tocdepth: 2

Отказоустойчивая конфигурация UserGate (HA) на платформе Evolution

ВМ UserGate поддерживает режим отказоустойчивого кластера. В этом режиме две ВМ имеют общие настройки и заменяют друг друга в случае выхода из строя одной из них. Также реализована отказоустойчивость транзитных сетевых соединений для предотвращения разрыва при переключении на резервную ВМ.

Кластер отказоустойчивости функционирует по принципу разделения ролей:

Активная ВМ обрабатывает сетевой трафик.
Пассивная ВМ проверяет статус активной и синхронизирует с ней состояние сетевых сессий.

В случае неисправности активной ВМ пассивная ВМ становится активной и обрабатывает сетевой трафик. Создание отказоустойчивого кластера происходит в два этапа: создание кластера конфигурации и создание кластера отказоустойчивости.

Примечание

IP-адреса и параметры ВМ, которые используются в руководстве, даны в качестве примера. Руководства реализуются для версии «UserGate VE 100».

Если вы используете другую версию, настройте параметры ВМ в соответствии с ней. Если настраиваете UserGate для уже имеющихся ресурсов, используйте их IP-адреса.

Чтобы развернуть отказоустойчивый кластер UserGate:

Создайте VPC и подсети.
Создайте группы безопасности.
Создайте виртуальные машины на базе образа UserGate.
Отключите группы безопасности.
Организуйте ВМ «ug-vm» доступ к интернету.
Настройте первый узел кластера.
Настройте второй узел кластера.
Настройте кластер конфигурации.
Настройте кластер отказоустойчивости.
Протестируйте подключение UserGate к интернету.
Установите лицензию.

Перед началом работы

Авторизуйтесь в личном кабинете.

Подробнее — в руководстве по личному кабинету.
Проверьте, что учетной записи назначена роль не ниже Администратор проекта.

Если это не так, запросите права у администратора.

Шаг 1. Создайте VPC и подсети

Создайте VPC

Выберите сервис VPC.
Нажмите Создать VPC.
В поле Название введите «ug-vpc».
Нажмите Создать.

Создайте внешнюю подсеть

Выберите сервис Подсети.
Нажмите Создать подсеть.
В поле Название введите «public-subnet-ug».
В поле VPC выберите «ug-vpc».
В поле Адрес введите «10.2.2.0/24».
В поле Шлюз введите «10.2.2.1».
В поле DNS-серверы введите «8.8.8.8».
Нажмите Создать.

Создайте подсеть управления

Нажмите Создать подсеть.
В поле Название введите «management-subnet-ug».
Выберите локальный тип подсети.
В поле Адрес введите «10.1.1.0/24».
Нажмите Создать.

Создайте подсеть для внутреннего трафика

Нажмите Создать подсеть.
В поле Название введите «internal-subnet-ug».
Выберите локальный тип подсети.
В поле Адрес введите «10.3.3.0/24».
Нажмите Создать.

Создайте подсеть для кластера

Нажмите Создать подсеть.
В поле Название введите «cluster-subnet-ug».
Выберите локальный тип подсети.
В поле Адрес введите «10.10.10.0/29».
Нажмите Создать.

Шаг 2. Создайте группы безопасности

Выберите сервис Группы безопасности.
Нажмите Создать группу безопасности.
В поле Название введите «ug-mgmt-sec-group».
В разделе Правила входящего трафика нажмите Добавить правило.
Создайте правило вида:
- Протокол — «Любой».
- Тип источника — «IP-адрес».
- Источник — «0.0.0.0/0».
Нажмите Создать.
Нажмите Создать.
Нажмите на имя группы безопасности.
Перейдите на вкладку Правила.

