Отказоустойчивая конфигурация UserGate в (HA) в Advanced

Общие положения

Создание отказоустойчивой конфигурации UserGate в Advanced выполняется после развертывания и первичной инициализации UserGate в Advanced.

Внимание

При создании кластера отказоустойчивости UserGate в Advanced может возникнуть проблема с дублированием трафика. Для ее устранения разработан скрипт автоматического переключения трафика на активную ноду кластера. Обратитесь к вашему менеджеру в Cloud.ru за дополнительной информацией.

Для корректной работы кластера используйте три EIP:

  • для реального IP-адреса основного узла;

  • для реального IP-адреса резервного узла;

  • для виртуального IP-адреса кластера.

Целевая схема отказоустойчивой конфигурации:

../../_images/sch__failover_01.png

Примечание

Перед выполнением этой инструкции рекомендуем изучить сценарий использования стороннего межсетевого экрана для очистки трафика сетей VPC.

Для подключения к интернету используйте выделенный интерфейс на UserGate.

Для создания кластера NGFW UserGate требуется выделенный кластерный интерфейс. Минимально рекомендуемый набор интерфейсов для кластера UserGate в Advanced: in, out и cluster.

Для UserGate в Advanced три и более интерфейса доступны для всех моделей, кроме 2 vCPU. Устройства должны иметь одинаковую версию ОС, чтобы объединить их в кластер. Для кластера конфигурации допустимо использование разных моделей UserGate (разного числа vCPU). В кластер отказоустойчивости может входить до четырех виртуальных устройств.

Внимание

Для настройки кластера нужна лицензия с возможностями кластеризации. Для получения такой лицензии обратитесь к вашему менеджеру Cloud.ru.

Установка первого узла кластера

Разверните ВМ UserGate, как описано в инструкции. При этом:

  1. На шаге «Создание VPC» после создания дополнительной подсети subnet-vpc-x-outside для подключения к интернету создайте еще одну подсеть subnet-vpc-x-cluster, которая будет использоваться для организации кластерного интерфейса UserGate:

    1. В главном меню выберите раздел Network → Virtual Private Cloud.

    2. В левой части экрана перейдите в Subnets.

    3. В правом верхнем углу нажмите Create Subnet.

    4. Задайте значения параметров:

      • VPC: VPC-X

      • Name: subnet-vpc-x-cluster

      • IPv4 CIDR Block: 10.255.255.0/24

    5. Нажмите OK.

    ../../_images/s__failover_01.png
  2. На шаге «Создание виртуального сервера на базе образа UserGate» кроме подсетей subnet-vpc-x и subnet-vpc-x-outside добавьте NIC с подсетью subnet-vpc-x-cluster.

    ../../_images/s__failover_02.png

    В качестве IP-адресов укажите .10. В качестве имени виртуального сервера UserGate рекомендуем использовать ecs-UserGate-Pri.

Выполните первичную инициализация UserGate в Advanced, как описано в инструкции. При этом:

  1. На шаге «Настройка порта управления UserGate» обратите внимание на наличие третьего порта UserGate port2, который будет в дальнейшем использован для создания кластера.

  2. На шаге «Настройка статической адресации на интерфейсах» во время назначения зон убедитесь, что зоны Trusted и Untrusted назначаются на порты с IP-адресами 10.255.0.10 и 10.255.10.10 соответственно. На порт с адресом 10.255.255.10 (кластер) потребуется назначить зону Cluster. Не удаляйте ECS-X на данном этапе. ВМ потребуется для начальной инициализации второго узла кластера.

  3. Выполните шаг «тестирование доступов инструкции по первичной инициализации UserGate в Advanced.

Настройка первого узла для создания кластера конфигурации и отказоустойчивости

  1. Подключитесь графическому интерфейсу UserGate.

  2. Перейдите на вкладку Настройки, далее в Сеть → Интерфейсы.

  3. Для интерфейса, выбранного на роль кластерного интерфейса, назначьте зону Cluster.

