KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
(15 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{Lang}} | {{Lang}} | ||
{{ | {{#vardefine:headerIcon|spicon-utm}} | ||
{{var | | {{var | display | ||
| Cluster | |||
| Cluster }} | |||
{{var | head | |||
{{var | | | Securepoint Cluster Konfiguration - Best Practice | ||
| Securepoint Cluster Configuration - Best Practice }} | |||
{{var | Netzwerk | |||
| Netzwerk | |||
| Network }} | |||
{{var | Clusterkonfiguration | |||
| Clusterkonfiguration | |||
| Cluster configuration }} | |||
{{var | Aktuelle Software | |||
| Aktuelle Software | |||
| Current software }} | |||
{{var | aktuell--desc | |||
| Es sollte immer die neueste Version der Software installiert werden. <br>Nur in der aktuellen Version sind die neusten Funktionen, Sicherheits-Erweiterungen und Fehlerkorrekturen enthalten. | |||
| The latest version of the software should always be installed. <br>Only the latest version contains the latest features, security enhancements and error corrections. }} | |||
{{var | Einsatzgebiete | |||
| Einsatzgebiete | |||
| Fields of application }} | |||
{{var | Einsatzgebiete--desc | |||
| Durch Einsatz der UTM in einem Hot-Standby-Cluster kann eine Hochverfügbarkeit der UTM gewährleistet werden.<br> Die UTMs innerhalb des Clusters überwachen sich gegenseitig und schalten bei Bedarf automatisch auf das Gerät mit dem besten Status um. Ein Eingriff des Administrators ist nicht notwendig. | |||
| High availability of the UTM can be ensured by using the UTM in a hot standby cluster.<br> The UTMs within the cluster monitor each other and, if necessary, automatically switch to the device with the best status. Intervention by the administrator is not necessary. }} | |||
{{var | Abb | |||
| Abb.: | |||
{{var | | | Fig.: }} | ||
{{var | Einrichtung | |||
| Einrichtung | |||
| Installation }} | |||
{{var | Einrichtung--desc | |||
| Bei der Einrichtung des UTM-Clusters werden zwei UTMs mit identischer Firmware über eine Hotwire-Schnittstelle verbunden. Die Installation mit dem „Cluster Setup Wizard“ wird auf der ''Ursprungs-UTM'' ausgeführt, die im dann erstellten Cluster der MASTER sein wird. Mit dieser UTM wird die Synchronisierung der Konfiguration durchgeführt. Auf der ''Spare-UTM'', die im Cluster das BACKUP sein wird, werden bei der Installation die Hotwire-Schnittstelle definiert sowie ein SSH-Schlüssel erzeugt. Auch wird auf der Spare der SSH-Schlüssel des MASTER eingetragen.<br>Die aktive UTM im Cluster, hat die höhere Priorität und wird als MASTER bezeichnet.<br> Die UTM mit der niedrigeren Priorität, die passive UTM, ist das BACKUP. | |||
| When setting up the UTM cluster, two UTMs with identical firmware are connected via a Hotwire interface. The installation with the "Cluster Setup Wizard" is performed on the ''Original UTM'', which will be the MASTER in the newly created cluster. This UTM will be used to synchronize the configuration. On the ''Spare UTM'', which will be the BACKUP in the cluster, the Hotwire interface is defined and an SSH key is generated during installation. The SSH key of the MASTER is also entered on the spare UTM.<br> The active UTM in the cluster, has the higher priority and is called the MASTER.<br> The UTM with the lower priority, the passive UTM, is the BACKUP. }} | |||
{{var | Voraussetzungen | |||
| Voraussetzungen | |||
{{var | cluster-protokoll | | Requirements }} | ||
{{var | Voraussetzungen--desc | |||
| Zum Cluster-Betrieb sind folgende Voraussetzungen notwendig: | |||
{{var | cluster-protokoll--desc | | The following requirements are necessary for cluster operation: }} | ||
{{var | Voraussetzungen--cluster-lizenz | |||
| '''Eine Cluster-<u>Master</u>-Lizenz'''<br>'''Eine Cluster-<u>Spare</u>-Lizenz'''<br> <p>Zur Konfiguration und den Betrieb des UTM-Clusters wird eine gültige Cluster-Lizenz benötigt, die '''zwei unterschiedliche Lizenzen''' beinhaltet und die im [https://my.securepoint.de/login Securepoint Reseller Portal] beantragt werden kann.</p> <p>Endkunden wenden sich bitte an Ihren [https://www.securepoint.de/partner/partnerprogramm.html autorisierten Securepoint Reseller.]</p> | |||
