprise Linux installe tous les composants nécessaires afin de configurer LVS, mais les services appropriés doivent être activés avant la configuration. Pour les deux routeurs LVS, configurez les services appropriés afin qu'ils se lancent au démarrage. Il y a trois outils principaux sous Red Hat Enterprise Linux permettant de configurer les services afin qu'ils se lancent au démarrage : le programme en ligne de commande chkconfig, le programme basé sur ncurses ntsysv et l'Services Configuration Tool. Tous ces outils requièrent un accès root (super-utilisateur).

Note

Pour obtenir un accès root, ouvrez une invite du shell et utilisez la commande su - suivie du mot de passe root. Par exemple :

$ su - root password

Sur les routeurs LVS, il y a trois services qui doivent être configurés pour être activés au démarrage :

Le service piranha-gui (seulement sur le noeud primaire)
Le service pulse
Le service sshd

Si vous mettez en cluster des services multiports ou si vous utilisez des marques de pare-feu, vous devez également activer le service iptables.

Il est préférable de configurer ces services pour qu'ils soient activés dans les niveaux d'exécution 3 et 5. Pour les activer en utilisant chkconfig, saisissez pour chaque service la commande suivante :

/sbin/chkconfig --level 35 daemon on

Dans la commande ci-dessus, remplacez daemon par le nom du service que vous voulez activer. Pour obtenir une liste des services sur le système et de leurs niveaux d'exécution, exécutez la commande suivante :

/sbin/chkconfig --list

Avertissement

Turning any of the above services on using chkconfig does not actually start the daemon. To do this use the /sbin/service command. See Section 2.3, « Démarrage du service de l'Piranha Configuration Tool » for an example of how to use the /sbin/service command.

For more information on runlevels and configuring services with ntsysv and the Services Configuration Tool, refer to the chapter titled "Controlling Access to Services" in the Red Hat Enterprise Linux System Administration Guide.

2.2. Définir un mot de passe pour l'Piranha Configuration Tool

Avant d'utiliser l'Piranha Configuration Tool pour la première fois sur le routeur LVS primaire, vous devez restreindre son accès en créant un mot de passe. Pour ce faire, connectez-vous en tant que root et exécutez la commande suivante :

/usr/sbin/piranha-passwd

Après avoir saisi cette commande, entrez le mot de passe administrateur lorsqu'on vous le demande.

Avertissement

Pour qu'un mot de passe soit plus sécurisé, il ne devrait pas contenir de noms propres, d'acronymes fréquemment utilisés ou de mots du dictionnaire quelque soit la langue. Ne laissez pas un mot de passe non crypté quelque part sur le système.

Si le mot de passe est modifié pendant une session active de l'Piranha Configuration Tool, l'administrateur est invité à saisir le nouveau mot de passe.

2.3. Démarrage du service de l'Piranha Configuration Tool

Après avoir défini le mot de passe pour l'Piranha Configuration Tool, démarrez ou redémarrez le service piranha-gui situé dans /etc/rc.d/init.d/piranha-gui. Pour ce faire, saisissez la commande suivante en tant que root :

/sbin/service piranha-gui start

/sbin/service piranha-gui restart

Issuing this command starts a private session of the Apache HTTP Server by calling the symbolic link /usr/sbin/piranha_gui -> /usr/sbin/httpd. For security reasons, the piranha-gui version of httpd runs as the piranha user in a separate process. The fact that piranha-gui leverages the httpd service means that:

Le service Apache HTTP Server doit être installé sur le système.
L'arrêt et le démarrage de Apache HTTP Server via la commande service arrête le service piranha-gui.

Avertissement

Si la commande /sbin/service httpd stop ou /sbin/service httpd restart est exécutée sur un routeur LVS, vous devez démarrer le service piranha-gui en exécutant la commande suivante :

/sbin/service piranha-gui start

The piranha-gui service is all that is necessary to begin configuring LVS. However, if you are configuring LVS remotely, the sshd service is also required. You do not need to start the pulse service until configuration using the Piranha Configuration Tool is complete. See Section 4.8, « Démarrage de LVS » for information on starting the pulse service.

2.3.1. Configuration du port du serveur Web de l'Piranha Configuration Tool

L'Piranha Configuration Tool est démarré par défaut sur le port 3636. Pour changer ce numéro de port, modifiez la ligne Listen 3636 dans la section 2 du fichier de configuration /etc/sysconfig/ha/conf/httpd.conf du serveur Web piranha-gui.

Pour utiliser l'Piranha Configuration Tool, vous devez avoir au minimum un navigateur Web en mode texte. Si vous démarrez un navigateur Web sur le routeur LVS primaire, ouvrez l'emplacement http://localhost:3636. Vous pouvez atteindre l'Piranha Configuration Tool à tout moment depuis votre navigateur Web en remplaçant localhost par le nom d'hôte ou l'adresse IP du routeur LVS primaire.

Lorsque votre navigateur se connecte à l'Piranha Configuration Tool, vous devez vous authentifier afin d'accéder aux services de configuration. Saisissez piranha dans le champ Username et le mot de passe défini avec piranha-passwd dans le champ Password.

Maintenant que l'Piranha Configuration Tool est en cours d'exécution, vous pourriez vouloir limiter les utilisateurs ayant accès à cet outil depuis le réseau. La prochaine section illustre les différentes façons permettant d'accomplir cette tâche.

2.4. Limitation de l'accès à l'Piranha Configuration Tool

L'Piranha Configuration Tool demande aux utilisateurs de saisir un nom d'utilisateur et un mot de passe valides. Toutefois, parce que toutes les données envoyées à l'Piranha Configuration Tool sont en texte clair, nous vous recommandons de restreindre l'accès uniquement aux réseaux de confiance et à la machine locale.

The easiest way to restrict access is to use the Apache HTTP Server's built in access control mechanisms by editing /etc/sysconfig/ha/web/secure/.htaccess. After altering the file you do not have to restart the piranha-gui service because the server checks the .htaccess file each time it accesses the directory.

Par défaut, les contrôles d'accès pour ce répertoire autorisent tout le monde à voir le contenu du répertoire. Voici à quoi ressemble l'accès par défaut :

Order deny,allow
Allow from all

Pour limiter l'accès de l'Piranha Configuration Tool à localhost uniquement, modifiez le fichier .htaccess pour n'autoriser l'accès qu'à partir du périphérique loopback (127.0.0.1). Pour davantage d'informations sur le périphérique loopback, reportez-vous au chapitre intitulé Scripts réseau dans le Guide de référence de Red Hat Enterprise Linux.

Order deny,allow
Deny from all
Allow from 127.0.0.1

Vous pouvez également autoriser des hôtes spécifiques ou des sous-réseaux comme dans cet exemple :

Order deny,allow
Deny from all
Allow from 192.168.1.100
Allow from 172.16.57

Dans cet exemple, seuls les navigateurs Web de la machine avec l'adresse IP 192.168.1.11 et les machines sur le réseau 172.16.54/24 peuvent accéder à l'Piranha Configuration Tool.

Avertissement

La modification du fichier .htaccess de l'Piranha Configuration Tool limite l'accès aux pages de configuration du répertoire /etc/sysconfig/ha/web/secure/ mais pas aux pages de connexion et d'aide du répertoire /etc/sysconfig/ha/web/. Pour limiter l'accès à ce répertoire, créez un fichier .htaccess dans le répertoire /etc/sysconfig/ha/web/ avec les lignes order, allow et deny identiques à /etc/sysconfig/ha/web/secure/.htaccess.

2.5. Activer la retransmission de paquets

Afin que le routeur LVS puisse retransmettre correctement les paquets réseau aux serveurs réels, chaque noeud du routeur LVS doit avoir la retransmission d'IP activée dans le noyau. Connectez-vous en tant que root et modifiez la ligne net.ipv4.ip_forward = 0 dans /etc/sysctl.conf avec ce qui suit :

net.ipv4.ip_forward = 1

Les changements prennent effet immédiatement lorsque vous redémarrez le système.

Pour vérifier si la retransmission d'IP est activée, exécutez la commande suivante en tant que root :

/sbin/sysctl net.ipv4.ip_forward

Si la commande ci-dessus retourne 1, cela signifie que la retransmission d'IP est activée. Si elle retourne 0, vous pouvez l'activer manuellement en utilisant la commande suivante :

/sbin/sysctl -w net.ipv4.ip_forward=1

2.6. Configuration des services sur les serveurs réels

Si les serveurs réels sont des systèmes Red Hat Enterprise Linux, paramétrez les démons serveur appropriés devant être activés au démarrage. Ces démons peuvent inclure httpd pour les services Web ou xinetd pour les services FTP ou Telnet.

Il peut aussi être utile d'accéder aux serveurs réels à distance, ainsi le démon sshd devrait également être installé et en cours d'exécution.

Chapitre 3. Paramétrer LVS

LVS conciste en deux groupes de base : les routeurs LVS et les serveurs réels. Pour empêcher un point de défaillance unique, chaque groupe doit avoir au moins deux systèmes membres.

