2. 1
Table des matières
1) Redondance Serveurs AD/DNS/DHCP...................................................................................... 2
I. Service DHCP.......................................................................................................................... 2
II. Service AD/DNS..................................................................................................................... 4
2) Redondance routeurs............................................................................................................. 6
I. Routeur Master...................................................................................................................... 6
II. Routeur de redondance ......................................................................................................... 7
3) Redondance Firewalls ...........................................................................................................11
I. Firewalls EXT.........................................................................................................................11
II. Firewalls INT.........................................................................................................................14
4) Redondance Serveur WEB.....................................................................................................19
I. Serveur Web INT...................................................................................................................19
II. Serveur Web EXT..................................................................................................................22
5) Redondance site WEB...........................................................................................................25
I. Site Web internet.gsb.fr.........................................................................................................25
II. Site Web externe.gsb.fr.........................................................................................................30
6) Redondance BDD..................................................................................................................34
7) Redondance Internet ............................................................................................................44
7. 6
2) Redondance routeurs
(Suite àdesproblèmesavecle protocole CARPcette configurationévolueraplusbas)
Pourla redondance je vaisutiliserle protocole VRRP
I. Routeur Master
Je metsen place le protocole VRRPsurchaque interface durouteur
J’ajoute lestrackspourchaque interface
Puisje metslestracks surl’interface durouteur
8. 7
Exemple pourune interface de VLAN
II. Routeur de redondance
Puisje configure le routeurde redondance
J’ajoute une interface surle switchArchi
Puisje déclare chaque groupe VRRPenchangeantl’IPde l’interface
Conf desdeux routeurs
Routeur:
10. 9
Puisl’étatduVRRP
Comme le firewallsne fonctionne pasaveclaVIPdesrouteursqui estsur l’interface0/0,je rajoute
donc unrouteur « de sortie » pour que lesfirewallstape surune IPfixe etnonune VIP
Je crée donclesroutessur le routeurde sortie
12. 11
3) Redondance Firewalls
Pourla redondance de firewall j’utilisele protocole CARPqui permetde mettre unfirewall enmaster
et l’autre enbackup
Je duplique donclesdeux firewallspourenfaire deuxde redondance
I. Firewalls EXT
Je metsune IP sur les OPT2
Redondance ext:172.23.1.2
Firewall ext:172.23.1.1
Je metsune IP sur lesinterfacesLAN desfirewalls :
LAN redondance ext :172.21.1.253
LAN ext: 172.21.1.254
Puisje prévoislapasserelle virtuelle:
IP : 172.21.1.252
13. 12
Je metsen placeslesinterfacessurlesdeux firewalls
EXT :
EXT redondance :
Je déclare lapasserelle virtuelle surlesdeux routeurs:
J’ajoute larègle de l’OPT2pourle protocole CARPsurchaque Firewalls
15. 14
Puisje le configure surle Firewall Backup
Je redémarre lesFirewallspuisvérifie le statusduprotocole CARP
Firewall EXT:
Firewall EXTredondance :
II. Firewalls INT
Je metsune IP sur lesOPT
Redondance ext:172.24.1.2
Firewall ext:172.24.1.1
Je metsune IP sur lesinterfacesLAN desfirewalls :
LAN redondance int : 172.18.0.5
LAN int : 172.18.0.2
Je metsune IP sur lesinterfacesWAN desfirewalls :
WAN redondance int: 172.21.1.2
16. 15
WAN int : 172.21.1.1
Puisje prévoislapasserelle virtuelle:
IP WAN : 172.21.1.250
IP LAN : 172.21.1.250
Je metsen placeslesinterfacessurlesdeux firewalls
INT redondance :
INT :
Je déclare lespasserellesvirtuelles surlesdeux routeurs:
J’ajoute larègle de l’OPT2pourle protocole CARPsurchaque Firewalls
18. 17
Puisje le configure surle Firewall Backup
