• Linux/FreeBSD. Уровень 3. Создание отказоустойчивых кластерных решений

Научиться настраивать отказоустойчивую конфигурацию сервисов Linux.

• Сравнение кластера надежности и "обычного" сервера
• Отказоустойчивый кластер
• Вероятность безотказной работы

• Адаптер 1 - eth0 - Внутренняя сеть (LAN)
• Адаптер 2 - eth1 - Сетевой мост (ISP1)
• Адаптер 3 - eth2 - Сетевой мост (класс)
• Адаптер 4 - eth3 - Сетевой мост (ISP2)
• Добавить жесткий диск 2Gb

nodeN# cat /etc/hostname

nodeN.corpX.un

nodeN# cat /etc/hosts

127.0.0.1               localhost

192.168.X.1             node1.corpX.un node1
192.168.X.2             node2.corpX.un node2

10.5.7.254              proxy

nodeN# cat /etc/resolv.conf

search corpX.un
nameserver 192.168.X.1
nameserver 192.168.X.2

nodeN# cat /etc/network/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 192.168.X.N
        netmask 255.255.255.0

auto eth1
iface eth1 inet manual
        up ip link set eth1 up

auto eth2
iface eth2 inet static
        address 10.5.7.N*100+X
        netmask 255.255.255.0

auto eth3
iface eth3 inet manual
        up ip link set eth3 up

nodeN# cat /etc/sysctl.conf

...
net.ipv4.ip_forward=1
...

nodeN# cat .bashrc

...
export http_proxy=http://proxy:3128/
...

nodeN# init 6

...

nodeN# apt update

nodeN# ping node1

nodeN# ping node2

nodeN# ping proxy

1. НА кластер используется для повышения …
2. НP кластер используется для повышения …
3. Вероятность безотказной работы группы объектов равна …

• csync2 или как облегчить работу с кластером
• Ansible

• Настройка доступа по протоколу ssh пользователя root с node1 на node2 (Разрешение доступа пользователя root на основании адреса клиента)
• Настройка безпарольного доступа пользователя root с node1 на node2 (Аутентификация с использованием ключей ssh)

node1# ssh-keygen
...
Enter passphrase (empty for no passphrase): Пароль на ключ пустой!!!
...

node1# ssh-copy-id node2

Проверка:

node1# scp /etc/hosts node2:/etc/

Сценарий: настроить DNS на node1, на node2 конфигурация появится автоматически

• Финальная настройка DNS сервера
• Устанавливаем и ЗАПУСКАЕМ на двух узлаx, настраиваем на node1

node1# sh dns.sh

node1# cat /etc/bind/corpX.un

$TTL      3h
@         SOA     ns root.ns  1 1d 12h 1w 3h
          NS      ns

ns        A       192.168.X.1
ns        A       192.168.X.2
node1     A       192.168.X.1
node2     A       192.168.X.2
gate      A       192.168.X.254

node2# apt install bind9

• Локализация временной зоны
• Пакет CSYNC2

node1# csync2 -xvv

node1# host node1

node1# host node2

node1# host ns

Сценарий: на обоих узлах создаем пользователя user1 с uid=10001

Примечание: выполнить в 5-м модуле

• Сервис Ansible

1. Команда ssh-copy-id копирует …
2. Где располагается файл с публичными ключами пользователей ssh?
3. На каком узле будет сохранен файл в результате выполнения команды ssh node2 iptables-save > /etc/iptables.rules
4. Что определяет параметр конфигурации auto younger в пакете csync2
5. Перечислите известные Вам варианты тиражирования файлов конфигурации в кластере?

• Кластеры Communigate Pro
• man dhcpd.conf (Dhcp Failover)

• Установка cервиса DHCP

nodeN# sh dhcp.sh

• Отказоустойчивая конфигурация cервиса DHCP
• Проверка конфигурации и запуск cервиса DHCP
• Мониторинг выданных адресов cервиса DHCP

Примечания:

• В качестве шлюза указан не существующий ip адрес 192.168.X.254, он будет назначаться в следующей лабораторной работе.
• В первый момент необходимо запустить оба сервера чтобы они синхронизировались.

• Добавляем в стенд Windows client1, останавливаем по очереди узлы, перезагружаем client1. Должен выдаваться один и тот же адрес (можно отключать интерфейс Windows, ipconfig /renew не использовать)

# ntpdate -u proxy

# grep dhcp /var/log/syslog

1. Есть ли необходимость в использовании дополнительного ПО для реализации отказоустойчивой конфигурации пакета isc-dhcp?
2. Сколько узлов может быть в отказоустойчивой конфигурации isc-dhcp?
3. Какие условия необходимы на начальном этапе развертывания отказоустойчивой конфигурации isc-dhcp?
4. Какие преимущества отказоустойчивой конфигурации isc-dhcp перед двумя независимыми dhcp серверами?

