我想建立集群的基础设施。我唯一的选择是容器中的 VPS。以下是基础设施应该是什么样子的。
所有传入流量均来自 Fw1。代理将请求重定向到 AppServerX。数据库位于另一个子网中。通过 Fw2 访问安全区域。监控机器还监控所有其他机器的健康状况和防火墙。如您所见,应用程序服务器和数据库服务器已集群化以实现高可用性。此外,防火墙应该集群化以实现高可用性。机器之间的连接应通过 VPN 进行。理论上一切听起来都不错,但实际上我有问题。作为 VPN,我计划使用 OpenVPN 服务器/客户端架构和区域之间的站点到站点。但我有一些问题,因为我无法理解如何制作集群防火墙。并监视所有机器,以及处于从属模式的防火墙。也许架构是错误的。这就是为什么任何建议都会受到赞赏。请同时写下最佳实践。
谢谢。
答案1
首先,要实现防火墙集群之间的HA有两种方法,第一种是使用一个外接显示器这将通过心跳不断检查所有服务器和防火墙的运行状况。如果发生故障转移,集群中的其他防火墙将负责路由和管理连接。另一种方法是让集群自身识别故障转移然后集群中的从防火墙之一将成为主防火墙。所有连接状态都将由新主人妥善处理。
您应该决定的第二件事是,您是否需要集群的主动备份或主动-主动配置,相应的复杂性会有所不同。在主动备份中,只有一个防火墙将处于活动状态(主防火墙),其他防火墙将处于阴影状态(从属防火墙)。而在主动-主动的情况下,主设备和从设备将处于工作模式。
现在,一旦您决定如何为防火墙集群实现 HA,您需要心跳或 Keepalived为了维护 HA 集群,它将持续监视防火墙的故障转移并跟踪主节点和从节点,每当主节点发生故障转移时,就会通过集群内的通信选择新的主节点。在集群之间复制防火墙或同步连接状态康恩跟踪可以使用。它将始终保持集群节点准备好优雅地接管主节点的职责,而不会被网络注意到。
的概念虚拟IP用于在故障转移场景下切换到其中一个从节点。
因此,假设您当前的设计在没有 HA 集群的情况下运行良好,因此您可以继续使用当前的架构并使用这些软件在集群中嵌入 HA。
重要的是您应该清楚您希望从 HA 集群中实现什么目标,并相应地继续实施。我希望这会有所帮助。