Prywatne
serwery: Zbigniew Kulesza -
zjk.pl
Zbigniew
Kulesza: Serdecznie
witam na moich prywatnych, domowych serwerach
Dzisiaj
jest: 2024-12-21
Aktualizacja dnia: 2020-10-18 10:09:03
HA OPNsense - klaster wysokiej
dostępności OPNsense
Podsystem
klastra wysokiej dostępności OPNsense
1. Historia. Plany jego budowy sięgają lat 2005-2008 (nie podam
dokładnej daty), wtedy odpowiednim systemem związanym z FreeBSD był
pfSense (pfSense wytartowało w 2004 r.), przy czym w chwili, gdy udało
mi się zorganizować wolny komputer - plany przerodziły się w
próby realizacji sprzętowego firewalla/routera. Eksperymenty
uruchomienia tej wersji systemu - na moim ówczesnym sprzącie
-
nie powiodły się. A opcja HA była niedostępna, pomijam, że CARP został
przeniesiony z OpenBSD do FreeBSD znacznie później. Plany
pozostały, tkwiły na wysokiej pozycji listy spraw do wykonania, jednak
realizacja wymagała wolnego czasu i co ważniejsze - doskonałego
przygotowania. Chodzilo o to, by serwery zachowały w trakcie
przełączenia pełną funkcjonalność / widoczność w Internecie, zatem
przełączenie musiało być wykonane w jednym, krótkim rzucie.
2. W roku 2015 - powstało odgałęzienie pfSenese - system OPNsense.
Oczywiście pfSense nadal jest wydawane i ma lepszą dokumentację, ale
najczęściej stawiam na projekty społecznościowe. Wraz z tzw.
"chwilą wolnego czasu" - dokonałem zakupu dedykowanych
komputerów (grudzień 2019) i przystąpiłem do realizacji
klastra
HA (lipiec 2020) z wykorzystaniem OPNsense. Przełączenie zostało
wyprzedzone zestawieniem sieci eksperymentalnej na dwóch
dodatkowych komputerach symulujących Internet i komputery dostępowe z
ważnymi w tym przypadku usługami. Po ok. miesiącu
eksperymentów,
wykonałem 3 czy 4 godzinne testy przełączeń, a w ciągu tygodnia
następiło całkowite przełączenie na nową konfigurację sieci.
Przełączenie ostateczne trwało względnie długo, bo konieczne
było
przemapowanie portów z odbiciem (port forward with
reflection),
załączenie odpowiednich reguł firewalla, wreszcie solidne
przestestowanie funkcji HA.
Należy zwrócić uwagę, że każdy komputer wymaga aż 6 połączeń
kabla Ethernetowego. Opis - można znaleźć w części dotyczącej
konfiguracji sieciowej całego systemu.
Powyższy schemat i opis poniżej
mają charakter poglądowy (ze
względów bezpieczeństwa).
Serwerownia składa się z następujących części:
O. Modemy ISP (to dla mnie część "eksterytorialna", zarządzana przez
ISP).
A. Komputery dostępowe (OPNsense w wersji wysokiego dostępu HA
master/slave + CARP), m.in.:
- NAT,
- firewall, router,
- mapowanie portów z odbiciem
(port forward with reflection).
B. Switche: zarządzalny i niezarządzalny
w trybie
LAGG failover (przełączenia awaryjnego) z
bezprzewodowym punktem dostępowym.
C. Serwerownia główna -
zdublowane komputery usług z szybkimi łączami LAGG LACP 2 * 1
Gb/s, w
kilku przypadkach CARP, serwery m.in.:
- www, poczty, ftp itp.,
- plików: system moosefs,
- baz danych,
D. Komputery osobiste / personalne
użytkowników domowych oraz inne domowe urządzenia
sieciowe.
3.
Zdjęcie poniżej pokazuje obydwie jednostki klastra HA - przednie
ścianki. Podłączone tylko kable do przełącznika KVM. Diody wskazują na
obsadę wszystkich portów Ethernetu.
4.
Zdjęcie - po prawej tylne ścianki obu komputerów klastra HA.
Widoczne gniazda Ethernetu oraz zasilanie.
5. Widok "górnego" komputera klastra HA.
6.
Widok "dolnego" komputera klastra HA.
6.
Poniżej zdjęcia nocne (przód, tył).
Copyright (c): Zbigniew Kulesza, Sieradz 2002-2024