UserGate: виртуальный NGFW

Отказоустойчивая конфигурация UserGate (HA) на платформе Evolution

Создание отказоустойчивой конфигурации UserGate выполняется после развертывания и первичной инициализации UserGate в Evolution.

ВМ UserGate поддерживает режим отказоустойчивого кластера. В этом режиме две ВМ имеют общие настройки и заменяют друг друга в случае выхода из строя одной из них. Также реализована отказоустойчивость транзитных сетевых соединений для предотвращения разрыва при переключении на резервную ВМ.

Кластер отказоустойчивости функционирует по принципу разделения ролей:

Активная ВМ обрабатывает сетевой трафик.
Пассивная ВМ проверяет статус активной и синхронизирует с ней состояние сетевых сессий.

В случае неисправности активной ВМ пассивная ВМ становится активной и обрабатывает сетевой трафик. Создание отказоустойчивого кластера происходит в два этапа: создание кластера конфигурации и создание кластера отказоустойчивости.

IP-адреса и параметры ВМ, которые используются в руководстве, даны в качестве примера. Руководства реализуются для версии «UserGate на 4 ядра».

Если вы используете другую версию, настройте параметры ВМ в соответствии с ней. Если настраиваете UserGate для уже имеющихся ресурсов, используйте их IP-адреса.

Чтобы развернуть отказоустойчивый кластер UserGate:

Перед началом работы

Авторизуйтесь в личном кабинете.

Подробнее — в руководстве по личному кабинету.
Проверьте, что учетной записи назначена роль не ниже Администратор проекта.

Если это не так, запросите права у администратора.

Шаг 1. Создайте VPC и подсети

Создайте VPC

Выберите сервис VPC.
Нажмите Создать VPC.
В поле Название введите «ug-vpc».
Нажмите Создать.

Создайте внешнюю подсеть

Выберите сервис Подсети.
Нажмите Создать подсеть.
В поле Название введите «public-subnet-ug».
В поле VPC выберите «ug-vpc».
В поле Адрес введите «10.2.2.0/24».
В поле Шлюз введите «10.2.2.1».
В поле DNS-серверы введите «8.8.8.8».
Нажмите Создать.

Создайте подсеть управления

Нажмите Создать подсеть.
В поле Название введите «management-subnet-ug».
Выберите локальный тип подсети.
В поле Адрес введите «10.1.1.0/24».
Нажмите Создать.

Создайте подсеть для внутреннего трафика

Нажмите Создать подсеть.
В поле Название введите «internal-subnet-ug».
Выберите локальный тип подсети.
В поле Адрес введите «10.3.3.0/24».
Нажмите Создать.

Создайте подсеть для кластера

Нажмите Создать подсеть.
В поле Название введите «cluster-subnet-ug».
Выберите локальный тип подсети.
В поле Адрес введите «10.10.10.0/29».
Нажмите Создать.

Шаг 2. Создайте группы безопасности

Выберите сервис Группы безопасности.
Нажмите Создать группу безопасности.
В поле Название введите «ug-mgmt-sec-group».
В разделе Правила входящего трафика нажмите Добавить правило.
Создайте правило вида:
- Протокол — «Любой».
- Тип источника — «IP-адрес».
- Источник — «0.0.0.0/0».
Нажмите Создать.
Нажмите Создать.
Нажмите на имя группы безопасности.
Перейдите на вкладку Правила.

Добавьте правила входящего и исходящего трафика согласно таблице:

Трафик	Протокол	Порт	Тип источника / адресата	Источник / адресат	Описание
Входящий	TCP	8001:8001	Группа безопасности	ug-mgmt-sec-group	Веб-консоль
Входящий	ICMP	Любой	Группа безопасности	ug-mgmt-sec-group
Входящий	TCP	2200:2200	Группа безопасности	ug-mgmt-sec-group	CLI по SSH
Исходящий	ICMP	Любой	Группа безопасности	ug-mgmt-sec-group
Исходящий	TCP	Любой	Группа безопасности	ug-mgmt-sec-group

Удалите правило, созданное в пункте 5:
1. Справа от правила нажмите и выберите Удалить.
2. В открывшемся окне нажмите Удалить.

Также может понадобиться настройка дополнительных правил. С полным списком правил можно ознакомиться на сайте UserGate.

Аналогичным образом создайте группу безопасности «ug-cluster-sec-group» и добавьте в нее правила:

Трафик	Протокол	Порт	Тип источника / адресата	Источник / адресат	Описание
Входящий	Любой	Любой	Группа безопасности	ug-cluster-sec-group
Исходящий	Любой	Любой	Группа безопасности	ug-cluster-sec-group

Шаг 3. Создайте виртуальные машины на базе образа UserGate

Выберите сервис Виртуальные машины.
Нажмите Создать виртуальную машину.
В поле Название введите «ug-vm».
В разделе Образ перейдите на вкладку Маркетплейс и выберите UserGate.
В разделе Вычислительный ресурс:
1. В поле vCPU выберите «4».
2. В поле RAM выберите «8».
В разделе Диски выберите объем загрузочного диска — «300 ГБ».
Нажмите Продолжить.
Подключите ВМ к внешней подсети:
1. Нажмите Подключить к подсети.
2. В поле VPC выберите «ug-vpc».
3. В поле Подсети выберите «10.2.2.0/24».
4. Нажмите Подключить.
Подключите ВМ к подсети управления:
1. Нажмите Подключить к подсети.
2. В поле VPC выберите «Изолированные подсети».
3. В поле Подсети выберите «10.1.1.0/24».
4. В поле Группы безопасности выберите «ug-mgmt-sec-group».
5. Нажмите Подключить.
Подключите ВМ к подсети для внутреннего трафика:
1. Нажмите Подключить к подсети.
2. В поле VPC выберите «Изолированные подсети».
3. В поле Подсети выберите «10.3.3.0/24».
4. Нажмите Подключить.
Подключите ВМ к подсети кластера:
1. Нажмите Подключить к подсети.
2. В поле VPC выберите «Изолированные подсети».
3. В поле Подсети выберите «10.10.10.0/24».
4. В поле Группы безопасности выберите «ug-cluster-sec-group».
5. Нажмите Подключить.
Нажмите Создать.

