ich habe eine PaloAlto, die aus zwei Konten besteht. Da es sich um einem activ-passive Cluster handelt, habe ich zusätzlich ein Clusterhost angelegt und die Interface-Services als “Clustered services” für die Nodes angelegt.
Bevor ich den Clusterhost angelegt habe, waren die Interfaces auf einer Node UP und auf der anderen DOWN - was ja zu erwarten ist.
Auf dem Clusterhost werden sie jetzt jedoch trotzdem alle als DOWN angezeigt, wo sie doch auf der aktiven Node UP sind.
Das Verhalten ist auch erstmal richtig so. Der Interface Check ist nicht “Clusterfähig” um es so zu schreiben. Macht ja auch keinen Sinn da die Interfaces selbst sozusagen physisch sind. Was der PaloAlto als Cluster Resource zur Verfügung stellt ist im Endeffekt eine IP diese sollte als “Clusterresource” überwacht werden.
Ja ich weiß das ist nicht unbedingt eine zufriedenstellende Aussage aber bei Clustern muss man sich immer fragen was stellt der Cluster mir als Resource zur Verfügung. Jedenfalls nicht die physischen Interfaces
danke für deine Antwort. Ich bin alles andere als Netzwerker, daher habe ich keine Ahnung was die PaloAlto intern macht. Klar sind die Interfaces physisch, aber der Interface status offenbar nicht. Den dürfte die PaloAlto hin und her schalten?! - Ich werde mal die Netzwerkexperten konsultieren.
Ich habe den Code zur Clusterauswertung in CheckMK nicht analysiert, aber ich dachte immer, es ist sozusagen ein “Best of” Verhalten.
Na ja zumindest weiß ich jetzt, das das so nicht funktioniert.
nein, ich habe hier noch keine Lösung. Wir haben die Interfaces einstweilen disabled. Da es scheinbar auch keine Service IP für den FW-Cluster gibt, kann ich das so nicht monitoren. Laut den Netzwerkern geht das nicht mit der Service IP - ich bezweifel das zwar, aber ich kenne mich mit Palo Alto auch nicht aus.
Wenn ich mal Luft habe, denke ich über eine Lösung nach, sollte sich bis dahin keine andere Möglichkeit bieten.
Tut mir leid, das ich (im Moment) nicht helfen kann.
Kurze Anmerkung - falls der Cluster ein Active-Active ist dann hat jeder der beiden Nodes eine Service IP (bei Palo Alto genannt Floating IP). Diese Floating IP wandert bei einem Knotenausfall auf den zweiten Node. Dieser Node hat dann beide Floating IPs.
Bei einem Active-Passive Cluster wechselt halt die Adresse immer auf den aktiven Node. Hier noch eine kleine Beschreibung der verschiedenen HA Modes. Damit lässt sich bestimmt das eigene Scenario richtig abbilden.
danke für die Info. Ich werde die Admins mal darauf ansprechen. Die Letztaussage war, das es sowas nicht gibt - aber wer weiss, vielleicht haben sie auch einfach nicht verstanden was ich von ihnen brauche. Das wäre nicht das erste mal.
mein Tipp wäre die beiden Cluster-Nodes via MGMT-Interface zu monitoren und den Links State im HA auch auf dem passive-device auf up zu stellen.
Dann habt ihr keine Probleme, wenn der Cluster schwenkt und bekommt mit, wenn jemand bspw. auf einem Switch versehentlich ein Palo Interface down nimmt.
This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact an admin if you think this should be re-opened.