Добавьте правила входящего и исходящего трафика согласно таблице:

Трафик	Протокол	Порт	Тип источника / адресата	Источник / адресат	Описание
Входящий	TCP	8001:8001	Группа безопасности	ug-mgmt-sec-group	Веб-консоль
Входящий	ICMP	Любой	Группа безопасности	ug-mgmt-sec-group
Входящий	TCP	2200:2200	Группа безопасности	ug-mgmt-sec-group	CLI по SSH
Исходящий	ICMP	Любой	Группа безопасности	ug-mgmt-sec-group
Исходящий	TCP	Любой	Группа безопасности	ug-mgmt-sec-group

Удалите правило, созданное в пункте 5:
1. Справа от правила нажмите и выберите Удалить.
2. В открывшемся окне нажмите Удалить.

Также может понадобиться настройка дополнительных правил. С полным списком правил можно ознакомиться на сайте UserGate.

Аналогичным образом создайте группу безопасности «ug-cluster-sec-group» и добавьте в нее правила:

Трафик	Протокол	Порт	Тип источника / адресата	Источник / адресат	Описание
Входящий	Любой	Любой	Группа безопасности	ug-cluster-sec-group
Исходящий	Любой	Любой	Группа безопасности	ug-cluster-sec-group

Шаг 3. Создайте виртуальные машины на базе образа UserGate

Выберите сервис Виртуальные машины.
Нажмите Создать виртуальную машину.
В поле Название введите «ug-vm».
В разделе Образ перейдите на вкладку Маркетплейс и выберите UserGate.
В разделе Вычислительный ресурс:
1. В поле vCPU выберите «4».
2. В поле RAM выберите «16».
В разделе Диски выберите объем загрузочного диска — «100 ГБ».
Нажмите Продолжить.
Подключите ВМ к внешней подсети:
1. Нажмите Подключить к подсети.
2. В поле VPC выберите «ug-vpc».
3. В поле Подсети выберите «10.2.2.0/24».
4. Нажмите Подключить.
Подключите ВМ к подсети управления:
1. Нажмите Подключить к подсети.
2. В поле VPC выберите «Изолированные подсети».
3. В поле Подсети выберите «10.1.1.0/24».
4. В поле Группы безопасности выберите «ug-mgmt-sec-group».
5. Нажмите Подключить.
Подключите ВМ к подсети для внутреннего трафика:
1. Нажмите Подключить к подсети.
2. В поле VPC выберите «Изолированные подсети».
3. В поле Подсети выберите «10.3.3.0/24».
4. Нажмите Подключить.
Подключите ВМ к подсети кластера:
1. Нажмите Подключить к подсети.
2. В поле VPC выберите «Изолированные подсети».
3. В поле Подсети выберите «10.10.10.0/24».
4. В поле Группы безопасности выберите «ug-cluster-sec-group».
5. Нажмите Подключить.
Нажмите Создать.

Аналогичным образом создайте ВМ с именем «ug-vm-2».

Шаг 4. Отключите группы безопасности

Группы безопасности по умолчанию блокируют весь транзитный трафик. Это может помешать работе UserGate.

Чтобы этого не произошло, отключите группы безопасности от интерфейсов, через которые проходит такой трафик:

В списке ВМ выберите «ug-vm».
Перейдите на вкладку Сетевые параметры.
В блоке Подсети выберите интерфейс «public-subnet-ug» и нажмите в его строке.
Выберите Свойства интефейса.
Отключите опцию «Проверка адреса источника/назначения» и нажмите Выключить.
Повторите действия для интерфейса «internal-subnet-ug».

Аналогичным образом отключите группы безопасности на ВМ «ug-vm-2».

Шаг 5. Организуйте ВМ «ug-vm» доступ к интернету

Выберите сервис Публичные IP.
Нажмите Арендовать публичный IP.
В поле Название введите «ug-ip».
Нажмите Арендовать.
В строке с IP-адресом «ug-ip» нажмите и выберите Назначить.
Выберите ВМ «ug-vm» из списка.
Выберите Плавающий тип IP-адреса.
Нажмите Назначить.
Составьте обращение в техническую поддержку для дополнительной настройки виртуального IP-адреса на стороне платформы Evolution.

В тексте обращения укажите идентификатор ВМ и IP-адрес, который необходимо настроить.