Аналогичным образом создайте ВМ с именем «ug-vm-2».

Шаг 4. Отключите группы безопасности

Группы безопасности по умолчанию блокируют весь транзитный трафик. Это может помешать работе UserGate.

Чтобы этого не произошло, отключите группы безопасности от интерфейсов, через которые проходит такой трафик:

В списке ВМ выберите «ug-vm».
Перейдите на вкладку Сетевые параметры.
В блоке Подсети выберите интерфейс «public-subnet-ug» и нажмите в его строке.
Выберите Свойства интефейса.
Отключите опцию «Проверка адреса источника/назначения» и нажмите Выключить.
Повторите действия для интерфейса «internal-subnet-ug».

Аналогичным образом отключите группы безопасности на ВМ «ug-vm-2».

Шаг 5. Организуйте ВМ «ug-vm» доступ к интернету

Выберите сервис Публичные IP.
Нажмите Арендовать публичный IP.
В поле Название введите «ug-ip».
Нажмите Арендовать.
В строке с IP-адресом «ug-ip» нажмите и выберите Назначить.
Выберите ВМ «ug-vm» из списка.
Выберите Плавающий тип IP-адреса.
Нажмите Назначить.
Составьте обращение в техническую поддержку для дополнительной настройки виртуального IP-адреса на стороне платформы Evolution.

В тексте обращения укажите идентификатор ВМ и IP-адрес, который необходимо настроить.

Шаг 6. Настройте первый узел кластера

Выполните первоначальные настройки по документации вендора со следующими параметрами:

Настройте статическую адресацию и зоны для сетевых интерфейсов:
1. port0:
  - В поле IP-интерфейс введите «10.1.1.4».
  - В поле Маска введите «255.255.255.0».
  - В поле Зона выберите Managment.
2. port1:
  - В поле IP-интерфейс введите «10.1.2.4».
  - В поле Маска введите «255.255.255.0».
  - В поле Зона выберите Untrusted.
3. port2:
  - В поле IP-интерфейс введите «10.1.3.4».
  - В поле Маска введите «255.255.255.0».
  - В поле Зона выберите Trusted.
4. port3:
  - В поле IP-интерфейс введите «10.10.10.4».
  - В поле Маска введите «255.255.255.0».
  - В поле Зона выберите Cluster.
Настройте статический шлюз:
- В поле Интерфейс введите порт c IP-адресом 10.2.2.4.
- В поле Виртуальный маршрутизатор оставьте значение по умолчанию.
- В поле IP шлюза введите IP-адрес 10.2.2.1.
Для службы DNS введите адрес сервера DNS.
Для сетевых зон Trusted и Untrusted разрешенных сервисов выберите VRRP.
Для правил межсетевого экрана разрешите прохождение трафика из зоны Trusted в зону Untrusted.

Шаг 7. Настройте второй узел кластера

Выполните первоначальные настройки по документации вендора со следующими параметрами:

Настройте статическую адресацию и зоны для сетевых интерфейсов:
1. port0:
  - В поле IP-интерфейс введите «10.1.1.4».
  - В поле Маска введите «255.255.255.0».
  - В поле Зона выберите Managment.
2. port1:
  - В поле IP-интерфейс введите «10.1.2.4».
  - В поле Маска введите «255.255.255.0».
  - В поле Зона выберите Untrusted.
3. port2:
  - В поле IP-интерфейс введите «10.1.3.4».
  - В поле Маска введите «255.255.255.0».
  - В поле Зона выберите Trusted.
4. port3:
  - В поле IP-интерфейс введите «10.10.10.4».
  - В поле Маска введите «255.255.255.248».
  - В поле Зона выберите Cluster.
Настройте статический шлюз:
- В поле Интерфейс введите порт c IP-адресом 10.2.2.4.
- В поле Виртуальный маршрутизатор оставьте значение по умолчанию.
- В поле IP шлюза введите IP-адрес 10.2.2.1.
Для службы DNS введите адрес сервера DNS.
Для разрешенных сервисов выберите VRRP для сетевых зон Trusted и Untrusted.
Для правил межсетевого экрана разрешите прохождение трафика из зоны Trusted в зону Untrusted.

Шаг 8. Настройте кластер конфигурации и кластер отказоустойчивости

Настройте кластеры по документации вендора со следующими параметрами:

Для зоны Untrusted введите виртуальный IP-адрес 10.2.2.6.
Для зоны Trusted введите виртуальный IP-адрес 10.3.3.6.

Шаг 9. Протестируйте подключение UserGate к интернету

В веб-консоли UserGate авторизируйтесь на ВМ «UserGate-vm».
Перейдите на вкладку Диагностика и мониторинг.
В списке слева выберите Сеть → Ping.
В поле Ping host введите «8.8.8.8».
В поле Интерфейс выберите port1.
Нажмите Старт.

В разделе Вывод отчета отобразится статистика по отправленным пакетам.

О дополнительной диагностике читайте в документации вендора.

Шаг 10. Установите лицензию

Установите лицензию по документации вендора.

Настройка отказоустойчивого кластера UserGate завершена.

Была ли статья полезной ?

Предыдущая статья

Отказоустойчивая конфигурация UserGate (HA) на платформе Облако VMware

Следующая статья

Сценарии использования UserGate