Virtual high availabity problem

When you say that you moved the guest servers, do you mean that you put everything in a single, physical host?

I hope someone comes here and helps resolve this.  I suspect that the issue is outside the Astaro.  What virtual NICs are you using?  Did you install with the software ISO or the virtual zip.

Cheers - Bob

When you say that you moved the guest servers, do you mean that you put everything in a single, physical host?

I have 4 hosts so I just moved what was affected to another host, this got me back to being operational. 
I used the utm_9.003_esx_v4_x64_smp.ovf to create the virtual machines.
I just deleted the Flexi Nics and added E1000 nics the rest is standard.

I have been doing some testing and found that any UTM interface that is used by the guest servers and is on the same host as the slave cannot communicate with the UTM.

I have just rebult the salve and reconfigured it and I still get the same problem.

Anyone with an idea?

Paul

I bet this is related to the virtual MAC address issue, but I thought that applied only to situations with Master and Slave on the same, physical host.  Hopefully, TheDrew will see this thread - I'm pretty certain he's running the same thing in production, and I know he knows a lot more about ESXi than I do!

Cheers - Bob

Thanks for your time Bob.

I Tried the info here but with no luck.
T3CHNOT3S: Astaro Security Gateways, High Availability, and vSphere Virtual Switches

which is the same as this thread:
39095-ha-2-esxi-server-l2-problem.html

tried changing the virtual_mac settings but after a reboot and a syncing again they are going back to a 1, must be a version 9 thing.

Paul

Paul,

If I understand correctly your problem, we have a couple of Astaro as HA active/passive on vSphere 5.x.
I noticed that on the host which runs the slave, all the VMs which have the virtual Astaro as default gateway will "lose" network connectivity, sort of, that is seems they try to send traffic through the slave. Even the ESXi host will do that if it has its DG the slave Astaro.
Like somehow the ESXi host on which the slave is running detects the IP addresses of it (it actually does as VMware Tools run on Astaro) and makes a decision outside the virtual switch to "force" traffic for VMs on the host through the slave.

I know that the virtual VMware switch isn't a full blown switch and has some "cheating" code; I wanted to open a case with VMware but did not have time.
In our case we so far circumvented this by separating VMs for the firewalls as we have multiple VMware clusters.

Thanks,
Adrian

Hey Paul,

The DMZ you're setting up. How is this setup across both hosts?

One important thing to keep in mind about vSwitches is that they are not distributed. So if you create a 'DMZ' vSwitch on each host, guests will not talk across hosts unless you physically bridge the vSwitches. If you have the $$$ there are distributed vSwitches available from VMware or Cisco.

Second thing to keep in mind is that the slave UTM in an HA pair does absolutely nothing except sync with the master. No routing happens whatsoever.

In this case, if your one host DMZ vSwitch depends on the slave UTM to be it's gateway, it won't work. You'll need to cable the two vSwitches together so they can see the master regardless of which host they are on.

On a more general note, if you have vSphere and HA, unless your downtime has to be measured in seconds (not minutes) there isn't any real benefit to having a master & slave UTM. All the slave gains you is reduced downtime from a few minutes to a few seconds during a host failure or a UTM upgrade. If you have fault tolerance, the downtime is literally two lost pings and that is it.