LVS Load Balancing method
 NAT 이용한 가상서버
 IP 터널링 이용한 가상서버
 다이렉트 라우팅 이용한 가상서버

LVS Direct Routing
 사용자의 요청은 가상 IP 주소를 가진 부하분산서버로 간다
 부하분산서버는 스케줄링 알고리즘에 따라 클러스터에서 실제 서버를 선택
 접속을 기록하는 해시 테이블에 새로운 접속을 추가
 부하분산서버에서 선택한 서버로 직접 패킷을 전송
 리얼서버는 요청을 처리하고 결과를 사용자에게 직접 전송

스케줄링 알고리즘
 Round-Robin Scheduling
 Weighted Round-Robin Scheduling
 Least-Connection Scheduling
 Weighted least-Connection Scheduling

 
Technology
1. heartbeat
2. Ldirectord
3. ipvsadm

 
1. Heeartbeat
-  heartbeat 프로토콜을 이용하는 오픈 소스 프로젝트
-  정해진 시간간격을 두고 특정한 패킷을 물리적으로 연결된 호스트에 보내 일정시간 응답이 없으면 정해진 응급 복 구 프로세스를 수행

- Master 호스트가 서비스를 책임
- Master 호스트에 문제발생시 Hot standby 호스트가 가상 IP를 인계받아 서비스 재계

2. Ldirectord
 리얼서버의 상태를 모니터링 하는 PERL 스크립트
 설정파일에 정해진 URL에 주기적으로 특정문자열 요구
 타임아웃, 응답된 문자열 유효성 등으로 서버상태 결정
 리얼서버의 다운시 IPVS 테이블에서 삭제
 리얼서버 복구시 IPVS 테이블에 재 등록
 라이렉트 라우팅은 Linux Director서버의 IPVS 테이블을 이용해 커널에서 처리
 모든 리얼 서버가 다운 되었을 경우 fall-back 서버가 응답

3. ipvsadm
 2개 이상의 노드를 가진 클러스터링 시스템에서 커널내부의 IPVS 테이블을 설정하고 유지하는 유틸리티
 IPVS테이블은 커널이 로드밸런서로 들어오는 패킷을 각각의 리얼서버 노드로 전달하기 위해 참조
 2개의 프로토콜 지원(TCP, UDP)
 3가지 방식의 패킷 포워딩 방식 지원(NAT, Tunneling, Direct routing)
 4가지 스케줄 알고리즘 지원

 
구축
Network 설정(공통)
/etc/hosts
X.X.X.100 www.dunet.co.kr www virtual ip (VIP)
X.X.X.101 ha1.dunet.co.kr ha1 master
X.X.X.102 ha2.dunet.co.kr ha2 standby
X.X.X.103 node1.dunet.co.kr node1 real server1
X.X.X.104 node2.dunet.co.kr node2 real server2

 
real server 서버들은 VIP를 로컬주소로 인식하도록 설정 되어야 함
- loopback device 에 IP alias 기능을 이용
- /etc/sysconfig/network-scripts/ifcfg-lo:0 스크립트를 다음과 같이 설정
DEVICE=lo:0
IPADDR=X.X.X.100
NETMASK=255.255.255.255
NETWORK=X.X.X.X
BROADCAST=X.X.X.X
ONBOOT=yes
NAME=loopback

 
GATEWAY혼돈을 막기 위해 /etc/sysconfig/network 파일에 아래 항목 추가
GATEWAYDEV=eth0

 
각 real server에서 /etc/ha.d/conf/ldirectord.cf에 포함
Test Page of node1.dunet.co.kr
Test Page of node2.dunet.co.kr

ARP 응답문제
loopback devices에서 Alias된 VIP가 추가된 경우 로컬네트워크의 ARP 요청이 로드밸런서로 가지 않고 리얼 서버가 먼저 응답하므로 부하분산이 되지 않는 문제가 생길 수 있다.

