NFS4 a krb5 v HA?

[MP]

Zdravim,

zrealizovat NFS4 s krb5 jde. Jde to ale i v HA, pokud ano, jak? V pripade virtualni IP je tu kolize s hostname serveru pro z hlediska kerberosu...Nejak nemuzu nic dohledat...

Diky.

[Reklama]

[citanus006]

Pokud zajistite, ze klient bude schopen komunikovat s kazdym zvlast, tak s virtualni ip by potom nemel problem.

[MP]

Pokud zajistite, ze klient bude schopen komunikovat s kazdym zvlast, tak s virtualni ip by potom nemel problem.

Jedna se o active/passive cluster, komunikace klient server bude prave po te virtualni IP, resp. virtualni FQDN, ktera bude prehazovana mezi servery. Pokud dam do keytabu obou serveru NFS/vFQDN, bude to fungovat?  Jedine dokumentace co nachazim jsou bud jak zprovoznit HA bez kerberosu nebo nfs+kerberos, ale neresi HA...

[citanus006]

Jedna se o active/passive cluster, komunikace klient server bude prave po te virtualni IP, resp. virtualni FQDN, ktera bude prehazovana mezi servery. Pokud dam do keytabu obou serveru NFS/vFQDN, bude to fungovat?  Jedine dokumentace co nachazim jsou bud jak zprovoznit HA bez kerberosu nebo nfs+kerberos, ale neresi HA...

Me to takhle chodi. Pro inspiraci https://docs.oracle.com/cd/E18728_01/html/821-2897/fdkyv.html BTW Netapp to resi uplne stejne.

[Ondra Beneš]

Cau, pokud myslis mit cluster a v nem jako sluzbu NFS server, ktera muze migrovat mezi nody clusteru, pak to jde.

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/High_Availability_Add-On_Administration/index.html#ch-nfsserver-HAAA

Odpovida to na tvou otazku?
O.

EDIT: Ptej se na cokoliv ti nebude jasne

[Reklama]

[MP]

Diky za ty odkazy, prostuduji si to. Moje reseni momentalne vypada takto:

2x supermicro node, 10G network via switch, debian9
active/passive DRBD + pacemaker + corosync
kernel nfs4 (+bude zrejme freeipa bud centos7, nebo debian9+freeipa z 10)

Co mam zatim vyzkousene:
-nfs nad drbd
-funguje krb5 vs freeipa-server
-konfigurace nfs/vFQDN a prenos keytabu na oba nody
-pripojeni klienta (freeipa-client) pres krb5 na nfs/vFQDN

Co chybi vyzkouset:
-konfigurace nfs v HA nad drbd - potreba sdilet nektere adresare pro beh nfs, plus zda mit konfiguraci taky primo nad drbd
-jestli nebude problem bez fencing HW, momentalne na to nepouzivame ani ipmi/ilo v soucasnych clusterech

Ceka me dovolena, tak se k tomu vratim na zacatku ledna. Kdyz mi sem nekdo k tomu pripise nejake podnety, napr. z hlediska provozu krb5 (ci freeipa), nebot to zvysuje komplexnost a riziko vypadku funkcnosti celeho reseni, tak budu rad.

[Sten]

FreeIPA může mít až deset (IIRC) replik, každá je plně funkční server.

Nevím, jestli to tady bude potřeba, ale pro podporu offline přihlašování uživatelů (pokud zrovna FreeIPA vypadne) je dobré SSSD.

[Ondra Beneš]

Co chybi vyzkouset:
-konfigurace nfs v HA nad drbd - potreba sdilet nektere adresare pro beh nfs, plus zda mit konfiguraci taky primo nad drbd
-jestli nebude problem bez fencing HW, momentalne na to nepouzivame ani ipmi/ilo v soucasnych clusterech

Cau, ohledne fencingu.

Jaky fencing pouzivate? Pouzivate nejaky? Idealni je pouzit prave power-based fencing pres out-of-band management karty, jako je iLO. Proc nechcete pouzit toto?

Proc o tom mluvim. Ono ti to zacne bez fencingu blbnout, kdyz dojde k udalosti, ktera by k fencingu dospela. Zacnou se ti zastavovat resources. A pak stejne musis bud zastavit cely cluster nebo ten nezdravy node nejak fencnout.

Pokud se bavime o SCSI-based fencing, ktery se resi pres SCSI rezervace, pak tohle jde, ale pripada tady nutnost ten fencnuty node otocit manualne (reboot je proste zpusob, jak udrzet ten node v normalnim stavu).

Pokud mas pristup de znalostni DB Red Hat, toto je clanek, ktery stoji za to si precist. Chapu, ze reseni mas postavene na Debianu, ale princip je stejny.

The Importance of Fencing in a Red Hat High Availability Cluster
https://access.redhat.com/solutions/15575


Moc ti nemuzu rict o tech ostatnich vecech... Kolegy jsem se ptal na kerberos v HA a rikal, ze problem tam nebude, ale tos uz zjistil. S drbd nemam skoro zadne zkusenosti zatim.

[MP]

FreeIPA může mít až deset (IIRC) replik, každá je plně funkční server.

Nevím, jestli to tady bude potřeba, ale pro podporu offline přihlašování uživatelů (pokud zrovna FreeIPA vypadne) je dobré SSSD.