    ../../_images/s__failover_03.png
  4. Перейдите в Сеть → Зоны. Для зон Trusted и Untrusted включите разрешение VRRP.

    ../../_images/s__failover_04.png
  5. Перейдите в UserGate → Управление устройством. В разделе Кластер конфигурации нажмите Редактировать.

  6. Укажите имя основного узла кластера и выберите для него IP-адрес.

    ../../_images/s__failover_05.png
  7. Нажмите Сохранить.

  8. Нажмите Перезагрузить сейчас.

  9. После перезагрузки устройства подключитесь к графическому интерфейсу.

  10. Перейдите в UserGate → Управление устройством. В разделе Кластер конфигурации нажмите Сгенерировать секретный код. Скопируйте полученный код в любой другой текстовый редактор. Этот код потребуется для подключения второго узла к кластеру.

    ../../_images/s__failover_06.png

Установка второго узла кластера

  1. Создайте виртуальный сервер UserGate с названием ecs-UserGate-Sec. При настройке NIC укажите IP-адреса интерфейсов .11.

  2. Выполните настройку порта управления.

  3. Подключитесь к консоли управления ECS-X с помощью Remote Login, откройте браузер и в адресной строке укажите https://10.255.0.11:8001.

  4. Пройдите шаги первоначальной установки:

    • Выберите язык

    • Выберите часовой пояс

    • Примите лицензионной соглашение

    • На шаге «Установка первого узла» выберите Установка дополнительного узла кластера.

    ../../_images/s__failover_07.png
  5. Укажите значения параметров:

    • Интерфейс: порт по mac-адресу

    • IP-адрес: 10.255.255.11

    • Маска: 255.255.255.0

    • IP-адрес мастер-сервера: 10.255.255.10

    • Секретный код: секретный код, полученный ранее

    ../../_images/s__failover_08.png
  6. Нажмите Продолжить.

  7. Выполните подключение второго узла кластера к интернету:

    1. Войдите в консоль управления Advanced.

    2. Перейдите в Network → Elastic IP.

    3. Напротив EIP, который планируется использоваться для UserGate, нажмите Bind.

    4. Выберите в списке доступных ECS виртуальную машину ecs-UserGate-Sec. В NIC выберите внешний NIC UserGate с IP-адресом 10.255.10.11.

Настройка кластера конфигурации

  1. Подключитесь в браузере к графическому интерфейсу основного узла UserGate.

  2. Перейдите в UserGate → Управление устройством.

  3. В разделе Кластер конфигурации выберите подключенный резервный узел и нажмите Редактировать.

  4. Задайте имя узла и нажмите Сохранить.

  5. Убедитесь, что оба узла кластера конфигурации имеют активную лицензию и доступны.

    ../../_images/s__failover_09.png

    Внимание

    Лицензия для резервного узла не требует отдельной установки. Достаточно наличия лицензии на основном узле.

  6. Перейдите в Сеть → Интерфейсы. В этом меню доступна настройка интерфейсов обоих узлов кластера. Выполните настройку зон и статической адресации для интерфейсов резервного узла.

    ../../_images/s__failover_10.png
  7. Перейдите в Сеть → Шлюзы. Для второго узла кластера замените шлюз, полученный по протоколу boot, на шлюз, настроенный статически. Для этого нажмите Добавить и задайте значения параметров:

    • Название: default

    • Интерфейс: порт с IP-адресом 10.255.10.11

    • Виртуальный маршрутизатор: Виртуальный маршрутизатор по умолчанию

    • IP шлюза: 10.255.10.1

    • Вес: 1

    • Балансировка: неактивно

    • По умолчанию: активно

  8. Нажмите Сохранить.

  9. Удалите шлюз, полученный по протоколу boot

    ../../_images/s__failover_11.png
  10. Перейдите в Сеть → Виртуальные маршрутизаторы.

