いろいろ調べて、方針を決めてみた。

1) banana403 banana404 では HDD をさわる I/O は一切させない
2) banana403 banana404 では heartbeat を動かして互いに監視する
3) banana403 banana404 ではIPアドレスAを共有する(heartbeatの機能)
4) 初期状態では、Aへのリクエストにはbanana403が応答する
5) banana404はbanana403の「スタンバイノード」となる
6) banana403に異常が発生したり、メンテナンスの時は
banana404がすぐにbanana403にとってかわる
7) その時、ユーザに見える共有IPアドレスAは変わらない
そのため、サービスは継続される
8) banana403 では負荷分散(ロードバランシング)プログラムが動き、
Aへのリクエストをlive22x1/x2/x3に振り分ける
9) ロードバランシングプログラムはlive22x1/x2/x3の監視も同時に行い、
正常に応答しなくなったら、振り分けの仲間から自動的に外れ、
回復したら、自動的に仲間に戻る(バランシングプログラムの機能)

これで、

a) 外に見せる代表IPアドレスはA一つにでき、
b) Aを受けている振り分けサーバが落ちても、サービスは停止せず、
c) 振り分けサーバの後ろにいるlive22x1/x2/x3が部分的に落ちても、サービスは停止しない

ようにできます。

(続く)