Кластер конфигурации. Узлы, объединенные в кластер конфигурации, поддерживают единые параметры фильтрации и обработки трафика в рамках кластера.
Кластер отказоустойчивости. До четырех узлов кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме «активный — активный» или «активный — пассивный». Возможно собрать несколько кластеров отказоустойчивости.

Кластер конфигурации

Ряд параметров уникален для каждого из узлов кластера. К уникальным относятся параметры:

Log Analyzer,
диагностики,
интерфейсов,
шлюзов,
DHCP,
маршрутов,
OSPF,
BGP.

Чтобы создать кластер конфигурации:

1. Выполните первоначальную настройку на первом узле кластера.

2. Настройте на первом узле кластера зону, через интерфейсы которой будет выполняться репликация кластера: в разделе Настройки ➜ Сеть ➜ Зоны создайте выделенную зону для репликации кластера или используйте существующую (Cluster). В параметрах зоны в блоке Контроль доступа разрешите сервисы Консоль администрирования и Кластер.

Внимание!Не используйте для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например к интернету.

3. Укажите IP-адрес, который будет использоваться для связи с другими узлами кластера: в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластер конфигурации выберите текущий узел кластера, нажмите Редактировать и укажите IP-адрес интерфейса, входящего в зону, настроенную на шаге 2.

4. В блоке Кластер конфигурации нажмите Еще ➜ Сгенерировать секретный код и скопируйте полученный код в буфер обмена. Код необходим для одноразовой авторизации второго узла при его добавлении в кластер.

5. Подключитесь к веб-консоли второго узла кластера, выберите язык установки. Укажите интерфейс, который будет использован для подключения к первому узлу кластера, и назначьте ему IP-адрес. Оба узла кластера должны находиться в одной подсети. Например, интерфейсам eth2 обоих узлов могут быть назначены IP-адреса 192.168.100.5/24 и 192.168.100.6/24. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера.

Укажите IP-адрес первого узла, настроенный на шаге 3, вставьте секретный код и нажмите Подключить. Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер и все параметры первого кластера реплицируются на второй.

Состояние узлов кластера конфигурации можно определить по цветовой индикации напротив названия узла UserGate в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластер конфигурации:

Зеленый: узел доступен.
Желтый: происходит синхронизация между узлами кластера конфигурации.
Красный: связь с узлом потеряна, узел недоступен.

6. В веб-консоли второго узла кластера в разделе Настройки ➜ Сеть ➜ Интерфейсы назначьте каждому интерфейсу корректную зону. Зоны и их параметры получены в результате репликации данных с первого узла кластера.

7. Настройте шлюзы, маршруты, параметры OSPF, BGP, индивидуальные для каждого из узлов.

ПримечаниеПри вводе дополнительного узла в кластер конфигурации в явном виде указываются параметры интерфейса и шлюза для подключения к первому узлу. Тип присвоения IP-адреса этого интерфейса будет статическим.

Кластер отказоустойчивости «активный — пассивный»

До четырех узлов кластера конфигурации можно объединить в отказоустойчивый кластер. Самих кластеров отказоустойчивости может быть несколько, например в кластер конфигурации могут быть добавлены узлы A, B, C и D, на основе которых будет создано два кластера отказоустойчивости — A-B и C-D.

Поддерживаются два режима кластера отказоустойчивости — «активный — активный» или «активный — пассивный». Состояние узлов кластера можно определить по цвету индикатора около названия узла NGFW в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластеры отказоустойчивости:

Нет цветового индикатора: узел кластера доступен
Желтый: кластер отказоустойчивости не запущен на узле.
Красный: нет связи с соседними узлами конфигурации.

Отсутствие индикатора напротив названия узла говорит о доступности узла кластера.

В режиме «активный — пассивный» один из межсетевых экранов выступает в роли мастер-узла, обрабатывающего транзитный трафик пользователей, а остальные — в качестве резервных, которые находятся в состоянии готовности начать обработку трафика. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

ПримечаниеРежим «активный — пассивный» поддерживает синхронизацию пользовательских сессий — это обеспечивает прозрачное для пользователей переключение трафика с одного узла на другой, за исключением сессий, использующих прокси-сервер, например трафик HTTP(S).

При переходе главной роли на резервный сервер на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

Резервный узел не получает подтверждения о том, что мастер-узел находится в сети (таймеры: Adver — 1 сек., MasterDown — 3 сек.), например если он выключен или отсутствует сетевая доступность узлов.
На узле настроена проверка доступа в интернет (см. раздел «Настройка шлюзов») и ни через один из шлюзов нет доступа в интернет.
Если узел, указанный в свойствах проверки сети, недоступен на всех узлах кластера, то кластер отказоустойчивости будет отключен.
Сбой в работе ПО UserGate NGFW.

