Budowanie klastra wysokiej dostępności (HA)

firmware 4.x Film Administracja

 

W przypadku chęci zabezpieczenia organizacji przed ewentualną awarią urządzenia brzegowego, dobrym pomysłem jest zbudowanie klastra wysokiej dostępności.

Na urządzeniach Stormshield, mamy możliwość budowania klastrów wysokiej dostępności w trybie Active-Backup, tzn. jedno z urządzeń aktywnie pracuje, a w przypadku jego awarii, urządzenie zapasowe automatycznie przejmuje pracę aktywnego urządzenia. Z uwagi na to, że podczas przepięcia się urządzeń, przenoszone są również sesje użytkowników, dzięki czemu nie odczują oni awarii.

UWAGA!
Wymogiem budowy klastra HA jest posiadanie urządzeń tego samego modelu i taką samą wersją firmware.

Jeżeli spełniliśmy powyższe warunki, to przechodzimy do sekcji Konfiguracja, gdzie będziemy wykonywali wszystkie zmiany.

1. Urządzenie Główne

W zakładce Ustawienia systemowe -> Klaster HA, zaznaczamy Utwórz klaster i klikamy w przycisk Dalej.

W drugim oknie, w sekcji Interfejs główny HA, podajemy:

  • interfejs sieciowy, do którego zostanie podpięte urządzenie zapasowe. W naszym przypadku, będzie to interfejs 7, który nazwaliśmy HA. Więcej informacji na temat dedykowanych interfejsów możemy znaleźć TUTAJ - UWAGA! Wymaga zalogowania tymi samymi poświadczeniami co do portalu mystormshield.eu.
  • nazwę interfejsu,
  • adres IP oraz maskę, którymi będzie się przedstawiało urządzenie główne. W naszym przypadku będzie to adres 192.168.66.1/30

Opcjonalnie w miejscu tym możemy również wskazać łączę zapasowe, które będzie wykorzystywane do działania klastra w przypadku awarii łącza podstawowego.

Po wprowadzeniu powyższych informacji, klikamy Dalej.

W trzecim kroku, musimy podać hasło, które będziemy wykorzystywali do podłączenia urządzenia zapasowego.

Dodatkowo, na tym etapie jesteśmy wstanie wymusić szyfrowaną komunikację, pomiędzy naszymi urządzeniami.

Po kliknięciu w przycisk Dalej, zostanie wyświetlone ostatnie okno kreatora, w którym możemy podejrzeć podsumowanie naszej konfiguracji.

Konfigurację urządzenia głównego kończymy za pomocą przycisku Zakończ.

Gdy zakończymy konfigurację urządzenia głównego, przystępujemy do dodania urządzenia zapasowego do naszego klastra, wskazując użyty w konfiguracji interfejs.

2. Urządzenie zapasowe.

Podłączamy się do urządzenia zapasowego i przechodzimy do zakładki Ustawienia systemowe -> Klaster HA, gdzie zaznaczamy Dołącz do istniejącego klastra .Za pomocą przycisku Dalej, przechodzimy do dalszej części konfiguracji.

W kolejnym kroku należy wypełnić formularz Interfejs główny HA, gdzie:

  • wskazujemy interfejs, który będzie służył do połączenia urządzeń. W naszym wypadku będzie to dedykowany interfejs, który nazwaliśmy wcześniej HA.
  • wprowadzamy adres sieciowy, który należy do tej samej sieci, którą zadeklarowaliśmy na urządzeniu głównym.

Jeżeli na urządzeniu głównym zadeklarowaliśmy wykorzystywanie łącza zapasowego, to należy uzupełnić również formularz Połączenie zapasowe (opcjonalnie).

Wprowadzenie powyższych informacji zatwierdzamy przechodząc do następnego okna konfiguracji za pomocą przycisku Dalej.

W przedostatnim oknie, należy podać:

  • adres IP urządzenia głównego,
  • hasło, które wprowadziliśmy w konfiguracji urządzenia głównego.

Ostatnie okno kreatora przedstawia podsumowanie wprowadzonych przez nas informacji. Weryfikujemy, czy podaliśmy poprawne dane, a następnie zatwierdzamy je za pomocą przycisku Zakończ.

Wciśnięcie przycisku Zakończ, skutkuje wyświetleniem się okna potwierdzającego. Wciskamy przycisk Dołącz do klastra i uruchom ponownie UTM.

Po ponownym uruchomieniu, nasze urządzenia będą działały w klastrze.

3. Dodatkowe informacje.

Gdy urządzenia pracują w klastrze możemy się podłączyć jedynie do aktywnego urządzenia, które Monitorowanie -> Sprzęt / Klaster HA może wyświetlać informacje jak na poniższym zrzucie ekranu:

Jak można zauważyć na wyżej przedstawionym zrzucie ekranu, urządzenie ostrzega nas o następujących problemach:

Indeks jakości

Sytuacja ta ma miejsce w momencie, gdy nie zapewnimy nadmiarowości połączeń dla naszych urządzeń. Założeniem klastra HA jest posiadanie dokładnie takich samych połączeń z sieciami wewnętrznymi / zewnętrznymi na urządzeniu głównym, jak i pasywnym. Dzięki temu, w momencie awarii urządzenia głównego, urządzenie zapasowe, będzie w stanie przejąć pracę urządzenia głównego, bez dodatkowej inicjatywy administratora.

Zmiany w konfiguracji niektórych urządzeń nie zostały zsynchronizowane (spowodowane przez lokalną zaporę)

Wprowadzenie jakichkolwiek zmian w konfiguracji na urządzeniu aktywnym, spowoduje wyświetlanie się informacji o niezsynchronizowanej konfiguracji na urządzeniach w klastrze.

Sytuacja ta ma miejsce, z uwagi na to, że zatwierdzanie zmiany konfiguracji na obu urządzeniach, musi być świadomą decyzją administratora. Jeżeli wprowadzona zostanie błędna zmiana, która mogłaby zakłócić sprawną pracę, urządzenie pasywne cały czas posiada poprawną konfigurację sprzed zmian, co umożliwi dalszą, stabilną pracę naszej sieci.

W celu zsynchronizowania konfiguracji, należy kliknąć w przycisk Synchronizuj urządzenie pasywne z bieżącą konfiguracją, w prawym górnym rogu: