tocdepth

2

Отказоустойчивая конфигурация UserGate в (HA) в Advanced

Общие положения

Создание отказоустойчивой конфигурации UserGate в Advanced выполняется после развертывания и первичной инициализации UserGate в Advanced.

Внимание

При использовании UserGate для фильтрации трафика East-West между виртуальными машинами внутри сети Advanced возможно снижение пропускной способности. Производитель NGFW UserGate занимается устранением неполадки.

В случае сниженной пропускной способности воспользуйтесь встроенными средствами платформы для фильтрации трафика — группами безопасности или Network ACL. При организации фильтрации North-трафика с помощью кластера отказоустойчивости UserGate учтите особенности настройки NAT-правил.

Для корректной работы кластера используйте три EIP:

  • для реального IP-адреса основного узла;

  • для реального IP-адреса резервного узла;

  • для виртуального IP-адреса кластера.

Целевая схема отказоустойчивой конфигурации:

../../_images/sch__failover_01.png

Примечание

Перед выполнением этой инструкции рекомендуем изучить сценарий использования стороннего межсетевого экрана для очистки трафика сетей VPC.

Для подключения к интернету используйте выделенный интерфейс на UserGate.

Для создания кластера NGFW UserGate требуется выделенный кластерный интерфейс. Минимально рекомендуемый набор интерфейсов для кластера UserGate в Advanced: in, out и cluster.

Для UserGate в Advanced три и более интерфейса доступны для всех моделей, кроме 2 vCPU. Устройства должны иметь одинаковую версию ОС, чтобы объединить их в кластер. Для кластера конфигурации допустимо использование разных моделей UserGate (разного числа vCPU). В кластер отказоустойчивости может входить до четырех виртуальных устройств.

Внимание

Для настройки кластера нужна лицензия с возможностями кластеризации. Для получения такой лицензии обратитесь к вашему менеджеру Cloud.ru.

Установка первого узла кластера

Разверните ВМ UserGate, как описано в инструкции. При этом:

  1. На шаге «Создание VPC» после создания дополнительной подсети subnet-vpc-x-outside для подключения к интернету создайте еще одну подсеть subnet-vpc-x-cluster, которая будет использоваться для организации кластерного интерфейса UserGate:

    1. В главном меню выберите раздел Network → Virtual Private Cloud.

    2. В левой части экрана перейдите в Subnets.

    3. В правом верхнем углу нажмите Create Subnet.

    4. Задайте значения параметров:

      • VPC: VPC-X

      • Name: subnet-vpc-x-cluster

      • IPv4 CIDR Block: 10.255.255.0/24

    5. Нажмите OK.

    ../../_images/s__failover_01.png
  2. На шаге «Создание виртуального сервера на базе образа UserGate» кроме подсетей subnet-vpc-x и subnet-vpc-x-outside добавьте NIC с подсетью subnet-vpc-x-cluster.

    ../../_images/s__failover_02.png

    В качестве IP-адресов укажите .10. В качестве имени виртуального сервера UserGate рекомендуем использовать ecs-UserGate-Pri.

Выполните первичную инициализация UserGate в Advanced, как описано в инструкции. При этом:

  1. На шаге «Настройка порта управления UserGate» обратите внимание на наличие третьего порта UserGate port2, который будет в дальнейшем использован для создания кластера.

  2. На шаге «Настройка статической адресации на интерфейсах» во время назначения зон убедитесь, что зоны Trusted и Untrusted назначаются на порты с IP-адресами 10.255.0.10 и 10.255.10.10 соответственно. На порт с адресом 10.255.255.10 (кластер) потребуется назначить зону Cluster. Не удаляйте ECS-X на данном этапе. ВМ потребуется для начальной инициализации второго узла кластера.

  3. Выполните шаг «тестирование доступов инструкции по первичной инициализации UserGate в Advanced.

Настройка первого узла для создания кластера конфигурации и отказоустойчивости

  1. Подключитесь графическому интерфейсу UserGate.

  2. Перейдите на вкладку Настройки, далее в Сеть → Интерфейсы.

  3. Для интерфейса, выбранного на роль кластерного интерфейса, назначьте зону Cluster.

    ../../_images/s__failover_03.png
  4. Перейдите в Сеть → Зоны. Для зон Trusted и Untrusted включите разрешение VRRP.

    ../../_images/s__failover_04.png
  5. Перейдите в UserGate → Управление устройством. В разделе Кластер конфигурации нажмите Редактировать.

  6. Укажите имя основного узла кластера и выберите для него IP-адрес.

    ../../_images/s__failover_05.png
  7. Нажмите Сохранить.

  8. Нажмите Перезагрузить сейчас.

  9. После перезагрузки устройства подключитесь к графическому интерфейсу.

  10. Перейдите в UserGate → Управление устройством. В разделе Кластер конфигурации нажмите Сгенерировать секретный код. Скопируйте полученный код в любой другой текстовый редактор. Этот код потребуется для подключения второго узла к кластеру.

