클러스터의 인프라를 구축하고 싶습니다. 내 유일한 옵션은 컨테이너의 VPS입니다. 인프라는 다음과 같습니다.
들어오는 모든 트래픽은 Fw1에서 발생합니다. 프록시는 요청을 AppServerX로 리디렉션합니다. 데이터베이스가 다른 서브넷에 있습니다. Fw2를 통해 보안 영역에 액세스합니다. 모니터링 시스템은 다른 모든 시스템의 상태와 방화벽도 모니터링합니다. 보시다시피 애플리케이션 서버와 데이터베이스 서버는 고가용성을 위해 클러스터링됩니다. 또한 고가용성을 위해 방화벽을 클러스터링해야 합니다. 머신 간의 연결은 VPN을 통해 이루어져야 합니다. 이론적으로는 모든 것이 좋아 보이지만 실제로는 문제가 있습니다. VPN으로서 OpenVPN 서버/클라이언트 아키텍처와 영역 간 사이트 간을 사용할 계획입니다. 하지만 클러스터 방화벽을 만드는 방법을 이해할 수 없어서 몇 가지 문제가 있습니다. 슬레이브 모드의 방화벽뿐만 아니라 모든 시스템을 모니터링합니다. 어쩌면 아키텍처가 잘못되었을 수도 있습니다. 그렇기 때문에 어떤 조언이라도 감사하겠습니다. 모범 사례도 적어주세요.
감사해요.
답변1
먼저 방화벽 클러스터 간에 HA를 구현하는 방법에는 두 가지가 있습니다. 첫 번째는 a를 사용하는 것입니다.외부 모니터그러면 하트비트를 통해 모든 서버와 방화벽의 상태를 지속적으로 확인합니다. 장애 조치가 발생하는 경우 클러스터의 다른 방화벽이 연결 라우팅 및 관리를 담당합니다. 또 다른 방법은클러스터 자체가 장애 조치를 인식합니다.그러면 클러스터의 슬레이브 방화벽 중 하나가 마스터 방화벽이 됩니다. 모든 연결 상태는 새 소유자가 적절하게 처리합니다.
두 번째로 결정해야 할 것은 클러스터의 활성 백업 또는 활성-활성 구성이 필요한지 여부입니다. 해당 복잡성은 다양합니다. 활성 백업에서는 하나의 방화벽(마스터 방화벽)만 활성화되고 다른 방화벽은 섀도우(슬레이브 방화벽)에 있게 됩니다. 활성-활성 상태에서는 마스터 및 슬레이브 장치가 작동 모드에 있습니다.
이제 방화벽 클러스터에 HA를 구현하는 방법을 결정한 후에는 다음이 필요합니다.하트비트 또는 연결 유지HA 클러스터를 유지하기 위해 장애 조치를 위해 방화벽을 지속적으로 모니터링하고 마스터 노드와 슬레이브 노드를 추적합니다. 마스터 노드가 장애 조치될 때마다 클러스터 내 통신을 통해 새로운 마스터 노드가 선택됩니다. 방화벽을 복제하거나 클러스터 간 연결 상태를 동기화합니다.콘 추적사용할 수 있습니다. 이는 항상 클러스터 노드가 네트워크에 들키지 않고 마스터 노드의 임무를 정상적으로 인수할 수 있도록 준비 상태를 유지합니다.
개념가상 IP장애 조치 시나리오에서 슬레이브 노드 중 하나로 전환하는 데 사용됩니다.
따라서 현재 설계가 HA 클러스터 없이도 잘 작동한다고 가정하면 현재 아키텍처를 계속 사용하고 이러한 소프트웨어를 사용하여 HA를 클러스터에 포함할 수 있습니다.
HA 클러스터에서 달성하고자 하는 것이 무엇인지 명확하게 파악하고 이에 따라 진행하는 것이 중요합니다. 이게 도움이 되길 바란다.