tocdepth

2

Отказоустойчивая конфигурация UserGate в (HA) в Advanced

Кластерная конфигурация UserGate не работает в облачной платформе Advanced, убедительно просим ее не применять и рассмотреть кластерную конфигурацию на платформе Облако VMware. Cloud.ru не несет ответственности за корректность работы конфигурации. Производитель UserGate осведомлен о проблеме и работает над ее решением.

Я осознаю нестабильность работы кластера и хочу ознакомиться с настройками

Перед выполнением инструкции рекомендуется изучить сценарий использования стороннего межсетевого экрана для очистки трафика сетей VPC.

Общие положения

Создание отказоустойчивой конфигурации UserGate в Advanced выполняется после развертывания и первичной инициализации UserGate в Advanced.

Для корректной работы кластера используйте три EIP:

• для реального IP-адреса основного узла;

• для реального IP-адреса резервного узла;

• для виртуального IP-адреса кластера.

IP-адреса и параметры ВМ даны в качестве примера. Если вы настраиваете UserGate для уже имеющихся ресурсов, используйте их IP-адреса.

Целевая схема отказоустойчивой конфигурации:

Для подключения к интернету используйте выделенный интерфейс на UserGate.

Для создания кластера NGFW UserGate требуется выделенный кластерный интерфейс. Минимально рекомендуемый набор интерфейсов для кластера UserGate в Advanced: in, out и cluster.

Для UserGate в Advanced доступны три и более интерфейса для всех моделей, кроме 2 vCPU. Устройства должны иметь одинаковую версию ОС, чтобы объединить их в кластер. Для кластера конфигурации допустимо использование разного числа vCPU на моделях UserGate. В кластер отказоустойчивости может входить до четырех виртуальных устройств.

Установка первого узла кластера

Для настройки кластера нужна лицензия с возможностями кластеризации. Чтобы получить лицензии, обратитесь к менеджеру Cloud.ru.

Разверните ВМ UserGate согласно инструкции, указав следующие параметры:

1. На шаге «Создание VPC» после создания дополнительной подсети subnet-vpc-x-outside для подключения к интернету создайте еще одну подсеть subnet-vpc-x-cluster. Подсеть используется для организации кластерного интерфейса UserGate.

2. В главном меню перейдите в Network → Virtual Private Cloud.

3. В левой части экрана перейдите в Subnets.

4. В правом верхнем углу нажмите Create Subnet.

5. В поле VPC выберите VPC-X.

6. В поле Name введите «subnet-vpc-x-cluster».

7. В поле IPv4 CIDR Block введите «10.255.255.0/24».

8. Нажмите OK.

   

9. На шаге «Создание виртуального сервера на базе образа UserGate» кроме подсетей subnet-vpc-x и subnet-vpc-x-outside добавьте NIC с подсетью subnet-vpc-x-cluster.

10. В качестве IP-адресов введите «.10».

11. В качестве имени виртуального сервера UserGate рекомендуется использовать «ecs-UserGate-Pri».

    

Первичная инициализация UserGate

Выполните первичную инициализация UserGate в Advanced по инструкции, указав следующие параметры:

1. На шаге «Настройка порта управления UserGate» убедитесь в наличии третьего порта UserGate port2, который будет использоваться для создания кластера.

2. На шаге «Настройка статической адресации на интерфейсах» во время назначения зон убедитесь, что зоны Trusted и Untrusted назначаются на порты с IP-адресами 10.255.0.10 и 10.255.10.10 соответственно.

   На порт с адресом 10.255.255.10 требуется назначить зону Cluster. Не удаляйте ВМ ECS-X на данном этапе. ВМ потребуется для начальной инициализации второго узла кластера.

3. Выполните шаг «Тестирование доступов» по инструкции первичной инициализации UserGate в Advanced.

Настройка первого узла для создания кластера конфигурации и отказоустойчивости

Выполните настройку в соответствии с документацией вендора, указав следующие параметры:

1. Для созданного интерфейса subnet-vpc-x-outside назначьте зону Cluster.

2. Для зон Trusted и Untrusted включите разрешение VRRP.

3. В разделе UserGate - Управление устройством введите имя узла «ecs-UserGate-Pri» и IP-адрес «10.255.255.10».

Установка второго узла кластера

1. Создайте виртуальный сервер UserGate с названием «ecs-UserGate-Sec», указав при настройке NIC IP-адреса интерфейсов «.11».

2. Выполните настройку порта управления.

3. Выполните настройку дополнительных параметров в соответствии с документацией вендора, указав следующие параметры на шагах первоначальной установки:

   1. В поле Интерфейс укажите порт по MAC-адресу.

   2. В поле IP-адрес введите «10.255.255.11».

   3. В поле Маска введите «255.255.255.0».

   4. В поле IP-адрес мастер-сервера введите «10.255.255.10».

Настройка кластера конфигурации

Выполните настройку в соответствии с документацией вендора, указав следующие параметры:

1. Для сетевого интерфейса с IP-адресом 10.255.10.11 назначьте IP-адрес шлюза 10.255.10.1.

