Je vais donc aller un peu plus loin dans ce concept et tenter de mettre en oeuvre un \u00e9quivalent \u00ab\u00a0open-source\u00a0\u00bb d’un produit commercial.<\/p>\n
Ceux qui d’entre vous travaillent ou ont travaill\u00e9 dans ce genre d’environnement, doivent avoir de fortes chances d’avoir croiser dans les baies des boitiers \u00ab\u00a0Alteons\u00a0\u00bb.<\/p>\n
![\"(merci](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/2009\/01\/alteons-300x225.jpg\" "\\"alteons\\"")
<\/a>(merci \u00e0 Morgan pour les Alt\u00e9ons :-)))<\/p><\/div>\n
Alteon WebSytems est une soci\u00e9t\u00e9 am\u00e9ricaine sp\u00e9cialis\u00e9e dans la haute-disponibilit\u00e9 et rachet\u00e9e par Nortel<\/a> fin 2000.<\/p>\n Les produits s’appellent d\u00e9sormais AS (pour Application Switch) et vous trouverez un comparatif des boiboites ICI<\/a>, mais par facilit\u00e9, le terme \u00ab\u00a0Alteon\u00a0\u00bb est toujours employ\u00e9.<\/p>\n Sachez que chez CISCO \u00e9galement il existe ce genre de solution (ACE).<\/p>\n Je ne rentrerais pas dans les arcanes d’un alt\u00e9on mais en voir rapidement le principe et d’en construire un \u00e9quivalent chez soi.<\/p>\n Globalement, le principe est le suivant :<\/p>\n (source image IBM)<\/p><\/div>\n La configuration se fait sur 4 points principaux donc je vais vous d\u00e9tailler la configuration ci-dessous.<\/p>\n Il s’agit d’une configuration de base pour un loadbalancing en haute-dispo sur 2 serveurs web.<\/p>\n Sp\u00e9cial grand Merci \u00e0 Steven pour son aide sur l’Alteon \ud83d\ude00<\/p>\n 1 – Les serveurs r\u00e9els<\/p>\n Il s’agit des applications \u00e0 \u00ab\u00a0load balancer\u00a0\u00bb.<\/p>\n 2 – Le groupe<\/p>\n On regroupe ensuite les applications \u00e0 \u00ab\u00a0load balancer\u00a0\u00bb au sein d’un m\u00eame groupe. Le groupe comprend les Real Servers ainsi que le \u00ab\u00a0jeu\u00a0\u00bb de test permettant de v\u00e9rifier leur bon \u00e9tat.<\/p>\n 3 – Le virtual server<\/p>\n Un Virtual Server se caract\u00e9rise par son adresse virtuelle (VIP), son port d’\u00e9coute virtuel (service), le groupe de Real server auquel il est associ\u00e9 et les ports d’\u00e9coute des Real Servers<\/p>\n 4 – le virtual router<\/p>\n Le routeur virtuel qui contient la VIP, le groupe, l’interface physique et la priorit\u00e9 par rapport \u00e0 son \u00ab\u00a0voisin\u00a0\u00bb.<\/p>\n Un dessin valant toujours mieux qu’un long discours \ud83d\ude09 , nous allons imaginer l’architecture suivante :<\/p>\n C’est forc\u00e9ment simplifi\u00e9 au maximum mais cela donne une id\u00e9e de ce que nous allons mettre en place.<\/p>\n Avec des \u00ab\u00a0Alt\u00e9ons\u00a0\u00bb, nous aurions donc ce genre de sch\u00e9ma :<\/p>\n Sh\u00e9matisation Alteon<\/p><\/div>\n Le but \u00e9tant de reproduire a peu pr\u00e8s la m\u00eame chose chez soi, il y a un syst\u00e8me d’exploitation qui contient d\u00e9j\u00e0 tout ce qu’il faut pour cela : OpenBSD<\/a>.<\/p>\n Alors, oui, on pourrait faire la m\u00eame chose avec Linux, en se tapant l’installation d’Ucarp<\/a>, Balance<\/a>, LVS<\/a> et\/ou autres joyeuset\u00e9s, mais personnellement, je pr\u00e9f\u00e8re laisser cela a OpenBSD<\/a> qui peut le faire nativement et qui a fait ses preuves en environnement r\u00e9seau critique.