Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 3069 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

physischen UTM Hot-Stanby Cluster virtualisieren

eserzet_01
Hi zusammen,

wir haben zwei physische Server im HotStandby Einsatz über ein UTM Software Lizenz.

Da die beiden Knoten inzwischen viel zu langsam sind, möchten wir gerne das UTM System virtualisieren.

Idee ware folgende: ESXi mit entsprechend vielen NICs ausrüsten. UTM VM aufsetzen und mit dem physischen UTM Master synchronisieren. Wenn das erfolgreich war und die UTM virtuell stabil läuft, soll auch der physische Slave virtualisiert werden.

Solange VM und physische Maschine gleiche NIC Anzahl und Architektur (x64) sowie RAM haben, sollte das doch funktionieren, oder?

Oder doch lieber nur ein Backup in die VM einspielen??

Grüße


This thread was automatically locked due to age.
  • 0
    Oder doch lieber nur ein Backup in die VM einspielen??


    Mach das.

    Solange VM und physische Maschine gleiche NIC Anzahl und Architektur (x64) sowie RAM haben, sollte das doch funktionieren, oder?


    Erfahrungsgemäß tut es das nicht, da HA nur bei völlig identischer Hardware funktioniert. Das ist in diesem Fall aber nicht gegeben (unterschiedliche Treiber, etc.).

    edit:
    Nachtag: Duch das Einspielen des Backups verlierst du sämtliche Reports, Logs und die Mail-Quarantäne, sofern vorhanden. Wenn benötigt also vorher separat sichern!

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking

    Erfahrungsgemäß tut es das nicht, da HA nur bei völlig identischer Hardware funktioniert. Das ist in diesem Fall aber nicht gegeben (unterschiedliche Treiber, etc.).


    Hmm, die NICs die wir verbaut haben, sind überwiegend E1000. Das könnte ich mit VMware simulieren. Leider sind noch zwei onboard Interfaces von Broadcom in Benutzung (HA sync und ein DMZ Netz).

    Was passiert denn in so einem Fall? Ich meine, das System muss ja nur solange der sync Vorgang läuft, im HA Betrieb laufen. Danach kann der HA Modus deaktiviert werden.
  • 0 in reply to eserzet_01
    Wenn ich mich noch richtig erinnere (ist schon etwas her, dass ich das mal probiert hatte), synchronisieren die Devices schlicht und einfach nicht bzw. nicht vollständig. Es ist außerdem keine supportete Config (HA ist nur supported, wenn du zwei (oder mehr) gleiche Appliances oder identische Hardware hast (siehe auch Online-Hilfe der UTM).
    Bei der Virtualisierung muss man zudem noch mit den MAC-Adressen aufpassen, da bedarf es meines Wissens noch einer Sonderkonfiguration (such mal etwas im Forum), habe da aber keine Erfahrung.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Wenn ich mich noch richtig erinnere (ist schon etwas her, dass ich das mal probiert hatte), synchronisieren die Devices schlicht und einfach nicht bzw. nicht vollständig. Es ist außerdem keine supportete Config (HA ist nur supported, wenn du zwei (oder mehr) gleiche Appliances oder identische Hardware hast (siehe auch Online-Hilfe der UTM).
    Bei der Virtualisierung muss man zudem noch mit den MAC-Adressen aufpassen, da bedarf es meines Wissens noch einer Sonderkonfiguration (such mal etwas im Forum), habe da aber keine Erfahrung.


    http://www.astaro.org/gateway-products/hardware-installation-up2date-licensing/44614-utm9-active-passive-ha-vmware.html

    in Kurzform
    /usr/locl/bin/confd-client.plx set ha advanced virtual_mac 0
    und vorher auf den  ESX Systemen
    ethernet0.ignoreMACAddressConflict = “TRUE”
    in der Konfig zum Gastsystem setzten.
    Weiter die Sicherheitsfunktionen der Switche prüfen und ggf. deaktivieren wobei ich mir in dem Punkt nicht mehr ganz sicher bin.
    In jedem Fall vorher mal oben den Link durchgehen.
    Wenn du UTM 9.1 nutzt braucht du Patch 4 damit HA virtuell funktioniert.

