Archives des Cluster Mysql/MariaDB - CoffeeBreak Info

MODOP – Installation d’un Cluster etcd

chris — Mon, 13 Feb 2023 16:40:23 +0000

Inventaire

Node-etcd01
- IP : 192.168.1.40/24
- OS : Rocky Linux 8.5
- RAM : 2Go
- CPU : 1
- Disk : 32Go
Node-etcd02
- IP : 192.168.1.41/24
- OS : Rocky Linux 8.5
- RAM : 2Go
- CPU : 1
- Disk : 32Go
Node-etcd03
- IP : 192.168.1.42/24
- OS : Rocky Linux 8.5
- RAM : 2Go
- CPU : 1
- Disk : 32Go

Pool des machines du cluster ETCD

1. Prérequis des machines du Pool ETCD

Mise à jour de la machine (3 nodes)

[root@node-etcd0x ~]# dnf update -y

Ajout des Hosts (pas de DNS)

[root@node-etcd01 ~]# echo "192.168.1.40 node-etcd01 " >> /etc/hosts
[root@node-etcd01 ~]# echo "192.168.1.41 node-etcd02 " >> /etc/hosts
[root@node-etcd01 ~]# echo "192.168.1.42 node-etcd03 " >> /etc/hosts

[root@node-etcd01 ~]# scp /etc/hosts root@node-etcd02:/etc/hosts
[root@node-etcd01 ~]# scp /etc/hosts root@node-etcd03:/etc/hosts

[root@node-etcd01 ~]# ping -c 2 node-etcd01
[root@node-etcd01 ~]# ping -c 2 node-etcd02
[root@node-etcd01 ~]# ping -c 2 node-etcd03

Désactiver SELinux (3 nodes)

[root@node-etcd0x ~]# getenforce
Enforcing

[root@node-etcd0x ~]# setenforce 0
[root@node-etcd0x ~]# getenforce
Permissive

[root@node-etcd0x ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config

Synchroniser DateTime sur le fuseau de PARIS (3 nodes)

[root@node-etcd0x ~]# timedatectl

[root@node-etcd0x ~]# timedatectl set-timezone Europe/Paris
[root@node-etcd0x ~]# timedatectl

Installation des middlewares utiles (3 nodes)

[root@node-etcd0x ~]# dnf install epel-release net-tools nmap wget tar -y

2. Récupération « latest » etcd (3 nodes)

[root@node-etcd0x ~]# echo "ETCD_RELEASE=$(curl -s https://api.github.com/repos/etcd-io/etcd/releases/latest|grep tag_name | cut -d '"' -f 4)" >> ~/.bashrc
[root@node-etcd0x ~]# source ~/.bashrc
[root@node-etcd0x ~]# echo $ETCD_RELEASE
v3.5.7

[root@node0x-psql tmp]# cd /tmp && wget https://github.com/etcd-io/etcd/releases/download/${ETCD_RELEASE}/etcd-${ETCD_RELEASE}-linux-amd64.tar.gz
[root@node-etcd0x tmp]# ls -al |grep etc
-rw-r--r--. 1 root root 18458320 20 janv. 11:23 etcd-v3.5.7-linux-amd64.tar.gz

3. Installation des binaires etcd (3 nodes)

[root@node-etcd0x tmp]# tar -xzvf etcd-${ETCD_RELEASE}-linux-amd64.tar.gz
[root@node-etcd0x tmp]# cd etcd-${ETCD_RELEASE}-linux-amd64/

[root@node-etcd0x etcd-v3.5.7-linux-amd64]# ls -al

[root@node-etcd0x etcd-v3.5.7-linux-amd64]# mv etcd* /usr/local/bin
[root@node-etcd0x etcd-v3.5.7-linux-amd64]# ls /usr/local/bin
etcd etcdctl etcdutl

[root@node-etcd0x etcd-v3.5.7-linux-amd64]# etcdutl version
[root@node-etcd0x etcd-v3.5.7-linux-amd64]# etcdctl version
[root@node-etcd0x etcd-v3.5.7-linux-amd64]# etcd --version

4. Installation/création du service etcd (3 nodes)

Création de la strucure etcd (3 nodes)

[root@node-etcd0x etcd-v3.5.7-linux-amd64]# cd ~
[root@node-etcd0x ~]# mkdir -p /var/lib/etcd/
[root@node-etcd0x ~]# mkdir /etc/etcd

Création droit user/group etcd (3 nodes)

[root@node-etcd0x ~]# groupadd --system etcd
[root@node-etcd0x ~]# useradd -s /sbin/nologin --system -g etcd etcd

Ajout des droits user/group etcd sur la structure (3 nodes)

[root@node-etcd0x ~]# chown -R etcd:etcd /var/lib/etcd/
[root@node-etcd0x ~]# chmod -R 0700 /var/lib/etcd

Ouverture des rules Firewall (3 nodes)

[root@node-etcd0x ~]# firewall-cmd --zone=public --permanent --add-port={2379,2380}/tcp
[root@node-etcd0x ~]# firewall-cmd --remove-service={cockpit,dhcpv6-client} --permanent
[root@node-etcd0x ~]# firewall-cmd --reload

[root@node-etcd0x ~]# firewall-cmd --list-port
2379/tcp 2380/tcp

5. Configuration du cluster etcd

Service etcd node-etcd01

[root@node-etcd01 ~]# systemctl stop etcd.service

[root@node-etcd01 ~]# vi /etc/systemd/system/etcd.service

[Unit]
Description=etcd key-value store
Documentation=https://github.com/etcd-io/etcd
After=network.target
[Service]
User=etcd
Type=notify
ExecStart=/usr/local/bin/etcd \
 --name node-etcd01 \
 --data-dir /var/lib/etcd/node-etcd01 \
 --initial-advertise-peer-urls http://192.168.1.40:2380 \
 --listen-peer-urls http://192.168.1.40:2380 \
 --listen-client-urls http://192.168.1.40:2379,http://127.0.0.1:2379 \
 --advertise-client-urls http://192.168.1.40:2379 \
 --initial-cluster-token clusterpsql \
 --initial-cluster node-etcd01=http://192.168.1.40:2380 \
 --initial-cluster-state new \
 --heartbeat-interval 1000 \
 --election-timeout 5000
Restart=always
RestartSec=10s
LimitNOFILE=40000

