Создание отказоустойчивой конфигурации NGFW UserGate на платформе Evolution выполняется после развертывания и первичной инициализации в Evolution.
ВМ UserGate поддерживает режим отказоустойчивого кластера. В этом режиме две ВМ имеют общие настройки и заменяют друг друга в случае выхода из строя одной из них. Также реализована отказоустойчивость транзитных сетевых соединений для предотвращения разрыва при переключении на резервную ВМ.
Кластер отказоустойчивости функционирует по принципу разделения ролей:
активная ВМ обрабатывает сетевой трафик;
пассивная ВМ проверяет статус активной и синхронизирует с ней состояние сетевых сессий.
В случае неисправности активной ВМ пассивная ВМ становится активной и обрабатывает сетевой трафик. Создание отказоустойчивого кластера происходит в два этапа: создание кластера конфигурации и создание кластера отказоустойчивости.
IP-адреса и параметры ВМ даны в качестве примера. Руководства реализуются для версии «UserGate VE 250». Если вы настраиваете UserGate для уже имеющихся ресурсов, используйте их IP-адреса. В качестве решения работы кластера UserGate NGFW необходимо использовать версию 7.5.х и выше.
Авторизуйтесь в личном кабинете.
Подробнее — в руководстве по личному кабинету.
Проверьте, что учетная запись имеет роль не ниже Администратора проекта.
При необходимости запросите права у администратора.
Для повышения производительности межсетевого экрана обратитесь в техническую поддержку.
Запросите создание выделенного флейвора с опцией многопотоковой очереди (Multiqueue) в соответствии с планируемым набором ресурсов CPU и RAM. Возможность выбора выделенного флейвора появится в момент создания ВМ при указании ресурсной модели.
Выберите сервис VPC.
Нажмите Создать VPC.
В поле Название введите «ug-vpc».
Нажмите Создать.
Выберите сервис Подсети.
Нажмите Создать подсеть.
В поле Название введите «public-subnet-ug».
В поле VPC выберите «ug-vpc».
В поле Зона доступности укажите «ru.AZ-2».
В поле Адрес введите «10.2.2.0/24».
В поле Шлюз введите «10.2.2.1».
В поле DNS-серверы введите «8.8.8.8».
Нажмите Создать.
Нажмите Создать подсеть.
В поле Название введите «management-subnet-ug».
Выберите локальный тип подсети.
В поле Зона доступности укажите «ru.AZ-2».
В поле Адрес введите «10.1.1.0/24».
Нажмите Создать.
Нажмите Создать подсеть.
В поле Название введите «internal-subnet-ug».
Выберите локальный тип подсети.
В поле Зона доступности укажите «ru.AZ-2».
В поле Адрес введите «10.3.3.0/24».
Нажмите Создать.
Нажмите Создать подсеть.
В поле Название введите «cluster-subnet-ug».
Выберите локальный тип подсети.
В поле Зона доступности укажите «ru.AZ-2».
В поле Адрес введите «10.10.10.0/29».
Нажмите Создать.
Выберите сервис Группы безопасности.
Нажмите Создать группу безопасности.
В поле Название введите «ug-mgmt-sec-group».
В разделе Правила входящего трафика нажмите Добавить правило.
Создайте правило вида:
Протокол — «Любой».
Тип источника — «IP-адрес».
Источник — «0.0.0.0/0».
Нажмите Создать.
Нажмите Создать.
Нажмите на имя группы безопасности.
Перейдите на вкладку Правила.
Добавьте правила входящего и исходящего трафика согласно таблице:
Трафик | Протокол | Порт | Тип источника / адресата | Источник / адресат | Описание |
|---|---|---|---|---|---|
Входящий | TCP | 8001:8001 | Группа безопасности | ug-mgmt-sec-group | Веб-консоль |
Входящий | ICMP | Любой | Группа безопасности | ug-mgmt-sec-group | |
Входящий | TCP | 2200:2200 | Группа безопасности | ug-mgmt-sec-group | CLI по SSH |
Исходящий | ICMP | Любой | Группа безопасности | ug-mgmt-sec-group | |
Исходящий | TCP | Любой | Группа безопасности | ug-mgmt-sec-group |
Также может понадобиться настройка дополнительных правил. С полным списком правил можно ознакомиться на сайте UserGate.
