Configurazione HA Proxy
-
Buongiorno a tutti,
avendo un'architettura server con nodi in cluster, necessito dell'utilizzo di un HA proxy in configurazione failover per poter gestire la ridondanza degli stessi.Notando che pfSense prevede questa funzione sarei interessato ad usarla, tuttavia non avendolo mai fatto la cosa mi confonde su più cose:
-
avendo svariati servizi clusterizzati, HA proxy di pfSense permette la gestione di più di un servizio (ad esempio, Apache, Tomcat, mariaDB Galera Multimaster), permettendo di gestirli autonomamente?
-
ammesso sia possibile fare quanto sopra descritto, qualcuno sa indicarmi come debba essere fatta la procedura di configurazione? Questa richiesta in quanto vedo che l'interfaccia è si chiara, ma particolarmente ricca di funzionalità e la cosa mi confonde non poco.
Un grazie a chi potrà aiutarmi.
-
-
@x-falko
può esserci qualsiasi cosa dopo haproxy, basta che accetti connessioni tcp.
si parte inserendo i Backend con i vari server interni, crei le acl e configuri il Frontend con gli ip pubblici che stanno in ascolto.ogni acl invierà la richiesta al server o al gruppo di server che hai assegnato nella Backend. è più facile a farsi che a dirsi una volta capito il concetto di funzionamento. in internet trovi diverse guide per pfsense. fai delle prove seguendo i tutorial online e se riscontri dei problemi chiedi di specifico cosa ti blocca -
@kiokoman Grazie per la risposta!
Nella breve spiegazione che mi hai girato, direi che hai toccato esattamente alcuni dei punti che mi sfuggivano, ovvero capire cosa fa ogni scheda che vedo e capire quale usare (e soprattutto perché).Implicitamente, deduco che è possibile configurare svariati servizi (http/sql/altro) visto che ci sono gruppi/ACL, che in accordo con le interfacce/porte a mia disposizione permetterà di mettere in ascolto l'apparato (e se ho capito bene, direi che con questo il 90% della configurazione riuscirò a farla)
Pur non volendo approfittare della cortesia,
dalle guide che leggo (in particolare questa), vedo che cambia l'approcio di creazione delle regole (niente NAT).Mi sorge quindi un'ultima domanda (che è il nodo gordiano): quando uso HA, che approcio dovrei avere rispetto ad una "normale" apertura di porta che farei col NAT/Rule su singola macchina?
in altre parole, com'è l'ordine dei filtri che il pacchetto incontra quando passa nella pfSense?Devo pensare solo alla "rule", facendo atterrare il pacchetto sul firewall stesso, per poi haproxarlo verso il backend (elidendo di conseguenza il NAT) ?
-
@x-falko
in pratica haproxy si mette in ascolto sul firewall e fa da "NAT" quindi apri una regola nella interfaccia WAN per la porta X con destinazione "This firewall"
quindi si elimini il concetto di NAT -
@kiokoman
Grazie mille per la puntualizzazione,
questo era il passaggio che mi sfuggiva e che risolve integralmente i miei dubbi sull'utilizzo di HAProxy per la domanda che avevo posto.Da ora per me sarà interessante esplorare il comportamento "ibrido" ovvero usando sia HAProxy che NAT sulla medesima interfaccia, in maniera da avere sia servizi "FO/LB" che direttamente nattati.
Grazie ancora per il supporto!
