Раздел Управление устройством определяет следующие установки UGMC:
Кластеризация.
Настройки диагностики.
Операции с сервером.
Экспорт и импорт настроек.
Кластеризация и отказоустойчивость
UGMC поддерживает 2 типа кластеров:
Кластер конфигурации. Узлы, объединенные в кластер конфигурации, поддерживают единые настройки в рамках кластера.
Кластер отказоустойчивости. До 4-х узлов кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме Актив-Актив или Актив-Пассив.
Ряд настроек уникален для каждого из узлов кластера, например, настройка сетевых интерфейсов и IP-адресация. Список уникальных настроек:
Наименование
Описание
Настройки, уникальные для каждого узла
Настройки диагностики
Настройки интерфейсов
Настройки шлюзов
Маршруты
Для создания кластера конфигурации необходимо выполнить следующие шаги:
Наименование
Описание
Шаг 1. Выполнить первоначальную настройку на первом узле кластера.
Шаг 2. Настроить на первом узле кластера зону, через интерфейсы которой будет выполняться репликация кластера.
В разделе Зоны создать выделенную зону для репликации настроек кластера. В настройках зоны разрешить следующие сервисы:
Консоль администрирования.
Кластер.
Не используйте для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например, к интернету.
Шаг 3. Указать IP-адрес, который будет использоваться для связи с другими узлами кластера.
В разделе Управление устройством в окне Кластерконфигурации выбрать текущий узел кластера и нажать на кнопку Редактировать. Указать IP-адрес интерфейса, входящего в зону, настроенную на шаге 2.
Шаг 4. Сгенерировать Секретный код на первом узле кластера.
В разделе Управление устройством нажать на кнопку Сгенерировать секретный код. Полученный код скопировать в буфер обмена. Данный секретный код необходим для одноразовой авторизации второго узла при добавлении его в кластер.
Шаг 5. Подключить второй узел в кластер.
Второй и последующие узлы подключаются в кластер на моменте первоначальной инициализации. Если инициализация уже была проведена, то необходимо перезагрузить устройство и выполнить возврат к заводским установкам (Factory reset).
Подключиться к веб-консоли второго узла кластера, выбрать язык установки.
Указать интерфейс, который будет использован для подключения к первому узлу кластера, и назначить ему IP-адрес. Оба узла кластера должны находиться в одной подсети, например, интерфейсам port2 обоих узлов назначены IP-адреса 192.168.100.5/24 и 192.168.100.6/24. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера.
Указать IP-адрес первого узла, настроенный на шаге 3, вставить секретный код и нажать на кнопку Подключить. Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер, и все настройки первого узла кластера реплицируются на второй.
Шаг 6. Назначить зоны интерфейсам второго узла.
В веб-консоли второго узла кластера в разделе Сеть ➜ Интерфейсы необходимо назначить каждому интерфейсу корректную зону. Зоны и их настройки получены в результате репликации данных с первого узла кластера.
Шаг 7. Настроить параметры, индивидуальные для каждого узла кластера (опционально).
Настроить шлюзы, маршруты и другие настройки, индивидуальные для каждого из узлов.
До четырех узлов кластера конфигурации можно объединить в отказоустойчивый кластер. Самих кластеров отказоустойчивости может быть несколько. Поддерживаются 2 режима - Актив-Актив и Актив-Пассив.
В режиме Актив-Пассив один из серверов выступает в роли Мастер-узла, обрабатывающего трафик, а остальные - в качестве резервных. Для кластера указывается один или более виртуальных IP-адресов. Переключение виртуальных адресов с главного на один из запасных узлов происходит при следующих событиях:
Запасной сервер не получает подтверждения о том, что главный узел в сети, например, если он выключен или отсутствует сетевая доступность узлов.
На главном узле настроена проверка доступа в интернет.
Сбой в работе ПО UserGate.
Ниже представлен пример сетевой диаграммы отказоустойчивого кластера в режиме Актив-Пассив. Интерфейсы настроены следующим образом:
Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).
Зона Management: интерфейсы в зоне Management используются для управления узлами UGMC.
Кластерный IP-адрес находятся на узле UGMC 1. Если узел UGMC 1 становится недоступным, то кластерный IP-адрес перейдет на следующий сервер, который станет мастер-сервером, например, UGMC 2.