Аналогичным образом создайте группу безопасности «ug-cluster-sec-group» и добавьте в нее правила:
Трафик | Протокол | Порт | Тип источника / адресата | Источник / адресат | Описание |
|---|---|---|---|---|---|
Входящий | Любой | Любой | Группа безопасности | ug-cluster-sec-group | Веб-консоль |
Исходящий | Любой | Любой | Группа безопасности | ug-cluster-sec-group |
Выберите сервис Виртуальные машины.
Нажмите Создать виртуальную машину.
В поле Название введите «ug-node1».
В поле Зона доступности укажите «ru.AZ-2».
Отключите Графический процессор (GPU).
В разделе Диски выберите объем загрузочного диска «300 ГБ».
В разделе Образ перейдите на вкладку Маркетплейс и выберите UserGate.
Нужно вручную обновить UserGate до версии 7.5 или загрузить образ 7.5 в Пользовательское хранилище в формате RAW.
В разделе Вычислительный ресурс с гарантированной долей vCPU 100%:
В поле vCPU выберите «4».
В поле RAM выберите «8».
Если через техническую поддержку запрашивалась версия флэйвора Multiqueue, укажите ее.
Нажмите Продолжить.
Подключите ВМ к подсети управления:
Нажмите Добавить интерфейс.
В поле VPC выберите «Изолированные подсети».
В поле Подсети выберите «10.1.1.0/24».
В поле Внутренний IP введите IP-адрес.
Например, «10.1.1.11/24».
В поле Группы безопасности выберите «ug-mgmt-sec-group».
Подключите ВМ к внешней подсети:
Нажмите Добавить интерфейс.
В поле VPC выберите «ug-vpc».
В поле Подсети выберите «10.2.2.0/24».
В поле Группы безопасности выберите любую группу безопасности.
Дальше она будет отключена.
Подключите ВМ к подсети для внутреннего трафика:
Нажмите Добавить интерфейс.
В поле VPC выберите «Изолированные подсети».
В поле Подсети выберите «10.3.3.0/24».
В поле Внутренний IP введите IP-адрес.
Например, «10.3.3.11/24».
В поле Группы безопасности выберите любую группу безопасности.
Позже она будет отключена.
Подключите ВМ к подсети кластера:
Нажмите Добавить интерфейс.
В поле VPC выберите «Изолированные подсети».
В поле Подсети выберите «10.10.10.11/29».
В поле Группы безопасности выберите «ug-cluster-sec-group».
В поле Имя хоста введите любые имя пользователя и пароль.
В момент первичной инициализации они будут сброшены до заводских.
В разделе Авторизация пользователя введите любые имя пользователя и пароль.
В момент первичной инициализации они будут сброшены до заводских.
Нажмите Создать.
Аналогичным образом создайте ВМ с именем «ug-node2».
MAC-адреса сетевых интерфейсов, подключаемых к ВМ генерируются рандомно. Упорядочивание адресов внутри UserGate осуществляется в порядке возрастания.
Кластерные интерфейсы UserGate должны быть идентичны на обеих нодах. Например, port4 на первой ноде и port4 на второй.
Чтобы избежать проблем в сопостовлении сетевых интерфейсов, рекомендуется в момент начальной инициализации на каждой ВМ в cli использовать опцию iface-mode dhcp. Опция предоставит действительную информацию по раскладке портов.
Если последовательность портов внутри UserGate отличается от требуемой:
Отвяжите сетевой интерфейс от виртуальной ВМ через:
cli clear network interface-mapping;
confugure delete network interface-mapping.
Перезагрузите ВМ до получения требуемой раскладки портов.
Группы безопасности по умолчанию блокируют весь транзитный трафик. Это может помешать работе UserGate.
Чтобы этого не произошло, отключите группы безопасности от интерфейсов, через которые проходит такой трафик:
В списке ВМ выберите «ug-vm».
Перейдите на вкладку Сетевые параметры.
В блоке Подсети выберите интерфейс «public-subnet-ug» и нажмите в его строке.
Выберите Свойства интефейса.
Отключите опцию «Проверка адреса источника/назначения» и нажмите Выключить.
Повторите действия для интерфейса «internal-subnet-ug».
Аналогичным образом отключите группы безопасности для ВМ «ug-node2».
Создайте виртуальные IP для внутренней и внешней подсетей.
В разделе Виртуальные IP, в поле Название введите название виртуального IP.
Например, «vip-internal».
