→ retour à Pacemaker - Serveurs en Failover

But

Maintenant que le nécessaire est en place, nous allons y placer quelques éléments pratiques: quelques services classiques. Mais avant d'aborder la suite de la configuration de Pacemaker, il nous faut les paramétrer un minimum afin de tester cet ensemble. Pour ne pas alourdir cet article, nous les avons détaillés à part.

Services

Nous allons paramétrer quelques éléments:

• les certificats qui seront utilisés par Apache, Postfix et Dovecot
• le service Web, Apache
• PHP, langage de script, utilisé par Apache
• le service de messagerie, Postfix
• le service de relevé de courrier, Dovecot
• le service de base de données, Mariadb souvent utilisé dans les applications Web tel WordPress

Toutes ces services seront actifs sur la machine qui aura la main, celle où Drbd est à l'état actif ou Primary. Ces paramétrages seront identiques sur les deux machines du cluster afin que l'une ou l'autre puissent prendre la main à tout moment.

Les données de ces services seront placés sur l'espace partagé.

Du côté de la machine en attente, il faut qu'un service minimum de messagerie soit actif pour pouvoir relayer les messages du système. Une configuration minimale de Postfix sera prévue à cet effet.

Certificats

Pour les services Apache, Postfix et Dovecot, il nous faut des certificats, ce seront les mêmes pour ces trois services. Nous nous utiliserons les procédures présentées dans les articles concernant la Création d'une CA privée (V1) et l'Extension de la CA privée (V3).

Dans notre cas, le nom du serveur est "cluster.home.dom" et son adresse IP est "192.168.1.73". Nous allons passer en revue l'ensemble des commandes qui vont générer les fichiers nécessaires.

• Création de la clé de l’autorité de certification (CA): ca.key

openssl genrsa -out ca.key -passout pass:MOTDEPASSESECRET 2048 

• Création du certificat de l’autorité de certification (CA): ca.home.crt

openssl req -new -days 3650 -x509 -out ca.home.crt -passin pass:MOTDEPASSESECRET -key ca.key -subj '/CN=CA.home.dom/emailAddress=pdupont@gmail.com/OU=Dupont/O=Home/L=Namur/ST=Belgique/C=BE'

• Création du n° de série des certificats générés

echo "01" > ca.home.srl

• Création de la clé du serveur "cluster.home.dom": cluster.key

openssl genrsa -out cluster.key 2048

• Création du fichier pour la création de certificats de version 3: reqv3.cnf

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[ alt_names ]
DNS = cluster.home.dom
IP = 192.168.1.73

• Création de la requête de certificats pour le serveur "cluster.home.dom": cluster.home.csr

openssl req -new -key cluster.key -out cluster.home.csr -subj '/CN=cluster.home.dom/emailAddress=pdupont@gmail.com/OU=Dupont/O=Home/L=Namur/ST=Belgique/C=BE'

• Création du certificat du serveur "cluster.home.dom": cluster.home.crt

openssl x509 -req -days 3650 -extensions v3_req -extfile reqv3.cnf -in cluster.home.csr -out cluster.home.crt -passin pass:MOTDEPASSESECRET -CA ca.home.crt -CAkey ca.key -CAserial ca.home.srl

• Création de la chaîne de certificats (CA et serveur): cluster.home.pem

cat cluster.home.crt ca.home.crt > cluster.home.pem

Au final, nous aurons besoins de deux fichiers:

• la clé du serveur: cluster.key
• la chaîne des deux certificats (CA et serveur): cluster.home.pem

Sur les deux serveurs du cluster, nous créons le répertoire "/etc/pki/WEB" et en dessous les répertoires "private", où on copie la clé, et "certs", où on copie la chaîne des certificats.

→ retour à Pacemaker - Serveurs en Failover