Облачная платформаEvolution

Отказоустойчивая конфигурация UserGate (HA) на платформе Evolution


Создание отказоустойчивой конфигурации NGFW UserGate на платформе Evolution выполняется после развертывания и первичной инициализации в Evolution.

ВМ UserGate поддерживает режим отказоустойчивого кластера. В этом режиме две ВМ имеют общие настройки и заменяют друг друга в случае выхода из строя одной из них. Также реализована отказоустойчивость транзитных сетевых соединений для предотвращения разрыва при переключении на резервную ВМ.

Кластер отказоустойчивости функционирует по принципу разделения ролей:

  • активная ВМ обрабатывает сетевой трафик;

  • пассивная ВМ проверяет статус активной и синхронизирует с ней состояние сетевых сессий.

В случае неисправности активной ВМ пассивная ВМ становится активной и обрабатывает сетевой трафик. Создание отказоустойчивого кластера происходит в два этапа: создание кластера конфигурации и создание кластера отказоустойчивости.

IP-адреса и параметры ВМ даны в качестве примера. Руководства реализуются для версии «UserGate VE 250». Если вы настраиваете UserGate для уже имеющихся ресурсов, используйте их IP-адреса. В качестве решения работы кластера UserGate NGFW необходимо использовать версию 7.5.х и выше.

Перед началом работы

  1. Авторизуйтесь в личном кабинете.

    Подробнее — в руководстве по личному кабинету.

  2. Проверьте, что учетная запись имеет роль не ниже Администратора проекта.

    При необходимости запросите права у администратора.

  3. Для повышения производительности межсетевого экрана обратитесь в техническую поддержку.

    Запросите создание выделенного флейвора с опцией многопотоковой очереди (Multiqueue) в соответствии с планируемым набором ресурсов CPU и RAM. Возможность выбора выделенного флейвора появится в момент создания ВМ при указании ресурсной модели.

Шаг 1. Создайте VPC и подсети

Создайте VPC

  1. Выберите сервис VPC.

  2. Нажмите Создать VPC.

  3. В поле Название введите «ug-vpc».

  4. Нажмите Создать.

Создайте внешнюю подсеть

  1. Выберите сервис Подсети.

  2. Нажмите Создать подсеть.

  3. В поле Название введите «public-subnet-ug».

  4. В поле VPC выберите «ug-vpc».

  5. В поле Зона доступности укажите «ru.AZ-2».

  6. В поле Адрес введите «10.2.2.0/24».

  7. В поле Шлюз введите «10.2.2.1».

  8. В поле DNS-серверы введите «8.8.8.8».

  9. Нажмите Создать.

Создайте подсеть управления

  1. Нажмите Создать подсеть.

  2. В поле Название введите «management-subnet-ug».

  3. Выберите локальный тип подсети.

  4. В поле Зона доступности укажите «ru.AZ-2».

  5. В поле Адрес введите «10.1.1.0/24».

  6. Нажмите Создать.

Создайте подсеть для внутреннего трафика

  1. Нажмите Создать подсеть.

  2. В поле Название введите «internal-subnet-ug».

  3. Выберите локальный тип подсети.

  4. В поле Зона доступности укажите «ru.AZ-2».

  5. В поле Адрес введите «10.3.3.0/24».

  6. Нажмите Создать.

Создайте подсеть для кластера

  1. Нажмите Создать подсеть.

  2. В поле Название введите «cluster-subnet-ug».

  3. Выберите локальный тип подсети.

  4. В поле Зона доступности укажите «ru.AZ-2».

  5. В поле Адрес введите «10.10.10.0/29».

  6. Нажмите Создать.

Шаг 2. Создайте группы безопасности

  1. Выберите сервис Группы безопасности.

  2. Нажмите Создать группу безопасности.

  3. В поле Название введите «ug-mgmt-sec-group».

  4. В разделе Правила входящего трафика нажмите Добавить правило.

  5. Создайте правило вида:

    • Протокол — «Любой».

    • Тип источника — «IP-адрес».

    • Источник — «0.0.0.0/0».

  6. Нажмите Создать.

  7. Нажмите Создать.

  8. Нажмите на имя группы безопасности.

  9. Перейдите на вкладку Правила.

  10. Добавьте правила входящего и исходящего трафика согласно таблице:

    Трафик

    Протокол

    Порт

    Тип источника / адресата

    Источник / адресат

    Описание

    Входящий

    TCP

    8001:8001

    Группа безопасности

    ug-mgmt-sec-group

    Веб-консоль

    Входящий

    ICMP

    Любой

    Группа безопасности

    ug-mgmt-sec-group

    Входящий

    TCP

    2200:2200

    Группа безопасности

    ug-mgmt-sec-group

    CLI по SSH

    Исходящий

    ICMP

    Любой

    Группа безопасности

    ug-mgmt-sec-group

    Исходящий

    TCP

    Любой

    Группа безопасности

    ug-mgmt-sec-group

    Также может понадобиться настройка дополнительных правил. С полным списком правил можно ознакомиться на сайте UserGate.