SSSD je soucast prave toho freeipa-client, takze vypadek freeipa-server jiz mam taktez vyzkouseny, dokud bezi sssd, tak cache prihlasovacich udaju apod. je k dispozici. Blby je, ze pripadna obnova/oprava repliky asi bude vzhledem k replikaci (nebo mnozstvi modulu) slozitejsi, ale dokumentaci jsem jiz drive zkouknul zbezne na RH site. Akorat me trochu irituje, ze to zanasi dalsi DNS servery do infrastruktury :/ Bind jsem totiz zahodil jiz davno za mnohem lepsi replikovane reseni...

[MP]

Co chybi vyzkouset:
-konfigurace nfs v HA nad drbd - potreba sdilet nektere adresare pro beh nfs, plus zda mit konfiguraci taky primo nad drbd
-jestli nebude problem bez fencing HW, momentalne na to nepouzivame ani ipmi/ilo v soucasnych clusterech

Cau, ohledne fencingu.

Jaky fencing pouzivate? Pouzivate nejaky? Idealni je pouzit prave power-based fencing pres out-of-band management karty, jako je iLO. Proc nechcete pouzit toto?

...zkraceno...

Pouzivame SW fencing primo v drbd:

Kód: [Vybrat]

handlers {
                pri-on-incon-degr       "/usr/lib/drbd/notify-pri-on-incon-degr.sh; /usr/lib/drbd/notify-emergency-reboot.sh; echo b > /proc/sysrq-trigger ; reboot -f";
                pri-lost-after-sb       "/usr/lib/drbd/notify-pri-lost-after-sb.sh; /usr/lib/drbd/notify-emergency-reboot.sh; echo b > /proc/sysrq-trigger ; reboot -f";
                fence-peer      /usr/lib/drbd/crm-fence-peer.sh;
                local-io-error  "/usr/lib/drbd/notify-io-error.sh; /usr/lib/drbd/notify-emergency-shutdown.sh; echo o > /proc/sysrq-trigger ; halt -f";
                split-brain     "/usr/lib/drbd/notify-split-brain.sh root";
                after-resync-target     /usr/lib/drbd/crm-unfence-peer.sh;
}
Zatim nas problem s blokovanym zdrojem potkal asi jen jednou/dvakrat, ale nebyly to kriticke drbd mirrory, navic jsou to zastarale verze SW (wheezy). HW fencing zvazime do budoucna, ale spis doufam, ze se casem dopracujeme k cephu a tim se budeme moci zbavit veskerych limitu, ktere se k drbd vazou.

Pristup do RH mame jak k cemu, jsme zatim pouze debian, az ta freeipa je prvni duvod, proc by se tu mohla objevit jina distribuce, coz obnasi problemy z hlediska velkych rozdilu spravy.

[Ondra Beneš]

Parada, diky za ukazku konfigurace. Netusil jsem, ze drbd toto umoznuje.

[citanus006]

Parada, diky za ukazku konfigurace. Netusil jsem, ze drbd toto umoznuje.

to je snad i default konfigurace

[Sten]

SSSD je soucast prave toho freeipa-client, takze vypadek freeipa-server jiz mam taktez vyzkouseny, dokud bezi sssd, tak cache prihlasovacich udaju apod. je k dispozici. Blby je, ze pripadna obnova/oprava repliky asi bude vzhledem k replikaci (nebo mnozstvi modulu) slozitejsi, ale dokumentaci jsem jiz drive zkouknul zbezne na RH site. Akorat me trochu irituje, ze to zanasi dalsi DNS servery do infrastruktury :/ Bind jsem totiz zahodil jiz davno za mnohem lepsi replikovane reseni...

Replika se opravuje velmi snadno: zahodí se a znovu synchronizuje

Vlastní DNS to nevyžaduje (při instalaci serveru/repliky je možné nastavení DNS přeskočit), enrollment jde udělat i pro doménová jména, která nelze resolvnout, ale při výpadku masteru budete muset opravit záznamy ručně (buď v DNS nebo na všech klientech). Kromě bindu lze použít i PowerDNS, u jiných serverů záleží, jestli umí číst záznamy z LDAPu.

[MP]

Ono lze pouzit PowerDNS misto Bindu? Jsem jedno oko a ucho, mam totiz DNS postaveno prave na PowerDNS s replikaci pres PSQL na sekundarni nody.

[MP]

Ono lze pouzit PowerDNS misto Bindu? Jsem jedno oko a ucho, mam totiz DNS postaveno prave na PowerDNS s replikaci pres PSQL na sekundarni nody.

Tak jak s tim PowerDNS prosim? Staci to nasmerovat na FreeIPA LDAP? Porad zkoumam, moc toho na google ohledne tohoto spojeni neni (resp. skoro nic), zase na druhou stranu moznost obnovy FreeIPA se vsim vsudy vypada dobre. Akorat by to samozrejme znamenalo dalsi subdomeny do site a to mi trosku dela obavy, protoze ne kazda sluzba umi fungovat tam, kde je vice IP na jednom stroji a potreba je rozlisit (typicky priklad - mailserver - externi IP s company.tld a interni IP s subdomain.company.tld)