В режиме кластера несколько экземпляров системы Mitigator пользуются едиными базами данных и управляются централизованно. За счет добавления дополнительных экземпляров система может неограниченно масштабироваться. Режим кластера позволяет обрабатывать трафик независимо на каждом экземпляре, но управлять ими из единого интерфейса. При плановом или аварийном отключении любого экземпляра сохраняется возможность управления остальными.
Между экземплярами должна быть сетевая связность, взаимодействие осуществляется по TCP и UDP.
Существует несколько принципиальных схем внедрения.
Общее нерезервированное хранилище:
+ простота настройки;
− при выключении главного экземпляра теряется управление и мониторинг;
− при отказе диска главного экземпляра теряются данные.
Внутреннее отказоустойчивое хранилище:
+ отказоустойчивость за счет репликации БД;
+ нет потребности в дополнительном сервере для хранилища;
− ресурсы экземпляров Mitigator´а расходуются на нужды хранилища;
− повышенные требования к квалификации администратора;
− отсутствие гибкости настройки.
Внешнее отказоустойчивое хранилище:
+ полный контроль и гибкость (отказоустойчивость, тонкая настройка);
+ снимается нагрузка с экземпляров Mitigator´а;
− требуется квалификация администратора;
− нужен дополнительный сервер для хранилища;
− необходимо запускать миграцию вручную при обновлении.
После установки и запуска настроить систему для её стабильной и безопасной работы.
Общие базы данных для всех экземпляров Mitigator´а физически хранятся на сервере одного из них. К базовому экземпляру должны быть разрешены подключения с остальных экземпляров по следующим портам TCP: 8888, 2003, 3080, 5432.
Установка базового экземпляра выполняется по шагам, описанным в разделе «Установка».
Остальные экземпляры Mitigator´а должны обращаться к БД базового экземпляра и поэтому сначала для них необходимо также выполнить стандартную установку. После установки, но перед запуском, необходимо:
Скачать docker-compose.worker.yml
:
wget https://docs.mitigator.ru/dist/multi/docker-compose.worker.yml \
-O docker-compose.worker.yml
В файле .env
задать переменную COMPOSE_FILE
так:
COMPOSE_FILE=docker-compose.yml:docker-compose.worker.yml
Если требуются дополнительные настройки, например, при использовании карт
Mellanox, поместить их в docker-compose.override.yml
и добавить его
в список:
COMPOSE_FILE=docker-compose.yml:docker-compose.override.yml:docker-compose.worker.yml
В файле .env
задать переменную MITIGATOR_STORAGE_HOST=192.0.2.1
.
Здесь 192.0.2.1
– адрес базового экземпляра.
В файле .env
задать переменную MITIGATOR_OWN_NAME=mitigator-1
.
Здесь mitigator-1
– имя экземпляра. Имя каждого экземпляра должно быть уникально.
В файле .env
задать переменную MITIGATOR_OWN_ADDRESS=192.0.2.1
.
Здесь 192.0.2.1
– адрес хоста для данного экземпляра.
В целях отказоустойчивости синхронизированные копии БД должны физически храниться на разных серверах (реплицироваться). При данной схеме реплики БД хранятся на тех же серверах, где работают экземпляры Mitigator´а. Это позволяет сэкономить ресурсы и не требует знаний по настройке PostgreSQL.
Экземпляры PostgreSQL работают в схеме потоковой репликации active — hot standby. Вместо подключения к PostgreSQL напрямую каждый Mitigator подключается к локальной работающий программе pgfailover, которая перенаправляет подключения к PostgreSQL-лидеру репликации.
Если лидер недоступен, pgfailover
делает лидером одну из ведомых реплик
в заданной очередности.
Mitigator-лидер кластера и PostgreSQL-лидер репликации не обязаны совпадать.
Предполагается, что между узлами надежная связь. Если группа экземпляров окажется отрезана от лидера репликации, среди них будет выбран новый лидер (split-brain). После восстановления связи придется вручную удалить данные на отрезанной части экземпляров и заново ввести их в кластер.
Метрики для графиков пишутся Mitigator´ом-лидером на все экземпляры
для сохранности. Это задается списком серверов FWSTATS_GRAPHITE_ADDRESS
.