커널 2.2.14 – Hidden Device 기능을 이용
커널 2.4.X  - Hidden patch 필요
커널 2.6.X  - /etc/sysctl.conf 파일에 수정 후 활성화

# ARP hidden configure
net.ipv4.conf.lo.arp_ignore = 1
net.ipv4.conf.lo.arp_announce = 2
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.all.arp_announce = 2

활성화
# sysctl -p

TIP) 확인법으론 windows나 linux에서 arp -a 명령을 실행. 로드밸런서 서버 맥어드레스가 나오면 정상적으로 셋팅이 된 것이다.

 
Linux Director Server 설정
- kernel 2.4 이상에서는 IPVS기능 사용가능
- Director서버는 반드시 자신에게 접속하는 클라이언트 패킷을 real server로 보낼 수 있는 IPforward기능이 필요

#/etc/sysctl.conf
net.ipv.ip_forward = 1 로 변경 후 저장
#sysctl -p활성화

실행을 위해 /etc/ha.d/conf/ldirectord.cf에 설정파일 필요

/etc/ha.d/conf/ldirectord.cf
checktimeout=3 
checkinterval=1                    # 테스트페이지 요청 주기
fallback=127.0.0.1:80gate         # 모든 리얼서버 다운시 이동할 웹 서버
autoreload=yes 
logfile=”/var/log/ldirectord.log” 
quiescent=yes 
virtual=X.X.X.100:80                # 리얼서버 IP및 포트, 포워딩 방식
   real=X.X.X.103:80 gate 3          - gate = Direct Routing
real=X.X.X.104:80 gate 2             - masq = Network address translation
service=http                           - ipip = IP Tunneling
  checkport=80 
  checktype=connect 
  request=”index.html” 
  receive=”Test Page” 
  scheduler=wlc                    # 스케줄링 방식
  #persistent=600                    - rr, wrr, lc, wlc

- Real Server 동일 사양에서 똑같게 구성
- Director Server 동일하게 구성

 
LVS 각 서버들 httpd 실행
# /etc/rc.d/init.d/ldirectord start
- 부팅 시 자동 실행되지 않게 설정!!!

ipvsadm을 통해 테이블 확인
# ipvsadm - L

장애 로그로 결과를 분석

[출처] http://uzoogom.blog.me/130019384695

한 번의 로그인으로 여러 개의 서비스들을 이용할 수 있게 해주는 시스템.

빠르고 안전한 IT자원 이용

대부분의 조직에서 직원들은 5 ~ 30 여 개의 패스워드를 기억해야 하고, 매 30 일 마다 변경 요청을 받고 있습니다. 사용자들은 메모 노트에 기입된 패스워드 또는 안전하지 않은 파일에 저장된 패스워드에 의존하고 있으며 기억하기 쉬운 패스워드를 사용하고 있습니다.
강화된 패스워드 정책을 따르는 것은 사용자들과 IT 관리자에게 직면한 또 다른 과제입니다. 구체적이고 실행 가능한 접근방법 없이 패스워드 정책을 분산된 다양한 애플리케이션에 적용하게 되면, IT 관리자들은 각각의 애플리케이션 별로 관리 및 감사해야 합니다. 이로 인해 보안과 규제준수는 위험에 빠지고 맙니다.
NETS*SINGLE SIGN ON는 패스워드 공유와 취약한 패스워드 관리 행태를 제거합니다. NETS*SINGLE SIGN ON는 각 애플리케이션에 대한 가장 강력한 패스워드를 관리하고 기억함으로써 매 번 안전한 접근을 보장합니다. NETS*SINGLE SIGN ON는 조직의 모든 윈도우 애플리케이션, 웹 애플리케이션, C/S 애플리케이션, 자체 개발 애플리케이션에 대해 싱글 사인-온을 지원함으로써 사용자들은 더 이상 수 많은 패스워드를 기억하지 않아도 안전하고 확실하게 시스템 및 애플리케이션에 접근할 수 있습니다 

