How to install the conntrack-tools
このドキュメントにて conntrack-tools のセットアップ方法を詳しく述べます。0. Introduction
conntrack-tools パッケージには二つのプログラムを含みます:- conntrack: connection tracking システムとやり取りをするコマンドラインインターフェース。
- conntrackd: ハイアベイラビリティな GNU/Linux のファイアウォールを配備するために使用し、ファイアウォールの使用統計を収集することができる connection tracking ユーザスペースデーモン。
1. Requirements
conntrack-tools を動作させるために以下のソフトウェアをインストールしなければなりません。先に進む前にこれらが正しくインストールされているか確認して下さい。- linux kernel バージョン >= 2.6.18 (http://www.kernel.org)とサポートできるようにするのは:
- connection tracking system (quite obvious ;)
- nfnetlink
- ctnetlink (ip_conntrack_netlink)
- connection tracking event notification API
- libnfnetlink: オフィシャルリリース netfilter.org から取得可能な netfilter netlink ライブラリ。
- libnetfilter_conntrack:
オフィシャルリリース netfilter.org から入手できるnetfilter conntrack ライブラリ。
conntrack-tools をコンパイル、インストールためには、ただ一般的な以下のステップに従うだけです。
この時点でコマンドラインインターフェース `conntrack' を使うことが できます。しかし `conntrackd' と呼ばれるユーザスペースデーモンを動 作させるためにはいくつかの魔法の言葉が必要です。./configure
$ make
# make install
3. Setting up conntrackd
現在 conntrackd は二つの動作モードを持ちます: 統計モードと同期モード双方の詳細について以下述べます。3.1. Synchronization mode
conntrackd は Linux 上のステートフルファイアウォールの接続の状態を複製することができます。この章ではデーモンを同期モードで設定する方法を述べます。3.1.1. Requirements
Keepalived バージョン 1.x (http://www.keepalived.org): 使用しているディストリビューションが最近のバージョンのものかチェックして下さい。3.1.2. Configuration
- keepalived のインストールと設定:
keepalived 1.x の最新のバージョンをダウンロード、インストールします。使用しているディストリビューションに含まれているかチェックして下さい。シンプルなプライマリ/バックアップのシナリオを設定するのであれば conntrackd の tarball 内のサンプルファイルを使用することができます。 - node 1 に対しては: conntrackd-x.x.x/examples/sync/node1/keepalived.conf
- node 2 に対しては: conntrackd-x.x.x/examples/sync/node2/keepalived.conf
- これらのファイルは仮想 IP 192.168.0.100 を eth0 で、また 192.168.1.100 を eth1 で持つ二つの端末から構成されるシンプルな VRRPクラスタを設定するのに用いることができます。keepalived に詳しくないのであれば http://www.keepalived.org の公式ドキュメントを読んで下さい。step2 に進む前に keepalived が正しく稼働しているか確認して下さい。
- Setting up conntrackd:
'conntrackd' を同期モードで設定するためには設定ファイルを /etc/conntrackd に置かなければなりません。- node1 上では
- # cp examples/sync/_type_/node1/conntrackd.conf /etc/conntrackd.conf
- node2 では
- # cp examples/sync/_type_/node1/conntrackd.conf /etc/conntrackd.conf
_type_ は現在二つある同期タイプ、パーシステントモードか NACK モード、を選びます。パーシステントモードは NACK モードよりリソースを消費しますが、NACK モードは、まだ実験的です。
配備した設定に合うよう、これらファイルを編集するのを忘れないで下さい。
設定ファイルを /etc/conntrackd 配下に置きたくないのであればconntrackd にオプション -C でどこを探すか教えてやって下さい。
- Running conntrackd
conntrackd はコンソールモードで稼働することができます。この場合、ただ 'conntrackd' とタイプして下さい。あるいはデーモンモードで稼働させていのであれば 'conntrackd -d' とタイプして下さい。 - Checking that conntrackd is working fine
conntrackd には、ステータスをチェックするための、いくつかの方法があります:- (別名内部キャッシュと呼ばれる) 現在このノードによって処理されている接続のキャッシュをダンプ:
# conntrackd -i - (別名外部キャッシュと呼ばれる) ネットワーク内の別ノードから送信された接続についてのキャッシュをダンプ:
# conntrackd -e - 複製デーモンによって収集された統計情報のダンプ:
# conntrackd -s
- (別名内部キャッシュと呼ばれる) 現在このノードによって処理されている接続のキャッシュをダンプ:
- Setting up interaction with keepalived
keepalived はアクティブノードが落ちたと検知すると、落ちたアクティブを置き換えるノード候補を指定します。このイベントにて外部キャッシュ、例えば? 別のノードによって処理された接続を含むキャッシュが (カーネルに?) 引渡されなければなりません。外部キャッシュを引渡すためには
とタイプします。# conntrackd-c
keepalived は別プログラムとやり取りするためのインターフェースとしてシェルスクリプトを提供しているので以下に紹介する行を keepalived の設定ファイルに記述することにより、外部キャッシュを引渡す処理を自動化できます。
'script_master.sh' 内には以下の記述があります:
よって、(アクティブノードが) 落ちたイベントにて次候補となるノードが仮想 IP と落ちるノードが処理していた接続を引き継ぎます。NACK モードでは、このファイルは異なることを見て下さい。#!/bin/sh
/usr/sbin/conntrackd -c # commit external cache
/usr/sbin/conntrackd -R # resync with kernel conntrack table - Disable TCP window tracking
適切なパッチがカーネルのメインラインに入るまで TCP window tracking を不能としなければなりません。以下をとりあえずの解決策とすることを検討して下さい:# echo 1 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal
3.2. Statistic mode
conntrackd は統計デーモンとして稼働することも可能です。興味が無いようであれば飛ばして下さい。同期モードを稼働させる必要はありません。この章ではデーモンを統計モードで設定するための方法を述べます。- Configuration
conntrackd を統計モードで設定するのは、幾分簡単です。設定ファイルをコピーするだけです。
# cp examples/stats/conntrackd.conf /etc/conntrackd.conf
- Running conntrackd in statistics mode
To run conntrackd in statistics mode:
# conntrackd -S
Alternatively, you can run conntrackd in daemon mode:
# conntrackd -S -d
In order to dump the statistics, just type:
# conntrackd -s
To dump the current connection forwarded, just type:
# conntrackd -i
0 件のコメント:
コメントを投稿