• CARP
• Iproute2

• Протокол CARP

C:\>ping gate

Сценарий:

• Настроить NAT трансляцию для сети 192.168.X/24 в реальный адрес ISP (Сервис NAT)
• Модифицировать скрипты up и down с целью назначения/удаления реального адреса ISP на внешнем интерфейсе и указания маршрута по умолчанию через провайдера для мастер узла и через мастер узел для резервного.

nodeN# apt install fake

nodeN# cat /usr/share/ucarp/vip-up

#!/bin/sh

/sbin/ifup $1:ucarp

ip addr add 172.16.1.X/24 dev eth1
send_arp 172.16.1.X `cat /sys/class/net/eth1/address` 172.16.1.254 ff:ff:ff:ff:ff:ff eth1
route delete default
route add default gw 172.16.1.254

nodeN# cat /usr/share/ucarp/vip-down

#!/bin/sh

/sbin/ifdown $1:ucarp

ip addr del 172.16.1.X/24 dev eth1
route add default gw 192.168.X.254

masternode# killall -USR2 ucarp
или
masternode# init 6

• eth3 isp2 bridge to nic 172.16.2/24

root@nodeN:~# cat /etc/network/interfaces

...
auto eth3
iface eth3 inet manual
        up ip link set eth3 up

# cat named.conf

...
        forwarders {
                172.16.1.254;
                172.16.2.254;
        };
...

nodeN# cat /usr/share/ucarp/vip-up

#!/bin/sh
...
ip addr add 172.16.2.X/24 dev eth3
send_arp 172.16.2.X `cat /sys/class/net/eth3/address` 172.16.2.254 ff:ff:ff:ff:ff:ff eth3
...
route delete default
#route add default gw 172.16.1.254

nodeN# cat /usr/share/ucarp/vip-down

...
ip addr del 172.16.2.X/24 dev eth3
...

masternode# killall -USR2 ucarp
...
masternode# grep carp /var/log/syslog

masternode# ip a | grep 172.16.2

• Настройка сети в Linux

masternode# ping 172.16.2.254

masternode# ip route add default via 172.16.2.254

masternode# ping ya.ru

masternode# ip route delete default

Сценарий:

• Всем настроить NAT на два ISP (Использование iproute2 для управления выбором ISP), iptables-restore можно «привязать» к интерфейсу eth0
• Преподавателю продемонстрировать PBR в «ручном» режиме (NetFilter iproute2 (Linux))

nodeN# cat /usr/share/ucarp/vip-up

...
ip route add default via 172.16.1.254 table 101
ip route add default via 172.16.2.254 table 102

masternode# killall -USR2 ucarp
...
masternode# grep carp /var/log/syslog

masternode# ip route show table all | grep 'table 10[12]'

# cat set_isp.sh

#!/bin/sh

case $1 in
        ISP1)
                ip rule del from 192.168.X/24 to 192.168.X/24 table main
                while ip rule del from any table 101;do true;done
                while ip rule del from any table 102;do true;done

                ip rule add from 192.168.X.0/24 table 101
                ip rule add from 192.168.X/24 to 192.168.X/24 table main

                /sbin/ip route flush cache
                /usr/sbin/conntrack -F
        ;;
        ISP2)
                ip rule del from 192.168.X/24 to 192.168.X/24 table main
                while ip rule del from any table 101;do true;done
                while ip rule del from any table 102;do true;done

                ip rule add from 192.168.X.0/24 table 102
                ip rule add from 192.168.X/24 to 192.168.X/24 table main

                /sbin/ip route flush cache
                /usr/sbin/conntrack -F
        ;;
        ISP1ISP2)
                ip rule del from 192.168.X/24 to 192.168.X/24 table main
                while ip rule del from any table 101;do true;done
                while ip rule del from any table 102;do true;done

                ip rule add from 192.168.X.0/25 table 101
                ip rule add from 192.168.X.128/25 table 102
                ip rule add from 192.168.X/24 to 192.168.X/24 table main

