HA Cluster an zwei standorten

Hallo,

 

hat jemand von Euch Erfahrungen mit einem Sophos SG HA Aktive / Passiv Cluster in einer konstellation, dass die beiden Node´s an zwei unterschiedlichen  RZ Standorten stehen. Diese sind dann über eine 10 G Leitung  Layer 2 verbunden.

Mir stellt sich die Frage, welche Anforderungen an die HA Link zwischen den beiden Maschinen gestellt wird? Ist dies über zwei RZ Standorte möglich?

Können man hierfür ein VLAN nutzen ? usw....

 

Gruß Kim Sparke

 

PS: Es geht um 2 SG 650 Appliances

  • Hallo Kim,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    Welcome to the UTM Community!

    You probably won't be able to make this work without a lot of extra effort.  You must have both units cabled identically with the same subnets available on the same defined Interfaces.  Here's an example of a Full-Mesh configuration:

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hallo Bob,

     

    danke für deine Antwort.

    Ich frage mich aber, welche Vorrausetzungen erfüllt sein müssen damit der HA Link zwischen dem HA Cluster gut funktioniert. Wieviel Heartbeat Pakete dürfen verloren gehen. Welche Latenz sollte die Verbindung haben.

    Es wird überlegt, ob der HA Cluster an zwei Standorten betrieben wird.

    Gruß Kim

  • In reply to Kim RainerSparke:

    Wie gesagt, Kim, the problem isn't the sync NIC, the problem is that all of the Schnittstelle must have identical definitions on both UTMs - you cannot have any difference between the subnets active on both UTMs.

    I would urge you to consult your reseller to confirm that your idea is impractical.  In the entire time Hot-Standby and Clustering have been possible with the UTM, I'm not aware of any successful deployment of the type you're suggesting.  Still, you should have your reseller get that confirmed by Sophos.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hi, I have a similar requirement. We have a SG330 HA active-passive cluster where the HA cable is now directly connected between both nodes. In the future we want to have one of both nodes in a different data center (about 200 meters away). Now the question is: What requirements do I have. Do I need a dedicated direct line? If yes, what are the requirements? Or would it also be possible to use a dedicated VLAN for the heartbeat?

    Ach das ist ja hier das deutsche Forum.

    Also kurz auf deutsch: Ich möchte meinen bestehenden HA Cluster, der sich jetzt innerhalb eines Racks befindet, auf zwei Datacenter aufsplitten. Jetzt ist die Frage direkte HA Verbindung oder per VLAN. Was geht, was nicht?

    Thanks in advance, Daniel

  • In reply to astiadmin:

    Wie gesagt, Daniel, the problem is that all of the Schnittstelle must have identical definitions on both UTMs - you cannot have any difference between the subnets active on both UTMs.  You might be able to accomplish what you want with a single connection and the right managed switches between the two sites.  I don't believe the sync NIC connection can be a VLAN.  What does your reseller propose?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hallo zusammen,

    wie Bob schon sagte, auf beiden Seiten müssen identische L2-Netze vorhanden sein.
    Das bedeutet: kein kompliziertes Routing- Konstrukt, sondern dieselben VLANs/Suhbnetze auf beiden Seiten.
    Die IP und MAC-Adresse wandert beim Failover ja auf die "andere Seite".
    Wir bauen so etwas mit einem VLAN-Trunc zwischen den Standorten.
    Das Sync-Interface sollte eigentlich ein dedizierter link sein. Wenn dieser nicht direkt verbunden ist, sondern über Switches geht, ist die Unterstützung von "Jumbo-Packets" wichtig.

    Verschiedene Kunden haben das über ein VLAN geleitet (VLAN mit Accessport für HA am Switch und dann über den VLAN-trunc zur anderen Seite). Läuft auch.
    Paketverluste sollte es nach Möglichkeit nicht geben. Also kein hochbelasteter VLAN-trunc zwischen den Standorten oder wenigstens QOS mit "realtime" für das HA.  

  • Wie die anderen schon sagten...

    Identische Netzwerk auf beiden Seiten, alles via VLANs bündeln und fertig...

    Mache ich hier auch so.