2. Настройте статические маршруты для виртуального маршрутизатора второго узла кластера аналогично статическим маршрутам для виртуального маршрутизатора первого узла кластера.

Настройка кластера отказоустойчивости

Выполните настройку в соответствии с документацией вендора, указав следующие параметры:

1. Для зоны Trusted укажите виртуальный IP-адрес «10.255.0.12».

2. Выберите соответствующие интерфейсы UserGate.

Настройка Virtual IP

Для корректной маршрутизации в VPC необходимо сопоставить VRRP Virtual IP, настроенные в ОС UserGate, с объектами Virtual IP платформы Advanced.

В этом примере настроены следующие VRRP Virtual IP:

• Зона Trusted — 10.255.0.12.

• Зона Untrusted — 10.255.10.12.

Для настройки:

1. Войдите в консоль управления Advanced.

2. Перейдите в Network → Virtual Private Cloud.

3. В левой части экрана нажмите Subnets.

4. Выберите subnet-vpc-x и перейдите на вкладку IP-addresses.

5. Нажмите Assign Virtual IP Address.

6. Выберите Manual и введите IP-адрес «10.255.0.12».

7. Напротив вновь созданного Virtual IP Address нажмите Bind to Server.

8. Выберите первый узел UserGate и его NIC с адресом 10.255.0.10.

   

9. Нажмите ОК.

10. Напротив вновь созданного Virtual IP Address повторно нажмите Bind to Server.

11. Выберите второй узел UserGate и его NIC с адресом 10.255.0.11.

12. Нажмите ОК.

13. Сверьте настройку со скриншотом:

    

14. Вернитесь в Subnets в консоли Advanced.

15. Выберите subnet-vpc-x-outside и перейдите на вкладку IP-addresses.

16. Нажмите Assign Virtual IP Address.

17. Выберите Manual и введите IP-адрес «10.255.10.12».

18. Выберите первый узел UserGate и его NIC с адресом 10.255.10.10.

19. Нажмите ОК.

20. Напротив вновь созданного Virtual IP Address повторно нажмите Bind to Server.

21. Выберите второй узел UserGate и его NIC с адресом 10.255.10.11.

22. Нажмите ОК.

23. Напротив Virtual IP Address нажмите Bind to EIP.

24. Выберите свободный EIP.

    При отсутствии — создайте новый EIP в разделе Network → Elastic IP консоли Advanced и вернитесь к этому шагу.

25. Сверьте настройку со скриншотом:

    

26. Подключитесь к графическому интерфейсу UserGate, используя EIP, привязанный к Virtual IP платформы Advanced.

    В нашем примере 188.72.109.178: https://188.72.109.178:8001.

27. Перейдите в Сеть → Интерфейсы и убедитесь, что вы подключились к основному узлу кластера.

Настройка NAT

Чтобы организовать выход в интернет с помощью кластера отказоустойчивости UserGate, настройте правило NAT.

Адрес в поле SNAT IP (внешний адрес) прописывать не нужно. Внешний адрес для исходящего трафика назначается соответственно внешнему адресу активного узла кластера.

Корректировка default Route Table для VPC-X

Для обеспечения отказоустойчивости необходимо использовать VRRP Virtual IP и соответствующий объект Virtual IP платформы Advanced в таблице маршрутизации VPC.

В этом примере VRRP Virtual IP и объект Virtual IP Advanced отказоустойчивого шлюза для внутренних подсетей имеют IP-адрес 10.255.0.12. Для реализации этого требования внесите изменение в настройку таблицы маршрутизации по умолчанию для VPC-X – rtb-VPC-X:

1. Войдите в консоль управления Advanced.

2. Перейдите в Network → Virtual Private Cloud.

3. В левой части экрана перейдите в Virtual Private Cloud → Route tables.

4. Выберите таблицу по умолчанию для VPC-X — rtb-VPC-X.

5. Отредактируйте маршрут по умолчанию:

   1. В поле Destination Type выберите IP address.

   2. В поле Destination введите «0.0.0.0/0».

   3. В поле Next Hop Type выберите Virtual IP Address.

   4. В поле Next Hop введите «10.255.0.12».

   5. (Опционально) В поле Description введите описание маршрута.

   

Тестирование доступов

В качестве тестов рекомендуется:

1. Проверить IP-адрес, с которого ECS-A и ECS-B выходят в интернет.

   IP-адрес должен соответствовать EIP, назначенному активному узлу кластера отказоустойчивости UserGate. Для проверки используйте утилиту curl, например curl ifconfig.me.

   Полученный результат должен соответствовать EIP.

2. Выполнить тестирование доступов при отключенной основной ноде UserGate и повторить тестирование доступов при отключенной резервной ноде UserGate.

Была ли статья полезной?

Да Нет

Предыдущая статья

Отказоустойчивая конфигурация UserGate (HA)

Следующая статья

Отказоустойчивая конфигурация UserGate (HA) на платформе Облако VMware

Запустили Evolution free tier
для Dev & Test

Получить