logo_header

icon_bubbles Forum

icon_bubbles Wiki

icon_bubbles Planet

RootForum Community » Wiki

Aufbau Proxy/Firewall

From RootForum Community » Wiki

Jump to:navigation, search

Aufbau des Loadbalancers

Wie eingangs erwähnt, baut diese Doku auf die Verwendung von Apache, mod_proxy auf.

Die Proxaconfig ist verhältnissmassig einfach, da wir alle eingehende Requests weiter leiten. Man könnte die vHosts auch hier auf bauen um nur relevante Requests der eigenen Domains durch zu lassen. In Abwägung Aufwand nutzen, habe ich mich jedoch für eine globale Weiterleitung entschieden. So muss ich mich nicht mehr um den Proxy kümmern, egal welche Domains ich im Anlege. 

 <Proxy *>
 Order allow,deny
 Deny from 127.0.0.1 localhost
 Allow from all
 </Proxy>
 ProxyPreserveHost On
 ProxyRequests Off
 ProxyVia Off
 SetEnv force-proxy-request-1.0 1
 ProxyPass /balancer-manager !
 ProxyPass /server-status !
 ProxyPassReverse / /
 #ProxyPass / balancer://mycluster/ lbmethod=byrequests stickysession=ROUTEID
 ProxyPass / balancer://mycluster/ lbmethod=byrequests stickysession=ROUTEID
 # Über diesen Parameter ereichen wir, dass ein Benutzer immer zum gleichen Backend geleitet wird. Damit geht eine Session nicht verloren und erfordert keine Sessionreplizierung.
 Header add Set-Cookie "ROUTEID=.%{BALANCER_WORKER_ROUTE}e; path=/"env=BALANCER_ROUTE_CHANGED
 <Proxy balancer://mycluster>
   BalancerMember http://10.10.0.12  route=web1
   BalancerMember http://10.10.0.13 route=web2
   ProxySet stickysession=ROUTEID
 </Proxy>
 <Location /balancer-manager>
 SetHandler balancer-manager
 Order deny,allow
 Deny from all
 Allow from <Deine IP von welchem Du den balancer verwalten willst. Im Zeifelsfall 127.0.0.1> 
 </Location>

Bitte daran denken, dass die Module: 

 mod_proxy mod_proxy_balancer mod_proxy_http mod_headers mod_status

geladen werden!


Anpassung Mailserver

Für die komplette Konfiguration eines Mailserver gibt es schon genug Dokumentationen. Hier beschreibe ich nur die anpassungen, damit ein Relaying von den Webserver und ggf. DB Server erlaubt wird.

In der /etc/postfix/main.cf

folgendes hinzu fügen: 

 # Achtung ggf. den Range besser einschränken!
 mynetworks = 127.0.0.0/8 10.10.0.0/24


Das wars im wesentlichen.

Nachtrag

Ich bin bis zu diesem Punkt rein funktional vor gegangen. Die Einrichtung z.B. einer WAF ist eine sehr persönliche Angelegenheit und mod_security2 ist gut genug dokumentiert.

Wir müssen lediglich, sofern man Hostnamen nutzen möchte, die /etc/hosts mit den vlan ips bestücken und die Hostnamen der jeweiligen IP zuordnen und auf den Nodes verteilen. Stand jetzt, besteht ein zuverlässiger Server, der sich so schon nutzen lassen kann.

In den nachfolgenden Kapiteln gehe ich weiter auf das Thema Monitoring und Failover ein.

Retrieved from "http://www.rootforum.org/wiki/Aufbau_Proxy/Firewall"