Loadbalancer sollten immer redundant betrieben werden. Um zwei Netscaler im HA-Modus zu betreiben sind einige Konfigurationen auf der CLI erforderlich.
Folgende Management-Adressen besitzen die Netscaler im Beispiel:
- ADC1 - 10.10.20.11
- ADC2 - 10.10.20.12
Es wurden im Part 1 jeweils zwei SNIPs eingerichtet (10.10.20.21 und 10.10.20.22). Die SNIP vom ADC2 wird automatisch entfernt werden. ADC1 wird als Master sämtliche Konfigurationen auf ADC2 synchronisieren. ADC1 wird immer Primär sein, ADC2 immer Sekundär.
Alle Interfaces der Netscaler müssen auf UP/UP stehen. Alle Lizenzen müssen gleich sein.
ADC1
1
2
3
4
5
6
7
8
9
10
ssh nsroot@10.10.20.11
> set ha node -haStatus STAYPRIMARY
Done
> set ha node 1 10.10.20.12 -INC DISABLED
Done
> set ha node -haSync ENABLED
Done
> set ha node -failSafe ON
Done
ADC2
1
2
3
4
5
6
7
8
ssh nsroot@10.10.20.12
> set ha node -haStatus STAYSECONDARY
Done
> add ha node 1 10.10.20.11 -INC DISABLED
Done
> set ha node failSafe ON
Done
Jetzt kann der HA-Status geprüft werden:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
>show ha nodes
1) Node ID: 0
IP: 10.10.20.11 (ADC1)
Node State: UP
Master State: Primary
Fail-Safe Mode: ON
INC State: DISABLED
Sync State: ENABLED
Propagation: ENABLED
Enabled Interfaces : 0/1 1/1
Disabled Interfaces : None
HA MON ON Interfaces : None
HA HEARTBEAT OFF Interfaces : None
Interfaces on which heartbeats are not seen : None
Interfaces causing Partial Failure: None
SSL Card Status: NOT PRESENT
Sync Status Strict Mode: DISABLED
Hello Interval: 200 msecs
Dead Interval: 3 secs
Node in this Master State for: 0:0:42:13 (days:hrs:min:sec)
2) Node ID: 1
IP: 10.10.20.12
Node State: UP
Master State: Secondary
Fail-Safe Mode: ON
INC State: DISABLED
Sync State: SUCCESS
Propagation: ENABLED
Enabled Interfaces : 0/1 1/1
Disabled Interfaces : None
HA MON ON Interfaces : None
HA HEARTBEAT OFF Interfaces : None
Interfaces on which heartbeats are not seen : None
Interfaces causing Partial Failure: None
SSL Card Status: NOT PRESENT
Done
Jetzt kann sich per Browser auf den ADC1 eingeloggt werden. Oben, rechts sollte “HA Status Primary” stehen.
Auf ADC2 sollte “HA Status Secondary” stehen, gleichzeitig sollte eine Warnung ausgegeben werden, dass das System nicht das Primäresystem ist.
Es sollte einmal die Konfiguration synchronisiert werden.
ADC1
1
2
3
4
ssh nsroot@10.10.20.12
> force ha sync
Done
Die SNIP 10.10.20.22 vom ADC2 wurde entfernt. Die Management-SNIP vom ADC1 (10.10.20.21) ist jetzt aktiv. Diese kann als Zugriff auf den jeweils aktiven Netscaler verwendet werden. Dies hat den Vorteil, dass bei Ausfall des ADC1 automatisch der Zugriff auf ADC2 ermöglicht wird.
Unter System -> Network -> IPs wird die SNIP ausgewählt und editiert. Es werden die Managementdienste aktiviert.
Anschließend kann sich per https://10.10.20.21 auf dem aktiven Netscaler eingeloggt werden. ADC1 kann jetzt testweise per shutdown heruntergefahren werden, der Zugriff auf die Netscaler Konfiguration ist weiterhin möglich. Lediglich die aktive Websession wird unterbrochen, man muss sich neu einloggen.
Damit ist der Netscaler im HA-Modus.
Jetzt müssen die RPC-Nodes abgesichert werden, da diese im Klartext und mit Default-Passwörtern laufen.
ADC1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
ssh nsroot@10.10.20.11
> show rpcnode
1) IPAddress: 10.10.20.11
Password: d70697ab60f6f3ce629a33e1029045a3b8ce350ac98938c52f685a444245
cb48072cbd7cdfa50d7bf7851469fbd13c81 SrcIP: 10.10.20.11
Secure: OFF
2) IPAddress: 10.10.20.12
Password: f7581b7a735728e67c33915c1f5d9aef033e137f424bea3d111584e65633
308a8b54668e8ce8b98bc195cbde8f08b52a SrcIP: 10.10.20.11
Secure: OFF
Done
> set rpcnode 10.10.20.11 -password Geheim
Done
> set rpcnode 10.10.20.12 -password Geheim
Done
> set rpcnode 10.10.20.11 -secure YES
Done
> set rpcnode 10.10.20.12 -secure YES
Done
ADC2
1
2
3
4
5
6
7
8
9
10
ssh nsroot@10.10.20.11
> set rpcnode 10.10.20.11 -password Geheim
Done
> set rpcnode 10.10.20.12 -password Geheim
Done
> set rpcnode 10.10.20.11 -secure YES
Done
> set rpcnode 10.10.20.12 -secure YES
Done
Anschließend ist die RPC Übertragung gesichert.
1
2
3
4
5
6
7
8
9
> show rpcnode
1) IPAddress: 10.10.20.12
Password: 75f8cdc7992474a85c5d93b9a13ab9c9e16c1ca09bb4954bbb25778cba84
9013 SrcIP: 10.10.20.12 Secure: ON
2) IPAddress: 10.10.20.11
Password: 9e7d99ab308cc1e26594cd35e58c76a5c2564298bf4bb13ffbe16971b4cb
cd91 SrcIP: 10.10.20.12 Secure: ON
Done