Upgrade HA Nodes - kurze Downtime & low Risk?

Started by liceo, March 18, 2021, 05:08:55 PM

Previous topic - Next topic
Print
Go Down Pages1 2 3 4
User actions
March 18, 2021, 05:08:55 PM
Hi zusammen

Ich überlege mir, wie ich den Upgrade-Prozess von einem HA-Pair verbessern könnte. Um die Updates herunterzuladen und zu installieren, benötigt der Node ja Internet Access: Das heisst ich kann den Upgrade nur auf dem aktiven Node durchführen (CARP Master). Gibt es eine Möglichkeit die Upgrade Sequenz wie folgt durchzuführen:


  • Patching des sekundären Node (CARP Backup) und reboot
  • Temporäres Deaktivieren  von CARP auf dem primären Node > Failover auf den sekundären node (auf neue Version)
  • Testing...
  • Patching des primären Node (ist jetzt CARP Backup) und reboot
  • Nach dem Reboot wird der primäre Node wieder CARP Master

So könnten die opnsense HA-Pairs mit einer minimalen downtime gepatched werden.
March 19, 2021, 12:42:43 PM #1
Ich schließe mich liceo "Fragestellung" an.
Zumal in der Dokumentation da Szenario genau so beschrieben ist, es aber praktisch nicht funktioniert.
https://wiki.opnsense.org/manual/how-tos/carp.html#example-updating-a-carp-ha-cluster

March 25, 2021, 07:42:26 AM #2
...genau! Es würde schon helfen, einfach die Updates herunterladen zu können und eine "offline" installation/reboot zu machen.
March 25, 2021, 11:32:24 AM #3
Ich mache es genauso. Warum sollte das nicht funktionieren ?
March 25, 2021, 11:54:52 AM #4
QuoteIch mache es genauso. Warum sollte das nicht funktionieren ?

OK, aber wie gehst du genau vor? Gemäss Manual müsste das ja der erste Schritt sein:

QuoteUpdate your secondary unit and wait until it is online again
Um den BACKP Node (secondary) patchen zu können, muss ich ihn ja erst zum Master machen. Ansonsten hat der Node ja kein Internet-Zugriff (weil das WAN VIP auch auf dem MASTER aktiv ist)
March 25, 2021, 12:15:03 PM #5 Last Edit: March 25, 2021, 12:17:51 PM by atom
Ich kann mich direkt am Backup-Node anmelden. Dafür habe ich mir Wireguard auf dem backup-Node konfiguriert.
March 25, 2021, 12:16:45 PM #6
versteh ich nicht oder hast du nur eine externe IP?

Wenn du die Config wie folgt hast:
fw1 (WAN -IP1)
fw2 (WAN-IP2)
fwcluster (WAN-IP3)

dann haben alle Nodes Internet Access.

Ralf.
March 25, 2021, 01:34:02 PM #7
Das logische Netz sieht so aus... (siehe Anhang)
March 25, 2021, 01:45:36 PM #8
Wenn Du aus Sicherheitsgründen den WAN-Zugang des Backupservers nicht für die Anmeldung öffnen willst, musst Du Dir eine Möglichkeit schaffen per ipsec, wireguard o.a. Remote auf den Backup-Server zu kommen.
March 25, 2021, 02:02:55 PM #9
Natürlich kann ich auf den Backup-Node connecten, der hat ja seine eigene phyische IP im LAN. Das Problem ist: Der Backup Node kann nicht ins internet connecten während er im CARP Status Backup ist.
March 25, 2021, 03:04:59 PM #10
Versteh ich trotzdem nicht,
wenn der Backup eine eigene IP im WAN hat und das gw richtig gesetzt ist, kann ich auf den von außen connecten und er auch ins Web für Updates etc. auch im Status Backup.

Ralf.
March 25, 2021, 04:04:06 PM #11
Hi Ralf

Hast du denn auf den Gateways > Single die IPs der Physischen WAN Interfaces genommen? Ich habe die CARP VIP eingetragen, dann ist klar, wieso der BACKUP Node keinen Internet Uplink hat..
March 25, 2021, 04:28:38 PM #12
Auf dem Gateways->Single
Interface: WAN
IP-Adress: das des Upstream Routers (Provider)
(x) bei Upstream Gateway
March 25, 2021, 04:31:36 PM #13
Bei "Gateway" kommt keine Adresse aus Deinen CARP-IPs hin, sondern das nächste Gateway.

Beispiel:

WAN-FW1: 10.10.10.1
WAN-FW2. 10.10.10.2
WAN-CARP: 10.10.10.3
WAN-GW: 10.10.10.254
March 25, 2021, 04:37:38 PM #14 Last Edit: March 25, 2021, 04:45:29 PM by RalfG
Soll das Swisscom DSL ein Fallback Zugang sein?
Wenn ja, solltest du noch eine Gateway Group (nebst Regeln) einrichten.
Print
Go Up Pages1 2 3 4
User actions