Отказоустойчивая конфигурация UserGate (HA) на платформе Облако VMware
ВМ UserGate поддерживает режим отказоустойчивого кластера. В этом режиме две ВМ имеют общие настройки и заменяют друг друга в случае выхода из строя одной из них. Также реализована отказоустойчивость транзитных сетевых соединений для предотвращения разрыва при переключении на резервную ВМ.
Кластер отказоустойчивости функционирует по принципу разделения ролей: активная ВМ обрабатывает сетевой трафик, а пассивная ВМ проверяет статус активной и синхронизирует с ней состояние сетевых сессий. В случае неисправности активной ВМ пассивная ВМ становится активной и начинает обрабатывать сетевой трафик. Создание отказоустойчивого кластера происходит в два этапа: создание кластера конфигурации и создание кластера отказоустойчивости.
При функционировании в режиме отказоустойчивого кластера необходимо учитывать особенности его эксплуатации:
Все настройки синхронизируются между участниками кластера, но часть из них являются уникальными и не реплицируются: настройки Log Analyzer, диагностика сетевых интерфейсов, шлюзов и сетевых маршрутов, протоколов DHCP, OSPF, BGP.
Для обмена информацией между участниками кластера должен выделяться отдельный интерфейс и сетевая зона, которые не участвуют в транзитной передаче сетевого трафика.
Каждая подсеть, эксплуатируемая на ВМ UserGate, в режиме отказоустойчивости в служебных целях резервирует до трех IP-адресов в каждой зоне: собственные IP-адреса интерфейсов участников кластера и новый виртуальный IP-адрес, который должен использоваться конечными хостами в качестве шлюза по умолчанию.
Например, если в заданной подсети в качестве шлюза по умолчанию используется IP-адрес ..*.254, то его необходимо выделить для виртуального IP, под IP-адрес интерфейса первого активного устройства выделить значение .252, а для второго пассивного — .253.
Создание кластера конфигурации
Внимание
Синхронизация кластера должна осуществляться через специализированный выделенный сетевой интерфейс и зону. Настройте для работы кластера конфигурации отдельный сетевой интерфейс UserGate c IP-адресацией и назначьте его в отдельную сетевую зону. По умолчанию в системных настройках для этого выделена зона «Cluster», в которой разрешены сервисы «Ping», «Cluster», «Консоль администрирования». Рекомендуется использовать именно ее и не создавать дополнительных зон.
Размещение иных сетевых хостов в сетевой зоне кластера запрещено. Для кластерного интерфейса рекомендуется выделять самый последний по счету сетевой интерфейс UserGate.
Перейдите в раздел и нажмите Редактировать.
В появившемся окне Свойства узла в строке Узел введите название первого участника кластера, например «UG1». В строке IP адрес выберите адрес, который назначен данной ВМ в зоне синхронизации кластера.
Нажмите Сохранить и подтвердите перезагрузку ВМ.
Установка резервной ВМ UserGate
Штатно разверните резервную ВМ UserGate, разместив внешний адрес управления в интернете со значением последнего октета следующим или предыдущим по счету.
Внимание
В интернете при этом резервируется три IP-адреса — два реальных для каждой из ВМ UserGate и общий виртуальный IP-адрес. Виртуальный адрес рекомендуется выделять первым по счету в диапазоне свободных IP-адресов внешнего адресного пространства или последним перед вышестоящим шлюзом интернет-провайдера.
На этапе первичной инициализации ВМ нажмите Установка дополнительного узла кластера.
В появившемся окне Установка заполните следующие поля:
В разделе Шаг 1:
В поле Интерфейс укажите последний по счету интерфейс для зоны кластера по аналогии с основной ВМ UserGate. В полях IP-адрес и Маска укажите IP-адрес, который находится в той же подсети, что и основное устройство (рекомендуется использовать следующий или предыдущий по счету).
В разделе Шаг 2:
В поле IP-адрес мастер-сервера укажите IP-адрес, который назначен на интерфейсе кластера у основной ВМ UserGate. В поле Секретный код укажите код, который необходимо сгенерировать на основной ВМ UserGate в разделе с помощью кнопки Сгенерировать секретный код.
Нажмите Продолжить и дождитесь завершения процесса загрузки данных. Это может занять насколько минут.
Теперь настройки обеих ВМ синхронизированы.