    ../../_images/s__failover_06.png

Установка второго узла кластера

  1. Создайте виртуальный сервер UserGate с названием ecs-UserGate-Sec. При настройке NIC укажите IP-адреса интерфейсов .11.

  2. Выполните настройку порта управления.

  3. Подключитесь к консоли управления ECS-X с помощью Remote Login, откройте браузер и в адресной строке укажите https://10.255.0.11:8001.

  4. Пройдите шаги первоначальной установки:

    • Выберите язык

    • Выберите часовой пояс

    • Примите лицензионной соглашение

    • На шаге «Установка первого узла» выберите Установка дополнительного узла кластера.

    ../../_images/s__failover_07.png
  5. Укажите значения параметров:

    • Интерфейс: порт по mac-адресу

    • IP-адрес: 10.255.255.11

    • Маска: 255.255.255.0

    • IP-адрес мастер-сервера: 10.255.255.10

    • Секретный код: секретный код, полученный ранее

    ../../_images/s__failover_08.png
  6. Нажмите Продолжить.

  7. Выполните подключение второго узла кластера к интернету:

    1. Войдите в консоль управления Advanced.

    2. Перейдите в Network → Elastic IP.

    3. Напротив EIP, который планируется использоваться для UserGate, нажмите Bind.

    4. Выберите в списке доступных ECS виртуальную машину ecs-UserGate-Sec. В NIC выберите внешний NIC UserGate с IP-адресом 10.255.10.11.

Настройка кластера конфигурации

  1. Подключитесь в браузере к графическому интерфейсу основного узла UserGate.

  2. Перейдите в UserGate → Управление устройством.

  3. В разделе Кластер конфигурации выберите подключенный резервный узел и нажмите Редактировать.

  4. Задайте имя узла и нажмите Сохранить.

  5. Убедитесь, что оба узла кластера конфигурации имеют активную лицензию и доступны.

    ../../_images/s__failover_09.png

    Внимание

    Лицензия для резервного узла не требует отдельной установки. Достаточно наличия лицензии на основном узле.

  6. Перейдите в Сеть → Интерфейсы. В этом меню доступна настройка интерфейсов обоих узлов кластера. Выполните настройку зон и статической адресации для интерфейсов резервного узла.

    ../../_images/s__failover_10.png
  7. Перейдите в Сеть → Шлюзы. Для второго узла кластера замените шлюз, полученный по протоколу boot, на шлюз, настроенный статически. Для этого нажмите Добавить и задайте значения параметров:

    • Название: default

    • Интерфейс: порт с IP-адресом 10.255.10.11

    • Виртуальный маршрутизатор: Виртуальный маршрутизатор по умолчанию

    • IP шлюза: 10.255.10.1

    • Вес: 1

    • Балансировка: неактивно

    • По умолчанию: активно

  8. Нажмите Сохранить.

  9. Удалите шлюз, полученный по протоколу boot

    ../../_images/s__failover_11.png
  10. Перейдите в Сеть → Виртуальные маршрутизаторы.

  11. Настройте статические маршруты для виртуального маршрутизатора второго узла кластера так же, как настроены статические маршруты для виртуального маршрутизатора первого узла кластера:

    ../../_images/s__failover_12.png

Внимание

В кластере конфигурации настройки IP-адресации и маршрутизации не синхронизируются между узлами.

Настройка кластера конфигурации завершена.

Настройка кластера отказоустойчивости

  1. Подключитесь к графическому интерфейсу основного узла UserGate. Убедитесь, что для зон Trusted и Untrusted включено разрешение VRRP.

  2. Перейдите в UserGate → Управление устройством. В разделе Кластеры отказоустойчивости нажмите +.

  3. В появившемся окне задайте значения параметров аналогично указанным на скриншоте:

    ../../_images/s__failover_13.png

Внимание

Мультикаст-идентификатор позволяет разграничить синхронизацию сессий для разных кластеров отказоустойчивости в рамках одного кластера конфигурации. Если этого не требуется, оставить значение по умолчанию — 0.

Идентификатор виртуального роутера (VRID) уникален для каждого VRRP-кластера в локальной сети VPC. Если в сети не присутствуют сторонние кластеры VRRP, то рекомендуем оставить значение по умолчанию — 1.

  1. Перейдите на вкладку Узлы.

    ../../_images/s__failover_14.png
  2. Выберите основной и резервный узлы кластера.

  3. Перейдите на вкладку Виртуальные IP.

  4. Нажмите Добавить.

  5. Укажите виртуальный IP-адрес 10.255.0.12 для зоны Trusted и выберите соответствующие интерфейсы UserGate.

  6. Нажмите Сохранить.

    Внимание

    Названия сетевых интерфейсов на основном и резервном узле могут не соответствовать друг другу. Например, внешний интерфейс основного узла может быть port1, а внешний интерфейс резервного узла port0. Для удобства выполнения этого шага продублируйте вкладку браузера и в соседней вкладке откройте Сеть → Интерфейсы.

  7. Нажмите Добавить.

  8. Укажите виртуальный IP-адрес 10.255.10.12 для зоны Untrusted и выберите соответствующие интерфейсы UserGate.