                /sbin/ip route flush cache
                /usr/sbin/conntrack -F
        ;;
esac

nodeN# chmod +x set_isp.sh

masternode# grep carp /var/log/syslog

masternode# /root/set_isp.sh ISP1ISP2

backupnode# traceroute -n ya.ru

C:\Users\student>tracert ya.ru

nodeN# cat select_isp.sh

#!/bin/sh

export PATH=/bin:/sbin:/usr/bin:/usr/sbin:$PATH

ifconfig | grep -q 192.168.X.254 || exit 0

route delete default

ISP=''

route add default gw 172.16.1.254 || exit 0

ping -c3 ya.ru && ISP=ISP1

route delete default

route add default gw 172.16.2.254

ping -c3 ya.ru && ISP=${ISP}ISP2

route delete default

echo $ISP
#exit 0

touch /tmp/current_isp
test $ISP = "`cat /tmp/current_isp`" && exit 0

echo $ISP > /tmp/current_isp

/root/set_isp.sh $ISP

nodeN# chmod +x select_isp.sh

masternode# /root/select_isp.sh

nodeN# crontab -l

* * * * * /root/select_isp.sh >/dev/null 2>&1

master_node# ip route show table 101

master_node# ip route show table 102

master_node# ip rule show

1. Перечислите протоколы отказоустойчивого шлюза.
2. Для какой операционной системы впервые появилась реализация протокола CARP?
3. Какая утилита из набора iproute2 позволяет назначить/удалить IP адрес на интерфейсе?
4. В чем отличие поведения мастер хоста от других в протоколе CARP?
5. Поддерживает ли протокол CARP отказоустойчивость соединений?
6. Поддерживает ли протокол CARP балансировку нагрузки?
7. Что такое ucarp?
8. В каком пакете в Debian содержатся современные сетевые утилиты, пришедшие на смену классическим UNIX утилитам ifconfig, route, arp, netstat?
9. Какая утилита из набора iproute2 заменяет команду arp?
10. В какой пакет входит утилита send_arp в Debian, для чего нужна и какой вид трафика использует?
11. Какой командой можно очистить таблицу ARP в Linux?
12. В чем принцип работы механизма PBR?
13. Можно ли балансировать трафик одного соединения между двумя ISP при использовании NAT?
14. Необходим ли маршрут «по умолчанию» на шлюзе для прохождения пользовательского трафика?
15. Согласно какой таблице маршрутизации в Linux обрабатывается пакет, если для него нет правила, определяющего обработку в конкретной таблице?
16. Что следует сделать с текущими активными соединениями после изменения правил PBR?

• Pacemaker, Heartbeat, Corosync, WTF?
• linux-ha Haresources
• Corosync vs Pacemaker: wrong usage of "Corosync"

Сценарий: отказоустойчивый www хостинг

• Содержимое домашних каталогов мастер сервера периодически копируется на резервный.
• В случае временной остановки или выхода из строя главного сервера автоматически становится доступным резервный.
• Не преднамеренный запуск мастер сервера не должен менять ролей серверов.

• В зону corpX.un добавляем запись www A 192.168.X.10

node1# cat corpX.un

...
www     A       192.168.X.10

node1# csync2 -xvv

• На обоих узлах Установка и запуск сервера Apache (можно через Ansible)
• На обоих узлах создаем пользователя user1 с uid=10001 (Управление учетными записями в Linux, Управление учетными записями в FreeBSD) (можно через Ansible)
• На обоих узлах включаем Использование домашних каталогов (можно через Ansible)
• Сервис Ansible
• Устанавливаем сервер ftp на node1 и запускаем его (Сервер ftp)
• Создаем тестовую www страницу для пользователя user1 используя протокол ftp на node1

• Пакет RSYNC
• Можно автоматизировать, (Планирование выполнения заданий в Linux), но, пока не нужно.

• Устанавливаем ftp сервис на node2 (Сервер ftp)
• На обоих узлах отключаем автоматический запуск ftp сервиса (Управление сервисами в Linux)

nodeN# service proftpd stop

nodeN# update-rc.d -f proftpd remove
или
nodeN# systemctl disable proftpd

• Представим, что узлы соединены кросс кабелем через eth2 интерфейсы

• Пакет HEARTBEAT (Демонстрирует преподаватель в методических целях)
• Пакет Corosync
• Пакет Pacemaker

• Настроить автоматическую синхронизацию домашних каталогов с мастер узла на резервный

nodeN# crontab -l

...
* * * * * ps ax | grep -v grep | grep -q 'proftpd: (accepting connections)' && /usr/bin/rsync -az --delete /home/ nodeM:/home/

1. В чем преимущество использования rsync по сравнению с scp?
2. Что определяют разделители : и :: в команде rsync?
3. Реализацией какой части классического пакета heartbeat является пакет pacemaker?
4. Какие задачи классического пакета heartbeat НЕ решает пакет corosync?
5. В каком формате хранятся файлы конфигурации пакета corosync?
6. В каком формате хранятся файлы конфигурации пакета pacemaker?
7. По какой причине не следует редактировать файлы конфигурации пакета pacemaker в текстовом редакторе?
8. Для чего используется утилита crm должна ли она быть установлена на все узлы кластера?
9. Для чего используется утилита crm_mon и есть ли она на всех узлах кластера?
10. Что надо настроить в пакете pacemaker, что бы все части, из которых состоит ресурс, запускались на одном узле кластера?
11. Какой тип трафика может использоваться для связи узлов кластера corosync?
12. Что нужно сделать для сервисов, управляемых менеджером кластера?