В поле Тип выберите «Изолированная подсеть».
В поле Подсеть укажите «10.3.3.0/24».
В поле Виртуальный IP введите IP-адрес.
Например, «10.3.3.10».
Поле Интерфейсы виртуальных машин пропустите.
В разделе Виртуальные IP, в поле Название введите название виртуального IP.
Например, «vip-external».
В поле Тип выберите «Маршрутизируемая подсеть».
В поле Подсеть укажите «10.2.2.0/24».
В поле Виртуальный IP введите IP-адрес.
Например, «10.2.2.10».
Поле Интерфейсы виртуальных машин пропустите.
Внутри платформы выберите сервис sNAT- шлюзы.
Нажмите Создать шлюз.
В поле Зона доступности укажите «ru.AZ-2».
В строке VPC выберите «vpc-ug».
Введите название.
Нажмите Создать.
Настройте первый узел, при этом:
Настройте статическую адресацию и зоны для сетевых интерфейсов:
port0:
В поле IP-интерфейс введите «10.1.1.11».
В поле Маска введите «255.255.255.0».
В поле Зона выберите Managment.
port1:
В поле IP-интерфейс введите «10.2.2.11».
В поле Маска введите «255.255.255.0».
В поле Зона выберите Untrusted.
port2:
В поле IP-интерфейс введите «10.3.3.11».
В поле Маска введите «255.255.255.0».
В поле Зона выберите Trusted.
port3:
В поле IP-интерфейс введите «10.10.10.11».
В поле Маска введите «255.255.255.248».
В поле Зона выберите Cluster.
Настройте шлюз:
В поле Интерфейс введите порт c IP-адресом «10.2.2.11».
Поле Виртуальный маршрутизатор пропустите.
В поле IP-шлюз введите «10.2.2.1».
Для службы DNS введите IP-адрес сервера DNS.
Для разрешенных сервисов выберите VRRP для сетевых зон Trusted и Untrusted.
Для правил NAT-трансляции разрешите прохождение трафика из зоны Trusted в зону Untrusted.
В качестве SNAT-адреса укажите виртуальный адрес внешней подсетию Например, «10.2.2.10».
Если в правилах трансляции не указан SNAT-адрес, синхронизации сессий в момент переключения кластера не будет. По умолчанию трафик уходит по адресу активной ноды.
Настройте второй узел, при этом:
Настройте статическую адресацию и зоны для сетевых интерфейсов:
port0:
В поле IP-интерфейс введите «10.1.1.12».
В поле Маска введите «255.255.255.0».
В поле Зона выберите Managment.
port1:
В поле IP-интерфейс введите «10.2.2.12».
В поле Маска введите «255.255.255.0».
В поле Зона выберите Untrusted.
port2:
В поле IP-интерфейс введите «10.3.3.12».
В поле Маска введите «255.255.255.0».
В поле Зона выберите Trusted.
port3:
В поле IP-интерфейс введите «10.10.10.12».
В поле Маска введите «255.255.255.248».
В поле Зона выберите Cluster.
Настройте шлюз:
В поле Интерфейс введите порт c IP-адресом «10.2.2.12».
Поле Виртуальный маршрутизатор пропустите.
В поле IP-шлюз введите «10.2.2.1».
Для службы DNS введите IP-адрес сервера DNS.
Подключитесь к web-консоли ВМ UserGate на ВМ «UserGate-vm».
На вкладке Диагностика и мониторинг в списке слева нажмите Сеть → Ping.
В поле Ping host введите «8.8.8.8».
В поле Интерфейс выберите «port1».
Нажмите Старт.
В разделе Вывод отчета отобразится статистика по шести отправленным пакетам.
Подробнее о дополнительной диагностике.
Выполните настройку кластера. Для настройки в cli:
Для зоны Untrusted введите виртуальный IP «10.2.2.10».
Для зоны Trusted введите виртуальный IP «10.3.3.10».
Настройка отказоустойчивого кластера UserGate завершена.
На ВМ, подключенной к внутренней сети, установите в качестве шлюза по умолчанию виртуальный адрес интерфейса UserGate.
Например, «10.2.2.10».
Запустите команду ping до внешнего узла сети.
Например, «8.8.8.8».
Внутри web-интерфейса UserGate выполните переключение кластера с активной на резервную ноду.
Убедитесь в успешном прохождении трафика
Базовая настройка кластера UserGate завершена.