Knoten für ein Kaspersky Security Center Linux Failover-Cluster vorbereiten

Bevor Sie fortfahren, stellen Sie sicher, dass Sie die vorherigen Schritte im Szenario: Ein Kaspersky-Failover-Cluster bereitstellen ausgeführt haben.

Bereiten Sie zwei Geräte darauf vor, als aktiver und passiver Knoten für das Kaspersky Security Center Linux Failover-Cluster zu fungieren.

Konfiguration der freigegeben Ordner

1. Installieren Sie auf jedem Knoten abhängig von Ihrer Linux-Distribution entweder das Paket "nfs-utils" oder das Paket "nfs-kernel-server", indem Sie den entsprechenden Befehl ausführen:

   sudo yum install nfs-utils

   sudo apt install nfs-kernel-server

2. Erstellen Sie Einhängepunkte, indem Sie die folgenden Befehle ausführen:

   sudo mkdir -p /mnt/KlFocStateShare

   sudo mkdir -p /mnt/KlFocDataShare_klfoc

3. Passen Sie die Einhängepunkte und die freigegebenen Ordner an:

   sudo sh -c "echo {Dateiserver}:/mnt/KlFocStateShare /mnt/KlFocStateShare nfs vers=4,soft,timeo=50,retrans=2,auto,user,rw 0 0 >> /etc/fstab"

   sudo sh -c "echo {Dateiserver}:/mnt/KlFocDataShare_klfoc /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0 >> /etc/fstab"

   Wobei { Dateiserver } der FQDN des Dateiservers mit den freigegebenen Ordnern entspricht.

4. Stellen Sie die freigegebenen Ordner bereit, indem Sie die folgenden Befehle ausführen:

   mount /mnt/KlFocStateShare

   mount /mnt/KlFocDataShare_klfoc

5. Stellen Sie sicher, dass die Berechtigungen für den Zugriff auf die freigegebenen Ordner ksc:kladmins gehören.

   Führen Sie den folgenden Befehl aus:

   sudo ls -la /mnt/

Konfiguration der Netzwerkadapter

Ein sekundärer Netzwerkadapter kann physisch oder virtuell sein. Wenn Sie ein Bereitstellungsschema mit einem sekundären Netzwerkadapter ausgewählt haben, führen Sie das entsprechende Verfahren auf beiden Knoten aus:

• Verwenden Sie einen virtuellen sekundären Netzwerkadapter, der auf einem physischen Netzwerkadapter basiert (MACVLAN-Technologie):
  1. Installieren Sie das Paket iputils-arping. Führen Sie abhängig von Ihrer Linux-Distribution einen der folgenden Befehle aus:
     • sudo yum install iputils

     oder

     • apt install iputils-arping
  2. Führen Sie den folgenden Befehl aus, um sicherzustellen, dass NetworkManager zur Verwaltung des physischen Netzwerkadapters verwendet wird:

     nmcli device status

     Wenn der Befehl ausgibt, dass der physische Netzwerkadapter nicht verwaltet wird, konfigurieren Sie NetworkManager für die Verwaltung des physischen Netzwerkadapters. Die genauen Konfigurationsschritte sind dabei von Ihrer Linux-Distribution abhängig.

  3. Verwenden Sie den folgenden Befehl, um Schnittstellen zu identifizieren:

     ip a

  4. Führen Sie den folgenden Befehl aus, um ein Konfigurationsprofil zu erstellen:

     nmcli connection add type macvlan dev <physical interface> mode bridge ifname <virtual interface> ipv4.addresses <address mask> ipv4.method manual autoconnect no

• Verwenden Sie einen physischen sekundären Netzwerkadapter oder erstellen Sie ein virtuelles TAP-Gerät mittels eines Hypervisors. Deaktivieren Sie in diesem Szenario das NetworkManager-Tool.
  1. Verbinden Sie den sekundären Netzwerkadapter mit einem Knoten.
  2. Installieren Sie das Paket iputils-arping. Führen Sie abhängig von Ihrer Linux-Distribution einen der folgenden Befehle aus:
     • sudo yum install iputils

     oder

     • apt install iputils-arping
  3. Führen Sie den folgenden Befehl aus, um die NetworkManager-Verbindung für die Zielschnittstelle zu löschen:

     nmcli con del <connection name>

     Verwenden Sie den folgenden Befehl, um die Verbindungen zur Zielschnittstelle zu überprüfen:

     nmcli con show

  4. Bearbeiten Sie die Datei "NetworkManager.conf". Suchen Sie den keyfile-Abschnitt und weisen Sie die Zielschnittstelle dem Parameter unmanaged-devices zu:

     [keyfile]

     unmanaged-devices=interface-name:<interface name>

  5. Starten Sie NetworkManager neu.

     systemctl reload NetworkManager

     Verwenden Sie den folgenden Befehl, um sicherzustellen, dass die Zielschnittstelle nicht mehr verwaltet wird:

     nmcli dev status

Konfiguration des Load Balancers

Wenn Sie ein Bereitstellungsschema mit Load Balancer gewählt haben, gehen Sie wie folgt vor:

1. Bereiten Sie ein separates Linux-Gerät vor, auf dem nginx oder ein anderer Load Balancer installiert ist.
2. Konfigurieren Sie das Load Balancing. Legen Sie den aktiven Knoten als Hauptserver und den passiven Knoten als Backup-Server fest.
3. Öffnen Sie auf dem nginx-Server alle Ports des Administrationsservers gemäß dem folgenden Artikel: Ports, die von Kaspersky Security Center Linux verwendet werden.

Um das Kaspersky Security Center Linux Failover-Cluster bereitzustellen, folgen Sie den weiteren Anweisungen des Szenarios.

Die Verfügbarkeit der Failover-Cluster-Knoten sollte durch die Verfügbarkeit der hauptsächlichen Verbindungsports zum Administrationsserver bestimmt werden. Der passive Knoten nimmt keine externen Verbindungen an, bis ein Wechsel erfolgt.

Siehe auch: Über Kaspersky Security Center Linux Failover-Cluster Szenario: Kaspersky Security Center Linux Failover-Cluster bereitstellen Ports, die von Kaspersky Security Center Linux verwendet werden

Nach oben