Préparation des nœuds pour un cluster de basculement Kaspersky Security Center Linux

Avant de continuer, assurez-vous d'avoir terminé les étapes précédentes du Scénario : Déploiement du cluster de basculement Kaspersky.

Préparez deux appareils qui fonctionneront en tant que nœuds actifs et passifs d'un cluster de basculement Kaspersky Security Center Linux.

Configuration des dossiers communs

1. En fonction de votre distribution Linux, installez soit le paquet nfs-utils, soit le paquet nfs-kernel-server sur chaque nœud à l'aide de la commande correspondante :

   sudo yum install nfs-utils

   sudo apt install nfs-kernel-server

2. Créez des points de montage en exécutant les commandes suivantes :

   sudo mkdir -p /mnt/KlFocStateShare

   sudo mkdir -p /mnt/KlFocDataShare_klfoc

3. Faites correspondre les points de montage et les dossiers partagés :

   sudo sh -c "echo {file server}:/mnt/KlFocStateShare /mnt/KlFocStateShare nfs vers=4,soft,timeo=50,retrans=2,auto,user,rw 0 0 >> /etc/fstab"

   sudo sh -c "echo {file server}:/mnt/KlFocDataShare_klfoc /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0 >> /etc/fstab"

   Ici, {file server} est le nom de domaine complet du serveur de fichiers contenant les dossiers partagés.

4. Montez les dossiers partagés en exécutant les commandes suivantes :

   monter /mnt/KlFocStateShare

   monter /mnt/KlFocDataShare_klfoc

5. Assurez-vous que les autorisations d'accès aux dossiers partagés appartiennent à ksc:kladmins.

   Exécutez la commande suivante :

   sudo ls -la /mnt/

Configuration des cartes réseau

Une carte réseau secondaire peut être physique ou virtuelle. Si vous avez choisi un schéma de déploiement avec une carte réseau secondaire, effectuez la procédure correspondante sur les deux nœuds :

• Utilisez une carte réseau secondaire virtuelle basée sur une carte réseau physique (technologie MACVLAN) :
  1. Installez le paquet iputils-arping. En fonction de votre distribution Linux, exécutez l'une des commandes suivantes :
     • sudo yum install iputils

     ou

     • apt install iputils-arping
  2. Exécutez la commande suivante pour vous assurer que NetworkManager est utilisé pour gérer la carte réseau physique :

     nmcli device status

     Si la sortie de la commande indique que la carte réseau physique n'est pas gérée, configurez NetworkManager pour gérer la carte réseau physique. Les étapes de configuration exactes dépendent de votre distribution Linux.

  3. Utilisez la commande suivante pour identifier les interfaces :

     ip a

  4. Exécutez la commande suivante pour créer un profil de configuration :

     nmcli connection add type macvlan dev <interface physique> mode bridge ifname <interface virtuelle> ipv4.addresses <masque d'adresse> ipv4.method manual autoconnect no

• Utilisez une carte réseau secondaire physique ou créez un appareil TAP virtuel à l'aide d'un hyperviseur. Dans ce scénario, désactivez le logiciel NetworkManager.
  1. Connectez la carte réseau secondaire à un nœud.
  2. Installez le paquet iputils-arping. En fonction de votre distribution Linux, exécutez l'une des commandes suivantes :
     • sudo yum install iputils

     ou

     • apt install iputils-arping
  3. Exécutez la commande suivante pour supprimer la connexion NetworkManager pour l'interface cible :

     nmcli con del <nom de la connexion>

     Utilisez la commande suivante pour vérifier les connexions à l'interface cible :

     nmcli con show

  4. Modifiez le fichier NetworkManager.conf. Recherchez la section du fichier clé et affectez l'interface cible au paramètre unmanaged-devices :

     [keyfile]

     unmanaged-devices=interface-name:<nom de l'interface>

  5. Relancez le NetworkManager :

     systemctl reload NetworkManager

     Utilisez la commande suivante pour vous assurer que l'interface cible n'est plus administrée :

     nmcli dev status

Configuration de l'équilibreur de charge

Si vous avez choisi un schéma de déploiement avec un équilibreur de charge, procédez comme suit :

1. Préparez un appareil Linux dédié sur lequel nginx ou un autre équilibreur de charge est installé.
2. Configurez le répartiteur de charge. Définissez le nœud actif comme serveur principal et le nœud passif comme serveur de sauvegarde.
3. Sur le serveur nginx, ouvrez tous les ports du Serveur d'administration de Kaspersky Security Center conformément à l'article suivant : Ports utilisés par Kaspersky Security Center Linux.

Pour déployer le cluster de basculement Kaspersky Security Center Linux, suivez les instructions supplémentaires du scénario.

La disponibilité des nœuds du cluster de basculement doit être déterminée par la disponibilité des principaux ports de connexion au Serveur d'administration. Le nœud passif n'accepte aucune connexion externe jusqu'à ce qu'un changement se produise.

Voir également : À propos du cluster de basculement Kaspersky Security Center Linux Scénario : Déploiement du cluster de basculement Kaspersky Security Center Linux Ports utilisés par Kaspersky Security Center Linux

Haut de page