[CentOS-es] LVS

Eduardo Grosclaude eduardo.grosclaude en gmail.com
Dom Nov 15 19:25:37 UTC 2009 

2009/11/14 ces can <arvegas21 en hotmail.com>

>  Saludos Comunidad:
>
> Tengo una solucion de balanceo de carga y alta disponibilidad basada en
> LVS.
> son dos balanceadores o lvs director como le dicen, estos estan en alta
> diponibilidad usando heartbeat para verificar si el otro a caido cuando uno
> caiga el otro lo reemplaza para  seguir balanceando la carga a los
> servidores reales.
> cuando hago una arp -a desde cualquier servidor puedo ver que al ip
> virtual  tiene la direccion mac de uno de los balanceadores, ahora ultimo he
> creado otro servidor virtual  en los balanceador lo que implica añadir una
> vip mas, ahora al hacer una arp -a se ve que una vip tiene la mac de un
> balanceador y la otra vip tieen la mac del otro balanceador(backup) pero el
> servicio igual funciona.
>
> Estos servidores esta en una rea llamado DMZ yo estoy en el area de la LAN
> estas areas estan diferentes patas del firewall.
>
> El problema es el suiguiente: Cuando un balanceador cae el otro toma su
> lugar y esta listo para recibir las peticiones del servidor caido , esto
> funciona pero solo en la DMZ.En la LAN donde estoy yo solo puedo acceder a
> una VIP y al otro no.Para verficar que es lo que estaba pasando hice un show
> mac...... en el firewall y revise el resultado en la que sse ve que la VIP a
> la cual no puedo acceder desde la LAN tiene la MAC del servidor que se
> apago.entonces cada vez que desde la LAN quiero acceder a la VIP en
> cuestion el firewall resuelve la mac del baalnceador que se apago.
> Como puedo hacer para que esto no suceda para que el fireewall actualice
> mas rapidola tabla mac , o las VIP no deben tener direccon mac?
>

No me es familiar el armado de soluciones con LVS, así que no debo estar
diciendo nada muy correcto... pero aunque sea, que valga para arrancar la
discusión: por lo que sé, cuando hay un failover, heartbeat soluciona el
problema de asignar la nueva MAC al IP de servicio lanzando un "arp
gratuito" a la red (una respuesta espúrea a una consulta ARP que no ha
existido, pero que sirve como notificación de la nueva pareja MAC+IP). Esto
normalmente es recibido por los switches a los que se conectan los equipos
en cluster, y por los demás hosts que se conectan a esos switches, y así
todos actualizan sus caches ARP.

Ahora, es posible que en tu situación, el firewall esté en modo demasiado
restringido y no acepte esos paquetes desde la DMZ? Has probado relajando la
política del firewall sobre la DMZ, aunque sea temporariamente, para ver qué
pasa?
Algún otro compañero tiene alguna idea más elaborada?


-- 
Eduardo Grosclaude
Universidad Nacional del Comahue
Neuquen, Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.centos.org/pipermail/centos-es/attachments/20091115/59061aff/attachment.html

Más información sobre la lista de distribución CentOS-es