Процесс настройки описан для двух экземпляров и одинаков на всех экземплярах,
кроме конкретных значений MITIGATOR_OWN_INDEX
. Для большего количества
экземпляров нужно расширить по аналогии списки серверов pgfailover
и FWSTATS_GRAPHITE_ADDRESS
.
В файле .env
задать переменную COMPOSE_FILE
так:
COMPOSE_FILE=docker-compose.yml:docker-compose.failover.yml
Если требуются дополнительные настройки, например, при использовании карт
Mellanox, поместить их в docker-compose.override.yml
и добавить его
в список:
COMPOSE_FILE=docker-compose.yml:docker-compose.override.yml:docker-compose.failover.yml
В файле .env
задать переменную MITIGATOR_OWN_ADDRESS=192.0.2.1
.
Здесь 192.0.2.1
– адрес хоста для данного экземпляра.
В файле .env
задать переменную MITIGATOR_OWN_INDEX=0
.
Здесь 0
– идентификатор очередности данного экземпляра
стать Active-сервером PostgreSQL.
Должен быть уникальным и последовательно возрастающим на каждом экземпляре.
В файле .env
задать переменные SERVER1=192.0.2.1
и SERVER2=192.0.2.2
.
Здесь 192.0.2.1
и 192.0.2.2
– внешние адреса серверов, на которых запущены
экземпляры.
Создать файл docker-compose.failover.yml
и задать конфигурацию,
приведенную ниже.
version: "2.2"
services:
backend:
environment:
BACKEND_DATABASE_URI: "postgres://backend@pgfailover.mitigator/mitigator?sslmode=disable"
fwstats:
environment:
FWSTATS_GRAPHITE_ADDRESS: "${SERVER1}:2003,${SERVER2}:2003"
carbon-clickhouse:
ports:
- "2003:2003"
pgfailover:
image: docker.mitigator.ru/product/pgfailover:${VERSION:-latest}
networks:
default:
aliases:
- pgfailover.mitigator
volumes:
- failover:/trigger:rw
command:
- "/pgfailover/pgfailover"
- "-index"
- "${MITIGATOR_OWN_INDEX}"
- "-server"
- "postgres://repuser@${SERVER1}:5432/mitigator?sslmode=disable"
- "-server"
- "postgres://repuser@${SERVER2}:5432/mitigator?sslmode=disable"
- "-trigger"
- "/trigger/failover"
postgres:
volumes:
- failover:/failover:rw
depends_on:
- pgfailover
volumes:
failover:
Стенд с Active базой запускается как обычно:
systemctl start mitigator
Стенд с Standby инициализируется репликой:
docker-compose run --rm postgres standby
после чего запускается как обычно:
systemctl start mitigator
Если произойдет разрыв соединения с экземпляром-лидером (базы в режиме Active), экземпляр с базами в режиме Standby занимает его место и становится лидером. Механизма переключения баз бывшего лидера в режим Standby не предусмотрено штатной репликацией PostgreSQL. Для схемы из двух баз данных это означает прекращение репликации на другой сервер до ручной перенастройки схемы.
Для переключения бывшего Active и возвращения его в схему репликации необходимо остановить сервис PostgreSQL, а также удалить локальные данные базы.
Остановка сервиса PostgreSQL:
docker-compose rm -fsv postgres
Удаление локальных данных базы:
docker volume rm mitigator_postgres
Инициализация Standby аналогично первой инициализации:
docker-compose run --rm postgres standby
после чего запускается как обычно:
systemctl start mitigator
Данная схема внедрения подразумевает физическое хранение общих для всех экземпляров Mitigator´а баз данных на внешнем сервере. Работоспособность и отказоустойчивость всех СУБД обеспечивается силами администратора внешнего сервера под конкретные требования.
Все экземпляры разворачиваются как worker´ы (см. выше).
Схема взаимодействия:
В качестве инструмента для миграции схемы и дальнейшего управления используется утилита SHMIG.
Миграции необходимо брать прямо из контейнера используемой версии:
Развернуть полноценный стенд
(временно закомментировать строку #COMPOSE_FILE=
в файле .env
).
