Виртуальные IP-адреса

При использовании дополнительных адресов для таких функций, как NAT или привязка служб к различным интерфейсам, можно добавить дополнительные адреса к уже определённым интерфейсам при помощи виртуальных IP-адресов.

Примечание

Виртуальные IP играют важную роль в системах высокой доступности.

Типы и их использование

TING поддерживает различные типы виртуальных адресов, каждый из коорых имеет своё специальное назначение.

IP-алиас

Стандартный дополнительный адрес, который можно использовать для привязки служб или в правилах NAT.

Адрес будет действовать как обычный адрес интерфейса, что означает, что он будет отвечать на запросы ICMP ping и будет генерировать трафик ARP (2-й уровень OSI).

Также, можно добавить псевдоним в существующую группу CARP (задав его номер VHID).

Обычно, маска подсети должна соответствовать интерфейсам или определяться как один адреса (например, /32 или /128).

CARP

Указывает адрес для использования в кластере высокой доступности, действует как обычноый адрес, когда узел находится в состоянии ВЕДУЩЕЕ УСТРОЙСТВО.

В настройках необходимо указать номер группы VHID, кнопка Выберите неназначенный VHID позволяет автоматически установить доступный номер для группы. Обычный подход к выбору номера для VHID заключается в использовании разных номеров для каждого интерфейса, но это не является строгим требованием: базовый протокол требует, чтобы номер был уникальный только в пределах широковещательного домена указанного интерфейса. Тем не менее, для облегчения управления и отладки, рекомендуется испольлзовать уникальный номер VHID для каждого интерфейса.

Внутри протокола генерируется пользовательский mac-адрес, необходимый для его работы. Более подробная информация о CARP находится в разделе о высокой доступности.

Примечание

Виртуальный MAC-адрес CARP-интерфейса это 00:00:5e:00:01:XX, где последние два разряда будут заполнены его VHID.

Примечание

CARP использует номер протокола IP 112 (0x70). Для определения приоритета он будет рассылать сообщения, используя 224.0.0.18 или FF02::12.

Примечание

Адрес источника, который используют CARP-пакеты, не может быть изменён барндмауэром (обычно, это первый адрес в интерфейсе). Если между обоими брандмауэрами (например, облачный портал) выполняется фильтрация, убедитесь, что разрешён CARP-трафик с фактического адреса отправки. Вы можете использовать захват пакетов, если есть сомнения, какой адрес используется.

Совет

При отладке настроек CARP, рассмотрите возможность повышения детализации его системного журнала. Это можно сделать, добавив настройку net.inet.carp.log со значением 2 в Система ‣ Настройки ‣ Параметры. Журнал можно будет посмотреть в Система ‣ Журналы ‣ Системный журнал (записи с Процесс = kernel) или используя dmesg.

Комбинирование типов виртуальных IP-адресов CARP с IP-алиасами

В тех случаях, когда требуется несколько IP-алиасов на одном интерфейсе, являющимся обшим для кластера CARP, можно назначить один виртуальный IP CARP с определённым VHID в сочетании с обычными типами IP-алиасов - установив в поле VHID тот же номер, что и в исходном виртуальном IP:

  • Весь набор настроенных виртуальных адресов теперь считается одним хостом (VHID).

  • Только этот VHID будет рассылать пакеты сообщений.

  • Набор IP-адресов для этого VHID хэшируется и вставляется в пакеты сообщений. Этот хэш сравнивается с таким же хэшем VHID у узла, при получении CARP-сообщений. Если они не совпадают, данный узел принимает на себя роль ведущего, поскольку конфигурация не синхронизирована.

Предупреждение

Хотя технически возможно назначить несколько виртульных IP CARP на один и тот же интерфейс, но с отдельными VHID, это не даёт никаких преимуществ и не рекомендуется. Трафик CARP и системные процедуры для отказоустойчивости будут линейно увеличивать шум на виртуальный IP. Посколько основная цель CARP - реагировать на изменения состояния соединения, один VHID, действующий для одного интерфейса - это наиболее эффективный способ использования протокола.

Прокси ARP

Вместо добавления реального адреса в интерфейс, используется пакет FreeBSD choparp для ответа на arp-запросы в сети. Это может быть полезным в случаях, когда клиенты должны считать, что адрес является локальным.

Другое

Режим Другое не отвечает на сообщения ICMP ping или запросы ARP - он просто является определением адреса (или диапазона), который можно использовать в правилах NAT, Это удобно, когда брандмаужр имеет публичный IP-блок, маршрутизируемый на его WAN IP-адрес, IP-алиас или виртуальный IP-адрес CARP.

Настройки

Интерфейс предоставляет комбинации подходящих настроек опций, ниже описаны все возможные.

Режим

Тип адреса, как определено в разделе Типы и их использование.

Интерфейс

Интерфейс, которому принадлежит адрес.

Сеть/Адрес

Адрес и подсеть для назначения в формате CIDR (например, 192.168.0.1/24).

Шлюз

Применяется только для типов IP-алиас - обычно, это поле оставляется пустым. Это значение требуется для настройки псевдонима IP для туннельных устройств ( ppp/pppoe/tunnel), которые ожидают, что будет определён адрес шлюза.

Отключить Expansion

Отключить расширение этой записи на IP-адреса в списках NAT (например, 192.168.1.0/24 расширяется до 256 записей).

Запретить привязку к сервису

Назначение служб на интерфейс виртуального IP, будет автоматически включать этот адрес. Установите флажок, чтобы запретить привязку к этому адресу.

Пароль

Используется для аутентификации CARP-сообщений между членами группы.

Группа VHID

Номер для идентификации резервной группы для других узлов в группе и для различения групп в одной сети. Допустимые значения: 1..255.

advbase

Частота отправления сообщений (CARP-сообщений) в сеть о том, что хост является членом резервной группы. По умолчанию - 1 секунда, допустимые значения: 1..255.

advskew

Указывает на размере искажения advbase при отправке CARP-сообщений. Определяет, какой из резервных хостов подменит ВЕДУЩЕЕ УСТРОЙСТВО, в случае его выхода из строя. Меньшее значение означает больший приоритет: главный хост имеет advskew равный 0. Измеряется в 1/256 секунды, диапазон значений: 0..254.

Описание

Понятное описание для данного виртуального IP.

Статус

На данной странице находится список всех настроенных групп VHID для CARP и их текущее состояние. Ниже, расположены кнопка отключения CARP и кнопка перевода в режим обслуживания, а также индикатор текущего уровня понижения CARP.

Ниже перечислены все варианты статусов узлов.

ИНИЦИАЛИЗАЦИЯ

Такой статус, как правило, указывет на проблемы с интерфейсом - это, часто, связано с неподключенными интерфейсами или другими техническими проблемами.

РЕЗЕРВНЫЙ

В резервном состоянии, этот интерфейс является частью кластера и слушает сообщения ведущего устройства. Если в течение установленного времени сообщений не будет, то интерфейс перейдёт в состояние ведущего.

ВЕДУЩЕЕ УСТРОЙСТВО

Отмечает активный узел, прослушивая сообщения, появляющиеся в сети. Если будет замечен узел с лучшим (меньшим) значением advbase, то данный узел может перейти в статус резервного (в зависимости от настройки preempt, находящейся в Система ‣ Высокий уровень доступности ‣ Настройки.

ОТКЛЮЧЕНО

Отображается при нажатии на кнопку Временно отключить CARP.