Skip to content

Redis Replication über Wireguard

Redis
  • Heutiges Kaffethema, Redis Replication über Wireguard 🙂

    Die Idee / Das Problem

    Ich setze als eine Sicherung der Daten der Redis Datenbank, die Redis Funktion Replication ein.

    Redis tauscht die Daten im Klartext aus!

    Da ich das weiß, hatte ich die Kommunikation zwischen zwei Servern in der Hetzner Cloud über ein privates Netz abgewickelt. Da ich aber da nicht sicher bin, wer da so alles dran käme, machen wir das Ganze noch einen Tick sicherer 😉

    Vorab, man kann die Serververbindung auch mittels TLS absichern. Da ich aber ein großer Freund von Wireguard bin, machen wir es mit einem verschlüsselten Tunnel 🙂 So bleibt man in Übung...

    Installation Wireguard

    Meine Server sind alle Debian Buster 10.

    apt install linux-headers-$(uname -r)
    apt install wireguard
    

    Danach die Kisten durchstarten. Siehe die Ergänzungen / Kommentare weiter unten!

    Kontrolle

    lsmod | grep wireguard
    wireguard             225280  0
    ip6_udp_tunnel         16384  1 wireguard
    udp_tunnel             16384  1 wireguard
    

    Wireguard Konfiguration

    Server 1 (Redis Master)

    [Interface]
    #Address = 10.10.1.2
    PrivateKey = <private Key>
    ListenPort = 58380
    
    [Peer]
    PublicKey = <public Key>
    PresharedKey = <PSK Key>
    Endpoint = <IP vom Endpoint>:58380
    AllowedIPs = 10.10.1.1/32
    

    Server 2 (Redis Slave)

    [Interface]
    #Address = 10.10.1.1
    PrivateKey = <private Key>
    ListenPort = 58380
    
    [Peer]
    PublicKey = <public Key>
    PresharedKey = <PSK Key>
    Endpoint = <IP vom Endpoint>:58380
    AllowedIPs = 10.10.1.2/32
    

    Wireguard starten

    ip link add dev wg0 type wireguard
    ip link set up dev wg0
    wg-quick up wg0
    

    Testen

    wg
    interface: wg0
      public key: <public Key>
      private key: (hidden)
      listening port: 58380
    
    peer: <peer Key>
      endpoint: <IP>:58380
      allowed ips: 10.10.1.2/32
      latest handshake: 1 minute, 39 seconds ago
      transfer: 66.83 MiB received, 839.15 KiB sent
    

    Ok, das funktioniert so weit.

    Redis Konfiguration

    Master

    bind 127.0.0.1 ::1 10.10.1.2
    

    Slave

    bind 127.0.0.1 ::1 10.10.1.1
    replicaof 10.10.1.2 6379
    

    Beide Redis Instanzen ausschalten

    service redis stop
    

    Danach erst den Master starten, danach den Slave.

    service redis start
    

    Kontrolle /var/log/redis/redis-server.log

    3643:S 06 Jun 2020 08:44:05.673 * Discarding previously cached master state.
    3643:S 06 Jun 2020 08:44:06.089 * MASTER <-> REPLICA sync: receiving 21888363 bytes from master
    3643:S 06 Jun 2020 08:44:06.549 * MASTER <-> REPLICA sync: Flushing old data
    3643:S 06 Jun 2020 08:44:06.780 * MASTER <-> REPLICA sync: Loading DB in memory
    3643:S 06 Jun 2020 08:44:07.323 * MASTER <-> REPLICA sync: Finished with success
    3643:S 06 Jun 2020 08:49:06.054 * 10 changes in 300 seconds. Saving...
    3643:S 06 Jun 2020 08:49:06.058 * Background saving started by pid 3775
    3775:C 06 Jun 2020 08:49:06.527 * DB saved on disk
    3775:C 06 Jun 2020 08:49:06.530 * RDB: 10 MB of memory used by copy-on-write
    3643:S 06 Jun 2020 08:49:06.559 * Background saving terminated with success
    3643:S 06 Jun 2020 08:54:07.033 * 10 changes in 300 seconds. Saving...
    3643:S 06 Jun 2020 08:54:07.036 * Background saving started by pid 3885
    3885:C 06 Jun 2020 08:54:07.623 * DB saved on disk
    

