High Availability Setup - Basics

Hi Dave,

Answer 1) HA is pretty straightforward from a cabling sense. HA requires that each interface on master & slave both see the same networks, the easiest way being via a small switch. It will complain if they don't.

On my setup (diagram attached), I've cabled eth1 (WAN) to a small 8-port switch(WAN Switch) that sits between my ISP's router and my two ASG's. Eth3 is directly cabled with a crossover. Eth0 is cabled into my main 48-port LAN Switch. Eth2 isn't shown here as it forms a dedicated WiFi network (not shown but cabled same as the WAN Switch).

Answer 2) Typically up2date will complete the slave first so as to minimize downtime. Once the slave is updated and rebooted, Astaro initiates a failover to the updated slave so it can update the master

Answer 3) It's not possible, even with the HA update process, to experience zero downtime. The downtime is very short, typically less then a minute in my experience, as the VPN tunnels resync.

One suggestion that I have seen posted, if you are a 24/7 operation which can't afford downtime, is to isolate the slave and do a manual update. After that's done and the ASG came back up, manually cutover to the slave and once you know the slave is running 100%, repeat the process on the master. Then once both are alive, rejoin the pair.

This second method has the upside that if the update somehow broke something you can quickly roll back to the working unit. Downside is you may lose logs from the update period.

As far as IP changes, when the pair is running in HA, you shouldn't experience an IP change when the cutover happens. Astaro uses virtual MAC's in HA so pretty much every DHCP server I've seen can't tell the difference between master & slave.

Out of curiosity, I'm assuming that because of the IP change concern, your ISP uses dynamic IP assignments? If your tunnels are that critical, you may want to also consider getting an Internet connection with true static IP's. My part of the world (Western Canada), for around $250 month we get a true static 8 IP subnet assigned by our ISP, and we get a managed 6/1 DSL service with SLA's for that price. Fiber is a bit more of an ouch at around $1500 but we get 10/10 for that.

Hi Andrew,

I truly appreciate the reply.  As with anything - if you draw things out it makes things much more clear ( did not see your attachment though ).

So I made a crude diagram of what I think should happen per your note.

I was thinking I had to give the ASG/UTM its own Outsdie IP but you are right, I will be using the SAME WAN IP and simply plug both eth1's into the ISP Switch.

And of course the eth0's will be in the same internal LAN switch. Along with eth3's connected with a CROSSOVER cable ( use ethernet patch the first time ; seemed to work too ).

But then I complicated things becaue I am using eth2,4,5,6,and 7 for five host server's.  Until I ran out of interfaces on the UTM this was easy.
So now I am using a VLAN switch and slowly moving Hosts out of the UTM interfaces into the VLAN 48-port switch.  That is what confused me.

So the simple solution ( see diagram ) is to disregard eth2's to Host 1 ; was thinking outloud on paper. Once I get HA to failover test - I will re-visit the VLAN hosts situation.

Thanks Again !

Dave

Hi Dave,

Just noticed I forgot to post the diagram. What you've drawn is essentially how you'd cable the two ASG's.

My exact setup at work differs slightly but the details would just serve to confuse the issue.[:)]

Why do you use crossover cable it Works with normal cable too

Why do you use crossover cable it Works with normal cable too 

That's good news!  In the past, the appliances didn't have auto-sensing NICs.  Which ones have you confirmed this on?

Cheers - Bob

Hi Terminator,

Given the manuals are written for universal application, and the broad hardware support of the platform, there's no guarantee that an end user will have a auto-MDI/MDIX (crossover sensing) network interface which is required to use a regular patch cord between two devices.

I am using UTM220's new Sept 2012 so they are the latest shipping.
I did have them sync using a standard Cat5 ethernet cable between eth3 ports and things did seem to work.  But when I went back and looked at the latest admin doc - it said to use a cross-over.  Like Drew said the doc is general and has not been updated for this newer model.

I just did not have the other ports connected so I go errors on the first pass.

I was a bit premature in my test, as I was still using them as two independant units trying to test IPSec S2S VPN tunnels.  When I turned on HA I was a bit surprised when I could no longer log into my "slave" unit since it took on the IP's of the master.  Plus my test config of the slave was wiped out.

Question:
I want to apply the update from 8.305 to 8.306 that is available on this model.  If in an HA setup can I break the HA and update the slave and move traffic to it as an independant unit to see if 8.306 is stable for me.

Then if running for a week or so, go back to HA and have the new slave get updated via the HA process or manually have to do the new slave.

I understand you can do the slave first if in HA and when it reboots it will be master and then the other box will get updated.

But I want to have the latest firmware be only on one box and that box be the master until I decide all is ok.  And THEN update the slave.

What is the best scenario for this?  Be as specific as possible.

Thanks !

Most (all?) GigE NICs are auto-sensing.

Barry

I connected the 220's per my diagram. Did NOT use a crossover on port 3 ; normal cat5 works fine ( auto-sense ) on the 1gig ports.

Did not like the Auto-configuration selection ( did not work well for me ) so I tried again using Hot-Standby(active-passive).

Configuration is very simple:
1. with both UTM's running w/o eth3 attached configure UTM1 
- MAnagement, High Availability, then Configuration Tab, Hot-Standby
- Sync Nic = eth3
- Device NAme = Node2 ( call it what you want )
- Device node = 2 ( choice of 1 or 2 )
- Encryption key = abcd1234 ( use anthing you want )
- APPLY

2. go to the other UTM and repeat steps above, except:
- Device NAme = Node1 ( must be unique ; not the same as other UTM )
- Device node = 1
- APPLY

3. Attach eth3 cat 5 cable and the rest is auto-magic
- front panels will indicate status like "HA Slave Node 1 Active"

I had another PC attached with ping on auto to an outside web site
Then pulled the Eth1 cable from the MAster UTM
- ping traffic stopped for 2-seconds and then started again
- the 2-seconds was the time it took for the SLAVE UTM to become MASTER

I was impressed !

I also tried updating from 8.305 to 8.306
- it updates the slave first, reboots and becomes master
- then the "new" slave updates and reboots and stays the slave

Just wish I had the option of leaving the master at 8.306 and the slave at 8.305 till I was sure the new version was ok.
- but I suppose the way it works is acceptable.

First off - looks like version 9 has an option to keep the Master and Slave at different firmware versions.  So you can update one and run on it for a while, then when comfortable, let the other HA box update.

My final test to implement HA ( have many other projects taking priority ), is to understand if there is any other way to connect both boxes to all interfaces, without using three VLAN ports or a small switch for each interface.

All is simple on eth0, 1, and the HA port eth3.
But how do you attach the 2nd box to hosts running on the 1st box on eth4,5,6, and 7 ?

If a host has two NICS, I cannot find a document how to configure them with the same IP info of that host.  So I could simply connect HA box2 to NIC 2 of the host on eth4 for example.

Do I have to burn three ports of a VLAN switch for every HA box host interface?
1. for the Host, 2. for HA box 1 eth4, 3. for HA box 2 eth4

Thanks