В режиме Актив-Актив один из серверов выступает в роли Мастер-узла, распределяющего трафик на все остальные узлы кластера. Поскольку IP-адрес кластера находится на Мастер-узле, то Мастер-узел отвечает на ARP-запросы клиентов. Выдавая последовательно MAC-адреса всех узлов отказоустойчивого кластера, Мастер-узел обеспечивает равномерное распределение трафика на все узлы кластера, учитывая при этом необходимость неразрывности пользовательских сессий. Для кластера указывается один или более виртуальных IP-адресов. Перемещение роли Мастер-узла на один из запасных узлов происходит при следующих событиях:
Запасной сервер не получает подтверждения о том, что главный узел в сети, например, если он выключен или отсутствует сетевая доступность узлов.
На главном узле настроена проверка доступа в интернет.
Сбой в работе ПО UserGate.
Ниже представлен пример сетевой диаграммы отказоустойчивого кластера в режиме Актив-Актив. Интерфейсы настроены следующим образом:
Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).
Зона Management: интерфейсы в зоне Management используются для управления узлами UGMC.
Кластерный IP-адрес находятся на узле UGMC 1, который является мастер-узлом. При этом трафик распределяется на все узлы кластера. Если узел UGMC 1 становится недоступным, то роль мастера и кластерный IP-адрес перейдет на следующий сервер, например, UGMC 2.
Для создания отказоустойчивого кластера необходимо выполнить следующие шаги:
Наименование
Описание
Шаг 1. Создать кластер конфигурации.
Создать кластер конфигурации, как это описано на предыдущем шаге.
Шаг 2. Настроить зоны, интерфейсы которых будут участвовать в отказоустойчивом кластере.
В разделе Зоны следует разрешить сервис VRRP для всех зон, где планируется добавлять кластерный виртуальный IP-адрес (зона Trusted на диаграммах выше).
Шаг 3. Создать кластер отказоустойчивости.
В разделе Управление устройством ➜ Кластер отказоустойчивости нажать на кнопку Добавить и указать параметры кластера отказоустойчивости.
Параметры отказоустойчивого кластера:
Наименование
Описание
Включено
Включение/отключение отказоустойчивого кластера.
Название
Название отказоустойчивого кластера.
Описание
Описание отказоустойчивого кластера.
Режим кластера
Режим отказоустойчивого кластера:
Актив-Актив — нагрузка распределяется на все узлы кластера.
Актив-Пассив — нагрузка идет на Мастер-узел и переключается на запасной узел в случае недоступности Мастер-узла.
Мультикаст идентификатор кластера
В одном кластере конфигурации может быть создано несколько кластеров отказоустойчивости. Для синхронизации сессий используется определенный мультикастовый адрес, определяемый данным параметром. Для каждой группы кластеров отказоустойчивости, в которой должна поддерживаться синхронизация сессий, требуется установить уникальный идентификатор.
Идентификатор виртуального роутера (VRID)
Идентификатор виртуального роутера должен быть уникален для каждого VRRP-кластера в локальной сети. Если в сети не присутствуют сторонние кластеры VRRP, то рекомендуется оставить значение по умолчанию.
Узлы
Выбираются узлы кластера конфигурации для объединения их в кластер отказоустойчивости. Здесь же можно назначить роль Мастер-сервера одному из выбранных узлов.
Виртуальные IP-адреса
Назначаются виртуальные IP-адреса и их соответствие интерфейсам узлов кластера.
Диагностика
В данном разделе задаются параметры диагностики сервера, необходимые службе технической поддержки UGMC при решении возможных проблем.
Наименование
Описание
Детализация диагностики
Off — ведение журналов диагностики отключено.
Error — журналировать только ошибки работы сервера.
Warning — журналировать только ошибки и предупреждения.
Info — журналировать только ошибки, предупреждения и дополнительную информацию.
Debug — максимум детализации.
Рекомендуется установить значение параметра Детализация диагностики в Error (только ошибки) или Off (Отключено), если техническая поддержка UserGate не попросила вас установить иные значения. Любые значения, отличные от Error (только ошибки) или Off (Отключено), негативно влияют на производительность UGMC.
Журналы диагностики
Скачать журналы — скачать диагностические журналы для передачи их в службу поддержки UserGate.
Очистить журналы — очистить содержимое журналов.
