DigiLoog

PC関係の事なら何でもいけるそんな処

Archive for the ‘Linux’ Category

Proxmoxの偶数ノードクラスタでハマった

2023年01月22日(日) - 22:54 | カテゴリ: Linux

録画鯖と不要なサーバの統廃合をする為にProxmoxクラスタを作っていた時、それは起きた。
“ns-lab BB”で構築するサーバの基本設計は2台1組のデュアルアクティブ方式なのだが、
Proxmoxも同様に2台1組のスタンドアロン構成で組んでいた。

統廃合によって管理するゲストサーバ台数が増えたので、
管理画面から全台を見れる様にすべく4台クラスタに構成変更したのだが、
メンテナンスで2台停止する時にQuorum判定で過半数を超えられず、
ホストサーバがクラスタに復帰出来ない場合がある事にぶち当たった。

クラスタで良くあるQuorum判定はProxmoxでも有効で、
偶数ノードでクラスタを構築すると過半数を超えられずメンテ時に嵌る
実際に2台のホストを停止した状態が次の画像だが確実にNO判定になってしまい、
無理やりホストを起動してもゲストがエラーを吐いて起動出来なかった。
そもそも、後から起動したProxmoxノードがクラスタに参加出来なかったりする。

ググると『pvecm expected 1』でQuorum判定をYESに変更して復帰させる手法が出てくるが、
試した限り確実に復帰できるわけでは無く、正常に復帰出来なかった事も半分位あった。

この問題は最終的にクラスタノードを何回か再起動すると直る事が多いのだが、
クラスタ構成のイロハの通り、Proxmoxノードも奇数にしておく必要があると身をもって実感した。



CentOS7でnovnc 1.3.0-5へアップグレード出来なかった

2023年01月14日(土) - 19:10 | カテゴリ: Linux

自鯖の本番KVMホストサーバはkimchiを使ってゲストサーバをGUI管理しており、
このアプリの必須コンポーネントにnovncが含まれている。
最近、CentOS7の更新で降って来たnovnc 1.3.0-5へアップグレードしようとしたら、
次の依存エラーが表示されてアップグレード出来なかった。

Resolving Dependencies
--> Running transaction check
---> Package novnc.noarch 0:0.5.1-2.el7 will be updated
---> Package novnc.noarch 0:1.3.0-5.el7 will be an update
--> Processing Dependency: python3-websockify for package: novnc-1.3.0-5.el7.noarch
--> Finished Dependency Resolution
Error: Package: novnc-1.3.0-5.el7.noarch (epel)
           Requires: python3-websockify

エラー内容そのままだが、novnc 1.3.0-5を動かす為にはpython3-websockifyが必要になった模様。
CentOS7はpython2.7系なので、そのままではpython3-websockifyがインストール出来ず、
依存関係を解決出来なくてアップグレードに失敗した。

CentOS7でpython3を使うにはIUSのサードパーティリポジトリを追加する事が多いが、
IUSでpython3-websockifyを配っていないので、最終的に手動インストールが必要になる。

どうするか迷ったが、筆者は今回のnovncアップグレードを見送る事に。
頑張れば依存関係を解決出来そうだが手動インストールするとカオスになるので、
安定重視の本番KVMホストで試すのは諦めた。

CentOS7のEOLが2024年06月な事もあり、来年には刷新が必要なのでその時に直そうと思う。
それまでは、アップグレード時にexclude指定して乗り切る予定。



リバプロ配下のSquidでSSL複合化をしてみた

2023年01月04日(水) - 21:41 | カテゴリ: Linux

近頃のWebサイトはHTTPS接続が多くなっており、
通信経路上のProxyやFirewallでトラフィックを見れなくなっている。
そこで重要になるのがSSL複合化を実行する事で、
PCとサーバ間のSSL/TLS通信を一度解いてトラフィックを監査する手法となる。

いわゆる中間者攻撃をセキュリティ設備で実行する事になるのだが、
複合化・最暗号化はシステム負荷が高くエンタープライズでは専用装置を用いるのが常となる。
とは言っても、SquidでもSSL複合化は可能で検証程度ならコレでも十分だったりするので、
自宅サーバで運用しているSquidにもSSL複合化を実装して、負荷がどんな物かテストしてみた。



  • 応援中

    天使騒々 RE-BOOT!