* nix Tolerância a falhas CARP ou VMWare?

5

Estamos experimentando o que o VMWare chamou de "DMZ totalmente desmoronada" no centro da blade. Basicamente, nossa DMZ vai direto para um vSwitch e todos os appliances de segurança são virtualizados.

Passei dias lendo sobre o porquê de ser uma boa ideia e porque é uma má ideia, o que precisa ser feito para torná-la segura, etc., mas a única coisa que estou tendo dificuldade em encontrar é a informação sobre o melhor método de tolerância a falhas.

Nosso firewall de ponta escolhido é o pfSense que suporta o CARP. Temos 10 blades no cluster, por isso é bastante viável ter dois ou até três firewalls pfSense com VMWare HA ativados e configurados internamente com o CARP que assumem um ao outro no caso de uma falha do blade. Mas isso parece um monte de sobrecarga administrativa e eu sou um cara não confiante, então isso significa que eu vou estar logando em múltiplos firewalls toda semana para ter certeza que todas as nossas regras, etc., tenham sido espelhadas.

Mas por que se incomodar com o CARP quando o FT da VMWare (mesmo com seu único déficit de vCPU) fornecerá todos os recursos do CARP e, quanto possível, menos gerenciamento, estresse e preocupação com meu trabalho.

tl; dr:

Existe alguma razão convincente para usar o CARP sobre o FT, ou vice-versa, para um firewall baseado em software?

    
por Mark Henderson 11.11.2010 / 23:36

3 respostas

3

Embora eu tenha tocado com o FT por muito tempo, ainda não encontrei um uso real para ser honesto. Não apenas a única coisa da vCPU é uma dor, mas a quantidade de cisalhamento do tráfego de rede gerado é surpreendente. Você realmente acaba usando a maioria de um link GigE apenas para FT, então você acaba jogando o seu tráfego vMotion em outro vswitch - fazendo a coisa toda uma dor na parte traseira para ser honesto. Minha outra preocupação é que o FT apenas protege você contra falhas físicas, se a VM FT'ed cair por qualquer motivo, você ainda perderá o serviço, pois a interrupção será perfeitamente espelhada na VM secundária.

Eu sou um cara cauteloso quando se trata de sistemas de produção e só não acho que o FT vale a pena agora, espero que mude, mas prefiro ter outros sistemas como clustering / VIPs etc. p>

Ah, e não se preocupe com DMZs recolhidos, se você estiver usando um dos produtos vShield, eu pessoalmente acho que eles são tão seguros quanto qualquer caixa Cisco.

    
por 11.11.2010 / 23:59
2

O CARP é realmente projetado para permitir que seus hosts detectem se o NIC de rede do outro host está off-line (o que geralmente ocorre quando o host físico está inativo, mas não necessariamente)

A vantagem de usar o CARP sobre o VMWare FT seria se o VMWare FT se comportasse de maneira diferente quando a NIC falhasse.

Se você estiver confortável com a execução do seu firewall em uma VM, a única preocupação que eu teria seria o comportamento do FT em uma falha na NIC. Se uma falha na placa de rede não forçar o FT a realizar failover, reterei o CARP.

    
por 11.11.2010 / 23:58
2

Além do que Chris S mencionou, com o qual eu concordo, também gostaria de ir com o CARP porque o que acontece quando você está atualizando um firewall ou fazendo qualquer outro tipo de manutenção que requer uma reinicialização ou desligar? Com o FT, você está inativo enquanto reinicia, com o CARP, é completamente transparente. Ou se você precisar mudar alguma coisa na VM que não pode ser feita enquanto estiver ao vivo, você tem que cortar tudo. Use CARP e você está em boa forma em todos esses cenários. O FT é principalmente para proteger contra falhas de hardware, onde o CARP acomoda todas as necessidades de manutenção imagináveis, sem tempo de inatividade, além de proteção contra falhas de hardware.

    
por 12.11.2010 / 07:36