    So MUSS das aussehen. Wenn ihr so was seht

    3312:S 06 Jun 2020 08:43:45.231 * Connecting to MASTER 10.10.1.2:6379
    3312:S 06 Jun 2020 08:43:45.231 * MASTER <-> REPLICA sync started
    3312:S 06 Jun 2020 08:43:45.232 # Error condition on socket for SYNC: Connection refused
    

    dann habt ihr ein Kommunikationsproblem. Firewall usw.

    iptables

    Master

    1. Wir erlauben Wireguard

       #=========================
       # Wireguard (IN) from Datenbank Server
       #=========================
       $IP4TABLES -A INPUT -p udp --src <IPv4> --dport 58380 -j ACCEPT
      
    2. Wir erlauben Redis-Replication

       #=========================
       # Redis-Server Replication Port (IN) from Datenbank Server
       #=========================
       $IP4TABLES -A INPUT -p tcp --src 10.10.1.1 --dport 6379 -j ACCEPT
      

    Slave

    Wir erlauben Wireguard

        #=========================
        # Wireguard (IN) from Webserver2
        #=========================
        $IP4TABLES -A INPUT -p udp --src <IPv4> --dport 58380 -j ACCEPT
    

    Nicht vergessen, die Regeln dauerhaft abzuspeichern. Ich mache das so -> https://forum.frank-mankel.org/topic/661/iptables-dauerhaft-speichern

    Das ist eine sehr knapp gefasste Version, dessen was man machen muss. Für Einsteiger vermutlich ungeeignet, lest bitte in dem Fall die anderen Beiträge von mir zu den Themen.

    Was hier jetzt noch nicht abgehandelt ist, der Wireguard Tunnel startet nicht wenn der Server neugestartet wird. Kommt noch ...

    ToDo (für mich) 😉

    Wireguard bei Server Neustart starten

    In /etc/network/interfaces.d/ die Datei 70-wg0.cfg erzeugen.

    # Wireguard
    auto wg0
    iface wg0 inet static
            address 10.10.1.1
            netmask 255.255.255.0
            pre-up ip link add $IFACE type wireguard
            pre-up wg setconf $IFACE /etc/wireguard/$IFACE.conf
            post-down ip link del $IFACE
    

    Beim nächsten Start steht der Wireguard Tunnel automatisch. Bitte drauf achten, wenn man das so macht, braucht man in der wg0.conf keine Zuordnung der IP-Adresse. Ich habe diese oben auskommentiert.

    psk Key

    Was ist das?

    If an additional layer of symmetric-key crypto is required (for, say, post-quantum resistance), WireGuard also supports an optional pre-shared key that is mixed into the public key cryptography. When pre-shared key mode is not in use, the pre-shared key value used below is assumed to be an all-zero string of 32-bytes.

    Für mich, als nicht Sicherheitsexperte, liesst sich das so: Dieser Key erhöht die Sicherheit. So mit ist es sicherlich sinnvoll diesen immer mit anzugeben.

    Oben in der Konfiguration den PSK Key hinzugefüht. Der muss auf beiden Seiten gleich sein.

    interface: wg0
      public key: <public Key>
      private key: (hidden)
      listening port: 58380
    
    peer: <perr Key>
      preshared key: (hidden)
      endpoint: <IPv4>:58380
      allowed ips: 10.10.1.1/32
      latest handshake: 35 seconds ago
      transfer: 205.20 KiB received, 22.28 MiB sent
    
  • @FrankM sagte in Redis Replication über Wireguard:

    die Kisten durchstarten

    moin,
    vermutlich offtopic, entschuldigung: Du musst vermutlich bei einem install nicht "die Kisten durchstarten". Habe das schon öfter gelesen und sah oft keinen grund dafür. So nach aktuellem Kenntnisstand auch hier, wenn du das modul reinwerfen kannst/musst zu laufzeit (modprobe/insmod) und den service starten, warum sollte das nicht gehen..

    man kann aber auch falsch liegen, richtig
    gruß

  • @kosmonaut-pirx Ich denke, du liegst da richtig. DKMS baut ja das Kernelmodul und lädt es danach auch!? Damit sollte dieser Schritt überflüssig sein.

    Da ich das Morgen auf einem weiteren Server einbaue, werde ich das mal beobachten 😉

  • Guten Morgen. Oben noch meine ToDo-Liste abgearbeitet 😉

    Zum Kernelmodul. Das wird ja von DKMS gebaut.