[Install]
WantedBy=multi-user.target

On recharge le service

[root@node-etcd01 ~]# systemctl daemon-reload

Service etcd node-etcd02

[root@node-etcd02 ~]# systemctl stop etcd.service

[root@node-etcd02 ~]# vi /etc/systemd/system/etcd.service

[Unit]
Description=etcd key-value store
Documentation=https://github.com/etcd-io/etcd
After=network.target
[Service]
User=etcd
Type=notify
ExecStart=/usr/local/bin/etcd \
--name node-etcd02 \
--data-dir /var/lib/etcd/node-etcd02 \
--initial-advertise-peer-urls http://192.168.1.41:2380 \
--listen-peer-urls http://192.168.1.41:2380 \
--listen-client-urls http://192.168.1.41:2379,http://127.0.0.1:2379 \
--advertise-client-urls http://192.168.1.41:2379 \
--initial-cluster-token clusterpsql \
--initial-cluster node-etcd01=http://192.168.1.40:2380,node-etcd02=http://192.168.1.41:2380\
--initial-cluster-state existing \
--heartbeat-interval 1000 \
--election-timeout 5000
Restart=always
RestartSec=10s
LimitNOFILE=40000

[Install]
WantedBy=multi-user.target

On recharge le service

[root@node-etcd02 ~]# systemctl daemon-reload

Service etcd node-etcd03

[root@node-etcd03 ~]# systemctl stop etcd.service

[root@node-etcd03 ~]# vi /etc/systemd/system/etcd.service

[Unit]
Description=etcd key-value store
Documentation=https://github.com/etcd-io/etcd
After=network.target

[Service]
User=etcd
Type=notify
ExecStart=/usr/local/bin/etcd \
--name node-etcd03 \
--data-dir /var/lib/etcd/node-etcd03 \
--initial-advertise-peer-urls http://192.168.1.42:2380 \
--listen-peer-urls http://192.168.1.42:2380 \
--listen-client-urls http://192.168.1.42:2379,http://127.0.0.1:2379 \
--advertise-client-urls http://192.168.1.42:2379 \
--initial-cluster-token clusterpsql \
--initial-cluster node-etcd01=http://192.168.1.40:2380,node-etcd02=http://192.168.1.41:2380,node-etcd03=http://192.168.1.42:2380 \
--initial-cluster-state existing \
--heartbeat-interval 1000 \
--election-timeout 5000
Restart=always
RestartSec=10s
LimitNOFILE=40000

[Install]

WantedBy=multi-user.target

On recharge le service

[root@node-etcd03 ~]# systemctl daemon-reload

6. Lancement du cluster etcd

Lancement etcd node-etcd01

[root@node-etcd01 ~]# rm -rf /var/lib/etcd/node-etcd01
[root@node-etcd01 ~]# systemctl start etcd.service

[root@node-etcd01 ~]# systemctl status etcd.service

[root@node-etcd01 ~]# ls -al /var/lib/etcd/node-etcd01
[root@node-etcd01 ~]# ls -al /var/lib/etcd/node-etcd01/member/

Ajout des membres au cluster sur node-etcd01

[root@node-etcd02 ~]# systemctl start --now etcd.service
[root@node-etcd01 ~]# etcdctl member add node-etcd02 --peer-urls=http://192.168.1.41:2380

[root@node-etcd03 ~]# systemctl start --now etcd.service
[root@node-etcd01 ~]# etcdctl member add node-etcd03 --peer-urls=http://192.168.1.42:2380

Démarrage/Création du Cluster ETCD

[root@node-etcd01 ~]# systemctl start --now etcd
[root@node-etcd01 ~]# systemctl enable etcd.service

[root@node-etcd01 ~]# systemctl status etcd

Lancement etcd node-etcd02

[root@node-etcd02 ~]# systemctl start --now etcd
[root@node-etcd02 ~]# systemctl enable etcd.service

[root@node-etcd02 ~]# systemctl status etcd

Lancement etcd node-etcd03

[root@node-etcd03 ~]# systemctl start --now etcd
[root@node-etcd03 ~]# systemctl enable etcd.service

[root@node-etcd03 ~]# systemctl status etcd

7. Check du Cluster ETCD

Check « Status » des membres (node01)

[root@node-etcd01 ~]# etcdctl member list

[root@node-etcd01 ~]# etcdctl -w table member list

Check « Health » des membres (node01)

[root@node-etcd01 ~]# etcdctl endpoint health --endpoints=192.168.1.40:2380
[root@node-etcd01 ~]# etcdctl endpoint health --endpoints=192.168.1.41:2380
[root@node-etcd01 ~]# etcdctl endpoint health --endpoints=192.168.1.42:2380

[root@node-etcd01 ~]# etcdctl endpoint health

root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node-etcd01:2380 endpoint status
root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node-etcd02:2380 endpoint status
root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node-etcd02:2380 endpoint status

Check « Transactions » des membres (node01)

root@node-etcd01 ~]# etcdctl --endpoints=192.168.1.40:2380 put user1 chris
OK

root@node-etcd01 ~]# etcdctl --endpoints=192.168.1.41:2380 get user1
user1
chris

root@node-etcd01 ~]# etcdctl --endpoints=192.168.1.42:2380 get user1
user1
chris

root@node-etcd01 ~]# etcdctl --endpoints=192.168.1.40:2380 get user1
user1
chris

Check « Create/Save DBA» des membres (node01)