Отключение одного или нескольких сетевых интерфейсов, на которые назначены виртуальные IP-адреса, понижает приоритет узла, но не обязательно приводит к изменению его роли. Переход на резервный узел произойдет, если приоритет резервного узла окажется выше, чем приоритет мастер-узла. По умолчанию приоритет узла, назначенный мастер-узлу, равен 250, приоритет резервного узла — 249. Приоритет узла уменьшается на 2 для каждого кластерного интерфейса, который физически не подключен к сети. Соответственно, если на кластере отказоустойчивости, состоящем из двух узлов, один из интерфейсов на мастер-узле будет физически отключен от сети, резервный узел станет мастером (при условии, что на резервном узле все кластерные интерфейсы подключены к сети). В таком случае приоритет мастер-узла будет равен 248, приоритет резервного — 249). При восстановлении физического подключения на первоначальном мастер-узле этот узел снова станет мастером, поскольку его приоритет вернется в значение 250 (справедливо для случая, когда виртуальные адреса сконфигурированы на двух и более интерфейсах; если на одном, то роль мастер-узла не возвращается).

Отключение одного или нескольких кластерных сетевых интерфейсов на резервном узле понижает приоритет узла, тем не менее этот резервный узел может стать мастером при безусловном переходе роли или в случае, когда приоритет мастер-узла станет меньше, чем приоритет резервного узла.

ПримечаниеЕсли кластерные IP-адреса назначены VLAN-интерфейсам, отсутствие подключения на физическом интерфейсе будет трактоваться кластером отказоустойчивости как потеря соединения на всех VLAN-интерфейсах, созданных на этом физическом интерфейсе.

ПримечаниеДля уменьшения времени, требуемого сетевому оборудованию для перевода трафика на резервный узел при переключении, UserGate NGFW посылается служебное оповещение GARP (Gratuitous ARP), извещающее сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. Пакет GARP отсылается UserGate NGFW каждую минуту и при переходе роли мастера на резервный узел.

Ниже представлена пример сетевой диаграммы отказоустойчивого кластера в режиме «активный — пассивный». Интерфейсы настроены следующим образом:

Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).
Зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted).
Зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации параметров.

Оба кластерных IP-адреса находятся на узле UG1. Если узел UG1 становится недоступным, то оба кластерных IP-адреса перейдут на следующий узел, который станет мастером, например на UG2.

Кластер отказоустойчивости в режиме «активный — пассивный»

Кластер отказоустойчивости «активный — активный»

В режиме «активный — активный» один из межсетевых экранов выступает в роли мастер-узла, распределяющего трафик на все остальные узлы кластера. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

Виртуальные IP-адреса всегда находятся на интерфейсах мастер-узла, поэтому мастер-узел получает ARP-запросы клиентов и отвечает на них, последовательно отдавая MAC-адреса всех узлов отказоустойчивого кластера, обеспечивая равномерное распределение трафика на все узлы кластера, учитывая при этом необходимость неразрывности пользовательских сессий.

ПримечаниеБалансировка трафика будет работать только в одном широковещательном домене. Например, если для клиентов VIP-адрес будет шлюзом по умолчанию, балансировка трафика будет работать, так как разным клиентам будут поочередно отдаваться разные MAC-адреса узлов. Но в случае если между UserGate NGFW и клиентами находится маршрутизатор, балансировка работать не будет, так как ARP-запрос на VIP-адрес отправит только сам маршрутизатор и ему вернется MAC-адрес только одного из узлов, через который он и отправит весь трафик.

ПримечаниеРежим «активный — активный» поддерживает синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другой, за исключением сессий, использующих прокси-сервер, например трафик HTTP(S).

При переходе мастер-роли на резервный узел на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

Резервный сервер не получает подтверждения о том, что мастер-узел находится в сети (таймеры: Adver — 1 сек., MasterDown — 3 сек.), например если он выключен или отсутствует сетевая доступность узлов.
На узле настроена проверка доступа в интернет (см. раздел «Настройка шлюзов») и ни через один из шлюзов нет доступа в интернет.
Сбой в работе ПО UserGate NGFW.

Отключение одного или нескольких кластерных сетевых интерфейсов на резервном узле, понижает приоритет узла, а также исключает этот узел из балансировки трафика. Тем не менее этот резервный узел может стать мастером при безусловном переходе роли или в случае, когда приоритет мастер-узла станет меньше, чем приоритет резервного узла.

ПримечаниеДля уменьшения времени, требуемого сетевому оборудованию для перевода трафика на резервный узел при переключении, UserGate NGFW посылается служебное оповещение GARP (Gratuitous ARP), извещающее сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. В режиме «активный — активный» пакет GARP отсылается UserGate NGFW только при переходе роли мастер-узла на резервный узел.

