From 39ea16dcde6101b60319d5b577b55538dfff7ba7 Mon Sep 17 00:00:00 2001 From: Daniel Jakots Date: Thu, 9 Mar 2017 11:47:01 -0500 Subject: [PATCH] Much. Better. Wording. (fact, not opinion) --- HowtoOpenBSD/CARP.md | 37 ++++++++++++++++++++++++------------- 1 file changed, 24 insertions(+), 13 deletions(-) diff --git a/HowtoOpenBSD/CARP.md b/HowtoOpenBSD/CARP.md index e0834499..23e9f721 100644 --- a/HowtoOpenBSD/CARP.md +++ b/HowtoOpenBSD/CARP.md @@ -72,23 +72,34 @@ Note : avec `ifconfig carp0 down` nous avons eu parfois des soucis de bascule no ## Optimisation CARP au (re)boot d'un BACKUP -Lorsque que l'on a un firewall en BACKUP, il est important de pouvoir le redémarrer sans que cela n'impacte le MASTER. -Pour cela, il faut bien comprendre le comportement de CARP au démarrage (c'est valable aussi quand -on le configure manuellement… ou même reconfigure… même si il est MASTER !!) : -pendant un certain temps, il va toujours rester en BACKUP pour voir si il ne reçoit pas d'annonce d'un MASTER. -Si il n'a rien reçu, il passe en MASTER. Pour ce temps est d'attente, il va utiliser sa valeur _advbase_ (par défaut à 1 seconde !). +Lorsque que l'on a un firewall en BACKUP, il est important de pouvoir +le redémarrer sans que cela n'impacte le MASTER. +Pour cela, il faut bien comprendre le comportement de CARP au +démarrage : pendant un certain temps, il va toujours rester en BACKUP +pour voir si il ne reçoit pas d'annonce d'un MASTER. Ce comportement +est aussi présent lors de la (re)configuration même si le CARP était +master initialement. +S'il n'a rien reçu, il passe en MASTER. Ce temps est d'attente +correspond à la valeur du paramètre _advbase_ (par défaut à 1 seconde). Conséquences de cela : -* Si vous reconfigurez une interface CARP MASTER, elle va passer en BACKUP pendant _advbase_ secondes ! - => Conseil : si vous intervenez en prod sur un CARP MASTER, mettez manuellement une valeur d'advbase faible (1 à 5 secondes) +* Si on reconfigure une interface CARP MASTER, elle va passer en + BACKUP pendant _advbase_ secondes ! Il est donc judicieux avant + d'intervenir sur une machine qui est CARP MASTER, de vérifier et si + besoin ajuster le paramètre _advbase_ à une valeur très faible. -* Si vous redémarrez une machine avec des CARP BACKUP, il est probable que son réseau ne soit pas opérationnel immédiatement - (synchronisation Spanning Tree qui prend 50 secondes par défaut sur un switch CISCO par exemple) : l'interface va donc se - déclarer en MASTER après son temps d'attente, et c'est très embêtant si vous faites du firewalling à état ! - Il faut donc bien ajuster _advbase_ pour qu'il soit bien supérieur au temps d'arrivée du réseau. - On peut même imaginer avec une configuration en dur avec _advbase_ à 60 secondes par exemple, ce qui permet d'avoir des reboots transparents, - puis on reconfigure manuellement _advbase_ à 10 secondes par exemple quand tout est redémarré. +* Si on redémarre une machine avec des CARP BACKUP, il est probable + que son réseau ne soit pas opérationnel immédiatement + (synchronisation Spanning Tree qui prend 50 secondes par défaut sur + un switch CISCO par exemple). L'interface va donc se déclarer en + MASTER après son temps d'attente, et lorsque le réseau sera activera + il y aura donc un conflit entre les deux MASTER. Il faut donc bien + ajuster _advbase_ pour qu'il soit bien supérieur au temps d'arrivée + du réseau. Une manière de faire est d'eavoir une configuration en + dur avec _advbase_ à 60 secondes par exemple, ce qui permet d'avoir + des reboots transparents, puis on reconfigure manuellement _advbase_ + à 10 secondes par exemple quand tout est redémarré. ## Création d'une interface CARP dans un VLAN