[root@node-etcd01 ~]# etcdctl --endpoints=192.168.1.40:2379 snapshot save node-etcd01.db

[root@node-etcd01 ~]# etcdctl --endpoints=192.168.1.41:2379 snapshot save node-etcd02.db

[root@node-etcd01 ~]# etcdctl --endpoints=192.168.1.42:2379 snapshot save node-etcd03.db

[root@node-etcd01 ~]# ls -al |grep node

[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node-etcd01:2380 endpoint status
[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node-etcd02:2380 endpoint status
[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node-etcd03:2380 endpoint status

[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=192.168.1.40:2380 snapshot status node-etcd01.db
[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=192.168.1.40:2380 snapshot status node-etcd02.db
[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=192.168.1.40:2380 snapshot status node-etcd03.db

[root@node-etcd01 ~]# etcdutl snapshot status node-etcd01.db
7a62a45b, 2, 9, 20 kB

[root@node-etcd01 ~]# etcdutl snapshot status node-etcd02.db
7a62a45b, 2, 9, 20 kB

[root@node-etcd01 ~]# etcdutl snapshot status node-etcd03.db
7a62a45b, 2, 9, 20 kB

Change « leader» des membres (node01)

[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node01-psql:2380 endpoint status
[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node02-psql:2380 endpoint status
[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node03-psql:2380 endpoint status

Change le leader du node01 vers le node02 (node01)

[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node-etcd02:2380 endpoint status
[root@node-etcd01 ~]# etcdctl --endpoints=node-etcd01:2380 move-leader a782ed7d378b33b3

Check nouveau leader node-etcd02 (node01)

[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node-etcd01:2380 endpoint status
[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node-etcd02:2380 endpoint status
[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node-etcd03:2380 endpoint status

[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node-etcd01:2380,node-etcd02:2380,node-etcd03:2380 endpoint status

Check Ecriture/Lecture de données (node01)

Ecriture d’un texte (data)

[root@node-etcd01 ~]# etcdctl --endpoints=node-etcd01:2380,node-etcd02:2380,node-etcd03:2380 put msg "Christian - Cluster ETCD"
OK

[root@node-etcd01 ~]# etcdctl --write-out=table --endpoints=node-etcd01:2380,node-etcd02:2380,node-etcd03:2380 endpoint status

Lecture du texte (data)

[root@node-etcd01 ~]# etcdctl --endpoints=node-etcd01:2380,node-etcd02:2380,node-etcd03:2380 get msg

[root@node-etcd02 ~]# etcdctl --endpoints=node-etcd01:2380,node-etcd02:2380,node-etcd03:2380 get msg

[root@node-etcd03 ~]# etcdctl --endpoints=node-etcd01:2380,node-etcd02:2380,node-etcd03:2380 get msg

Effacement du texte (data)

[root@node-etcd03 ~]# etcdctl --endpoints=node-etcd01:2380,node-etcd02:2380,node-etcd03:2380 del msg
1

[root@node-etcd03 ~]# etcdctl --endpoints=node-etcd01:2380,node-etcd02:2380,node-etcd03:2380 get msg

L’article MODOP – Installation d’un Cluster etcd est apparu en premier sur CoffeeBreak Info.

MODOP – Autoriser connexions Distantes à MariaDB via SSL

chris — Tue, 09 Nov 2021 18:01:38 +0000

Serveur sqlss.house.cpb

Installation TCPFlow

[root@sqlssl ~]# dnf install wget
[root@sqlssl ~]# dnf install wget https://forensics.cert.org/cert-forensics-tools-release-el8.rpm
[root@sqlssl ~]# dnf install epel-release
[root@sqlssl ~]# dnf --enablerepo=forensics install tcpflow
[root@sqlssl ~]# tcpflow -c -p -i any dst port 3306

Client Mysql sql-client.house.cpb

[root@sql-client01 ~]# mysql -u chris -p -h sqlssl

mysql> select user,host from mysql.user;

Serveur sqlss.house.cpb

On remarque bien les flux de données en claire sur le réseau ce qui pose un réel souci de sécurité.
On peut vérifier les paramètre SSL sur MariaDB

MariaDB [(none)]> show variables LIKE « %ssl% »;

MariaDB [(none)]> status

Création des répertoires des certificats

[root@sqlssl ~]# mkdir -p /etc/mysql/newcerts/
[root@sqlssl ~]# cd /etc/mysql/newcerts/

Génération et auto-signature du Certificat d’autorité

[root@sqlssl newcerts]# openssl genrsa 4096 > ca-key.pem

[root@sqlssl newcerts]# openssl req -new -x509 -nodes -days 3650 -key ca-key.pem -out ca-cert.pem

Génération et auto-signature du Certificat serveur sqlssl.house.cpb

[root@sqlssl newcerts]# openssl req -newkey rsa:4096 -days 365000 -nodes -keyout server-key.pem -out server-req.pem

[root@sqlssl newcerts]# openssl rsa -in server-key.pem -out server-key.pem

writing RSA key

[root@sqlssl newcerts]# openssl x509 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

Certificats nécessaire à Mysql
[root@sqlssl newcerts]# ls -al

Installer les certificats dans Mysql

[root@sqlssl newcerts]# chmod 644 *
[root@sqlssl newcerts]# vi /etc/my.cnf

ssl-ca=/etc/mysql/newcerts/ca-cert.pem
ssl-cert=/etc/mysql/newcerts/server-cert.pem
ssl-key=/etc/mysql/newcerts/server-key.pem
ssl-cipher = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384

