Недоступна пассивная нода кластера

[siili38]

Добрый день, коллеги!
С прошедшими и с наступающими.

Итак, к вопросу. Вводные.
1. Есть кластер на hw1000.
2. Цимус в чём. Все прелести жизни.
- Четыре года назад поднят и настроен кластер, настроен коммутатор стоящий перед ним.
- Что имеем. Скачки электропитания, в результате которых несохраненная конфига коммутатора слетела. Пофикшена.
- Сервисный порт, где исходя из sendconfig заливалась конфига на пассивную ноду. И закрытый icmp на пассивной ноде (а заливалась ли).
3. Активная нода тянет работу, с ней всё ок.
- Пассивная нода не доступен. Все интерфейсы включены, но пинги с нее и на нее не идут, arp таблица на 2960-24 стоящем за ней не строится.
- Сервисный порт с активной ноды так же не пингуется. С пассивной не пингуется сервисный порт активной.
- Сервисный порт подключали и прямым и кроссом.
- На пассивной ноде в правилах firewall не разрешен пинг сервисного порта, которым соединены координаторы кластера. Видимо исторически так собрали.
4. На коммутаторе:
- Порт локальной сети, порт випнет и порт провайдера, после слета конфиги, какое-то время были в ауте, по ним никакого обмена данных с пассивным узлом не было.
- На активном узле порты встали после скачков напряжения нормально, тк конфига по ним была сохранена.
- На текущий момент порты пассивной ноды на коммутаторе настроены. Но интерфейсы пассивной ноды не доступны, хотя на ней самой мониторятся как up, connected.
5. И естественно на время скачек электричества пришелся плановый период смены админского пароля. Который пассивная нода не получила. Пока разобрались, старый админ протух, enable не доступен. Поправить конфиги на ней теперь нельзя, старые пароли не принимаются. Биос заблочен, и единственный варик - откат назад во времени по ntp, подкинуть старого админа, поправить настройки, вернуть в кластер.
6. Демоны.
- При остановленных на пассиве failover, iplir, mftp ситуация не меняется. С пассива я не пингую сеть вокруг себя, даже коммутатор и шлюз.
- При останове failover, iplir, mftp на активном и пассивном ситуация не меняется.
7. ЦУС
- Создать новый узел, отключив iplir и failover пробовал. Просто failover пробовал.
- Создать новый узел, положив активную ноду и тормознув демонов на пассивной пробовал. По сети ничего он получать не хочет.

Сам вопрос.
У меня два варианта решения в голове на текущий момент.
1. Создать отдельную подсеть, чтоб попробовать подцепить пассивную ноду к ntp, положив iplir и failover. И зайдя под старым админом менять конфиги файрвола на сервисном порту, а потом пытаться вернуть в кластер. Смущает то, что интерфейсы сейчас не доступны. и отключение failover ничего не меняет.
2. Переустанавливать пассивную ноду.

Если я не прав, подскажите, что я не так понимаю. Если у кого-нибудь есть схожий печальный опыт, буду признателен.
Сдается мне я уже очень сильно туплю, и не вкуриваю нюансы технологии.
Спасибо!

[R.Sheyn]

Не помню должны ли пинговать ноды друг друга по хартбиту, но все требуемые правила для работы в кластера в firewall прописываются автоматически. Как минимум по ssh с активной на пассивную по хартбиту зайти можно.

На пассивной ноде весь трафик, за исключением трафика по хартбит порту запрещен, можете даже не пытаться что-то пинговать на прод интерфейсах. И остановка failover этого не меняет, поможет только vpn stop, но он только из под enable.

Что в такой ситуации делать? Выключить активную, пассивная перейдет в активный режим. Если ключи не менялись, то должа стать доступна для админа, сфортируйте в УКЦ ключи и через ЦУС отправьте, ключи дойдут, применятся и пароль админа обновится.

Если же пассивная при переходе в активный режим не стала доступной по причине измененных ключей, то понадобится бэкап админа, где эти ключи старые. Если бэкапа нет, то только перепрошивка через СЦ.