    Gruss
  • 0 in reply to rprengel
    http://www.astaro.org/gateway-products/hardware-installation-up2date-licensing/44614-utm9-active-passive-ha-vmware.html

    in Kurzform
    /usr/locl/bin/confd-client.plx set ha advanced virtual_mac 0
    und vorher auf den  ESX Systemen
    ethernet0.ignoreMACAddressConflict = “TRUE”
    in der Konfig zum Gastsystem setzten.
    Weiter die Sicherheitsfunktionen der Switche prüfen und ggf. deaktivieren wobei ich mir in dem Punkt nicht mehr ganz sicher bin.
    In jedem Fall vorher mal oben den Link durchgehen.
    Wenn du UTM 9.1 nutzt braucht du Patch 4 damit HA virtuell funktioniert.

    Gruss


    Danke für die Info!

    Es hat alles geklappt und scheint auch soweit stabil und vor allen Dingen viel schneller als vorher zu laufen. Ich habe lediglich die virtual_mac auf den SOPHOS UTMs deaktiviert.

    Wir haben jetzt also eine VM als Master und einen physischen Slave. Dieser wird aber demnächst auch abgelöst. Die Synchronisierung hat super funktioniert, Treiberprobleme o.ä. gab es keine. Das einzigen, was komisch ist, ist das immer noch alle 18 eth angezeigt werden, obwohl die Master VM nur noch 10 vNIC hat. Schätze mal, das ist ein DB Eintrag der im Cluster vom alten System übernommen wurde. Auf shell Ebene sieht alles korrekt aus, also eth0-9 und vmxnet3 mit 10 GE wird erkannt.
  • 0 in reply to eserzet_01

    [...]

    Wir haben jetzt also eine VM als Master und einen physischen Slave. Dieser wird aber demnächst auch abgelöst. Die Synchronisierung hat super funktioniert, Treiberprobleme o.ä. gab es keine. Das einzigen, was komisch ist, ist das immer noch alle 18 eth angezeigt werden, obwohl die Master VM nur noch 10 vNIC hat. Schätze mal, das ist ein DB Eintrag der im Cluster vom alten System übernommen wurde. Auf shell Ebene sieht alles korrekt aus, also eth0-9 und vmxnet3 mit 10 GE wird erkannt.


    So, der Slave ist nun auch eine VM. Die Anzeige der alten pNICs im WebAdmin ist verschwunden, nachdem wir den Cluster einmal komplett rebootet haben!
  • 0
    Nachdem unser UTM Cluster nun komplett virtuell ist würde mich mal interessieren wie ihr es realisiert habt, dass bei link loss die UTM einen failover macht. Soweit ich weiß, geht das nicht, da der vSwitch ja weiter aktiv ist.

    Würde daher jetzt auf den takeover verzichten, und mit failover links in den vSwitches arbeiten. Jemand eine bessere Idee?
  • 0 in reply to eserzet_01
    Nachdem unser UTM Cluster nun komplett virtuell ist würde mich mal interessieren wie ihr es realisiert habt, dass bei link loss die UTM einen failover macht. Soweit ich weiß, geht das nicht, da der vSwitch ja weiter aktiv ist.  Würde daher jetzt auf den takeover verzichten, und mit failover links in den vSwitches arbeiten. Jemand eine bessere Idee?

    Hier 2 Esx Hosts mit jeweils einer physikalischen Netzwerkkarte die den Astaros exklusiv als HA Interface zur Verfügung steht. Die Karten sind direkt mit einem Netzwerkkabel verbunden.

    Gruss
  • 0
    Eigentlich meinte ich, wenn ein DMZ Interface link loss hat. Also nicht wenn der andere UTM Knoten stirbt.

    Beim alten physikalischen Cluster war es ja so, dass der UTM Slave sofort überommen hat, wenn er noch einen link auf dem DMZ Interface hatte.
  • 0 in reply to eserzet_01
    HI,

    wie und wo trage ich denn den Befehl ein?

    "/usr/locl/bin/confd-client.plx set ha advanced virtual_mac 0"

    Muss ich das auf der Astaro Shell machen?
Cookie Information Banner