このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

HAクラスタシステム構築 このメッセージに返信する
日時: 2009/12/30 19:52
名前: ぐっちゃん
URL: http://www.gucchan.com
お世話になっております。

こちらの際で公開されております
HAクラスタシステム構築(Heartbeat+DRBD+Apache)
を参考にクラスタシステムを構築してみました。

ファイアウォール構築(iptables)
を実施したところ双方のサーバを認識できないようになってしまいました。
iptables は、概要の理解程度で詳しくないので困っております。
どなたか、ご教授くださいますよう

下記に、バージョン、crm_mon の結果および messages
の抜粋を記載しました。
よろしくお願いします。
-----------------------------------------------------------------------------------
CentOS 5.2
drbd83
kmod-drbd83
該当バージョンのカーネルが、centosplus にしかなかったため
kernel-2.6.18-164.9.1.el5 を使用

[root@cl1 ~]# rpm -qi kmod-drbd83
Name : kmod-drbd83 Relocations: (not relocatable)
Version : 8.3.2 Vendor: CentOS
Release : 6.el5_3 Build Date: 2009年08月30日 03時03分05秒
Install Date: 2009年12月29日 20時47分38秒 Build Host: v20z-x86-64
Group : System Environment/Kernel Source RPM: drbd83-kmod-8.3.2-6.el5_3.src.rpm
Size : 272080 License: GPL
Signature : DSA/SHA1, 2009年08月30日 03時27分55秒, Key ID a8a447dce8562897
Packager : Johnny Hughes <johnny@centos.org>
URL : http://www.drbd.org/
Summary : drbd83 kernel module(s)
Description :
This package provides the drbd83 kernel modules built for the Linux
kernel 2.6.18-128.7.1.el5 for the i686 family of processors.

heartbeatの設定で監視時間を考慮していなかったため
正常に動作しているにもかかわらず、
フェイルオーバーがうまくできないと勘違いして
何回か、再インストールを行いましたが、

Webサーバー間通信内容暗号化(Apache+mod_SSL)
まで完了しました。

----------------cl1 ---------------------------------------------------------------------
Defaulting to one-shot mode
You need to have curses available at compile time to enable console mode


============
Last updated: Wed Dec 30 19:00:13 2009
Current DC: cl2.gucchan.com (35222b8c-3c43-4395-bbc9-994d682a7b8a)
2 Nodes configured.
1 Resources configured.
============

Node: cl1.gucchan.com (813740fc-ed58-4e5e-ab46-81fa2590442e): online
Node: cl2.gucchan.com (35222b8c-3c43-4395-bbc9-994d682a7b8a): online

Resource Group: group_1
IPaddr2_1 (heartbeat::ocf:IPaddr2): Started cl1.gucchan.com
MailTo_2 (heartbeat::ocf:MailTo): Started cl1.gucchan.com
drbddisk_3 (heartbeat:drbddisk): Started cl1.gucchan.com
Filesystem_4 (heartbeat::ocf:Filesystem): Started cl1.gucchan.com
httpd_5 (lsb:httpd): Started cl1.gucchan.com

----------------cl2 -------------------------------------------------------------------
Defaulting to one-shot mode
You need to have curses available at compile time to enable console mode


============
Last updated: Wed Dec 30 19:00:05 2009
Current DC: cl2.gucchan.com (35222b8c-3c43-4395-bbc9-994d682a7b8a)
2 Nodes configured.
1 Resources configured.
============

Node: cl1.gucchan.com (813740fc-ed58-4e5e-ab46-81fa2590442e): online
Node: cl2.gucchan.com (35222b8c-3c43-4395-bbc9-994d682a7b8a): online

Resource Group: group_1
IPaddr2_1 (heartbeat::ocf:IPaddr2): Started cl1.gucchan.com
MailTo_2 (heartbeat::ocf:MailTo): Started cl1.gucchan.com
drbddisk_3 (heartbeat:drbddisk): Started cl1.gucchan.com
Filesystem_4 (heartbeat::ocf:Filesystem): Started cl1.gucchan.com
httpd_5 (lsb:httpd): Started cl1.gucchan.com


ところが、
ファイアウォール構築(iptables)
したところ

----------------cl1 ----------------------------------------------------------------------
ファイアウォールのルールを /etc/sysconfig/iptables に保存中[ OK ]
ファイアウォールルールを適用中: [ OK ]
チェインポリシーを ACCEPT に設定中filter [ OK ]
iptables モジュールを取り外し中 [ OK ]
iptables ファイアウォールルールを適用中: [ OK ]
iptables モジュールを読み込み中ip_conntrack_netbios_ns [ OK ]
[root@cl1 ~]# mon
Defaulting to one-shot mode
You need to have curses available at compile time to enable console mode