{{var | Umschalten | | '''One Cluster-<u>Master</u> license'''<br>'''One cluster <u>Spare</u> license'''<br> <p>To configure and operate the UTM cluster, a valid cluster license is required, which contains '''two different licenses''' and which can be applied for in the [https://my.securepoint.de/login Securepoint Reseller Portal].</p> <p>End customers should contact their [https://www.securepoint.de/partner/partnerprogramm.html authorized Securepoint reseller].</p> }} | ||
{{var | Voraussetzungen--cluster-lizenz--Hinweis | |||
| Die Menüpunkte zur Cluster-Konfiguration sind sichtbar, sobald eine Cluster-Lizenz eingespielt ist. | |||
{{var | Umschalten--desc | | The menu items for cluster configuration are visible as soon as a cluster license is installed. }} | ||
{{var | Voraussetzungen--hardware | |||
| '''Zwei identische Appliances<sup>*</sup> mit mindestens 3 Ethernet Schnittstellen und gleicher Firmware'''<br> <p>Im kleinsten Szenario sind eine Eingangs-Schnittstelle (internes LAN) und eine Ausgangs-Schnittstelle (externes LAN) sowie die dritte freie Schnittstelle vorhanden. Diese, im Folgenden auch als Hotwire-Schnittstelle bezeichnet, wird für den Abgleich der Konfiguration und das Connection-Tracking benötigt. Sie kann keine weitere Netzwerkfunktion übernehmen.</p> <p><small>* Der Betrieb einer RC300 G3 und einer RC340 G3 in einem gemeinsamen Cluster ist freigegeben. Andere Konstellationen werden nicht unterstützt.</small> | |||
| '''Two identical appliances<sup>*</sup> with at least 3 Ethernet interfaces and the same firmware'''<br> <p>In the smallest scenario there is one input interface (internal LAN) and one output interface (external LAN) as well as the third free interface. This interface, also referred to as the Hotwire interface in the following, is required for configuration adjustment and connection tracking. It cannot take over any other network function.</p> }} | |||
{{var | Voraussetzungen--software | |||
| '''Die eingesetzten Switches und Router unterstützen ''gratuitous ARP'''''<br> <p>Kommt es im UTM-Cluster zum Master-/Backup-Wechsel, sendet die jetzt aktive UTM ''gratuitous ARP'' Pakete an ihre Umgebung, um die neuen MAC-Adresse bekannt zu geben.<br> Unterstützen die Switches bzw. Router diese Funktion nicht, können sie nur verzögert über die aktive UTM kommunizieren. | |||
| '''The used switches and routers support ''gratuitous ARP'''''<br> <p>If there is a master/backup change in the UTM cluster, the now active UTM sends ''gratuitous ARP'' packets to its environment to announce the new MAC address.<br> If the switches or routers do not support this function, they can only communicate via the active UTM with a delay. }} | |||
{{var | funktionsweise | |||
| Funktionsweise des Clusters | |||
| Functionality of the cluster }} | |||
{{var | funktionsweise--desc | |||
| | |||
* Der Cluster verwendet '''eindeutige IP- und MAC-Adressen''' für die beiden Mitglieder des Clusters sowie '''virtuelle IP-Adressen''' für den Cluster selber | |||
* Die virtuellen IP-Adressen sind allein auf dem aktiven Mitglied des UTM-Clusters aktiv | |||
* Fällt das aktive Mitglied des Clusters ganz oder teilweise aus, so wechseln die virtuellen IP-Adressen zum zweiten Mitglied des Clusters | |||
* Für die Clients und Server in einer Clusterkonfiguration, ist die virtuelle IP-Adresse der Kommunikationspartner im Routing <!-- (also zum Beispiel das Standard Gateway, siehe Abb. 1.2)--> | |||
| The cluster uses '''unique IP and MAC addresses''' for the two members of the cluster and '''virtual IP addresses''' for the cluster itself. The virtual IP addresses are only active on the active member of the UTM cluster. If the active member of the cluster fails completely or partially, the virtual IP addresses change to the second member of the cluster.<br> For the clients and servers in a cluster configuration, the virtual IP address is the communication partner in the routing (e.g. the standard gateway, see Fig. 1.2). }} | |||
{{var | cluster-protokoll | |||
| Das Cluster VRR Protokoll | |||
| The Cluster VRR Protocol }} | |||
{{var | cluster-protokoll--desc | |||
