和製クラウドIaaS開発者のブログ

Posts in category ミドルウェア

LVSの構築 Vol3 ~keepalived/iptablesの設定~

2月07
2011 Leave a Comment Written by obt

LVSの冗長構成化までを記載しましたので、今回は各サービスのバランシング設定についてを
記載します。

今回はlvs01, lvs02共に共通設定です。
設定を片方入れ忘れたりすると、Fail Overした際に一部サービスが停止したり、
人為的な運用トラブルを起こします。
設定を共有することもできますが、誤った設定で起動した際に全てのサービスが停止することから、
ミドルウェアにconfig check等の機能がない場合は片系試して設定を同期することを推奨しております。

LVSにhttpサービスを追加

  • /etc/keepalived/keepalived.conf
  • ############################################
# 210.171.134.231:80
#   -> web01, web02
############################################

virtual_server 10.12.0.231 80 {
    delay_loop 6
    lvs_sched lc
    lvs_method NAT
    nat_mask 255.254.0.0
    persistence_timeout 0
    protocol TCP

    real_server 10.10.200.101 80 {
        weight 128
        inhibit_on_failure

        TCP_CHECK {
            connect_port       80
            connect_timeout     5
            nb_get_retry        1
            delay_before_retry  2
        }
    }

    real_server 10.10.200.102 80 {
        weight 128
        inhibit_on_failure

        TCP_CHECK {
            connect_port       80
            connect_timeout     5
            nb_get_retry        1
            delay_before_retry  2
        }
    }
}

今回のサービス死活監視はTCPの80番ポートで通信が可能かどうかのチェックにしていますが、
keepalivedではHTTP_GETなどでHTTPステータスコードが200かどうかなど、細かく制御
可能ですので、どの程度になったら切り離すべきか、サービス要件にあわせて決定します。

個別サーバへのNAT

例えばSSHや、バックエンドアプリケーションなどのサービスを提供する際にバランシングは不要だが、
特定のサーバにアクセスを回したいという場合があります。
そう言った場合にもバランシング設定で1台固有にするというのもありですが、スケールアウトする可能性が
ないのであれば、管理上の面からNATで直接通信をまわしてしまうほうがよいでしょう。

例としてVIPへのSSHアクセスをweb01にまわす設定を記載します。
※ 前回の設定分はあえて記載していませんが、削除するとPrivate Network から外部に接続できませんのでご注意ください。

  • /etc/sysconfig/iptables
  • *nat
# for virtual server
-A PREROUTING -d 10.12.0.231 -p tcp --dport 22 -j DNAT --to 10.10.200.101
COMMIT

keepalived のreload

keepalived をrestartすると、その際にvrrpでの死活監視が失敗して不要なFailOver/FailBackが発生します。 設定を変更する場合はreloadするだけに留めることをお勧めいたします。 冒頭でも述べていますが、reloadする際はスタンバイの片方で変更内容が問題ないか動作確認してから アクティブ側にも反映することを推奨いたします。
  • /etc/init.d/keepalived reload
  • /sbin/ipvsadm -L -n
    • Prot LocalAddress:Port Scheduler Flags
  -> RemoteAddress:Port           Forward Weight ActiveConn InActConn
TCP  10.12.0.231:80 lc
  -> 10.10.200.101:80              Masq    128    0          0
  -> 10.10.200.102:80              Masq    128    0          0

後は実際にアクセスしてみて振り分けされているかどうか確認し、正しく冗長構成が行われているかどうか
じっくり確認します。

Post to Twitter

Posted in 活用法

LVSの構築 Vol2 ~サーバ毎のネットワーク構成~

2月07
2011 Leave a Comment Written by obt

LVSの構築の続きです。

前回はユニットホスティングの管理画面で必要な設定を行いましたので、ここからは
各サーバの設定となります。
下記のように仮のIPを割り振ってみました。
※ 実際に割り振られるIPは状況によって異なりますので、変動する場所については赤字で記述されています。

