Buenas.
Os comento un problema que tengo y para ello os cuento la película. Estoy probando una solución antivirus/antimalware a modo de servidor perimetral. Esta solución funciona perfectamente a nivel físico pero no está probada a niver virtual por lo que la he montado en mi granja de vmware. Ésta está compuesta por 3 host ESX 4.1 en cluster. Hasta ahora solo tenia habilitado el HA con una sola Service Console.
Bien. Está solución antimalware está configurada con 3 interfaces, una de gestión y dos en distintas vlanes. Se supone que una va a la DMZ y otra a la red interna, analizando todo el trafico que pasa por la red en tiempo real.
A raiz de un problema de configuración en el bridge de la aplicación, la detección del tráfico STP hacía que el puerto cayese, cayendo a su vez el tráfico de la SC y seguidamente de las máquinas virtuales alojadas. Se podría soluciónar bloqueando el tráfico STP a nivel de puerto pero eso es harina de otro costal. Lo que intentaba buscar es un modo de que si se cae la red de la SC hubiese otra de respaldo.
Leyendo el manual de buenas prácticas de VMWare y algunos documentos de la KB, he dado con una posible solución: crear una segunda SC.
Para ello he creado una nueva vlan en mis switches y le he asignado una ip de la nueva subred a la SC2 con la etiqueta de la vlan. No le he cambiado el gw por defecto que coge de la SC1. Funciona correctamente, hace ping, etc... En las settings del cluster, opciones avanzadas he añadido las lineas:
das.isolationaddress2 -> 10.1.192.126 (es la ip del gw en la vlan nueva)
das.usedefaultisolationaddress -> false
das.failuredetectiontime -> 20000
Tras hacer eso he reconfigurado el HA para actualizar los cambios.
Como paso adicional he añadido una ruta estática en los host con:
any net 0.0.0.0 netmask 0.0.0.0 gw 10.1.192.126
y sin emabargo, cuando arranco la vm de la aplicación antimalware la sc1 se cae... ahora las vms siguen vivas pero no tengo gestión, por lo que tengo que entrar por consola a los ESX y apagar manualmente la vm del antivirus.
Alguna solución? Se me ha olvidado algún paso??
Saludos.
Hola de nuevo:
Aquí en este KB1002641 tienes todo lo necesario.
Un saludo.
Hola Vmorcillo:
VMware no soporta STP, por lo que tendrás que deshabilitarlo en todos los puertos de los switches donde haya un enlace conectado.
Un saludo.
Gracias FerrerDeCouto, pero mi duda, más que mi problema, es si está bien configurado así. La idea es que si por la razón que sea, se cae SC1, pueda seguir gestionando la granja por SC2.
SC1 la tengo en el vswitch0 con las maquinas virtuales y SC2 están en vswitch1 con vmotion. En caso de que se caiga vswitch0, por STP o por la razón que sea, pierdo la gestión porque no tendría la consola, y mi pregunta es como puedo acceder a la gestión por SC2, porque se supone que para eso está no? (a parte de para que no se caigan las VM's )
Gracias de nuevo.
Un saludo.
PD: lógicamente vswitch0 y 1 están en interfaces físicas distintas.
Hola Vmorcillo:
Sólo hacer hincapié en que los puertos donde estén conectados tus hosts no tenga STP habilitado, ya que en cualquier cambio topológico se bloquearán los puertos hasta que se calcule el mejor camino hacia el root.
Respecto a la segunda SC sirve para "falsos positivos" y para tener un segundo acceso a la gestión como bien dices. Para acceder por esa consola de servicio tienes que estar en la misma red o si estás en redes diferentes agregar la ruta estática pertinente en cada host.
Si dispones de tarjetas de red libres, te aconsejo que dediques una de ellas para la SC.
Un saludo.
Hola de nuevo:
Aquí en este KB1002641 tienes todo lo necesario.
Un saludo.
Ok gracias. Ya lo tengo configurado y el STP deshabilitado.
Un saludo