IBM Cloud Docs
Configurazione di Vyatta 5400 per High Availability (HA)

Configurazione di Vyatta 5400 per High Availability (HA)

Vyatta alta disponibilità è supportata utilizzando Virtual Routing Redundancy Protocol (VRRP). Ogni gruppo gateway dispone di due indirizzi IP VRRP primari, uno per il privato e uno per il lato pubblico delle reti.

Private solo Vyattas hanno solo il VRRP privato.

Questi indirizzi IP sono gli IP di destinazione per l'infrastruttura di rete per instradare tutte le sottoreti su VLAN associate ai membri gateway. Solo una Vyatta ha questi IP VRRP in esecuzione alla volta. Gli altri membri del gruppo gateway li hanno amministrati amministrativamente.

La configurazione può essere sincronizzata tra i due Vyattas con i comandi di configurazione config - sync . Questa configurazione consente a un membro di spingere la configurazione di opzioni specifiche all'altra Vyatta in un gruppo, e lo fa selettivamente. Puoi trasmettere solo le regole del firewall o solo la configurazione IPsec o una qualsiasi combinazione di serie di regole.

Si consiglia di non spingere gli indirizzi IP o altre configurazioni di rete, come config - sync commette istantaneamente i tuoi cambiamenti sulle altre Vyattas, portando online quelle interfacce. Se si desidera abilitare dinamicamente le interfacce e i servizi, è possibile utilizzare gli script di transizione per eseguire questa azione sul failover. Inoltre, si consiglia di utilizzare più indirizzi IP VRRP per i IP gateway sulle VLAN associate. Questo rende il failover più facile da gestire.

La tua configurazione VRRP di base su entrambe le macchine appare simile a questa configurazione di esempio:

interfaces {
bonding bond0 {
address 10.28.94.213/26
duplex auto
hw-id 06:d6:f8:f0:fb:ee
smp_affinity auto
speed auto
vrrp {
vrrp-group 1 {
advertise-interval 1
}
preempt false
priority 254
sync-group vgroup10
rfc3768-compatibility
virtual-address 192.168.10.1/24
}
}
}
bonding bond1 {
address 50.23.184.5/26
duplex auto
hw-id 06:05:09:41:fb:cb
smp_affinity auto
speed auto
vrrp {
vrrp-group 1 {
advertise-interval 1
}
preempt false
priority 254
sync-group vgroup10
rfc3768-compatibility
virtual-address 50.23.184.27/26
}
}
}
loopback lo {
}
}

VRRP richiede che sia associato un indirizzo IP reale a un'interfaccia virtuale prima che possa essere inviato un qualsiasi avviso VRRP. In molti casi, è possibile aggiungere semplicemente un IP dalla sottorete primaria, ma questo potrebbe essere in conflitto con le future disposizioni, oppure si potrebbe voler instradare una VLAN che ha già ogni IP subnet principale assegnato ad un server. Per aggirarsi è possibile utilizzare una coppia di indirizzi IP fuori banda su entrambi i Vyattas che possono usare per parlarsi tra loro. Questo è un esempio:

Nella prima Vyatta:

set interfaces bonding bond0 vif 1000 address 172.16.0.10/29
set interfaces bonding bond0 vif 1000 vrrp vrrp-group 10 sync-group vgroup10
set interfaces bonding bond0 vif 1000 vrrp vrrp-group 10 priority 200
set interfaces bonding bond0 vif 1000 vrrp vrrp-group 10 virtual-address 192.168.10.1/24

Nella seconda Vyatta:

set interfaces bonding bond0 vif 1000 address 172.16.0.11/29
set interfaces bonding bond0 vif 1000 vrrp vrrp-group 10 sync-group vgroup10
set interfaces bonding bond0 vif 1000 vrrp vrrp-group 10 priority 199
set interfaces bonding bond0 vif 1000 vrrp vrrp-group 10 virtual-address 192.168.10.1/24

In questo caso, entrambi i Vyattas hanno il loro IP che non si scontrerà con la sottorete assegnata. Puoi scegliere quasi qualsiasi autonomia privata che desideri. Basta scegliere una piccola sottorete che non sia in conflitto con altri percorsi che potreste avere, come ad esempio un intervallo di sottorete su un tunnel IPsec o un indirizzo 10.0.0.0/8 che è in conflitto con quello di Softlayer.

Aggiungere anche un nome sync - group . Tutti gli indirizzi VRRP dovrebbero far parte dello stesso sync - group. Questo è così che qualsiasi errore su un'interfaccia causa tutte le interfacce presenti nello stesso sync - group per non riuscire oltre. Altrimenti, alla fine alcune potrebbero essere MASTER e altre in BACKUP. Utilizza lo stesso nome nella configurazione VLAN nativa bond0 e bond1.

La configurazione bond0 e bond1 VRRP potrebbe avere una linea per rfc3768-compatibility. Questa non è necessaria per VRRP in un VIF, solo la VLAN nativa di bond0 e bond1.

Su una coppia gateway di nuova dotazione, config - sync ha solo una configurazione minimale:

config-sync {
remote-router 10.28.94.195 {
password ****************
sync-map syncme
username vyatta
}

È necessario aggiungere regole per determinare quali rami di configurazione migrare. Ad esempio, se vuoi che il firewall e la configurazione ipsec vengano trasmessi, aggiungi questi comandi:

set system config-sync sync-map syncme rule 1 action include
set system config-sync sync-map syncme rule 1 location firewall
set system config-sync sync-map syncme rule 2 action include
set system config-sync sync-map syncme rule 2 location "vpn ipsec"

Dopo che questi sono impegnati, eventuali modifiche alla configurazione firewall o IPsec vengono spinte all'altra Vyatta su commessa.

sync - group e sync - map sono due cose diverse. La configurazione sync - map è per regole per spingere le modifiche di configurazione a un'altra Vyatta. sync - group è per i IP VRRP per non riuscire come gruppo invece di uno alla volta. La configurazione di uno non influenza l'altro.