Le groupe de routeurs LVS devrait se composer de deux systèmes identiques ou très similaires exécutant Red Hat Enterprise Linux. Le premier jouera le rôle de routeur LVS actif alors que l'autre restera en mode "veille à chaud" (hot standby). Ainsi, ils doivent avoir des capacités très similaires.

Avant de choisir et configurer le matériel pour le groupe de serveurs réels, déterminez quel type de topologie LVS utiliser parmi les trois proposées.

3.1. Le réseau LVS NAT

La topologie NAT permet une grande latitude dans l'utilisation du matériel existant mais sa capacité est limitée au traitement de charges importantes car tous les paquets entrant et sortant du pool passent à travers le routeur LVS.

Structure du réseau: La topologie LVS utilisant le routage NAT est la topologie la plus simple à configurer du point de vue de la structure du réseau car un seul point d'accès au réseau public est nécessaire. Les serveurs réels repassent toutes les requêtes à travers le routeur LVS, ils sont donc sur leur propre réseau privé.
Matériel: La topologie NAT est la plus flexible en matière de matériel car les serveurs réels n'ont pas besoin d'être des machines Linux pour fonctionner correctement au sein du cluster. Dans une topologie NAT, chaque serveur réel n'a besoin que d'une seule NIC car il va seulement répondre au routeur LVS. Les routeurs LVS, en revanche, ont besoin de deux NIC chacun pour diriger le trafic entre les deux réseaux. Étant donné que cette topologie crée un goulet d'étranglement au niveau du routeur LVS, les NIC Ethernet gigabit peuvent être utilisées sur chaque routeur LVS pour augmenter la bande passante que les routeurs LVS peuvent gérer. Si une carte Ethernet gigabit est utilisée sur les routeurs LVS, tout commutateur connectant les serveurs réels aux routeurs LVS doit avoir au moins deux ports Ethernet gigabit afin de gérer la charge efficacement.
Logiciel: Étant donné que la topologie NAT requiert l'utilisation d'iptables dans certaines configurations, il peut y avoir davantage de configuration logicielle en dehors de l'Piranha Configuration Tool. En particulier, les services FTP et l'utilisation de marques de pare-feu requièrent une configuration manuelle supplémentaire des routeurs LVS pour diriger les requêtes correctement.

3.1.1. Configuration des interfaces réseau pour LVS avec NAT

To set up LVS with NAT, you must first configure the network interfaces for the public network and the private network on the LVS routers. In this example, the LVS routers' public interfaces (eth0) will be on the 192.168.26/24 network (I know, I know, this is not a routable IP, but let us pretend there is a firewall in front of the LVS router for good measure) and the private interfaces which link to the real servers (eth1) will be on the 10.11.12/24 network.

So on the active or primary LVS router node, the public interface's network script, /etc/sysconfig/network-scripts/ifcfg-eth0, could look something like this:

DEVICE=eth0
BOOTPROTO=static
ONBOOT=yes
IPADDR=192.168.26.9
NETMASK=255.255.255.0
GATEWAY=192.168.26.254

Le script /etc/sysconfig/network-scripts/ifcfg-eth1 pour l'interface NAT privée sur le routeur LVS pourrait ressembler à ce qui suit :

DEVICE=eth1
BOOTPROTO=static
ONBOOT=yes
IPADDR=10.11.12.9
NETMASK=255.255.255.0

In this example, the VIP for the LVS router's public interface will be 192.168.26.10 and the VIP for the NAT or private interface will be 10.11.12.10. So, it is essential that the real servers route requests back to the VIP for the NAT interface.

Important

The sample Ethernet interface configuration settings in this section are for the real IP addresses of an LVS router and not the floating IP addresses. To configure the public and private floating IP addresses the administrator should use the Piranha Configuration Tool, as shown in Section 4.4, « GLOBAL SETTINGS » and Section 4.6.1, « La sous-section VIRTUAL SERVER ».

After configuring the primary LVS router node's network interfaces, configure the backup LVS router's real network interfaces — taking care that none of the IP address conflict with any other IP addresses on the network.

Important

Assurez-vous que les interfaces sur le noeud de sauvegarde couvrent le même réseau que les interfaces sur le noeud primaire. Par exemple, si l'interface eth0 se connecte au réseau public sur le noeud primaire, elle doit également se connecter au réseau public sur le noeud de sauvegarde.

3.1.2. Routage sur les serveurs réels

La chose la plus importante à se souvenir lors de la configuration des interfaces réseau des serveurs réels dans une topologie NAT est de paramétrer la passerelle pour l'adresse IP flottante NAT du routeur LVS. Dans cet exemple, l'adresse sera 10.11.12.10.

Note

Once the network interfaces are up on the real servers, the machines will be unable to ping or connect in other ways to the public network. This is normal. You will, however, be able to ping the real IP for the LVS router's private interface, in this case 10.11.12.8.

So the real server's /etc/sysconfig/network-scripts/ifcfg-eth0 file could look similar to this:

DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR=10.11.12.1
NETMASK=255.255.255.0
GATEWAY=10.11.12.10

Avertissement

Si un serveur réel a plus d'une interface réseau configurée avec la ligne GATEWAY=, la première à être montée obtiendra la passerelle. De cette manière, si eth0 et eth1 sont configurées et que eth1 est utilisée pour LVS, les serveurs réels pourraient ne pas router les requêtes correctement.

Il est préférable de désactiver les interfaces réseau superflues en définissant ONBOOT=no dans leurs scripts réseau au sein du répertoire /etc/sysconfig/network-scripts/ ou en s'assurant que la passerelle soit correctement paramétrée dans l'interface montée en premier.

3.1.3. Activation du routage NAT sur les routeurs LVS

In a simple NAT LVS configuration where each clustered service uses only one port, like HTTP on port 80, the administrator needs only to enable packet forwarding on the LVS routers for the requests to be properly routed between the outside world and the real servers. See Section 2.5, « Activer la retransmission de paquets » for instructions on turning on packet forwarding. However, more configuration is necessary when the clustered services require more than one port to go to the same real server during a user session. For information on creating multi-port services using firewall marks, see Section 3.4, « Les services multiports et LVS ».

Once forwarding is enabled on the LVS routers and the real servers are set up and have the clustered services running, use the Piranha Configuration Tool to configure LVS as shown in Chapitre 4, Configurer le routeur LVS avec l'Piranha Configuration Tool.

Avertissement

Do not configure the floating IP for eth0:1 or eth1:1 by manually editing network scripts or using a network configuration tool. Instead, use the Piranha Configuration Tool as shown in Section 4.4, « GLOBAL SETTINGS » and Section 4.6.1, « La sous-section VIRTUAL SERVER ».

When finished, start the pulse service as shown in Section 4.8, « Démarrage de LVS ». Once pulse is up and running, the active LVS router will begin routing requests to the pool of real servers.

3.2. LVS via le routage direct

As mentioned in Section 1.4.2, « Routage direct », direct routing allows real servers to process and route packets directly to a requesting user rather than passing outgoing packets through the LVS router. Direct routing requires that the real servers be physically connected to a network segment with the LVS router and be able to process and direct outgoing packets as well.

Structure du réseau: Dans une configuration LVS de routage direct, le routeur LVS doit recevoir les requêtes entrantes et les router vers le serveur réel approprié en vue de leur traitement. Les serveurs réels doivent ensuite router la réponse directement au client. Par exemple, si le client est sur l'Internet et qu'il envoie le paquet par l'intermédiaire du routeur LVS à un serveur réel, le serveur réel doit être capable d'aller directement vers le client via l'Internet. Ceci est possible en configurant une passerelle pour le serveur réel afin de transmettre les paquets sur l'Internet. Chaque serveur réel du pool de serveurs peut avoir sa propre passerelle (et chaque passerelle doit avoir sa propre connexion à l'Internet), ce qui permet un débit maximal et une grande évolutivité. Toutefois, pour les configurations LVS typiques, les serveurs réels peuvent communiquer par l'intermédiaire d'une seule passerelle (et donc une seule connexion réseau).
Important
Nous ne vous recommandons pas d'utiliser le routeur LVS comme passerelle pour les serveurs réels, étant donné que cela ajoute une complexité de configuration inutile et une charge réseau sur le routeur LVS qui réintroduisent le goulet d'étranglement réseau existant avec le routate NAT.
Matériel: Les besoins matériels d'un système LVS utilisant le routage direct sont similaires aux autres topologies LVS. Alors que le routeur LVS a besoin d'exécuter Red Hat Enterprise Linux pour traiter les requêtes entrantes et effectuer la répartition de charge pour les serveurs réels, les serveurs réels n'ont pas besoin d'être des machines Linux pour fonctionner correctement. Les routeurs LVS doivent avoir une ou deux NIC chacun (cela dépend s'il y a un routeur de sauvegarde). Vous pouvez utiliser deux NIC pour alléger la configuration et séparer distinctement le trafic — les requêtes entrantes sont traitées par une NIC et les paquets routés vers les serveurs réels par l'autre.
Étant donné que les serveurs réels contournent le routeur LVS et envoient les paquets sortants directement au client, une passerelle vers l'Internet est requise. Pour des performances et une disponibilité maximales, chaque serveur réel peut être connecté à sa propre passerelle qui dispose de sa propre connexion au réseau porteur auquel le client est connecté (par exemple l'Internet ou un Intranet).
Logiciel: There is some configuration outside of Piranha Configuration Tool that needs to be done, especially for administrators facing ARP issues when using LVS via direct routing. Refer to Section 3.2.1, « Routage direct et arptables_jf » or Section 3.2.2, « Routage direct et iptables » for more information.

