Budowanie klastra wysokiej dostępności (HA)

firmware 3.x Administracja

 

W przypadku chęci zabezpieczenia organizacji przed ewentualną awarią urządzenia brzegowego, dobrym pomysłem jest zbudowanie klastra wysokiej dostępności.

Na urządzeniach Stormshield, mamy możliwość budowania klastrów wysokiej dostępności w trybie Active-Backup, tzn. jedno z urządzeń aktywnie pracuje, a w przypadku jego awarii, urządzenie zapasowe automatycznie przejmuje pracę aktywnego urządzenia. Z uwagi na to, że podczas przepięcia się urządzeń, przenoszone są również sesje użytkowników, dzięki czemu nie odczują oni awarii.

UWAGA!
Wymogiem budowy klastra HA jest posiadanie urządzeń tego samego modelu i taką samą wersją firmware.

Jeżeli spełniliśmy powyższe warunki, to możemy przystąpić do konfiguracji.

1. Urządzenie Główne

Przechodzimy do zakładki Ustawienia systemowe -> Klaster HA, gdzie zaznaczamy Utwórz klaster i klikamy w przycisk Następny.

W drugim oknie, w sekcji Interfejs główny HA, podajemy:

  • interfejs sieciowy, do którego zostanie podpięte urządzenie zapasowe. W naszym przypadku, będzie to interfejs 7, który nazwaliśmy HA. Więcej informacji na temat dedykowanych interfejsów możemy znaleźć TUTAJ - UWAGA! Wymaga zalogowania tymi samymi poświadczeniami co do portalu mystormshield.eu.
  • nazwę interfejsu,
  • adres IP oraz maskę, którymi będzie się przedstawiało urządzenie główne. W naszym przypadku będzie to adres 192.168.66.1/30

Opcjonalnie w miejscu tym możemy również wskazać łączę zapasowe, które będzie wykorzystywane do działania klastra w przypadku awarii łącza podstawowego.

Po wprowadzeniu powyższych informacji, klikamy Następny.

W trzecim kroku, musimy podać hasło, które będziemy wykorzystywali do podłączenia urządzenia zapasowego.

Dodatkowo, na tym etapie jesteśmy wstanie wymusić szyfrowaną komunikację, pomiędzy naszymi urządzeniami.

Po kliknięciu w przycisk Następny, zostanie wyświetlone ostatnie okno kreatora, w którym możemy podejrzeć podsumowanie naszej konfiguracji.

Konfigurację urządzenia głównego kończymy za pomocą przycisku Zakończ.

Gdy zakończymy konfigurację urządzenia głównego, przystępujemy do dodania urządzenia zapasowego do naszego klastra, wskazując użyty w konfiguracji interfejs.

2. Urządzenie zapasowe

Podłączamy się do urządzenia zapasowego i przechodzimy do zakładki Ustawienia systemowe -> Klaster HA, gdzie zaznaczamy Dołącz do klastra. Za pomocą przycisku Następny, przechodzimy do dalszej części konfiguracji.

W kolejnym kroku należy wypełnić formularz Interfejs główny HA, gdzie:

  • wskazujemy interfejs, który będzie służył do połączenia urządzeń. W naszym wypadku będzie to dedykowany interfejs, który nazwaliśmy wcześniej HA.
  • wprowadzamy adres sieciowy, który należy do tej samej sieci, którą zadeklarowaliśmy na urządzeniu głównym.

Jeżeli na urządzeniu głównym zadeklarowaliśmy wykorzystywanie łącza zapasowego, to należy uzupełnić również formularz Połączenie zapasowe (opcjonalnie).

Wprowadzenie powyższych informacji zatwierdzamy przechodząc do następnego okna konfiguracji za pomocą przycisku Następny.

W przedostatnim oknie, należy podać:

  • adres IP urządzenia głównego,
  • hasło, które wprowadziliśmy w konfiguracji urządzenia głównego.

Ostatnie okno kreatora przedstawia podsumowanie wprowadzonych przez nas informacji. Weryfikujemy, czy podaliśmy poprawne dane, a następnie zatwierdzamy je za pomocą przycisku Zakończ.

Wciśnięcie przycisku Zakończ, skutkuje wyświetleniem się okna potwierdzającego. Wciskamy przycisk Dołącz do klastra i uruchom ponownie UTM.

Po ponownym uruchomieniu, nasze urządzenia będą działały w klastrze.

3. Dodatkowe informacje.

Gdy urządzenia pracują w klastrze możemy się podłączyć jedynie do aktywnego urządzenia, które w panelu kontrolnym może wyświetlać informacje jak na poniższym zrzucie ekranu:

Stan klastra nie jest optymalny

Sytuacja ta ma miejsce w momencie, gdy nie zapewnimy nadmiarowości połączeń dla naszych urządzeń. Założeniem klastra HA jest posiadanie dokładnie takich samych połączeń z sieciami wewnętrznymi / zewnętrznymi na urządzeniu głównym, jak i pasywnym. Dzięki temu, w momencie awarii urządzenia głównego, urządzenie zapasowe, będzie w stanie przejąć pracę urządzenia głównego, bez dodatkowej inicjatywy administratora.

Oba urządzenia nie posiadają jednakowego certyfikatu serwera dla uwierzytelniania

Powyższy komunikat informuje nas, że oba urządzenia posiadają różne certyfikaty, którymi przedstawiają się urządzenia. W celu rozwiązania tego problemu, należy jasno zadeklarować, którym certyfikatem urządzenia mają się przedstawiać. Zmiany tej dokonujemy w zakładce Użytkownicy -> Portal autoryzacji -> Portal autoryzacji, w części Serwer SSL.

Konfiguracja: Niezsynchronizowany

Wprowadzenie jakichkolwiek zmian w konfiguracji na urządzeniu aktywnym, spowoduje wyświetlanie się informacji o niezsynchronizowanej konfiguracji na urządzeniach w klastrze. Komunikat ten będzie wyglądał jak na poniższym zrzucie ekranu:

Sytuacja ta ma miejsce, z uwagi na to, że zatwierdzanie zmiany konfiguracji na obu urządzeniach, musi być świadomą decyzją administratora. Jeżeli wprowadzona zostanie błędna zmiana, która mogłaby zakłócić sprawną pracę, urządzenie pasywne cały czas posiada poprawną konfigurację sprzed zmian, co umożliwi dalszą, stabilną pracę naszej sieci.

W celu zsynchronizowania konfiguracji, należy kliknąć w przycisk Synchronizuj urządzenie pasywne z bieżącą konfiguracją, w prawym górnym rogu: