Построение отказоустойчивого решения для кластера с 2 провайдерами и одним внешним IP-адресом на узле

ID статьи: 599
Последнее обновление: 06 мар, 2023
KnowledgeBase:
Product: UserGate NGFW
Version: 5.x, 6.x, 7.x
Technology: Clustering and HA

Задача

Настроен кластер отказоустойчивости Актив-Пассив, состоящий из 2-х узлов; используются 2 провайдера, каждый из которых выделил по одному белому адресу. Белые IP-адреса указаны в качестве виртуальных адресов (VIP). Проблема заключается в том, что при включенной проверке сети, если оба оператора ее не прошли, виртуальные IP-адреса пропадают и после восстановления соединения не могут появиться, т.к. проверка сети не может быть выполнена без VIP адресов.

ПримечаниеVIP и адреса, назначенные на интерфейсы, могут быть в разных сетях. Данное решение применимо только для кластера Актив-Пассив.

Решение

ПримечаниеОдним из условий того, чтобы узел стал Мастером и назначил на свои интерфейсы VIP адреса - это наличие в таблице маршрутизации маршрута по умолчанию. 

В качестве решения предлагается использовать правила типа Policy-based routing со сценарием типа Проверка состояния  вместо проверки сети.

  1. Отключите проверку сети в разделе Сеть ➜ Шлюзы.
  2. На узлах создайте по одному сценарию типа Проверка состояния:
  • Результат: отрицательный;
  • Применить для: всех пользователей;
  • Шлюз: шлюз основного провайдера каждого узла.
  1. Создайте по 4 правила Policy-based Routing (PBR) для каждого шлюза. В настройках правил для резервного провайдера укажите созданные на шаге 2 сценарии и разместите их выше правил для основного провайдера.

Настройка правил производится в разделе Политики сети ➜ NAT и маршрутизация. Правила PBR, предназначенные для основного провайдера, сценариев не используют. Правила, предназначенные для резервного провайдера, используют сценарии, созданные на шаге 2. 

Переход на резервный провайдер происходит за счёт срабатывания негативного сценария в правиле Policy-based routing для резервного провайдера. Срабатывание сценария произойдет при отрицательном результате проверки состояния; в результате выполнения сценария, трафик будет перенаправлен через шлюз резервного провайдера.

После восстановления основного провайдера и по прошествии указанного количества времени (указывается в настройках сценария на вкладке Общие, параметр Продолжительность) сценарий отключается, и трафик маршрутизируется через шлюз основного провайдера.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 599
Последнее обновление: 06 мар, 2023
Ревизия: 3
Просмотры: 4683
Комментарии: 0
Теги