3.2.1. Routage direct et `arptables_jf`

In order to configure direct routing using arptables_jf, each real server must have their virtual IP address configured, so they can directly route packets. ARP requests for the VIP are ignored entirely by the real servers, and any ARP packets that might otherwise be sent containing the VIPs are mangled to contain the real server's IP instead of the VIPs.

En utilisant la méthode arptables_jf, les applications peuvent se lier à chaque adresse VIP ou port individuel que le serveur réel sert. Par exemple, la méthode arptables_jf permet à plusieurs instances du Apache HTTP Server en cours d'exécution d'être liées explicitement à différentes adresses VIP sur le système. Il y a également des avantages significatifs au niveau des performances liés à l'utilisation de arptables_jf avec l'option IPTables.

Cependant, en utilisant la méthode arptables_jf, les adresses VIP ne peuvent pas être configurées afin d'être lancées au démarrage en utilisant les outils de configuration système de Red Hat Enterprise Linux.

Afin de configurer chaque serveur réel de manière à ignorer les requêtes ARP pour chacune des adresses IP virtuelles, effectuez les étapes suivantes :

Créez les entrées de la table ARP pour chaque adresse IP virtuelle sur chaque serveur réel (real_ip est l'adresse IP que le "director" utilise pour communiquer avec le serveur réel ; souvent il s'agit de l'adresse IP liée à eth0) :
```
arptables -A IN -d <virtual_ip> -j DROP
arptables -A OUT -s <virtual_ip> -j mangle --mangle-ip-s <real_ip>
```
Cela forcera les serveurs réels à ignorer les requêtes ARP pour les adresses IP virtuelles et à modifier toute réponse ARP sortante contenant l'adresse IP virtuelle par l'adresse IP réelle du serveur. Le seul noeud qui devrait répondre aux requêtes ARP pour une des adresses VIP est le noeud LVS actif en cours.
Une fois que cela est terminé pour chaque serveur réel, enregistrez les entrées de la table ARP en saisissant les commandes suivantes sur chaque serveur réel :
service arptables_jf save
chkconfig --level 2345 arptables_jf on
La commande chkconfig fait en sorte que le système recharge la configuration arptables au démarrage — avant que le réseau ne soit démarré.
Configurez l'adresse IP virtuelle sur tous les serveurs réels en utilisant ifconfig pour créer un alias IP. Par exemple :
```
# ifconfig eth0:1 192.168.76.24 netmask 255.255.252.0 broadcast 192.168.79.255 up
```
Ou en utilisant l'utilitaire iproute2 ip, par exemple :
```
# ip addr add 192.168.76.24 dev eth0
```
Comme noté précédemment, les adresses IP virtuelles ne peuvent pas être configurées pour être lancées au démarrage en utilisant les outils de configuration du système Red Hat. Une façon de contourner ce problème est de placer ces commandes dans /etc/rc.d/rc.local.
Configure Piranha for Direct Routing. Refer to Chapitre 4, Configurer le routeur LVS avec l'Piranha Configuration Tool for more information.

3.2.2. Routage direct et `iptables`

Vous pouvez également contourner le problème ARP utilisant la méthode de routage direct en créant des règles de pare-feu iptables. Pour configurer le routage direct en utilisant iptables, vous devez ajouter des règles afin de créer un proxy transparent de telle manière qu'un serveur réel puisse servir les paquets envoyés aux adresses VIP, même si les adresses IP n'existent pas sur le système.

La méthode iptables est plus facile à configurer que la méthode arptables_jf. Cette méthode permet aussi d'éviter complètement le problème ARP LVS car les adresses IP virtuelles existent uniquement sur le "director" LVS actif.

Toutefois, il y a des problèmes de performances lors de l'utilisation de la méthode iptables par rapport à la méthode arptables_jf étant donné qu'il y a une surcharge dans la transmission/le masquage de tous les paquets.

Vous ne pouvez également pas réutiliser les ports avec la méthode iptables. Il n'est pas possible, par exemple, de démarrer deux services Apache HTTP Server différents sur le port 80 car les deux doivent être liés au paramètre INADDR_ANY plutôt qu'aux adresses IP virtuelles.

Pour configurer le routage direct en utilisation la méthode iptables, effectuez les étapes suivantes :

Sur chaque serveur réel, exécutez la commande suivante pour toutes les adresses VIP, tous les ports et toutes les combinaisons de protocoles (TCP ou UDP) destinés à être utilisés par le serveur réel :
iptables -t nat -A PREROUTING -p <tcp|udp> -d <vip> --dport <port> -j REDIRECT
Cette commande fera en sorte que les serveurs réels traitent tous les paquets destinés l'adresse VIP et au port qui ont été spécifiés.
Enregistrez la configuration sur chaque serveur réel :
```
# service iptables save
# chkconfig --level 2345 iptables on
```
Les commandes ci-dessus font en sorte que le système recharge la configuration iptables au démarrage — avant que le réseau ne soit démarré.

3.3. Assembler la configuration

Après avoir déterminé quelle méthode de routage utiliser, le matériel devrait être relié ensemble sur le réseau.

Important

Les adaptateurs de périphériques sur les routeurs LVS doivent être configurés pour accéder aux mêmes réseaux. Par exemple, si eth0 se connecte à un réseau public et que eth1 se connecte à un réseau privé, ces mêmes périphériques sur le routeur LVS de sauvegarde doivent se connecter aux mêmes réseaux.

De plus, la passerelle listée dans la première interface montée au démarrage est ajoutée à la table de routage et les passerelles suivantes listées dans les autres interfaces sont ignorées. Ceci doit être pris en compte lors de la configuration de nouveaux serveurs réels.

Après avoir physiquement connecté le matériel ensemble, configurez les interfaces réseau sur le routeur LVS primaire et le routeur LVS de sauvegarde. Pour ce faire, vous pouvez utiliser une application graphique telle que system-config-network ou modifier manuellement les scripts réseau. Pour davantage d'informations à propos de l'ajout de périphériques en utilisant system-config-network, reportez-vous au chapitre intitulé Configuration réseau dans le Guide de déploiement de Red Hat Enterprise Linux. Pour le reste de ce chapitre, des exemples de modification des interfaces réseau manuellement ou avec Piranha Configuration Tool sont fournis.

3.3.1. Astuces générales de mise en réseau LVS

Configurez les adresses IP réelles pour les réseaux publics et privés sur les routeurs LVS avant d'essayer de configurer LVS en utilisant l'Piranha Configuration Tool. Les sections à propos de chaque topologie fournissent des exemples d'adresses réseau mais les adresses réseau réelles sont nécessaires. Ci-dessous figure quelques commandes utiles pour monter des interfaces réseau ou vérifier leurs statuts.

Monter des interfaces réseau réelles: Pour monter une interface réseau réelle, utilisez la commande suivante en tant que root, en remplaçant N avec le numéro correspondant à l'interface (eth0 et eth1).
/sbin/ifup ethN
Avertissement
Do not use the ifup scripts to bring up any floating IP addresses you may configure using Piranha Configuration Tool (eth0:1 or eth1:1). Use the service command to start pulse instead (see Section 4.8, « Démarrage de LVS » for details).
Démonter des interfaces réseau réelles: Pour démonter une interface réseau réelle, utilisez la commande suivante en tant que root, en remplaçant N avec le numéro correspondant à l'interface (eth0 et eth1).
/sbin/ifdown ethN
Vérifier le statut des interfaces réseau: Si vous devez, à un moment donné, vérifier quelles sont les interfaces qui ont été montées, saisissez la commande suivante :
/sbin/ifconfig
Pour afficher la table de routage d'une machine, exécutez la commande suivante :
/sbin/route

3.4. Les services multiports et LVS

LVS routers under any topology require extra configuration when creating multi-port LVS services. Multi-port services can be created artificially by using firewall marks to bundle together different, but related protocols, such as HTTP (port 80) and HTTPS (port 443), or when LVS is used with true multi-port protocols, such as FTP. In either case, the LVS router uses firewall marks to recognize that packets destined for different ports, but bearing the same firewall mark, should be handled identically. Also, when combined with persistence, firewall marks ensure connections from the client machine are routed to the same host, as long as the connections occur within the length of time specified by the persistence parameter. For more on assigning persistence to a virtual server, see Section 4.6.1, « La sous-section VIRTUAL SERVER ».

Malheureusement, le mécanisme utilisé pour répartir la charge sur les serveurs réels — IPVS — peut reconnaître les marques de pare-feu assignées à un paquet, mais ne peut pas les assigner lui-même. La tâche consistant à assigner des marques de pare-feu doit être effectuée par le filtre de paquets du réseau, iptables, en dehors de l'Piranha Configuration Tool.

