UTM-Howto-Cluster

Aus Securepoint Wiki

Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

Einleitung

Ein Failover-Cluster oder Aktiv/Passiv-Cluster ist ein Verbund von mindestens zwei Computern (Cluster), in dem bei einem Ausfall eines Rechners ein zweiter Rechner dessen Aufgaben übernimmt.

Das aktive System ist das Primärsystem (Master), die wartenden passiven Systeme sind die Backup- oder Standby-Systeme (Slave). Damit ein Ausfall eines Systems bemerkt wird, bedarf es eines speziellen Protokolls; UCARP.

Um die Clusterfunktion zu nutzen, braucht man mindestens zwei Systeme, die im selben Subnetz liegen. Diese Systeme haben jeweils eine eindeutige IP- und MAC-Adresse und bilden einen Cluster. Zusätzlich wird diesem Cluster jetzt eine virtuelle IP-Adresse zugewiesen. Über diese virtuelle IP kommuniziert der Cluster mit dem anderen Systemen. Damit das funktioniert, wird ein Cluster-Rechner Master und die anderen Slaves, wobei der Master die Kommunikation mit der Außenwelt übernimmt. Über das UCARP-Protokoll stellt jedes Cluster-Mitglied sicher, dass die anderen Maschinen noch arbeiten. Wenn der Master ausfällt, übernimmt einer der Slaves die virtuelle IP-Adresse.

Zusätzlich besteht die Möglichkeit, bei einem Dienstausfall einen Wechsel des Master-Status auf ein Slavegerät zu veranlassen.

Vorbereitung

Auf der Master-Firewall ist eine normale Lizenz installiert und auf dem Spare ist eine Sparelizenz installiert. Es darf nicht auf beiden Maschinen die gleiche Lizenz installiert sein.

Q: Wie erkenne ich den Unterschied der Lizenzdateien?

  • Öffnen Sie beide Lizenzen mit einem Editor.
  • In der Sparelizenz ist ein Eintrag "Spare=1" enthalten.

Die Konfiguration wird ausschließlich auf der Master Firewall erstellt. Nach Abschluss der Konfiguration wird diese exportiert und auf der Spare eingespielt. Die Lizenzen müssen zwingend auf beiden Firewalls vorher eingespielt werden, ansonsten ergibt sich ein IP-Adressen-Konflikt.

Stellen Sie bitte sicher das auf beiden Geräten die Uhrzeit aktuell ist. Die aktuelle Uhrzeit können Sie anhand der Einträge im Lifelog erkennen.

Konfiguration ETH-X

Die virtuelle ClusterIP muss nicht im gleichen Netz liegen wie die realen IPs auf dem ethx-Interface. Dies ist besonders dann wichtig, wenn das zugewiesene Subnetz nicht mind. 3 IPs groß ist.

Beispiel: Ihr Provider vergibt eine Subnetz 80.0.0.0/30, damit stehen Ihnen 2 IPs zur Verfügung.

  • Netzwerk: 80.0.0.0
  • Router des Providers - Default Gateway der FW : 80.0.0.1
  • ClusterIP der FW: 80.0.0.2
  • Broadcast: 80.0.0.3

So konfigurieren Sie z.B. eth0:

  • eth0 : 10.20.30.1/24
  • ClusterIP: 80.0.0.2/30
  • Spare-IP: 10.20.30.2/24

Wichtig ist, dass die jeweilige Schnittstelle (eth0), auf der Master als auch auf der Spare, im selben Subnetz liegen.

Konfiguration ppp0

Für die Anbindung eines PPP-Interface wird ebenfalls ein Cluster benötigt. Als IP-Kreis bietet sich ein freies Subnetz an, das weder im internen Netz, noch im VPN oder einer gerouteten Verbindung vorhanden ist. Ist das Cluster erstellt, so wird das ppp0-Device wie gewohnt auf die Schnittstelle gebunden.

Netzaufbau

Akive Master
Aktive Spare

Konfiguration

  • Verbinden Sie sich an der FW.
  • Spielen Sie die Lizenz ein Extras -> Registrierung.
  • Wechseln Sie in die Netzwerkkonfiguration Netzwerk -> Netzwerkkonfiguration.
  • Konfigurieren Sie die eth-x Schnittstelle, erstellen Sie einen Provider.


Ausgangslage
  • Klicken Sie auf Schnittstelle hinzufügen und wählen Sie Cluster aus.
  • Tragen Sie die Daten ein.


Cluster anlegen


  • Wiederholen Sie den Vorgang für alle Interfaces.
  • Binden Sie danach den DSL-Provider auf das ethx-Interface (hier eth2).
  • Bearbeiten Sie das ppp0-Device und legen Sie die Zonen von Cluster2 -> ppp0.


Fertige Clusterkonfig

Erweiterte Konfiguration

Cluster Konfiguration

  • Die Erweiterten Einstellungen finden Sie unter Netwerk -> Servereigenschaften ->Cluster Konfiguration


Erweiterte Einstellungen
  1. Alle x Sekunden wird ein UCARP-Paket per Multicast gesendet.
  2. Sollten x dieser Pakete am Spare nicht ankommen, so würde dieser den Betrieb übernehmen. Die zeitliche Verzögerung liegt somit bei etwa 30sec. Stellen Sie diesen Wert nicht zu klein ein. Die Netzwerkkarten brauchen beim Booten eine gewisse Zeit zum Initialisieren.
  3. Die ClusterID sollte bei mehreren Clustern im Netzwerk eindeutig sein.
  4. Die UCARP-Pakete werden verschlüsselt übertragen und mit diesem Kennwort gesichert.
  5. Ist nur auf der Master aktivierbar, so wird sichergestellt, dass nach einem Reboot/Ausfall die Geräte zurück- geswitcht werden.
  6. Statusfenster.
  7. Offline schalten.

Applicationen

Application

Sollte sich der eine Dienst aus unbekannten Gründen beenden, so bietet die Cluster-Protection die Möglichkeit, den kompletten Dienst an die FW zu übergeben. Erst versucht die aktive FW diesen 3 mal neu zu starten, misslingt dies, so übernimmt die Spare den Masterstatus.

Besonderheiten

Update

  1. Sollte die FW nur über einen DSL/Kabel-Modem-Anschluss verfügen, so ist ein Update nur über den USB-Stick möglich.
  2. Sollte die FW über eine Standleitung verfügen und beide Maschinen Master und Spare eine öffentliche IP-Adresse besitzen, so ist ein Update wie folgt möglich:

Verbinden Sie sich auf der FW die gerade Spare ist. Dort initiieren Sie das Update. Starten Sie die Spare-FW neu und machen diese zum Master. Installieren Sie das Update auf der jetzigen Spare erst, wenn der Betrieb zu 100% sichergestellt ist.

Logmeldungen

Unknown ucarp[20217]: [WARNING] Switching to state: MASTER Unknown ucarp[20217]: [WARNING] Spawning [/tmp/eth1-upscript.sh eth1]

Im Clusterbetrieb sorgt der Dienst „ucarp“ für den Abgleich beider Maschinen. Sollte ein Wechsel der Maschinen stattfinden, so wird dies angezeigt.

Von „http://wiki.securepoint.de/index.php/UTM-Howto-Cluster