Keepalived可以通过组合两个节点上的nopreempt选项和BACKUP状态来做到这一点:
怎么样UCARP?
Name : ucarp
Arch : x86_64
Version : 1.5.2
Release : 1.el5.rf
Size : 81 k
Repo : installed
Summary : Common Address Redundancy Protocol (CARP) for Unix
URL : http://www.ucarp.org/
License : BSD
Description: UCARP allows a couple of hosts to share common virtual IP addresses in order
: to provide automatic failover. It is a portable userland implementation of the
: secure and …我们正在尝试在刀片中心使用 VMWare 所说的“完全折叠的 DMZ”。基本上,我们的 DMZ 直接进入 vSwitch,所有安全设备都已虚拟化。
我花了几天时间阅读为什么这是一个好主意,为什么它是一个坏主意,需要做什么才能使其安全等,但我无法找到的一件事是有关最佳容错的信息方法。
我们选择的边缘防火墙是支持 CARP 的pfSense。我们在集群中有 10 个刀片,因此拥有两个甚至三个启用 VMWare HA 的 pfSense 防火墙并在内部配置了 CARP 是非常可行的,这些防火墙在刀片出现故障时相互接管。但这似乎是很多管理开销,而且我是一个不信任的人,所以这意味着我每周都会登录多个防火墙以确保我们的所有规则等都得到反映。
但是,当 VMWare 的 FT(即使它的单个 vCPU 不足)将提供 CARP 的所有功能时,为什么还要为 CARP 烦恼,而且据我所知,更少的管理、压力和对我工作的关注。
对于基于软件的防火墙,是否有任何令人信服的理由使用 CARP over FT,反之亦然?
我有两个带有鲤鱼的 openbsd nat/防火墙盒,用于故障转移/高可用性目的。确保我计划在这些机器上运行的 OpenVPN 也能正常故障转移的最佳实践是什么?
我希望按照本指南跨两个 pfSense 防火墙设置 CARP。
我之前在具有大 IP 空间的 WAN 链接上设置了 CARP,因此为每个设备分配一个不同的 WAN IP(如指南中所示)是可取的。
现在,我正在尝试做同样的事情,但每个链接只有一个 WAN IP 可用。
有没有办法只使用一个 WAN IP?
编辑:如果您有以下配置怎么办?(这行得通吗?)
我有两台机器,每台机器都配置为一个繁忙网站的防火墙/负载平衡器。我已经在内部和外部接口上使用 CARP 和 pfsync 设置了它们。内部接口按预期运行(主要列为 MASTER,次要列为 BACKUP)
在两台机器上,网络接口如下:
我已经重写了下面的 IP 地址和 MAC 地址。网络如下:
这是主服务器上 ifconfig 的输出:
em0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
ether [SNIP]
inet 10.0.1.10 netmask 0xffffff00 broadcast 10.0.1.255
media: Ethernet 100baseTX <full-duplex>
status: active
bge0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether [SNIP]
inet 10.0.2.10 netmask 0xffffff00 broadcast 10.0.2.255
media: Ethernet …carp ×5
pfsense ×2
centos ×1
freebsd ×1
keepalived ×1
openbsd ×1
openvpn ×1
ucarp ×1
virtual-ip ×1