LINUX.ORG.RU
ФорумAdmin

GlusterFS и удалённый доступ

 , ,


1

2

А что, своими средствами доступ к GlusterFS никак не лимитировать? То есть, вижу, что можно настроить ip-based авторизацию для доступа к томам. Но что толку, если я могу к любой ноде со стороны присоединиться клиентом и создать свой том.

Неужели, кроме iptables иных средств прекратить это безобразие нету? :)

★★★★★

Последнее исправление: cetjs2 (всего исправлений: 2)

Подскажите тогда хоть какой волшебной строчкой iptables я могу ограничить доступ к 24007..24011 портам только для списка разрешённых IP? А то я с iptables плохо дружу :)

KRoN73 ★★★★★
() автор топика
Ответ на: комментарий от KRoN73

Пока так сделал:

-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 24007 -j ACCEPT
-A INPUT -s yy.yy.yy.yy/32 -p tcp -m tcp --dport 24007 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 24007 -j DROP

KRoN73 ★★★★★
() автор топика
Последнее исправление: KRoN73 (всего исправлений: 1)
Ответ на: комментарий от MikeDM

А что делать, если документация по GlusterFS просто никакая. И форумов нормальных по нему нет, только ужасающие по юзабилити рассылки :)

KRoN73 ★★★★★
() автор топика

Хороший тред. Сам спросил, сам нагуглил, сам научился, сам ответил. В духе старого LOR.

sT331h0rs3 ★★★★★
()
Ответ на: комментарий от KRoN73

А что делать, если документация по GlusterFS просто никакая.

вот вот, я тоже с ним недавно связался. ужс просто. логи у него это просто поток заклинаний из ада.

MikeDM ★★★★★
()
Ответ на: комментарий от MikeDM

логи у него это просто поток заклинаний из ада.

Да, есть такое :)

Сейчас пытаюсь по NFS прицепиться, всё никак не хочет. Через fuse не сказать, что совсем тормозно, но не фонтан. Около 5Мб/с на запись (зеркало), 10Мб/с на чтение.

KRoN73 ★★★★★
() автор топика

Блин. Кроме 24007..240xx, похоже, ещё надо закрывать, как минимум, 5 портов :-/ Кто ж так пишет, блин.

KRoN73 ★★★★★
() автор топика
Ответ на: комментарий от KRoN73

И форумов нормальных по нему нет

forge.gluster.org раньше был для этого, потом проект перебуровили, но участники должны где-то и теперь общаться

anonymous
()
Ответ на: комментарий от dada

дядько, а это всё на продакшне ?

Угу. Планируется :) На стадии изучения. Ну, кроме fuse, я больше на nfs рассчитываю.

KRoN73 ★★★★★
() автор топика
Ответ на: комментарий от KRoN73

Ну, кроме fuse, я больше на nfs рассчитываю.

Что-то меня терзает смутное подозрение, что на fuse тебе и придётся остаться. Иначе смысл тебе от кластерной ФС? Твоя задача обеспечить работу множества клиентов с набором серверов без различных посредников.

AlexVR ★★★★★
()
Ответ на: комментарий от KRoN73

а в чём будет заключаться продакшен? и что за странное отношение к fuse, которое на striped-replicated томе уделывает nfs?

anonymous
()
Ответ на: комментарий от AlexVR

Иначе смысл тебе от кластерной ФС?

Ты про автоматическое переключение при падении сервера? У меня основная задача не иметь сервису доступ к внешним данным, сервисы [почти] все стоят там же, где и glusterfs-сервер, так что если локальный gluster упадёт, сервисы, скорее всего, тоже :)

Задача — именно репликация ради репликации. Непрерывный бэкап + поддержание в рабочем состоянии резерва (при падении основного ресурса просто переключаем DNS и работаем с резервом). Ну и лёгкость переезда на другие сервера с минимальным даунтаймом.

KRoN73 ★★★★★
() автор топика
Ответ на: комментарий от anonymous

а в чём будет заключаться продакшен?

Да обычный LNMP с умеренной нагрузкой.

и что за странное отношение к fuse, которое на striped-replicated томе уделывает nfs?

Странно, народ многократно писал, что fuse заметно медленнее. Сам пока не сравнивал, у меня nfs к glusterfs пока только на одной из трёх машин коннектится (проблема явно с самой NFS) и как раз на той, на которой реплики нет, т.е. на чисто сетевом доступе. Так что скорость пока не оценить, она тут уткнётся в сеть :) Около 2Мб/с выходит (прокси-нода физически вообще в Амстердаме).

KRoN73 ★★★★★
() автор топика
Ответ на: комментарий от anonymous

А ещё георепликация, сука, глючит.

Ну, это мне пока без надобности.

Хоть на ceph смотри от такой фигни.

Я смотрел, но он же с централизованным сервером метаданных. Хочу полностью децентрализованную систему, в которую на лету ноды добавлять/убирать можно.

KRoN73 ★★★★★
() автор топика
Ответ на: комментарий от KRoN73

я бы не стал юзать это сырое поделие в продакшене.
*комьюнити нет (ну есть рассылка gluster-users)
*документации нет
*историй успеха почти нет

Вопрос - если приложение пишет разные файлы, то , может, заюзать тупо двусторонний sync?

Bers666 ★★★★★
()
Ответ на: комментарий от Bers666

Вопрос - если приложение пишет разные файлы, то , может, заюзать тупо двусторонний sync?

Двусторонний rsync ляжет раком, когда ему подсунут каталог с 500 тыс. файлов в 200 тыс. каталогов :)

Имею богатый опыт подобных синхронизаций в меньших масштабах: Мысли вслух. Предостережение от наступления на грабли.

KRoN73 ★★★★★
() автор топика
Ответ на: комментарий от Bers666

rsync-inotify
lsyncd

inotify на таких объёмах дохнет и глючит. Сам не щупал (хотя lsyncd для мелких задач начинаю использовать), но комментарии использовавших вполне исчерпывающи :)

KRoN73 ★★★★★
() автор топика
Ответ на: комментарий от KRoN73

Порты 24007:24011,38465:38485,49153

-A INPUT -s 192.168.0.0/16 -p tcp -m multiport --dports 24007:24011,38465:38485,49153 -j ACCEPT

остальные -j DROP

sergej ★★★★★
()

Еще есть засада в том, что если разрешить 24007 (порт демона glusterd), то клиент может у себя установить демон и сделать peer probe, и поудалять нафиг все тома. Вопрос в том, как разрешить клиенту монтировать том через FUSE, но не разрешить peer probe.

Bers666 ★★★★★
()
Ответ на: комментарий от Bers666

Да, с безопасностью там полная опа, я уже понял :) Хорошо, что у меня все ноды доверенные.

KRoN73 ★★★★★
() автор топика
Ответ на: комментарий от KRoN73

Не было ли у тебя такого, что при активном юзании glusterfs через NFS, на сервере (там, где bricks) возникает толпа rpc.statd, и каждый слушает какой-то рандомный порт на 0.0.0.0.
Вопрос - зачем их столько? Как их заставить биндиться хотя бы на localhost? Из-за обилия слушаемых портов приходится применять файрвол в виде «закрыто всё, открыто нужное».

Bers666 ★★★★★
()
Ответ на: комментарий от Bers666

Не было ли у тебя такого, что при активном юзании glusterfs через NFS

Я пока не начал активно использовать gluster. До сих пор решаю, то ли им пользоваться начать, то ли lsyncd, то ли оба сразу, в зависимости от задач.

KRoN73 ★★★★★
() автор топика
16 ноября 2014 г.
Ответ на: комментарий от KRoN73

Я пытался сделать похожим образом:

iptables -A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 24007:24047 -j ACCEPT
iptables -A INPUT -s yy.yy.yy.yy/32 -p tcp -m tcp --dport 24007:24047 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 24007:24047 -j DROP
Но после этого вывод по команде gluster volume info оказался недоступен: Connection failed. Please check if gluster daemon is operational.

Я ничего не смог добиться.. Буду рад, если подскажете решение..

Serg99
()
Ответ на: комментарий от Serg99

Я делал в стиле GlusterFS и удалённый доступ (комментарий) (чтобы сразу множество IP разрешать и удалять/добавлять их без переписывания многих правил), только что порты шире открывал — и всё работало.

-A INPUT -p tcp -m set --match-set allow_gluster src -m multiport --dports 2049,24007:24011,38465:38485,49152:49154 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 2049,24007:24011,38465:38485,49152:49154 -j DROP

Реально, вроде, достаточно 24007:24011, на других машинах только они открыты — работает.

KRoN73 ★★★★★
() автор топика
Ответ на: комментарий от KRoN73

Хочу полностью децентрализованную систему, в которую на лету ноды добавлять/убирать можно.

хм, может тогда посмотреть на swift?

shty ★★★★★
()
Ответ на: комментарий от shty

Это же не полноценная ФС, а объектное хранилище. В своих проектах задействовать можно, а какую-нибудь статику в nginx так не раздать.

KRoN73 ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.