VPS 上的集群基礎架構
我想建構集群的基礎設施。我唯一的選擇是容器中的 VPS。以下是基礎設施應該是什麼樣子。
所有傳入流量都進入 Fw1。代理將請求重定向到 AppServerX。數據庫位於另一個子網中。通過 Fw2 訪問安全區域。監控機器還監控所有其他機器的執行狀況和防火牆。如您所見,應用程序伺服器和數據庫伺服器為 HA 集群。防火牆也應該為 HA 集群。機器之間的連接應該通過 VPN。理論上一切聽起來都不錯,但實際上我有問題。作為 VPN,我計劃在區域之間使用 OpenVPN 伺服器/客戶端架構和站點到站點。但是我有一些問題,因為我不明白如何製作集群防火牆。並監視所有機器,以及處於從屬模式的防火牆。也許架構是錯誤的。這就是為什麼任何建議都會受到讚賞。請同時寫下最佳實踐。
謝謝。
首先,要在防火牆集群之間實現 HA,有兩種方法,第一種是您使用的是外部監視器,它將通過心跳不斷檢查所有伺服器和防火牆的健康狀況。如果發生故障轉移,集群中的其他防火牆將負責路由和管理連接。另一種方法是讓集群自己辨識故障轉移,然後集群中的一個從屬防火牆將成為主防火牆。所有連接狀態都將由新主人妥善處理。
第二件事是,您應該決定是否要為集群配置主動備份或主動-主動配置,因此復雜性會有所不同。在主動備份中,只有一個防火牆將處於活動狀態(主),而其他防火牆將被隱藏(從)。而在主動-主動主站和從站的情況下,將處於工作模式。
現在,一旦您決定如何為防火牆集群實現 HA,您需要Heartbeat 或 Keepalived來維護 HA 集群,它將持續監控防火牆的故障轉移並跟踪主節點和從節點,只要主節點上發生故障轉移通過集群內的通信選擇一個新的主節點。要在集群之間複製防火牆或同步連接狀態,可以使用**Conntrackd 。**它將始終保持集群節點準備好優雅地接管主節點的職責,而不會被網路注意到。
虛擬 IP的概念用於在故障轉移場景中切換到其中一個從節點。
因此,我假設您目前的設計在沒有 HA 集群的情況下執行良好,因此您可以繼續使用目前架構並使用這些軟體在集群中嵌入 HA。
重要的是您應該清楚您希望從 HA 集群中實現的所有目標,並相應地繼續實施。我希望這會有所幫助。