<div dir="ltr"><div>"As it stated in the comments, we don't want to halt or boot via ssh, only reboot."</div><div><br></div><div>Generally speaking, a stonith reboot action consists of the following basic sequence of events:<br></div><div><ol><li>Execute the fence agent with the "off" action.</li><li>Poll the power status of the fenced node until it is powered off.</li><li> Execute the fence agent with the "on" action.</li><li>Poll the power status of the fenced node until it is powered on.</li></ol><div>So a custom fence agent that supports reboots, actually needs to support off and on actions.</div><div><br></div><div><br></div><div>As Andrei noted, ssh is **not** a reliable method by which to ensure a node gets rebooted or stops using cluster-managed resources. You can't depend on the ability to SSH to an unhealthy node that needs to be fenced.</div><div><br></div><div>The only way to guarantee that an unhealthy or unresponsive node stops all access to shared resources is to power off or reboot the node. (In the case of resources that rely on shared storage, I/O fencing instead of power fencing can also work, but that's not ideal.)<br></div><div><br></div><div>As others have said, SBD is a great option. Use it if you can. There are also power fencing methods (one example is fence_ipmilan, but the options available depend on your hardware or virt platform) that are reliable under most circumstances.</div><div><br></div><div>You said that when you stop corosync on node 2, Pacemaker tries to fence node 2. There are a couple of possible reasons for that. One possibility is that you stopped or killed corosync without stopping Pacemaker first. (If you use pcs, then try `pcs cluster stop`.) Another possibility is that resources failed to stop during cluster shutdown on node 2, causing node 2 to be fenced.<br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jul 29, 2020 at 12:47 AM Andrei Borzenkov <<a href="mailto:arvidjaar@gmail.com">arvidjaar@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:arial,sans-serif"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jul 29, 2020 at 9:01 AM Gabriele Bulfon <<a href="mailto:gbulfon@sonicle.com" target="_blank">gbulfon@sonicle.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div style="font-family:Tahoma;font-size:14px;color:rgb(0,0,0)">That one was taken from a specific implementation on Solaris 11.</div>
<div style="font-family:Tahoma;font-size:14px;color:rgb(0,0,0)">The situation is a dual node server with shared storage controller: both nodes see the same disks concurrently.</div>
<div style="font-family:Tahoma;font-size:14px;color:rgb(0,0,0)">Here we must be sure that the two nodes are not going to import/mount the same zpool at the same time, or we will encounter data corruption:</div></div></blockquote><div><br></div><div><div style="font-family:arial,sans-serif" class="gmail_default">ssh based "stonith" cannot guarantee it. <br></div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div style="font-family:Tahoma;font-size:14px;color:rgb(0,0,0)"> node 1 will be perferred for pool 1, node 2 for pool 2, only in case one of the node goes down or is taken offline the resources should be first free by the leaving node and taken by the other node.</div>
<div style="font-family:Tahoma;font-size:14px;color:rgb(0,0,0)"> </div>
<div style="font-family:Tahoma;font-size:14px;color:rgb(0,0,0)">Would you suggest one of the available stonith in this case?</div>
<div style="font-family:Tahoma;font-size:14px;color:rgb(0,0,0)"> </div></div></blockquote><div><br></div><div><div style="font-family:arial,sans-serif" class="gmail_default">IPMI, managed PDU, SBD ...</div><br></div><div style="font-family:arial,sans-serif" class="gmail_default">In practice, the only stonith method that works in case of complete node outage including any power supply is SBD.</div></div></div>
_______________________________________________<br>
Manage your subscription:<br>
<a href="https://lists.clusterlabs.org/mailman/listinfo/users" rel="noreferrer" target="_blank">https://lists.clusterlabs.org/mailman/listinfo/users</a><br>
<br>
ClusterLabs home: <a href="https://www.clusterlabs.org/" rel="noreferrer" target="_blank">https://www.clusterlabs.org/</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div>Regards,<br><br></div>Reid Wahl, RHCA<br></div><div>Software Maintenance Engineer, Red Hat<br></div>CEE - Platform Support Delivery - ClusterHA</div></div></div></div></div></div></div></div></div></div></div></div></div></div>