Preparazione dei nodi per un cluster di failover Kaspersky Security Center Linux

Prima di continuare, assicurarsi di aver completato i passaggi precedenti nello Scenario: distribuzione del cluster di failover di Kaspersky.

Preparare due dispositivi affinché fungano da nodi attivi e passivi del cluster di failover Kaspersky Security Center Linux.

Configurazione delle cartelle comuni

1. A seconda della distribuzione Linux, installare il pacchetto nfs-utils o il pacchetto nfs-kernel-server in ciascun nodo eseguendo il comando corrispondente:

   sudo yum install nfs-utils

   sudo apt install nfs-kernel-server

2. Creare i punti di montaggio eseguendo i seguenti comandi:

   sudo mkdir -p /mnt/KlFocStateShare

   sudo mkdir -p /mnt/KlFocDataShare_klfoc

3. Abbinare i punti di montaggio e le cartelle condivise:

   sudo sh -c "echo {file server}:/mnt/KlFocStateShare /mnt/KlFocStateShare nfs vers=4,soft,timeo=50,retrans=2,auto,user,rw 0 0 >> /etc/fstab"

   sudo sh -c "echo {file server}:/mnt/KlFocDataShare_klfoc /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0 >> /etc/fstab"

   Qui, { file server } è l'FQDN del file server con le cartelle condivise.

4. Montare le cartelle condivise eseguendo i seguenti comandi:

   mount /mnt/KlFocStateShare

   mount /mnt/KlFocDataShare_klfoc

5. Assicurarsi che le autorizzazioni per accedere alle cartelle condivise appartengano a ksc:kladmins.

   Eseguire il seguente comando:

   sudo ls -la /mnt/

Configurazione delle schede di rete

Una scheda di rete secondaria può essere fisica o virtuale. Se è stato selezionato uno schema di distribuzione con una scheda di rete secondaria, eseguire la procedura corrispondente su entrambi i nodi:

• Utilizzare una scheda di rete secondaria virtuale basata su una scheda di rete fisica (tecnologia MACVLAN):
  1. Installare il pacchetto iputils-arping. A seconda della distribuzione Linux, eseguire uno dei seguenti comandi:
     • sudo yum install iputils

     o

     • apt install iputils-arping
  2. Eseguire il seguente comando per assicurarsi che venga utilizzato NetworkManager per gestire la scheda di rete fisica:

     nmcli device status

     Se l'output del comando indica che la scheda di rete fisica non è gestita, configurare NetworkManager per la gestione della scheda di rete fisica. Gli esatti passaggi di configurazione dipendono dalla distribuzione Linux.

  3. Utilizzare il seguente comando per identificare le interfacce:

     ip a

  4. Eseguire il seguente comando per creare un profilo di configurazione:

     nmcli connection add type macvlan dev <interfaccia fisica> mode bridge ifname <interfaccia virtuale> ipv4.addresses <maschera indirizzo> ipv4.method manual autoconnect no

• Utilizzare una scheda di rete secondaria fisica o creare un dispositivo TAP virtuale utilizzando un hypervisor. In questo caso, disabilitare il software NetworkManager.
  1. Connettere la scheda di rete secondaria a un nodo.
  2. Installare il pacchetto iputils-arping. A seconda della distribuzione Linux, eseguire uno dei seguenti comandi:
     • sudo yum install iputils

     o

     • apt install iputils-arping
  3. Eseguire il seguente comando per eliminare la connessione NetworkManager per l'interfaccia di destinazione:

     nmcli con del <nome connessione>

     Utilizzare il seguente comando per verificare le connessioni all'interfaccia di destinazione:

     nmcli con show

  4. Modificare il file NetworkManager.conf. Individuare la sezione del file chiave e assegnare l'interfaccia di destinazione al parametro unmanaged-devices.

     [keyfile]

     unmanaged-devices=interface-name:<nome interfaccia>

  5. Riavvia il NetworkManager:

     systemctl reload NetworkManager

     Utilizzare il seguente comando per assicurarsi che l'interfaccia di destinazione non sia più gestita:

     nmcli dev status

Configurazione del bilanciamento del carico

Se è stato selezionato uno schema di distribuzione con un servizio di bilanciamento del carico, eseguire i seguenti passaggi:

1. Preparare un dispositivo dedicato basato su Linux in cui è installato nginx o un altro servizio di bilanciamento del carico.
2. Configurare il bilanciamento del carico. Impostare il nodo attivo come server principale e il nodo passivo come server di backup.
3. Sul server nginx, aprire tutte le porte dell'Administration Server secondo il seguente articolo: Porte utilizzate da Kaspersky Security Center Linux.

Per distribuire il cluster di failover Kaspersky Security Center Linux, seguire le istruzioni aggiuntive dello scenario.

La disponibilità dei nodi cluster di failover deve essere determinata dalla disponibilità delle porte di connessione principali al Administration Server. Il nodo passivo non accetta connessioni esterne finché non si verifica uno switch.

Vedere anche: Informazioni sul cluster di failover Kaspersky Security Center Linux Scenario: Distribuzione di un cluster di failover Kaspersky Security Center Linux Porte utilizzate da Kaspersky Security Center Linux

Inizio pagina