Retour à la liste
From:
Ludovic Pénet
Subject:
[TECH] Specification technique pare-feu + cluster
Date:
23/07/2003 17:27
Mailing-list:
Message-ID:
<1058974049.9832.99.camel@knuth>
Attachements
Salut.
Je suis en train d'évaluer les solutions logicielles ou matérielles pour
mettre en place un cluster haute dispo en ligne derrière un pare-feu.
J'aimerais pousser au choix d'une solution libre mais il me faut pour
cela être capable d'argumenter sur les solutions matérielles...
L'idée étant de faire de la haute dispo, je ne souhaite pas que le
pare-feu devienne un point de vulnérabilité; aussi je pense proposer
d'utiliser deux machines (OpenBSD ou GNU/Linux) pour cela avec un
heartbeat pour une reprise en cas de faute.
Côté cluster, j'ai également une répartition de charge à faire, qui soit
capable de prendre en compte le fait qu'une des machines du cluster
"tombe" ou soit à nouveau disponible. J'ai donc pensé à LVS (Linux
Virtual Server) pour cela... La répartion de charge est assez simple:
les machines sont identiques et on peut se contenter de leur filer les
requêtes (http) à tour de rôle. Intégrer un indicateur de charge de la
machine serait évidemment mieux. On peut déterminer que la machine est
up si elle répond à une requête http.
Je suis curieux d'entendre votre opinion sur la question, notamment sur
les avantages et les inconvénients d'une telle solution par rapport à du
"materiel". Y'aurait-il une boîte de CISCO qui ferait à la fois le
pare-feu et la répartition de charge? Une boîte produite par une autre
marque pour la répartition de charge uniquement?
@+!
Ludovic
Je suis en train d'évaluer les solutions logicielles ou matérielles pour
mettre en place un cluster haute dispo en ligne derrière un pare-feu.
J'aimerais pousser au choix d'une solution libre mais il me faut pour
cela être capable d'argumenter sur les solutions matérielles...
L'idée étant de faire de la haute dispo, je ne souhaite pas que le
pare-feu devienne un point de vulnérabilité; aussi je pense proposer
d'utiliser deux machines (OpenBSD ou GNU/Linux) pour cela avec un
heartbeat pour une reprise en cas de faute.
Côté cluster, j'ai également une répartition de charge à faire, qui soit
capable de prendre en compte le fait qu'une des machines du cluster
"tombe" ou soit à nouveau disponible. J'ai donc pensé à LVS (Linux
Virtual Server) pour cela... La répartion de charge est assez simple:
les machines sont identiques et on peut se contenter de leur filer les
requêtes (http) à tour de rôle. Intégrer un indicateur de charge de la
machine serait évidemment mieux. On peut déterminer que la machine est
up si elle répond à une requête http.
Je suis curieux d'entendre votre opinion sur la question, notamment sur
les avantages et les inconvénients d'une telle solution par rapport à du
"materiel". Y'aurait-il une boîte de CISCO qui ferait à la fois le
pare-feu et la répartition de charge? Une boîte produite par une autre
marque pour la répartition de charge uniquement?
@+!
Ludovic