    Building initial module for 4.19.0-9-amd64
    Done.
    
    wireguard.ko:
    Running module version sanity check.
     - Original module
       - No original module exists within this kernel
     - Installation
       - Installing to /lib/modules/4.19.0-9-amd64/updates/dkms/
    
    depmod....
    
    DKMS: install completed.
    Setting up wireguard (1.0.20200513-1~bpo10+1) ...
    Processing triggers for man-db (2.8.5-2) ...
    

    Danach ist das Kernelmodul installiert.

    dkms status wireguard
    wireguard, 1.0.20200506, 4.19.0-9-amd64, x86_64: installed
    

    Das Modul ist aber nicht geladen.

    lsmod | grep wireguard
    

    ist leer! Erst ein

    modprobe wireguard
    

    lädt das Kernelmodul.

    lsmod | grep wireguard
    wireguard             225280  0
    ip6_udp_tunnel         16384  1 wireguard
    udp_tunnel             16384  1 wireguard
    

    @kosmonaut-pirx Ich denke, du hast Recht, auf den Server Neustart kann verzichtet werden. Man lernt nie aus 🙂

  • 👍
    spart bischen zeit

  • Python & Redis-Datenbank

    Verschoben Linux
    3
    0 Stimmen
    3 Beiträge
    115 Aufrufe
    FrankMF

    Heute dann die nächste Herausforderung. Mein JSON soll so aussehen, damit ich das entsprechend erweitern kann.

    Stocks {0: {'stockname': 'Deutsche Telekom Aktie', 'wkn1': '4534543534', 'wkn2': 'sfsdfsdfsfdfd', 'quantity': 100}, 1: {'stockname': 'Henkel', 'wkn1': '4534543534', 'wkn2': 'sfsdfsdfsfdfd', 'quantity': 50}}

    Die Daten sollen wie oben schon ausprobiert, in einer Redis Datenbank liegen. So weit auch kein großes Problem. ABER, der Zugriff auf diese Daten war dann meine nächste Hürde 🙂

    Ok, ich habe also mehrere Einträge im JSON File bzw. in der Datenbank. Wie komme ich da nun wieder dran. Ein paar ☕ später dann die Lösung.

    Wie komme ich an den einzelnen Eintrag, also über den Index??

    r1.json().get('stocks', 1)

    Gibt als Ergebnis

    {'stockname': 'Henkel', 'wkn1': '4534543534', 'wkn2': 'sfsdfsdfsfdfd', 'quantity': 50}

    Ok, das passt schon mal. Somit kann man dann gewohnt auf die einzelnen Elemente zugreifen.

    print("TESTING", testing['stockname'])

    Ausgabe

    TESTING Henkel

    Ok, Teil 1 erledigt. Jetzt habe ich ja irgendwann mehrere Elemente in der Liste und brauch dann den letzten Index , um damit was machen zu können. Also, z.B. durch die Daten zu loopen.

    objkeys = r1.json().objkeys('stocks') print("Objkeys", objkeys)

    Ausgabe

    Objkeys ['0', '1']

    Ok, kommt eine Liste des Index zurück. Damit kann man arbeiten 😉

    Ich hatte dann zum Testen mittels einer while Schleife die Daten geladen, aber jetzt beim Tippen klingelt es und wir machen das schön mit enumerate 😉

    @staticmethod def load(): data = {} for count, value in enumerate(objkeys): testing = r1.json().get('stocks', count) data[count] = { "stockname": testing['stockname'], "wkn1": testing['wkn1'], "wkn2": testing['wkn2'], "quantity": testing['quantity']} return data

    Somit habe ich die Daten aus der Redis Datenbank in einem Objekt und kann damit arbeiten.