• Distributed Replicated Block Device

Сценарий: Создаем отказоустойчивый корпоративный файловый сервер. Первый узел кластера должен использоваться сервером по умолчанию.

• Подключаем к обоим узлам по дополнительному диску (2Gb)
• Решение DRBD

• DRBD и Pacemaker

• Определяем, на каком узле смонтирован зеркалируемый раздел
• Устанавливаем на оба узла пакет iSCSI target
• Отключаем авто запуск сервиса
• Останавливаем группу ресурсов кластера и удаляем ee Управление ресурсами

nodeN# systemctl disable istgt

node1# crm configure

crm(live)configure# primitive pr_istgt lsb:istgt

crm(live)configure# primitive pr_ip ocf:heartbeat:IPaddr2 params ip=192.168.X.15 cidr_netmask=32 nic=eth0

crm(live)configure# group gr_ip_fs pr_ip pr_fs_r0 pr_istgt

crm(live)configure# commit

• Настраиваем iSCSI initiator для Windows

• Устанавливаем на оба узла пакет samba (Файловый сервер SAMBA)
• Отключаем автоматический запуск сервиса

root@nodeN:~# service smbd stop
root@nodeN:~# service nmbd stop

root@nodeN:~# systemctl disable smbd
root@nodeN:~# systemctl disable nmbd

• Настраиваем на МАСТЕР узле Публичный каталог доступный на запись в каталоге /disk2/samba
• Копируем на BACKUP узел файл конфигурации samba
• Настраиваем менеджер кластера на монтирование на мастер узле зеркалируемого раздела в каталог /disk2, назначение ip адреса 192.168.X.20 и запуск сервера samba
• Останавливаем группу ресурсов кластера и удаляем ее Управление ресурсами

crm(live)configure# primitive pr_smbd systemd:smbd

crm(live)configure# edit gr_ip_fs

crm(live)configure# commit

master# cat /proc/drbd

• Останавливаем MASTER сервер и дожидаемся монтирования на SLAVE узле «половины» зеркалируемого раздела в каталог /disk2, назначение ip адреса 192.168.X.20 и запуск сервера samba
• Запускаем бывший MASTER узел и дожидаемся восстановления целостности зеркала

1. Какое решение можно использовать для блочной синхронизации дисковых устройств по сети?
2. При каком условии можно монтировать распределенное блочное хранилище на запись сразу на нескольких, содержащих его узлах?
3. Что определяет параметр wfc-timeout в пакете DRBD?
4. В каком состоянии будет DRBD RAID1 если узлы, входящие в него, в разное время поработали, независимо друг от друга, с разделом, в течение времени превышающем wfc-timeout?
5. Чем отличаются системы NAS и SAN
6. В чем фундаментальное отличие протоколов CIFS и iSCSI?

• Linux Containers
• HA Cluster with Linux Containers based on Heartbeat, Pacemaker, DRBD and LXC

• Отключение всех сервисов (особенно, ip, привязанного к eth), кроме зеркалируемого раздела Управление ресурсами

node1# crm resource stop pr_ip pr_istgt pr_smbd

node1# crm configure delete pr_ip pr_istgt pr_smbd gr_ip_fs

• Подготовка сети для LXC
• Сервис CARP и bridge

nodeN# cat /etc/network/interfaces

...
auto br0
iface br0 inet static
        address 192.168.X.N
        netmask 255.255.255.0
        
        ucarp-vid 1
        ucarp-vip 192.168.X.254
        ucarp-password secret
        
        bridge_ports eth0

iface br0:ucarp inet static
        address 192.168.X.254
        netmask 255.255.255.255
...