3.4.1. Assignation des marques de pare-feu

Pour assigner des marques de pare-feu à un paquet destiné à un port particulier, l'administrateur doit utiliser iptables.

This section illustrates how to bundle HTTP and HTTPS as an example; however, FTP is another commonly clustered multi-port protocol. If an LVS is used for FTP services, refer to Section 3.5, « Configuration FTP » for configuration details.

Voici la règle de base à retenir lors de l'utilisation des marques de pare-feu : pour tous les protocoles utilisant les marques de pare-feu dans l'Piranha Configuration Tool, il doit y avoir une règle iptables pour assigner les marques aux paquets du réseau.

Avant de créer des règles de filtrage des paquets du réseau, assurez-vous qu'il n'y en ait pas déjà. Pour ce faire, ouvrez une invite du shell, connectez-vous en tant que root et saisissez :

/sbin/service iptables status

Si iptables n'est pas en cours d'exécution, l'invite réapparaîtra instantanément.

Si iptables est actif, il affiche un ensemble de règles. Si les règles sont présentes, saisissez la commande suivante :

/sbin/service iptables stop

Si les règles déjà en place sont importantes, vérifiez le contenu de /etc/sysconfig/iptables et copiez toute règle valant la peine d'être gardée avant de continuer.

Ci-dessous figure les règles qui assignent la même marque de pare-feu, 80, au trafic entrant destiné à l'adresse IP flottante, n.n.n.n, sur les ports 80 et 443.

/sbin/modprobe ip_tables

/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 80 -j MARK --set-mark 80

/sbin/iptables -t mangle-A PREROUTING -p tcp -d n.n.n.n/32 --dport 443 -j MARK --set-mark 80

For instructions on assigning the VIP to the public network interface, see Section 4.6.1, « La sous-section VIRTUAL SERVER ». Also note that you must log in as root and load the module for iptables before issuing rules for the first time.

Dans les commandes iptables ci-dessus, n.n.n.n devrait être remplacé par l'adresse IP flottante pour vos serveurs virtuels HTTP et HTTPS. Ces commandes ont pour effet d'assigner, à tout trafic destiné à l'adresse VIP sur les ports appropriés, une marque de pare-feu de 80, qui à son tour est reconnue par IPVS et retransmise de manière appropriée.

Avertissement

The commands above will take effect immediately, but do not persist through a reboot of the system. To ensure network packet filter settings are restored upon reboot, refer to Section 3.6, « Enregistrer les paramètres de filtrage des paquets du réseau »

3.5. Configuration FTP

Le protocole de transfert de fichiers (FTP de l'anglais File Transport Protocol) est un ancien protocole multiports complexe qui présente un ensemble de défis distincts à un environnement en clusters. Pour comprendre la nature de ces défis, vous devez d'abord comprendre quelques éléments clés à propos du fonctionnement de FTP.

3.5.1. Comment fonctionne FTP

Avec la plupart des autres relations client-serveur, la machine client ouvre une connexion avec le serveur sur un port particulier et le serveur répond ensuite au client sur ce port. Lorsqu'un client FTP se connecte à un serveur FTP, il ouvre une connexion avec le port de contrôle FTP 21. Ensuite, le client indique au server FTP s'il faut établir une connexion active ou passive. Le type de connexion choisi par le client détermine la façon dont le serveur répond et les ports sur lesquels la transaction se produira.

Les deux types de connexions de données sont :

Connexions actives: Lorsqu'une connexion active est établie, le serveur ouvre une une connexion pour permettre le transfert des données sur le client ("data connexion") à partir du port 20 vers un port élevé sur la machine client. Toutes les données provenant du serveur sont ensuite passées à travers cette connexion.
Connections passives: Lorsqu'une connexion passive est établie, le client demande au serveur FTP d'établir un port de connexion passif, qui peut être n'importe quel port supérieur à 10 000. Le serveur se lie ensuite à ce numéro de port élevé pour cette session particulière et relaie ce numéro de port au client. Le client ouvre ensuite le nouveau port pour cette connexion de données. À chaque fois que le client demande des données, une connexion de données séparée est établie. La plupart des clients FTP modernes essaient d'établir une connexion passive lorsqu'ils demandent des données au serveur.

Note

Le client détermine le type de connexion, ce n'est pas le cas du serveur. Ainsi, pour avoir un cluster FTP efficace, vous devez configurer les routeurs LVS afin qu'ils traitent les connexions actives et passives.

Le relation client/serveur du FTP peut potentiellement ouvrir un grand nombre de ports que l'Piranha Configuration Tool et IPVS ne connaissent pas.

3.5.2. Comment cela affecte le routage LVS

La transmission de paquets IPVS autorise les connexions entrantes et sortantes du cluster basées sur la reconnaissance de leur numéro de port ou de leur marque de pare-feu. Si un client en dehors du cluster essaie d'ouvrir un port qu'IPVS n'est pas configuré pour traiter, il abandonne la connexion. De même, si le serveur réel essaie d'ouvrir à nouveau une connexion à Internet sur un port qu'IPVS ne connaît pas, il abandonne la connexion. Cela signifie que toutes les connexions des clients FTP sur l'Internet doivent avoir la même marque de pare-feu qui leur est assignée et toutes les connexions du serveur FTP doivent être transmises correctement sur l'Internet en utilisant les règles de filtrage des paquets du réseau.

3.5.3. Création de règles de filtrage des paquets du réseau

Before assigning any iptables rules for FTP service, review the information in Section 3.4.1, « Assignation des marques de pare-feu » concerning multi-port services and techniques for checking the existing network packet filtering rules.

Below are rules which assign the same firewall mark, 21, to FTP traffic. For these rules to work properly, you must also use the VIRTUAL SERVER subsection of Piranha Configuration Tool to configure a virtual server for port 21 with a value of 21 in the Firewall Mark field. See Section 4.6.1, « La sous-section VIRTUAL SERVER » for details.

3.5.3.1. Règles pour les connexions actives

Les règles pour les connexions actives indiquent au noyau d'accepter et de retransmettre les connexions entrantes vers l'adresse IP flottante interne sur le port 20 — le port de données FTP.

La commande iptables suivante autorise le routeur LVS à accepter les connexions sortantes des serveurs réels qu'IPVS ne connaît pas :

/sbin/iptables -t nat -A POSTROUTING -p tcp -s n.n.n.0/24 --sport 20 -j MASQUERADE

In the iptables command, n.n.n should be replaced with the first three values for the floating IP for the NAT interface's internal network interface defined in the GLOBAL SETTINGS panel of Piranha Configuration Tool.

3.5.3.2. Règles pour les connexions passives

Les règles pour les connexions passives assignent la marque de pare-feu appropriée aux connexions entrantes provenant d'Internet vers l'adresse IP flottante pour le service sur une large étendue de ports — de 10,000 à 20,000.

Avertissement

Si vous limitez l'étendue des ports pour les connexions passives, vous devez également configurer le serveur VSFTP pour qu'il utilise une étendue de ports identique. Vous pouvez le faire en ajoutant les lignes suivantes dans /etc/vsftpd.conf :

pasv_min_port=10000

pasv_max_port=20000

Vous devez également contrôler l'adresse que le serveur affiche au client pour les connexions FTP passives. Dans un système LVS routé avec NAT, ajoutez la ligne suivante dans /etc/vsftpd.conf afin de remplacer l'adresse IP du serveur réel par l'adresse VIP, qui sera celle que le client verra suite à sa connexion. Par exemple :

pasv_address=n.n.n.n

Remplacez n.n.n.n par l'adresse VIP du système LVS.

Pour la configuration des autres serveurs FTP, consultez la documentation respective.

Cette plage devrait être assez large pour la plupart des situations ; cependant, vous pouvez augmenter ce nombre pour inclure tous les ports non sécurisés disponibles en changeant, dans les commandes suivantes, 10000:20000 par 1024:65535.

Les commandes iptables suivantes ont pour effet d'assigner, à tout trafic destiné à l'adresse VIP sur les ports appropriés, une marque de pare-feu de 21, qui à son tour est reconnue par IPVS et retransmise de manière appropriée :

/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 21 -j MARK --set-mark 21

/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 10000:20000 -j MARK --set-mark 21

Dans les commandes iptables, n.n.n.n devrait être remplacé par l'adresse IP flottante pour le serveur virtuel FTP défini dans la sous-section VIRTUAL SERVER de l'Piranha Configuration Tool.

Avertissement

The commands above take effect immediately, but do not persist through a reboot of the system. To ensure network packet filter settings are restored after a reboot, see Section 3.6, « Enregistrer les paramètres de filtrage des paquets du réseau »

Finally, you need to be sure that the appropriate service is set to activate on the proper runlevels. For more on this, refer to Section 2.1, « Configuration des services sur les routeurs LVS ».

3.6. Enregistrer les paramètres de filtrage des paquets du réseau

Après avoir configuré les filtres appropriés pour le filtrage des paquets du réseau, enregistrez les paramètres afin qu'ils soient restaurés après un redémarrage. Pour iptables, exécutez la commande suivante :

/sbin/service iptables save

Cela enregistre les paramètres dans /etc/sysconfig/iptables afin qu'ils soient rappelés au démarrage.

