Кластеризация и отказоустойчивость

UserGate UTM поддерживает кластеризацию. Кластеризация позволяет объединить несколько устройств UserGate UTM в единый кластер, в котором будут единые настройки.

Наименование

Описание

Настройки, единые для всех узлов кластера

Зоны
Сертификаты
DNS
Серверы авторизации
Терминальные серверы
Группы
Пользователи
Captive-портал
Captive-профили
Политики межсетевого экрана
Политики NAT и маршрутизации
Политики пропускной способности
Политики фильтрации контента
Веб-безопасность
Дешифрация HTTPS
СОВ
Библиотеки
Профили оповещений
Оповещения
SNMP

Настройки, индивидуальные для каждого узла кластера

Интерфейсы
Шлюзы
DHCP
Маршруты
Экспорт журналов

Для создания кластера необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Выполнить первоначальную настройку на первом узле кластера

Смотрите главу Первоначальная настройка

Шаг 2. Настроить на первом узле кластера зону, через интерфейсы которой будет выполняться репликация кластера

В разделе Зоны создать выделенную зону для репликации настроек кластера или использовать существующую. В настройках зоны разрешить следующие сервисы:

* Консоль администрирования

* Кластер

Не используйте для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например, к интернету

Шаг 3. Указать IP-адрес, который будет использоваться для связи с другими узлами кластера

В разделе Управление устройством выбрать текущий узел кластера и нажать на кнопку Редактировать. Указать IP-адрес интерфейса, входящего в зону, настроенную на шаге 2

Шаг 4. Сгенерировать Секретный код на первом узле кластера

В разделе Управление устройством нажать на кнопку Сгенерировать секретный код. Полученный код скопировать в буфер обмена. Данный секретный код необходим для одноразовой авторизации второго узла при добавлении его в кластер

Шаг 5. Подключить второй узел в кластер

Подключиться к веб-консоли второго узла кластера, выбрать язык установки.

Указать интерфейс, который будет использован для подключения к первому узлу кластера, и назначить ему IP-адрес. Оба узла кластера должны находиться в одной подсети, например, интерфейсам eth2 обоих узлов назначены IP-адреса 192.168.100.5/24 и 192.168.100.6/24.

Указать IP-адрес первого узла, настроенный на шаге 3, вставить секретный код и нажать на кнопку Подключить. Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер и все настройки первого кластера реплицируются на второй

Шаг 6. Назначить зоны интерфейсам второго узла

В веб-консоли второго узла кластера в разделе СетьàИнтерфейсы необходимо назначить каждому интерфейсу корректную зону. Зоны и их настройки получены в результате репликации данных с первого узла кластера

Кроме этого, два сервера кластера можно объединить в отказоустойчивый VRRP-кластер, в котором один из серверов выступает в роли главного узла, обрабатывающего трафик, а второй -- в качестве резервного. Для отказоустойчивого кластера указывается общий виртуальный IP-адрес кластера. Переключение виртуального IP-адреса с главного на запасной узел происходит при следующих событиях:

* Запасной сервер не получает подтверждения о том, что главный узел в сети, например, если он выключен или отключен интерфейс, на котором поднят VRRP

* На главном узле настроена проверка доступа в интернет (смотрите раздел Настройка шлюзов), и доступ в интернет отсутствует через любой из настроенных шлюзов

Для создания отказоустойчивого кластера необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать кластер

Создать кластер, как это описано в предыдущем шаге

Шаг 2. Настроить на обоих узлах кластера зону, интерфейсы которой будут участвовать в отказоустойчивом кластере

В разделе Зоны следует создать выделенную или использовать существующую зону. В настройках зоны разрешить сервис VRRP

Шаг 3. Добавить узлы кластера в отказоустойчивый VRRP-кластер

В разделе Управление устройствомàКластер отказоустойчивости нажать на кнопку Добавить и указать виртуальный IP-адресIP-адрес кластера. Указать узлы кластера -- Главный узел и Запасной узел -- и интерфейсы, которые будут связаны с виртуальным IP-адресом.

Шаг 4. Указать виртуальный IP-адрес для хостов auth.captive и logout.captive

Если предполагается использовать авторизацию с помощью Captive-портала, то необходимо, чтобы системные имена хостов auth.captive и logout.captive, которые используются процедурами авторизации в Captive, резолвились в IP-адрес, назначенный в качестве кластерного виртуального адреса. Это можно сделать, создав в разделе DNS статические записи:
auth.captive -- виртуальный_IP-адрес
logout.captive -- виртуальный_IP-адрес
Альтернативное решение -- настроить параметры Домен Auth Captive-портала и Домен Logout Captive-портала. Более детально эти параметры описаны в разделе Настройки

UserGate UTM позволяет поддерживать синхронизацию пользовательских сессий между узлами отказоустойчивого кластера. В этом случае при выходе из строя одного из узлов кластера пользователи будут переключены на запасной и все их сессии будут активны. Для настройки синхронизации сессий необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать отказоустойчивый кластер для интерфейсов зоны, подключенной в сторону клиентов

Создать отказоустойчивый кластер, как это описано в предыдущем шаге

Шаг 2. Создать отказоустойчивый кластер для интерфейсов зоны, подключенной в сторону интернет

Создать отказоустойчивый кластер, как это описано в предыдущем шаге

Шаг 3. Включить режим синхронизации сессий

На каждом из узлов отказоустойчивого кластера в разделе Управление устройствомàКластер отказоустойчивости нажать на кнопку Синхронизация сессий, выбрать интерфейс, через который будет происходить синхронизация, и включить синхронизацию. Как правило, указывается тот же интерфейс, что использовался для создания кластера