Upgrade HA Nodes - kurze Downtime & low Risk?

[liceo]

Hi zusammen

Ich überlege mir, wie ich den Upgrade-Prozess von einem HA-Pair verbessern könnte. Um die Updates herunterzuladen und zu installieren, benötigt der Node ja Internet Access: Das heisst ich kann den Upgrade nur auf dem aktiven Node durchführen (CARP Master). Gibt es eine Möglichkeit die Upgrade Sequenz wie folgt durchzuführen:

• Patching des sekundären Node (CARP Backup) und reboot
• Temporäres Deaktivieren  von CARP auf dem primären Node > Failover auf den sekundären node (auf neue Version)
• Testing...
• Patching des primären Node (ist jetzt CARP Backup) und reboot
• Nach dem Reboot wird der primäre Node wieder CARP Master

So könnten die opnsense HA-Pairs mit einer minimalen downtime gepatched werden.

[Domi741]

Ich schließe mich liceo "Fragestellung" an.
Zumal in der Dokumentation da Szenario genau so beschrieben ist, es aber praktisch nicht funktioniert.
https://wiki.opnsense.org/manual/how-tos/carp.html#example-updating-a-carp-ha-cluster

[liceo]

...genau! Es würde schon helfen, einfach die Updates herunterladen zu können und eine "offline" installation/reboot zu machen.

[atom]

Ich mache es genauso. Warum sollte das nicht funktionieren ?

[liceo]

Ich mache es genauso. Warum sollte das nicht funktionieren ?

OK, aber wie gehst du genau vor? Gemäss Manual müsste das ja der erste Schritt sein:

Update your secondary unit and wait until it is online again

Um den BACKP Node (secondary) patchen zu können, muss ich ihn ja erst zum Master machen. Ansonsten hat der Node ja kein Internet-Zugriff (weil das WAN VIP auch auf dem MASTER aktiv ist)

[atom]

Ich kann mich direkt am Backup-Node anmelden. Dafür habe ich mir Wireguard auf dem backup-Node konfiguriert.

[RalfG]

versteh ich nicht oder hast du nur eine externe IP?

Wenn du die Config wie folgt hast:
fw1 (WAN -IP1)
fw2 (WAN-IP2)
fwcluster (WAN-IP3)

dann haben alle Nodes Internet Access.

Ralf.

[liceo]

Das logische Netz sieht so aus... (siehe Anhang)

[atom]

Wenn Du aus Sicherheitsgründen den WAN-Zugang des Backupservers nicht für die Anmeldung öffnen willst, musst Du Dir eine Möglichkeit schaffen per ipsec, wireguard o.a. Remote auf den Backup-Server zu kommen.

[liceo]

Natürlich kann ich auf den Backup-Node connecten, der hat ja seine eigene phyische IP im LAN. Das Problem ist: Der Backup Node kann nicht ins internet connecten während er im CARP Status Backup ist.

[RalfG]

Versteh ich trotzdem nicht,
wenn der Backup eine eigene IP im WAN hat und das gw richtig gesetzt ist, kann ich auf den von außen connecten und er auch ins Web für Updates etc. auch im Status Backup.

Ralf.

[liceo]

Hi Ralf

Hast du denn auf den Gateways > Single die IPs der Physischen WAN Interfaces genommen? Ich habe die CARP VIP eingetragen, dann ist klar, wieso der BACKUP Node keinen Internet Uplink hat..

[RalfG]

Auf dem Gateways->Single
Interface: WAN
IP-Adress: das des Upstream Routers (Provider)
(x) bei Upstream Gateway

[atom]

Bei "Gateway" kommt keine Adresse aus Deinen CARP-IPs hin, sondern das nächste Gateway.

Beispiel:

WAN-FW1: 10.10.10.1
WAN-FW2. 10.10.10.2
WAN-CARP: 10.10.10.3
WAN-GW: 10.10.10.254

[RalfG]

Soll das Swisscom DSL ein Fallback Zugang sein?
Wenn ja, solltest du noch eine Gateway Group (nebst Regeln) einrichten.