  11. Аналогичным образом создайте группу безопасности «ug-cluster-sec-group» и добавьте в нее правила:

    Трафик

    Протокол

    Порт

    Тип источника / адресата

    Источник / адресат

    Описание

    Входящий

    Любой

    Любой

    Группа безопасности

    ug-cluster-sec-group

    Веб-консоль

    Исходящий

    Любой

    Любой

    Группа безопасности

    ug-cluster-sec-group

Шаг 3. Создайте ВМ на базе образа UserGate

  1. Выберите сервис Виртуальные машины.

  2. Нажмите Создать виртуальную машину.

  3. В поле Название введите «ug-node1».

  4. В поле Зона доступности укажите «ru.AZ-2».

  5. Отключите Графический процессор (GPU).

  6. В разделе Диски выберите объем загрузочного диска «300 ГБ».

  7. В разделе Образ перейдите на вкладку Маркетплейс и выберите UserGate.

    Нужно вручную обновить UserGate до версии 7.5 или загрузить образ 7.5 в Пользовательское хранилище в формате RAW.

  8. В разделе Вычислительный ресурс с гарантированной долей vCPU 100%:

    1. В поле vCPU выберите «4».

    2. В поле RAM выберите «8».

  9. Если через техническую поддержку запрашивалась версия флэйвора Multiqueue, укажите ее.

  10. Нажмите Продолжить.

  11. Подключите ВМ к подсети управления:

    1. Нажмите Добавить интерфейс.

    2. В поле VPC выберите «Изолированные подсети».

    3. В поле Подсети выберите «10.1.1.0/24».

    4. В поле Внутренний IP введите IP-адрес.

      Например, «10.1.1.11/24».

    5. В поле Группы безопасности выберите «ug-mgmt-sec-group».

  12. Подключите ВМ к внешней подсети:

    1. Нажмите Добавить интерфейс.

    2. В поле VPC выберите «ug-vpc».

    3. В поле Подсети выберите «10.2.2.0/24».

    4. В поле Группы безопасности выберите любую группу безопасности.

      Дальше она будет отключена.

  13. Подключите ВМ к подсети для внутреннего трафика:

    1. Нажмите Добавить интерфейс.

    2. В поле VPC выберите «Изолированные подсети».

    3. В поле Подсети выберите «10.3.3.0/24».

    4. В поле Внутренний IP введите IP-адрес.

      Например, «10.3.3.11/24».

    5. В поле Группы безопасности выберите любую группу безопасности.

      Позже она будет отключена.

  14. Подключите ВМ к подсети кластера:

    1. Нажмите Добавить интерфейс.

    2. В поле VPC выберите «Изолированные подсети».

    3. В поле Подсети выберите «10.10.10.11/29».

    4. В поле Группы безопасности выберите «ug-cluster-sec-group».

  15. В поле Имя хоста введите любые имя пользователя и пароль.

    В момент первичной инициализации они будут сброшены до заводских.

  16. В разделе Авторизация пользователя введите любые имя пользователя и пароль.

    В момент первичной инициализации они будут сброшены до заводских.

  17. Нажмите Создать.

  18. Аналогичным образом создайте ВМ с именем «ug-node2».

MAC-адреса сетевых интерфейсов, подключаемых к ВМ генерируются рандомно. Упорядочивание адресов внутри UserGate осуществляется в порядке возрастания.

Кластерные интерфейсы UserGate должны быть идентичны на обеих нодах. Например, port4 на первой ноде и port4 на второй.

Чтобы избежать проблем в сопостовлении сетевых интерфейсов, рекомендуется в момент начальной инициализации на каждой ВМ в cli использовать опцию iface-mode dhcp. Опция предоставит действительную информацию по раскладке портов.

Если последовательность портов внутри UserGate отличается от требуемой:

  1. Отвяжите сетевой интерфейс от виртуальной ВМ через:

    • cli clear network interface-mapping;

    • confugure delete network interface-mapping.

  2. Перезагрузите ВМ до получения требуемой раскладки портов.

Шаг 4. Отключите группы безопасности

Группы безопасности по умолчанию блокируют весь транзитный трафик. Это может помешать работе UserGate.

Чтобы этого не произошло, отключите группы безопасности от интерфейсов, через которые проходит такой трафик:

  1. В списке ВМ выберите «ug-vm».

  2. Перейдите на вкладку Сетевые параметры.

  3. В блоке Подсети выберите интерфейс «public-subnet-ug» и нажмите Горизонтальное меню в его строке.

  4. Выберите Свойства интефейса.

  5. Отключите опцию «Проверка адреса источника/назначения» и нажмите Выключить.

  1. Повторите действия для интерфейса «internal-subnet-ug».

  2. Аналогичным образом отключите группы безопасности для ВМ «ug-node2».

Шаг 5. Создайте Virtual IP

Создайте виртуальные IP для внутренней и внешней подсетей.

Создайте Virtual IP для внутренней изолированной подсети

  1. В разделе Виртуальные IP, в поле Название введите название виртуального IP.

    Например, «vip-internal».

  2. В поле Тип выберите «Изолированная подсеть».

  3. В поле Подсеть укажите «10.3.3.0/24».

  4. В поле Виртуальный IP введите IP-адрес.

