2006/11/16, Rogério Schneider <[EMAIL PROTECTED]>: > Exatamente Daniel. > > Com o CARP é sim possível criar redundância de servers e firewall. No > caso de firewall, é simplesmente o exemplo utilizado na doc do PF, > tudo bem... Mas existem outras aplicações, é só usar a imaginação.
Concordo. Uso carp pros firewalls (8 no total), pros proxies (squids) e pros proxies reversos (pounds). Limitar o carp somente a firewall é subutilizar a ferramenta. > Com servers (www, mail) também fica viável, e muito! > Ai alguém diz: "Não quero máquina ociosa, quero divisão de carga!", > tudo bem criança!! Cria dois grupos CARP (supondo dois webserers, ok?) > e cada um é "backup do outro". Pronto, no momento que um deles cair, o > outro assume as duas identidades (ips virtuais). > No firewall vc cria um rdr com address pool, utilizando source-hash e > pronto, cada source vai sempre cair no mesmo server (sessions? > resolvido) e cada novo source cai em round-robin (load balance? > resolvido). Boa. Realmente não tinha pensado nisso. > Feito o esquema, HA com Load Balance no CARP. > > Que manter os estados entre os servers? pfsync, e ninguém perde as conexões. > - Minha dúvida: É preciso mesmo utilizar pfsync entre os servers > internos, www, por exemplo? Ou isso apenas se aplica a redundância de > firewall? E ainda, tendo dois www com o esquema de backup mútuo, será > que um pfsync entre eles não iria atrapalhar as coisas, já que cada um > tem a sua table de estados? A não ser que o pfsync faça um merge dos > estados acho que isso iria causar problemas com sobrescrita de > estados, perdendo as conexões ativas em um dos pontos, mas ai fica a > pergunta, será que é preciso pfsync interno? Acredito que provavelmente sim, pois trabalha na camada de transporte, mantendo o estado das conexões (TCP e UDP), desta forma, ambos os proxies reversos (no meu caso) estariam com a tabela de estado de conexões sincronizadas. Provavelmente usando um round-robin e pfsync funcionaria pro meu caso, uma vez que ambos os pounds teriam as mesmas conexões, o que resolveria os problemas das sessions ! > E fica sempre o problema: sincronia de dados entre os servers, > principalmente se for mail, aqui sim é que eu quero ver alguém dar > alguma opinião realmente boa, com conhecimento de causa. No maeu caso isso é irrelevante uma vez que não há necessidade de sincronismo entre os arquivos de configuração dou pound, pois ambos tem que necessariamente ser diferentes. > Utilizar CARP para failover NÃO É GAMBIARRA, ele foi FEITO para isso, > é PERFEITO nisso e para load balance usa rdr, e pronto. Não precisa > nem verificar quem está ativo ou não (pen) pq se vc tem dois grupos > CARP em backup mútuo o rdr nunca irá direcionar para uma máquina > inativa. Eu prefiro isso (PF) a DNS balance :) Justamente o que venho falando desde o começo da thread. > Agora falar mal do PF tem que estar pesado né? Pode parando.... :) []'s -- No stupid signatures here. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
