Loadbalancing verso webserver



  • Ciao a tutti,
    ho iniziato a conoscere solo oggi pfSense.
    Ho la necessità di implementare 2 firewall che si bilancino il traffico diretto verso i miei web server e questa cosa mi sembra sia supportata.
    Ora volevo capire se posso far in modo che pfSense bilanci anche il carico diretto ai miei web server.
    Mi spiego meglio: ho quattro macchine, due webserver che ospitano un sito web e due macchine su cui gira pfSense (e che si bilanciano il carico tra di loro). I due server di frontend con pfSense che oltre a bilanciarsi il carico in entrata dovrebbero bilanciare le connessioni dirette al mio sito in base alla disponibilità ed al carico dei miei due webserver.
    E'possibile configurare pfSense in modo che faccia questo?

    Conoscte qualche altra distribuzione che faccia solo da bilanciatore di carico?

    Grazie
    Pamela



  • :o WOW  :o

    E' difficile trovare richieste di questo livello nella sezione in Italiano … be passiamo ai fatti ...

    Primo, vediamo se ho capito ... tu hai 2 server (per cui penso anche 2 linee ... o sono di più ?  ??? ) e hai anche 2 macchine distine con pf.Sempre se ho afferrato il tutto tu vorresti che in modo "dinamico" i 2 pfsense si alternassero in base al carico di lavoro ... o in base al carico di Banda ?

    La domanda che ti faccio ha uno scopo bene specifico, con pf tu puoi:

    Utilizzare 2 pf in modalità fail over, ovvero se uno dei due cade l'altro fa da "muletto" o "sostituto", il tutto tramite il CARP.
    Per quanto concerne il carico di lavoro per ora, che io sappia, non c'è nulla a livello di pf, mentre c'è in pf la gestione della banda passante con il Traffic Shaper (puoi priorizzare e/o allocare la banda).
    In oltre sempre sullo stesso pf puoi anche creare un Load Blance a livello di Banda (però è in Round Robin).

    Per cui il mio consiglio e fatti un pf con 4 interfacce e abiliti i servizi adeguati in base alle tue esigenze. Se poi vuoi essere sicura ti abiliti anche un secondo pf uguale con il CARP e aumenti la sicurezza dovuta a guasti.

    Matteo

    PS: ev. cercami su msn ... info@mascomputer.net (metti nel msg pf quando ti agg. !) ciaoz.-



  • provo a spiegare meglio
    Ho un sito web in housing e l'infrastruttura logica dovrebbe essere questa:

    Internet <-> firewall <-> LoadBalancer <-> Web servers

    1 - Chi mi fornisce connettività mi porta 2 link fisici collegati ai suoi apparati (router) e mi da degli ip pubblici nella stessa sottorete per le schede esterne dei firewall.

    2 - Io vorrei poter installare n firewalls che gestiscono il traffico bilanciandosi i carichi e anche facendo failover.

    3 - Dietro i firewalls dovrei avere 2 bilanciatori di carico che come i firewall si distribuiscono il carico e fanno failover.

    4 - Dietro i bilanciatori ho i miei web server che ospitano il sito.

    Insomma sto cercando di tirare inpiedi una struttura come si deve cercando di non comprare HW dedicato (un bilanciatore serio costa circa 20K euro =:| )

    La prima cosa a cui ho pensato è di mettere 2 Macchine a fare da firewall con una distro Linux o FreeBSD e 2 macchine a fare da bilanciatori con una distro dedicata(non ho ancora trovato una distro che faccia solo quello)

    Nelle ricerche mi sono imbattuta in pfSense e da quel che ho letto mi sembra di capire che quel che voglio fare io si può fare anche se in modo semplicistico (soprattutto per il bilanciamento verso i server, round robin non è il massimo).

    In questo senso la tua risposta era coretta.

    A questo punto mi sorgono altri dubbi: perchè 4 schede di rete?

    Una per la WAN con assegnato IP pubblico e Virtual IP
    Una per la LAN con assegnato IP privato verso i Server
    Ma le altre 2??

