Mein "Problem" ist jetzt (vermutlich) nicht für die neue Version 7.0 spezifisch, aber da es sich um ein komplett neues "Projekt" handelt, habe ich gleich die neue Version ESXi 7.0 installiert.
Leider habe ich etwas ein Verständnisproblem hinsichtlich des NIC-Failovers. Als Beispiel folgender Aufbau:
- 1x Server mit 2 NIC's
- 2x Firewall im Cluster active/passive (master/slave)
Anzumerken ist dass die "passive" (slave) Firewall an seinen interfaces immer einen "uplink" hat - sie ignoriert einfach alle Datenpakete.
NIC1 => direkt an Interface1 von FW1 (active/master) angeschlossen
NIC2 => direkt an Interface1 von FW2 (passive/slave) angeschlossen
D.h. der gesamte Datenverkehr läuft über FW1 + NIC1. Wenn FW1 ausfällt oder einen Reboot durchführt, dann übernimmt FW2 + NIC2 => zu Beachten ist eben, dass die jeweils passive Firewall (solange diese "up" ist) immer einen "uplink" am interface hat.
Für die Konfiguration am ESXi Host habe ich dafür folgende Anleitung gefunden (Hier wird ein Beispiel für die zwei physische NIC's angegeben):
Praxishandbuch VMware vSphere 6.7
Grundsätzlich funktioniert mein Setting auch nur, wenn ich wie im Buch beschrieben bei "vSwitch0" beide NIC's als Aktiv kennzeichne. Zusätzlich habe ich bei "Netzwerk-Failover-Ermittlung" auf "Nur Signal" eingestellt - weil ja die passive Firewall immer einen uplink hat.
Im Buch wird dann beschrieben, dass man beim Mangament-Network bei NIC's auf Aktiv stellt und beim VM-Network eine NIC auf Aktiv und die andere auf Passiv.
In meinem Versuch ist es völlig egal, ob ich bei der Portgruppe (egal welche) auf NIC1 + NIC2 = aktiv oder NIC1 = aktiv, NIC2 = passiv einstelle - funktionieren tut es immer in beiden Fällen richtig. Unten angehängt meine aktuelle Konfiguration.
Da ich nicht blind irgendwelche Einstellungen ohne jegliche Erklärung aus dem Buch übernehmen will (was dann eventuell später in gewissen Situationen Folgen haben könnte), hätte ich ein paar Fragen:
- Warum müssen bei vSwitch0 beide NIC Aktiv sein? (andernfalls funktioniert es bei mir ja auch nicht)
- Wieso sind laut Buch VM-Network und Managment-Network unterschiedlich zu konfigurieren?
- Mir ist auch nicht ganz klar warum es bei VM-Network/Managment-Network egal ist, ob ich Aktiv+Aktiv oder Aktiv+Passiv einstelle?
- Ich habe ja in Wirklichkeit eine Aktive und Passive physische NIC - müsste dann nicht irgendwo (vSwitch/Portgruppe) zwingend NIC als passiv markiert sein? Oder ist das egal weil die "Signalprüfung" die zweite NIC ohnehin inaktiv setzt?
LG phoniex