PaloAlto Cluster zeigt interfaces down an

Hallo,

ich habe eine PaloAlto, die aus zwei Konten besteht. Da es sich um einem activ-passive Cluster handelt, habe ich zusätzlich ein Clusterhost angelegt und die Interface-Services als “Clustered services” für die Nodes angelegt.
Bevor ich den Clusterhost angelegt habe, waren die Interfaces auf einer Node UP und auf der anderen DOWN - was ja zu erwarten ist.
Auf dem Clusterhost werden sie jetzt jedoch trotzdem alle als DOWN angezeigt, wo sie doch auf der aktiven Node UP sind.

Offenbar hat ein ähnliches Problem schon mal jemand gehabt, aber leider steht keine Antwort zur Lösung im Forum: [Check_mk (deutsch)] Active/Passive Cluster überwachen

Zu Info:
Die CheckMK Version ist CEE 1.6.0p13
Die PaloAlto Knoten werden per SNMP überwacht

Hat jemand eine Idee bzw welche Infos könnte ich noch liefern um das Problem einzugrenzen?

Liebe Grüsse
Benjamin

1 Like

Das Verhalten ist auch erstmal richtig so. Der Interface Check ist nicht “Clusterfähig” um es so zu schreiben. Macht ja auch keinen Sinn da die Interfaces selbst sozusagen physisch sind. Was der PaloAlto als Cluster Resource zur Verfügung stellt ist im Endeffekt eine IP diese sollte als “Clusterresource” überwacht werden.

Ja ich weiß das ist nicht unbedingt eine zufriedenstellende Aussage aber bei Clustern muss man sich immer fragen was stellt der Cluster mir als Resource zur Verfügung. Jedenfalls nicht die physischen Interfaces :wink:

Hallo,

danke für deine Antwort. Ich bin alles andere als Netzwerker, daher habe ich keine Ahnung was die PaloAlto intern macht. Klar sind die Interfaces physisch, aber der Interface status offenbar nicht. Den dürfte die PaloAlto hin und her schalten?! - Ich werde mal die Netzwerkexperten konsultieren.

Ich habe den Code zur Clusterauswertung in CheckMK nicht analysiert, aber ich dachte immer, es ist sozusagen ein “Best of” Verhalten.

Na ja zumindest weiß ich jetzt, das das so nicht funktioniert.

lg
Benjamin

Hi Benjamin,

ich habe genau das gleiche vor. Und da ich am verzweifeln war, habe ich hier mal nachgeschaut. :slight_smile:

Hast du das noch irgendwie hinbekommen oder aufgegeben?

Beste Grüße
Alex

Hi Alex,

nein, ich habe hier noch keine Lösung. Wir haben die Interfaces einstweilen disabled. Da es scheinbar auch keine Service IP für den FW-Cluster gibt, kann ich das so nicht monitoren. Laut den Netzwerkern geht das nicht mit der Service IP - ich bezweifel das zwar, aber ich kenne mich mit Palo Alto auch nicht aus.
Wenn ich mal Luft habe, denke ich über eine Lösung nach, sollte sich bis dahin keine andere Möglichkeit bieten.

Tut mir leid, das ich (im Moment) nicht helfen kann.

lg
Benjamin

Hi Benjamin,

alles klar, vielen Dank.
Sobald ich in diesem Thema weiterkomme, melde ich mich auch.

MfG
Alex

Kurze Anmerkung - falls der Cluster ein Active-Active ist dann hat jeder der beiden Nodes eine Service IP (bei Palo Alto genannt Floating IP). Diese Floating IP wandert bei einem Knotenausfall auf den zweiten Node. Dieser Node hat dann beide Floating IPs.
Bei einem Active-Passive Cluster wechselt halt die Adresse immer auf den aktiven Node.
Hier noch eine kleine Beschreibung der verschiedenen HA Modes. Damit lässt sich bestimmt das eigene Scenario richtig abbilden.

Hi,

danke für die Info. Ich werde die Admins mal darauf ansprechen. Die Letztaussage war, das es sowas nicht gibt - aber wer weiss, vielleicht haben sie auch einfach nicht verstanden was ich von ihnen brauche. Das wäre nicht das erste mal. :wink:

lg
Benjamin

Moin,

mein Tipp wäre die beiden Cluster-Nodes via MGMT-Interface zu monitoren und den Links State im HA auch auf dem passive-device auf up zu stellen.
Dann habt ihr keine Probleme, wenn der Cluster schwenkt und bekommt mit, wenn jemand bspw. auf einem Switch versehentlich ein Palo Interface down nimmt.

VG
Chacko

This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact an admin if you think this should be re-opened.