    Например, «10.3.3.10».

  5. Поле Интерфейсы виртуальных машин пропустите.

Создайте Virtual IP для внешней маршрутизируемой подсети

  1. В разделе Виртуальные IP, в поле Название введите название виртуального IP.

    Например, «vip-external».

  2. В поле Тип выберите «Маршрутизируемая подсеть».

  3. В поле Подсеть укажите «10.2.2.0/24».

  4. В поле Виртуальный IP введите IP-адрес.

    Например, «10.2.2.10».

  5. Поле Интерфейсы виртуальных машин пропустите.

Шаг 6. Предоставьте доступ в интернет

  1. Внутри платформы выберите сервис sNAT- шлюзы.

  2. Нажмите Создать шлюз.

  3. В поле Зона доступности укажите «ru.AZ-2».

  4. В строке VPC выберите «vpc-ug».

  5. Введите название.

  6. Нажмите Создать.

Шаг 7. Настройте первый узел кластера

Настройте первый узел, при этом:

  1. Настройте статическую адресацию и зоны для сетевых интерфейсов:

    1. port0:

      • В поле IP-интерфейс введите «10.1.1.11».

      • В поле Маска введите «255.255.255.0».

      • В поле Зона выберите Managment.

    2. port1:

      • В поле IP-интерфейс введите «10.2.2.11».

      • В поле Маска введите «255.255.255.0».

      • В поле Зона выберите Untrusted.

    3. port2:

      • В поле IP-интерфейс введите «10.3.3.11».

      • В поле Маска введите «255.255.255.0».

      • В поле Зона выберите Trusted.

    4. port3:

      • В поле IP-интерфейс введите «10.10.10.11».

      • В поле Маска введите «255.255.255.248».

      • В поле Зона выберите Cluster.

  2. Настройте шлюз:

    • В поле Интерфейс введите порт c IP-адресом «10.2.2.11».

    • Поле Виртуальный маршрутизатор пропустите.

    • В поле IP-шлюз введите «10.2.2.1».

  3. Для службы DNS введите IP-адрес сервера DNS.

  4. Для разрешенных сервисов выберите VRRP для сетевых зон Trusted и Untrusted.

  5. Для правил NAT-трансляции разрешите прохождение трафика из зоны Trusted в зону Untrusted.

    В качестве SNAT-адреса укажите виртуальный адрес внешней подсетию Например, «10.2.2.10».

    Если в правилах трансляции не указан SNAT-адрес, синхронизации сессий в момент переключения кластера не будет. По умолчанию трафик уходит по адресу активной ноды.

Шаг 8. Настройте второй узел кластера

Настройте второй узел, при этом:

  1. Настройте статическую адресацию и зоны для сетевых интерфейсов:

    1. port0:

      • В поле IP-интерфейс введите «10.1.1.12».

      • В поле Маска введите «255.255.255.0».

      • В поле Зона выберите Managment.

    2. port1:

      • В поле IP-интерфейс введите «10.2.2.12».

      • В поле Маска введите «255.255.255.0».

      • В поле Зона выберите Untrusted.

    3. port2:

      • В поле IP-интерфейс введите «10.3.3.12».

      • В поле Маска введите «255.255.255.0».

      • В поле Зона выберите Trusted.

    4. port3:

      • В поле IP-интерфейс введите «10.10.10.12».

      • В поле Маска введите «255.255.255.248».

      • В поле Зона выберите Cluster.

  2. Настройте шлюз:

    • В поле Интерфейс введите порт c IP-адресом «10.2.2.12».

    • Поле Виртуальный маршрутизатор пропустите.

    • В поле IP-шлюз введите «10.2.2.1».

  3. Для службы DNS введите IP-адрес сервера DNS.

Шаг 9. Протестируйте подключение UserGate к интернету

  1. Подключитесь к web-консоли ВМ UserGate на ВМ «UserGate-vm».

  2. На вкладке Диагностика и мониторинг в списке слева нажмите Сеть → Ping.

  3. В поле Ping host введите «8.8.8.8».

  4. В поле Интерфейс выберите «port1».

  5. Нажмите Старт.

    В разделе Вывод отчета отобразится статистика по шести отправленным пакетам.

Подробнее о дополнительной диагностике.

Шаг 10. Установите лицензию

Установите лицензию.

Шаг 11. Настройте кластер конфигурации и кластер отказоустойчивости

Выполните настройку кластера. Для настройки в cli:

  1. Для зоны Untrusted введите виртуальный IP «10.2.2.10».

  2. Для зоны Trusted введите виртуальный IP «10.3.3.10».

Настройка отказоустойчивого кластера UserGate завершена.

Тестирование кластера

  1. На ВМ, подключенной к внутренней сети, установите в качестве шлюза по умолчанию виртуальный адрес интерфейса UserGate.

    Например, «10.2.2.10».

  2. Запустите команду ping до внешнего узла сети.

    Например, «8.8.8.8».

  3. Внутри web-интерфейса UserGate выполните переключение кластера с активной на резервную ноду.

  4. Убедитесь в успешном прохождении трафика

Базовая настройка кластера UserGate завершена.