<\/p>\n Apr\u00e8s tout, OpenBSD<\/a> est amour, avec du poil autour, et c’est tout.<\/p>\n Reprenons notre sch\u00e9ma et adaptons le \u00e0 une solution bas\u00e9e sur 2 serveurs sous OpenBSD pour remplacer les \u00ab\u00a0Alt\u00e9ons\u00a0\u00bb :<\/p>\n Sch\u00e9matisation OpenBSD<\/p><\/div>\n Ne reste qu’a configurer tout cela \ud83d\ude00<\/p>\n D\u00e9finir une VIP sur nos OpenBSD (une interface CARP sur interface physique ou sur interface VLAN)<\/p>\n Je ne m’attarde pas la dessus, en ayant d\u00e9j\u00e0 parler sur CE BILLET<\/a>.<\/p>\n Petite explication :<\/p>\n On utilise une table \u00ab\u00a0messerveurs\u00a0\u00bb qui contient la liste des serveurs \u00e0 \u00ab\u00a0loadbalancer\u00a0\u00bb. Le d\u00e9mon Hoststated v\u00e9rifie que les serveurs r\u00e9els sont bien vivants en appelant la page status.html sur chacun des serveurs de sa liste. C’est pas beau tout cela ? \ud83d\ude00<\/p>\n La commande # hoststatectl show vous donnera l’\u00e9tat des serveurs et vous pouvez manuellement les sortir ou les remettre dans le pool (# hoststatectl host disable\/enable 192.168.1.x).<\/p>\n Et petit bonus, vous pouvez agir directement sur la couche 7 \ud83d\ude09<\/p>\n Exemple de relais load-balanc\u00e9 HTTPS :<\/p>\n Maintenant que je vous ai titill\u00e9 avec tout cela, je vous invite, outre \u00e0 manger les MAN d’OpenBSD, mais aussi \u00e0 lire cet excellent ouvrage :<\/p>\n The Book of PF Vous le trouverez chez Amazon par exemple : Conclusion<\/strong> :<\/p>\n Loin de moi l’id\u00e9e de vous dire qu’une architecture comme celle-ci sera tout aussi efficace qu’un Switch Applicatif hors de prix, il existe des fonctions sur ces boitiers que l’on peut \u00e9videmment reproduire mais qui demanderons du temps…<\/p>\n Par contre, ce type d’architecture n’a pas a rougir en Production pour load-balancer des applications se pr\u00e9tant \u00e0 ce jeu.<\/p>\n Amusez vous bien \ud83d\ude09<\/p>\n","protected":false},"excerpt":{"rendered":" Dans une infrastructure informatique sensible, la disponiblit\u00e9 des applicatifs est primordiale. Pour r\u00e9pondre \u00e0 cette exigence, les solutions mises en oeuvre se basent donc sur de la haute-disponibilit\u00e9 et de l’\u00e9quilibrage de charge (commun\u00e9ment appel\u00e9 LoadBalancing). J’avais d\u00e9j\u00e0 \u00e9voquer la … Read More ![\"(source](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/2009\/01\/nd3art13-300x155.gif\" "\\"nd3art13\\"")
<\/a>\/cfg\/slb\/real 1\r\nenable\r\nrip aa.bb.cc.dd #l'ip du serveur r\u00e9el 1\r\nretry 2 #nombre d'essai avant de consid\u00e9rer le serveur comme down\r\nrestr 2 #nombre d'essai avant de consid\u00e9rer le serveur comme up\r\ninter 15 #intervalle entre 2 checks en secondes\r\nname lenom\r\n\/cfg\/slb\/real 2\r\nenable\r\nrip aa.bb.cc.ee\r\nretry 2\r\nrestr 2\r\ninter 15\r\nname lenom<\/pre>\n
cfg\/slb\/group 1\r\nhealth http #service concern\u00e9e, ici http mais peut \u00eatre : link|arp|icmp|tcp|http|httphead|dns|pop3|smtp|\r\nnntp|ftp|imap|sslh|radius-auth|radius-acc|radius-aa|script|udpdns|wsp|wtp|wtls|ldap|snmp|tftp|rtsp|sip|wts|dhcp\r\nviphl disable #d\u00e9sactive le check VIP li\u00e9 au DSR (Direct Server Return)\r\ncontent \"\/status.html\" #la page a checker\r\nadd 1 #ajout du serveur r\u00e9el 1 dans le groupe\r\nadd 2 #ajout serveur 2 dans le groupe\r\nname lenomdugroupe<\/pre>\n