  11. Настройте статические маршруты для виртуального маршрутизатора второго узла кластера так же, как настроены статические маршруты для виртуального маршрутизатора первого узла кластера:

    ../../_images/s__failover_12.png

Внимание

В кластере конфигурации настройки IP-адресации и маршрутизации не синхронизируются между узлами.

Настройка кластера конфигурации завершена.

Настройка кластера отказоустойчивости

  1. Подключитесь к графическому интерфейсу основного узла UserGate. Убедитесь, что для зон Trusted и Untrusted включено разрешение VRRP.

  2. Перейдите в UserGate → Управление устройством. В разделе Кластеры отказоустойчивости нажмите +.

  3. В появившемся окне задайте значения параметров аналогично указанным на скриншоте:

    ../../_images/s__failover_13.png

Внимание

Мультикаст-идентификатор позволяет разграничить синхронизацию сессий для разных кластеров отказоустойчивости в рамках одного кластера конфигурации. Если этого не требуется, оставить значение по умолчанию — 0.

Идентификатор виртуального роутера (VRID) уникален для каждого VRRP-кластера в локальной сети VPC. Если в сети не присутствуют сторонние кластеры VRRP, то рекомендуем оставить значение по умолчанию — 1.

  1. Перейдите на вкладку Узлы.

    ../../_images/s__failover_14.png
  2. Выберите основной и резервный узлы кластера.

  3. Перейдите на вкладку Виртуальные IP.

  4. Нажмите Добавить.

  5. Укажите виртуальный IP-адрес 10.255.0.12 для зоны Trusted и выберите соответствующие интерфейсы UserGate.

  6. Нажмите Сохранить.

    Внимание

    Названия сетевых интерфейсов на основном и резервном узле могут не соответствовать друг другу. Например, внешний интерфейс основного узла может быть port1, а внешний интерфейс резервного узла port0. Для удобства выполнения этого шага продублируйте вкладку браузера и в соседней вкладке откройте Сеть → Интерфейсы.

  7. Нажмите Добавить.

  8. Укажите виртуальный IP-адрес 10.255.10.12 для зоны Untrusted и выберите соответствующие интерфейсы UserGate.

  9. Нажмите Сохранить.

  10. В окне Свойства кластера отказоустойчивости проверьте сконфигурированные параметры и нажмите Сохранить.

    ../../_images/s__failover_15.png
  11. Перейдите в Сеть → Интерфейсы. Убедитесь, что виртуальный IP-адрес кластера появился в настройках интерфейса основного узла.

    ../../_images/s__failover_16.png

Настройка Virtual IP

Для корректной маршрутизации в VPC необходимо сопоставить VRRP Virtual IP, настроенные в операционной системе UserGate, с объектами Virtual IP платформы Advanced.

В этом примере настроены следующие VRRP Virtual IP:

  • Зона Trusted10.255.0.12

  • Зона Untrusted10.255.10.12

  1. Войдите в консоль управления Advanced.

  2. Перейдите в Network → Virtual Private Cloud.

  3. В левой части экрана нажмите Subnets.

  4. Выберите subnet-vpc-x и перейдите на вкладку IP-addresses.

  5. Нажмите Assign Virtual IP Address.

  6. Выберите Manual и введите IP-адрес 10.255.0.12.

  7. Напротив вновь созданного Virtual IP Address нажмите Bind to Server.

  8. Выберите первый узел UserGate и его NIC с адресом 10.255.0.10.

    ../../_images/s__failover_17.png
  9. Нажмите ОК.

  10. Напротив вновь созданного Virtual IP Address повторно нажмите Bind to Server.

  11. Выберите второй узел UserGate и его NIC с адресом 10.255.0.11.

  12. Нажмите ОК.

  13. Сверьте настройку со скриншотом:

    ../../_images/s__failover_18.png
  14. Вернитесь в Subnets в консоли Advanced.

  15. Выберите subnet-vpc-x-outside и перейдите на вкладку IP-addresses.

  16. Нажмите Assign Virtual IP Address.

