Boa c0re, boa.
On 11/16/06, c0re dumped <[EMAIL PROTECTED]> wrote: > 2006/11/16, Rogério Schneider <[EMAIL PROTECTED]>: > > Exatamente Daniel. > > > > Com o CARP é sim possível criar redundância de servers e firewall. No > > caso de firewall, é simplesmente o exemplo utilizado na doc do PF, > > tudo bem... Mas existem outras aplicações, é só usar a imaginação. > > Concordo. Uso carp pros firewalls (8 no total), pros proxies (squids) > e pros proxies reversos (pounds). Limitar o carp somente a firewall é > subutilizar a ferramenta. > > > Com servers (www, mail) também fica viável, e muito! > > Ai alguém diz: "Não quero máquina ociosa, quero divisão de carga!", > > tudo bem criança!! Cria dois grupos CARP (supondo dois webserers, ok?) > > e cada um é "backup do outro". Pronto, no momento que um deles cair, o > > outro assume as duas identidades (ips virtuais). > > No firewall vc cria um rdr com address pool, utilizando source-hash e > > pronto, cada source vai sempre cair no mesmo server (sessions? > > resolvido) e cada novo source cai em round-robin (load balance? > > resolvido). > > Boa. Realmente não tinha pensado nisso. :) > > > > Feito o esquema, HA com Load Balance no CARP. > > > > Que manter os estados entre os servers? pfsync, e ninguém perde as conexões. > > - Minha dúvida: É preciso mesmo utilizar pfsync entre os servers > > internos, www, por exemplo? Ou isso apenas se aplica a redundância de > > firewall? E ainda, tendo dois www com o esquema de backup mútuo, será > > que um pfsync entre eles não iria atrapalhar as coisas, já que cada um > > tem a sua table de estados? A não ser que o pfsync faça um merge dos > > estados acho que isso iria causar problemas com sobrescrita de > > estados, perdendo as conexões ativas em um dos pontos, mas ai fica a > > pergunta, será que é preciso pfsync interno? > > Acredito que provavelmente sim, pois trabalha na camada de transporte, > mantendo o estado das conexões (TCP e UDP), desta forma, ambos os > proxies reversos (no meu caso) estariam com a tabela de estado de > conexões sincronizadas. > > Provavelmente usando um round-robin e pfsync funcionaria pro meu caso, > uma vez que ambos os pounds teriam as mesmas conexões, o que > resolveria os problemas das sessions ! > Ok, correto, é um caso diferente do meu, mas pensa, o pfsync vai enviar do pound A para o B a sua table, a table do B não seria perdida nesse momento? Nisso é que tenho dúvida, a não ser que o pfsync fizesse um merge das tables de A+B em ambos, mantendo os estados atuais de A e B preparando A e B para receberem as sessões (conexões estabilished) direcionados ao "outro peer" no momento de uma falha do mencionado "outro peer" e transição para o peer restante. Aqui o exemplo foi com dos peers, mas pode ser aplicado a "n", com "n" grupos CARP e rdr com pool de "n". > > > E fica sempre o problema: sincronia de dados entre os servers, > > principalmente se for mail, aqui sim é que eu quero ver alguém dar > > alguma opinião realmente boa, com conhecimento de causa. > > No maeu caso isso é irrelevante uma vez que não há necessidade de > sincronismo entre os arquivos de configuração dou pound, pois ambos > tem que necessariamente ser diferentes. Sorte sua :) Aqui o problema é justamente esse! Manter os dados sync entre mais servers. Você não precisa de um repositório central para as suas páginas www? > > > > Utilizar CARP para failover NÃO É GAMBIARRA, ele foi FEITO para isso, > > é PERFEITO nisso e para load balance usa rdr, e pronto. Não precisa > > nem verificar quem está ativo ou não (pen) pq se vc tem dois grupos > > CARP em backup mútuo o rdr nunca irá direcionar para uma máquina > > inativa. Eu prefiro isso (PF) a DNS balance :) > > Justamente o que venho falando desde o começo da thread. Sim, eu entendi, tive que me manifestar. > > > Agora falar mal do PF tem que estar pesado né? Pode parando.... > > :) > > > > []'s > > > > -- > > No stupid signatures here. > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Rogério Schneider +55 (55) 9985 2127 +55 (55) 3332 5923 +55 (55) 3321 1535 MSN: [EMAIL PROTECTED] ICQ: 78778973 GTalk: [EMAIL PROTECTED] Skype: stockrt http://stockrt.unicruz.edu.br ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
