<div dir="ltr">Hi Klaus and thank you for your response.<br><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jun 26, 2014 at 10:45 AM, Klaus Darilion <span dir="ltr"><<a href="mailto:klaus.mailinglists@pernau.at" target="_blank">klaus.mailinglists@pernau.at</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><br>
<br>
On <a href="tel:25.06.2014%2015" value="+12506201415">25.06.2014 15</a>:13, Emil Natan wrote:<br>
> Hello,<br>
><br>
> My goal is to replicate the ODS configuration between two nodes, one is<br>
> active with ODS running and one passive where ODS is not running.<br>
><br>
> <a href="https://wiki.opendnssec.org/display/DOCS/High+availability" target="_blank">https://wiki.opendnssec.org/display/DOCS/High+availability</a><br>
><br>
> ... states under the "What to copy" section:<br>
><br>
> "The state data - the minimum data required are the signconf files<br>
> (default location is the  /var/opendnssec/signconf directory)"<br>
><br>
> I see the files under signconf actually contain configuration copied<br>
> from kasp.conf and information about the keys which is stored in the<br>
> database (in my case MySQL). If missing these files, they are<br>
> automatically created when the enforcer starts. My point is I do not see<br>
> a reason to copy these files from one machine to another if they are<br>
> created when the enforcer starts. Can I really omit this step or I'm<br>
> missing something?<br>
<br>
</div></div>How will the enforcer on the backup server know which are the currently<br>
used keys? E.g. how many key rollovers were done meanwhile?<br>
<br></blockquote><div>I'm not sure I got your point. Information about the keys is stored in the database which is replicated on the backup server. When the enforcer is started it reads that information and it's configuration files and creates the signconf xml files used by the signer including pointers to the keys currently used for signing. Am I missing something?</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
We have the signer running on both servers, but the enforcer only runs<br>
on the main server. And the output files of the enforcer are rsynced to<br>
the backup server. When the backup becomes the master, we start the<br>
enforcer on the backup server and switch the rsync direction.<br>
<br></blockquote><div>I'm considering that scenario as well. The problem which I have to resolve is when to rsync the xml-s created by the enforcer. Using a cronjob to run rsync at some intervals is not ideal because it can create a gap when the files are changed and something happens with the active server before the rsync is invoked. Another option is to use a shared storage as DRBD, but my experience with DRBD is not so positive. Now I'm considering to use Inotify to trigger the rsync. Can you please share how are you managing the rsync process, I mean how/when do you trigger the process?</div>
<div>Thanks.</div><div><br></div><div>Emil</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
regards<br>
<span class="HOEnZb"><font color="#888888">Klaus<br>
</font></span></blockquote></div><br></div></div>