Удаленный помощник
Включено/Отключено — включение/отключение режима удаленного помощника. Удаленный помощник позволяет инженеру технической поддержки UserGate, зная значения идентификатора и токена удаленного помощника, произвести безопасное подключение к серверу UGMC для диагностики и решения проблем. Для успешной активации удаленного помощника UGMC должен иметь доступ к серверу удаленного помощника компании UserGate по протоколу SSH.
Идентификатор удаленного помощника — полученное случайным образом значение. Уникально для каждого включения удаленного помощника.
Токен удаленного помощника — полученное случайным образом значение токена. Уникально для каждого включения удаленного помощника.
Операции с сервером
Данный раздел позволяет произвести следующие операции с сервером:
Компания UserGate постоянно работает над улучшением качества своего программного обеспечения и предлагает обновления продукта UGMC в рамках подписки на модуль лицензии Security Update (подробно о лицензировании смотрите в разделе Лицензирование UGMC). При наличии обновлений в разделе Управление устройством отобразится соответствующее оповещение. Обновление продукта может занять довольно длительное время, рекомендуется планировать установку обновлений с учетом возможного времени простоя UGMC.
Для установки обновлений необходимо выполнить следующие действия:
Наименование
Описание
Шаг 1. Создать файл резервного копирования.
Создать резервную копию состояния UGMC в разделе Управление устройством ➜ Управление резервным копированием ➜ Создание резервной копии. Данный шаг рекомендуется всегда выполнять перед применением обновлений, поскольку он позволит восстановить предыдущее состояние устройства в случае возникновения каких-либо проблем во время применения обновлений.
Шаг 2. Установить обновления.
В разделе Управление устройством при наличии оповещения Доступны новые обновления нажать на ссылку Установить сейчас. Система установит скачанные обновления, по окончании установки UGMC будет перезагружен.
Экспорт и импорт настроек
Администратор имеет возможность сохранить текущие настройки UGMC в файл и впоследствии восстановить эти настройки на этом же или другом сервере UGMC. В отличие от резервного копирования, экспорт/импорт настроек не сохраняет текущее состояние всех компонентов комплекса, сохраняются только текущие настройки.
ПримечаниеЭкспорт/импорт настроек не восстанавливает состояние интерфейсов и информацию о лицензии. После окончания процедуры импорта необходимо настроить интерфейсы и повторно зарегистрировать UGMC с помощью имеющегося ПИН-кода.
Для экспорта настроек необходимо выполнить следующие действия:
Наименование
Описание
Шаг 1. Экспорт настроек.
В разделе Управление устройством нажать на ссылку Экспорт настроек ➜ Экспорт и выбрать Экспортировать все настройки или Экспортировать сетевые настройки. Система сохранит:
текущие настройки сервера под именем: cc_core-mc_core@nodename_version_YYYYMMDD_HHMMSS.bin
сетевые настройки под именем: network-cc_core-mc_core@nodename_version_YYYYMMDD_HHMMSS.bin
nodename — имя узла UserGate Management Center.
version — версия UserGate Management Center.
YYYYMMDD_HHMMSS — дата и время выгрузки настроек в часовом поясе UTC.
Например, cc_core-mc_core@ediasaionedi_7.0.0.93R-1_20220715_084853.bin или network-cc_core-mc_core@ediasaionedi_7.0.0.93R-1_20220715_084929.bin.
Для применения созданных ранее настроек необходимо выполнить следующие действия:
Наименование
Описание
Шаг 1. Импорт настроек.
В разделе Управление устройством нажать на ссылку Экспорт настроек ➜ Импорт и указать путь к ранее созданному файлу настроек. Указанные настройки применятся к серверу, после чего сервер будет перезагружен
ПримечаниеДля корректного импорта правил, использующих обновляемые списки UserGate (приложения, категории URL и т.п.), необходимо наличие лицензии на модули SU и ATP, а также загруженных списков UserGate.
Дополнительно администратор может настроить сохранение настроек на внешние серверы (FTP, SSH) по расписанию. Для создания расписания выгрузки настроек необходимо выполнить следующие действия:
Наименование
Описание
Шаг 1. Создать правило экспорта.
В разделе Управление устройством ➜ Экспорт настроек нажать кнопку Добавить, указать имя и описание правила
Шаг 2. Указать параметры удаленного сервера.
Во вкладке правила Удаленный сервер указать параметры удаленного сервера:
Каждое из первых пяти полей может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка и тире используются для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