| <p>VRRP (Virtual Router Redundancy Protocol) ist das Kommunikationsprotokoll des Clusters. Es ist einzig auf den Schnittstellen aktiv, die als {{hover|HA-|High-Availability}}Schnittstelle konfiguriert sind. Über dieses Protokoll versendet der Master des UTM-Clusters Datenpakete an das Backup. Empfängt das Backup keine Datenpakete, so stuft es sich zum Master hoch.</p> <p>Mit Hilfe von '''tcpdump''' kann das Protokoll auf einer HA-Schnittstelle sichtbar gemacht werden (siehe Abb.)</p> <p>Es sind keine speziellen Firewall Regeln notwendig, um die Kommunikation mit dem VRR-Protokoll zu ermöglichen.</p> | |||
| <p>VRRP (Virtual Router Redundancy Protocol) is the communication protocol of the cluster. It is only active on interfaces that are configured as {{hover|HA-|High-Availability}} interfaces. The master of the UTM cluster sends data packets to the backup via this protocol. If the backup does not receive any data packets, it upgrades itself to the master.</p> <p> Using '''tcpdump''' the protocol can be made visible on a HA interface (see figure)</p> <p>No special firewall rules are required to enable communication with the VRR protocol.</p> }} | |||
{{var | Umschalten | |||
| Umschalten des Clusters | |||
| Switching the cluster }} | |||
{{var | Umschalten--desc | |||
| Folgende Zustände bzw. Ereignisse lösen ein Umschalten innerhalb des Clusters aus: | |||
* Das aktive Mitglied eines Clusters wird neu gestartet oder ganz heruntergefahren. | * Das aktive Mitglied eines Clusters wird neu gestartet oder ganz heruntergefahren. | ||
* Eine oder mehrere HA-Schnittstellen haben keinen physikalischen Link mehr. | * Eine oder mehrere HA-Schnittstellen haben keinen physikalischen Link mehr. | ||
* Der Link einer HA-Schnittstelle ist aktiv, aber aufgrund eines defekten oder falsch konfigurierten Switches kommen die VRRP Pakete nicht beim Cluster Partner an. | * Der Link einer HA-Schnittstelle ist aktiv, aber aufgrund eines defekten oder falsch konfigurierten Switches kommen die VRRP Pakete nicht beim Cluster Partner an. | ||
* Die Cluster Funktion wird auf dem aktiven Cluster-Partner durch den Administrator deaktiviert.<br | * Die Cluster Funktion wird auf dem aktiven Cluster-Partner durch den Administrator deaktiviert.<br> | ||
Sind mehr als zwei HA-Schnittstellen aktiviert, besteht im Fehlerfall die Möglichkeit, dass eine unterschiedliche Anzahl von HA-Schnittstellen nicht mehr kommunizieren können. In diesem Fall wird die UTM das aktive Mitglied werden, auf der die meisten Schnittstellen einen Link haben, solange sich die UTMs über wenigstens einer HA-Schnittstelle noch sehen. Sehen sich die UTMs auf keiner Schnittstelle mehr, gehen beide davon aus, dass das zweite Mitglied des Clusters nicht mehr vorhanden ist und beide werden zum Master. | Sind mehr als zwei HA-Schnittstellen aktiviert, besteht im Fehlerfall die Möglichkeit, dass eine unterschiedliche Anzahl von HA-Schnittstellen nicht mehr kommunizieren können. In diesem Fall wird die UTM das aktive Mitglied werden, auf der die meisten Schnittstellen einen Link haben, solange sich die UTMs über wenigstens einer HA-Schnittstelle noch sehen. Sehen sich die UTMs auf keiner Schnittstelle mehr, gehen beide davon aus, dass das zweite Mitglied des Clusters nicht mehr vorhanden ist und beide werden zum Master. | ||
| The following states or events trigger a switchover within the cluster: | |||
* The active member of a cluster is restarted or shut down completely. | * The active member of a cluster is restarted or shut down completely. | ||
* One or more HA interfaces no longer have a physical link. | * One or more HA interfaces no longer have a physical link. | ||
* The link of an HA interface is active, but due to a defective or incorrectly configured switch, the VRRP packets do not arrive at the cluster partner. | * The link of an HA interface is active, but due to a defective or incorrectly configured switch, the VRRP packets do not arrive at the cluster partner. | ||
* The cluster function is deactivated on the active cluster partner by the administrator.<br | * The cluster function is deactivated on the active cluster partner by the administrator.<br> | ||