신속한 투자 회수

아키텍처

통합 관리 (Administration) 웹 GUI 기반의 관리자 콘솔은 인증 도메인, SSO 도메인, SSO 사이트, 애플리케이션 SSO 설정 및 관리와 사용자 관리 및 제어 기능을 제공합니다. 중앙인증/SSO 도메인 설정 및 관리 SSO 참여 사이트 설정 및 관리 클라이언트-서버 애플리케이션 설정 및 관리 개별 사용자 또는 역할 및 그룹에 의한 사용자 관리   인증 및 인가(Authentication, Authorization) NETS*SINGLE SIGN ON는 최신 인증 방법을 수용하고 윈도우 인증, 동시 접속 및 부정 접속 차단을 위한 강제적 재 인증, 세션 타임아웃, 애플리케이션에 특화된 인증 등을 모두 지원합니다. 또한 NETS*IDSafe와 연계하여 향상된 인증 강화 방법도 지원합니다.   윈도우 [통합] 인증   Activie Directory 이행이 되지 않은 윈도우 환경에서도 도메인 로그인 절차 없이 윈도우 통합 인증 지원   MS 도메인 및 AD 인증 완벽 지원   MS 사설인증서 기반의 SSO 인증 처리 지원     이중 인증(Two Factor Authentication)   ID/패스워드 인증 방식의 보안 취약점을 제거하기 위한 보안토큰, 스마트카드 등의 물리적 장치를 이용한 다양한 이중 인증 방식 수용     LDAP 인증   IBM Tivoli Directory Server, Oracle Internet Directory, Sun Java System Directory Server, Novell eDirectory 등 표준 LDAP 디렉터리 기반의 인증 지원     보안   NETS*Single Sign On인증 엔진은 실행 시점(run-time)에서만 동작합니다. 인증서(credential)는 저장소, 데이터 전송, 클라이언트, 메모리 등에서 항상 [암호화된] 안전한 상태를 유지합니다. 개인의 인증서는 필요한 시점에서만 복호화할 수 있습니다. 3DES, AES, RC4 뿐만 아니라 키 생성 및 해슁 서비스를 위한 MS CAPI(FIPS 140-2 규격)를 완벽하게 지원합니다.   이벤트 로그 및 보고 (Audit)   로그온, 패스워드 변경, 인증, 정책 설정 등 NETS*Single Sign On사용자 이벤트 및 활동에 대한 로그 생성   사용자 로그 기반의 사용 현황 및 통계 보고서 생성   견고하고 유연한 아키텍처 초대형 대용량 사이트에서 검증된 안정성과 가용성   최대 2천 6백만 명 규모의 초대형 사이트에 적용된 인증 엔진   B2C와 B2E 사용자 환경을 동시 지원   장애복구 및 부하분산 아키텍처     사용자 분산 및 이동 환경 지원   네트워크에 연결된 어떤 PC에서도 사용자 로그온 완벽 지원   인터넷 연결이 가능한 휴대용 단말 기기 지원   여러 사용자의 공유 PC 또는 워크스테이션에서 안전한 사인-온 지원     커스터마이징   공개 API 및 모듈화된 아키텍처는 다양한 인증 방식, 인증서 저장소, 이벤트 로깅 메커니즘, 대상 애플리케이션과 손쉬운 연계를 가능하게 합니다.     계정관리(Identity Management) 시스템과 완전한 통합   NETS*Single Sign On는 NETS IAM 솔루션의 SSO 컴포넌트로써 계정관리 시스템과 완전한 통합을 제공합니다.   조직은 사용자(계정, 권한 등) 프로비저닝 시스템 기반의 완벽한 SSO 서비스를 제공할 수 있습니다. NETS*Single Sign On는 다음의 애플리케이션 및 플랫폼을 지원합니다. NETS*Single Sign On는 어떤 애플리케이션이든지 심지어 자체 개발 애플리케이션에 대해서도 (1 일) 이내에 SSO 환경을 구성할 수 있도록 지원합니다.   