Ниже представлен пример сетевой диаграммы отказоустойчивого кластера в режиме «активный — активный». Интерфейсы настроены следующим образом:

Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).
Зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted).
Зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации параметров.

Кластер отказоустойчивости в режиме «активный — активный»

ПримечаниеДля корректной обработки трафика необходимо, чтобы обратный трафик от сервера к клиенту вернулся через тот же узел UserGate NGFW, через который он был инициирован от клиента, то есть чтобы сессия пользователя всегда проходила через один и тот же узел кластера. Самое простое решение этой задачи – использование NAT, ведущего из сети клиента в сеть сервера (NAT из зоны Trusted в зону Untrusted).

Чтобы создать кластер отказоустойчивости:

1. Создайте кластер конфигурации (см. инструкцию выше).

2. В разделе Настройки ➜ Сеть ➜ Зоны разрешите сервис VRRP для всех зон, где планируется добавлять кластерный виртуальный IP-адрес (зоны Trusted и Untrusted на диаграммах выше).

3. Создайте кластер отказоустойчивости: в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластер отказоустойчивости нажмите Добавить и укажите параметры кластера отказоустойчивости.

4. Укажите виртуальный IP-адрес для узлов auth.captive, logout.captive, block.captive, ftpclient.captive. Если вы хотите использовать авторизацию с помощью captive-портала, необходимо, чтобы системные имена узлов auth.captive и logout.captive, которые используются процедурами авторизации в Captive, преобразовывались (resolve) в IP-адрес, назначенный в качестве кластерного виртуального адреса. Более детально эти параметры описаны в разделе «Общие настройки».

Ниже описаны параметры отказоустойчивого кластера:

Параметр	Описание
Включено	Включение и отключение кластера отказоустойчивости.
Название	Название кластера отказоустойчивости.
Описание	Описание кластера отказоустойчивости.
Режим кластера	Режим кластера отказоустойчивости: Актив-Актив — нагрузка распределяется на все узлы кластера. Актив-Пассив — нагрузка идет на мастер-узел и переключается на резервный узел в случае, если мастер-узел недоступен.
Синхронизировать сессии	Включает режим синхронизации пользовательских сессий на всех узлах, входящих в кластер отказоустойчивости. Делает переключение с одного устройства на другое удобным для пользователей, но добавляет существенную нагрузку на платформу UserGate NGFW. Синхронизация сессий актуальна только для режима режима кластера активный — пассивный.
Мультикаст идентификатор	В одном кластере конфигурации может быть создано несколько кластеров отказоустойчивости. Для синхронизации сессий используется мультикастовый адрес, определяемый данным параметром. Для каждой группы кластеров отказоустойчивости, в которой должна поддерживаться синхронизация сессий, требуется установить уникальный идентификатор.
Идентификатор виртуального маршрутизатора (VRID)	Идентификатор виртуального маршрутизатора должен быть уникален для каждого VRRP-кластера в локальной сети. Если в сети нет сторонних кластеров VRRP, рекомендуется оставить значение по умолчанию.
Узлы	Выбираются узлы кластера конфигурации для их объединения в кластер отказоустойчивости. Здесь же можно назначить роль мастера одному из выбранных узлов.
Виртуальные IP-адреса	Назначаются виртуальные IP-адреса и задается их соответствие интерфейсам узлов кластера.
Синхронизация UDP/ICMP	Управление режимом синхронизации пользовательских сессий: Синхронизовать все сессии — включение и отключение режима синхронизации всех пользовательских сессий, в том числе сессий UDP/ICMP. В случае если этот параметр не активирован, а параметр Синхронизировать сессии на вкладке Общие активирован, синхронизироваться будут только TCP-сессии. Важно! Когда режим включен, синхронизация пользовательских сессий по умолчанию происходит через случайно выбранный сетевой интерфейс узла кластера. Чтобы настроить синхронизацию сессий только через интерфейс, принадлежащий зоне кластера, в параметрах кластера отказоустойчивости на вкладке «Виртуальные IP» необходимо создать виртуальный IP-адрес для кластерных интерфейсов. Исключенные из синхронизации IP — IP-адреса, с которыми не будут синхронизироваться пользовательские сессии.

Эта статья была: Полезна | Не полезна

ID статьи: 942

Последнее обновление: 02 окт, 2025

Ревизия: 50

Просмотры: 14166

Комментарии: 0

Пред.

След.

« Работа с вышестоящими прокси-серверами

Настройка сети »

О компании

Продукты

Поддержка

Техническая документация

Условия использования

Конфиденциальность

Кластеризация и отказоустойчивость

BBCode подсказки

Кластер конфигурации

Кластер отказоустойчивости «активный — пассивный»

Кластер отказоустойчивости «активный — активный»