Les Forums
Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer
Adresse Mac virtuel pour heartbeat
| Salut a tous, je suis nouveau sur ce forum j'espere j'ai mis mon post ou il fallai. J'ai mis en place une archi de haute disponibilité avec Heartbeat et DRBD. Tout fonctionne plutot bien masi j'ai un petit soucis. Lorsque la solution va etre deployée en production, la protection des routeurs contre l'ARP spoofing risque de poser un serieux problème sachant que Heartbeat ne se base que sur une adresse IP virtuelle et non sur une adresse MAC virtuelle. (en effet, les routeurs voir les firewall ne mettent pas à jour leur table de correspondance ARP directement en réponse à un Gratuitous ARP par example) J'aurai donc aimer savoir si il existait une solution avec heartbeat pour permettre d'utiliser une mac virtuelle ou contourner ce probleme. Merci d'avavance a tous Niko |
| Avec carp, ou ucarp sous linux il me semble que tu as cela. |
Oui g vu ya aussi keepalived apparemment ou je peux avoir une adresse MAC virtuelle unique qui correspond à l'adresse virtuelle unique utilisée pour switcher entre le nominal et le backup... Mais j'aurai voulu être tout d'abord sur que ce n'était pas possible avec heartbeat... Merci bien quand même... si quelqun d'autre a une idée |
et en fait...UCARP: (Une implémentation de CARP indépendante d'OpenBSD) Le changement d'état est scriptable, mais UCARP ne fonctionne pas avec une Mac virtuelle, ce qui pose problème avec les équipements faisant du cache ARP. En cas de bascule, le temps de rétablissement doit aussi tenir compte de la purge ARP des hôtes du réseau, mise à jour dont le temps est variable et difficilement maîtrisable. VRRP a l'air le seul et je me demande si c juste au niveau routeur qu'on peut l'implementer... 😥 |
| Ah bah c'est encore une magnifique implémentation de carp sous linux alors, car c'ets bien le fonctionnement nominal de carp sous openbsd... |
| 😯 ah flut.... ca voudrai dire qu'ils ont implementer CARP sous linux sans garder l'adresse MAC virtuelle.... c pas trop cool ca enfin jvais rechercher un peu plus.... sinon moi c'est pour de la haute disponibilité au niveau d'un service donc on parle beaucoup de VRRP pour les routeur donc jsais pas encore si ca peut me convenir... Sinon si qqun d'autre a des remarques ca sera avec plaisir. |
| Tu peux scripter à la main le changement d'adresse MAC lors de la bascule sinon. |
oui ca reste un peu bourrin comme méthode.... Car aussi j'ai remarqué que l'adresse MAC de l'adresse virtuelle sur la machine nominale et backup sont identique aux adresses MAC des cartes correspondantes... Merci bien pour ton aide en tout cas Si qqun a une autre idée... |
| Je me trouve dans la même situation. Tu as trouvé la solution à ton problème ? Perso je dois passer par un PIX de cisco avec deux machines sous heartbeat derrière, et ce soucis me bloque. |
| Ca me rajeuni pas qu'on me reparle d'hearbeat... Comme me la suggéré le script précédent, seule l'utilisation d'une adresse mac virtuelle commune a pu réglé mon problème... Il existe des outils pour ca comme mentionnés plus haut mais j'ai plutot choisi une solution de script pour la maquette que je montais. Bon courage. |
| Je ne pense pas qu'une mac virtuelle change mon problème. Typiquement, le pix refuse les connexion vers l'ip virtuelle. Dans sa table arp, il associe l'ip virtuelle à l'adresse mac du load-balancer, cependant l'adresse mac est déjà présente pour l'ip publique réel du serveur. Cependant, plusieurs ip peuvent avoir la même mac, mais je pense que c'est celà qui perturbe le pix. |