윈도우 및 .NET/ASP 애플리케이션   윈도우 통합 인증, 커버로스(Kerberos) 인증   .NET, ASP, ASP.NET, 자바 AWT 애플리케이션 지원     유닉스 및 자바 애플리케이션   JSP, PHP 웹 애플리케이션 및 JAVA 애플리케이션 지원     VPN   일반적인 VPN 솔루션 지원     웹 및 브라우저 기반의 애플리케이션   Microsoft Internet Explorer, Google 크롬 등 표준 브라우저 지원   폼 기반 및 팝업 사인-온을 포함한 웹 애플리케이션 지원   능력이 있으면 가지고 있는 능력만큼 할 수 있는 일이 많기도 하지만 그 만큼 할 수 있는 일에 대한 책임과 제약이 따르기도 한다. 호텔에서 ‘마스터 키’를 가지고 있는 사람은 어느 방이든지 열어볼 수는 있지만 아무 방이나 들어가 볼 수는 없다. 설사 발을 들여 놓는다고 해도 위험부담이 너무 클 것이다. 인터넷 세상에서도 ‘개인정보보호’라는 다소 막중한 책임을 가진 마스터 키가 나왔다. 한 번의 로그인으로 여러 사이트를 넘나들 수 있는 싱글 사인 온(single-sign-on)이 그것이다. 호텔에서의 ‘마스터 키’가 호텔 내의 모든 방(실제 투숙자가 누구이든 간에)을 열 수 있는 열쇠라면, 싱글 사인 온은 전세계 호텔들에 산재해 있는 내 방들을 모두 열 수 있는 열쇠라고나 할까. 지난 해 한국전자통신연구원(ETRI)이 자체적으로 개발한 싱글 사인 온(single-sign-on)기술이 ‘SAML(보안주장표현언어) 버전 2.0 상호운용성 국제 표준 테스트’를 통과했다. ‘SAML 버전 2.0’은 싱글 사인 온(SSO) 및 ID 연동 기능을 지원하는 국제 표준 규격이며 이전 버전에 비해 익명성, 식별자 관리, 모바일 장비 지원, 프라이버시 보호 기능 등이 추가됐다. 이로써 인터넷 사용자는 매번 ID를 입력하는 불편을 해소할 수 있고, 기업 역시 중앙집중적인 관리가 가능해 ID관리 비용을 줄일 수 있게 됐다. 싱글 사인 온의 장점이 부각되면서 다음커뮤니케이션과 CJ인터넷의 넷마블의 검색 및 게임 플랫폼 공유라는 것을 시작으로 전국적인 지사를 갖춘 행정기관, 금융기관도 잇따라 싱글 사인 온을 도입하고 있다. 싱글 사인 온이 통용화된다면 손가락들은 수고를 좀 덜지 모르겠다. 하지만 개인정보 유출이다 도난이다 하는 뉴스가 이어지고 있는 요즘, 100% 웹사이트를 신뢰하면서 내 개인정보를 한 군데 저장해 두고 인터넷 바다를 헤엄치기에는 미심쩍은 부분이 많다. ‘프라이버시 보호’는 싱글 사인 온이 가져야 할 가장 막중한 임무가 아닌가 싶다. 싱글 사인 온이 인터넷 사용자들의 편의를 위하여 고안된 것이니만큼 진정으로 개개인의 사생활을 보호하는 책임 있는 마스터 키로써의 역할을 충실히 해줬으면 하는 바람이다. 싱글사인온은 하나의 아이디로 여러 사이트를 이용할 수 있는 시스템으로 ‘Single Sign On’의 첫글자를 따서 SSO라고도 한다. 여러 개의 사이트를 운영하는 대기업이나 인터넷 관련 기업이 각각의 회원을 통합관리할 필요성이 생김에 따라 시작된 방식으로, 1997년 IBM이 개발했다. 우리나라에는 2000년 코리아닷컴이 처음 도입했다. 이후 삼성전자와 SK 등이 도입하며 활성화됐다. 애니패스와 오케이캐쉬백·롯데타운 등 다양한 사이트와 네티그리티·다우기술 등 솔루션 공급업체도 많이 설립됐다. 싱글사인온을 도입하면 기업 내 시스템마다 각기 다른 패스워드와 인증절차를 거치지 않고도 계정관리가 가능하다. 