« Clustering proxmox avec tinc » : différence entre les versions

De Linux Server Wiki
Aller à la navigation Aller à la recherche
 
(2 versions intermédiaires par le même utilisateur non affichées)
Ligne 20 : Ligne 20 :
Name = node1
Name = node1
AddressFamily = ipv4
AddressFamily = ipv4
#BindToAddress = x.x.x.x
Device = /dev/net/tun
Device = /dev/net/tun
Mode = switch
Mode = switch
ConnectTo = node2
ConnectTo = node2
TcpOnly=no
IndirectData=no
</pre>
</pre>


Ligne 72 : Ligne 75 :
Name = node2
Name = node2
AddressFamily = ipv4
AddressFamily = ipv4
#BindToAddress = x.x.x.x
Device = /dev/net/tun
Device = /dev/net/tun
Mode = switch
Mode = switch
ConnectTo = node1
ConnectTo = node1
TcpOnly=no
IndirectData=no
</pre>
</pre>


Ligne 192 : Ligne 198 :
=Note sur la gestion du démon tinc par systemd sous debian=
=Note sur la gestion du démon tinc par systemd sous debian=


Sous debian avec systemd, une unit par défaut est créée (<code>tinc.service</code>) mais ne reflete pas réellement le statut de votre démon tinc. Elle est utilisée pour propager les commandes (start, stop, restart, ...) à tous les démons tinc que vous pourriez lancer.
Sous debian avec systemd, une unit par défaut est créée (<code>tinc.service</code>) mais ne reflete pas réellement le statut de votre démon tinc. Elle est utilisée pour propager les commandes stop, restart et reload à tous les démons tinc que vous pourriez lancer.


Si vous créez deux VPN différents dans <code>/etc/tinc/vpnA/</code> et <code>/etc/tinc/vpnB/</code>, il vous faudra les activer avec :
Si vous créez deux VPN différents dans <code>/etc/tinc/vpnA/</code> et <code>/etc/tinc/vpnB/</code>, il vous faudra les activer avec :
Ligne 206 : Ligne 212 :
</pre>
</pre>


L'unit <code>tinc.service</code> permet de propager les commandes à l'ensemble des démons tinc. Ainsi, <code>systemctl stop tinc.service</code> provoquera l'arrêt de <code>tinc@vpnA.service</code> et <code>tinc@vpnB.service</code>
L'unit <code>tinc.service</code> permet de propager les commandes stop, restart et reload à l'ensemble des démons tinc. Ainsi, <code>systemctl stop tinc.service</code> provoquera l'arrêt de <code>tinc@vpnA.service</code> et <code>tinc@vpnB.service</code>


=Documentations tinc=
=Documentations tinc=

Dernière version du 6 février 2021 à 15:36


cluster de 2 nodes : node1 ayant comme ip principale 88.88.88.88 et node2 ayant comme ip principale 99.99.99.99
Valable pour proxmox 2.x à proxmox 5.x

node 1

aptitude install tinc
mkdir -p /etc/tinc/vpn/hosts

Créez le fichier /etc/tinc/vpn/tinc.conf contenant :

Name = node1
AddressFamily = ipv4
#BindToAddress = x.x.x.x
Device = /dev/net/tun
Mode = switch
ConnectTo = node2
TcpOnly=no
IndirectData=no

Créez le fichier /etc/tinc/vpn/hosts/node1

Address = 88.88.88.88
Port = 655
Compression = 0

Nous allons maintenant générer la paire de clé de node1. Tapez simplement la commande suivante et validez a chaque question :

tincd -n vpn -K4096

créez le fichier /etc/tinc/vpn/tinc-up contenant :

#!/bin/bash

/sbin/ip link set vpn up
/sbin/ip addr add 10.10.10.1/24 dev vpn
/sbin/ip route add 10.10.10.0/24 dev vpn
/sbin/route add -net 224.0.0.0 netmask 240.0.0.0 dev vpn

Créez le fichier /etc/tinc/vpn/tinc-down contenant :

#!/bin/bash
/sbin/route del -net 224.0.0.0 netmask 240.0.0.0 dev vpn
/sbin/ip link set vpn down

Rendez ces deux fichiers executables :

chmod +x /etc/tinc/vpn/tinc-*

Ajoutez le lancement du vpn :

echo vpn >> /etc/tinc/nets.boot

node 2

aptitude install tinc
mkdir -p /etc/tinc/vpn/hosts

Créez le fichier /etc/tinc/vpn/tinc.conf contenant :

Name = node2
AddressFamily = ipv4
#BindToAddress = x.x.x.x
Device = /dev/net/tun
Mode = switch
ConnectTo = node1
TcpOnly=no
IndirectData=no

Créez le fichier /etc/tinc/vpn/hosts/node2

Address = 99.99.99.99
Port = 655
Compression = 0

Nous allons maintenant générer la paire de clé de node2. Tapez simplement la commande suivante et validez a chaque question :

tincd -n vpn -K4096

créez le fichier /etc/tinc/vpn/tinc-up contenant :

