Ideco NGFW
Скачать PDF
vpp-v18
vpp-v18
  • Об Ideco NGFW VPP
  • Общая информация
    • Виды и состав лицензий
    • Системные требования и источники данных
    • Техническая поддержка
  • Быстрый старт
    • Рекомендации при первоначальной настройке
    • MY.IDECO
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Подготовка загрузочного диска
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
  • Настройка Ideco NGFW VPP
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Настройка клиентских машин
      • Авторизация пользователей
        • IP и MAC авторизация
        • Авторизация по подсетям
    • Интеграция с Active Directory/Samba DC
      • Импорт пользователей
      • Аутентификация пользователей AD/Samba DC
        • Настройка сервера Active Directory
        • Настройка клиентских машин
    • ALD Pro
    • Мониторинг
      • Авторизованные пользователи
      • График загруженности
      • Telegram-бот
      • SNMP
      • Zabbix-агент
    • Правила трафика
      • Файрвол
      • Ограничение скорости
      • Предотвращение вторжений
      • Объекты
    • Профили безопасности
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
      • Предотвращение вторжений
      • Контент-фильтр
        • Изменение страницы блокировки Контент-фильтра
      • TLS/SSL-инспекция
        • Настройка фильтрации HTTPS
    • Сервисы
      • Сетевые интерфейсы
      • Маршрутизация
      • BGP
      • DNS
      • NTP-сервер
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью Powershell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Системный журнал
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Кластеризация
      • Обновления
        • Настройка кластера
      • Бэкапы
      • Терминал
      • Лицензия
      • Дополнительно
  • Диагностика проблем
    • Проблемы при авторизации пользователей
    • Восстановление пароля администратора
    • Примеры диагностики через терминал
    • Удаленный доступ к серверу
  • changelog
    • Ideco NGFW VPP 18.X
    • ФСТЭК Ideco UTM 16.X
Powered by GitBook
On this page
  • Требования
  • Шаг 1 - Конфигурация резервной ноды
  • Шаг 2 - Конфигурация активной ноды
  • Процедура обновления нод

Was this helpful?

  1. Настройка Ideco NGFW VPP
  2. Управление сервером
  3. Обновления

Настройка кластера

PreviousОбновленияNextБэкапы

Last updated 6 months ago

Was this helpful?

Если на момент создания кластера у вас уже есть настроенный Ideco NGFW VPP, рекомендуем выбрать его в качестве активной ноды. Все настройки резервной ноды в процессе создания кластера будут удалены.

Требования

Для создания кластера необходимо соблюдение следующих требований:

  • В кластере может быть только две ноды Ideco NGFW VPP;

  • Обе ноды должны иметь одну версию системы, идентичную вплоть до номера сборки;

  • Количество используемых физических сетевых карт на обоих серверах должно совпадать. В ином случае создать кластер нельзя. При этом само наличие дополнительных физических сетевых карт на нодах на создание кластера никак не влияет;

  • Сетевые карты для использования в кластере желательно соединять напрямую, т.к. на основе линка происходит ускоренное переключение нод. Не рекомендуется использовать коммутаторы для кластерной сети. Как минимум, сеть должна быть изолирована;

  • Не рекомендуется объединять в кластер геораспределенные ноды;

  • При работе NGFW VPP на гипервизорах используйте средства отказоустойчивости гипервизора.

  • Интерфейсы для создания кластерной сети на каждом Ideco NGFW VPP должны быть в одном сегменте локальной сети, в котором нет других устройств. Не используйте в качестве кластерной сети общедоступную сеть, используемую для передачи стороннего трафика. Обмен данными между нодами не защищен от подмены и прослушивания;

  • При настройке кластеризации с использованием гипервизора убедитесь, что предназначенная для связи между нодами сетевая карта подключена к изолированной IPv6 сети;

  • Запрещено добавлять сетевые интерфейсы, но РАЗРЕШЕНО отключать и редактировать. Удаление сетевого интерфейса, использующегося для связи между нодами, разрушит кластер.