Once this file is written, you are able to use the /sbin/service command to start, stop, and check the status (using the status switch) of iptables. The /sbin/service will automatically load the appropriate module for you. For an example of how to use the /sbin/service command, see Section 2.3, « Démarrage du service de l'Piranha Configuration Tool ».

Finally, you need to be sure the appropriate service is set to activate on the proper runlevels. For more on this, see Section 2.1, « Configuration des services sur les routeurs LVS ».

Le chapitre suivant explique comment utiliser l'Piranha Configuration Tool pour configurer le routeur LVS et décrit les étapes nécessaires afin d'activer LVS.

Chapitre 4. Configurer le routeur LVS avec l'Piranha Configuration Tool

L'Piranha Configuration Tool fournit une approche structurée afin de créer le fichier de configuration nécessaire pour LVS — /etc/sysconfig/ha/lvs.cf. Ce chapitre décrit le fonctionnement de base de l'Piranha Configuration Tool et la façon d'activer LVS une fois que la configuration est terminée.

Important

Le fichier de configuration pour LVS suit des règles de formatage strictes. Utiliser l'Piranha Configuration Tool est le meilleur moyen d'éviter des erreurs de syntaxe dans le fichier lvs.cf et ainsi d'éviter des échecs logiciels.

4.1. Logiciel nécessaire

Le service piranha-gui doit être en cours d'exécution sur le routeur LVS primaire pour que vous puissiez utiliser l'Piranha Configuration Tool. Pour configurer LVS, vous avez besoin au minimum d'un navigateur Web en mode texte, tel que links. Si vous accédez au routeur LVS à partir d'une autre machine, vous avez également besoin d'une connexion ssh au routeur LVS primaire en tant que root.

Pendant la configuration du routeur LVS primaire, c'est une bonne idée de garder une connexion ssh concurrente dans une fenêtre de terminal. Cette connexion permet, de façon sécurisée, de redémarrer pulse et les autres services, de configurer les filtres de paquets du réseau et de contrôler les fichiers journaux /var/log/messages durant la résolution de problèmes.

Les quatre prochaines sections passent à travers chacune des pages de configuration de l'Piranha Configuration Tool et donnent des instructions sur son utilisation afin de configurer LVS.

4.2. Connexion à l'Piranha Configuration Tool

When configuring LVS, you should always begin by configuring the primary router with the Piranha Configuration Tool. To do this,verify that the piranha-gui service is running and an administrative password has been set, as described in Section 2.2, « Définir un mot de passe pour l'Piranha Configuration Tool ».

If you are accessing the machine locally, you can open http://localhost:3636 in a Web browser to access the Piranha Configuration Tool. Otherwise, type in the hostname or real IP address for the server followed by :3636. Once the browser connects, you will see the screen shown in Figure 4.1, « The Welcome Panel ».

Cliquez sur le bouton Login et saisissez piranha comme nom d'utilisateur et le mot de passe administrateur que vous avez créé dans le champ Password.

L'Piranha Configuration Tool est constitué de quatre écrans principaux ou panneaux. De plus, le panneau Virtual Servers contient quatre sous-sections. Le panneau CONTROL/MONITORING est le premier panneau à s'afficher lorsque vous vous connectez à la page d'accueil.

4.3. CONTROL/MONITORING

Le panneau CONTROL/MONITORING présente un statut d'exécution limité de LVS. Il affiche le statut du démon pulse, de la table de routage LVS et des processus nanny créés par LVS.

Note

The fields for CURRENT LVS ROUTING TABLE and CURRENT LVS PROCESSES remain blank until you actually start LVS, as shown in Section 4.8, « Démarrage de LVS ».

Figure 4.2. The CONTROL/MONITORING Panel

Auto update: Le statut affiché sur cette page peut être mis à jour automatiquement à un intervalle de temps configurable par l'utilisateur. Pour activer cette fonctionnalité, cliquez sur la case à cocher Auto update et définissez la fréquence de mise à jour désirée dans la zone de texte Update frequency in seconds (la valeur par défaut est 10 secondes).
Il n'est pas recommandé de paramétrer la mise à jour automatique à un intervalle inférieur à 10 secondes. Cela peut rendre la reconfiguration de l'intervalle Auto update difficile car la page sera mise à jour trop fréquemment. Si vous rencontrez ce problème, cliquez sur un autre panneau et retournez ensuite sur CONTROL/MONITORING.
La fonctionnalité Auto update ne fonctionne pas avec tous les navigateurs. Elle ne fonctionne pas, par exemple, avec Mozilla.
Update information now: Vous pouvez mettre à jour les informations d'état manuellement en cliquant sur ce bouton.
CHANGE PASSWORD: En cliquant sur ce bouton vous affichez une page d'aide qui vous indique comment modifier le mot de passe administrateur de l'Piranha Configuration Tool.

4.4. GLOBAL SETTINGS

The GLOBAL SETTINGS panel is where the you define the networking details for the primary LVS router's public and private network interfaces.

Figure 4.3. The GLOBAL SETTINGS Panel

The top half of this panel sets up the primary LVS router's public and private network interfaces. These are the interfaces already configured in Section 3.1.1, « Configuration des interfaces réseau pour LVS avec NAT ».

Primary server public IP: Dans ce champ, saisissez l'adresse IP réelle routable publiquement pour le noeud LVS primaire.
Primary server private IP: Enter the real IP address for an alternative network interface on the primary LVS node. This address is used solely as an alternative heartbeat channel for the backup router and does not have to correlate to the real private IP address assigned in Section 3.1.1, « Configuration des interfaces réseau pour LVS avec NAT ». You may leave this field blank, but doing so will mean there is no alternate heartbeat channel for the backup LVS router to use and therefore will create a single point of failure.
Note
L'adresse IP privée n'est pas nécessaire pour les configurations de routage direct, étant donné que tous les serveurs réels ainsi que les "directors" LVS partagent les mêmes adresses IP virtuelles et devraient avoir la même configuration IP route.
Note
The primary LVS router's private IP can be configured on any interface that accepts TCP/IP, whether it be an Ethernet adapter or a serial port.
Use network type: Cliquez sur le bouton NAT pour sélectionner le routage NAT.
Cliquez sur le bouton Direct Routing pour sélectionner le routage direct.

The next three fields deal specifically with the NAT router's virtual network interface connecting the private network with the real servers. These fields do not apply to the direct routing network type.

NAT Router IP: Saisissez l'adresse IP flottante directe dans cette zone de texte. Cette adresse IP flottante devrait être utilisée en tant que passerelle pour les serveurs réels.
NAT Router netmask: If the NAT router's floating IP needs a particular netmask, select it from drop-down list.
NAT Router device: Utilisez cette zone de texte afin de définir le nom du périphérique de l'interface réseau pour l'adresse IP flottante, par exemple eth1:1.
Note
Vous devriez créer un alias pour l'adresse IP flottante NAT à l'interface Ethernet connectée au réseau privé. Dans cet exemple, le réseau privé est sur l'interface eth1, ainsi eth1:1 correspond à l'adresse IP flottante.

Avertissement

Après avoir terminé cette page, cliquez sur le bouton ACCEPT pour être sûr de ne pas perde vos changements lors de la sélection d'un nouveau panneau.

4.5. REDUNDANCY

Le panneau REDUNDANCY vous permet de configurer le noeud du routeur LVS de sauvegarde et de définir plusieurs options d'analyse "hearbeat".

Note

The first time you visit this screen, it displays an "inactive" Backup status and an ENABLE button. To configure the backup LVS router, click on the ENABLE button so that the screen matches Figure 4.4, « The REDUNDANCY Panel ».

Figure 4.4. The REDUNDANCY Panel

Redundant server public IP: Saisissez l'adresse IP réelle publique pour le noeud du routeur LVS de sauvegarde.
Redundant server private IP: Enter the backup node's private real IP address in this text field.
Si vous ne voyez pas le champ nommé Redundant server private IP, retournez sur le panneau GLOBAL SETTINGS, saisissez une adresse Primary server private IP et cliquez sur le bouton ACCEPT.

Le reste du panneau permet de configurer le canal "hearbeat" qui est utilisé par le noeud de sauvegarde pour surveiller le nœud primaire en cas d'échec.

Heartbeat Interval (seconds): Définit le nombre de secondes entre les messages "hearbeat" — l'intervalle utilisé par le noeud de sauvegarde pour vérifier l'état fonctionnel du noeud LVS primaire.
Assume dead after (seconds): Si le noeud LVS primaire ne répond pas après ce nombre de secondes, le noeud du routeur LVS de sauvegarde initiera un failover.
Heartbeat runs on port: Ce champ définit le port utilisé par le message "hearbeat" pour communiquer avec le noeud LVS primaire. Le port par défaut est 539 si cette zone de texte est vide.

Avertissement

N'oubliez pas de cliquer sur le bouton ACCEPT après avoir effectué des changements sur ce panneau afin de ne pas les perdre lorsque vous sélectionnez un nouveau panneau.

4.6. VIRTUAL SERVERS

Le panneau VIRTUAL SERVERS affiche des informations sur les serveurs virtuels actuellement définis. Chaque entrée du tableau indique le statut du serveur virtuel, le nom du serveur, l'adresse IP virtuelle assignée au serveur, le masque de réseau de l'adresse IP virtuelle, le numéro de port avec lequel le service communique, le protocole utilisé et l'interface périphérique virtuelle.

Figure 4.5. The VIRTUAL SERVERS Panel

Chaque serveur affiché dans le panneau VIRTUAL SERVERS peut être configuré sur les écrans ou sous-sections suivantes.

Pour ajouter un service, cliquez sur le bouton ADD. Pour supprimer un service, sélectionnez le bouton radio correspondant et cliquez sur le bouton DELETE.

Pour activer ou désactiver un serveur virtuel à partir du tableau, sélectionnez le bouton radio correspondant et cliquez sur le bouton (DE)ACTIVATE.

Après avoir ajouté un serveur virtuel, vous pouvez le configurer en sélectionnant le bouton radio correspondant et en cliquant sur le bouton EDIT afin d'afficher la sous-section VIRTUAL SERVER.

4.6.1. La sous-section VIRTUAL SERVER

The VIRTUAL SERVER subsection panel shown in Figure 4.6, « The VIRTUAL SERVERS Subsection » allows you to configure an individual virtual server. Links to subsections related specifically to this virtual server are located along the top of the page. But before configuring any of the subsections related to this virtual server, complete this page and click on the ACCEPT button.

Figure 4.6. The VIRTUAL SERVERS Subsection

Name: Saisissez un nom descriptif pour identifier le serveur virtuel. Ce nom ne correspond pas au nom d'hôte de la machine, saisissez donc un nom facile à identifier. Vous pouvez même référencer le protocole utilisé par le serveur virtuel, par exemple HTTP.
Application port: Saisissez le numéro de port à travers lequel l'application service écoutera. Étant donné que cet exemple concerne les services HTTP, le port 80 est utilisé.
Protocol: Choisissez entre UDP et TCP, dans le menu déroulant. Les serveurs Web communiquent en général via le protocole TCP, il est donc sélectionné dans l'exemple ci-dessus.
Virtual IP Address: Enter the virtual server's floating IP address in this text field.
Virtual IP Network Mask: Saisissez le masque de réseau pour ce serveur virtuel avec le menu déroulant.
Firewall Mark: Ne saisissez pas une valeur entière de marque de pare-feu dans ce champ à moins que vous vouliez grouper des protocoles multiports ou créer un serveur virtuel multiports pour des protocoles distincts mais liés. Dans cet exemple, le serveur virtuel ci-dessus a une marque de pare-feu de 80 car nous groupons les connexions HTTP sur le port 80 et les connexions HTTPS sur le port 443 en utilisant la marque de pare-feu 80. Lorsqu'elle est combinée à la persistance, cette technique permet de s'assurer que les utilisateurs accédant à des pages Web sécurisées et non sécurisées soient dirigés vers le même serveur réel, en conservant l'état.
Avertissement
Entering a firewall mark in this field allows IPVS to recognize that packets bearing this firewall mark are treated the same, but you must perform further configuration outside of the Piranha Configuration Tool to actually assign the firewall marks. See Section 3.4, « Les services multiports et LVS » for instructions on creating multi-port services and Section 3.5, « Configuration FTP » for creating a highly available FTP virtual server.
Device: Saisissez le nom du périphérique réseau auquel vous voulez lier l'adresse IP flottante définie dans la zone de texte Virtual IP Address.
Vous devriez créer un alias pour l'adresse IP flottante publique à l'interface Ethernet connectée au réseau public. Dans cet exemple, le réseau public est sur l'interface eth0, eth0:1 devrait donc être saisi comme le nom de périphérique.

Re-entry Time: Saisissez une valeur entière qui définit la durée, en secondes, avant que le routeur LVS actif essaie de ramener un serveur réel dans le pool suite à un échec.
Service Timeout: Saisissez une valeur entière qui définit la durée, en secondes, avant qu'un serveur réel soit considéré inactif et ainsi supprimé du pool.
Quiesce server: Lorsque le bouton radio Quiesce server est sélectionné, à chaque fois qu'un nouveau noeud de serveur réel est connecté, la table least-connections est remise à zéro pour que le routeur LVS actif dirige les requêtes comme si tous les serveurs réels venaient d'être ajoutés au pool. Cette option empêche au nouveau serveur de s'enliser avec un nombre élevé de connexions suite à son arrivée dans le pool.
Load monitoring tool: Le routeur LVS peut surveiller la charge des différents serveurs réels en utilisant rup ou ruptime. Si vous sélectionnez rup à partir du menu déroulant, chaque serveur réel doit exécuter le service rstatd. Si vous sélectionnez ruptime, chaque serveur réel doit exécuter le service rwhod.
Avertissement
Le contrôle de charge n'est pas similaire à la répartition de charge et il peut être difficile de prévoir un comportement de programmation lorsqu'il est combiné à des algorithmes de programmation lourds. De plus, si vous utilisez le contrôle de charge, les serveurs réels doivent être des machines Linux.
Scheduling: Select your preferred scheduling algorithm from the drop-down menu. The default is Weighted least-connection. For more information on scheduling algorithms, see Section 1.3.1, « Algorithmes de programmation ».
Persistence: Si un administrateur a besoin de connexions persistantes sur le serveur virtuel durant les transactions client, saisissez dans cette zone de texte le nombre de secondes d'inactivité autorisé avant qu'une connexion expire.
Important
If you entered a value in the Firewall Mark field above, you should enter a value for persistence as well. Also, be sure that if you use firewall marks and persistence together, that the amount of persistence is the same for each virtual server with the firewall mark. For more on persistence and firewall marks, refer to Section 1.5, « La persistance et les marques de pare-feu ».
Persistence Network Mask: Pour limiter la persistance à un sous-réseau particulier, sélectionnez le masque réseau approprié à partir du menu déroulant.
Note
Avant l'apparition des marques de pare-feu, la persistance limitée par le sous-réseau était une façon brute de grouper des connexions. Dès à présent, il est préférable d'utiliser la persistance en relation avec les marques de pare-feu afin d'obtenir le même résultat.

Avertissement

N'oubliez pas de cliquer sur le bouton ACCEPT après avoir effectué des changements sur ce panneau afin de ne pas les perdre lorsque vous sélectionnez un nouveau panneau.

4.6.2. La sous-section REAL SERVER

Cliquez sur le lien de la sous-section REAL SERVER en haut du panneau pour afficher la sous-section EDIT REAL SERVER. Cette sous-section affiche le statut des hôtes du serveur physique pour un service virtuel particulier.

Figure 4.7. The REAL SERVER Subsection

Click the ADD button to add a new server. To delete an existing server, select the radio button beside it and click the DELETE button. Click the EDIT button to load the EDIT REAL SERVER panel, as seen in Figure 4.8, « The REAL SERVER Configuration Panel ».

Figure 4.8. The REAL SERVER Configuration Panel

Ce panneau est composé de trois zones de texte :

Name: Un nom descriptif pour le serveur réel.
Note
Ce nom ne correspond pas au nom d'hôte de la machine, saisissez donc un nom facile à identifier.
Address: The real server's IP address. Since the listening port is already specified for the associated virtual server, do not add a port number.
Weight: An integer value indicating this host's capacity relative to that of other hosts in the pool. The value can be arbitrary, but treat it as a ratio in relation to other real servers in the pool. For more on server weight, see Section 1.3.2, « Programmation et charge des serveurs ».

Avertissement

N'oubliez pas de cliquer sur le bouton ACCEPT après avoir effectué des changements sur ce panneau afin de ne pas les perdre lorsque vous sélectionnez un nouveau panneau.

4.6.3. EDIT MONITORING SCRIPTS Subsection

Cliquez sur le lien MONITORING SCRIPTS en haut de la page. La sous-section EDIT MONITORING SCRIPTS permet à l'administrateur de spécifier une séquence de caractères send/expect afin de vérifier que le service pour le serveur virtuel soit fonctionnel sur chaque serveur réel. C'est également ici que l'administrateur peut spécifier des scripts personnalisés pour vérifier les services nécessitant des données qui changent dynamiquement.

Figure 4.9. The EDIT MONITORING SCRIPTS Subsection

Sending Program

Pour une vérification de service plus avancée, vous pouvez utiliser ce champ afin de spécifier le chemin d'accès d'un script de vérification de service. Cette fonction est particulièrement utile pour les services qui requièrent que les données soient changées dynamiquement, par exemple HTTPS ou SSL.

Pour utiliser cette fonctionnalité, vous devez écrire un script qui retourne une réponse textuelle. Paramétrez le script pour qu'il soit exécutable et saisissez son chemin d'accès dans le champ Sending Program.

Note

To ensure that each server in the real server pool is checked, use the special token %h after the path to the script in the Sending Program field. This token is replaced with each real server's IP address as the script is called by the nanny daemon.

Ci-dessous figure un échantillon de script que vous pouvez utiliser comme modèle lors de la composition d'un script externe de vérification de services.

#!/bin/sh

TEST=`dig -t soa example.com @$1 | grep -c dns.example.com

if [ $TEST != "1" ]; then
	echo "OK
else
	echo "FAIL"
fi

Note

Si un programme externe est saisi dans le champ Sending Program, le champ Send est ignoré.

Send

Saisissez dans ce champ une chaîne de caractères que le démon nanny enverra à chaque serveur réel. Par défaut, le champ d'envoi est configuré pour HTTP. Vous pouvez modifier cette valeur selon vos besoins. Si vous laissez ce champ vide, le démon nanny essaie d'ouvrir le port et, s'il réussit, suppose que le service est en cours d'exécution.

Une seule séquence send est autorisée dans ce champ et elle ne peut contenir que des caractères imprimables, ASCII ainsi que les caractères d'échappement suivants :

\n pour une nouvelle ligne.
\r pour un retour à la ligne.
\t pour un onglet.
\ pour échapper le caractère qui suit.

Expect

Saisissez une réponse textuelle que le serveur devrait retourner s'il fonctionne correctement. Si vous avez écrit votre propre programme d'envoi, saisissez la réponse désirée.

Note

Pour déterminer ce qu'il faut envoyer pour un service donné, vous pouvez ouvrir une connexion telnet sur le port d'un serveur réel et regardez ce qui est retourné. Par exemple, FTP reporte 220 suite à une connexion, vous pourriez donc saisir quit dans le champ Send et 220 dans le champ Expect.

Avertissement

N'oubliez pas de cliquer sur le bouton ACCEPT après avoir effectué des changements sur ce panneau afin de ne pas les perdre lorsque vous sélectionnez un nouveau panneau.

Once you have configured virtual servers using the Piranha Configuration Tool, you must copy specific configuration files to the backup LVS router. See Section 4.7, « Synchronisation des fichiers de configuration » for details.

4.7. Synchronisation des fichiers de configuration

Après avoir configuré le routeur LVS primaire, plusieurs fichiers de configuration doivent être copiés sur le routeur LVS de sauvegarde avant que vous démarriez LVS.

Ces fichiers incluent :

/etc/sysconfig/ha/lvs.cf — Le fichier de configuration pour les routeurs LVS.
/etc/sysctl — Le fichier de configuration qui, entre autres, active la retransmission de paquets dans le noyau.
/etc/sysconfig/iptables — Si vous utilisez des marques de pare-feu, vous devriez synchroniser un de ces fichiers en fonction du filtre de paquets du réseau que vous utilisez.

Important

Les fichiers /etc/sysctl.conf et /etc/sysconfig/iptables ne changent pas lorsque vous configurez LVS en utilisant l'Piranha Configuration Tool.

4.7.1. Synchronisation de `lvs.cf`

À chaque fois que le fichier de configuration /etc/sysconfig/ha/lvs.cf est créé ou modifié, vous devez le copier sur le noeud du routeur LVS de sauvegarde.

Avertissement

Les noeuds du routeur LVS actif et du routeur LVS de sauvegarde doivent avoir les mêmes fichiers lvs.cf. Des fichiers de configuration LVS qui ne concordent pas entre les nœuds du routeur LVS peuvent empêcher le failover.

La meilleure façon pour faire cela est d'utiliser la commande scp.

Important

To use scp the sshd must be running on the backup router, see Section 2.1, « Configuration des services sur les routeurs LVS » for details on how to properly configure the necessary services on the LVS routers.

Exécutez la commande suivante en tant que root à partir du routeur LVS primaire pour synchroniser les fichiers lvs.cf entre les noeuds du routeur :

scp /etc/sysconfig/ha/lvs.cf n.n.n.n:/etc/sysconfig/ha/lvs.cf

Dans la commande, remplacez n.n.n.n par l'adresse IP réelle du routeur LVS de sauvegarde.

4.7.2. Synchronisation de `sysctl`

Le fichier sysctl n'est modifié qu'une seule fois dans la plupart des situations. Ce fichier est lu au démarrage et indique au noyau d'activer la retransmission de paquets.

Important

If you are not sure whether or not packet forwarding is enabled in the kernel, see Section 2.5, « Activer la retransmission de paquets » for instructions on how to check and, if necessary, enable this key functionality.

4.7.3. Synchronisation des règles de filtrage des paquets du réseau

Si vous utilisez iptables, vous devrez synchroniser le fichier de configuration approprié sur le routeur LVS de sauvegarde.

Si vous modifiez des règles de filtrage des paquets du réseau, saisissez la commande suivante en tant que root à partir du routeur LVS primaire :

scp /etc/sysconfig/iptables n.n.n.n:/etc/sysconfig/

Dans la commande, remplacez n.n.n.n par l'adresse IP réelle du routeur LVS de sauvegarde.

Ensuite, ouvrez une session ssh sur le routeur de sauvegarde ou connectez-vous sur la machine en tant que root et saisissez la commande suivante :

/sbin/service iptables restart

Once you have copied these files over to the backup router and started the appropriate services (see Section 2.1, « Configuration des services sur les routeurs LVS » for more on this topic) you are ready to start LVS.

4.8. Démarrage de LVS

Pour démarrer le cluster LVS, il est préférable d'avoir deux terminaux root ouverts simultanément ou deux sessions ssh root ouvertes simultanément sur le routeur LVS primaire.

Dans un des deux terminaux, regardez les messages des fichiers journaux du noyau avec la commande :

tail -f /var/log/messages

Ensuite, démarrez LVS en saisissant la commande suivante dans l'autre terminal :

/sbin/service pulse start

Follow the progress of the pulse service's startup in the terminal with the kernel log messages. When you see the following output, the pulse daemon has started properly:

gratuitous lvs arps finished

Pour arrêter de visualiser /var/log/messages, saisissez Ctrl+c.

À partir de là, le routeur LVS primaire est également le routeur LVS actif. Bien que vous puissiez maintenant effectuer des requêtes sur le cluster, vous devriez démarrer le routeur LVS de sauvegarde avant de mettre le cluster en service. Pour ce faire, répétez simplement le processus décrit ci-dessus sur le noeud du routeur LVS de sauvegarde.

Après avoir terminé cette étape finale, LVS sera opérationnel.

Annexe A. Utilisation de LVS avec un cluster Red Hat

Vous pouvez utiliser des routeurs LVS avec un cluster Red Hat pour déployer un site de e-commerce à haute disponibilité qui fournit des capacités de répartition de charge, d'intégrité des données et de disponibilité d'applications.

The configuration in Figure A.1, « LVS with a Red Hat Cluster » represents an e-commerce site used for online merchandise ordering through a URL. Client requests to the URL pass through the firewall to the active LVS load-balancing router, which then forwards the requests to one of the Web servers. The Red Hat Cluster nodes serve dynamic data to the Web servers, which forward the data to the requesting client.

Figure A.1. LVS with a Red Hat Cluster

Serving dynamic Web content with LVS requires a three-tier configuration (as shown in Figure A.1, « LVS with a Red Hat Cluster »). This combination of LVS and Red Hat Cluster allows for the configuration of a high-integrity, no-single-point-of-failure e-commerce site. The Red Hat Cluster can run a high-availability instance of a database or a set of databases that are network-accessible to the Web servers.

Une configuration trois tiers est requise pour fournir du contenu dynamique. Alors qu'une configuration LVS deux tiers est appropriée lorsque les serveurs fournissent uniquement du contenu Web statique (des petites quantités de données ne changeant pas fréquemment), ce n'est pas le cas lorsque les serveurs fournissent du contenu dynamique. Le contenu dynamique pourrait inclure un inventaire de produits, des bons de commande ou des base de données client qui doivent être cohérents sur tous les serveurs Web afin que le client ait accès à une information correcte et mise à jour.

Chaque tiers fournit les fonctions suivantes :

Premier tiers — Des routeurs LVS répartissant la charge afin de distribuer les requêtes Web.
Second tiers — Un ensemble de serveurs Web pour traiter les requêtes.
Troisième tiers — Un cluster Red Hat pour fournir les données aux serveurs Web.

In an LVS configuration like the one in Figure A.1, « LVS with a Red Hat Cluster », client systems issue requests on the World Wide Web. For security reasons, these requests enter a Web site through a firewall, which can be a Linux system serving in that capacity or a dedicated firewall device. For redundancy, you can configure firewall devices in a failover configuration. Behind the firewall are LVS load-balancing routers, which can be configured in an active-standby mode. The active load-balancing router forwards the requests to the set of Web servers.

Each Web server can independently process an HTTP request from a client and send the response back to the client. LVS enables you to expand a Web site's capacity by adding Web servers behind the LVS routers; the LVS routers perform load balancing across a wider set of Web servers. In addition, if a Web server fails, it can be removed; LVS continues to perform load balancing across a smaller set of Web servers.

Annexe B. Revision History

Historique des versions

Version 5-8.400

2013-10-31

Rüdiger Landmann

Rebuild with publican 4.0.0

Version 5-8

2012-07-18

Anthony Towns

Rebuild for Publican 3.0

Version 2.0-0

Mon Feb 08 2010

Paul Kennedy

Resolves: 492000

Changes -d to -s in arptables "OUT" directive in "Direct Routing and arptables_jf" section.

