[lacnog] Migración del core RPKI de LACNIC - 15 de abril 2024
Lucimara Desiderá
lucimara en cert.br
Mar Abr 9 16:02:11 -03 2024
On 08/04/2024 17:37, Carlos Martinez-Cagnazzo wrote:
> Hola a todos,
>
> Este es un mensaje con mayor información técnica que complementa el
> anuncio publicado en el web de LACNIC en
> [https://www.lacnic.net/7147/1/lacnic/migracion-a-nuevo-sistema-rpki-de-lacnic]
>
> El 15 de abril de 2024, comenzando aproximadamente a las 9.30 a.m.
> UTC-3, LACNIC migrará nuestro actual sistema de RPKI actual a un nuevo
> core RPKI basado en Krill. En la gran mayoría de los casos, no se
> requerirá ninguna acción de su parte (ver más abajo algunos casos
> particulares).
>
> Lo que sigue es una lista de eventos que tendrán lugar y que pueden ser
> de interés.
>
> * Nuestro archivo TAL no cambiará en este momento. No es
> necesario cambiar nada en su configuración actual.
> * Nuestro certificado RTA, manteniendo la vieja clave, apuntará a
> un nuevo manifiesto.
>
>
> Lo que los validadores verán es la siguiente secuencia de eventos:
>
> * En un instante T0 (20240415 09:30UTC-3), todos nuestros
> servidores actuales (tanto RRDP como rsync) se apagarán devolviendo
> "connection refused" tanto para http (rrdp) como para rsync.
> * Se publicarán nuevos valores para los registros DNS (mismos
> nombres, diferentes IPs).
> * Aproximadamente en T0+30min, los servidores que escuchan en las
> nuevas IPs serán iniciados y comenzarán a servir el repositorio
> producido por el nuevo sistema basado en Krill. Cuando se conecten por
> primera vez, los RPs verán una nueva sesión RRDP y continuarán operando
> normalmente
>
> Hemos probado este flujo de migración usando un conjunto de contenedores
> docker más un contenedor de servidor DNS utilizando dnsmasq server que
> nos permite modificar registros dinámicamente. En todos los casos que
> hemos probado, este flujo funciona sin problemas.
>
> Probamos este flujo de migración con los siguientes validadores:
>
> * rpki-client desde "latest" hasta 8.2.
> * routinator desde "latest" hasta 0.8.
> * fort desde "latest" hasta 1.5.0.
>
>
> Lo que no hemos probado:
>
> * El validador rpki de RIPE: Hace tres años que ha sido
> deprecado. No deberían estar usándolo y lo saben :-) De cualquier
> manera, debería funcionar.
> * OctoRPKI: también ha sido recientemente deprecado.
> * Rpki-prover.
> * RIPSTR.
>
> Todos los validadores mencionados deberían funcionar. Sin embargo,
> tengan en cuenta lo siguiente: Si están ejecutando alguno de los estos y
> notan problemas, solo limpien la caché local, inicien una instancia
> vacía de su validador y este debería iniciar sin problemas.
>
> Hemos configurado una casilla de correo electrónico específica para este
> trabajo de migración: rpki-migracion en lacnic.net.
>
> Esta casilla será monitoreada frecuentemente durante el 15 de abril y
> los días siguientes. Una vez que estemos seguros de que todos los
> problemas que puedan surgir de la migración hayan sido abordados la
> daremos de baja.
>
> Para aquellos interesados, los nuevos servidores ya están en línea y
> pueden ser usados para validar. Se pueden alcanzar a través de los
> siguientes nombres DNS:
>
> * lb-us-mia.rrdp.lacnic.net
> * lb-us-southeast.rrdp.lacnic.net
> * lb-br-gru.rrdp.lacnic.net
>
> No esperen ver los mismos VRPs que ven ahora en nuestro servidor de
> producción actual, hay diferencias que son esperables. Tampoco “hard
> codeen” esto de manera fija, ya que eventualmente estos nombres pueden
> cambiar o nuevos servidores pueden que sean agregados.
>
> ¡Gracias a todos!
>
> /Carlos
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
Más información sobre la lista de distribución LACNOG