Je redémarre lesFirewallspuisvérifie le status duprotocole CARP
Firewall INT:
Firewall Redondance INT:
Puisje change la route par defaultsurle routeur
Je testdepuisunposte du réseaus’il abieninternet
19. 18
Je désactive lesdeux firewallsprincipaux pourtester
On remarque bienlamicrocoupure maisqui n’impactepaslaconnexion
Et on voitbienlesdeux interfacesde redondance qui ontprisle relais
20. 19
4) Redondance Serveur WEB
I. Serveur Web INT
Pourfaire la Redondance desserveurswebpouréviter d’avoiràsaisirlesmêmesinformationsen
double j’utilise le logiciel Terminatorsurchacune desmachines puisplustardduLoad Balancingpour
lesservicesWEB
Une foisinstallé(aptinstall terminator)je configurele SSHsurchaque machine avecun port SSH
diffèrentduportpar default(dansnotre cas 2224)
21. 20
Puisje modifie lesrèglessurlesdeux firewallspourpermettreauSSHde passeretUNIQUEMENT le
SSH
Sur le Firewall INT:
- RulesLAN
- RulesOPT1
- StaticRoute
Sur le Firewall INTRedondance :
- RulesLAN
- Rule OPT1
- StaticRoute
Puisj’ajoute lesroutessurle routeurde sortie
22. 21
Puisje lance Terminatorsurle ServeurWebmaster,je e prépare de manière aavoir accèsaux deux
Serveurssimultanément
Puisje me connecte enSSH sur le serveurWebbackup
Puisj’active ladiffusionsimultanéetl’accésaux deux serveursestsimultanée
23. 22
II. Serveur Web EXT
Dans le même espritque lesserveurWebINTje suisobligé de rajouté unrouteurcar le protocole
CARPet lesVIPne permettentpasde mettre desroutessurune seul interface physique contenu
dans laVIP
J’ajoute doncle routeuretle parametre
Puisje paramètre lanouvelle passerelle duFirewall dual WAN
Puisje rajoute laroute par defaultsurle Routeur
Ensuite laroute Static
24. 23
Et enfinlaroute vers172.21.1.0 réseaude laBDD
Donc le routeurestbien paramétré etinternetpasse biendansle réseauGSB.Maintenantje
paramètre le SSHpour le fonctionnementde Terminator
J’ajoute toutd’abordlesdeux fameusesroutessurle routeur
Puisparamètre le SSHsur lesdeux machines
Ensuite je rajoute lesrèglessurl’interfaceWAN enpensantau NAT de l’interface WAN
Puislarègle sur OPT1
Et enfinlaroute static
Maintenantje faislesparamétragessurle Firewall de redondance
25. 24
Je rajoute lesRulesWAN en pensantau NAT de l’interface WAN
PuislesRulesOPT1
Et enfinlaroute static
Puisje faisle testde fonctionnementviaTerminatorsurle serveurMaster
Puisje testle fonctionnementavecladiffusionde groupe
26. 25
5) Redondance site WEB
I. Site Web internet.gsb.fr
PourIllustrerlaredondance de site WEBje vaisutiliserle site interne.gsb.fretrajouterunserveurde
Load Balancing
Je parametre le serveurde LoadBalancing
28. 27
Puisje metsenplace le Load Balancingsur le serveurLB
Je commence par activerlesmodulesapache pourle LoadBalancing
Module : proxy_http, proxy_balancer, lbmethodby_*
Puisje metslesparamètresde redondance dans 000-default.conf
Puisje paramètre le serveurWEBmaster
Puisensuite je metsenplace l’enregistrementDNSsurle serveurAD/DNS/DHCP
29. 28
Puisje faisde même surle serveurwebde redondance
Puisje metsl’IPde la BDD dans/etc/apache2/site-available/frontSite/.env
Je le faissur lesdeux serveursWEBducluster
Je vérifie déjàque laBDDrépondsur le premierserveurWEB
Pourêtre au plusproche de laconfigurationque je souhaite lamachine cluster2doitêtre enbackup
et de prendre le dessusque si cluster1tombe
30. 29
Donc je modifie le fichierapache surle serveurLB
Puisje testenéteignantle serveurWEBprincipal
Ca fonctionne bien,le basculementestbienopérationnel
Puisj’ajoute le mode stickyetLoadBalancing
Tout d’abordj’active le module headers
Puisje metsa jour le fichierde configuration
32. 31
Pourle site externe.gsb.frje reprendslamême logiqueque pourle site interne.gsb.frenadaptantles
IP
Je paramètre le serveurde LoadBalancing
Puisje metsenplace le Load Balancingsur le serveurLB
Je commence par activerlesmodulesapache pourle LoadBalancing
Module : proxy_http, proxy_balancer, lbmethodby_*
Puisje metslesparamètresde redondance dans000-default.conf
35. 34
6) Redondance BDD
Pourfaire la Redondance de laBDD j’utiliseraisaussi Terminator
Une foisinstallé(aptinstall terminator)je configurele SSHsurchaque machine avecun port SSH
diffèrentduportpar default(dansnotre cas 2222)
36. 35
Puisje configure Terminatorsurle Poste masterencréantungroupe
Puisje me connecte enSSH sur l’autre BDD
Puisj’active ladiffusionde groupe etje peux faire une saisie simultanée
Puisje rajoute larègle pourla nouvelleBDDdansle firewall
37. 36
Puispource qui est de la redondance mySQLetduLoadBalancingje vaisutiliserdeux solutions
Heartbeat et DRBD. Heartbeatpourla preemptionetlahaute disponibilité desBDDetDRBD pourla
partitionouse trouve mySQL.
Touteslesmodificationssimultanéessontfaite grâce àTerminatorenSSh
Modificationsfaitessurlesdeux machines
Je commence par mettre tousleshosts
Puisje créerla partition/sdb/sdb1à répliquer
Puisj’installe le paquet drbd-utils
J’active drbd
38. 37
Je crée unfichierde configurationde drbdpourconfigurertoute lesmachinesduclusters
Je configure le fichier
Puisje metsenfonctionnementdrbd
Je vérifie qu’ilest bienactif surlesdeux machines
39. 38
Les deux sontenSeconday,normal caril n’y a pas encore eude définitionde lamachine master
Modificationsuivanteseulementsurlamachine master
Je metsla machine « BDD-master» enprimaire ducluster
Modificationsuivantsurlesdeux machines
Puisje vérifie si lasynchronisationce faitetsi il y a bienPrimary/Secondarysurlamachine masteret
Secondary/Primarysurlamachine backup
Si la synchronisationestbienfini il doityavoirUpToDate/UpToDate àla finde la phrase de
configuration
Modificationsuivanteseulementsur lamachine master
Je formate la partitionaubonformat
Puisje vérifie si lapartitionestbienprésentedansle gestionnaire de partition
40. 39
A partirde laje metsenplace Heartbeat
Modificationsuivantsurlesdeux machines
J’installele paquetheartbeat
Pourlesfichiersde configurationje récupère lesmodèlesdisponible dans/usr/share/doc/heartbeat
pour lesmettresdans/etc/ha.d/
Je deziplesfichiersde conf
Puisje commence àparamètrerle fichier ha.cf
Puisle fichierauthkeys,dansnotre casj’utiliseraisseulementune sécurité sha1
Puisje change la sécurisationde authkeys
41. 40
Ensuite je modifiele fichierharesources
Ensuite je doisajouterlapartition/dev/drbd0dansfstab
Tout d’abordje récupere l’UUIDavecla commande blkidetj’ajoute laconfigurationdansfstab
Je metsle même UUID danslesdeux fichiersfstab
Ensuite je metschaque service audémarrage de la machine avecsystemctl enable
Au redémarrage bienvérifieravecdrbd-overview Bienvérifierqu’il yaConnectedet
Primary/secondaryetsurtout/UpToDate/UpToDate.
Pourvérifierle fonctionnementle metswatchdrbd-overview surle backupetje stopheartbeatsurla
machine master
La partitionestbienremontée estdisponible depuis/mnt
Je redémarre heartbeatsurlamachine master
42. 41
La machine masterrepasse bienmasteretlapartitionn’estplusdisponible surlamachine backup
Puisje metsenplace leslienssymboliquespouraccéderala BDD mysql qui estinstallé surla
partitionpardefault
Puismaintenantje modifie laBDDde manière àdifférencierlaBDDmasterde la BDD backup
Pourla BDD masterdans« champInterne3» je mets.100 et backup.101
43. 42
Puisje modifie lapage HTML qui affiche laBDD qui se trouve dans /var/www/html/interneSite/
Template/dataInterne/index.html.twig surlesserveurswebs
Puisj’actualise lapage pourvoirsi lesinformationsontbienété mise àjour
On va bienlapage du masteret dubackup qui alterne avecle loadbalancing
Maintenantje modifie l’ipde redirectiondesserveurswebaveclaVIPdesBDD
Puisje rajoute lesrèglessurlesFirewallspourautoriserlaVIPdesBDD
Maintenantje coupe heartbeatsurle serveurBDDmaster
44. 43
On voitbienque c’estlaBDD secondaire qui prendle dessusaveclabonne partition
Je vérifie surle clientque c’estbienladeuxieme BDDqui répond
On voitbienque c’estl’ip 172.21.1.101 qui prendle dessus etque la BDD backupprendla relève
45. 44
7) Redondance Internet
Je rajoute un NATpour le deuxième accèsinternet
Comme le firewallpossède seulement4sortie (WAN,LAN,OPT1etOPT2) déjàtoute prises je dois
rajouterunfirewall pourillustrerle Dual WAN (le firewalln’applique doncaucune règle de filtrage)
Puisj’ajoute l’interface WAN2puislametsenDHCP
Puisj’active lesoptionspourle Dual-WAN
47. 46
Je metsle groupe gatewaypar default
Puisle metsle groupe gatewaysurlesrulesduLAN
Je coupe une connexionpourtester
C’estbienl’autre interface qui prendle dessus