Шаг 6. Настройте первый узел кластера

Из ВМ в подсети «management-subnet-ug» перейдите в браузере на страницу https://10.1.1.4:8001.
Авторизуйтесь в сервисе:
- Логин — «Admin».
- Пароль — «usergate».
Выберите Русский язык и нажмите Continue.
Выберите часовой пояс и нажмите Продолжить.
Ознакомьтесь и примите условия лицензионного соглашения.
Смените пароль администратора и нажмите Старт.
Настройте статическую адресацию и зоны первого узла:

port0
1. Нажмите port0.
2. В поле Зона выберите «Management».
3. В разделе IP интерфейса нажмите Добавить и укажите:
  
  IP интерфейса — «10.1.1.4».
  
  Маска — «255.255.255.0».
4. Нажмите Сохранить.
port1
1. Нажмите port1.
2. В поле Зона выберите «Untrusted».
3. В разделе IP интерфейса нажмите Добавить и укажите:
  - IP интерфейса — «10.2.2.4».
  - Маска — «255.255.255.0».
4. Нажмите Сохранить.
port2
1. Нажмите port2.
2. В поле Зона выберите «Cluster».
3. В разделе IP интерфейса нажмите Добавить и укажите:
  - IP интерфейса — «10.10.10.4».
  - Маска — «255.255.255.248».
4. Нажмите Сохранить.
port3
1. Нажмите port3.
2. В поле Зона выберите «Trusted».
3. В разделе IP интерфейса нажмите Добавить и укажите:
  - IP интерфейса — «10.3.3.4».
  - Маска — «255.255.255.0».
4. Нажмите Сохранить.
Настройте статический шлюз:
1. В списке слева выберите Сеть → Шлюзы.
2. Нажмите Добавить.
3. В поле Название введите «default».
4. В поле Интерфейс выберите port1.
5. В поле IP шлюза введите «10.2.2.1».
6. В поле Вес введите «1».
7. Нажмите Сохранить.
Настройте DNS:
1. В списке слева выберите Сеть → DNS.
2. Нажмите Добавить.
3. В поле Адрес сервера введите «8.8.8.8».
4. Нажмите Сохранить.
В списке слева выберите Сеть → Зоны.
Нажмите Trusted.
Установите флаг VRRP.
Повторите шаги 5-6 для зоны «Untrusted».
В списке слева выберите UserGate → Управление устройством.
В разделе Кластер конфигурации нажмите Редактировать.
В поле IP-адрес введите «10.10.10.4».
Нажмите Сохранить.
Нажмите Перезагрузить сейчас.

Перезагрузка занимает до 10 минут.
В списке слева выберите UserGate → Управление устройством.
В разделе Кластер конфигурации нажмите Сгенерировать секретный код.

Сохраните код. Он потребуется при настройке второго узла кластера.

Шаг 7. Настройте второй узел кластера

Из ВМ в подсети «management-subnet-ug» перейдите в браузере на страницу https://10.1.1.5:8001.
Авторизуйтесь в сервисе:
- Логин — «Admin».
- Пароль — «usergate».
Выберите Русский язык и нажмите Continue.
Выберите часовой пояс и нажмите Продолжить.
Ознакомьтесь c условиями лицензионного соглашения и нажмите Принять.
Нажмите Установка дополнительного узла кластера.
В поле Интерфейс выберите port3.
В поле IP-адрес введите «10.10.10.5».
В поле Маска введите «255.255.255.248».
В поле IP-адрес мастер-сервера введите «10.10.10.4».
В поле Секретный код введите секретный код, полученный ранее.
Нажмите Продолжить.

Шаг 8. Настройте кластер конфигурации

Авторизируйтесь в интерфейсе UserGate на ВМ «UserGate-vm».
В списке слева выберите UserGate → Управление устройством.
В разделе Кластер конфигурации выберите второй узел кластера и нажмите Редактировать.
В поле Имя узла введите «utmcore@oulratranale».
Нажмите Сохранить.
Перейдите на вкладку Настройки.
В списке слева выберите Сеть → Интерфейсы.
Настройте статическую адресацию и зоны второго узла кластера:

port0
1. Нажмите port0.
2. В поле Зона выберите «Management».
3. В разделе IP интерфейса нажмите Добавить и укажите:
  
  IP интерфейса — «10.1.1.5».
  
