<div dir="ltr"><div dir="ltr"></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jul 29, 2020 at 2:48 AM Ulrich Windl <<a href="mailto:Ulrich.Windl@rz.uni-regensburg.de">Ulrich.Windl@rz.uni-regensburg.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">>>> Reid Wahl <<a href="mailto:nwahl@redhat.com" target="_blank">nwahl@redhat.com</a>> schrieb am 29.07.2020 um 11:39 in Nachricht<br>
<<a href="mailto:CAPiuu98aDaGzDunKaSR3rchRC%2BO9MH8UqaTsn36q633nDXadMA@mail.gmail.com" target="_blank">CAPiuu98aDaGzDunKaSR3rchRC+O9MH8UqaTsn36q633nDXadMA@mail.gmail.com</a>>:<br>
> "As it stated in the comments, we don't want to halt or boot via ssh, only<br>
> reboot."<br>
> <br>
> Generally speaking, a stonith reboot action consists of the following basic<br>
> sequence of events:<br>
> <br>
>    1. Execute the fence agent with the "off" action.<br>
>    2. Poll the power status of the fenced node until it is powered off.<br>
>    3. Execute the fence agent with the "on" action.<br>
>    4. Poll the power status of the fenced node until it is powered on.<br>
> <br>
> So a custom fence agent that supports reboots, actually needs to support<br>
> off and on actions.<br>
<br>
Are you sure? Sbd can do "off" action, but when the node is off, it cannot perform an "on" action. So either you can use "off" and the node will remain off, or you use "reboot" and the node will be reset (and come up again, hopefully).<br></blockquote><div><br></div><div>I'm referring to conventional power fencing agents. Sorry for not clarifying. Conventional power fencing (e.g., fence_ipmilan and fence_vmware_soap) is most of what I see deployed on a daily basis.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> <br>
> <br>
> As Andrei noted, ssh is **not** a reliable method by which to ensure a node<br>
> gets rebooted or stops using cluster-managed resources. You can't depend on<br>
> the ability to SSH to an unhealthy node that needs to be fenced.<br>
> <br>
> The only way to guarantee that an unhealthy or unresponsive node stops all<br>
> access to shared resources is to power off or reboot the node. (In the case<br>
> of resources that rely on shared storage, I/O fencing instead of power<br>
> fencing can also work, but that's not ideal.)<br>
> <br>
> As others have said, SBD is a great option. Use it if you can. There are<br>
> also power fencing methods (one example is fence_ipmilan, but the options<br>
> available depend on your hardware or virt platform) that are reliable under<br>
> most circumstances.<br>
> <br>
> You said that when you stop corosync on node 2, Pacemaker tries to fence<br>
> node 2. There are a couple of possible reasons for that. One possibility is<br>
> that you stopped or killed corosync without stopping Pacemaker first. (If<br>
> you use pcs, then try `pcs cluster stop`.) Another possibility is that<br>
> resources failed to stop during cluster shutdown on node 2, causing node 2<br>
> to be fenced.<br>
> <br>
> On Wed, Jul 29, 2020 at 12:47 AM Andrei Borzenkov <<a href="mailto:arvidjaar@gmail.com" target="_blank">arvidjaar@gmail.com</a>><br>
> wrote:<br>
> <br>
>><br>
>><br>
>> On Wed, Jul 29, 2020 at 9:01 AM Gabriele Bulfon <<a href="mailto:gbulfon@sonicle.com" target="_blank">gbulfon@sonicle.com</a>><br>
>> wrote:<br>
>><br>
>>> That one was taken from a specific implementation on Solaris 11.<br>
>>> The situation is a dual node server with shared storage controller: both<br>
>>> nodes see the same disks concurrently.<br>
>>> Here we must be sure that the two nodes are not going to import/mount the<br>
>>> same zpool at the same time, or we will encounter data corruption:<br>
>>><br>
>><br>
>> ssh based "stonith" cannot guarantee it.<br>
>><br>
>><br>
>><br>
>>> node 1 will be perferred for pool 1, node 2 for pool 2, only in case one<br>
>>> of the node goes down or is taken offline the resources should be first<br>
>>> free by the leaving node and taken by the other node.<br>
>>><br>
>>> Would you suggest one of the available stonith in this case?<br>
>>><br>
>>><br>
>><br>
>> IPMI, managed PDU, SBD ...<br>
>><br>
>> In practice, the only stonith method that works in case of complete node<br>
>> outage including any power supply is SBD.<br>
>> _______________________________________________<br>
>> Manage your subscription:<br>
>> <a href="https://lists.clusterlabs.org/mailman/listinfo/users" rel="noreferrer" target="_blank">https://lists.clusterlabs.org/mailman/listinfo/users</a> <br>
>><br>
>> ClusterLabs home: <a href="https://www.clusterlabs.org/" rel="noreferrer" target="_blank">https://www.clusterlabs.org/</a> <br>
>><br>
> <br>
> <br>
> -- <br>
> Regards,<br>
> <br>
> Reid Wahl, RHCA<br>
> Software Maintenance Engineer, Red Hat<br>
> CEE - Platform Support Delivery - ClusterHA<br>
<br>
<br>
<br>
<br>
_______________________________________________<br>
Manage your subscription:<br>
<a href="https://lists.clusterlabs.org/mailman/listinfo/users" rel="noreferrer" target="_blank">https://lists.clusterlabs.org/mailman/listinfo/users</a><br>
<br>
ClusterLabs home: <a href="https://www.clusterlabs.org/" rel="noreferrer" target="_blank">https://www.clusterlabs.org/</a><br>
<br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div>Regards,<br><br></div>Reid Wahl, RHCA<br></div><div>Software Maintenance Engineer, Red Hat<br></div>CEE - Platform Support Delivery - ClusterHA</div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>