[root@sqlssl newcerts]# systemctl restart mysqld
[root@sqlssl newcerts]# mysql -u root -p

mysql> show variables LIKE « %ssl% »;

Création d’un utilisateur « chrisSSL@ sqlssl-client.house.cpb » avec privlège SSL
mysql> CREATE USER « chrisSSL »@ »sql-client.house.cpb » IDENTIFIED BY « Votre_mot_de_passe » REQUIRE SSL;
Query OK, 0 rows affected (0,02 sec)

mysql> GRANT SELECT, SHOW DATABASES ON *.* TO « chrisSSL »@ »sql-client.house.cpb » ;
Query OK, 0 rows affected (0,01 sec)

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0,00 sec)

mysql> select user,host,ssl_type from mysql.user;

Génération et auto-signature pour le client sql-client.house.cpb

[root@sqlssl newcerts]# openssl req -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem -out client-req.pem

[root@sqlssl newcerts]# openssl rsa -in client-key.pem -out client-key.pem
writing RSA key

[root@sqlssl newcerts]# openssl x509 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

Copie des certificats clients à vos/votre client(s)

[root@sqlssl newcerts]# scp ca-cert.pem root@sql-client:/etc/ssl/certs/
[root@sqlssl newcerts]# scp client-cert.pem root@sql-client:/etc/ssl/certs/
[root@sqlssl newcerts]# scp client-key.pem root@sql-client:/etc/ssl/certs/

CLIENT sql-client.house.cpb

Ajout des certificats à Mysql

[root@sqlssl-client ~]# cd /etc/ssl/certs/
[root@sqlssl-client certs]# chmod 644 *.pem
[root@sqlssl-client certs]# la -al

Connexion en spécifiant les certificats en ligne de commande

[root@sqlssl-client certs]# mysql --ssl-ca=ca-cert.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem -h sqlssl -u chrisSSL -p

mysql> select user,host from mysql.user;

Côté flux serveur

Toutes les transactions sont désormais cryptées entre le client et le serveur.

mysql> status

Ajouter les clefs sur le fichier client my.cnf

[root@sqlssl-client certs]# vi /etc/my.cnf.d/client.cnf

[client]
ssl-ca=/etc/ssl/certs/ca-cert.pem
ssl-cert=/etc/ssl/certs/client-cert.pem
ssl-key=/etc/ssl/certs/client-key.pem

[root@sql-client certs]# mysql -h sqlssl -u chrisSSL -p

Côté serveur

Sur le Client

Sur le Serveur

L’article MODOP – Autoriser connexions Distantes à MariaDB via SSL est apparu en premier sur CoffeeBreak Info.

MODOP – Autoriser des connexions Distantes à MariaDB

chris — Tue, 09 Nov 2021 11:14:16 +0000

1°) Partie Serveur MySQL

Machine Serveur

Hosts : slqssl.house.cpb
Mémoire : 2Go
vCPU : 2
Disque : 8Go
OS : AlmaLinux 8
Network : 192.168.1.4

Update de la machine

[root@sqlssl ~]# dnf -y update

Installation Mysql server

[root@sqlssl ~]# yum install mariadb-server

Démarrage des services

[root@sqlssl ~]# systemctl enable mariadb
[root@sqlssl ~]# systemctl start mariadb
[root@sqlssl ~]# systemctl status mariadb

Configuration de MySQL

[root@sqlssl ~]# mysql_secure_installation

Enter current password for root (enter for none):ENTER
Set root password? [Y/n] y
Remove anonymous users? [Y/n] y
Disallow root login remotely? [Y/n] y
Remove test database and access to it? [Y/n] y
Reload privilege tables now? [Y/n] y

Test de connexion root@localhost

[root@sqlssl ~]# mysql -u root -p

mysql> select user,host from mysql.user;

Ajout de nos hosts (no DNS)

[root@sqlssl ~]# echo "192.168.1.4 sqlssl.house.cpb sqlssl" >> /etc/hosts
[root@sqlssl ~]# echo "192.168.1.5 sql-client.house.cpb sql-client" >> /etc/hosts
[root@sqlssl ~]# echo "192.168.1.6 sql-client01.house.cpb sql-client01" >> /etc/hosts

Création d’un utilisateur distant pour notre client « sql-client.house.cpb »

[root@sqlssl ~]# mysql -u root –p

mysql> CREATE USER « chris »@ »sql-client.house.cpb » IDENTIFIED BY « votre_mot_de_passe »;
Query OK, 0 rows affected (0.01 sec)

mysql> GRANT SELECT, SHOW DATABASES ON *.* TO « chris »@ »sql-client.house.cpb » ;
Query OK, 0 rows affected (0.01 sec)

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.01 sec)

mysql> select user,host from mysql.user;

Rules Firewall

[root@sqlssl ~]# firewall-cmd --zone=public --permanent --add-port=3306/tcp
[root@sqlssl ~]# firewall-cmd --reload
[root@sqlssl ~]# dnf install nmap
[root@sqlssl ~]# nmap localhost

2°) Check connexion Client « sql-client » sur MySQL

Machine Client

Hosts : slq-client.house.cpb
Mémoire : 2Go
vCPU : 2
Disque : 8Go
OS : AlmaLinux 8
Network : 192.168.1.5

Update de la machine

[root@sql-client ~]# dnf -y update

Ajout de nos hosts (no DNS)

[root@ sql-client ~]# echo "192.168.1.4 sqlssl.house.cpb sqlssl" >> /etc/hosts
[root@ sql-client ~]# echo "192.168.1.5 sql-client.house.cpb sql-client" >> /etc/hosts

Installation du Client Mysql

[root@ sql-client ~]# dnf install mysql
[root@sql-client ~]# mysql -u chris -p -h sqlssl
mysql> select user,host from mysql.user;

Nous avons bien une autorisation de connexion sur notre serveur de base de donnée.

