Corosync & Pacemakerでiptablesのフェイルオーバー

タイトルだけではわかりずらいですが、本記事でやりたいことは、Corosync & Pacemakerの冗長構成でActiveな
iptablesに障害が発生した場合にStandby機(のiptables)に切り替える方法です。

まず、Corosync & Pacemaker on EC2の記事のようにCorosyncとPacemakerがインストールされていることを
前提とします。

○[両サーバ] iptablesの確認

# /etc/init.d/iptables start
iptables: ファイアウォールルールを適用中:                  [  OK  ]
# iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
# /etc/init.d/iptables save
iptables: ファイアウォールのルールを /etc/sysconfig/iptable[  OK  ]中: 
# /etc/init.d/iptables stop
iptables: ファイアウォールルールを消去中:                  [  OK  ]
iptables: チェインをポリシー ACCEPT へ設定中filter         [  OK  ]
iptables: モジュールを取り外し中:                          [  OK  ]

原因は不明ですが、上記を実行しておかないと、フェイルオーバーが失敗してしまいます。

○[片サーバ] iptablesをPacemakerに登録

# crm configure property no-quorum-policy="ignore" stonith-enabled="false"
# crm configure rsc_defaults resource-stickiness="INFINITY" migration-threshold="1"
# crm configure primitive iptables lsb:iptables op monitor interval="5s"

iptablesの死活もフェイルオーバのトリガーにするために、op monitor interval=5sも設定しています。

○[片サーバ(10.1.8.104)] crm_monで状態の確認

============
Last updated: Mon Dec 17 09:49:32 2012
Last change: Mon Dec 17 09:47:47 2012 via cibadmin on ip-10-1-8-204
Stack: openais
Current DC: ip-10-1-8-204 - partition with quorum
Version: 1.1.7-6.el6-148fccfd5985c5590cc601123c6c16e966b85d14
2 Nodes configured, 2 expected votes
1 Resources configured.
============

Online: [ ip-10-1-8-204 ip-10-1-9-104 ]

iptables        (lsb:iptables): Started ip-10-1-9-104

10.1.9.104のサーバ(のiptables)がActived

○[片サーバ(10.1.9.204)] iptablesの停止

# /etc/init.d/iptables stop
iptables: ファイアウォールルールを消去中:                  [  OK  ]
iptables: チェインをポリシー ACCEPT へ設定中filter         [  OK  ]
iptables: モジュールを取り外し中:                          [  OK  ]

Active状態のサーバ(10.1.9.204)のiptablesを停止しました。

○[片サーバ(10.1.8.104)] crm_monで状態の確認

============
Last updated: Mon Dec 17 09:49:32 2012
Last change: Mon Dec 17 09:47:47 2012 via cibadmin on ip-10-1-8-204
Stack: openais
Current DC: ip-10-1-8-204 - partition with quorum
Version: 1.1.7-6.el6-148fccfd5985c5590cc601123c6c16e966b85d14
2 Nodes configured, 2 expected votes
1 Resources configured.
============

Online: [ ip-10-1-8-204 ip-10-1-9-104 ]

iptables        (lsb:iptables): Started ip-10-1-8-204

Failed actions:
    iptables_monitor_5000 (node=ip-10-1-9-104, call=3, rc=7, status=complete): not running

無事、Standby機(10.1.8.204)だったサーバのiptablesがActiveになりました。

こちらの記事はなかの人（suz-lab）監修のもと掲載しています。
元記事は、こちら

この記事を書いた人

鈴木宏康

愛知県生まれ。東京工業大学大学院修士課程修了。在学時より、ベンチャー企業でインターネットに関する業務に携わり、現在はクラウド(主にAmazon Web Services)上での開発・運用を軸とした事業の、業務の中心として活躍。鈴木宏康が書いた記事

Corosync & Pacemakerでiptablesのフェイルオーバー

RHEL7を8に, 8を9にインプレースアップグレードする

X (旧 Twitter) を複数人で安全に運用する方法

LambdaでRuntime.ImportModuleErrorが発生した時の対処

RHEL9にPHP8.3系をインストールする

https通信をtcpdumpでキャプチャしてWiresharkする方法

Corosync & Pacemakerでiptablesのフェイルオーバー

関連記事Related Articles

proftpd利用時の/etc/hosts.allow での接続制限

インスタンスの立ち上げ vol.1

cloudpackにおけるAWSによるDR 3（G-CLOUD Magazine 2011 Summer）

AWS CLIを使ってサポートAPIを叩く

Mackerel事始め 将来予測機能

Mackerel事始め将来予測機能