web-dev-qa-db-ja.com

フェイルオーバーファイアウォール/ルーティング用のpfsync + carpに相当するLinux

私は現在、iptablesを使用してファイアウォール/ NATを処理するためにLinuxボックスを使用しています。 2つのNICがあります。1つはLANスイッチへのリンクで、もう1つは出力インターネットプロバイダーへのリンクです。冗長性を確保し、ソリューションに2つ目のインターネットプロバイダーを追加するために、このボックスを2つのボックスにアップグレードすることを検討しています。これは、私が信じている4つのポートが必要であることを意味します(間違っている場合は修正してください)

  1. 出力インターネットリンク#1
  2. 出口インターネットリンク#2
  3. LANポート
  4. フェイルオーバーを目的とした2つのボックス間のクロスオーバー

私はcarp + pfsyncが良い解決策であることを読みました。それは現在あなたのほとんどが使用しているものですか? Linuxに同等のソリューションはありますか?

上記と同様のセットアップについて、今日の時点で構成が容易なホットフェイルオーバーに関するいくつかの提案は何ですか?

7
imaginative

私はcarp + pfsyncを読んだことが良い解決策です。それは現在ほとんどの人が使っていることですか?

はい、はい:)

Instyeの注記のように、LinuxでのCARPには2つのパブリックプロジェクトがあります。ただし、どちらも特にアクティブではなく、pfsyncが含まれているとは信じていません。これはシバン全体にとってかなり重要です。

さらに、今年だけでPFおよびCARPコードにいくつかの大きな進歩がありました。 FreeBSDを含むすべての移植は、多くの場合、機能とバグの修正が遅れています。

現在のマシンが他のタスクを実行していない場合は、弾丸を噛んでOpenBSDを実装することをお勧めします。学習曲線は、いずれかのポートを起動して実行するよりも急ではありません。後悔しないと思います。

9
Dan Carley

CARPはLinuxで使用できます。 carp プロジェクトでユーザー空間の実装を確認してください。プロジェクトを2.6カーネルに移植しているようです。

http://www.ioremap.net/projects/carp

2
Insyte

linuxディストリビューションを完全に理解していなければ、vyattaを調べることができます。コミュニティエディションは無料です http://www.vyatta.com/downloads/documentation.php

1
Cristian

Linuxの同等の機能では、conntrack-toolsを使用して接続追跡状態を同期し、もちろんiptablesを同期します。 http://conntrack-tools.netfilter.org/manual.html#sync

1
Kenyon

ucarpとlinux-HAからのkeepalivedが言及されました...ミッシングリンクはLinuxのpfsyncと同等です:conntrack-toolsからconntrackdをよく見てください

1
Alex

見始めたいと思うウェブページは linux-ha です。彼らが提供するツールの1つは、サーバーのフェイルオーバーに使用できるハートビートプログラムです。

1
Zoredache

ボックスでOpenBSDを実行して、CARP + pf "out of the box"を使用することもできます。

0
Benoit