Wechseln zu:Navigation, Suche
Wiki

UTM Cluster Management

Aus Securepoint Wiki





























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden

























































Firmware-Verwaltung, Updates, Konfigurationsverwaltung und Wartungsmodus

Letzte Anpassung zur Version: 14.0.0(11.2024)

Neu:

notemptyDieser Artikel bezieht sich auf eine Beta-Version

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Netzwerk Clusterkonfiguration  Bereich Management

Vorbemerkung

  • Bevor das Update auf dem Cluster-System durchgeführt wird, ist die Funktionsfähigkeit (siehe Beschreibung "Test-Verfahren" ) mit der aktuellen Version zu prüfen.
    Sollte der Test nicht erfolgreich sein kann es zu Störungen im Update-Vorgang kommen.
  • Um die Master-UTM und die Spare-UTM schnell unterscheiden zu können, ist der Header der Spare-UTM grau und der Pfad des Gerätes ist mit (Passiver Cluster) betitelt.
    Clusterkonfiguration UTMbenutzer@firewall.name.fqdn (Passiver Cluster)Netzwerk
  • notemptyNeu ab v14.0: Falls der Cluster nicht synchronisiert ist steht ist außerdem ein Hinweis im Header, ein Warnhinweis im Seitenmenü, sowie beim Aufrufen des Admin-Webinterfaces ein Hinweis Dialog.

Updates im Cluster zum UTM Update 14.1.3

notempty

Aufgrund einer Umstellung der Passwortverarbeitung bei Clustern im Rahmen des Updates auf die UTM Version 14.1.3 kann es dazu kommen, dass Master und Spare UTM gleichzeitig in den Aktiven Modus schalten.

Dieses Verhalten tritt nur einmalig auf bei einem Update von einer UTM Version 14.0.12 oder früher auf Version 14.1.3 (oder höher).

Zur Vermeidung dieses Zustands empfehlen wir dieses Vorgehen:

  • Wartungsmodus auf der Spare UTM aktivieren
  • Master UTM auf Version 14.1.3 updaten
  • Spare UTM auf Version 14.1.3 updaten

Beachten Sie dabei, dass es hierbei zu einem kurzzeitigen Ausfall des Netzwerkverkehrs kommt, bis die Master UTM wieder online ist


Einstellungen im Bereich Management

Einstellungen im Bereich Management

Status

Status
Beschriftung Wert Aktion Beschreibung Clusterkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk Bereich Management
Clusterstatus: Der Status des Clusters, bei grün ist die aktuelle UTM aktiv, bei gelb ist sie als backup bereit aber nicht aktiv. Ein Klick auf die Schaltfläche aktualisiert die Information.
Synchronisationsstatus: Zeigt an, ob die Konfigurationen der UTMs synchronisiert sind, wenn nicht, kann dies mithilfe der Schaltfläche geändert werden.

Firmware

Firmware
Installierte Firmware der Gegenstelle: 12.6.1 Zeigt die verwendete Firmware-Version des Clusterpartners an.
Ein Klick auf die Schaltfläche aktualisiert die Information.
Installierte Version: 12.6.1
Verfügbare Version: 12.6.1.1 (Neuere Version)
Verfügbare Version: 12.6.0 (Ältere Version)

Beim Hovern über die Versionsangaben werden Informationen zu den jeweils vorhandenen Versionen angezeigt.
Lokal installierte Firmware: 12.6.1 Zeigt die lokal installierte Version an.
Mit Klick auf die Schaltfläche wird diese Firmwareversion auf die Gegenstelle übertragen.
  • Nur möglich, wenn die lokale Version neuer ist (grün hinterlegt), als die Version der Gegenstelle
    • Lokal verfügbare Firmware: -
    12.6.1    		 Zeigt eine lokal verfügbare Version an, sofern diese neuer als die lokal installierte Version ist.
  • Schaltfläche ist deaktiviert, wenn die lokale Version nicht neuer ist (grau hinterlegt), als die auf der Gegenstelle installierte Version.

    • Konfiguration

    Konfiguration
    Konfiguration synchronisieren: Überträgt die lokale Konfiguration auf die Gegenstelle notemptyNeu ab v12.6.1:
    • Überprüfung der Schnittstellen durch Dialog (siehe Bild)
  • Wird die Zuordnung nicht angepasst, werden diese Schnittstelen auf der Spare UTM als Unmatched gekennzeichnet (siehe Abb. rechts)
    • Synchronisierung von Virus-Patterns und Mailarchive Hashes (Spam)
    • Synchronisierung der GEO-IP Liste
    • Die Bond-Interfaces werden nur auf der Master konfiguriert
    • Die Konfiguration der Bond-Interfaces wird bei einer Synchronisation vollständig auf die Spare übertragen
    • Ausnahme: Die Host-MAC-Adresse wird nicht synchronisiert
      • Bei der initialen Synchronisation wird auf der Spare automatisch eine Adresse der dort beteiligten Schnittstellen als Host-MAC-Adresse gewählt
      • Eine anschließend gezielt ausgewählte MAC-Adresse auf der Spare wird durch eine spätere Synchronisation nicht verändert
    Konfiguration synchronisieren: Schnittstellen überprüfen
    Unmatched Interfaces auf der Gegenstelle
    Konfiguration zurücksetzen: Setzt die Cluster-Konfiguration der lokalen UTM auf Werkseinstellungen zurück
    (Erfordert eine zusätzliche Bestätigung)

    Wartungsmodus

    Wartungsmodus
    Wartungsmodus: Aus Ein Aktiviert den Wartungsmodus
    • Der Wartungsmodus dient dazu, kontrolliert auf die Spare umzuschalten und verhindert mehrfaches Umschwenken bei mehreren Einzelschritten (z.B. ändern von IP-Adressen)
    • Die im Wartungsmodus zur Verfügung stehenden Dienste werden im Assistenten im Schritt 4 bzw. unter Netzwerk Clusterkonfiguration  Bereich Anwendungen konfiguriert
    • Die UTM ist im Wartungsmodus nicht über die virtuelle IP sondern nur über eine feste IP-Adresse erreichbar
  • Wird in einer aktiven Websession der Cluster-Wartungsmodus aktiviert, so schließt sich die Websession. Die UTM kann dann nicht mehr über das Portal administriert werden.
  • Befindet sich die Spare im Wartungsmodus, wird diese bei einem Ausfall der Master nicht zum aktiven Clustermitlgied!
  • Der Wartungsmodus ist nicht persistent. Nach einem Neustart (z.B. bei einem Update) ist der Wartungsmodus nicht aktiv

    • CLI Befehle für den Wartungsmodus finden sich in einem eigenen Wiki Artikel.


    Firmware-Updates im Cluster

    Update Spare
    Schritt 1 Update Spare
    • Eine Update Version der Firmware muss vorliegen. Ggf. unter Extras Firmware Updates mit der Schaltfläche die Neueste Firmware herunterladen
    • Das Update sollte zunächst auf der Spare installiert werden.
      Die Installation zunächst auf der Spare ermöglicht z.B. eine Prüfung der Einstellungen und Hardware-Kompatibilität

      Sollte die Spare über keinen Internetzugang verfügen, kann unter Netzwerk Clustereinstelllungen  Bereich Management die Update-Version von der Master auf die Spare übertragen werden (siehe Abschnitt Firmware.)
    • Installation im Menü Extras Firmware Updates  Schaltfläche Probelauf starten
    Kontrolle Spare
    Schritt 2 Kontrolle Spare
    • Nachdem das Update auf der Spare installiert wurde, wird das Webinterface der Spare-UTM aufgerufen. Hier die Option Später erneut fragen wählen.
    • Prüfen, ob das Update ordnungsgemäß installiert wurde.
    • Bei positivem Ergebnis anschließend unter Extras Firmwareupdates  Schaltfläche Probelauf abschließen das Update finalisieren.
    • Sollten Probleme auftreten, kann mit der Schaltfläche Probelauf abbrechen ein Rollback durchgeführt werden.
  • Wird der Probelauf nicht abgeschlossen, führt die UTM automatisch beim nächsten Start ein Rollback durch!
    • Update Master
    Schritt 3 Update Master
    • Bevor das Update auf der Master installiert wird, sollte hier der Wartungsmodus unter Netzwerk Clustereinstelllungen  Bereich Management (s.o.) aktiviert werden
    • Nun kann das Update unter Extras Firmware Updates auf der Master installiert werden. Während der Installation des Updates wird die Master-UTM zwischenzeitlich neu gestartet. Der Wartungsmodus ist nicht persistent. Die Master wird nach dem Reboot wieder das aktive Gerät.
    Kontrolle Master
    Schritt 4 Kontrolle Master
    • Wenn die UTM neu gestartet wurde, dann wird auch der Wartungsmodus beendet, falls er aktiv war. Die Spare schaltet sich in den Backup-Modus und der Master in den aktiven Modus.
      Beim ersten Anmelden sollte die Firmware nicht finalisiert werden.
    • Bei positivem Ergebnis anschließend unter Extras Firmwareupdates  Schaltfläche Probelauf abschließen das Update finalisieren.
    • Sollten Probleme auftreten, kann mit der Schaltfläche Probelauf abbrechen ein Rollback durchgeführt werden.
  • Wird auf der Master ein Rollback durchgeführt muss dieses anschließend auch auf der Spare durchgeführt werden, damit beide Cluster-Partner die selbe Firmware-Version haben. Extras Firmware Ältere Version Probelauf starten
  • Wird der Probelauf nicht abgeschlossen, führt die UTM automatisch beim nächsten Start ein Rollback durch!
    • Abschließend ist der Wartungsmodus deaktiviert.


    Test der Cluster-Funktionalität

    Nachdem bei den UTMs das Update installiert wurde, sollte noch die Cluster-Funktionalität bei einem Ausfall der HA-Schnittstellen getestet werden, um sicherzustellen, dass das Cluster sich im Fehlerfall ordnungsgemäß verhält.

    notemptySollten nach dem Update Probleme auftreten, kann ein Rollback auf die vorherige Version durchgeführt werden.


    Simulation: Ausfall der Master-UTM

    Test: Die Master-UTM ist über die Oberfläche ordnungsgemäß herunterzufahren.
    Erwartetes Verhalten: Die Spare-UTM übernimmt die Funktion.


    Simulation: Ausfall einer HA-Schnittstelle auf der Master-UTM
    Test:Das Netzwerkkabel ist aus einer HA gekennzeichneten Schnittstelle zu entfernen.
  • Dieser Test sollte mit jeder HA-Schnittstelle durchgeführt werden.
    • Erwartetes Verhalten: Die Spare-UTM übernimmt die Funktion.


    Synchronisation der Konfiguration

    Test: Nach dem erfolgreichen Test ist die Synchronisation der Konfiguration zwischen Master- und Spare-UTM zu testen.
    Erwartetes Verhalten: Die Synchronisation der Konfiguration erfolgt ohne Fehler.

    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/NET/Cluster-Management&oldid=102070