CARP com problema - BACKUP não assume
-
Olá!
Instalei o CARP ..testei…coloquei em produção e funcionava corretamente......acontece que agora fui testar e começou a apresentar um comportamento errado.
Desliguei o MASTER mas o BACKUP não assumiu o IP Virtual....religuei o MASTER e ai os dois ficaram como BACKUP.....nenhum assumiu o IP virtual... o IP virtual só voltou a responder depois que fiz um reset states no master.
Continuando o teste.....reiniciei o firewall secundário (backup) e quando este iniciou, o IP virtual parou de responder novamente.....acessei o MASTER e o status do CARP estava BACKUP novamente.
Efetuei um novo reset states no firewall principal e só então o ip virtual voltou a responder.
Cada firewall esta em um servidor EXSi com uma interface dedicada para o SYNC com um cabo de rede ligado diretamente entre os servidores. Efetuei o teste de comunicação entre os ips de sincronização e esta tudo OK.
Notei que quando os 2 estão como BACKUP no status do CARP, no console fica apresentando a mensagem "link states coalesced"
Alguém já teve problema parecido?
-
No esx, quando testei, só funciona se deixar o switch em modo promiscuo (o que é altamente desaconselhável). O carp é testado pela própria interface de rede, não pela rede de sincronia.
O problema/bloqueio para estar relacionado aos pacotes multicast que o CARP usa.
Se encontrar um opção melhor para isso funcionar não esqueça de postar por aqui. :)
-
No esx, quando testei, só funciona se deixar o switch em modo promiscuo (o que é altamente desaconselhável). O carp é testado pela própria interface de rede, não pela rede de sincronia.
O problema/bloqueio para estar relacionado aos pacotes multicast que o CARP usa.
Se encontrar um opção melhor para isso funcionar não esqueça de postar por aqui. :)
Analisando melhor de acordo com seus comentários, verifiquei que o problema esta possivelmente em uma regra de firewall que uso na VLAN de servidores….agora o ip do firewall é tratado diferente já que "ele não é mais ele.... e sim eles", o VIP não caia na regra mas os ip´s físicos estavam caindo, bloqueando o protocolo VRRP que é o protocolo utilizado na redundância. Vou testar neste final de semana.
Com relação a solução para o modo promiscuo na placa de rede, a saída foi dedicar uma nic em um novo VSwitch para a lan do firewall, ai sim habilitar o modo promiscuo sem comprometer o isolamento das outras VMS´s que se comunicam pela VMNetwork padrão.....essa questão do modo promiscuo foi o primeiro problema que tive quando da configuração do CARP.
Preciso estudar ainda se existe algum comprometimento na segurança da infraestrutura Hypervisor do ESXi, pelo fato de usar a placa em modo promiscuo mesmo que dedicada a uma instância.......acredito que não....mas é bom confirmar....
Se alguém souber...manda ai!