또 최근 기업의 최대 관심사인 보안규정에 대한 요구사항을 충족, 기업에 더욱 강력해진 보안성을 제공한다. 개인의 경우 사이트에 접속하기 위해 아이디와 패스워드는 물론이고 이름·전화번호 등 개인정보를 각 사이트에서 일일이 기록해야 하던 것을 한 번의 작업으로 끝내 불편함을 해소했다. 기업에서는 회원 통합관리가 가능해 마케팅을 극대화할 수 있다는 게 장점이다. 특히 권한관리시스템(EAM)과 함께 사용하면 보안성과 효율성을 함께 갖춘 통합인증시스템으로 활용할 수 있어 향후 더욱 인기를 끌 것으로 전망된다. 인터넷을 검색하던 한 사용자가 트래블로시티닷컴(Travelo city.com) 사이트에 로그온해 여행 예약을 한다고 가정하자. 이 소비자는 예약을 하거나 주문 상태를 확인할 것이다. 이미 트래블로시티닷컴 사이트에서 인증을 받은 이 사용자는 자동으로 로그인 된다. 사이트에서 신규 사용자 이름과 비밀번호를 기억하고 있기 때문에 따로 입력할 필요가 없는 이 사용자는 이 사이트에서 돈을 쓰기 시작한다. 마이크로소프트, AOL 타임워너, 썬 마이크로시스템즈가 주도하고 있는 자유연합 등 주요 벤더들은 웹 기반의 인증 시스템을 발표해 싱글 사인온(Single Sign On) 사용을 용이하게 만들 예정이다. 또한 마이크로소프트의 패스포트, 썬의 자유연합(Liberty Alliance) 프로젝트, AOL의 매직 카펫 등과 같은 시스템들은 싱글 사인온의 활성화를 지향하고 있어 e-비즈니스의 원스톱 인증 뿐 아니라 온라인 제품과 서비스의 개인화를 위한 개별 사용자 선호 사항을 쉽게 추적하는 방법도 제공한다. 이는 매우 반가운 소식이다. 그러나 각 업체들이 전혀 다르고 호환도 되지 않는 싱글 사인온 서비스를 제공하고 있다는 것이 문제로 지적되고 있다. 예를 들어 패스포트의 현 버전은 마이크로소프트에서 사용자 사인온 정보를 수집하고 안전하게 인증하도록 하지만, 자유연합의 경우에는 소위 말하는 연합 접근 방식을 사용해 기업이나 서드파티가 사용자 정보를 제어하도록 한다. 어떤 서비스도 사용자 정보를 공유할 수 없다. 결론적으로, 웹에서의 싱글 사인온 활용에 관심을 갖고 있는 기업들은 결정을 내려야 한다. 현재 유일하게 상용화된 패스포트를 선택하던지 아니면 자유연합이나 AOL의 서비스가 상용화되는 내년 초까지 기다려야 한다. 혹은 모든 서비스를 지원할 것인지 결정해야 한다. 전문가들은 각각의 접근 방식이 위험성을 내포하고 있으며 어떤 서비스를 선택할 것인지는 여러 가지 요인에 따라 달라진다고 전한다. 등록한 사용자가 적고 인증에 대한 자체 전문 기술이 부족한 신규 e-비즈니스 사업체라면 패스포트를 선택할 가능성이 높다는게 전문가들의 의견이다. 그러나 온라인 고객 기반이 넓고 개인화를 위한 사용자 정보 수집과 활용을 위한 전문 기술을 보유한 기업이라면 상황을 관망해볼만 하다. 패스포트를 선택할 경우의 위험성과 이점은 매우 명백하다. 이는 현재 지원되는 유일한 웹 기반의 싱글 사인온 서비스다.

# dmesg
 - 부팅시에 하드웨어적인 에러 파악
 - 시스템의 부팅과정에서 출력된 메세지
   (하드웨어나 시스템 체크)

# cat /var/log/messgaes
 - 운영중에 장애난 사항 파악
 - 시스템의 작동 메세지나 데몬들의 에러로그

[example]
# dmesg | grep error   (or fail*  or down등)
# cat /var/log/messages | grep error*       (or reboot  or down등)

[출처] http://pilot1002.blog.me/40058114739