WIKI sur Linux (ADB)

« LINUX:Loadbalancing - Router de répartition (masq) » : différence entre les versions

← Modification précédente
m Adebast a déplacé la page LINUX:Loadbalancing - Router de répartition vers LINUX:Loadbalancing - Router de répartition (masq) sans laisser de redirection
Aucun résumé des modifications
 
(5 versions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
----
----
''→ [[LINUX:Pacemaker - Serveurs en Loadbalancing|retour aux Serveurs en Loadbalancing]]''
''→ [[LINUX:Pacemaker - Serveurs en Loadbalancing (masq)|retour aux Serveurs en Loadbalancing (masq)]]''
----
----
=But=
=But=
Ce router aura pour tâche de rediriger et de répartir les requêtes venant des clients en fonction des disponibilités des serveurs du cluster.  
Ce router aura pour tâche de rediriger et de répartir les requêtes venant des clients en fonction des disponibilités des serveurs du cluster.  


Nous allons utiliser une fonctionnalité de Linux, le LVS ou Linux Virtual Server. l'outil Ldirectord va nous y aider.
Nous allons utiliser une fonctionnalité de Linux, le LVS ou Linux Virtual Server. L'outil Ldirectord va nous y aider. Nous avons vu sont installation dans l'article sur [[LINUX:Ldirectord|Ldirectord]].




Ligne 25 : Ligne 25 :
On active cette configuration soit en redémarrant la machine, soit avec la commande suivante:
On active cette configuration soit en redémarrant la machine, soit avec la commande suivante:
  sysctl -p /etc/sysctl.d/router.conf
  sysctl -p /etc/sysctl.d/router.conf
=Installation=
Nous allons utiliser l'outil Ldirectord qu'il faut installer:
dnf install ldirectord
Par la même occasion, il installe toute une série de modules Perl en tant que dépendances:
dnf install perl-WWW-RobotRules
dnf install perl-Try-Tiny
dnf install perl-Tie
dnf install perl-Text-Balanced
dnf install perl-Parse-RecDescent
dnf install perl-Net-IMAP-Simple
dnf install perl-Net-IMAP-Simple-SSL
dnf install perl-Socket6
dnf install perl-IO-Socket-INET6
dnf install perl-Net-SMTP-SSL
dnf install perl-MailTools
dnf install perl-Net-HTTP
dnf install perl-HTTP-Negotiate
dnf install perl-HTTP-Cookies
dnf install perl-Digest-SHA
dnf install perl-Digest-HMAC
dnf install perl-NTLM
dnf install perl-Data-Dump
dnf install perl-libwww-perl
dnf install perl-Socket-GetAddrInfo
Il installe également le paquet suivant que nous utiliserons pour visualiser l'état du système:
dnf install ipvsadm
Par contre, tout un ensemble de paquets Perl ne sont pas installés mais sont nécessaires:
dnf install perl-Sys-Hostname
dnf install perl-Sys-Syslog
dnf install perl-Net-Ping
dnf install perl-LWP-Protocol-https
dnf install perl-Mail-POP3Client
dnf install perl-Mail-IMAPClient
dnf install perl-Net-INET6Glue
dnf install perl-LDAP
dnf install perl-Authen-Radius
dnf install perl-Net-DNS




