CARP
-
Задумался о внедрении CARP. Сишком много стало зависеть от доступности Интернета, как из LAN, так и снаружи.
Есть ли у кого -либо опыт реализации CARP?
В официальном мануале:
https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_%28CARP%29
Исходя из картинки мануала (для удобства приведу ее и тут)
Возникли вопросы:
1.Правильно ли я понимаю, что на входе - на стороне WAN я могу поставить свитч, воткнуть туда Ethernet от провайдера и оба WAN-Ethernet от обоих нодов PfSense? Авторизация линка - PPPOE.
2.Точно также на выходе - на стороне LAN выделенный свитч, в который приходят LAN-Ethernet от обоих нодов PfSense и Ethernet офисной сети или все три Ethernet включаются в основной свитч LAN?В мануале указывается необходимость отдельных интерфейсов для pfSync. Возможно ли, жертвуя производительностью, обойтись без установки дополнительных адаптеров - виртуальные IP\CARP на LAN\и т.д?
-
Опыта нет, но
@pigbrother:1.Правильно ли я понимаю, что на входе - на стороне WAN я могу поставить свитч, воткнуть туда Ethernet от провайдера и оба WAN-Ethernet от обоих нодов PfSense? Авторизация линка - PPPOE.
Если провайдер не блокирует дубли PPPoE сессий, вполне даже да.
2.Точно также на выходе - на стороне LAN выделенный свитч, в который приходят LAN-Ethernet от обоих нодов PfSense и Ethernet офисной сети или все три Ethernet включаются в основной свитч LAN?
Не имеет значения как, лишь бы в одну сеть. Сервера по ману работают по принципу фейловер.
В мануале указывается необходимость отдельных интерфейсов для pfSync. Возможно ли, жертвуя производительностью, обойтись без установки дополнительных адаптеров - виртуальные IP\CARP на LAN\и т.д?
Тут, разумеется, пробовать надо. Странно, что не указанны требования к каналу.
Обычно под такой соус требуют > 1 Гбит/c и латенси < 5 мсP.S. https://xakep.ru/2014/10/06/carp-pfsync/
-
Обычно под такой соус требуют > 1 Гбит/c и латенси < 5 мс
Да синхронизировать в реалтайме кроме states вроде как и нечего.
-
Я имел ввиду кластерные системы.
Мне только не ясно зачем такой огород, если вводится точка отказа в виде "DSL роутера". Вот если б провайдер дал 2 IP адреса по VLAN или два PPPoE аккаунта…
-
У меня не DSL, а Ethernet. Падает раза 2-3 в год (плюю через плечо). И рассматриваю как точку отказа именно сам Pfsense. Второго столь же качественного в это здание пока затянуть нет возможности.
Организовать несколько IP\PPPOE от одного провайдера можно, но не вижу практического смысла, упадет провайдер - упадут и все дополнительные IP\PPPOE -
Мой вопрос только в отказоустойчивости самого верхнего, обозначенного как "DSL Router", узла.
-
В таком случае консенсус достигнут. :)
-
Похоже не зря на картинке DSL-модем. И не все так красиво с CARP, как этого бы хотелось.
Вот что тут
https://forum.pfsense.org/index.php?action=post;quote=621278;topic=111069.0;last_msg=629999
пишет jimp:PPPoE cannot be made to work with a proper CARP setup. The PPP layer would have to be handled at the modem, exposing a routed subnet to the WAN side of pfSense with sufficient IP addresses for CARP to function. pfSense itself cannot have PPPoE WAN interfaces if you want a proper, fully functional, HA configuration.
Задал ему там же вопрос про PPPOE over Ethernet. Пока ответа нет.
-
На сколько я понимаю, jimp пишет, что PPPoe не поддерживается CARP в полной мере.
Соответственно, вопрос, нужна ли эта мера полная?По своему опыту, я бы смотрел в первую очередь в сторону виртуализации, с автоматической миграцией.
-
Логично.
Но я один из сторонников мнения держать граничный роутер на физической машине.
Недавно описывал тут ситуацию, когда меня это выручило.