<div dir="ltr">Fiquei curioso em saber se nesse caso os registros que estão vinculados ao Registro.BR também foram afetados.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em seg., 17 de abr. de 2023 às 12:50, Job Snijders <<a href="mailto:job@sobornost.net">job@sobornost.net</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Carlos, LACNOG,<br>
<br>
On Sun, Apr 16, 2023 at 11:00:31AM -0300, Carlos Marcelo Martinez Cagnazzo wrote:<br>
> Hubo un problema efectivamente que duró aproximadamente una hora, bien<br>
> dentro de la tolerancia de los objetos, por lo que quienes ya estaban<br>
> corriendo validadores no deben haber tenido dificultad para usar su<br>
> caché local.<br>
<br>
>From my observations the outage lasted approximately two hours. And<br>
unfortunately, for many - probably most - RPKI validator instances<br>
around the world, their 'caché local' became entirely invalid, because<br>
of internally inconsistent RRDP delta updates.<br>
<br>
Many RPs saw a Manifest reference to file to which they had no access.<br>
The manifest in question is a 'top-level' manifest and basically is a<br>
'gateway' to all the CA certificates representing every RPKI-enabled<br>
LACNIC member. To see a recent copy in decoded form:<br>
<a href="http://console.rpki-client.org/repository.lacnic.net/rpki/lacnic/48f083bb-f603-4893-9990-0284c04ceb85/ff14e9055d5afaa37fbe20f4a26bd13c8f18d79a.mft.html" rel="noreferrer" target="_blank">http://console.rpki-client.org/repository.lacnic.net/rpki/lacnic/48f083bb-f603-4893-9990-0284c04ceb85/ff14e9055d5afaa37fbe20f4a26bd13c8f18d79a.mft.html</a><br>
<br>
The type of RRDP discrepancy I observed can happen if distinct HTTP<br>
clients (aka RPKI validator instances) are served different data,<br>
despite requesting the same URL. In other words: two HTTPS clients<br>
requested <a href="http://rrdp.lacnic.net/abc/123.xml" rel="noreferrer" target="_blank">rrdp.lacnic.net/abc/123.xml</a> - one client received 123.xml with<br>
content "ABC" but the other client receives 123.xml with content "XYZ".<br>
This can happen if multiple RRDP frontend servers are in play,<br>
out-of-sync with each other.<br>
<br>
I'm concerned there might be an 'active/active' aspect in the<br>
high-availability setup of LACNIC without proper synchronization<br>
within the cluster itself. For example: if some kind of<br>
'directory-to-RRDP' conversion process is executed on two (or more)<br>
nodes, the nodes each should use a unique RRDP session ID, and a<br>
load-balancer should do apply active/backup distribution.<br>
<br>
I'm happy to help investigate where exactly the issue resides to prevent<br>
reoccurance.<br>
<br>
Kind regards,<br>
<br>
Job<br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div><br clear="all"><div><br></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature"><div dir="ltr">Douglas Fernando Fischer<br>Engº de Controle e Automação<br><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;color:black;text-align:left;line-height:130%;font-family:"courier new",monospace"></div></div></div>