3°) Check connexion Client « sql-client01 » sur MySQL

Machine Client01

Hosts : slq-client01.house.cpb
Mémoire : 2Go
vCPU : 2
Disque : 8Go
OS : AlmaLinux 8
Network : 192.168.1.6

Update de la machine

[root@sql-client01~]# dnf -y update

Ajout de nos hosts (no DNS)

[root@ sql-client01~]# echo "192.168.1.4 sqlssl.house.cpb sqlssl" >> /etc/hosts
[root@ sql-client01~]# echo "192.168.1.6 sql-client01.house.cpb sql-client01" >> /etc/hosts

Installation du Client Mysql

[root@ sql-client01~]# dnf install mysql

[root@ sql-client01~]# mysql -u chris -p -h sqlssl

Nous avons bien un rejet de connexion sur notre serveur de base de donnée.

L’article MODOP – Autoriser des connexions Distantes à MariaDB est apparu en premier sur CoffeeBreak Info.

MODOP – PARTIE 1 – Installation WordPress en HA – Présentation

chris — Sun, 27 Jun 2021 16:40:31 +0000

Le but est de rendre disponible une application web (ici WordPress) dans une infrastructure la plus solide possible.

Principe

Inventaire des Machines

Composition des Clusters

Cluster HaProxy + keepalive(RockyLinux 8 fork RHEL8)

MODOP – PARTIE 5 – Installation WordPress en HA – Cluster HaProxy

3 machines HaProxy

node01-haw 172.16.186.20
node02-haw 172.16.186.21
node03-haw 172.16.186.22
node-haw 192.168.1.230/24(vIP)

HaProxy va repartir la charge réseau en fonction de la disponibilité des machines du réseau.
Si votre site possède une forte affluence, HaProxy répartira les différentes requêtes SQL, http sur les différents Cluster de machine.
Ici on utilisera 3 machines HaProxy pour gérer la gestion « tiers » panne.
En effet, il y aura un master et deux slaves.

Si le master est down l’un des deux « slaves » passe en master et répondra aux requêtes.
Si le deuxième master tombe alors le troisième passera Master.

Statistiquement la panne de 2 serveurs sur 3 est assez rare.

GlusterFS cluster (Centos7)

MODOP – PARTIE 2 – Installation WordPress en HA – GlusterFS

3 machines GlusterFS

node01-gfsw 172.16.186.24
node02-gfsw 172.16.186.25
node03-gfsw 172.16.186.26

GlusterFS est un service de fichiers distribués. Chaque fichier inscrit sur une machine est automatiquement répliqué sur les autres machines du cluster.
Si une machine du cluster est down, les fichiers restent disponibles sur les deux autres nœuds du Cluster.
Nous allons héberger les fichiers de conf (Apache, haProxy ) et le site de WordPress.
Cela nous permettra de centraliser les fichiers nécessaires au fonctionnement des Clusters.

MySQL cluster (AlmaLinux 8 fork RHEL8)

MODOP – PARTIE 3 – Installation WordPress en HA – Cluster Mysql

3 machines MySQL

node01-sqlw 172.16.186.27
node02-sqlw 172.16.186.28
node03-sqlw 172.16.186.29

Le cluster MySQL est constitué de 3 nœuds MySQL en Master-Master-Master. Toutes données inscrites sur un des nœuds est répliquées automatiquement sur les autres nœuds du cluster.
Si une machine est down, les autres machines répondront aux requêtes via le Cluster HaProxy.
Quand la machine reviendra UP dans le Cluster, elle se resynchronisera automatiquement auprès des autres machines du cluster.

Web cluster apache/PHP

MODOP – PARTIE 4 – Installation WordPress en HA – Cluster Apache

3 machines Apache/php

node01-webw 172.16.186.30
node02-webw 172.16.186.31
node03-webw 172.16.186.32

Le Cluster Apache hébergera uniquement le service Apache/PHP pour le site WordPress, il répondra à toutes les requêtes de HaProxy.
Nous sommes encore sous le mode « tiers ». Si une machine cesse de fonctionner les deux autres répondrons aux sollicitations de HaProxy via le LoadBalancing.

Conclusion

Dans notre infrastructure nous avons 4 clusters de service en mode « tiers » Haute disponibilité

Cluster HaProxy + KeepAlived
Cluster GlusterFS
Cluster MySQL
Cluster Web

Pour que ce mode soit le plus résilient, il faut impérativement provisionner chacun des services sur des machines hyperviseurs différentes (VMware, Proxmox ,HyperV ,etc) .

Bref si un Hyperviseur est down, les deux autres répondrons aux sollicitations des clients.

Si les hyperviseurs sont gérés par le mode HA, les machines virtuelles hébergées par l’hyperviseur en panne migreront automatiquement sur les autres hyperviseurs UP.

Prérequis

La première étape sera d’inscrire toutes les machines de notre infrastructure « WordPress » sur nos DNS primaire et secondaire afin que les machines se trouvent facilement par leur nom d’host.

MODOP – Configurer un DNS Primaire et Secondaire – Centos7 – SysBreak Info (en-images.info)

[root@dns-pri ~]# vi /var/named/forward.house.cpb
; ### infrastructure WordPress ###
;
; Cluster HAproxy
node01-haw IN A 172.16.186.20
node02-haw IN A 172.16.186.21
node03-haw IN A 172.16.186.22
node-haw IN A 192.168.1.230
; Cluster GlusterFS
node01-gfsw IN A 172.16.186.24
node02-gfsw IN A 172.16.186.25
node03-gfsw IN A 172.16.186.26
; Cluster MySQL
node01-sqlw IN A 172.16.186.27
node02-sqlw IN A 172.16.186.28
node03-sqlw IN A 172.16.186.29
; Cluster Web Httpd/PHP
node01-webw IN A 172.16.186.30
node02-webw IN A 172.16.186.31
node03-webw IN A 172.16.186.32

Modifier le numéro de série et redémarrer le service apache.

