Frage zu High Avail Sync
-
Hallo Community,
ich beschäftige mich mich seit ca. einer Woche mit der pfsense und komme grundlegend klar mit dem System. Ich möchte die Firewall redundant auslegen und bin nach diesem Guide vorgegangen.
https://pfsense-docs.readthedocs.io/en/latest/highavailability/configuring-high-availability.html
Grundsätzlich funktioniert die Übernahme der Masterrolle an den Backup im falle eines Ausfalls des eigentlichen Masters und der Rollback der Masterrolle wenn dieser wieder online ist.
Nun aber kommt mein Problem, Konfigurationsänderungen an dem Cluster, während der eigentliche Master offline ist, (beispielweise hinzufügen einer Paketfilterregel) werden nicht an den Master übergeben wenn dieser wieder online kommt. Bedeutet, die Rolle des Masters wird zurückgegeben, aber die neue Paketfilterregel ist nur auf dem Backupsystem
Ich kann nicht sehen ob das normal ist oder ein Fehler bei mir.
Vielen Dank im vorraus
Gruß Tom
-
@tom-3
Hallo,ja, das ist "by design" so.
Die Synchronisation darf und kann nur in eine Richtung gehen, so wie es am Master in System > High Avail. Sync konfiguriert ist.Es ist zwar grundsätzlich möglich, die Richtung auch umzukehren, indem du am Master die IP zur Synchronisation entfernst und auf der zweiten Box die des Masters reinsetzt. Das würde ich aber nur für sehr lange Downphasen der ersten Hardware empfehlen.
Ansonsten sollte man Konfigurationsänderungen eben nur auf der ersten Maschine vornehmen. Dafür muss sie nicht Master sein, die Synchronisation läuft dennoch. Oder wenn man auf der zweiten schnell eine Änderung machen muss, während die erste down ist, diese eben am Master später nachführen. Sollte ja nicht wirklich oft vorkommen.Du kannst Status > CARP > Enter Persistent CARP Maintenance Mode auf der primären Box verwenden, um den Master für einige Zeit an die zweite zu übergeben. Bspw. für ein System-Upgrade. Da kannst du die erste auch mehrmalig neu starten. Den Master übernimmt sie erst wieder, wenn du den Maintenance Mode wieder abschaltest.
Grüße
-
Vielen Dank für die Info, gestern habe ich es leider nicht mehr geschafft zu antworten.
Ich hätte mir zwar eine andere Antwort erhofft, aber gut, solange man das so berücksichtigt gehts ja.
Gruß Tom
-
@tom-3 said in Frage zu High Avail Sync:
Ich hätte mir zwar eine andere Antwort erhofft, aber gut, solange man das so berücksichtigt gehts ja.
Wie du schreibst, wenn man es berücksichtigt, geht's ja. Und dass der Master down ist, ist ein aktiver Fehlerfall den man schnell beheben sollte/will. Wenn da währenddessen der Bedarf auftritt, dass man aktiv Dinge ändert, dann ist das ein Problem der Planung. Soll heißen: ich habe bspw. entweder schlechte Hardware und wohl keinen HW Support der schnell genug reagiert um Ersatz zu schaffen oder bspw. ist der Master beim Update ausgefallen und ich habs nach einem Tag immer noch nicht geschafft den wieder in Betrieb zu nehmen (Neuinstallation + Konfig Restore sind im Normalfall in ca. 15min erledigt).
Klar wäre es noch schöner wenn die Rollen fluider wären, würde aber manchmal auch schlicht dafür Sorgen, dass man wohl "fauler" mit den Downtimes umgeht ;) Ich hatte es jetzt aber selbst und bei Kunden eher selten, dass man während so einer Situation dann Zeit hatte für Änderungen bzw. dass welche kamen die wirklich wichtig waren und nicht hätten warten können :)
-
Das wäre aber in der Tat eine schöne und auch sinnvolle Funktion.
Kenne das von unsere Cisco ASAs und da kann man nur auf der jeweils aktiven konfigurieren, dabei ist aber egal was gerade mit der Standby ist.Die bekommt alles von der aktiven Master FW direkt oder wenn die neu gestartet wurde beim ersten Verbindungsaufbau.
Aber auch mit Service und 4h, das ist ein halber Tag an dem man dann ggf. nix ändern kann.
Dann Interface Konfiguration rein, Failover mit Key rein, Reboot sync. fertig, wenn die Firmware Version passt.Gbit es dafür schon ein Features Request?
-
Eine mögliche Option wäre noch, die Konfiguration aus dem Backup der zweiten Maschine am wiederhergestellten Master selektiv zu importieren. Man kann bspw. beim Importieren nur Firewall- oder NAT-Regeln auswählen, je nachdem, was geändert wurde.
Allerdings ist bei Wiederinbetriebnahme des Masters unbedingt darauf zu achten, dass er seine Konfiguration nicht synchen kann und, solange er nicht die aktuellen Daten hat, nicht den Master übernehmen kann. Also am besten vom Netzwerk abklemmen.
-
Also ich hatte selbst bei hektischen Kunden noch keine Situation bei so einem Ausfall, dass eine Änderung so mega-super-dolle wichtig ist, dass sie unbedingt gleich sofort umgesetzt werden musste. Meistens ist in solchen hektischen Umgebungen ohnehin alles mit Service Windows gemacht und dann muss jeder warten.
Und wenns ne kleinere Umgebung ist, die das spontan machen wollen und da was wichtiges kommt - dann wird das eben dokumentiert und die eine oder zwei Regeln oder wasauchimmer dann eben festgehalten und aufm Master nachgetragen.
Da noch keiner konkret weiß wie ein ggf. kommender API Layer da mit reinspielt wären da große Umwälzungen zu einem Master-Master Sync eigentlich recht sinnfrei.
-
@viragomann said in Frage zu High Avail Sync:
Du kannst Status > CARP > Enter Persistent CARP Maintenance Mode auf der primären Box verwenden, um den Master für einige Zeit an die zweite zu übergeben. Bspw. für ein System-Upgrade. Da kannst du die erste auch mehrmalig neu starten. Den Master übernimmt sie erst wieder, wenn du den Maintenance Mode wieder abschaltest.
Ich muss da was ergänzen / korrigieren:
Voraussetzung ist, dass am Secundary nicht auch "Enter Persistent CARP Maintenance Mode" aktiviert ist. Falls doch, bleibt der Primary Master, ausgenommen er geht tatsächlich down, dann erst wird der Secundary Master.Habe peinlicherweise eben diese Erfahrung machen müssen, weil ich das am Secundary irrtümlich mal gesetzt hatte oder irgendwann vergessen hatte, es wieder zu deaktivieren.