  17. Выберите Manual и введите IP-адрес 10.255.10.12.

  18. Выберите первый узел UserGate и его NIC с адресом 10.255.10.10.

  19. Нажмите ОК.

  20. Напротив вновь созданного Virtual IP Address повторно нажмите Bind to Server.

  21. Выберите второй узел UserGate и его NIC с адресом 10.255.10.11.

  22. Нажмите ОК.

  23. Напротив Virtual IP Address нажмите Bind to EIP.

  24. Выберите свободный EIP. При отсутствии — создайте новый EIP в разделе Network → Elastic IP консоли Advanced и вернитесь к этому шагу.

  25. Сверьте настройку со скриншотом:

    ../../_images/s__failover_19.png
  26. Подключитесь к графическому интерфейсу UserGate, используя EIP, привязанный к Virtual IP платформы Advanced (188.72.109.178 в нашем примере, см. скриншот выше): https://188.72.109.178:8001

  27. Перейдите в Сеть → Интерфейсы и убедитесь, что вы подключились к основному узлу кластера.

    ../../_images/s__failover_20.png

Корректировка NAT

Для обеспечения отказоустойчивого выхода в интернет необходимо использовать VRRP Virtual IP и соответствующий объект Virtual IP платформы Advanced с привязанным EIP. В этом примере VRRP Virtual IP и объект Virtual IP Advanced для выхода в интернет имеют IP-адрес 10.255.10.12. При выходе в Интернет с этим IP-адресом будет использоваться EIP, привязанный к Virtual IP 10.255.10.12. В этом примере — 188.72.109.178.

Для выхода в интернет с использованием адреса 10.255.10.12 (и соответствующего EIP 188.72.109.178) измените настройку NAT UserGate:

  1. В графическом интерфейсе UserGate перейдите на вкладку Настройки, в Политики сети → NAT и маршрутизация.

  2. Откройте преднастроенное правило «NAT from Trusted to Untrusted».

  3. В поле SNAT IP (внешний адрес) замените 10.255.10.10 на 10.255.10.12.

  4. Нажмите Сохранить.

    ../../_images/s__failover_21.png

Корректировка default Route Table для VPC-X

Для обеспечения отказоустойчивости необходимо использовать VRRP Virtual IP и соответствующий объект Virtual IP платформы Advanced в таблице маршрутизации VPC. В этом примере VRRP Virtual IP и объект Virtual IP Advanced отказоустойчивого шлюза для внутренних подсетей имеют IP-адрес 10.255.0.12. Для реализации этого требования внесите изменение в настройку таблицы маршрутизации по умолчанию для VPC-X rtb-VPC-X:

  1. Войдите в консоль управления Advanced.

  2. Перейдите в Network → Virtual Private Cloud.

  3. В левой части экрана перейдите в Virtual Private Cloud → Route tables.

  4. Выберите таблицу по умолчанию для VPC-Xrtb-VPC-X.

  5. Отредактируйте маршрут «по умолчанию»:

    • Destination Type: IP address

    • Destination: 0.0.0.0/0

    • Next Hop Type: Virtual IP Address

    • Next Hop: 10.255.0.12

    • Description (опциально): описание для маршрута

    ../../_images/s__failover_22.png

Тестирование доступов

Выполните шаг «тестирование доступов инструкции по первичной инициализации UserGate в Advanced. В качестве дополнительных тестов рекомендуем:

  1. Проверить IP-адрес, с которого ECS-A и ECB выходят в интернет. IP-адрес должен соответствовать EIP, привязанному к Virtual IP 10.255.10.12 - 188.72.109.178. Для проверки удобно использовать утилиту «curl», например:

    curl ifconfig.me
    

    Полученный результат должен соответствовать EIP.

  2. Выполнить тестирование доступов при отключенной основной ноде UserGate и повторить тестирование доступов при отключенной резервной ноде UserGate.

Запустили Evolution free tier
для Dev & Test
Получить