Dzisiaj jest: 2024-11-21   Aktualizacja dnia: 2020-10-18 10:09:03

HA OPNsense - klaster wysokiej dostępności OPNsense

Podsystem klastra wysokiej dostępności OPNsense

1. Historia. Plany jego budowy sięgają lat 2005-2008 (nie podam dokładnej daty), wtedy odpowiednim systemem związanym z FreeBSD był pfSense (pfSense wytartowało w 2004 r.), przy czym w chwili, gdy udało mi się zorganizować wolny komputer - plany przerodziły się w próby realizacji sprzętowego firewalla/routera. Eksperymenty uruchomienia tej wersji systemu - na moim ówczesnym sprzącie - nie powiodły się. A opcja HA była niedostępna, pomijam, że CARP został przeniesiony z OpenBSD do FreeBSD znacznie później. Plany pozostały, tkwiły na wysokiej pozycji listy spraw do wykonania, jednak realizacja wymagała wolnego czasu i co ważniejsze - doskonałego przygotowania. Chodzilo o to, by serwery zachowały w trakcie przełączenia pełną funkcjonalność / widoczność w Internecie, zatem przełączenie musiało być wykonane w jednym, krótkim rzucie.

2. W roku 2015 - powstało odgałęzienie pfSenese - system OPNsense. Oczywiście pfSense nadal jest wydawane i ma lepszą dokumentację, ale najczęściej stawiam na projekty społecznościowe. Wraz z tzw. "chwilą wolnego czasu" - dokonałem zakupu dedykowanych komputerów (grudzień 2019) i przystąpiłem do realizacji klastra HA (lipiec 2020) z wykorzystaniem OPNsense. Przełączenie zostało wyprzedzone zestawieniem sieci eksperymentalnej na dwóch dodatkowych komputerach symulujących Internet i komputery dostępowe z ważnymi w tym przypadku usługami. Po ok. miesiącu eksperymentów, wykonałem 3 czy 4 godzinne testy przełączeń, a w ciągu tygodnia następiło całkowite przełączenie na nową konfigurację sieci. Przełączenie ostateczne trwało względnie długo, bo konieczne było przemapowanie portów z odbiciem (port forward with reflection), załączenie odpowiednich reguł firewalla, wreszcie solidne przestestowanie funkcji HA.

Należy zwrócić uwagę, że każdy komputer wymaga aż 6 połączeń kabla Ethernetowego. Opis - można znaleźć w części dotyczącej konfiguracji sieciowej całego systemu.

Powyższy schemat i opis poniżej mają charakter poglądowy (ze względów bezpieczeństwa).

Serwerownia składa się z następujących części:
    O. Modemy ISP (to dla mnie część "eksterytorialna", zarządzana przez ISP).
    A. Komputery dostępowe (OPNsense w wersji wysokiego dostępu HA master/slave + CARP), m.in.:
            - NAT,
            - firewall, router,
            - mapowanie portów z odbiciem (port forward with reflection).
    B. Switche: zarządzalny i niezarządzalny w trybie LAGG failover (przełączenia awaryjnego) z bezprzewodowym punktem dostępowym.
    C. Serwerownia główna - zdublowane komputery usług z szybkimi łączami LAGG LACP 2 * 1 Gb/s, w kilku przypadkach CARP, serwery m.in.:
            - www, poczty, ftp itp.,
            - plików: system moosefs,
            - baz danych,
    D. Komputery osobiste / personalne użytkowników domowych oraz inne domowe urządzenia sieciowe.


3. Zdjęcie poniżej pokazuje obydwie jednostki klastra HA - przednie ścianki. Podłączone tylko kable do przełącznika KVM. Diody wskazują na obsadę wszystkich portów Ethernetu.

  

4. Zdjęcie - po prawej tylne ścianki obu komputerów klastra HA. Widoczne gniazda Ethernetu oraz zasilanie.

   

5. Widok "górnego" komputera klastra HA.
 

6. Widok "dolnego" komputera klastra HA.

6. Poniżej zdjęcia nocne (przód, tył).