サンプルネットワーク図

サンプルネットワーク図

LVSを構築する上でのミドルウェアは多くあるのですが、ここではkeepalived での設定を記述させていただきます。

1. ネットワークインターフェースの設定追加

  • lvs01
  • /etc/sysconfig/network-scripts/ifcfg-eth1 に下記を追加
  • DEVICE=eth1
    ONBOOT=yes
    IPADDR=10.10.200.11
    NETMASK=255.255.255.0
  • eth1のifup
  • lvs02
  • /etc/sysconfig/network-scripts/ifcfg-eth1 に下記を追加
  • DEVICE=eth1
    ONBOOT=yes
    IPADDR=10.10.200.12
    NETMASK=255.255.255.0
  • eth1のifup
  • web01
  • /etc/sysconfig/network-scripts/ifcfg-eth0 の下記を編集
  • ONBOOT=yes
    => ONBOOT=no
  • /etc/sysconfig/network-scripts/ifcfg-eth1 に下記を追加
  • DEVICE=eth1
    ONBOOT=yes
    IPADDR=10.10.200.101
    NETMASK=255.255.255.0
    GATEWAY=10.10.200.1
  • eth1のifup, eth0のifdown
  • web02
  • /etc/sysconfig/network-scripts/ifcfg-eth0 の下記を編集
  • ONBOOT=yes
    => ONBOOT=no
  • /etc/sysconfig/network-scripts/ifcfg-eth1 に下記を追加

  • DEVICE=eth1
    ONBOOT=yes
    IPADDR=10.10.200.102
    NETMASK=255.255.255.0
    GATEWAY=10.10.200.1
  • eth1のifup, eth0のifdown
  • db01
  • /etc/sysconfig/network-scripts/ifcfg-eth0 の下記を編集
  • ONBOOT=yes
    => ONBOOT=no
  • /etc/sysconfig/network-scripts/ifcfg-eth1 に下記を追加
  • DEVICE=eth1
    ONBOOT=yes
    IPADDR=10.10.200.201
    NETMASK=255.255.255.0
    GATEWAY=10.10.200.1
  • eth1のifup, eth0のifdown
  • db02
  • /etc/sysconfig/network-scripts/ifcfg-eth0 の下記を編集
  • ONBOOT=yes
    => ONBOOT=no
  • /etc/sysconfig/network-scripts/ifcfg-eth1 に下記を追加
  • DEVICE=eth1
    ONBOOT=yes
    IPADDR=10.10.200.202
    NETMASK=255.255.255.0
    GATEWAY=10.10.200.1
  • eth1のifup, eth0のifdown

これで各サーバのローカルIPの準備が整いました。
この手順で実施しますとWeb, DBサーバへは一時的にSSHで繋がらなくなりますので、
コンソールにて実施ください。

2. keepalived の設定

ここではlvs01, lvs02にkeepalived が既にインストールされている前提で進めます。

  • lvs01
  • ! Configuration File for keepalived
global_defs {
   router_id lvs01
}

vrrp_instance vip_global_gateway {
    state BACKUP
    interface eth0
    garp_master_delay 5
    virtual_router_id 101
    priority 100
    advert_int 1
    virtual_ipaddress {
        10.12.0.231/15 dev eth0
    }
}

vrrp_instance vip_private_gateway {
    state BACKUP
    interface eth1
    garp_master_delay 5
    virtual_router_id 101
    priority 100
    advert_int 1
    virtual_ipaddress {
        10.10.200.1/24 dev eth1
    }
}

vrrp_sync_group {
    group {
        vip_global_gateway
        vip_private_gateway
}
  • lvs02
  • ! Configuration File for keepalived
global_defs {
   router_id lvs02
}

vrrp_instance vip_global_gateway {
    state BACKUP
    interface eth0
    garp_master_delay 5
    virtual_router_id 101
    priority 20
    advert_int 1
    virtual_ipaddress {
        10.12.0.231/15 dev eth0
    }
}

vrrp_instance vip_private_gateway {
    state BACKUP
    interface eth1
    garp_master_delay 5
    virtual_router_id 101
    priority 20
    advert_int 1
    virtual_ipaddress {
        10.10.200.1/24 dev eth1
    }
}

vrrp_sync_group {
    group {
        vip_global_gateway
        vip_private_gateway
}

