VMware Global Community
Vmorcillo
Contributor
Contributor
Jump to solution

HA y segunda Service Console

Buenas.

Os comento un problema que tengo y para ello os cuento la película. Estoy probando una solución antivirus/antimalware a modo de servidor perimetral. Esta solución funciona perfectamente a nivel físico pero no está probada a niver virtual por lo que la he montado en mi granja de vmware. Ésta está compuesta por 3 host ESX 4.1 en cluster. Hasta ahora solo tenia habilitado el HA con una sola Service Console.

Bien. Está solución antimalware está configurada con 3 interfaces, una de gestión y dos en distintas vlanes. Se supone que una va a la DMZ y otra a la red interna, analizando todo el trafico que pasa por la red en tiempo real.

A raiz de un problema de configuración en el bridge de la aplicación, la detección del tráfico STP hacía que el puerto cayese, cayendo a su vez el tráfico de la SC y seguidamente de las máquinas virtuales alojadas. Se podría soluciónar bloqueando el tráfico STP a nivel de puerto pero eso es harina de otro costal. Lo que intentaba buscar es un modo de que si se cae la red de la SC hubiese otra de respaldo.

Leyendo el manual de buenas prácticas de VMWare y algunos documentos de la KB, he dado con una posible solución: crear una segunda SC.

Para ello he creado una nueva vlan en mis switches y le he asignado una ip de la nueva subred a la SC2 con la etiqueta de la vlan. No le he cambiado el gw por defecto que coge de la SC1. Funciona correctamente, hace ping, etc... En las settings del cluster, opciones avanzadas he añadido las lineas:

das.isolationaddress2 -> 10.1.192.126 (es la ip del gw en la vlan nueva)

das.usedefaultisolationaddress -> false

das.failuredetectiontime -> 20000

Tras hacer eso he reconfigurado el HA para actualizar los cambios.

Como paso adicional he añadido una ruta estática en los host con:

any net 0.0.0.0 netmask 0.0.0.0 gw 10.1.192.126

y sin emabargo, cuando arranco la vm de la aplicación antimalware la sc1 se cae... ahora las vms siguen vivas pero no tengo gestión, por lo que tengo que entrar por consola a los ESX y apagar manualmente la vm del antivirus.

Alguna solución? Se me ha olvidado algún paso??

Saludos.

Reply
0 Kudos
1 Solution

Accepted Solutions
FerrerDeCouto
Commander
Commander
Jump to solution

Hola  de nuevo:

Aquí en este KB1002641 tienes todo lo necesario.

Un saludo.

José Luis Gómez Ferrer de Couto Founder of PiPo e2H Blog: http://blog.e2h.net Si encuentras que esta o cualquier otra respuesta fue de utilidad, por favor da el voto. Gracias. If you find this or any other answer useful, please consider awarding points. Thank you.

View solution in original post

Reply
0 Kudos
5 Replies
FerrerDeCouto
Commander
Commander
Jump to solution

Hola Vmorcillo:

VMware no soporta STP, por lo que tendrás que deshabilitarlo en todos los puertos de los switches donde haya un enlace conectado.

Un saludo.

José Luis Gómez Ferrer de Couto Founder of PiPo e2H Blog: http://blog.e2h.net Si encuentras que esta o cualquier otra respuesta fue de utilidad, por favor da el voto. Gracias. If you find this or any other answer useful, please consider awarding points. Thank you.
Vmorcillo
Contributor
Contributor
Jump to solution

Gracias FerrerDeCouto, pero mi duda, más que mi problema, es si está bien configurado así. La idea es que si por la razón que sea, se cae SC1, pueda seguir gestionando la granja por SC2.

SC1 la tengo en el vswitch0 con las maquinas virtuales y SC2 están en vswitch1 con vmotion. En caso de que se caiga vswitch0, por STP o por la razón que sea, pierdo la gestión porque no tendría la consola, y mi pregunta es como puedo acceder a la gestión por SC2, porque se supone que para eso está no? (a parte de para que no se caigan las VM's Smiley Happy)

Gracias de nuevo.

Un saludo.

PD: lógicamente vswitch0 y 1 están en interfaces físicas distintas. Smiley Wink

Reply
0 Kudos
FerrerDeCouto
Commander
Commander
Jump to solution

Hola Vmorcillo:

Sólo hacer hincapié en que los puertos donde estén conectados tus hosts no tenga STP habilitado, ya que en cualquier cambio topológico se bloquearán los puertos hasta que se calcule el mejor camino hacia el root.

Respecto a la segunda SC sirve para "falsos positivos" y para tener un segundo acceso a la gestión como bien dices. Para acceder por esa consola de servicio tienes que estar en la misma red o si estás en redes diferentes agregar la ruta estática pertinente en cada host.

Si dispones de tarjetas de red libres, te aconsejo que dediques una de ellas para la SC.

Un saludo.

José Luis Gómez Ferrer de Couto Founder of PiPo e2H Blog: http://blog.e2h.net Si encuentras que esta o cualquier otra respuesta fue de utilidad, por favor da el voto. Gracias. If you find this or any other answer useful, please consider awarding points. Thank you.
FerrerDeCouto
Commander
Commander
Jump to solution

Hola  de nuevo:

Aquí en este KB1002641 tienes todo lo necesario.

Un saludo.

José Luis Gómez Ferrer de Couto Founder of PiPo e2H Blog: http://blog.e2h.net Si encuentras que esta o cualquier otra respuesta fue de utilidad, por favor da el voto. Gracias. If you find this or any other answer useful, please consider awarding points. Thank you.
Reply
0 Kudos
Vmorcillo
Contributor
Contributor
Jump to solution

Ok gracias. Ya lo tengo configurado y el STP deshabilitado.

Un saludo Smiley Wink

Reply
0 Kudos