• Сервис DHCP и bridge

nodeN# cat /etc/default/isc-dhcp-server

...
INTERFACES="br0"

nodeN# init 0

• Для режима bridge в lxc понадобиться включить «неразборчивый режим» первом адаптере обеих виртуальных машин
• Проверки после запуска

nodeN# ps ax | grep carp
nodeN# ifconfig | grep carp

nodeN# ps ax | grep dh

nodeN# ps ax | grep he
nodeN# mount | grep ext

• Установка и настройка lxc на обоих узлах
• Готовимся все, относящееся к виртуальным системам, хранить на зеркалируемом разделе

root@nodeN:~# rmdir /var/lib/lxc/

root@nodeN:~# ln -s /disk2/var/lib/lxc/ /var/lib/lxc

• Создание ветки дочерней системы

root@node1.corpX.un:~# mkdir -p /disk2/var/lib/lxc/

root@node1.corpX.un:~# lxc-create -t debian -n server

• Установка ПО в дочерней системе на MASTER узле

root@node1.corpX.un:~# cp /etc/ssh/sshd_config /var/lib/lxc/server/rootfs/etc/ssh/sshd_config

root@node1.corpX.un:~# cp /etc/hosts /var/lib/lxc/server/rootfs/etc/hosts

root@node1.corpX.un:~# chroot /var/lib/lxc/server/rootfs/ /bin/bash

root@node1:/# PS1='server:\w# '

server:/# apt update

server:/# apt purge resolvconf isc-dhcp-client

server:/# apt install nano vim iputils-ping

• Настраиваем hostname, hosts, DNS client и учетную запись root в гостевой системе

server:/# cat /etc/hostname

server.corpX.un

server:/# cat /etc/hosts

127.0.0.1 localhost

192.168.X.30 server.corpX.un

10.Z.M.254 proxy

server:/# rm /etc/resolv.conf

server:/# cat /etc/resolv.conf

search corpX.un
nameserver 192.168.X.1
nameserver 192.168.X.2

server:/# passwd

• Настраиваем lxc для запуска гостевой системы в контейнере на MASTER узле

root@node1.corpX.un:~# cat /var/lib/lxc/server/config

...
lxc.network.type = veth
lxc.network.link = br0
lxc.network.flags = up
lxc.network.ipv4 = 192.168.X.30/24
lxc.network.ipv4.gateway = 192.168.X.254
...

• Тестируем работу виртуальной системе на MASTER узле

root@node1.corpX.un:~# lxc-info -n server

root@node1.corpX.un:~# lxc-start -n server

root@node1.corpX.un:~# lxc-info -n server

root@node1.corpX.un:~# lxc-attach -n server -- ps ax

root@node1.corpX.un:~# ssh server

root@node1.corpX.un:~# lxc-stop -n server

root@node1.corpX.un:~# systemctl start lxc@server

debian9_nodeN# mkdir /etc/systemd/system/lxc@server.service.d/

debian9_nodeN# cat /etc/systemd/system/lxc@server.service.d/kill_signal_fix.conf

[Service]
KillSignal=SIGRTMIN+3

root@node1.corpX.un:~# systemctl stop lxc@server

NEW
primitive pr_lxc_server systemd:lxc@server
group gr_fs_lxc pr_fs_r0 pr_lxc_server

OLD
primitive pr_lxc_server systemd:lxc@server

primitive pr_lxc_server ocf:heartbeat:lxc params container=server config=/var/lib/lxc/server/config

order or_lxc_after_fs pr_fs_r0 pr_lxc_server
colocation col_lxc_on_drbd inf: pr_lxc_server ms_drbd_r0:Master

!!! Похоже порядок в группе имеет значение и здесь ошибка !!!
group gr_lxc_fs pr_lxc_server pr_fs_r0

crm_resource --resource pr_lxc_server --cleanup --node node45.bmstu.ru
crm resource stop pr_lxc_server
crm resource move pr_lxc_server node46.bmstu.ru
crm resource move pr_fs_r0 node45.bmstu.ru

systemctl start lxc@server
/etc/init.d/lxc start server

• Сервис MTA
• UA mail
• Сервер dovecot

1. Что лучше, контейнерная виртуализация или аппаратная?

• Настроить в виртуальной системе сервисы www и samba
• В зоне corpX.un заменить записи (www A 192.168.X.30) и (samba A 192.168.X.30)
• Настроить редирект tcp пакетов идущих на 25,80,110,143 порты внешнего IP адреса ISP в адрес 192.168.X.30 (Сервис NAT). Примечание: проблема возникает когда с точки зрения CARP/VRRP мастером является один хост, а с точки зрения heartbeat другой. Решение или административно исключить такую ситуацию или автоматически менять шлюз по умолчанию на вторичном с точки зрения CARP/VRRP узле через мастер (еще надо исключить ip из сети ISP на внешнем интерфейсе вторичного узла, иначе пакеты будут возвращаться в сеть ISP напрямую а не через мастер).
• Настроить DNS View для внешних пользователей зоны corpX.un и запись A для mail.corpX.un и mail.corpX.un указать на адрес выданный ISP
• (Сервис DNS)