Шаблоны устройств позволяют объединить несколько устройств UserGate в кластер конфигурации с едиными настройками на всех узлах кластера и создать на базе узлов кластера конфигурации один или несколько кластеров отказоустойчивости.
Подробно о различных режимах кластеризации, используемых в UserGate, описано в разделе Кластеризация и отказоустойчивость документа UserGate 6. Руководство администратора.
Кластер конфигурации
Создание кластера конфигурации, управляемого из UGMC, практически идентично созданию отдельно стоящего кластера. Отличие лишь в том, что первый узел кластера должен быть подключен под управление UGMC до создания кластера конфигурации. Каждому узлу кластера конфигурации, подключаемому в UGMC, назначается идентификатор узла - уникальный идентификатор вида node_1, node_2, node_3 и так далее.
Для создания кластера конфигурации необходимо выполнить следующие шаги:
Наименование
Описание
Шаг 1. Выполнить первоначальную настройку на первом узле кластера
Смотрите главу Первоначальная настройка документа UserGate 6. Руководство администратора.
Шаг 2. Настроить на первом узле кластера зону, через интерфейсы которой будет выполняться репликация кластера
В разделе Зоны создать выделенную зону для репликации настроек кластера или использовать существующую (Cluster). В настройках зоны разрешить следующие сервисы:
Консоль администрирования
Кластер
Не используйте для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например, к интернету.
Шаг 3. Указать IP-адрес, который будет использоваться для связи с другими узлами кластера
В разделе Управление устройством в окне Кластерконфигурации выбрать текущий узел кластера и нажать на кнопку Редактировать. Указать IP-адрес интерфейса, входящего в зону, настроенную на шаге 2.
Шаг 4. Сгенерировать Секретный код на первом узле кластера
В разделе Управление устройством нажать на кнопку Сгенерировать секретный код. Полученный код скопировать в буфер обмена. Данный секретный код необходим для одноразовой авторизации второго узла при добавлении его в кластер.
Шаг 5. Подключить первый узел кластера конфигурации в UGMC
Подключение первого узла ничем не отличается от подключения отдельно стоящего устройства UserGate. Процедура подключения подробно описана в разделе Добавление устройств UserGate под управление UGMC.
Первому узлу автоматически назначается идентификатор node_1.
Шаг 6. Подключить второй узел в кластер
Важно! Добавление в кластер конфигурации второго и последующих узлов возможно только при первоначальной инициализации этих узлов.
Подключиться к веб-консоли второго узла кластера, выбрать язык установки.
Указать интерфейс, который будет использован для подключения к первому узлу кластера, и назначить ему IP-адрес. Оба узла кластера должны находиться в одной подсети, например, интерфейсам eth2 обоих узлов назначены IP-адреса 192.168.100.5/24 и 192.168.100.6/24. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера.
Указать IP-адрес первого узла, настроенный на шаге 3, вставить секретный код и нажать на кнопку Подключить. Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то система предложит назначить идентификатор кластера для добавляемого устройства в виде node_2, node_3, node_4 и так далее. Идентификатор node_1 уже был закреплен за первым узлом кластера. После назначения идентификатора второй узел будет добавлен в кластер, и все настройки первого узла реплицируются на второй.
После успешного добавления узла в кластер, данный узел будет отображаться в качестве второго узла в списке управляемых устройств с выбранным идентификатором.
Настройка добавленного узла, включая настройки интерфейсов, зон, политик фильтрации, может производиться либо локально, либо через политики шаблонов UGMC. Если эти настройки уже были выполнены в шаблонах UGMC на момент подключения второго узла, то они будут применены к добавленному узлу сразу же после его добавления в кластер.
Добавление третьего и последующих узлов в кластер конфигурации выполняется аналогично.
Кластер отказоустойчивости
До 4-х узлов кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме Актив-Актив или Актив-Пассив. Возможно собрать несколько кластеров отказоустойчивости. Для создания кластера отказоустойчивости с помощью UGMC необходимо выполнение следующих условий:
Наименование
Описание
Наличие кластера конфигурации
Должен быть создан кластер конфигурации. Кластер конфигурации должен корректно отображаться в списке управляемых устройств.
Наличие управляемых из UGMC интерфейсов
Наличие на устройствах UserGate интерфейсов, которые созданы и управляются из UGMC. Виртуальные IP-адреса могут быть назначены только на интерфейсы, которые созданы в шаблонах UGMC.
Выполнение требований, предъявляемых к кластеру отказоустойчивости
Выполнение всех требований, предъявляемых к узлам, при создании кластера отказоустойчивости без использования UGMC. Подробно о кластерах отказоустойчивости описано в разделе Кластеризация и отказоустойчивость документа UserGate 6. Руководство администратора.
Для создания кластера отказоустойчивости необходимо выполнить следующие шаги:
Наименование
Описание
Шаг 1. Настроить зоны, интерфейсы которых будут участвовать в отказоустойчивом кластере
В одном из шаблонов UGMC, где настроены зоны для управляемых устройств, в разделе Зоны следует разрешить сервис VRRP для всех зон, где планируется добавлять кластерный виртуальный IP-адрес.
Шаг 2. Создать кластер отказоустойчивости
В одном из шаблонов UGMC, в разделе Управление устройством ➜ Кластер отказоустойчивости нажать на кнопку Добавить и указать параметры кластера отказоустойчивости.
Если предполагается использовать авторизацию с помощью Captive-портала, то необходимо, чтобы системные имена хостов auth.captive и logout.captive, которые используются процедурами авторизации в Captive, резолвились в IP-адрес, назначенный в качестве кластерного виртуального адреса. Данную настройку можно выполнить в одном из шаблонов UGMC, в разделе Настройки.
Более детально эти параметры описаны в разделе Настройка устройства документа UserGate 6. Руководство администратора.
Параметры отказоустойчивого кластера:
Наименование
Описание
Включено
Включение/отключение отказоустойчивого кластера.
Название
Название отказоустойчивого кластера.
Описание
Описание отказоустойчивого кластера.
Режим кластера
Режим отказоустойчивого кластера:
Актив-Актив - нагрузка распределяется на все узлы кластера
Актив-Пассив - нагрузка идет на Мастер-узел и переключается на запасной узел в случае недоступности Мастер-узла.
Синхронизировать сессии
Включает режим синхронизации пользовательских сессий между всеми узлами, входящими в кластер отказоустойчивости. Включение данной опции делает переключение пользователей с одного устройства на другое прозрачным для пользователей, но добавляет существенную нагрузку на платформу UserGate. Имеет смысл только для режима кластера Актив-Пассив.
Мультикаст идентификатор кластера
В одном кластере конфигурации может быть создано несколько кластеров отказоустойчивости. Для синхронизации сессий используется определенный мультикастовый адрес, определяемый данным параметром. Для каждой группы кластеров отказоустойчивости, в которой должна поддерживаться синхронизация сессий, требуется установить уникальный идентификатор.
Идентификатор виртуального роутера (VRID)
Идентификатор виртуального роутера должен быть уникален для каждого VRRP-кластера в локальной сети. Если в сети не присутствуют сторонние кластеры VRRP, то рекомендуется оставить значение по умолчанию.
Узлы
Выбираются узлы кластера конфигурации для объединения их в кластер отказоустойчивости. Узлы кластера представлены идентификаторами, назначенными узлам кластера конфигурации при создании кластера конфигурации.
Виртуальные IP-адреса
Назначаются виртуальные IP-адреса и их соответствие интерфейсам узлов кластера. В качестве интерфейсов могут быть использованы только интерфейсы, которые были созданы в одном из шаблонов UGMC.