Linux カーネルには、ipchains と呼ばれるファイアウォール機能が組み込まれています。
Load Balancer と ipchains を並行して実行すると、Load Balancer が最初にパケットを読み取り、次に ipchains が実行されます。これにより、ipchains を使用すると、Linux Load Balancer マシンを強化できます。例えば、ファイアウォールのロード・バランシングを行うために使用する Load Balancer マシンなどが該当します。
このタスクについて
一般に、Load Balancer マシンについての適正な ipchains 方針は、
バックエンド・サーバー、パートナー HA Load Balancer、
すべてのリーチ・ターゲット、またはすべての構成ホストとの間のトラフィック以外のすべてのトラフィックを認可しないことです。
Linux カーネルのバージョン 2.4.10.x で Load Balancer が実行されているときに、
iptables を活動状態にすることは推奨されません。
この Linux カーネルのバージョンで活動化すると、時間の経過に従ってパフォーマンスが低下する可能性があります。
手順
- iptables または ipchains を活動化するには、
これらが完全に制限されるように構成して、インバウンドまたはアウトバウンド・トラフィックが許可されないように
します。Load Balancer のパケット転送部分は、正常に機能し続けます。
Load Balancer のすべてが正しく機能するためには、一部の追加トラフィックが許可されていなければなりません。
この通信のいくつかの例は、次のとおりです。
- advisor は Load Balancer マシンとバックエンド・サーバーの間で通信します。
- Load Balancer はバックエンド・サーバー、リーチ・ターゲット、
および HA パートナー Load Balancer マシンを ping します。
- ユーザー・インターフェース (グラフィカル・ユーザー・インターフェース、コマンド行、およびウィザード) は RMI を使用します。
- バックエンド・サーバーは、Load Balancer マシンからの ping に応答しなければなりません。
- iptables を非活動状態にするには、以下のようにします。
- ip_tables および ip_conntrack を使用しているモジュールをリストします。 以下のコマンドを実行します。
lsmod
- 以下のコマンドを発行して、それらを除去します。
rmmod ip_tables
rmmod ip_conntrack
マシンをリブートすると、これらのモジュールが再び追加されるため、
リブートするたびにこれらのステップを繰り返す必要があります。