CARP com problema - BACKUP não assume



  • Olá!

    Instalei o CARP ..testei…coloquei em produção e funcionava corretamente......acontece que agora fui testar e começou a apresentar um comportamento errado.

    Desliguei o MASTER mas o BACKUP não assumiu o IP Virtual....religuei o MASTER e ai os dois ficaram como BACKUP.....nenhum assumiu o IP virtual... o IP virtual só voltou a responder depois que fiz um reset states no master.

    Continuando o teste.....reiniciei o firewall secundário (backup) e quando este iniciou, o IP virtual parou de responder novamente.....acessei o MASTER e o status do CARP estava BACKUP novamente.

    Efetuei um novo reset states no firewall principal e só então o ip virtual voltou a responder.

    Cada firewall esta em um servidor EXSi com uma interface dedicada para o SYNC com um cabo de rede ligado diretamente entre os servidores. Efetuei o teste de comunicação entre os ips de sincronização e esta tudo OK.

    Notei que quando os 2 estão como BACKUP no status do CARP, no console fica apresentando a mensagem "link states coalesced"

    Alguém já teve problema parecido?



  • No esx, quando testei, só funciona se deixar o switch em modo promiscuo (o que é altamente desaconselhável). O carp é testado pela própria interface de rede, não pela rede de sincronia.

    O problema/bloqueio para estar relacionado aos pacotes multicast que o CARP usa.

    Se encontrar um opção melhor para isso funcionar não esqueça de postar por aqui.  :)



  • @marcelloc:

    No esx, quando testei, só funciona se deixar o switch em modo promiscuo (o que é altamente desaconselhável). O carp é testado pela própria interface de rede, não pela rede de sincronia.

    O problema/bloqueio para estar relacionado aos pacotes multicast que o CARP usa.

    Se encontrar um opção melhor para isso funcionar não esqueça de postar por aqui.  :)

    Analisando melhor de acordo com seus comentários, verifiquei que o problema esta possivelmente em uma regra de firewall que uso na VLAN de servidores….agora o ip do firewall é tratado diferente já que "ele não é mais ele.... e sim eles", o VIP não caia na regra mas os ip´s físicos estavam caindo, bloqueando o protocolo VRRP que é o protocolo utilizado na redundância. Vou testar neste final de semana.

    Com relação a solução para o modo promiscuo na placa de rede, a saída foi dedicar uma nic em um novo VSwitch para a lan do firewall, ai sim habilitar o modo promiscuo sem comprometer o isolamento das outras VMS´s que se comunicam pela VMNetwork padrão.....essa questão do modo promiscuo foi o primeiro problema que tive quando da configuração do CARP.

    Preciso estudar ainda se existe algum comprometimento na segurança da infraestrutura Hypervisor do ESXi, pelo fato de usar a placa em modo promiscuo mesmo que dedicada a uma instância.......acredito que não....mas é bom confirmar....
    Se alguém souber...manda ai!


Log in to reply