============
Last updated: Wed Dec 30 19:02:46 2009
Current DC: cl1.gucchan.com (813740fc-ed58-4e5e-ab46-81fa2590442e)
2 Nodes configured.
1 Resources configured.
============

Node: cl1.gucchan.com (813740fc-ed58-4e5e-ab46-81fa2590442e): online
Node: cl2.gucchan.com (35222b8c-3c43-4395-bbc9-994d682a7b8a): OFFLINE

Resource Group: group_1
IPaddr2_1 (heartbeat::ocf:IPaddr2): Started cl1.gucchan.com
MailTo_2 (heartbeat::ocf:MailTo): Started cl1.gucchan.com
drbddisk_3 (heartbeat:drbddisk): Started cl1.gucchan.com
Filesystem_4 (heartbeat::ocf:Filesystem): Started cl1.gucchan.com
httpd_5 (lsb:httpd): Started cl1.gucchan.com

----------------cl2 --------------------------------------------------------------------
ファイアウォールのルールを /etc/sysconfig/iptables に保存中[ OK ]
ファイアウォールルールを適用中: [ OK ]
チェインポリシーを ACCEPT に設定中filter [ OK ]
iptables モジュールを取り外し中 [ OK ]
iptables ファイアウォールルールを適用中: [ OK ]
iptables モジュールを読み込み中ip_conntrack_netbios_ns [ OK ]
[root@cl2 ~]# mon
Defaulting to one-shot mode
You need to have curses available at compile time to enable console mode


============
Last updated: Wed Dec 30 19:02:41 2009
Current DC: cl2.gucchan.com (35222b8c-3c43-4395-bbc9-994d682a7b8a)
2 Nodes configured.
1 Resources configured.
============

Node: cl1.gucchan.com (813740fc-ed58-4e5e-ab46-81fa2590442e): OFFLINE
Node: cl2.gucchan.com (35222b8c-3c43-4395-bbc9-994d682a7b8a): online

Resource Group: group_1
IPaddr2_1 (heartbeat::ocf:IPaddr2): Started cl2.gucchan.com
MailTo_2 (heartbeat::ocf:MailTo): Started cl2.gucchan.com
drbddisk_3 (heartbeat:drbddisk): Stopped
Filesystem_4 (heartbeat::ocf:Filesystem): Stopped
httpd_5 (lsb:httpd): Stopped

上記のように、cl1 および cl2 が、お互いを認識できないようになってしまいました。

記事編集 編集
Re: HAクラスタシステム構築 このメッセージに返信する
日時: 2009/12/30 19:56
名前: ぐっちゃん
URL: http://www.gucchan.com
続きです。

iptables を停止すると、下記のような状態になります。

----------------cl1 ---------------------------------------------------------------------
Defaulting to one-shot mode
You need to have curses available at compile time to enable console mode


============
Last updated: Wed Dec 30 19:04:20 2009
Current DC: cl2.gucchan.com (35222b8c-3c43-4395-bbc9-994d682a7b8a)
2 Nodes configured.
1 Resources configured.
============

Node: cl1.gucchan.com (813740fc-ed58-4e5e-ab46-81fa2590442e): online
Node: cl2.gucchan.com (35222b8c-3c43-4395-bbc9-994d682a7b8a): online

Resource Group: group_1
IPaddr2_1 (heartbeat::ocf:IPaddr2): Started cl1.gucchan.com
MailTo_2 (heartbeat::ocf:MailTo): Started cl1.gucchan.com
drbddisk_3 (heartbeat:drbddisk): Started cl1.gucchan.com
Filesystem_4 (heartbeat::ocf:Filesystem): Started cl1.gucchan.com
httpd_5 (lsb:httpd): Started cl1.gucchan.com

Failed actions:
drbddisk_3_start_0 (node=cl2.gucchan.com, call=11, rc=1): Error

----------------cl2 -------------------------------------------------------------------------
ファイアウォールルールを適用中: [ OK ]
チェインポリシーを ACCEPT に設定中filter [ OK ]
iptables モジュールを取り外し中 [ OK ]
[root@cl2 ~]# mon
Defaulting to one-shot mode
You need to have curses available at compile time to enable console mode


============
Last updated: Wed Dec 30 19:04:13 2009
Current DC: cl2.gucchan.com (35222b8c-3c43-4395-bbc9-994d682a7b8a)
2 Nodes configured.
1 Resources configured.
============

