DigiLoog

続きを読む »

文章だと非常にわかりずらいので、またもやトポロジ図の出番。

1. サーバがInternetとLANに見せているドメインは同じ
2. VPNクライアント側はSplitTunnelingを使って、InternetとVPN網の両方に接続可能
3. androidからserverへ名前解決を行って"www.hoge.org"プライベートIPのAレコードが取れれば理想

この状態でandroidからserverに問い合わせを行うと、
グローバルIP(202.212.xxx.aaa)が返答されてしまい、
"www.hoge.org"のAレコードを引っ張る事が出来なかった。まぁ、当たり前って言えば当たり前なのだが

………

この辺りの対処方法は色々とやり方があるのだが、今回は優先DNSを設定する方法で対処。
しかし、PCではLANの名前解決が出来るのにandroidのWebブラウザから
"www.hoge.org"にアクセスしようとすると何故か202.212.xxx.aaaが返答され、
LAN内のAレコードが引けない状態となった。
しかし、androidから直接nslookupやったりdigったりすると、ちゃんとLAN内のAレコードが引ける状態…

この辺りで「Webブラウザ(Firefox)が臭うな…」と思ってchromeに変更してアクセスしてみると、
"www.hoge.org"がちゃんと表示出来た。

………

という事で、Webブラウザが見るDNSリゾルバがなんかおかしいという事がわかったので、
適当なWebブラウザの挙動を調べてみた。間違っていたらゴメンナサイ

• chrome → 優先DNSあればそっちも見る。
• Firefox → androidのネットワーク項目に設定したDNSサーバだけを見る。
• dolphin → 優先DNSがあればそっちも見る。

なんとも微妙な結果だが、今回の結末はWebブラウザの挙動で変化するという内容だった。

今回の事から
「DNSのTTLを長くしておくと、それに起因しての隠れた障害も起こりうるんだなぁ～」
と実感した昨晩。

DNSは軽視されがちだけど、一度障害が起きると全滅するから特に気をつけておきたい所。
…たとえソフトウェア側に問題があったとしても(´；ω；｀)

« 続きを隠す

続きを読む »

構築方法メモ

• Corosync
• Pacemaker
• ResourceAgents
• Cluster Glue
• crmsh
• HAProxy
• Squid

今回はメールシステムを組んだ時以来の難航作業だった(´・ω:;.:…
というのも、何処を探してもPacemaker+HeartBeatの構成は見つかるのだが、
具体的なPacemaker+Corosyncの構成が見つからなかった。

なんでCorosyncに拘ったのかと言うと、今回の構築ディストリがCentOS7であり、
yumで突っ込めるのがPacemaker+Corosyncだった為。
「yumでバイナリが用意されている = ソースから入れる事も可能」という安直な発想から突撃をしてみた。
その結果、1からドキュメントを読み直し、ソースをビルドし、ミドルウェアを連携させ、
コンフィグとinit(systemd)も自作するという果てしない道のりを歩んでしまった。

一番大変だったのは、Corosyncのビルド。はい。初っぱなから躓きました…
自分はソースビルドを行う時はprefix指定を行い、その中に全部突っ込むやり方をよくやるのだが、
Corosync+Pacemakerの場合は一部インストールディレクトリを変更してやる必要があった。
また、今回使うミドルウェア群はローレベルで読み込ませる必要もある為、
バイナリも"/usr/sbin"から拾える状態にする必要があったりと、
今までに自分の経験した事の無い構築手法をやる必要が出てきてしまった。

結果としては、prefix指定を行いながらも"/usr/sbin"からシンボリックリンクを張る方向で
なんとか落ち着かせる事ができ、バージョン管理(切り戻しなど)も行える構成に持って行けた。

………

冗長構成を組む際、本来ならインターリンクを使って本気で作ってやる必要があるのだが、
今回はNICが物理的に足りなかったり、単純な負荷分散装置としてProxy以外でも使いたかった為、
敢えて1物理鯖1NIC構成で構築を行った。結果として、これがまた面倒な事になった……(´・ω・｀)

Pacemakerでインターリンクを使わない場合、クラスタノードを探しだす処理にマルチキャストを使うのだが、
"ns-lab BB"の鯖では諸事情でマルチキャストを全遮断しているので、上記の構成が使えなかった。
その為、今回はユニキャストによる決め打ちでノードを探し出す設定に変更。
ユニキャストの設定方法は色々と見つかり、例を元にアレンジも加えつつコンフィグ作成を行ったのだが、
いざPacemakerとCorosyncを起動してもcrmshでノードが拾えないという始末。

駄目だった原因はcrmshより上位層である、
そもそものPacemaker+Corosync連携でミスっていたという悲劇。
この原因を突き止める為に3週間くらいかかってしまった。

………

そんなこんなでcrmshとpcsのどっちを使うか問題とか、
Pacemakerで割り当てたEIPにping送っても戻りが無くて、(´・ω・｀)としていたりとか、
色々と回り道をしつつも、なんとか冗長負荷分散Proxyを常用可能なレベルまで持っていく事が出来た。

冗長構成+負荷分散を一度でも構築した経験があれば、
NAT環境下でのサーバ冗長化も工夫次第で作れるし、色々と良い経験になった。

"ns-lab BB"配下は、シングル構成なシステムも何個かあるので、
これを気にシングル構成脱却を行っていきたい所。

« 続きを隠す

続きを読む »

そりゃ、金かけてVMwareとか入れられる人はそっちの方が断然良いのだが、
自宅でやっている程度なので、そこまでガチのシステムを組む金も無いわけで(´・ω・｀)

先の通り、サーバをコピーした場合でも、
上位に設置したHAProxyを使って分散とかも可能になるのが本構成の強み。
単純なhttpサーバなら、負荷がそこまで高くなる事は無いと思うのだが、
PHPとMySQLを元にブログとか公開してると、この読込み負荷が結構高かったりする。

ただ、MySQL自体を2+Xの構成にしてしまうとDBの同期が面倒だったり、
負荷分散型にするか、Active/Standby方式にするかと、新しい悩みが出てきしてしまうのが欠点。
その辺りは、レプリケーションを使えば良いのだが、それこそ面倒に…

………

他に自宅クラウド上の仮想サーバメリットと言えば、
仮想サーバ環境のその後を気にせず、システムを壊す事が可能という点。

これのメリットは自鯖屋にとっては凄く大きい。
なんせ、テストでシステムを壊してしまうというのは高頻度で発生するので(´；ω；｀)
その度に稼働中のインターネット公開用サーバを止める訳にもいかず。
wwwサーバならまだ良いが、mailとかDNSとかだったら問い合わせ元にも影響が出てしまうので。

………

と、いう事でMemoWikiの方にHAProxyとPacemakerを使って負荷分散する方法をメモしていたり。
今まではyum一発でやっていたのだが、今回訳あってソースから突っ込む必要があり、これがまた面倒くさい。

早めに書いて、何らかの物をメモしておかねば。

« 続きを隠す