Olá a todos,
Hoje o post é mais técnico – já tinha saudades – e vamos abordar a configuração que teremos de fazer para configurar um redis em cluster (non-sentinel) para dar serviço a duas instancias de nextcloud.
Qual a necessidade? Bem, como certamente já devem saber, o nextcloud beneficia grandemente de sistemas de cache de objectos em memória como o memcached e/ou o redis.
Devido ao desenho multi-tier da minha arquitetura, sempre usei duas instancias em docker de memcached. Contudo, ambas as instancias não falavam uma com a outra – memcached por defeito não é clustered / replicated e existem problemas de segurança com a ultima versão clustered que existe e que aparentemente foi abandonada (recordam-se deste post?).
Embora o nextcloud consiga gerir isto em termos aplicacionais, em caso de falha ou restart de ambas as instancias de memcached (nem precisavam de ser ao mesmo tempo, bastava ambas ficarem limpas), o nextcloud iria perder todas as keys de autenticação obrigado a gerar novas passwords aplicacionais únicas quando os utilizadores com OTP se voltassem a ligar a esta instancia.
Pode não parecer nada de absurdo, até se pensarem que todos nós temos 3 ou 4 dispositivos digitais moveis e fixos.
Imaginem ter que trocar a password das vossas contas de caldav, carddav, etc em todas sempre que tivessem que re-inicar as plataformas de memcached – por exemplo para patching.
Fiz experiencias, e notei que as keys em redis, como são replicadas em cluster, não sofriam deste problema. Basta não ter que parar tudo ao mesmo tempo, pois os serviços após reiniciarem, irão buscar novamente aos irmãos de cluster as keys perdidas em reboot.
A somar a isto, um cluster de redis é algo que dá sempre jeito e o mesmo cluster pode ser usado para várias aplicações que dele necessitem, desde que tenham o cuidado de separar as DB’s de keys em si.
Em termos de mão na massa, a coisa é relativamente simples:
3 servers/lxc container em rockylinux 8.X 64bits x86_64 com 4GB de RAM. Atenção: Rockylinux e não Centos. IBM .|.
Nos hosts dos lxc containers colocar caso não estejam já carregados:
# redis cluster stuff # echo never > /sys/kernel/mm/transparent_hugepage/enabled sysctl -w net.core.somaxconn=65535 sysctl -w vm.overcommit_memory=1
Em seguida, dentro dos containers, instalar normalmente o Redis, e configurar desta forma em todos os nós:
sudo mkdir -p /etc/redis/cluster sudo mkdir /etc/redis/cluster/7000 sudo mkdir /var/lib/redis/7000 sudo mkdir /etc/redis/cluster/7001 sudo mkdir /var/lib/redis/7001
Em seguida, criar dois ficheiros de configuração com o vosso editor de texto favorito:
/etc/redis/cluster/7000/redis_7000.conf
port 7000 dir /var/lib/redis/7000/ appendonly no protected-mode no cluster-enabled yes cluster-node-timeout 5000 cluster-config-file /etc/redis/cluster/7000/nodes_7000.conf pidfile /var/run/redis/redis_7000.pid logfile /var/log/redis/redis_7000.log loglevel notice requirepass [PASSWORDKEY] masterauth [PASSWORDKEY]
/etc/redis/cluster/7001/redis_7001.conf
port 7001 dir /var/lib/redis/7001/ appendonly no protected-mode no cluster-enabled yes cluster-node-timeout 5000 cluster-config-file /etc/redis/cluster/7001/nodes_7001.conf pidfile /var/run/redis/redis_7001.pid logfile /var/log/redis/redis_7001.log loglevel notice requirepass [PASSWORDKEY] masterauth [PASSWORDKEY
Em seguida, criar os systemd files para gerir as instancias:
/etc/systemd/system/redis_7000.service
[Unit] Description=Redis key-value database on 7000 After=network.target [Service] ExecStart=/usr/bin/redis-server /etc/redis/cluster/7000/redis_7000.conf --supervised systemd ExecStop=/bin/redis-cli -h 127.0.0.1 -p 7000 shutdown Type=notify User=redis Group=redis RuntimeDirectory=redis RuntimeDirectoryMode=0755 LimitNOFILE=65535 [Install] WantedBy=multi-user.target
/etc/systemd/system/redis_7000.service
[Unit] Description=Redis key-value database on 7001 After=network.target [Service] ExecStart=/usr/bin/redis-server /etc/redis/cluster/7001/redis_7001.conf --supervised systemd ExecStop=/bin/redis-cli -h 127.0.0.1 -p 7001 shutdown Type=notify User=redis Group=redis RuntimeDirectory=/etc/redis/cluster/7001 RuntimeDirectoryMode=0755 LimitNOFILE=65535 [Install] WantedBy=multi-user.target
Em seguida, alterar permissões de diretorias, e fazer enable dos serviços de redis, dois por máquina:
sudo systemctl enable /etc/systemd/system/redis_7000.service sudo systemctl enable /etc/systemd/system/redis_7001.service sudo chown redis:redis -R /var/lib/redis sudo chmod 770 -R /var/lib/redis sudo chown redis:redis -R /etc/redis
Em seguida, replicar estas configurações e passos pelos três containers e fazer reboot aos mesmos.