Пройдите аутентификацию на основной или резервной ВМ UserGate.
В разделе выберите название новой ВМ, нажмите Редактировать и переименуйте по аналогии с первой ВМ (например «UG2»), имя которой уже отображается в списке.
По аналогии с основной ВМ, на добавленной ВМ необходимо в разделе задать IP-адресацию на сетевых интерфейсах таким образом, чтобы они имели соседнюю IP-адресацию.
Теперь в настройках интерфейсов показаны значения обоих участников кластера. Настройки текущей ВМ определяются надписью «(Текущий узел)».
Создание кластера отказоустойчивости
Кластер отказоустойчивости позволяет реализовать функцию отказоустойчивости сетевых соединений при переключении между ВМ UserGate. Кроме того, он дает возможность использовать для межсетевого взаимодействия выделенные виртуальные IP-адреса в каждом из сетевых сегментов, которые не будут меняться независимо от состояния работоспособности ВМ UserGate, участвующих в работе.
Отказоустойчивый кластер может работать в двух режимах: Актив-Пассив и Актив-Актив. В первом случае активной является лишь одна ВМ UserGate, а система использует синхронизацию сетевых сессий при аварийном переключении ВМ. В режиме Актив-Актив работоспособны обе ВМ, обеспечивая большую производительность, но без поддержки сохранения сетевых сессий. При эксплуатации ВМ UserGate в режиме отказоустойчивого кластера рекомендуется использовать режим Актив-Пассив с синхронизацией сессий.
В разделе нажмите на зеленый значок + Добавить.
На вкладке Общие активируйте опцию Включено.
Введите название кластера на латинице и его описание при необходимости.
Установите значение Актив-Пассив для параметра Режим кластера.
Активируйте опцию Синхронизировать сессии.
На вкладке Узлы выберите пару уже настроенных UserGate в режиме кластера конфигурации.
На вкладке Виртуальные IP нажмите Добавить и введите виртуальный IP-адрес в одной из заданных подсетей. Маска сети должна совпадать с уже настроенной IP-адресацией на заданных сетевых интерфейсах.
В разделе Интерфейсы укажите пару одинаковых интерфейсов UserGate, к которым принадлежит настраиваемый IP-адрес.
Внимание
На платформе Advanced номера интерфейсов на двух ВМ могут не совпадать.
Нажмите Сохранить и повторите указанные действия для каждого из сетевых сегментов.
Для завершения настройки кластера отказоустойчивости нажмите Сохранить.
Теперь в разделе кластера отказоустойчивости появятся два узла UserGate с заданными виртуальными IP-адресами. Выделите данную строчку и нажмите Включить для активации виртуальных интерфейсов.
Значок звездочки рядом с названием участника кластера определяет активную ВМ, которая обрабатывает и передает сетевой трафик. Чтобы изменить роль участника кластера, нажмите Назначить мастером.
Привязка к EIP на платформе Advanced
Платформа Advanced при назначении внешнего IP-адреса (EIP) автоматически привязывает его ко внешнему сетевому интерфейсу ВМ UserGate, и работа с интернетом становится невозможна при использовании кластера отказоустойчивости. Поэтому необходимо создать виртуальный IP-адрес, привязать его к EIP и назначить на внешние сетевые интерфейсы каждой из ВМ UserGate.
В разделе выберите и нажмите на подсеть, которая используется для выхода в интернет.
В появившемся окне перейдите на вкладку IP Addresses и нажмите Assign Virtual IP Address.
В появившемся окне нажмите Manual и введите IP-адрес виртуального IP-адреса, который используется в кластере UserGate.
Нажмите OK.
Выберите созданный виртуальный IP-адрес и нажмите Bind to EIP.
В появившемся окне выберите необходимый внешний IP-адрес и нажмите OK.
Нажмите More и выберите пункт Bind to Server.
В появившемся окне последовательно выберите обе ВМ UserGate и нажмите OK.
Проверьте настройки виртуального IP-адреса (ниже приведены значения в качестве примера):
Виртуальный IP-адрес UserGate: 172.16.0.12
Bound EIP: 45.9.27.3
Bound Server (NIC): 172.16.0.10 (11)
Теперь кластер ВМ UserGate может взаимодействовать с интернетом через свой виртуальный IP-адрес и единый внешний IP-адрес EIP.
для Dev & Test