Ligne 77 : Ligne 37 :
  pcs constraint colocation add ClusterLdirectord  with    ClusterIPint score=INFINITY
  pcs constraint colocation add ClusterLdirectord  with    ClusterIPint score=INFINITY
  pcs constraint order ClusterIPint then start ClusterLdirectord
  pcs constraint order ClusterIPint then start ClusterLdirectord
=Modification de la source=
Le programme Ldirectord est installé dans le fichier "/usr/sbin/ldirectord". Il teste tout un ensemble de services. Les protocoles que l'on veut tester sur nos serveurs du cluster sont: HTTP, HTTPS, SMTP, SUBMISSION, SMTPS, POP, POPS, IMAP et IMAPS. Parmi ceux-ci, seul le protocole SMTPS n'est pas repris. Soit on crée un script externe qui fera ce travail, soit on ajoute au programme cette fonctionnalité.
Nous avons choisi la seconde solution.
La version actuelle pour Fedora 37 est "4.11.0-2". Il faut garder à l'esprit qu'une mise à jour entrainera un écrasement de nos modifications; il faut garder de côté notre nouvelle version et tenir à l'oeil toute mise à jour de ce paquet Ldirectord.
Le fichier suivant contient un patch à appliquer sur le fichier "ldirectord":
[[Media:LINUX:Ldirectord.patch.zip|Télécharger le fichier ZIP]]
On doit décompresser ce fichier téléchargé:
unzip Ldirectord.patch.zip
Il faut avoir installé l'utilitaire "patch":
dnf install patch
Pour appliquer ce patch, copiez le fichier "/usr/sbin/ldirectord" dans le même répertoire que le fichier "ldirectord.patch" que vous venez de décompresser puis exécutez la commande:
patch < ldirectord.patch
Le fichier local "ldirectord" sera mis à jour; il suffit de le recopier dans le répertoire "/usr/sbin".
Le fichier suivant contient le fichier "ldirectord" modifié:
[[Media:LINUX:Ldirectord.zip|Télécharger le fichier ZIP]]
On doit décompresser ce fichier téléchargé:
unzip Ldirectord.zip
Le fichier résultant est à placer dans le répertoire "/usr/sbin".
Voici une liste des modification:
*La pièce principale consiste à ajouter une fonction: "check_smtps" et ensuite il faut ajouter le nécessaire pour y faire référence et initialiser quelques mots clés et n° de protocole.
----
sub check_smtps
{
        require Net::SMTP;
        require Net::SMTP::SSL;
        my ($v, $r) = @_;
        my $port = ld_checkport($v, $r);
        &ld_debug(2, "Checking $$v{service}: server=$$r{server} port=$port");
        my $smtp = new Net::SMTP::SSL($$r{server}, Port => $port,
                        Timeout => $$v{negotiatetimeout});
        if ($smtp) {
                $smtp->quit;
                service_set($v, $r, "up", {do_log => 1});
                return $SERVICE_UP;
        } else {
                service_set($v, $r, "down", {do_log => 1});
                return $SERVICE_DOWN;
        }
}
----
* Ajouter les mots en gras en fin de la ligne 462:
----
B<service = >B<dns> | B<ftp> | B<http> | B<https> | B<http_proxy> | B<imap> | B<imaps> | B<ldap> | B<ldaps> | B<mysql> | B<nntp> | B<none> | B<oracle> | B<pgsql> | B<pop> | B<pops> | B<radius> | B<simpletcp> | B<sip> | B<smtp> | B<submission>''' | B<smtps> | B<submissions>'''
----
* Ajouter ces lignes en ligne 495:
----
=item * Virtual server port is 465: smtps, submissions
&nbsp;
----
* Ajouter ces lignes en ligne 1563:
----
                                                          $1 eq "smtps" ||
                                                          $1 eq "submissions"  ||
----
* Ajouter cette ligne en ligne 1578:
----
                                                              "submissions, smtps "    .
----
* Ajouter cette ligne en ligne 1873:
----
        if ($port eq 465)      { return "smtps"; }
----
* Ajouter cette ligne en ligne 1897:
----
        if ($service eq "smtps")        { return 465; }
----
* Ajouter cette ligne en ligne 1905:
----
        if ($service eq "submissions")  { return 587; }
----
* Ajouter ces lignes en ligne 2883:
----
                } elsif ($$v{service} eq "smtps" or $$v{service} eq "submissions") {
                        $$r{num_connects} = 0 if (check_smtps($v, $r) == $SERVICE_UP);
----




