https://docs.mitigator.ru/v26.04/tags/cluster/ Recent content in Cluster on BIFIT Mitigator Hugo -- gohugo.io ru https://docs.mitigator.ru/v26.04/kb/cluster/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/cluster/ MITIGATOR может быть собран в кластер различных конфигураций, с разным набором подсистем и их взаимосвязей в зависимости от решаемой задачи и ограничений. В статье перечислены ключевые термины, описывающие кластеризацию MITIGATOR на различных уровнях. Уровни кластеризации В таблице представлен пример кластера из четырех экземпляров MITIGATOR, в котором на разных уровнях экземпляры выполняют разные роли. Под экземпляром понимается устройство, на котором развернута одна или несколько подсистем MITIGATOR. Обычно на экземпляре как минимум развернут Backend, но в некоторых случаях это могут быть другие подсистемы, например Colleсtor или Graphite. https://docs.mitigator.ru/v26.04/install/multi/vpn/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/vpn/ Принцип работы Дальнейшие шаги предполагают, что экземпляр MITIGATOR уже установлен. В противном случае предварительно выполните установку одним из следующих способов. Взаимодействие между экземплярами устроено через Wireguard. Между экземплярами создается виртуальная сеть (VPN). Каждый экземпляр имеет ключевую пару: приватный ключ и публичный ключ. Приватный ключ хранится только на своем экземпляре в vpn-private.conf. Публичные ключи всех экземпляров перечислены в vpn-public.conf, который должен быть одинаков на всех экземплярах. В нем же указаны адреса экземпляров и их адреса в VPN. https://docs.mitigator.ru/v26.04/install/multi/workers/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/workers/ Дальнейшие шаги предполагают, что экземпляр MITIGATOR уже установлен. В противном случае предварительно выполните установку одним из следующих способов. Перед настройкой кластера необходимо настроить виртуальную сеть (VPN). Для ее работы нужна сетевая связность между экземплярами. Подробные сведения по настройке и необходимым доступам описаны по ссылке. Общие базы данных для всех экземпляров MITIGATOR физически хранятся на сервере одного из них. К базовому экземпляру должны быть разрешены подключения с остальных экземпляров по следующим портам TCP: 8888, 2003, 3080, 5432. https://docs.mitigator.ru/v26.04/install/multi/failover/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/failover/ Дальнейшие шаги предполагают, что экземпляр MITIGATOR уже установлен. В противном случае предварительно выполните установку одним из следующих способов. Перед настройкой кластера необходимо настроить виртуальную сеть (VPN). Для ее работы нужна сетевая связность между экземплярами. Подробные сведения по настройке и необходимым доступам описаны по ссылке. В целях отказоустойчивости синхронизированные копии БД должны физически храниться на разных серверах (реплицироваться). При данной схеме реплики БД хранятся на тех же серверах, где работают экземпляры MITIGATOR. https://docs.mitigator.ru/v26.04/install/multi/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/ В режиме кластера несколько экземпляров системы MITIGATOR пользуются едиными базами данных и управляются централизованно. За счет добавления дополнительных экземпляров система допускает неограниченное масштабирование. Режим кластера позволяет обрабатывать трафик независимо на каждом экземпляре, но управлять ими из единого интерфейса. При плановом или аварийном отключении любого экземпляра сохраняется возможность управления остальными. Развертывание Между экземплярами настраивается виртуальная сеть (VPN). Для ее работы нужна сетевая связность между экземплярами. Подробные сведения по настройке и необходимым доступам описаны по ссылке. https://docs.mitigator.ru/v26.04/install/multi/custom/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/custom/ Дальнейшие шаги предполагают, что экземпляр MITIGATOR уже установлен. В противном случае предварительно выполните установку одним из следующих способов. Перед настройкой кластера необходимо настроить виртуальную сеть (VPN). Для ее работы нужна сетевая связность между экземплярами. Подробные сведения по настройке и необходимым доступам описаны по ссылке. Данная схема внедрения подразумевает физическое хранение общих для всех экземпляров MITIGATOR баз данных на внешнем сервере. Работоспособность и отказоустойчивость всех СУБД обеспечивается силами администратора внешнего сервера под конкретные требования. https://docs.mitigator.ru/v26.04/install/multi/hybrid/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/hybrid/ При сборке кластера схемы внедрения могут быть скомбинированы. Пример: Отказоустойчивое хранилище с дополнительными узлами фильтрации При такой схеме внедрения копии БД хранятся на разных серверах (реплицируются), но количество реплик БД меньше, чем количество экземпляров MITIGATOR в кластере. Часть экземпляров обращается к удаленным базам по портам TCP: 8888, 2003, 3080, 5432. В данном примере graphite и LOGAN размещены на отдельных серверах. Для корректной работы системы всем обработчикам пакетов, должно быть доступно одинаковое количество системных ресурсов. https://docs.mitigator.ru/v26.04/price/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/price/ Лицензия MITIGATOR разделяется по сроку действия на срочную и бессрочную. Конкретный срок действия лицензии согласуется в лицензионном договоре. Минимальный срок действия срочной лицензии — 1 месяц. Лицензией ограничиваются: Скорость входящего в систему трафика. Лицензионным лимитером учитывается как трафик атаки, так и легитимный. Минимально доступная для приобретения лицензионная полоса составляет 100 Mbps. Минимальный шаг назначения лицензионной полосы на устройство — 50 Mbps. Объем обрабатываемого Flow-трафика. Минимально доступная для приобретения лицензионная полоса Flow-трафика составляет 10000 flow-per-second. https://docs.mitigator.ru/v26.04/kb/pgfailover/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/pgfailover/ pgfailover наблюдает за состоянием кластера PostgreSQL и выступает для клиентов как TCP-прокси к текущему Primary. При смене Primary pgfailover разрывает соединения с клиентами, и они должны переподключиться. Параметры подключения задаются через переменные окружения с префиксом PGFAILOVER_: export PGFAILOVER_BIND_ADDRESS=":5432" export PGFAILOVER_SERVERS="postgres://repuser@pg0.example.com/database?sslmode=disable&connect_timeout=5 postgres://repuser@pg1.example.com/database?sslmode=disable&connect_timeout=5" ./pgfailover Роль сервера (Primary/Standby) проверяется pg_is_in_recovery() по умолчанию раз в 5 секунд (PGFAILOVER_INTERVAL), количество попыток подключения регулируется переменной PGFAILOVER_ATTEMPTS (по умолчанию 1). pgfailover может автоматически переводить локальный PostgreSQL в Primary.