High Availability Setup - Basics

Hi Dave,

Answer 1) HA is pretty straightforward from a cabling sense. HA requires that each interface on master & slave both see the same networks, the easiest way being via a small switch. It will complain if they don't.

On my setup (diagram attached), I've cabled eth1 (WAN) to a small 8-port switch(WAN Switch) that sits between my ISP's router and my two ASG's. Eth3 is directly cabled with a crossover. Eth0 is cabled into my main 48-port LAN Switch. Eth2 isn't shown here as it forms a dedicated WiFi network (not shown but cabled same as the WAN Switch).

Answer 2) Typically up2date will complete the slave first so as to minimize downtime. Once the slave is updated and rebooted, Astaro initiates a failover to the updated slave so it can update the master

Answer 3) It's not possible, even with the HA update process, to experience zero downtime. The downtime is very short, typically less then a minute in my experience, as the VPN tunnels resync.

One suggestion that I have seen posted, if you are a 24/7 operation which can't afford downtime, is to isolate the slave and do a manual update. After that's done and the ASG came back up, manually cutover to the slave and once you know the slave is running 100%, repeat the process on the master. Then once both are alive, rejoin the pair.

This second method has the upside that if the update somehow broke something you can quickly roll back to the working unit. Downside is you may lose logs from the update period.

As far as IP changes, when the pair is running in HA, you shouldn't experience an IP change when the cutover happens. Astaro uses virtual MAC's in HA so pretty much every DHCP server I've seen can't tell the difference between master & slave.

Out of curiosity, I'm assuming that because of the IP change concern, your ISP uses dynamic IP assignments? If your tunnels are that critical, you may want to also consider getting an Internet connection with true static IP's. My part of the world (Western Canada), for around $250 month we get a true static 8 IP subnet assigned by our ISP, and we get a managed 6/1 DSL service with SLA's for that price. Fiber is a bit more of an ouch at around $1500 but we get 10/10 for that.

Hi Dave,

Answer 1) HA is pretty straightforward from a cabling sense. HA requires that each interface on master & slave both see the same networks, the easiest way being via a small switch. It will complain if they don't.

On my setup (diagram attached), I've cabled eth1 (WAN) to a small 8-port switch(WAN Switch) that sits between my ISP's router and my two ASG's. Eth3 is directly cabled with a crossover. Eth0 is cabled into my main 48-port LAN Switch. Eth2 isn't shown here as it forms a dedicated WiFi network (not shown but cabled same as the WAN Switch).

Answer 2) Typically up2date will complete the slave first so as to minimize downtime. Once the slave is updated and rebooted, Astaro initiates a failover to the updated slave so it can update the master

Answer 3) It's not possible, even with the HA update process, to experience zero downtime. The downtime is very short, typically less then a minute in my experience, as the VPN tunnels resync.

One suggestion that I have seen posted, if you are a 24/7 operation which can't afford downtime, is to isolate the slave and do a manual update. After that's done and the ASG came back up, manually cutover to the slave and once you know the slave is running 100%, repeat the process on the master. Then once both are alive, rejoin the pair.

This second method has the upside that if the update somehow broke something you can quickly roll back to the working unit. Downside is you may lose logs from the update period.

As far as IP changes, when the pair is running in HA, you shouldn't experience an IP change when the cutover happens. Astaro uses virtual MAC's in HA so pretty much every DHCP server I've seen can't tell the difference between master & slave.

Out of curiosity, I'm assuming that because of the IP change concern, your ISP uses dynamic IP assignments? If your tunnels are that critical, you may want to also consider getting an Internet connection with true static IP's. My part of the world (Western Canada), for around $250 month we get a true static 8 IP subnet assigned by our ISP, and we get a managed 6/1 DSL service with SLA's for that price. Fiber is a bit more of an ouch at around $1500 but we get 10/10 for that.

Hi Andrew,

I truly appreciate the reply.  As with anything - if you draw things out it makes things much more clear ( did not see your attachment though ).

So I made a crude diagram of what I think should happen per your note.

I was thinking I had to give the ASG/UTM its own Outsdie IP but you are right, I will be using the SAME WAN IP and simply plug both eth1's into the ISP Switch.

And of course the eth0's will be in the same internal LAN switch. Along with eth3's connected with a CROSSOVER cable ( use ethernet patch the first time ; seemed to work too ).

But then I complicated things becaue I am using eth2,4,5,6,and 7 for five host server's.  Until I ran out of interfaces on the UTM this was easy.
So now I am using a VLAN switch and slowly moving Hosts out of the UTM interfaces into the VLAN 48-port switch.  That is what confused me.

So the simple solution ( see diagram ) is to disregard eth2's to Host 1 ; was thinking outloud on paper. Once I get HA to failover test - I will re-visit the VLAN hosts situation.

Thanks Again !

Dave

Hi Dave,

Just noticed I forgot to post the diagram. What you've drawn is essentially how you'd cable the two ASG's.

My exact setup at work differs slightly but the details would just serve to confuse the issue.[:)]