Кластеризация

В разделе описывается настройка кластера, состоящего из двух серверов Ideco NGFW VPP.

Название службы раздела Кластеризация: ideco-cluster-backend; ideco-cluster-backup-pusher. Список служб для других разделов доступен по ссылке.

Для настройки кластеризации требуется активная лицензия с модулем кластеризации. Подробную информацию о лицензировании кластера можете найти в статье.

Каждое из двух устройств Ideco NGFW VPP, объединенных в кластер, называется нодой.

Кластер работает в режиме active-passive:

Активной является нода, обрабатывающая трафик в данный момент.
Резервная нода находится в предзагруженном состоянии и непрерывно мониторит состояние активной ноды, а при отсутствии связи с ней переводит текущие задачи обработки трафика на себя.

В любой момент обрабатывать трафик может только одна из нод.

Сетевое взаимодействие между нодами осуществляется по Кластерной сети. Это физический канал, под который на каждой из нод резервируется по одной физической сетевой карте. Веб-сервер активной ноды управляет кластером, а резервная нода постоянно готова принимать данные. При переключении нод пассивная нода полностью прогружается и становится активной.

Если IP-адреса кластера настроены вручную, то он имеет один общий IP на внутреннем интерфейсе и другой общий IP на внешнем интерфейсе. В случае автоматической конфигурации по DHCP адреса будут отличаться в зависимости от ноды.

Процесс синхронизации нод в кластере

При синхронизации двух NGFW VPP данные активной ноды копируются в резервную ноду. Вся информация на резервной ноде перезаписывается;
Синхронизация данных происходит автоматически в фоновом режиме;
Автоматические бэкапы отключены на резервной ноде. Все бэкапы с активной ноды передаются на резервную в момент обмена данными и заменяют те бэкапы, которые там присутствовали ранее.

Для корректной работы кластера необходимо постоянное наличие связи между нодами. Для моментального переключения ноды следует соединять прямым линком, не используя мост или коммутатор.

Обмен данными между нодами кластера происходит раз в три минуты. Все несинхронизированные пользовательские изменения настроек и бэкапы могут быть потеряны, если с момента внесения изменений на активной ноде до переключения нод не было обмена данными.

Особенности работы кластера

Особенности работы кластера без синхронизации сессий

При переключении на резервную ноду синхронизируются все данные с диска активной ноды (синхронизация осуществляется за счет копирования файлов в файловой системе);
Время переключения нод - 15 сек + загрузка резервной ноды;
При переключении нод не синхронизируются логи мониторинга и journald, а также аппаратные данные.

Особенности работы с бэкапами при кластеризации

Невозможно полное восстановление из бэкапов. При этом можно создать резервную копию и после разрушения кластера восстановить копию на ноде, которая была активной;
На активной ноде доступно Мгновенное восстановление из бэкапа. Восстанавливаются все настройки, кроме использованного трафика по квотам, изменений в списке пользователей и отчетах. Данные на второй ноде также придут в соответствие с восстановленными настройками после синхронизации нод.

Возможные проблемы при работе двух Ideco NGFW VPP в кластере

Два NGFW VPP с разными версиями не синхронизируются;
При обновлении Ideco NGFW VPP в кластере сначала обновится активная нода, затем резервная нода с младшей версией принудительно станет активной для обновления до версии активной ноды.
При различных размерах жестких дисков могут возникнуть проблемы синхронизации из-за нехватки места;
Если у провайдера имеется привязка по MAC-адресу, то при переключении нод будет отсутствовать доступ в интернет;
Если с момента создания бэкапа на активной ноде до переключения нод не было синхронизации данных между нодами, после переключения этот бэкап будет потерян;
Если с момента мгновенного восстановления из бэкапа на активной ноде до переключения нод не было синхронизации данных между нодами, после переключения вторая нода окажется в состоянии до восстановления.

PreviousОбновления NextНастройка кластера

Last updated 8 days ago