[lacnog] Migración del core RPKI de LACNIC - 15 de abril 2024
Carlos Martinez-Cagnazzo
carlos en lacnic.net
Lun Abr 8 17:37:06 -03 2024
Hola a todos,
Este es un mensaje con mayor información técnica que complementa el
anuncio publicado en el web de LACNIC en
[https://www.lacnic.net/7147/1/lacnic/migracion-a-nuevo-sistema-rpki-de-lacnic]
El 15 de abril de 2024, comenzando aproximadamente a las 9.30 a.m.
UTC-3, LACNIC migrará nuestro actual sistema de RPKI actual a un nuevo
core RPKI basado en Krill. En la gran mayoría de los casos, no se
requerirá ninguna acción de su parte (ver más abajo algunos casos
particulares).
Lo que sigue es una lista de eventos que tendrán lugar y que pueden ser
de interés.
* Nuestro archivo TAL no cambiará en este momento. No es
necesario cambiar nada en su configuración actual.
* Nuestro certificado RTA, manteniendo la vieja clave, apuntará a
un nuevo manifiesto.
Lo que los validadores verán es la siguiente secuencia de eventos:
* En un instante T0 (20240415 09:30UTC-3), todos nuestros
servidores actuales (tanto RRDP como rsync) se apagarán devolviendo
"connection refused" tanto para http (rrdp) como para rsync.
* Se publicarán nuevos valores para los registros DNS (mismos
nombres, diferentes IPs).
* Aproximadamente en T0+30min, los servidores que escuchan en las
nuevas IPs serán iniciados y comenzarán a servir el repositorio
producido por el nuevo sistema basado en Krill. Cuando se conecten por
primera vez, los RPs verán una nueva sesión RRDP y continuarán operando
normalmente
Hemos probado este flujo de migración usando un conjunto de contenedores
docker más un contenedor de servidor DNS utilizando dnsmasq server que
nos permite modificar registros dinámicamente. En todos los casos que
hemos probado, este flujo funciona sin problemas.
Probamos este flujo de migración con los siguientes validadores:
* rpki-client desde "latest" hasta 8.2.
* routinator desde "latest" hasta 0.8.
* fort desde "latest" hasta 1.5.0.
Lo que no hemos probado:
* El validador rpki de RIPE: Hace tres años que ha sido
deprecado. No deberían estar usándolo y lo saben :-) De cualquier
manera, debería funcionar.
* OctoRPKI: también ha sido recientemente deprecado.
* Rpki-prover.
* RIPSTR.
Todos los validadores mencionados deberían funcionar. Sin embargo,
tengan en cuenta lo siguiente: Si están ejecutando alguno de los estos y
notan problemas, solo limpien la caché local, inicien una instancia
vacía de su validador y este debería iniciar sin problemas.
Hemos configurado una casilla de correo electrónico específica para este
trabajo de migración: rpki-migracion en lacnic.net.
Esta casilla será monitoreada frecuentemente durante el 15 de abril y
los días siguientes. Una vez que estemos seguros de que todos los
problemas que puedan surgir de la migración hayan sido abordados la
daremos de baja.
Para aquellos interesados, los nuevos servidores ya están en línea y
pueden ser usados para validar. Se pueden alcanzar a través de los
siguientes nombres DNS:
* lb-us-mia.rrdp.lacnic.net
* lb-us-southeast.rrdp.lacnic.net
* lb-br-gru.rrdp.lacnic.net
No esperen ver los mismos VRPs que ven ahora en nuestro servidor de
producción actual, hay diferencias que son esperables. Tampoco “hard
codeen” esto de manera fija, ya que eventualmente estos nombres pueden
cambiar o nuevos servidores pueden que sean agregados.
¡Gracias a todos!
/Carlos
------------ próxima parte ------------
Se ha borrado un mensaje adjunto que no está en formato texto plano...
Nombre : OpenPGP_0xC6FDD1FBDBBA2907.asc
Tipo : application/pgp-keys
Tamaño : 5812 bytes
Descripción: OpenPGP public key
Url : <https://mail.lacnic.net/pipermail/lacnog/attachments/20240408/ab277a3a/attachment.key>
------------ próxima parte ------------
Se ha borrado un mensaje adjunto que no está en formato texto plano...
Nombre : OpenPGP_signature.asc
Tipo : application/pgp-signature
Tamaño : 840 bytes
Descripción: OpenPGP digital signature
Url : <https://mail.lacnic.net/pipermail/lacnog/attachments/20240408/ab277a3a/attachment.sig>
Más información sobre la lista de distribución LACNOG