[lacnog] Migración del core RPKI de LACNIC - 15 de abril 2024

Lucimara Desiderá lucimara en cert.br
Mar Abr 9 16:02:11 -03 2024


On 08/04/2024 17:37, Carlos Martinez-Cagnazzo wrote:
> Hola a todos,
> 
> Este es un mensaje con mayor información técnica que complementa el 
> anuncio publicado en el web de LACNIC en 
> [https://www.lacnic.net/7147/1/lacnic/migracion-a-nuevo-sistema-rpki-de-lacnic]
> 
> El 15 de abril de 2024, comenzando aproximadamente a las 9.30 a.m. 
> UTC-3, LACNIC migrará nuestro actual sistema de RPKI actual a un nuevo 
> core RPKI basado en Krill. En la gran mayoría de los casos, no se 
> requerirá ninguna acción de su parte (ver más abajo algunos casos 
> particulares).
> 
> Lo que sigue es una lista de eventos que tendrán lugar y que pueden ser 
> de interés.
> 
>        * Nuestro archivo TAL no cambiará en este momento. No es 
> necesario cambiar nada en su configuración actual.
>        * Nuestro certificado RTA, manteniendo la vieja clave, apuntará a 
> un nuevo manifiesto.
> 
> 
> Lo que los validadores verán es la siguiente secuencia de eventos:
> 
>        * En un instante T0 (20240415 09:30UTC-3), todos nuestros 
> servidores actuales (tanto RRDP como rsync) se apagarán devolviendo 
> "connection refused" tanto para http (rrdp) como para rsync.
>        * Se publicarán nuevos valores para los registros DNS (mismos 
> nombres, diferentes IPs).
>        * Aproximadamente en T0+30min, los servidores que escuchan en las 
> nuevas IPs serán iniciados y comenzarán a servir el repositorio 
> producido por el nuevo sistema basado en Krill. Cuando se conecten por 
> primera vez, los RPs verán una nueva sesión RRDP y continuarán operando 
> normalmente
> 
> Hemos probado este flujo de migración usando un conjunto de contenedores 
> docker más un contenedor de servidor DNS utilizando dnsmasq server que 
> nos permite modificar registros dinámicamente. En todos los casos que 
> hemos probado, este flujo funciona sin problemas.
> 
> Probamos este flujo de migración con los siguientes validadores:
> 
>        * rpki-client desde "latest" hasta 8.2.
>        * routinator desde "latest" hasta 0.8.
>        * fort desde "latest" hasta 1.5.0.
> 
> 
> Lo que no hemos probado:
> 
>        * El validador rpki de RIPE: Hace tres años que ha sido 
> deprecado. No deberían estar usándolo y lo saben :-) De cualquier 
> manera, debería funcionar.
>        * OctoRPKI: también ha sido recientemente deprecado.
>        * Rpki-prover.
>        * RIPSTR.
> 
> Todos los validadores mencionados deberían funcionar. Sin embargo, 
> tengan en cuenta lo siguiente: Si están ejecutando alguno de los estos y 
> notan problemas, solo limpien la caché local, inicien una instancia 
> vacía de su validador y este debería iniciar sin problemas.
> 
> Hemos configurado una casilla de correo electrónico específica para este 
> trabajo de migración: rpki-migracion en lacnic.net.
> 
> Esta casilla será monitoreada frecuentemente durante el 15 de abril y 
> los días siguientes. Una vez que estemos seguros de que todos los 
> problemas que puedan surgir de la migración hayan sido abordados la 
> daremos de baja.
> 
> Para aquellos interesados, los nuevos servidores ya están en línea y 
> pueden ser usados para validar. Se pueden alcanzar a través de los 
> siguientes nombres DNS:
> 
>        * lb-us-mia.rrdp.lacnic.net
>        * lb-us-southeast.rrdp.lacnic.net
>        * lb-br-gru.rrdp.lacnic.net
> 
> No esperen ver los mismos VRPs que ven ahora en nuestro servidor de 
> producción actual, hay diferencias que son esperables. Tampoco “hard 
> codeen”  esto de manera fija, ya que eventualmente estos nombres pueden 
> cambiar o nuevos servidores pueden que sean agregados.
> 
> ¡Gracias a todos!
> 
> /Carlos
> 
> 
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog


Más información sobre la lista de distribución LACNOG