Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 4 subscribers
  • Views 7687 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Breakup HA Cluster - Gracefully

hempkins
Hi,

We are running a HA Cluster (active/active) with 2 ASG 425 units (1 Master, 1 Slave). Version is 7.509

We need to "break up" the cluster to run each device separately (one unit is being shipped of to another location).

Is it only a matter of setting the Operation mode=off? What will happen?

The goal is to keep the master running as a single unit with the current config without service-interruption.

When Slave is removed from cluster it will be reconfigured with a new config.

Regards

K.H.


This thread was automatically locked due to age.
  • 0
    Hi,

    I would do it like this.

    1. shudown slave (and reconfigure it for the new location)
    2. switch off HA on master
    3. to make sure everything is fine, reboot the master as soon as possible (within your maintenace window)

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    Hi,

    I would leave the HA turned on (without slave) because turning it off will result in changing the mac address of all interfaces from their current virtual mac to their physical mac address. As far as I can remember it will also result in a reboot of the master. I would do it during a maintainance window...

    Michael
  • 0 in reply to rimi
    Yes. Please do everything except step one during a maintainance window.

    I had some Problems when a HA system running without a slave. So I prefer to switch HA off.

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    I don't recall that the Master's MAC addresses change when HA is disabled (in the Master) for the Slave.  I think the "standard" approach is to disable HA and the Slave will do a Factory Reset automatically.  This should be "no fuss no muss."

    HOWEVER!  You will need new licensing, and that could be a problem!  When does your Cluster license expire?  What subscriptions do you have?  What country are you in?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to rimi
    Hi,

    I would leave the HA turned on (without slave) because turning it off will result in changing the mac address of all interfaces from their current virtual mac to their physical mac address. As far as I can remember it will also result in a reboot of the master. I would do it during a maintainance window...

    Michael


    Hi,

    This is a no go. We tried just switching of the slave. The problem then is that logfiles are piling up and won't be cleard. It takes about a week or so before it stops.

    K.H.
  • 0 in reply to BAlfson
    I don't recall that the Master's MAC addresses change when HA is disabled (in the Master) for the Slave.  I think the "standard" approach is to disable HA and the Slave will do a Factory Reset automatically.  This should be "no fuss no muss."

    HOWEVER!  You will need new licensing, and that could be a problem!  When does your Cluster license expire?  What subscriptions do you have?  What country are you in?

    Cheers - Bob


    Hi Bob,

    You are correct I think. If you select Operation Mode=off you will get a warning stating that the slave will automatically reboot and go back to factory default. At this point I press cancel ....until now.

    About the licensing we have checked everything with the dealer and have just renewed, so no worries there.

    I'm...just not sure if this is a "safe" thing to do whitout interrupting services. I can accept a short stop in forwarding (like 10 seconds) but not a reboot or something in that ballpark[:O]

    K.H.
  • 0 in reply to hempkins
    Ok, I was wrong... I could test it this morning on a new and non-productive pair of 220's (active/passive). I've got a warning that the slave will do a factory reset and shutdown and this happened after I've confirmed the warning. No problems with the services on the new standalone (ex-master) box, no interruption...
    However the old master did still respond with the old virtual mac addresses on arp requests even though it was no longer visible in Interfaces->Hardware (but still in Support->Advanced->Interface Table).
    This was gone after a reboot, means the interfaces are using their physical mac addresses since then.
    That's why I recommend to reboot the master shortly after removing the HA.

    Michael
  • 0 in reply to rimi
    About the License.

    Do you split the active-active License into two? Because you even need a license for the old slave in the new location.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    Hempkins, like Sven says, you do have a licensing issue.  You can't just split the two and run them separately.  Given the way the new licensing system works, my guess is that your reseller will need to get Astaro sales management involved immediately.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi folks,

    Thanks for all suggestions,

    I decided to trust Bob and the doc's and simply set Operation Mode=off in HA-config.

    I lost 4 pings and CPU went to 100% for about 3 minutes (but still working) and that was it.

    About the Licensing, I don't know the correct answer yet. We checked with the supplier (In Denmark) about the licensing and we specified that we wanted to run each unit as a separate device for a while (the will be re-joined again at a later time) and we received to new license keys.

    However, now that the technical part is solved, the rest is "only" paperwork and money, not my problem [;)]

    Thanks,

    K.H.
Unfiltered HTML