If more than two HA interfaces are activated, it is possible that a different number of HA interfaces may no longer be able to communicate in the event of an error. In this case, the UTM on which most interfaces have a link will become the active member as long as the UTMs still see each other via at least one HA interface. If the UTMs no longer see each other on any interface, both assume that the second member of the cluster no longer exists and both become the master. }} | If more than two HA interfaces are activated, it is possible that a different number of HA interfaces may no longer be able to communicate in the event of an error. In this case, the UTM on which most interfaces have a link will become the active member as long as the UTMs still see each other via at least one HA interface. If the UTMs no longer see each other on any interface, both assume that the second member of the cluster no longer exists and both become the master. }} | ||
{{var | Umschalten--tabelle | |||
| Tabelle, Verhalten im Cluster, Beispiel zwei HA-Schnittstellen: | |||
| Table, behavior in the cluster, example two HA interfaces: }} | |||
{{var | HA-Schnittstelle | |||
| HA-Schnittstelle | |||
| HA interface }} | |||
{{var | Aktiv | |||
| Aktiv | |||
| Active }} | |||
{{var | Passiv | |||
| Passiv | |||
| Passive }} | |||
{{var | Umschalten--tabelle--desc | |||
| Hierbei ist zu beachten, dass UTM-1 eine höhere Priorität als UTM-2 hat. Ist der Zustand in der Tabelle aktiv und als rot gekennzeichnet bedeutet das, dass sich die beiden Mitglieder des Clusters nicht mehr sehen und davon ausgehen, dass der jeweils andere Partner nicht mehr vorhanden ist. Beide Mitglieder des Clusters sind dann aktiv. Eine Netzwerkkommunikation ist dann allerdings generell nicht mehr möglich, da das Problem in der Umgebung liegt. | |||
| Please note that UTM-1 has a higher priority than UTM-2. If the state in the table is active and marked as red, this means that the two members of the cluster no longer see each other and assume that the respective other partner is no longer present. Both members of the cluster are then active. However, network communication is then generally no longer possible because the problem is in the environment. }} | |||
{{var | Fallback | |||
| Fallback im Cluster | |||
| Fallback in a cluster }} | |||
{{var | 1=Fallback--desc | |||
| 2=Ist gleichzeitig ein Fallback konfiguriert und ein fehlgeschlagener Ping-Check löst das Umschalten auf die <i class="host utm">Spare</i> aus und diese registriert ebenfalls einen fehlgeschlagenen Ping-Check, wird sie den Master wieder an den ursprünglichen <i class="host utm">Master</i> zurückgeben. <br>Hier entscheidet nun die Priorität, da beide Maschinen gleichwertig beeinträchtigt sind und das Fallback der <i class="host utm">Master</i> wird aktiv. | |||
| 3=If a fallback is configured at the same time and a failed ping check triggers the switch to the <i class="host utm">Spare</i> and this also registers a failed ping check, it will return the master to the original <i class="host utm">Master</i>. <br> Here now the priority decides, because both machines are equally affected and the fallback of the <i class="host utm">Master</i> becomes active. }} | |||
{{var | Hotwire-Schnittstelle | |||
| Hotwire Schnittstelle | |||
| Hotwire interface: }} | |||
{{var | Hotwire-Schnittstelle--desc | |||
| Die Hotwire-Schnittstelle ist eine exklusive Schnittstelle, die nur zum Synchronisieren der Konfiguration der Cluster-Mitglieder und Abgleich der laufenden Verbindungen (Connection-Tracking) verwendet wird. Diese Schnittstelle hat ''exklusiv'' diese Aufgabe. Bei der Auswahl der Appliances muss darauf geachtet werden, daß für das Hotwire-Netz jeweils eine Schnittstelle frei sein muss.<br>Für die Synchronisation der Konfiguration wird das SSH-Protokoll (TCP/22) verwendet. Das Connection-Tracking wird über den Port 3780 (UDP) abgeglichen. Ist eine Ethernet-Schnittstelle als Hotwire gekennzeichnet, werden die Regeln für die Kommunikation automatisch generiert. Für die SSH-Verbindung müssen öffentliche Schlüssel zwischen den Mitgliedern des UTM-Clusters ausgetauscht werden. Der Abgleich der Konfiguration kann in beide Richtungen zwischen den Mitgliedern des Clusters erfolgen. Das Connection-Tracking wird immer automatisch vom Master im Cluster zum Backup übertragen (Abb. 1.3). | |||
| The Hotwire interface is an exclusive interface that is only used to synchronize the configuration of the cluster members and to synchronize the running connections (connection tracking). | |||
</div> | </div> |
UTM/NET/Cluster.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki