Кластер конфигурации — это объединение нескольких узлов в одну общую схему. Входящие в кластер конфигурации узлы «видят» друг друга и синхронизируют свою конфигурацию. При этом часть настроек для каждого из узлов кластера уникальна, например, настройки сетевых интерфейсов, шлюзов, маршрутов, настройки диагностики.

Кластер отказоустойчивости обеспечивает работу сетевых операций на узлах, входящих в кластер конфигурации, например, переключаемый виртуальный IP, который по определённым правилам мигрирует с одного узла на другой.

Кластер отказоустойчивости и кластер конфигурации работают на разных протоколах и в разных окружениях. При этом информация о статусе кластера отказоустойчивости распространяется между узлами через кластер конфигурации. Речь идёт именно об информации о статусе, а не о данных, которыми кластер отказоустойчивости поддерживает свою работу. Статус узлов кластера отображается в веб-консоли.

Минимальный состав отказоустойчивого решения SIEM состоит из двух узлов SIEM и узла-арбитра.

Максимальное количество узлов в кластере — 4, один из которых является арбитром.

Узел-арбитр предназначен для определения кворума в конфигурации для обеспечения консистентности данных. Он не несёт в себе функции полноценного SIEM (сбор, хранение, обработка данных), но участвует в процедуре определения большинства согласно алгоритму распределённого консенсуса для согласования операций в отказоустойчивом кластере.

На данном этапе отказоустойчивым кластером SIEM поддерживается режим работы Актив-Пассив. В режиме Актив-Пассив один из узлов выступает в роли мастер-узла, обрабатывающего трафик, а другой — в качестве резервного. Для кластера указывается один или более виртуальных IP-адресов. Переключение виртуальных адресов с главного на один из запасных узлов происходит при следующих событиях:

Запасной узел не получает подтверждения о том, что главный узел в сети, например, если он выключен или отсутствует сетевая доступность узлов.
Изменение приоритета мастер-узла. Например, приоритет мастер-узла уменьшается при отключении одного или нескольких сетевых интерфейсов, на которых назначены виртуальные IP-адреса. Также приоритет узла может быть изменен явным образом через смену мастера в веб-консоли устройства.
Сбой в работе ПО.

Создание отказоустойчивого кластера SIEM

Для создания отказоустойчивого кластера SIEM необходимо сначала настроить кластер конфигурации, объединив в него необходимые узлы, затем настроить кластер отказоустойчивости.

Настройка кластера конфигурации

Для создания кластера конфигурации необходимо выполнить следующие шаги:

1. Выполнить первоначальную настройку на первом узле. Подробнее читайте в главе Первоначальная настройка.

2. Настроить на первом узле зону, через интерфейсы которой будет выполняться репликация кластера.

В разделе Зоны создать выделенную зону для репликации настроек кластера. В настройках доступа зоны разрешить следующие сервисы:

Консоль администрирования
Кластер

Важно! Не следует использовать для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например, к интернету.

3. В разделе Кластер конфигурации указать IP-адрес, который будет использоваться для связи с другими узлами кластера.

4. Сгенерировать секретный код на первом узле, нажав одноимённую кнопку в разделе Кластер конфигурации. Полученный код скопировать в буфер обмена. Данный секретный код необходим для одноразовой авторизации следующего узла при добавлении его в кластер.

5. Подключить второй узел в кластер.

В процессе первоначальной установки второго узла подключиться к его веб-консоли, выбрать язык установки.

Указать интерфейс, который будет использован для подключения к первому узлу кластера и назначить ему IP-адрес. Оба узла кластера должны находиться в одной подсети. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера.

Указать IP-адрес первого узла, настроенный на шаге 3, вставить секретный код и нажать на кнопку Подключить:

Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер и настройки первого узла кластера реплицируются на второй.

Состояние узлов кластера конфигурации отображается в разделе Кластер конфигурации:

6. Назначить зоны интерфейсам второго узла. В веб-консоли второго узла кластера в разделе Сеть ➜ Интерфейсы необходимо назначить каждому интерфейсу корректную зону. Зоны и их настройки получены в результате репликации данных с первого узла кластера.

7. Подключить в кластер узел, который будет в дальнейшем исполнять роль арбитра.

Сгенерировать секретный код на первом узле, нажав одноимённую кнопку в разделе Кластер конфигурации. Полученный код скопировать в буфер обмена. Данный код необходим для одноразовой авторизации нового узла при добавлении его в кластер.

В процессе первоначальной установки третьего узла подключиться к его веб-консоли, выбрать язык установки.

Указать IP-адрес первого узла, настроенный на шаге 3, вставить секретный код и нажать на кнопку Подключить:

Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер и настройки первого узла кластера реплицируются на новый узел.

Состояние узлов кластера конфигурации отображается в разделе Кластер конфигурации. Узел-арбитр помечается в списке узлов кластера соответствующей иконкой:

8. Настроить параметры, индивидуальные для каждого узла кластера (опционально). Настроить шлюзы, маршруты, параметры OSPF, BGP, индивидуальные для каждого из узлов.

Настройка кластера отказоустойчивости

Узлы кластера конфигурации можно объединить в отказоустойчивый кластер. В настоящий момент поддерживается режим кластера отказоустойчивости Актив-Пассив.

В режиме Актив-Пассив один из узлов SIEM выступает в роли мастер-узла, принимающего трафик, а другой — в качестве резервного. На каждом из узлов кластера выбираются сетевые интерфейсы, у которых обязательно должны быть определены IP-адреса.

Администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своём состоянии.

Для создания кластера отказоустойчивости необходимо в разделе Кластеры отказоустойчивости нажать иконку "+" :

В открывшемся окне свойств кластера отказоустойчивости произвести следующие настройки:

На вкладке Общие:

Указать название кластера отказоустойчивости.
Задать значение идентификатора виртуального маршрутизатора. VRID должен быть уникален для каждого VRRP-кластера в локальной сети.
Поставить флажок Включено для активации кластера.

На вкладке Узлы выбрать узлы кластера конфигурации, которые войдут в создаваемый кластер отказоустойчивости.

На вкладке Виртуальные IP указать виртуальный IP-адрес и маску сети кластера отказоустойчивости, выбрать основные узлы и порты, на которых будет работать VRRP.

Отображение состояния кластера отказоустойчивости

Состояние и роль входящих в кластер узлов можно увидеть в разделе Кластеры отказоустойчивости. Роли узлов отмечены соответствующими иконками: звёздочкой отмечен активный мастер-узел, свистком — узел-арбитр.

При успешном создании кластера его состояние отображается следующим образом:

В случае недоступности мастер-узла кластера его роль перейдёт к резервному узлу. В веб-консоли второго узла поменяется статус состояния кластера и недоступного узла. При наведении на иконку статуса кластера указателя мыши отображается подсказка о причине изменения состояния кластера:

В журнале событий отобразится соответствующая запись:

В случае неконсистентного состояния кластера отказоустойчивости его статус помечается соответствующей иконкой. При наведении на иконку указателя мыши отображается подсказка о причине данного состояния кластера: