This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ACC Group Definitions - replacment

Hi,

I removed the group accidently with the definition remove button.
Afterwards I tried to add it again, but the old Definition is not replaced, the new one has a [xycv] behind it.

What am I doing wrong? I tried all three Options. The Definition is used with Webadmin access Networks.

Sven


This thread was automatically locked due to age.
Parents
  • No worries Robert, Astaro support was finally able to get back in touch with me yesterday.  Unfortunately when trying to reproduce the situation that I was able to reproduce multiple times when I first started adding to this thread, we couldn't reproduce the behavior.  I am going to continue to check with the new knowledge that you explained above.

    I will continue to update this thread if I can reproduce the error I originally received when trying to deploy groups without success.
    ____________________
    One thing I discovered along this way which may be of use to others:
    It seems you cannot create a Network Host (either locally or via the ACC) if the IP address belonging to that network host definition  is assigned to an ASG interface  (v.7.510).

    Example the ASG eth1 (internet) is IP 1.2.3.4.  You cannot create a network host object (ACC or locally) that is just this single IP.  

    This really presents a challenge when are trying to create a network group white-list across an enterprise. The example I can most readily explain is the the network group we use to allow to access the ASG via Webmin and SSH.  We want to be able to access the Webmin interface for any of our ASG from any of the site networks behind the ASG's.  This should be able to be defined as a single group to be deployed across an enterprise.  Because of the behavior describe above, this is not easily done because the group will not deploy across any of the ASG's because the group contains every ASG's external public IP address.  I only saw one possible workaround of creating a separate network group for each and every ASG you are trying to manage in your enterprise.  It kind of defeats the purpose of using an ACC to control the ASG's if you end of having to manage a group for  every ASG instead of a single group.

    I did come up with a workaround that is seeming to work but it is not ideal and I am not sure that it won't cause problems in the future.  The temporary workaround is to instead of creating a networ host object for each of the external IP's to be included in this Webmin white-list group, I created a network/network definition for each external interface of the enterprise ASG's.  Ex
    Instead of Network/Host Object 1.2.3.4 I created a Network/Network object 1.2.3.4/32 This is working in some groups but unfortunately it doesn't work everywhere like in network Availability groups, so I still have to create both objects (network and host).

    I don't understand why this alias to a physical address cannot be created on an ASG.  I can understand that on the ASG itself, use of the alias should be limited based on the need of use such as in a Multipath Routing setup should be specific to an interface and not a host object but I don't understand why there is an exclusion of the ability to have the alias to the IP address defined in the ASG along side the physical interface.  Is this something that corrected in v.8.0? 
    Hope this helps others.
Reply
  • No worries Robert, Astaro support was finally able to get back in touch with me yesterday.  Unfortunately when trying to reproduce the situation that I was able to reproduce multiple times when I first started adding to this thread, we couldn't reproduce the behavior.  I am going to continue to check with the new knowledge that you explained above.

    I will continue to update this thread if I can reproduce the error I originally received when trying to deploy groups without success.
    ____________________
    One thing I discovered along this way which may be of use to others:
    It seems you cannot create a Network Host (either locally or via the ACC) if the IP address belonging to that network host definition  is assigned to an ASG interface  (v.7.510).

    Example the ASG eth1 (internet) is IP 1.2.3.4.  You cannot create a network host object (ACC or locally) that is just this single IP.  

    This really presents a challenge when are trying to create a network group white-list across an enterprise. The example I can most readily explain is the the network group we use to allow to access the ASG via Webmin and SSH.  We want to be able to access the Webmin interface for any of our ASG from any of the site networks behind the ASG's.  This should be able to be defined as a single group to be deployed across an enterprise.  Because of the behavior describe above, this is not easily done because the group will not deploy across any of the ASG's because the group contains every ASG's external public IP address.  I only saw one possible workaround of creating a separate network group for each and every ASG you are trying to manage in your enterprise.  It kind of defeats the purpose of using an ACC to control the ASG's if you end of having to manage a group for  every ASG instead of a single group.

    I did come up with a workaround that is seeming to work but it is not ideal and I am not sure that it won't cause problems in the future.  The temporary workaround is to instead of creating a networ host object for each of the external IP's to be included in this Webmin white-list group, I created a network/network definition for each external interface of the enterprise ASG's.  Ex
    Instead of Network/Host Object 1.2.3.4 I created a Network/Network object 1.2.3.4/32 This is working in some groups but unfortunately it doesn't work everywhere like in network Availability groups, so I still have to create both objects (network and host).

    I don't understand why this alias to a physical address cannot be created on an ASG.  I can understand that on the ASG itself, use of the alias should be limited based on the need of use such as in a Multipath Routing setup should be specific to an interface and not a host object but I don't understand why there is an exclusion of the ability to have the alias to the IP address defined in the ASG along side the physical interface.  Is this something that corrected in v.8.0? 
    Hope this helps others.
Children
No Data