#!/bin/bash

/sbin/ip link set vpn up
/sbin/ip addr add 10.10.10.2/24 dev vpn
/sbin/ip route add 10.10.10.0/24 dev vpn
/sbin/route add -net 224.0.0.0 netmask 240.0.0.0 dev vpn

Créez le fichier /etc/tinc/vpn/tinc-down contenant :

#!/bin/bash
/sbin/route del -net 224.0.0.0 netmask 240.0.0.0 dev vpn
/sbin/ip link set vpn down

Rendez ces deux fichiers executables :

chmod +x /etc/tinc/vpn/tinc-*

Ajoutez le lancement du vpn :

echo vpn >> /etc/tinc/nets.boot

Synchronisez la configuration des deux nodes

Copiez le fichier /etc/tinc/vpn/hosts/node1 de node1 vers /etc/tinc/vpn/hosts/ sur node2

Copiez le fichier /etc/tinc/vpn/hosts/node2 de node2 vers /etc/tinc/vpn/hosts/ sur node1

Test de la configuration

Ajoutez ceci dans /etc/hosts sur les deux nodes :

10.10.10.1      node1
10.10.10.2      node2

Sur les deux nodes :

systemctl start tinc@vpn

Installez omping pour tester le multicast (sur les deux nodes) :

aptitude install omping

Lancez cette commande sur les deux nodes

omping node1 node2

Lancement automatique

Si tout fonctionne, nous allons configurer tinc pour se lancer automatiquement au démarrage, et ce avant corosync.

systemctl edit --full tinc@vpn.service

et ajoutez la ligne suivante dans la section [Unit] :

Before=corosync.service

Puis activez le lancement automatique de notre lien tinc "vpn" :

systemctl enable tinc@vpn

Puis recharger la configuration de systemd :

systemctl daemon-reload

Création du cluster

Attention : si vous avez désactivé le login ssh root par password il faut le réactiver obligatoirement car proxmox force le login par password lors de la création du cluster ; vous pourrez à nouveau le désactiver une fois le cluster créé.

Sur node1

pvecm create <nom-du-cluster>
pvecm status

Vérifiez notamment que vous avez bien la ligne :

Node addresses: 10.10.10.1

Sur node2

Pour connecter node2 au cluster vous devez pouvoir vous connecter à l'interface proxmox avec l'utilisateur root@pam avec le mot-de-passe. Si vous l'aviez désactivé, réactivez le temporairement.

Pour lancer l'ajout :

pvecm add node1
pvecm nodes
Node  Sts   Inc   Joined               Name
   1   M     16   2013-08-23 22:46:09  node1
   2   M     12   2013-08-23 22:46:09  node2

Suppression d'un node

Avant de lancer la commande de suppression, vous devez impérativement couper la machine que vous souhaitez supprimer du cluster et vous assurer qu'elle ne redémarre à aucun moment sur proxmox (ou du moins pas sur cette installation de proxmox) car elle rejoindrait à nouveau le cluster. Si la machine rejoint le cluster après avoir été supprimé du cluster, vous risqueriez de flinguer totalement le cluster.
Dans l'idéal, passez la machine en mode rescue puis supprimez la configuration de tinc, ou arrêter la complètement.

Pour supprimer la machine node5 du cluster, lancez sur n'importe quel autre node :

pvecm delnode node5

La commande ne retourne aucune confirmation. Si vous lancez pvecm status, vous devriez voir la ligne Nodes: décrémentée de 1.

Pour supprimer définitivement les fichiers de configurations du node, et qu'il ne soit plus affiché dans la gui :

rm -rf /etc/pve/nodes/node5

Afficher les informations du lien tinc

Le démon tinc permet egalement d'obtenir des informations plus détaillées sur le statut du lien :

tincd -n <nom> -kUSR2

Les informations seront dans le syslog

Note sur la gestion du démon tinc par systemd sous debian

Sous debian avec systemd, une unit par défaut est créée (tinc.service) mais ne reflete pas réellement le statut de votre démon tinc. Elle est utilisée pour propager les commandes stop, restart et reload à tous les démons tinc que vous pourriez lancer.

Si vous créez deux VPN différents dans /etc/tinc/vpnA/ et /etc/tinc/vpnB/, il vous faudra les activer avec :

systemctl enable tinc@vpnA.service
systemctl enable tinc@vpnB.service

Puis vous pourrez gérer indépendamment vpnA ou vpnB en utilisant les noms complets, par exemple :

systemctl status tinc@vpnA.service
systemctl status tinc@vpnB.service

L'unit tinc.service permet de propager les commandes stop, restart et reload à l'ensemble des démons tinc. Ainsi, systemctl stop tinc.service provoquera l'arrêt de tinc@vpnA.service et tinc@vpnB.service

Documentations tinc