Version 1.0-0

Tue Jan 20 2009

Paul Kennedy

Consolidation of point releases

Index

Symboles

/etc/sysconfig/ha/lvs.cf file, /etc/sysconfig/ha/lvs.cf

A

arptables_jf, Routage direct et arptables_jf

C

chkconfig, Configuration des services sur les routeurs LVS

cluster

using LVS with Red Hat Cluster, Utilisation de LVS avec un cluster Red Hat

components

of LVS, LVS Components

D

direct routing

and arptables_jf, Routage direct et arptables_jf

F

feedback, Feedback

FTP, Configuration FTP

(voir aussi LVS)

I

introduction, Introduction

other Red Hat Enterprise Linux documents, Introduction

iptables , Configuration des services sur les routeurs LVS

ipvsadm program, ipvsadm

J

job scheduling, LVS, Aperçu de la programmation LVS

L

least connections (voir job scheduling, LVS)

LVS

/etc/sysconfig/ha/lvs.cf file, /etc/sysconfig/ha/lvs.cf

components of, LVS Components

daemon, lvs

date replication, real servers, Réplication et partage de données entre les serveurs réels

direct routing

and arptables_jf, Routage direct et arptables_jf
requirements, hardware, Routage direct, LVS via le routage direct
requirements, network, Routage direct, LVS via le routage direct
requirements, software, Routage direct, LVS via le routage direct

initial configuration, Configuration LVS initiale

ipvsadm program, ipvsadm

job scheduling, Aperçu de la programmation LVS

lvs daemon, lvs

LVS routers

configuring services, Configuration LVS initiale
necessary services, Configuration des services sur les routeurs LVS
primary node, Configuration LVS initiale

multi-port services, Les services multiports et LVS

FTP, Configuration FTP

nanny daemon, nanny

NAT routing

enabling, Activation du routage NAT sur les routeurs LVS
requirements, hardware, Le réseau LVS NAT
requirements, network, Le réseau LVS NAT
requirements, software, Le réseau LVS NAT

overview of, Aperçu du serveur virtuel linux

packet forwarding, Activer la retransmission de paquets

Piranha Configuration Tool , Piranha Configuration Tool

pulse daemon, pulse

real servers, Aperçu du serveur virtuel linux

routing methods

NAT, Méthodes de routage

routing prerequisites, Configuration des interfaces réseau pour LVS avec NAT

scheduling, job, Aperçu de la programmation LVS

send_arp program, send_arp

shared data, Réplication et partage de données entre les serveurs réels

starting LVS, Démarrage de LVS

synchronizing configuration files, Synchronisation des fichiers de configuration

three-tier

Red Hat Cluster Manager, A Three-Tier LVS Configuration

using LVS with Red Hat Cluster, Utilisation de LVS avec un cluster Red Hat

lvs daemon, lvs

M

multi-port services, Les services multiports et LVS

(voir aussi LVS)

N

nanny daemon, nanny

NAT

enabling, Activation du routage NAT sur les routeurs LVS
routing methods, LVS, Méthodes de routage

network address translation (voir NAT)

P

packet forwarding, Activer la retransmission de paquets

(voir aussi LVS)

Piranha Configuration Tool , Piranha Configuration Tool

CONTROL/MONITORING , CONTROL/MONITORING

EDIT MONITORING SCRIPTS Subsection, EDIT MONITORING SCRIPTS Subsection

GLOBAL SETTINGS , GLOBAL SETTINGS

limiting access to, Limitation de l'accès à l'Piranha Configuration Tool

login panel, Connexion à l'Piranha Configuration Tool

necessary software, Logiciel nécessaire

overview of, Configurer le routeur LVS avec l'Piranha Configuration Tool

REAL SERVER subsection, La sous-section REAL SERVER

REDUNDANCY , REDUNDANCY

setting a password, Définir un mot de passe pour l'Piranha Configuration Tool

VIRTUAL SERVER subsection, La sous-section VIRTUAL SERVER

Firewall Mark , La sous-section VIRTUAL SERVER
Persistence , La sous-section VIRTUAL SERVER
Scheduling , La sous-section VIRTUAL SERVER
Virtual IP Address , La sous-section VIRTUAL SERVER

VIRTUAL SERVERS , VIRTUAL SERVERS

piranha-gui service, Configuration des services sur les routeurs LVS

piranha-passwd , Définir un mot de passe pour l'Piranha Configuration Tool

pulse daemon, pulse

pulse service, Configuration des services sur les routeurs LVS

R

real servers

configuring services, Configuration des services sur les serveurs réels

Red Hat Cluster

and LVS, Utilisation de LVS avec un cluster Red Hat
using LVS with, Utilisation de LVS avec un cluster Red Hat

round robin (voir job scheduling, LVS)

routing

prerequisites for LVS, Configuration des interfaces réseau pour LVS avec NAT

S

scheduling, job (LVS), Aperçu de la programmation LVS

security

Piranha Configuration Tool , Limitation de l'accès à l'Piranha Configuration Tool

send_arp program, send_arp

sshd service, Configuration des services sur les routeurs LVS

synchronizing configuration files, Synchronisation des fichiers de configuration

W

weighted least connections (voir job scheduling, LVS)
weighted round robin (voir job scheduling, LVS)

Note légale

This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

Virtual Server Administration

Linux Virtual Server (LVS) for Red Hat Enterprise Linux

Introduction

1. Feedback

Chapitre 1. Aperçu du serveur virtuel linux

1.1. A Basic LVS Configuration

1.1.1. Réplication et partage de données entre les serveurs réels

1.1.1.1. Configuration des serveurs réels pour synchroniser les données

1.2. A Three-Tier LVS Configuration

1.3. Aperçu de la programmation LVS

1.3.1. Algorithmes de programmation

1.3.2. Programmation et charge des serveurs

1.4. Méthodes de routage

1.4.1. Routage NAT

1.4.2. Routage direct

1.4.2.1. Routage direct et la limitation d'ARP

1.5. La persistance et les marques de pare-feu

1.5.1. Persistance

1.5.2. Marques de pare-feu

1.6. LVS — Un diagramme de blocs

1.6.1. LVS Components

1.6.1.1. pulse

1.6.1.2. lvs

1.6.1.3. ipvsadm

1.6.1.4. nanny

1.6.1.5. /etc/sysconfig/ha/lvs.cf

1.6.1.6. Piranha Configuration Tool

1.6.1.7. send_arp

Chapitre 2. Configuration LVS initiale

2.1. Configuration des services sur les routeurs LVS

2.2. Définir un mot de passe pour l'Piranha Configuration Tool

2.3. Démarrage du service de l'Piranha Configuration Tool

2.3.1. Configuration du port du serveur Web de l'Piranha Configuration Tool

2.4. Limitation de l'accès à l'Piranha Configuration Tool

2.5. Activer la retransmission de paquets

2.6. Configuration des services sur les serveurs réels

Chapitre 3. Paramétrer LVS

3.1. Le réseau LVS NAT

3.1.1. Configuration des interfaces réseau pour LVS avec NAT

3.1.2. Routage sur les serveurs réels

3.1.3. Activation du routage NAT sur les routeurs LVS

3.2. LVS via le routage direct

3.2.1. Routage direct et arptables_jf

3.2.2. Routage direct et iptables

3.3. Assembler la configuration

3.3.1. Astuces générales de mise en réseau LVS

3.4. Les services multiports et LVS

3.4.1. Assignation des marques de pare-feu

3.5. Configuration FTP

3.5.1. Comment fonctionne FTP

3.5.2. Comment cela affecte le routage LVS

3.5.3. Création de règles de filtrage des paquets du réseau

3.5.3.1. Règles pour les connexions actives

3.5.3.2. Règles pour les connexions passives

3.6. Enregistrer les paramètres de filtrage des paquets du réseau

Chapitre 4. Configurer le routeur LVS avec l'Piranha Configuration Tool

4.1. Logiciel nécessaire

4.2. Connexion à l'Piranha Configuration Tool

4.3. CONTROL/MONITORING

4.4. GLOBAL SETTINGS

4.5. REDUNDANCY

4.6. VIRTUAL SERVERS

4.6.1. La sous-section VIRTUAL SERVER

4.6.2. La sous-section REAL SERVER

4.6.3. EDIT MONITORING SCRIPTS Subsection

4.7. Synchronisation des fichiers de configuration

4.7.1. Synchronisation de lvs.cf

4.7.2. Synchronisation de sysctl

4.7.3. Synchronisation des règles de filtrage des paquets du réseau

4.8. Démarrage de LVS

Annexe A. Utilisation de LVS avec un cluster Red Hat

Annexe B. Revision History

Index

Symboles

A

C

D

F

I

J

1.6.1.1. `pulse`

1.6.1.2. `lvs`

1.6.1.3. `ipvsadm`

1.6.1.4. `nanny`

1.6.1.5. `/etc/sysconfig/ha/lvs.cf`

1.6.1.7. `send_arp`

3.2.1. Routage direct et `arptables_jf`

3.2.2. Routage direct et `iptables`

4.7.1. Synchronisation de `lvs.cf`

4.7.2. Synchronisation de `sysctl`