[root@dns-pri ~]# systemctl reload named

Côté DNS Primaire

Côté DNS Secondaire

Test sur un client

L’article MODOP – PARTIE 1 – Installation WordPress en HA – Présentation est apparu en premier sur CoffeeBreak Info.

MODOP – Installation CLUSTER MySQL Percona et HA Proxy

chris — Sat, 12 Jun 2021 20:05:44 +0000

PARTIE 1 – INSTALLATION Cluster Percona/MySQL

3 Machines Mysql sous Centos7

Node01-sql : 10.10.0.11
Node02-sql : 10.10.0.12
Node03-sql : 10.10.0.13

Le Pool « RepliSQL » va être composé de trois machines virtuelles

Node01-sql -> 10.10.0.11
- 2CPU, 4G RAM, 40Go Disk
Node02-sql -> 10.10.0.12
- 2CPU, 4G RAM, 40Go Disk
Node03-sql -> 10.10.0.13
- 2CPU, 4G RAM, 40Go Disk

1°) Désactiver SeLinux (3 nœuds)

[root@node01-sql chris]# vi /etc/selinux/config
SELINUX=disabled

2°) Désactiver IPV6 (3 nœuds)

[root@localhost ~]# echo "net.ipv6.conf.eth0.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@localhost ~]# echo "net.ipv6.conf.default.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@localhost ~]# echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@localhost ~]# echo "net.ipv6.conf.lo.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@localhost ~]# sysctl -p

3°) Ajouter sur tous les nœuds dans le DNS

/var/named/named.house.zone

4°) Update les sources et installation des paquets essentiels (3 nœuds)

[root@node01-sql chris]# yum update && yum upgrade
[root@node01-sql chris]# yum install qemu-guest-agent
[root@node01-sql chris]# yum install htop nmap net-tools

5°) Configurer le Firewall et ouverture des ports (3 nœuds)

[root@node01-sql chris]# systemctl enable firewalld
[root@node01-sql chris]# systemctl start firewalld

Ajout des Rules Firewall

[root@node03-sql chris]# firewall-cmd --permanent --add-port={3306,4444,4567,4568}/tcp
[root@node03-sql chris]# firewall-cmd --zone=public --add-port=4567/udp --permanent
[root@node01-sql chris]# firewall-cmd --reload

[root@node01-sql chris]# firewall-cmd --list-all

5°) Installation des sources repository (3 nœuds)

[root@node01-sql chris]# yum -y install epel-release
[root@node01-sql chris]# yum -y install socat

6°) Désinstallation des libs Sql non nécessaire (3 nœuds)

[root@node01-sql chris]# yum -y remove mariadb-libs

7°) Installation Percona XtraDB Cluster (3 nœuds)

[root@node01-sql chris]# yum -y install http://www.percona.com/downloads/percona-release/redhat/0.1-3/percona-release-0.1-3.noarch.rpm
[root@node01sql chris]# yum update
[root@node01-sql chris]# yum install Percona-XtraDB-Cluster-server-56 Percona-XtraDB-Cluster-client-56 Percona-XtraDB-Cluster-shared-56 percona-toolkit percona-xtrabackup Percona-XtraDB-Cluster-galera-3 rsync nc

[root@node01-sql chris]# systemctl enable mysql
[root@node01-sql chris]# systemctl start mysql

8°) Configurer Percona/Mysql (3 nœuds)

[root@node01-sql chris]# mysql_secure_installation
Enter current password for root (enter for none): « ENTER »
Set root password? [Y/n] Y
New password: « Votre password »
Re-enter new password: « retaper password »
Remove anonymous users? [Y/n] Y
Disallow root login remotely? [Y/n] Y
Remove test database and access to it? [Y/n] Y
eload privilege tables now? [Y/n] Y

9°) Création d’un utilisateur commun aux 3 nœuds

[root@node01-sql chris]#mysql -u root -p
mysql> CREATE USER 'mysql-cluster'@'%' IDENTIFIED BY 'mysql@2020';
mysql> GRANT ALL ON *.* TO 'mysql-cluster'@'%';
mysql> FLUSH PRIVILEGES;

[root@node01-sql chris]# systemctl stop mysql

Configuration /etc/my.cnf sur le nœud node01-sql

[root@node01-sql etc]# vi /etc/my.cnf
wsrep_cluster_address = gcomm://
wsrep_provider = /usr/lib64/galera3/libgalera_smm.so
wsrep_slave_threads = 8
wsrep_cluster_name = SQL-Cluster
wsrep_node_name = node01-sql
wsrep_node_address = node01-sql
wsrep_sst_method = xtrabackup-v2
wsrep_sst_auth = mysql-cluster:mysql@2020

Configuration /etc/my.cnf sur le nœud node02-sql

[root@node02-sql etc]# vi /etc/my.cnf
wsrep_cluster_address = gcomm://node01-sql,node03-sql
wsrep_provider = /usr/lib64/galera3/libgalera_smm.so
wsrep_slave_threads = 8
wsrep_cluster_name = SQL-Cluster
wsrep_node_name = node02-sql
wsrep_node_address = node02-sql
wsrep_sst_method = xtrabackup-v2
wsrep_sst_auth = mysql-cluster:mysql@2020