Node: cl1.gucchan.com (813740fc-ed58-4e5e-ab46-81fa2590442e): online
Node: cl2.gucchan.com (35222b8c-3c43-4395-bbc9-994d682a7b8a): online

Resource Group: group_1
IPaddr2_1 (heartbeat::ocf:IPaddr2): Started cl1.gucchan.com
MailTo_2 (heartbeat::ocf:MailTo): Started cl1.gucchan.com
drbddisk_3 (heartbeat:drbddisk): Started cl1.gucchan.com
Filesystem_4 (heartbeat::ocf:Filesystem): Started cl1.gucchan.com
httpd_5 (lsb:httpd): Started cl1.gucchan.com

Failed actions:
drbddisk_3_start_0 (node=cl2.gucchan.com, call=11, rc=1): Error

記事編集 編集
Re: HAクラスタシステム構築 このメッセージに返信する
日時: 2009/12/30 20:00
名前: ぐっちゃん
URL: http://www.gucchan.com
続きです。

----------------cl1 messages--------------------------------------------------------------
Dec 30 19:02:30 cl1 kernel: [IPTABLES INPUT] : IN=eth0 OUT= MAC=00:0f:ea:7b:4c:f2:00:0f:ea:7a:b7:12:08:00 SRC=192.168.1.2 DST=192.168.1.1 LEN=213 TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=37613 DPT=694 LEN=193
Dec 30 19:02:31 cl1 kernel: [IPTABLES INPUT] : IN=eth0 OUT= MAC=01:00:5e:00:00:fb:00:0f:ea:7a:b7:12:08:00 SRC=192.168.1.2 DST=224.0.0.251 LEN=129 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=109
Dec 30 19:02:32 cl1 kernel: [IPTABLES INPUT] : IN=eth0 OUT= MAC=00:0f:ea:7b:4c:f2:00:0f:ea:7a:b7:12:08:00 SRC=192.168.1.2 DST=192.168.1.1 LEN=213 TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=37613 DPT=694 LEN=193
Dec 30 19:02:38 cl1 last message repeated 3 times
Dec 30 19:02:40 cl1 kernel: [IPTABLES INPUT] : IN=eth0 OUT= MAC=00:0f:ea:7b:4c:f2:00:0f:ea:7a:b7:12:08:00 SRC=192.168.1.2 DST=192.168.1.1 LEN=219 TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=37613 DPT=694 LEN=199
Dec 30 19:02:40 cl1 kernel: [IPTABLES INPUT] : IN=eth0 OUT= MAC=00:0f:ea:7b:4c:f2:00:0f:ea:7a:b7:12:08:00 SRC=192.168.1.2 DST=192.168.1.1 LEN=213 TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=37613 DPT=694 LEN=193
Dec 30 19:02:44 cl1 last message repeated 2 times
Dec 30 19:02:45 cl1 kernel: [IPTABLES INPUT] : IN=eth0 OUT= MAC=01:00:5e:00:00:fb:00:0f:ea:7a:b7:12:08:00 SRC=192.168.1.2 DST=224.0.0.251 LEN=129 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=109
Dec 30 19:02:46 cl1 kernel: [IPTABLES INPUT] : IN=eth0 OUT= MAC=00:0f:ea:7b:4c:f2:00:0f:ea:7a:b7:12:08:00 SRC=192.168.1.2 DST=192.168.1.1 LEN=213 TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=37613 DPT=694 LEN=193
Dec 30 19:02:47 cl1 kernel: [IPTABLES INPUT] : IN=eth0 OUT= MAC=01:00:5e:00:00:fb:00:0f:ea:7a:b7:12:08:00 SRC=192.168.1.2 DST=224.0.0.251 LEN=141 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=121
----------------cl2 messages---------------------------------------------------------------
Dec 30 19:01:52 cl2 kernel: ip_tables: (C) 2000-2006 Netfilter Core Team
Dec 30 19:01:52 cl2 kernel: Netfilter messages via NETLINK v0.30.
Dec 30 19:01:52 cl2 kernel: ip_conntrack version 2.4 (8192 buckets, 65536 max) - 228 bytes per conntrack
Dec 30 19:02:12 cl2 avahi-daemon[2910]: Registering new address record for 172.16.1.7 on eth1.
Dec 30 19:02:12 cl2 avahi-daemon[2910]: Withdrawing address record for fe80::207:e9ff:fe12:83df on eth1.
Dec 30 19:02:12 cl2 avahi-daemon[2910]: Withdrawing address record for 172.16.1.52 on eth1.
Dec 30 19:02:12 cl2 avahi-daemon[2910]: Withdrawing address record for fe80::20f:eaff:fe7a:b712 on eth0.
Dec 30 19:02:12 cl2 avahi-daemon[2910]: Withdrawing address record for 192.168.1.2 on eth0.
Dec 30 19:02:12 cl2 avahi-daemon[2910]: Host name conflict, retrying with <cl2-2>
Dec 30 19:02:12 cl2 avahi-daemon[2910]: Registering new address record for fe80::207:e9ff:fe12:83df on eth1.
Dec 30 19:02:12 cl2 avahi-daemon[2910]: Registering new address record for 172.16.1.7 on eth1.
Dec 30 19:02:12 cl2 avahi-daemon[2910]: Registering new address record for 172.16.1.52 on eth1.
Dec 30 19:02:12 cl2 avahi-daemon[2910]: Registering new address record for fe80::20f:eaff:fe7a:b712 on eth0.
Dec 30 19:02:12 cl2 avahi-daemon[2910]: Registering new address record for 192.168.1.2 on eth0.
Dec 30 19:02:12 cl2 avahi-daemon[2910]: Registering HINFO record with values 'I686'/'LINUX'.
Dec 30 19:02:13 cl2 avahi-daemon[2910]: Withdrawing address record for fe80::207:e9ff:fe12:83df on eth1.
Dec 30 19:02:13 cl2 avahi-daemon[2910]: Withdrawing address record for 172.16.1.52 on eth1.
Dec 30 19:02:13 cl2 avahi-daemon[2910]: Withdrawing address record for fe80::20f:eaff:fe7a:b712 on eth0.
Dec 30 19:02:13 cl2 avahi-daemon[2910]: Withdrawing address record for 192.168.1.2 on eth0.
Dec 30 19:02:13 cl2 avahi-daemon[2910]: Host name conflict, retrying with <cl2-3>
Dec 30 19:02:13 cl2 avahi-daemon[2910]: Registering new address record for fe80::207:e9ff:fe12:83df on eth1.
Dec 30 19:02:13 cl2 avahi-daemon[2910]: Registering new address record for 172.16.1.7 on eth1.
Dec 30 19:02:13 cl2 avahi-daemon[2910]: Registering new address record for 172.16.1.52 on eth1.
Dec 30 19:02:13 cl2 avahi-daemon[2910]: Registering new address record for fe80::20f:eaff:fe7a:b712 on eth0.
Dec 30 19:02:13 cl2 avahi-daemon[2910]: Registering new address record for 192.168.1.2 on eth0.
Dec 30 19:02:13 cl2 avahi-daemon[2910]: Registering HINFO record with values 'I686'/'LINUX'.
記事編集 編集
Re: HAクラスタシステム構築 このメッセージに返信する
日時: 2009/12/30 23:30
名前: 愚者
URL:

このサイトの設定では、ハートビート通信にUDP/694を使用します。

/etc/ha.d/ha.cf の udpport で指定します。

messagesのログにもあるように、UDP/694の通信が破棄されているようです。
iptablesのフィルタを見直して、UDP/694を許可するようにしてみて下さい。

特にmessagesから判断すると、eth0,eth1のNICが存在し、さらにそれぞれ別セグメントの
IPアドレスを割り当てているようですね。
このような環境の場合、このサイトで紹介しているiptablesのスクリプトでは
eth0またはeth1に対してしか通信許可の設定ができません。

記事編集 編集
Re: HAクラスタシステム構築 このメッセージに返信する
日時: 2010/01/01 02:04
名前: ぐっちゃん
URL: http://www.gucchan.com
あけまして、おめでとうございます

愚者様

ありがとうございます。

>このサイトの設定では、ハートビート通信にUDP/694を使用します。
>
>/etc/ha.d/ha.cf の udpport で指定します。
>
>messagesのログにもあるように、UDP/694の通信が破棄されているようです。
>iptablesのフィルタを見直して、UDP/694を許可するようにしてみて下さい。
>
>特にmessagesから判断すると、eth0,eth1のNICが存在し、さらにそれぞれ別セグメントの
>IPアドレスを割り当てているようですね。
>このような環境の場合、このサイトで紹介しているiptablesのスクリプトでは
>eth0またはeth1に対してしか通信許可の設定ができません。

ご指摘の通り、UDP/694の通信を許可する設定を追加して、問題なく動作するようになりました。
内部からのアクセスをすべて許可する設定があったので、eth1の設定を追加するだけで
良いと思い込んでおりました。

これで、運用テストができます。
ありがとうございました。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -