18
0
Fork 0

Ajout firewall + différences avec vrrpd

This commit is contained in:
jdubois 2022-08-04 10:30:25 +02:00
parent 93f596731c
commit c017474d05
1 changed files with 17 additions and 1 deletions

View File

@ -68,6 +68,14 @@ Le bloc `vrrp_instance` définit les paramètres VRRP :
* `track_script` indique les scripts sur lesquels se baser pour vérifier que le serveur est opérationnel ou non * `track_script` indique les scripts sur lesquels se baser pour vérifier que le serveur est opérationnel ou non
* `notify` indique un chemin vert un script qui permettra d'indiquer l'état VRRP du nœud, utile par exemple pour un check NRPE * `notify` indique un chemin vert un script qui permettra d'indiquer l'état VRRP du nœud, utile par exemple pour un check NRPE
## Firewall
Au niveau du pare-feu, il faut ajouter la règle suivante :
~~~
# iptables -A INPUT -s <adresse IP du pair> -d 224.0.0.18 -j ACCEPT
~~~
## NRPE ## NRPE
Un script `notify` peut être utilisé, par exemple dans `/etc/keepalived/notify.sh` : Un script `notify` peut être utilisé, par exemple dans `/etc/keepalived/notify.sh` :
@ -79,4 +87,12 @@ echo $1 $2 is in $3 state > /var/run/keepalive.state
Le fichier contiendra par exemple le texte : « INSTANCE vrrp is in MASTER state » Le fichier contiendra par exemple le texte : « INSTANCE vrrp is in MASTER state »
Ensuite, ce [check NRPE check_keepalived](https://gitea.evolix.org/evolix/ansible-roles/raw/branch/stable/keepalived/files/check_keepalived) peut être utilisé. Il lira le contenu du fichier `/var/run/keepalive.state` et sera en succès ou en échec selon l'état `master` ou `backup` attendu (et configuré dans le check). Ensuite, ce [check NRPE check_keepalived](https://gitea.evolix.org/evolix/ansible-roles/raw/branch/stable/keepalived/files/check_keepalived) peut être utilisé. Il lira le contenu du fichier `/var/run/keepalive.state` et sera en succès ou en échec selon l'état `master` ou `backup` attendu (et configuré dans le check).
## Différences avec vrrpd
Concernant le protocole VRRP, le paquet [vrrpd](/HowtoVRRP) et le paquet keepalived ont une différence majeure : pour attribuer l'IP flottante virtuelle, keepalived n'utilise pas d'interface supplémentaire contrairement à vrrpd, mais il attribue l'IP comme alias sur l'interface parente. Cela a plusieurs conséquences :
* L'IP virtuelle n'est pas visible avec `ifconfig`, mais est visible avec `ip a`
* L'adresse MAC de l'IP virtuelle est celle de l'interface parente, sur la machine master, et change donc selon quelle est la machine master
* Les paramètres sysctl nécessaires au fonctionnement de vrrpd ne sont pas nécessaires à keepalived