Configuration /etc/my.cnf sur le nœud node03-sql

[root@node03-sql etc]# vi /etc/my.cnf
wsrep_cluster_address = gcomm://node01-sql,node02-sql
wsrep_provider = /usr/lib64/galera3/libgalera_smm.so
wsrep_slave_threads = 8
wsrep_cluster_name = SQL-Cluster
wsrep_node_name = node03-sql
wsrep_node_address = node03-sql
wsrep_sst_method = xtrabackup-v2
wsrep_sst_auth = mysql-cluster:mysql@2020

Démarrer les Serveurs Percona/Mysql

Démarrer Perconna/Mysql nœud node01-sql

[root@node01-sql etc]# systemctl start mysql@bootstrap

Démarrer Perconna/Mysql nœud node02-sql et node3-sql

[root@node01-sql etc]# systemctl start mysql

10°) Vérification sur les 3 nœuds Percona/Mysql

[root@node01-sql chris]# mysql -u root –p
mysql> SHOW STATUS LIKE 'wsrep_local_state_comment';

mysql> show global status like 'wsrep_cluster_size';

mysql> show global status like 'wsrep%';

PARTIE 2 – INSTALLATION HA + Cluster Percona/MySQL

2 Machines HA Proxy + Keepalived sous Centos7

Node01-lb : 10.10.0.14
Node02-lb : 10.10.0.15
sql-lb :10.10.0.16, IP Virtuelle KeepAlived
sql-lb :10.10.0.17, IP Virtuelle KeepAlived

Deux IP pour KeepAlived pour réaliser un LoadBalancing côté DNS.

1°) Ajouter les deux enregistrements pour le serveur sql-lb dans le DNS (Primaire et Secondaire)

/var/named/named.house.zone

Vérification OK

Le Pool « Loadbalancing » va être composé de deux machines virtuelles (IP Virtuelle : 10.10.0.16 et 10.10.0.17)

Node01-lb -> 10.10.0.14
- 2CPU, 2G RAM, 10Go Disk
Node02-lb-> 10.10.0.15
- 2CPU, 2G RAM, 10Go Disk

2°) Désactiver SeLinux (2 nœuds HA)

[root@node01-sql chris]# vi /etc/selinux/config
SELINUX=disabled

3°) Update les sources et installation des paquets essentiels (2 nœuds HA)

[root@node01-sql chris]# yum update && yum upgrade
[root@node01-sql chris]# yum install qemu-guest-agent
[root@node01-sql chris]# yum install htop nmap net-tools
[root@node01-sql chris]# yum install gcc kernel-headers kernel-devel

4°) Désactiver l’IPV6 sur les 2 nœuds

[root@localhost ~]# echo "net.ipv6.conf.eth0.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@localhost ~]# echo "net.ipv6.conf.default.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@localhost ~]# echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@localhost ~]# echo "net.ipv6.conf.lo.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@localhost ~]# sysctl -p

5°) Installer et configurer KeepAlive (2 noeuds)

Ajout règle sur ipv4

[root@node01-lb keepalived]# echo "net.ipv4.ip_nonlocal_bind = 1" >> /etc/sysctl.conf
[root@node01-lb keepalived]# sysctl -p
net.ipv4.ip_nonlocal_bind = 1

Ajout rules Firewall(2 noeuds)

[root@node01-lb keepalived]# firewall-cmd --add-rich-rule='rule protocol value="vrrp" accept' --permanent
[root@node01-lb keepalived]# firewall-cmd --reload

Install Keepalive (2 noeuds)

[root@node01-lb ~]# yum install keepalived
[root@node01-lb ~]# cd /etc/keepalived/
[root@node01-lb keepalived]# systemctl enable keepalived
[root@node01-lb keepalived]# systemctl stop keepalived
[root@node01-lb keepalived]# cp keepalived.conf keepalived.conf_old

Sur le nœud Master node01-lb

[root@node01-lb keepalived]# vi keepalived.conf
! Configuration File for keepalived
global_defs {
    notification_email {
    chris@en-images.info
     }
    notification_email_from chris@en-images.info
    smtp_server localhost
    smtp_connect_timeout 30
    }

vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 150
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }

virtual_ipaddress {
     10.10.0.16
     10.10.0.17
    }
}

[root@node01-lb keepalived]# systemctl start keepalived
[root@node01-lb keepalived]# ip a

Sur le nœud Master node02-lb

[root@node02-lb keepalived]# vi keepalived.conf
! Configuration File for keepalived
global_defs {
    notification_email {
    chris@en-images.info
    }
    notification_email_from chris@en-images.info
    smtp_server localhost
    smtp_connect_timeout 30
}

vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }

virtual_ipaddress {
    10.10.0.16
    10.10.0.17
    }
}

[root@node02-lb keepalived]# systemctl stop keepalived
[root@node02-lb keepalived]# systemctl start keepalived

6°)Test du KeepAlive Loadbalancing

On va stopper node01-lb pour vérifier que l’IP virtuelle présente sur node01-lb bascule sur node02-lb

[root@node01-lb ~]# systemctl stop keepalived

Coté node02-sql

L’ip Virtuelle 10.10.0.10 est basculer sur node02-lb.

Dans les logs node02-lb > Changement de l’état MASTER et attribution de l’IP

7°) Installer HA Proxy

Sur les 3 Nœuds Percona/Mysql ajouter les rules firewall

[root@node01-sql chris]# firewall-cmd --zone=public --add-port=9200/tcp --permanent
[root@node01-sql chris]# firewall-cmd --reload

Installation clustercheck (3 nœuds Percona/Mysql)

[root@node01-sql chris]# yum install wget
[root@node01-sql chris]# wget https://raw.githubusercontent.com/olafz/percona-clustercheck/master/clustercheck
[root@node01-sql chris]# mv clustercheck /usr/bin/Clustercheck
[root@node01-sql chris]# chmod +x /usr/bin/Clustercheck

Installer mysqlchk via xinetd (3 nœuds Percona/Mysql)

[root@node01-sql chris]# yum install xinetd
[root@node01-sql chris]# find / -name mysqlchk
/etc/xinetd.d/mysqlchk

[root@node01-sql chris]# vi /etc/xinetd.d/mysqlchk

Indiquer le script /usr/bin/Clustercheck

8°) Créer un utilisateur commun aux 3 nœuds Percona/Mysql

Création de l’utilisateur sur node01-sql qui se répliquer automatiquement sur les autres node02-sql et node03-sql.

