Отказоустойчивая конфигурация UserGate (HA) на платформе Облако VMware

Создание отказоустойчивой конфигурации UserGate выполняется после развертывания и первичной инициализации UserGate в Облако VMware. IP-адреса и параметры ВМ даны в качестве примера. Если вы настраиваете UserGate для уже имеющихся ресурсов, используйте их IP-адреса.

ВМ UserGate поддерживает режим отказоустойчивого кластера. В этом режиме две ВМ имеют общие настройки и заменяют друг друга в случае выхода из строя одной из них. Также реализована отказоустойчивость транзитных сетевых соединений для предотвращения разрыва при переключении на резервную ВМ.

Кластер отказоустойчивости функционирует по принципу разделения ролей:

  • Активная ВМ обрабатывает сетевой трафик.

  • Пассивная ВМ проверяет статус активной и синхронизирует с ней состояние сетевых сессий.

В случае неисправности активной ВМ пассивная ВМ становится активной и обрабатывает сетевой трафик. Создание отказоустойчивого кластера происходит в два этапа: создание кластера конфигурации и создание кластера отказоустойчивости.

Целевая схема, которая может быть реализована в ходе развертывания:

../../_images/sch__conf-ent.svg

Создание дополнительного узла UserGate

  1. Cоздайте второй узел UserGate со следующими параметрами:

    • Техническая спецификация повторяет конфигурацию первого узла по количеству CPU, RAM и HDD;

    • Создаваемые подсети соответствуют первому узлу UserGate.

  2. Назначьте IP-адреса сетевым интерфейсам как описано в шаге 6.

    Пример назначения IP-адресов приведен на скриншоте ниже.

    При использования белого IP-адреса для внешней подсети UserGate в разделе Network Adapter Type введите выделенную подсеть в Edge/T1 с белым IP-адресом

  3. Настройте подключение к интернету.

  4. Настройте правила межсетевого экрана на Edge Gateway Firewall.

Пример назначения IP-адресов:

../../_images/s__nics.png

Первичная инициализация дополнительного узла UserGate

Выполните следующие настройки по документации вендора:

  1. Сконфигурируйте порты второго узла в консоли UserGate, сопоставив их с сетевыми интерфейсами платформы.

  2. Настройте статическую адресацию и зоны для сетевых интерфейсов port0 второго узла:

    1. port0:

      • В поле IP-интерфейс введите «10.20.32.52».

      • В поле Маска введите «255.255.255.0».

      • В поле Зона выберите Managment.

    2. port1:

      • В поле IP-интерфейс введите «10.20.88.52».

      • В поле Маска введите «255.255.255.0».

      • В поле Зона выберите Untrusted.

      При использовании белого IP-адреса введите его данные.

    3. port2:

      • В поле IP-интерфейс введите «10.20.33.52».

      • В поле Маска введите «255.255.255.0».

      • В поле Зона выберите Trusted.

    4. port3:

      • В поле IP-интерфейс введите «10.20.34.52».

      • В поле Маска введите «255.255.255.0».

      • В поле Зона выберите Cluster.

  3. В веб-интерфейсе второго узла UserGate настройте статический шлюз при использовании NAT на шлюзе Edge/T1:

    • В поле Интерфейс введите сетевой интерфейс.

      Например, port1 c IP-адресом 10.20.88.52 или белый IP-адрес, например 34.24.54.3.

    • В поле Виртуальный маршрутизатор введите виртуальный маршрутизатор по умолчанию.

    • В поле IP шлюза введите IP-адрес.

      Например 10.20.88.254.

  4. Для статического шлюза при использовании белого IP-адреса настройте статическую маршрутизацию на UserGate.

    В качестве шлюза по умолчанию введите белый IP-адрес.

  5. Для службы DNS введите IP-адрес сервера DNS.

  6. Для разрешенных сервисов выберите VRRP для сетевых зон Trusted и Untrusted.

  7. Для правил межсетевого экрана и NAT разрешите прохождение трафика из зоны Trusted в зону Untrusted.

Настройка кластера конфигурации и кластера отказоустойчивости

Настройте кластеры по документации вендора со следующими параметрами:

  • Для зоны Untrusted введите виртуальный IP-адрес 10.20.88.53 или белый IP-адрес, например 34.24.54.4.

  • Для зоны Trusted введите виртуальный IP-адрес 10.20.33.53.

Тестирование подключения UserGate к интернету

  1. Подключитесь к web-консоли ВМ UserGate.

  2. На вкладке Диагностика и мониторинг в списке слева нажмите Сеть → Ping.

  3. В поле Ping host введите «8.8.8.8».

  4. В поле Интерфейс выберите «port1».

  5. Нажмите Старт.

    В разделе Вывод отчета отобразится статистика по отправленным пакетам.

О дополнительной диагностике читайте в документации вендора.

Evolution