im_chcipraci

chcipraci.cz

Servery evidovane v Keepassu v "IM_Casa/real"

Popis

Bezi v casablance na clusteru. Servery oznaceny jako _im_. Funguje zhruba tak, ze proxy rozdeluje pozadavky mezi backendy, ktere maji sdileny FS (ocfs2). Web je klasicky LAP a pouziva dedikovany mysql server a elastic cluster. Vetsina zateze navstevnosti webu by mela jit na elastic, protoze je zde cluster ze 2 nodu a treti node je v zabehlicich (kvuli zaloham a aby na 2N clusteru nevznikl split brain).

Dale je zde VPN server, ktery jednak dela ipsec GW do Brna a Zabehlic a druhak dela openvpn gw pro vizusaky zvenci.

Dale je zde crawler server, ktery je pro vytezovani internetu. Ten pouziva LAMP stack pro mgmt a mongodb jako svoji provozni db.

Firewall

Firewall je na R3, pricemz kazdy server ma verejnou IP pres kterou pristupuje vizus. Ve firewallu je promenna, kde se definuji povolene IP a limitovane sluzby jsou pak globalne povolovany na tyto IP.

Existuje jeste druhy firewall a to je VPN server, ktery ma svoji verejku a dela ipsecy a openvpn. Ten ma taky firewall.

Zalohy

Mysql-01 se replikuje na ovz_im_replika_casa na BH1, taktez mongodb z crawler-01 a taktez elastic z clusteru elastic-01 a 02. Tady se pak delaji zalohy db.

Crawlery a jejich napojeni na RR

Crawlery z casablancy (real a beta) maji VPN spojeni na ovz_im_rr (lh3) pres openvpn. Specialita je to, ze VPN strka routy pouze do nedefaultni routovaci tabule (100). Nasledne je v ip rules definovane pravidlo, ze sekundarni IP adresa serveru dela lookup pres table 100, takze sekundarni IP jde vzdy ven pres VPN.

Soubory potrebne:
/etc/openvpvn/client/* (nastaveni klienta a routes.sh pro nahozeni rout to tabule 100)
/etc/sysconfig/iptables (snatujeme odchozi provoz vpnky na IP vpn)
/etc/rc.local (nastavuje ip rule pravidlo)
/etc/systemd/system/openvpn-client@.service.d (openvpn unita nefunguje korektne na ovz, proto nutne maly override)