[root@node01-sql chris]# mysql -u root –p
mysql> CREATE USER 'ClusterCheck'@'%' IDENTIFIED BY 'check@2020';
mysql> GRANT ALL ON *.* TO 'ClusterCheck'@'%';
mysql> FLUSH PRIVILEGES;

Vérifier la réplication de l’utilisateur ClusterCheck sur node02-sql et node03-sql.

Sur Node02-sql

[root@node02-sql chris]# mysql -u root –p
mysql> SELECT User, Host, Password FROM mysql.user;

Sur Nod03-sql

[root@node03-sql chris]# mysql -u root –p
mysql> SELECT User, Host, Password FROM mysql.user;

9°) Modifier/Configurer le script Clustercheck (3 nœuds Percona/Mysql)

[root@node01-sql chris]# vi /usr/bin/Clustercheck
MYSQL_USERNAME="${MYSQL_USERNAME:=-clustercheckuser}"
MYSQL_PASSWORD="${MYSQL_PASSWORD-clustercheckpassword!}"

Modifier par

MYSQL_USERNAME= »${1-ClusterCheck} »
MYSQL_PASSWORD= »${2-check@2020} »

Vérifier en lançant la commande que le Cluster est synchronisé.

[root@node01-sql chris]# /usr/bin/Clustercheck

Ajouter le service mysqlchl port 9200 au service (3 nœuds Percona/Mysql)

[root@node01-sql chris]# vi /etc/services
#wap-wsp 9200/tcp # WAP connectionless session service
#wap-wsp 9200/udp # WAP connectionless session service
mysqlchk 9200/tcp # mysqlchk

[root@node01-sql chris]# systemctl enable xinetd
[root@node01-sql chris]# systemctl restart xinetd

10°) Installer et configurer HA Proxy ( 2 nœuds HA)

[root@node01-lb ~]# yum install haproxy
[root@node01-lb ~]# mv /etc/haproxy/haproxy.cfg /etc/haproxy/haproxy.cfg.bk

[root@node01-lb ~]# vi /etc/haproxy/haproxy.cfg
global
    log 127.0.0.1 local2
    log 127.0.0.1 local1 notice
    chroot /var/lib/haproxy
    pidfile /var/run/haproxy.pid
    maxconn 4096
    user haproxy
    group haproxy
    daemon
    stats socket /var/lib/haproxy/stats

defaults
    log global
    mode http
    option tcplog
    option dontlognull
    retries 3
    option redispatch
    maxconn 2000
    timeout connect 5000
    timeout client 50000
    timeout server 50000

listen mysql-cluster 0.0.0.0:3306
    mode tcp
    balance roundrobin
    option httpchk
    server node01-sql 10.10.0.11:3306 check port 9200 inter 12000 rise 3 fall 3
    server node02-sql 10.10.0.12:3306 check port 9200 inter 12000 rise 3 fall 3
    server nodd03-sql 10.10.0.13:3306 check port 9200 inter 12000 rise 3 fall 3

## HAProxy stats web gui running on port 9000 - username and password: admin
    listen stats 0.0.0.0:9000
    mode http
    stats enable
    stats uri /stats
    stats realm HAProxy\ Statistics
    stats auth admin:admin
    stats admin if TRUE

11°) Configurer les rules du Firewall ( 2 Nœuds HA)

[root@node01-lb haproxy]# systemctl enable firewalld
[root@node01-lb haproxy]# systemctl start firewalld
[root@node01-lb haproxy]# firewall-cmd --permanent --add-port=9000/tcp
[root@node01-lb haproxy]# firewall-cmd --permanent --add-port=3030/tcp
[root@node01-lb haproxy]# firewall-cmd --reload

[root@node01-lb haproxy]# systemctl restart firewalld
[root@node01-lb haproxy]# systemctl restart haproxy

http://10.10.0.16:9000/stats ou http://10.10.0.17:9000/stats (Défini par « stats auth admin:admin»)

- Login : admin
- Password : admin

12°) Installation du client perona/MySQL ( 2 Nœuds HA)

[root@node01-lb chris]# yum install https://www.percona.com/redir/downloads/percona-release/redhat/0.1-4/percona-release-0.1-4.noarch.rpm
[root@node01-lb chris]# yum update --skip-broken
[root@node01-lb chris]# yum install Percona-XtraDB-Cluster-client-56

13°) Test Connexion au cluster Mysql node0x-sql via l’adresse virtuelle 192.168.1.100 du cluster HA proxy

[root@node01-lb chris]# mysql -u ClusterCheck -p -h 10.10.0.16 -P 3306 -e "select Host, User, Password from mysql.user"

Test création Base « sondes » à partir de l’IP virtuelle 10.10.0.17 HA Proxy et vérifions que toutes les nœuds sont à jour.

Création de la base via loadbalancing

[root@node01-lb chris]# mysql -u ClusterCheck -p -h 10.10.0.17 -P 3306 -e "create database sondes"

Vérifions sur les 3 nœuds Mysql

Sur node01-sql

[root@node01-sql chris]# mysql -u root –p
mysql> SHOW DATABASES;

Sur Node02-sql

Sur Node03-sql

L’article MODOP – Installation CLUSTER MySQL Percona et HA Proxy est apparu en premier sur CoffeeBreak Info.