Após o reboot e assumindo que todas as instancias de redis vieram acima sem problemas – podem as verificar pelos logs das mesmas conforme descritos nas configuracoes acima – chegou a altura de criar o nosso cluster através de um comando muito simples:
redis-cli --cluster create 172.16.0.44:7000 172.16.0.45:7000 172.16.0.46:7000 172.16.0.44:7001 172.16.0.45:7001 172.16.0.46:7001 --cluster-replicas 1 -a [PASSWORDKEY]
No meu caso em especifico, os três lxc-containers são o 172.16.0.44–>172.16.0.46 e as portas as 7000 e 7001, sendo a 7000 a master, e a 7001 a replica.
Respondam as questões, aguardem, e ele deverá vos devolver o prompt de sistema.
Para validarem se a vossa configuração está correta, será questão de se ligarem ao vosso redis cluster. Para o meu exemplo temos:
redis-cli -c -h 172.16.0.44 -p 7000 -a [PASSWORDKEY] 127.0.0.1:7000> CLUSTER INFO cluster_state:ok cluster_slots_assigned:16384 cluster_slots_ok:16384 cluster_slots_pfail:0 cluster_slots_fail:0 cluster_known_nodes:6 cluster_size:3 cluster_current_epoch:6 cluster_my_epoch:1 cluster_stats_messages_ping_sent:9912 cluster_stats_messages_pong_sent:9899 cluster_stats_messages_sent:19811 cluster_stats_messages_ping_received:9894 cluster_stats_messages_pong_received:9912 cluster_stats_messages_meet_received:5 cluster_stats_messages_received:19811 127.0.0.1:7000> CLUSTER NODES d9b6be8d6071cbfa1272a7ac0c54c448aa7d0e80 172.16.0.44:7000@17000 myself,master - 0 1694696438000 1 connected 0-5460 3159e9abe5bba803583dd5718189349350520a9d 172.16.0.45:7000@17000 master - 0 1694696440000 2 connected 5461-10922 9b95046fbe27c3264e64c9eb56f7ccfb2310a18a 172.16.0.46:7000@17000 master - 0 1694696439344 3 connected 10923-16383 4838802c8a3878f8183f06c1f41abdbed501a1be 172.16.0.45:7001@17001 slave 9b95046fbe27c3264e64c9eb56f7ccfb2310a18a 0 1694696440550 5 connected c366cdc3661922e5fb1f1bd3de40c739a694993b 172.16.0.44:7001@17001 slave 3159e9abe5bba803583dd5718189349350520a9d 0 1694696440350 4 connected ceb787c0de685b7714250953bcc2b3c51e6052f0 172.16.0.46:7001@17001 slave d9b6be8d6071cbfa1272a7ac0c54c448aa7d0e80 0 1694696440550 6 connected 127.0.0.1:7000>
Agora que já temos o nosso cluster em funcionamento será apenas uma questão de adicionarem a configuração ao vosso nextcloud, ficheiro config.php, depois de adicionarem o vosso modulo php8-redis. No meu caso tive de o instalar com o pecl – pecl install redis.
A configuração, no meu caso ficou algo assim:
'memcache.local' => '\\OC\\Memcache\\Redis', 'memcache.locking' => '\\OC\\Memcache\\Redis', 'memcache.distributed' => '\\OC\\Memcache\\Redis', 'redis.cluster' => [ 'seeds' => [ '172.16.0.44:7000', '172.16.0.45:7000', '172.16.0.46:7000', ], 'timeout' => 2.0, 'read_timeout' => 2.0, 'failover_mode' => \RedisCluster::FAILOVER_ERROR, 'password' => '[PASSWORDKEY]', 'dbindex' => XXX, // colocar um indice diferente para cada instancia que esteja a partilhar o redis.
],
E pronto, assumindo que nada correu mal, passaram a ter um nextcloud com suporte de OTP, com passwords aplicacionais perssistentes através dos vossos equipamentos, mesmo quando tiverem de fazer um reboot aos vossos servidores (desde que seja feito um de cada vez).
Se tiverem alguma duvida ou reparo, já sabem onde me encontrar.
Um abraço e até para a semana.
Nuno
PS: a configuração do cluster de redis, foi derivada de uma que a outsystems tem muito completa e muito bem feita que pode ser consultada aqui.