  • Redis - systemd anpassen

    Redis
    1
    0 Stimmen
    1 Beiträge
    74 Aufrufe
    Niemand hat geantwortet
  • Wireguard - Tunnel zur Fritz!Box 6591 Cable Part 2

    Angeheftet Wireguard
    1
    0 Stimmen
    1 Beiträge
    353 Aufrufe
    Niemand hat geantwortet
  • Redis - Zweite Instanz

    Redis
    1
    0 Stimmen
    1 Beiträge
    220 Aufrufe
    Niemand hat geantwortet
  • MariaDB - Wireguard

    MariaDB
    1
    0 Stimmen
    1 Beiträge
    263 Aufrufe
    Niemand hat geantwortet
  • Debian 10.4 released und Wireguard kaputt :(

    Linux
    1
    0 Stimmen
    1 Beiträge
    248 Aufrufe
    Niemand hat geantwortet
  • Wireguard - Client installieren

    Wireguard
    3
    0 Stimmen
    3 Beiträge
    563 Aufrufe
    FrankMF

    Ich kann dir nicht ganz folgen. Mein Wireguard Server ist eine VM im Netz. Mein Smartphone baut zu diesem eine Verbindung auf und ich habe mal eben nachgeschaut, was da so geht. Mein Smartphone ist aktuell im meinem WLan angemeldet.

    6e0016dc-7e11-41e1-bba2-e52a3f1348df-image.png

    iperf3 -s -B 10.10.1.1 ----------------------------------------------------------- Server listening on 5201 ----------------------------------------------------------- Accepted connection from 10.10.1.10, port 44246 [ 5] local 10.10.1.1 port 5201 connected to 10.10.1.10 port 44248 [ ID] Interval Transfer Bitrate [ 5] 0.00-1.00 sec 4.98 MBytes 41.7 Mbits/sec [ 5] 1.00-2.00 sec 5.52 MBytes 46.3 Mbits/sec [ 5] 2.00-3.00 sec 4.80 MBytes 40.3 Mbits/sec [ 5] 3.00-4.00 sec 4.17 MBytes 35.0 Mbits/sec [ 5] 4.00-5.00 sec 5.04 MBytes 42.3 Mbits/sec [ 5] 5.00-6.00 sec 5.43 MBytes 45.6 Mbits/sec [ 5] 6.00-7.00 sec 5.75 MBytes 48.3 Mbits/sec [ 5] 7.00-8.00 sec 5.70 MBytes 47.8 Mbits/sec [ 5] 8.00-9.00 sec 5.73 MBytes 48.1 Mbits/sec [ 5] 9.00-10.00 sec 5.65 MBytes 47.4 Mbits/sec [ 5] 10.00-10.04 sec 206 KBytes 46.5 Mbits/sec - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bitrate [ 5] 0.00-10.04 sec 53.0 MBytes 44.3 Mbits/sec receiver ----------------------------------------------------------- Server listening on 5201 ----------------------------------------------------------- Accepted connection from 10.10.1.10, port 44250 [ 5] local 10.10.1.1 port 5201 connected to 10.10.1.10 port 44252 [ ID] Interval Transfer Bitrate Retr Cwnd [ 5] 0.00-1.00 sec 4.80 MBytes 40.2 Mbits/sec 0 253 KBytes [ 5] 1.00-2.00 sec 14.7 MBytes 123 Mbits/sec 181 379 KBytes [ 5] 2.00-3.00 sec 9.68 MBytes 81.2 Mbits/sec 58 294 KBytes [ 5] 3.00-4.00 sec 8.88 MBytes 74.5 Mbits/sec 1 227 KBytes [ 5] 4.00-5.00 sec 7.76 MBytes 65.1 Mbits/sec 0 245 KBytes [ 5] 5.00-6.00 sec 8.88 MBytes 74.5 Mbits/sec 0 266 KBytes [ 5] 6.00-7.00 sec 9.81 MBytes 82.3 Mbits/sec 0 289 KBytes [ 5] 7.00-8.00 sec 7.82 MBytes 65.6 Mbits/sec 35 235 KBytes [ 5] 8.00-9.00 sec 5.59 MBytes 46.9 Mbits/sec 4 186 KBytes [ 5] 9.00-10.00 sec 6.64 MBytes 55.7 Mbits/sec 0 207 KBytes - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bitrate Retr [ 5] 0.00-10.04 sec 84.6 MBytes 70.6 Mbits/sec 279 sender ----------------------------------------------------------- Server listening on 5201 ----------------------------------------------------------- ^Ciperf3: interrupt - the server has terminated

    Im zweiten Teil ist der Wireguard Server der Sender.

    Bis jetzt hatte ich eigentlich nie Probleme, auch nicht unterwegs. Aber, ich gehe davon aus, das ich dich nicht 100% verstanden habe 😉

  • Redis Datenbank sichern

    Verschoben Redis
    1
    0 Stimmen
    1 Beiträge
    759 Aufrufe
    Niemand hat geantwortet