    Oltre al NAT e quindi utilizzare pfSense come router, posso usarlo anche come bridg e quindi un qualcosa deltutto trasparente per i miei utenti?
    oviamente senza perdere le funzionalità esposte sopra.

    Grazie mille e scusa se mi sono dilungata
    Pamela



  • Ok così ho capito un pochino meglio .. (non è che per caso hai un disgno in visio :D :P)

    In ogni caso la mia idea di 4 eth era per intergrare tutto in una sola macchian hw. Wan1 - Lan1 || Wan2 - Lan2.
    In questo modo puoi sfruttare la potenza di pf in maniera bruta:
    Advanced NAT - Firewall - Static route - Load Balance - Trafic Shape - FailOver (a livello di linea) - Ecc …
    In quanto con pf non puoi fare un balance del traffico tra 2 macchina ma solo tra due interfacce ...

    A meno che non ti serva gestire le due line come due linee e gestire il traffico in balance a livello di ingresso e qui si complica.

    Il mio problema sono i bilanciatori di carico ... immagino tu indenda degli apparati che ti ripartiscano il traffico in ingresso in modo "intelligente" sui server ... ecco qui non ho mai fatto alcun tipo di esperimento in quanto per la mia attività lavorativa i problemi sono sempre in uscita.

    Per quanto concerne il CARP (failover hw) replichi la stessa macchina e sei apposto ... ovviamente ti servono una marea di ip (e un eth in + per il carp !)

    Matteo

    PS: ma a chi devi fare conccorrenza !?!?
    PPS: se pensi ad un infrastruttura di questo tipo ti dico subito che devi farti a mano le cose ti devi creare un cluster di macchine.

    PPPS (utlimo): cercami in msn ... almeno così possiamo "parlare" in tempo reale con un botta <-> risposta + esplicativo.



  • Ciao,
    per capire meglio e testare sul campo son passata all'azione.
    Ho recuperato due vecchi pc. ed ora provo a fare qualche test poi ti farò sapre cosa ne è venuto fuori.
    In questo momento l'unica cosa poco chiara è il funzionamento del CARP, se non ho capito male la scheda del carp mi server per una sorta di heart bit tra le macchine da mettere in failover. Mi sembra un po'uno spreco, non si potrebbe usare la scheda wan?
    Nel mio caso come tentavo di spiegare la connessione è una sola, io ho il doppino che proviene dall'ISP connesso in uno switch al quale attesterei anche le wan dei pf.

    Grazie per la disponibilità



  • Ho trovato questa mini howto …. http://devwiki.pfsense.org/IncomingLoadBalancing forse potrebbe tornarti utile.

    Ciaoz.-



  • Grazie!
    Sono riuscita a mettere in piedi l'ambiente di test e sono riuscita a configurare quasi tutto però il port forwarding non sembra funzionare. io uso pfsense 1.0.1

    Su qualche post ho letto dello stesso problema, molti l'hanno risolto passando alla versione successiva anche se in beta.

    Possibile che sulla mia versione il port forwarding non funzioni?

    Appena finito di testare anche il loadbalancing ho un'altra sfida…
    Captive portal per autenticazione utenti windows per accesso a internet

    Ciao



  • Per il port forwarding posso confermare io che c'è qualche bel problema con pf 1.0.1 … se usi la 1.2 rc3 o rc4 (con questa io mi trovo benone) risolvia anche problemi legati al captive.

    PS: se riesci a farlo funzionare con l'integarzione in AD con supporto LDAP mi "devi" ("per favore" :P ) mandare i parametri di conf. !!!! :D :P

    Ciaoz.-

    Matteo



  • Ciao,
    non ho risolto i problemi di port forwarding, sembra che in alcuni casi non vada ma son riuscito invece ad autenticare gli utenti in uscita integrando il tutto con ad di windows 2003

    Ho seguito questa guida

    ftp://reflection.ncsa.uiuc.edu/pub/pfSense/tutorials/cp_config/radius_win2k3.htm

    Ciao


Locked