DotW: Was ist Peer-Split-Brain?

DotW: Was ist Peer-Split-Brain?

77414
Created On 09/25/18 19:02 PM - Last Modified 06/07/23 04:36 AM


Resolution


I'Ich bin sicher, dass viele von Ihnen auf dieses Problem gestoßen sind. Eine bestimmte Fehlermeldung wird angezeigt, aber es ist nicht klar, was genau sie bedeutet. Es ist besonders verwirrend, wenn Sie eine ziemlich beunruhigende Nachricht sehen, aber Sie haben keine Probleme. Genau das ist vor einiger Zeit mit dem Community-Mitglied @zewwy passiert. Die Diskussion wurde letzte Woche reaktiviert, weil neue Benutzer ähnliche und/oder Folgefragen zum Thema hatten:

 

BildschirmFoto 2016-08-29 bei 14.07.38. pngDiskussion der Woche

 

Lassen Sie uns zunächst einmal erklären, was "geteiltes Gehirn" genau ist.  

 

Split Gehirnbedingungen treten auf, wenn HA Mitglieder nicht mehr miteinander kommunizieren können, um HA Überwachungsinformationen auszutauschen. Jedes Mitglied geht davon aus, dass sich HA das andere Mitglied in einem nicht-funktionalen Zustand befindet und als Aktiv ( / ) oder A P Active-Primary ( A / A ) übernimmt.

 

Split-Hirn-Bedingungen können verhindert werden, indem ein HA1-Backup-Link konfiguriert und/oder Heartbeat Backup aktiviert wird.

 

Benutzer @mivaldi gab eine gute Erklärung und fügte hinzu, dass der Grund für einen HA1-Linkfehler nicht auf physische Probleme beschränkt ist.  

Es kann auch passieren, wenn der ha_agent-Prozess beschäftigt ist und HA1 Funktionen nicht verarbeiten kann. In diesem Fall ist es nützlich, die Sicherung Heartbeat Backup über den Port zu MGMT haben, da die Heartbeat-Funktion ICMP Sonden sendet und diese vom Systemkernel und nicht vom ha_agent Prozess verarbeitet werden.

 

Die empfohlene Konfiguration für die HA Steuerverbindungsverbindung besteht darin, die dedizierte HA1-Verbindung zwischen den beiden Geräten zu verwenden und den Verwaltungsport als Control Link HA (Backup)-Schnittstelle zu verwenden. In diesem Szenario müssen Sie die Heartbeat-Backup-Option in der Wahl-Einstellungsseite nicht aktivieren. Wenn Sie einen physischen HA1-Port für den Link "Steuerverknüpfung" HA und einen Datenport für Control Link HA (Backup) verwenden, wird empfohlen, die Option Heartbeat Backup auf der Seite Wahleinstellungen zu aktivieren. Ein Beispiel für das erste Szenario finden Sie im Screenshot unten:

 

BildschirmFoto 2016-08-29 bei 15.06.46. pngHA Beispiel

 

Für Geräte, die nicht über einen dedizierten Port verfügen, z. B. HA den , sollten Sie den PA-200 firewall Verwaltungsport für die Control HA Link-Verbindung konfigurieren und eine Datenportschnittstelle mit Typ HA für die Control Link HA1 Backup-Verbindung konfigurieren. Da in diesem Fall der Management-Port verwendet wird, ist es nicht notwendig, die Heartbeat-Backup-Option in der Wahl-Einstellungsseite zu aktivieren, da die Heartbeat-Backups bereits über die Management-Interface-Verbindung erfolgen.
 
Auf der VM- Serie in wird der firewall AWS Verwaltungsport als HA1-Link verwendet.
 
Wenn Sie einen Datenport für die HA Steuerverknüpfung verwenden, sollten Sie sich bewusst sein, dass, da die Steuermeldungen von der Datenebene zur Verwaltungsebene kommunizieren müssen, bei einem Fehler in der Datenebene HA die Informationen zur Steuerung nicht zwischen Geräten kommunizieren können und ein Failover auftritt. Es ist am besten, die dedizierten Ports oder auf Geräten zu verwenden, die HA keinen dedizierten Port HA haben, den Verwaltungsport zu verwenden.

 

Die Diskussion wurde von der Benutzer@TranceforLifereaktiviert: Was passiert, wenn die HA1-Kommunikation wiederhergestellt wird?

 

Unsere eigene @jdelio antwortete:

Wenn Sie steuern möchten, welches Mitglied zuerst aktiv wird, müssen Sie die Preemtive-Einstellungen in Device > High Availability > Allgemeine >-Wahleinstellungen konfigurieren.

 

BildschirmFoto 2016-08-29 bei 14.44.18. pngPreemption

 

Wir haben bereits eine große Reihe von Dokumenten, die alles erklären, was Sie wissen müssen HA und wie Sie es konfigurieren. Achten Sie darauf, diese auszuchecken, wenn Sie weitere Fragen haben.

Konfigurieren von Active - Passive HA
Konfiguration Aktiv - AktivHA

Die komplette Diskussion können Sie hier verfolgen:

https://live.paloaltonetworks.com/t5/General-Topics/What-is-Peer-Split-Brain/m-p/19825#U19825
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSuCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language