  9. Нажмите Сохранить.

  10. В окне Свойства кластера отказоустойчивости проверьте сконфигурированные параметры и нажмите Сохранить.

    ../../_images/s__failover_15.png
  11. Перейдите в Сеть → Интерфейсы. Убедитесь, что виртуальный IP-адрес кластера появился в настройках интерфейса основного узла.

    ../../_images/s__failover_16.png

Настройка Virtual IP

Для корректной маршрутизации в VPC необходимо сопоставить VRRP Virtual IP, настроенные в операционной системе UserGate, с объектами Virtual IP платформы Advanced.

В этом примере настроены следующие VRRP Virtual IP:

  • Зона Trusted10.255.0.12

  • Зона Untrusted10.255.10.12

  1. Войдите в консоль управления Advanced.

  2. Перейдите в Network → Virtual Private Cloud.

  3. В левой части экрана нажмите Subnets.

  4. Выберите subnet-vpc-x и перейдите на вкладку IP-addresses.

  5. Нажмите Assign Virtual IP Address.

  6. Выберите Manual и введите IP-адрес 10.255.0.12.

  7. Напротив вновь созданного Virtual IP Address нажмите Bind to Server.

  8. Выберите первый узел UserGate и его NIC с адресом 10.255.0.10.

    ../../_images/s__failover_17.png
  9. Нажмите ОК.

  10. Напротив вновь созданного Virtual IP Address повторно нажмите Bind to Server.

  11. Выберите второй узел UserGate и его NIC с адресом 10.255.0.11.

  12. Нажмите ОК.

  13. Сверьте настройку со скриншотом:

    ../../_images/s__failover_18.png
  14. Вернитесь в Subnets в консоли Advanced.

  15. Выберите subnet-vpc-x-outside и перейдите на вкладку IP-addresses.

  16. Нажмите Assign Virtual IP Address.

  17. Выберите Manual и введите IP-адрес 10.255.10.12.

  18. Выберите первый узел UserGate и его NIC с адресом 10.255.10.10.

  19. Нажмите ОК.

  20. Напротив вновь созданного Virtual IP Address повторно нажмите Bind to Server.

  21. Выберите второй узел UserGate и его NIC с адресом 10.255.10.11.

  22. Нажмите ОК.

  23. Напротив Virtual IP Address нажмите Bind to EIP.

  24. Выберите свободный EIP. При отсутствии — создайте новый EIP в разделе Network → Elastic IP консоли Advanced и вернитесь к этому шагу.

  25. Сверьте настройку со скриншотом:

    ../../_images/s__failover_19.png
  26. Подключитесь к графическому интерфейсу UserGate, используя EIP, привязанный к Virtual IP платформы Advanced (188.72.109.178 в нашем примере, см. скриншот выше): https://188.72.109.178:8001.

  27. Перейдите в Сеть → Интерфейсы и убедитесь, что вы подключились к основному узлу кластера.

    ../../_images/s__failover_20.png

Настройка NAT

Чтобы организовать выход в интернет с помощью кластера отказоустойчивости UserGate, настройте правило NAT.

Адрес в поле SNAT IP (внешний адрес) прописывать не нужно. Внешний адрес для исходящего трафика назначается соответственно внешнему адресу активного узла кластера.

Корректировка default Route Table для VPC-X

Для обеспечения отказоустойчивости необходимо использовать VRRP Virtual IP и соответствующий объект Virtual IP платформы Advanced в таблице маршрутизации VPC. В этом примере VRRP Virtual IP и объект Virtual IP Advanced отказоустойчивого шлюза для внутренних подсетей имеют IP-адрес 10.255.0.12. Для реализации этого требования внесите изменение в настройку таблицы маршрутизации по умолчанию для VPC-X rtb-VPC-X:

  1. Войдите в консоль управления Advanced.

  2. Перейдите в Network → Virtual Private Cloud.

  3. В левой части экрана перейдите в Virtual Private Cloud → Route tables.

  4. Выберите таблицу по умолчанию для VPC-Xrtb-VPC-X.

  5. Отредактируйте маршрут «по умолчанию»:

    • Destination Type: IP address

    • Destination: 0.0.0.0/0

    • Next Hop Type: Virtual IP Address

    • Next Hop: 10.255.0.12

    • Description (опциально): описание для маршрута

    ../../_images/s__failover_22.png

Тестирование доступов

Выполните тестирование доступов по инструкции.

В качестве дополнительных тестов рекомендуется:

  1. Проверить IP-адрес, с которого ECS-A и ECS-B выходят в интернет.

    IP-адрес должен соответствовать EIP, назначенному активному узлу кластера отказоустойчивости UserGate. Для проверки используйте утилиту curl, например curl ifconfig.me.

    Полученный результат должен соответствовать EIP.

  2. Выполнить тестирование доступов при отключенной основной ноде UserGate и повторить тестирование доступов при отключенной резервной ноде UserGate.

Запустили Evolution free tier
для Dev & Test
Получить