3. iptablesの設定

lvs01, lvs02共に共通です。

  • NAT設定の追加
  • /etc/sysconfig/iptables の編集
    • *nat
# for virtual server
-A POSTROUTING -s 10.10.200.0/24 -d ! 10.10.200.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.12.0.231
COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -s 10.12.0.0/255.254.0.0 -i eth0 -p vrrp -j ACCEPT
-A RH-Firewall-1-INPUT -s 10.10.200.0/255.255.255.0 -i eth1 -p vrrp -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
  • /etc/sysctl.conf の編集
  • net.ipv4.ip_forward = 1 に変更
  • sysctl -p

これで最後にkeepalived を起動するとVIPのFail Over / Fail Backが行われるLVS冗長構成が出来上がります。

続きを読む

Post to Twitter

Posted in 活用法

LVSの構築 Vol1 ~ユニットホスティングでのサーバ作成~

2月07
2011 1 Comment Written by obt

平素よりユニットホスティングをご利用頂き、誠にありがとうございます。

ユニットホスティングで構築するLVSによる冗長化についてご案内させていただきます。
今回は下記のような例で、Web/DB/LVSの冗長構成を使用します。

LVS サンプル図

LVS サンプル図

必要なサーバは計6台です。

  1. lvs01: インスタントプランC
  2. lvs02: インスタントプランC
  3. web01: インスタントプランC
  4. web02: インスタントプランC
  5. db01: インスタントプランC
  6. db02: インスタントプランC

これらのサーバを作成すると図中のShared Networkの10.12.0.0/15 からIPが払いだされますが、
lvs01, lvs02共にIPが一つしかありませんので死活監視のみでVIPがありません。
そこで、サーバのカスタマイズ、ネットワークインターフェースの項目より”対外共用ネットワーク”をlvs01に追加します。
これで死活監視とサービスに使用するVIPの二つが揃います。

続いて各サーバをPrivate Networkの10.10.*.0/24 のネットワークに結線します。
※ Private Networkは裏側限定の高速かつセキュアのネットワークですが、それらが不要であればこちらは読み飛ばしてください。

先ほどと同様にlvs01のサーバのカスタマイズ、ネットワークインターフェースの項目より”新規プライベートネットワーク”を
追加します。
※ この追加は一回のみで、下記の図をご参考下さい。

プライベートネットワーク プラン

プライベートネットワーク プラン

上記を追加すると、同じプルダウンメニューに追加されたプライベートネットワークが現れます。
lvs01~db02にこちらを追加すると各サーバにeth1が追加されますので、サーバ内でeth1の設定を行ってください。

次回は各サーバの設定に触れたいと思います。
続きを読む

Post to Twitter

Posted in 活用法

About

このブログは和製クラウド型IaaS ユニットホスティング の開発者によるブログです。

株式会社ユニットホスティング

ユニットホスティング

ユニットホスティングは株式会社ディノが開発しています。

株式会社ディノ

Subscribe with livedoor Reader

Add to Google

  • DHCP及びDNSが復旧完了致しました 6 months ago
  • 対外ネットワークは復旧しております。内部通信用ネットワークに関して現在復旧中です。その後お客様のサーバを順次復旧していきます。 6 months ago
  • ネットワークのトラブルにより弊社ホームページも接続しにくい状態です。ご迷惑をおかけ致しまして誠に申し訳ございません。 6 months ago