Выполнить команду:
docker-compose create postgres
Выполнить команду:
docker cp mitigator_postgres_1:/schema schema
Выполнить команду:
docker-compose rm -sf postgres
Восстановить состояние файла .env
, раскомментировав строку
#COMPOSE_FILE=
.
На уровне Postgres необходимо создать базу mitigator
. Скрипты миграций
создадут пользователя backend
и назначат ему необходимые права. После чего
на уровне СУБД нужно разрешить подключение для этого пользователя.
Экземпляры Mitigator´а подключаются к порту 5432/tcp. Строку подключения можно явно переопределить, по умолчанию используется:
services:
backend:
environment:
BACKEND_DATABASE_URI: "postgres://backend@${MITIGATOR_STORAGE_HOST}/mitigator?sslmode=disable"
Mitigator отправляет метрики в формате Graphite plaintext
protocol по
адресу: ${MITIGATOR_STORAGE_HOST}:2003
(TCP). Если нужно отправлять их
в несколько баз, адреса можно указать явно через запятую:
services:
fwstats:
environment:
FWSTATS_GRAPHITE_ADDRESS: "${MITIGATOR_STORAGE_HOST}:2003,another-host:2003"
Mitigator обращается к Graphite API по URL:
http://${MITIGATOR_STORAGE_HOST}:3080/render/
.
Только если ClickHouse используется в качестве бэкенда Graphite.
Развернуть полноценный стенд
(закомментировать строку #COMPOSE_FILE=
в файле .env
).
Выполнить команду:
docker-compose create clickhouse
Выполнить команды:
docker cp mitigator_clickhouse_1:/etc/clickhouse-server/config.d clickhouse-config
docker cp mitigator_clickhouse_1:/etc/clickhouse-server/users.d clickhouse-users
docker cp mitigator_clickhouse_1:/docker-entrypoint-initdb.d clickhouse
Выполнить команду:
docker-compose rm -sf clickhouse
Восстановить состояние файла .env
, раскомментировав строку
#COMPOSE_FILE=
.
В файле .env
задать переменную MITIGATOR_OWN_NAME=mitigator-1
.
Здесь mitigator-1
– имя экземпляра. Имя каждого экземпляра должно быть уникально.
В файле .env
задать переменную MITIGATOR_OWN_ADDRESS=192.0.2.1
.
Здесь 192.0.2.1
– адрес хоста для данного экземпляра.
Полученные настройки являются рекомендованными, но могут быть при необходимости изменены, например, см. раздел «Настройка времени хранения метрик в Graphite».
Основным изменением в интерфейсе Mitigator´а при переходе на режим кластера стало разделение некоторых настроек на относящиеся к системе в целом и для конкретных экземпляров.
На вкладке «Экземпляры» пользователю доступен список всех экземпляров системы. Для каждого из них отображается текущий статус активности. Переключателями централизованно изменяется состояние экземпляра. Нажатие на название экземпляра переводит пользователя на страницу настройки экземпляра. Если в системе создан только один экземпляр, то при нажатии на пункт меню «Экземпляры» пользователь сразу попадет на страницу настройки экземпляра.
В настройках экземпляра могут быть изменены его название, признак лидера, статус защиты и адрес обработчика пакетов для данного экземпляра.
Разделы «Интеграция в сеть» и «GRE-туннель со сторонним сервисом» теперь также находятся на вкладке «Экземпляры», так как для корректной работы системы следует задать параметры внедрения в сеть для каждого экземпляра.
Mitigator позволяет использовать агрегацию каналов (LAG) между устройствами во внешней и внутренней сети. Настройки интеграции в сеть влияют на то, какие варианты агрегации каналов могут использоваться:
Mitigator позволяет балансировать нагрузку между несколькими экземплярами системы по ECMP за счет анонсирования по BGP каждым экземпляром одинаковых префиксов. Когда один из экземпляров отключается, анонс снимается и трафик автоматически распределяется между оставшимися экземплярами.
Карточка «Лицензия» разделена на две. В настройках системы задается значение лицензионного ключа, а в настройках экземпляра находятся элементы управления лицензированной полосой и сервисная информация.
В верхней панели интерфейса находится выпадающий список, позволяющий выбрать экземпляр, для которого в системе будут показываться графики. Также возможно отображение суммарно для всех экземпляров, если выбрано значение «Все экземпляры».