Ligne 284 : Ligne 158 :
Ensuite viennent divers blocs, un par protocol analysé:
Ensuite viennent divers blocs, un par protocol analysé:
* '''virtual''' : chaque bloc débute par ce mot; il est suivi de l'adresse IP virtuelle utilisée par le client qui fait sa requête suivie du port du protocol utilisé par le client. Cette adresse correspond au nom de machine du router "cluster.home.dom" et à l'adresse IP du router "192.168.1.73".
* '''virtual''' : chaque bloc débute par ce mot; il est suivi de l'adresse IP virtuelle utilisée par le client qui fait sa requête suivie du port du protocol utilisé par le client. Cette adresse correspond au nom de machine du router "cluster.home.dom" et à l'adresse IP du router "192.168.1.73".
* '''real''' : est présent plusieurs fois, une ligne par serveur qui procure ce service. Dans notre cas, nous avons deux serveurs dans le cluster. Le premier paramètre est l'adresse IP réelle du serveur suivie par le n° du port de ce service sur ce serveur. Elle est suvie du type de redirection; nous utilisons le type "'''mask'''" ou "masquerading" qui est le plus simple et qui correspond à notre schéma. Enfin on attribue un poids pour la sélection; par exemple, pour le protocole HTTP (port 80), la machine "fo1.home.dom" ("192.168.3.71") recevra 100 fois moins de requêtes que la machine "fo2.home.dom" ("192.168.3.72").
* '''real''' : est présent plusieurs fois, une ligne par serveur qui procure ce service. Dans notre cas, nous avons deux serveurs dans le cluster. Le premier paramètre est l'adresse IP réelle du serveur suivie par le n° du port de ce service sur ce serveur. Elle est suvie du type de redirection; nous utilisons le type "'''masq'''" ou "masquerading" qui est le plus simple et qui correspond à notre schéma. Enfin on attribue un poids pour la sélection; par exemple, pour le protocole HTTP (port 80), la machine "fo1.home.dom" ("192.168.3.71") recevra 100 fois moins de requêtes que la machine "fo2.home.dom" ("192.168.3.72").
* '''checktype''' : définit le type de traitement; nous utilisons le type "negotiate"; ce type va utiliser les routines de vérification incluses dans le programme. On peut utiliser le type "external" qui va utiliser un script externe créé par vous-même pour faire la vérification du bon fonctionnement du service sur la machine désignée.
* '''checktype''' : définit le type de traitement; nous utilisons le type "negotiate"; ce type va utiliser les routines de vérification incluses dans le programme. On peut utiliser le type "external" qui va utiliser un script externe créé par vous-même pour faire la vérification du bon fonctionnement du service sur la machine désignée.
* '''service''' : dans cas de "checktype=negotiate", il définit la routine interne qui sera utilisée.
* '''service''' : dans cas de "checktype=negotiate", il définit la routine interne qui sera utilisée.
Ligne 298 : Ligne 172 :
** '''login''' : fournit le nom d'utilisateur de messagerie pour effectuer une connexion au compte; c'est pour cette raison que nous avons créé le le compte "testmail" dans de l'article précédent.
** '''login''' : fournit le nom d'utilisateur de messagerie pour effectuer une connexion au compte; c'est pour cette raison que nous avons créé le le compte "testmail" dans de l'article précédent.
** '''passwd''' : fournit le mot de passe associé.
** '''passwd''' : fournit le mot de passe associé.
=Problème=
Si vous rencontrez un problème avec un protocole donné, j'utilise cette méthode:
* arrêtez le service "ldirectord.service"
* dans le fichier "/etc/ha.d/ldirectord.cf", isolez le bloc concernant ce protocole et les options générales dans un autre fichier (exemple: "/etc/ha.d/test.cf")
* lancez interactivement Ldirectord en mode debugger
ldirectord -d -- /etc/ha.d/test.cf start
* après quelques secondes, quand il a fait son premier cycle de vérifications, arrêtez-le ("^C")
* analysez la sortie
Dans plusieurs cas, une fonction Perl n'était pas installée; il ne la trouve pas.
Par exemple, le message suivant:
Can't locate Authen/Radius.pm in @INC (you may need to install the Authen::Radius module)
signale que le module Authen/Radius.pm n'est pas trouvé; on l'installe:
dnf install perl-Authen-Radius




=SSL=
=SSL=
Quatre services utilisent le cryptage SSL et les certificats associés: HTTPS, SMTPS, POPS et IMAPS. Pour valiser ces connexions, Ldirectotd doit aussi valider leurs certificats.
Quatre services utilisent le cryptage SSL et les certificats associés: HTTPS, SMTPS, POPS et IMAPS. Pour valiser ces connexions, Ldirectord doit aussi valider leurs certificats.


Mais les certificats utilisés n'ont pas été validés par une authorité de certification officielle (CA). Il nous faut l'intégrer à la liste officielle du router comme expliqué dans l'article sur les [[LINUX:Cryptage sous Linux|Certificats sous Linux]].
Mais les certificats utilisés n'ont pas été validés par une authorité de certification officielle (CA). Il nous faut l'intégrer à la liste officielle du router comme expliqué dans l'article sur les [[LINUX:Cryptage sous Linux|Certificats sous Linux]].
Ligne 382 : Ligne 240 :




Du côté de la messagerie, Le serveur est "cluster.home.dom". Par exemple pour l'utilisateur "pdupont", l'adresse mail est "pdupont@failover.dom" et le nom de compte est "pdupont" accoumpagné du mot de passe Linux associé. Le reste est classique.
Du côté de la messagerie, Le serveur est "cluster.home.dom". Par exemple pour l'utilisateur "pdupont", l'adresse mail est "pdupont@failover.dom" et le nom de compte est "pdupont" accompagné du mot de passe Linux associé. Le reste est classique.




Ligne 393 : Ligne 251 :


----
----
''&rarr; [[LINUX:Pacemaker - Serveurs en Loadbalancing|retour aux Serveurs en Loadbalancing]]''
''&rarr; [[LINUX:Pacemaker - Serveurs en Loadbalancing (masq)|retour aux Serveurs en Loadbalancing (masq)]]''
----
----
__NOEDITSECTION__
__NOEDITSECTION__
[[Category:LINUX]]
[[Category:LINUX]]
Récupérée de "https://www.adbweb.gslb.eu/wiki/index.php?title=LINUX:Loadbalancing_-_Router_de_répartition_(masq)"