Haute disponibilitéCréation d'un cluster fail-overSynchronisation des règles

Haute disponibilité

La différence fondamentale entre le failover et le load balancing réside dans leur fonction et leur objectif :

  1. Failover (Basculement) :
    • Le failover est une technique de tolérance aux pannes utilisée dans les systèmes informatiques pour garantir la disponibilité continue des services en cas de défaillance matérielle ou logicielle.
    • Il implique la mise en place de systèmes redondants, où un système de secours prend automatiquement le relais lorsque le système principal échoue.
    • Le processus de failover est généralement transparent pour l'utilisateur final, car le basculement se produit automatiquement et rapidement, minimisant ainsi l'interruption du service.
  2. Load Balancing (Équilibrage de charge) :
    • Load balancing est une technique utilisée pour répartir la charge de travail entre plusieurs serveurs, réseaux ou autres ressources informatiques afin d'optimiser les performances, d'améliorer la disponibilité et d'éviter les goulets d'étranglement.
    • Il répartit les demandes des utilisateurs ou des clients sur plusieurs serveurs, garantissant ainsi une utilisation équilibrée des ressources et évitant la surcharge d'un seul serveur.
    • Contrairement au failover qui intervient en cas de défaillance, le load balancing est utilisé en permanence pour distribuer efficacement les charges de travail et maintenir des performances optimales.

En résumé, le failover est une stratégie de reprise après incident, tandis que le load balancing est une stratégie de gestion proactive de la charge de travail pour optimiser les performances et la disponibilité des services.

Création d'un cluster fail-over

Nous allons créer un cluster Fail-Over, il sera capable de synchroniser les règles créées et aura une adresse ip virtuelle commune aux 2 firewalls sur chaque interface :


Création des adresses virtuelles :

Faire ceci sur le deuxième pfsense en indiquant le même mot de passe

Faire de même avec toutes les interfaces


On peut vérifier que tout fonctionne en ouvrant l'adresse de la vip LAN dans un navigateur internet

PFsense fonctionne avec un master et un backup

Sur FW1


Sur FW2


Pour tester le basculement on peut couper le premier firewall , se connecter sur la vip et regarder le nom du firewall qui devrait être FW2.home.arpa, il est devenu maitre

Synchronisation des règles

Pour finir d'activer la HA nous allons renseigner le serveur maitre FW1 comme suit :


On peut vérifier sur FW2 que les règles créées sur FW1 sont bien synchronisées