  Маска — «255.255.255.0».
4. Нажмите Сохранить.
port1
1. Нажмите port1.
2. В поле Зона выберите «Untrusted».
3. В разделе IP интерфейса нажмите Добавить и укажите:
  - IP интерфейса — «10.2.2.5».
  - Маска — «255.255.255.0».
4. Нажмите Сохранить.
port2
1. Нажмите port2.
2. В поле Зона выберите «Cluster».
3. В разделе IP интерфейса нажмите Добавить и укажите:
  - IP интерфейса — «10.10.10.5».
  - Маска — «255.255.255.248».
4. Нажмите Сохранить.
port3
1. Нажмите port3.
2. В поле Зона выберите «Trusted».
3. В разделе IP интерфейса нажмите Добавить и укажите:
  - IP интерфейса — «10.3.3.5».
  - Маска — «255.255.255.0».
4. Нажмите Сохранить.
Настройте статический шлюз второго узла:
1. В списке слева выберите Сеть → Шлюзы.
2. Нажмите Добавить.
3. В поле Название введите «default».
4. В поле Интерфейс выберите port1.
5. В поле IP шлюза введите «10.2.2.1».
6. В поле Вес введите «1».
7. Нажмите Сохранить.
Настройте DNS второго узла:
1. Из ВМ в подсети «management-subnet-ug» перейдите в браузере на страницу https://10.1.1.5:8001.
2. В списке слева выберите Сеть → DNS.
3. Нажмите Добавить.
4. В поле Адрес сервера введите «8.8.8.8».
5. Нажмите Сохранить.

Шаг 9. Настройте кластер отказоустойчивости

В списке слева выберите UserGate → Управление устройством.
В разделе Кластеры отказоустойчивости нажмите +.
Перейдите на вкладку Узлы и выберите оба узла.
Перейдите на вкладку Виртуальные IP.
Добавьте виртуальный IP для зоны «Untrusted»:
1. Нажмите Добавить.
2. В поле Виртуальный IP введите «10.2.2.6».
3. В поле Маска введите «255.255.255.0».
4. В разделе Интерфейсы для обоих узлов выберите port1.
5. Нажмите Сохранить.
Добавьте виртуальный IP для зоны «Trusted»:
1. Нажмите Добавить.
2. В поле Виртуальный IP введите «10.3.3.6».
3. В поле Маска введите «255.255.255.0».
4. В разделе Интерфейсы для обоих узлов выберите port3.
5. Нажмите Сохранить.
Нажмите Сохранить.
В списке слева выберите Сеть → Интерфейсы.
Убедитесь, что для указанных интерфейсов появились виртуальные IP:

Шаг 10. Протестируйте подключение UserGate к интернету

Авторизируйтесь в интерфейсе UserGate на ВМ «UserGate-vm».
Перейдите на вкладку Диагностика и мониторинг.
В списке слева выберите Сеть → Ping.
В поле Ping host введите «8.8.8.8».
В поле Интерфейс выберите port1.
Нажмите Старт.

В результате должна отобразиться статистика по шести отправленным пакетам.

Шаг 11. Установите лицензию

Нажмите Активировать продукт.
Введите PIN-код лицензии.
Нажмите Дальше.
Заполните обязательные поля и нажмите Дальше.
Перейдите на вкладку Дашборд и в разделе Лицензия нажмите Проверить лицензию.

Откроется окно с информацией о лицензии.

Настройка отказоустойчивого кластера UserGate завершена.

Следующие шаги

После настройки UserGate вы можете ознакомиться со сценариями использования.

Была ли статья полезной?

Спасибо за отзыв! Что можно улучшить?