Шаг 1 - Конфигурация резервной ноды

Если только установили сервер Ideco NGFW VPP

1. При входе в локальное меню резервной ноды введите y и нажмите Enter:

2. Выберите сетевую карту:

3. Подтвердите создание кластера, введя y и нажав Enter:

4. NGFW VPP предложит изменить название сервера. При положительном ответе на вопрос появится надпись с предложением ввести новое название. Допустимое количество символов в названии - от 2 до 62:

После ввода нового названия нажмите Enter для продолжения.

5. Появится сообщение, что процесс создания кластера запущен:

Необходимо зайти в веб-интерфейс активной ноды и выполнить настройки (см. пункт Конфигурация активной ноды). Для этого выделяется 3600 секунд.

Если создаете резервную ноду из уже установленного сервера Ideco NGFW VPP с лицензией и доступом в интернет

1. Перейдите в локальное меню;

2. Выберите пункт Управление кластером. Подтвердите создание кластера, введя y и нажав Enter:

Если на ноде нет свободных сетевых карт, создание кластера будет недоступно. Если кластер на ноде уже настроен, при выборе пункта Управление кластером будет доступно только его разрушение.

3. Выберите свободную физическую сетевую карту для создания кластерной сети и подтвердите выбор:

4. NGFW VPP предложит изменить название сервера. При положительном ответе на вопрос появится надпись с предложением ввести новое название. Допустимое количество символов в названии - от 2 до 42:

После ввода нового названия нажмите Enter для продолжения.

5. Появится сообщение, что процесс создания кластера запущен:

Необходимо зайти в веб-интерфейс активной ноды и выполнить настройки (см. пункт Конфигурация активной ноды). Для этого выделяется 3600 секунд.

Шаг 2 - Конфигурация активной ноды

Для конфигурации активной ноды в веб-интерфейсе Ideco NGFW VPP выполните следующие действия:

1. Перейдите в раздел Управление сервером -> Кластеризация и нажмите кнопку Настроить кластер отказоустойчивости.

2. Подтвердите, что топология сети соответствует схеме:

3. Выберите сетевую карту для соединения между нодами:

4. Сопоставьте сетевые карты. Для этого выберите в каждом столбце по одной сетевой карте и нажмите Сопоставить:

5. После применения настроек резервная нода перезагрузится, и в веб-интерфейсе активной ноды отобразится уведомление:

Локальное меню резервной ноды недоступно в NGFW VPP, начиная с версии 16.0.

Разрушение кластера из локального меню:

1. Выберите пункт локального меню Управление кластером, введите y и нажмите Enter:

2. Подтвердите выбор.

Разрушение кластера из веб-интерфейса:

1. Перейдите в раздел Управление сервером -> Кластеризация и нажмите кнопку Разрушить кластер.

2. Появится окно с предупреждением:

3. Нажмите ОК:

Процедура обновления нод

Чтобы обновить NGFW VPP до последней версии в режиме кластера, выполните действия:

1. Запустите обновление активной ноды - в разделе Управление сервером -> Автоматическое обновление нажмите соответствующую кнопку. В процессе обновления произойдет перезагрузка ноды. Резервная нода станет активной, переведя текущие задачи обработки трафика на себя. Обмен данными между нодами будет остановлен, как только первая нода обновилась и перезагрузилась. Для синхронизации оба устройства должны иметь одну версию системы, идентичную вплоть до номера сборки.

2. Дождитесь, когда активная нода скачает обновление, и запустите его. После завершения обновления кластер вновь будет работоспособен.

Обновление активной ноды кластера будет заблокировано, если она не синхронизирована с резервной нодой или с момента последней синхронизации прошло более 30 минут. В случае блокировки обновлений произойдет переключение нод кластера. Нода с младшей версией сможет обновиться без синхронизации.