您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關如何理解pfSense與CARP的硬件冗余,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。
每個CARP群集節點都需要一個真正的IP地址。 要擁有2個群集節點,實際接口需要2個IP地址,然后為每個CARP類型的虛擬IP地址添加一個附加IP。 如下圖所示,主CARP群集節點WAN的IP地址為127.29.29.1,輔助節點WAN的IP地址為127.29.29.2。 主集群節點LAN的IP地址為192.168.1.2,輔助節點LAN的IP地址為192.168.1.3。
在主集群節點上,在Firewall > Virtual IPs.中添加CARP類型的虛擬IP地址。 虛擬IP地址必須位于實際接口(WAN,LAN,OPT1等)上定義的IP地址的同一子網內。 必須為給定接口上的每個共享虛擬IP地址使用唯一的VHID。 最低的偏差表示節點應該是該VIP的CARP主站。 當將VIP同步到輔助節點時,XMLRPC進程將自動為每個偏移添加+100。 我們建議在主節點CARP虛擬IP上設置偏移量為0或1。
強烈建議使用專用的同步接口,特別是使用pfsync處理的狀態同步。 這不僅僅是出于安全目的,主要利于資源利用。 狀態同步會在繁忙的網絡環境中消耗大量的流量。設置每個群集同步接口,使用同一個子網IP地址。 例如:在主群集節點上輸入192.168.4.1,在次要群集節點上輸入IP地址192.168.4.2。 使用/ 24子網(255.255.255.0)。
在配置同步之前,將防火墻規則添加到節點之間傳遞流量的同步接口。
在同步接口選項卡上導航到 Firewall > Rules。
添加規則允許流量從同步網絡傳遞到任何目的地。
在所有集群節點上啟用狀態同步。
在System > High Avail. Sync啟用Synchronize States。
為狀態同步選擇正確的Synchronize Interface。
如果使用兩個群集節點,請在pfsync Synchronize Peer IP中輸入同步接口IP地址。
在示例圖中,主集群節點設置為192.168.4.2。 次級節點設置為192.168.4.1。
單擊保存。
在繼續之前,在每個集群節點上設置相同的管理員用戶密碼和webConfigurator協議(例如HTTPS)。
只能在主集群節點上啟用配置同步設置。
進入System > High Avail. Sync。
在“Synchronize Config to IP”中輸入輔助節點的IP地址(上述示例為192.168.4.2)。
在“Remote System Username”中輸入管理員用戶名(其他用戶名將不起作用)。
在“Remote System Password”輸入遠程系統密碼(所有節點上的密碼應相同)。
選中需要同步的項目。
單擊保存后,所選項目將與輔助節點同步。
在Firewall > NAT> Outbound選項卡上選擇Manual outbound NAT,單擊保存。
在LAN上編輯自動添加的規則
在WAN上選擇一個共享的CARP虛擬IP地址作為轉發地址。
單擊保存。
單擊應用更改。
注意:不要添加可能與群集的WAN /公網IP地址匹配的出站NAT規則。 這包括明確列出公網IP地址的規則以及任何設置為源的規則。 這些NAT規則將導致出現其他問題,并且當它處于備份狀態時將從次級節點中斷出站連接。
在主節點Services > DHCP Server上單擊LAN選項卡。
將默認網關設置為LAN上的CARP VIP,例如192.168.1.3。
將DNS服務器設置為LAN上的CARP VIP,例如192.168.1.3。
在故障切換對等IP中輸入輔助節點的IP地址。 這將在同步期間自動調整。
單擊保存。
訪問輔助集群節點,并驗證NAT,虛擬IP地址和規則是否已正確同步。
在兩個節點上,檢查Status > CARP (failover)。 如果任一系統顯示Enable CARP的按鈕,請單擊它。
在該頁面上,驗證VIP是否顯示正確的狀態。 在主節點上,每個VIP應顯示MASTER。 在次級節點上,每個VIP應顯示BACKUP。
必須檢查以下項目,以確保兩個節點之間XMLRPC配置能正確同步:
1.所有節點上的用戶名必須為admin。
2.所有節點上的密碼必須匹配。
3.每個集群節點上的WebConfigurator協議必須相同(HTTP與HTTPS)。
4.每個群集節點上的WebConfigurator端口必須相同(例如443)。
5.必須啟用輔助節點上的同步接口。
6.所有節點上的接口必須以相同的順序分配。
7.Synchronize Config to IP選項必須指向輔助接口的同步接口IP地址。
8.必須允許流量通過輔助節點同步接口上的webConfigurator端口。
9.只有在已經選中了各種XMLRPC配置同步選項后才能驗證只有主節點。
關于如何理解pfSense與CARP的硬件冗余就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。