\/cfg\/slb\/virt 1\r\nenable\r\nvip 10.1.1.1\r\n\r\n\/cfg\/slb\/virt 1\/service 80\r\ngroup 1\r\nhname lenom\r\nepip ena #on force la s\u00e9lection par egress ou VLAN<\/pre>\n
\/cfg\/l3\/vrrp\/vr 1 (avec le chiffre \u00e9gale au virt associ\u00e9)\r\nena\r\nvrid n # le numero du Virtual Routeur\r\nif 1 # l'interface\r\nprio 99 #la priorit\u00e9 (plus le chiffre est haut plus l'at\u00e9on est prioritaire par rapport a l'alt\u00e9on de backup)\r\naddr 10.1.1.1 #la VIP\r\nshare dis #on d\u00e9sactive l'extension Nortel VRRP<\/pre>\n
\n
![\"Sh\u00e9matisation](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/2009\/01\/schemaalteon-300x217.jpg\" "\\"schemaalteon\\"")
<\/a>![\"Sch\u00e9matisation](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/2009\/01\/schemapuffy-300x234.jpg\" "\\"schemapuffy\\"")
<\/a>\n
\/etc\/sysctl.conf\r\n\r\nnet.inet.carp.preempt=1\r\nnet.inet.carp.allow=1\r\n\r\n#ifconfig carp0 create\r\n\r\n#ifconfig carp0 vhid 1 pass motdepasse carpdev em0 advskew 1 10.0.0.1 netmask 255.255.255.0\r\n\r\nPour un VLAN (exemple):\r\ncat \/etc\/hostname.vlan3\r\ninet 10.0.0.3 255.255.255.0 vlan 3 vlandev em0\r\n\r\ncat \/etc\/hosname.carp0\r\ninet 10.0.0.1 255.255.255.0 10.0.0.255 vhid 1 carpdev vlan3 advskew 1 pass motdepasse<\/pre>\n
\n
ifconfig pfsync0 syncpeer \"ip openbsd en face\" syncdev em1\r\nifconfig pfsync0 up<\/pre>\n
\n
\/etc\/pf.conf\r\n\r\nrdr-anchor \"hostatetd\/*\"\r\n\r\ntable persist { 192.168.1.1, 192.168.1.2 }\r\n\r\nrdr on $carp0 from any to $ipcarp port 80 -> round-robin sticky-address\r\n\r\n# la variable sticky-address signifie que PF maintient la session du client sur le m\u00eame serveur\r\n\r\n\/etc\/hoststated.conf\r\n\r\nreal1=\"192.168.1.1\"\r\nreal2=\"192.168.1.2\"\r\nvip=\"10.0.0.1\" # VIP CARP\r\n\r\ninterval 5 #on v\u00e9rifie l'\u00e9tat des serveurs toutes les 5 secondes\r\n\r\ntable messerveurs {\r\ncheck http \"\/status.html\" code 200\r\ntimeout 300\r\nreal port 80\r\nhost $real1\r\nhost $real2\r\n}\r\n\r\nservice www {\r\nvirtuel ip $vip port 80\r\ntable messerveurs\r\n}<\/pre>\n
\nPF redirige les requ\u00e8tes entrantes sur la VIP (10.0.0.1) alternativement (round-robin) et maintient la session du client sur le m\u00eame serveur (sticky-address).
\nBien \u00e9videmment, tout cela est optionnel et \u00e0 vous d’adapter selon vos applis (man pf \ud83d\ude09 ).<\/p>\n
\nEn cas de non r\u00e9ponse (code retour http diff\u00e9rent de 200), il consid\u00e9rera le serveur comme down et le retirera de la table \u00ab\u00a0messerveurs\u00a0\u00bb.<\/p>\nprotocol monchteuteupeucrypte {\r\nprotocol http\r\nheader append \"$REMOTE_ADDR\" to \"X-Forwarder-For\"\r\nheader append \"$SERVER_ADDR:$SERVER_PORT\" to \"X-Forwarder-By\"\r\nheader change \"Keep-Alive\" to \"$TIMEOUT\"\r\nurl hash \"sessid\"\r\ncookie hash \"sessid\"\r\npath filter \"*command=*\" from \"\/cgi-bin\/index.cgi\"\r\n\r\nssl { sslv2, ciphers \"MEDIUM:HIGH\" }\r\ntcp { nodelay, sack, socket buffer 65536, backlog 128 }\r\n}\r\n\r\nrelay wwwssl {\r\nlisten on $vip port 443 ssl\r\nprotocol monchteuteupeucrypte\r\ntable messerveurs loadbalance\r\n}<\/pre>\n
\nA No-Nonsense Guide to the OpenBSD Firewall
\nPar Peter N.M. Hansteen<\/p>\n
\n http:\/\/www.amazon.fr\/Book-PF-No-nonsense-Guide-Firewall\/dp\/1593271654<\/a><\/p>\n