Przygotowywanie węzłów dla klastra trybu failover Kaspersky Security Center Linux

Przed kontynuowaniem upewnij się, że wykonałeś poprzednie kroki w Scenariuszu: Wdrażanie klastra trybu failover Kaspersky.

Przygotuj dwa urządzenia do pracy jako węzły aktywne i pasywne dla klastra pracy awaryjnej Kaspersky Security Center Linux.

Konfiguracja wspólnych folderów

1. W zależności od dystrybucji systemu Linux zainstaluj pakiet nfs-utils lub pakiet nfs-kernel-server na każdym węźle, uruchamiając odpowiednie polecenie:

   sudo yum install nfs-utils

   sudo apt install nfs-kernel-server

2. Utwórz punkty montowania, uruchamiając następujące polecenia:

   sudo mkdir -p /mnt/KlFocStateShare

   sudo mkdir -p /mnt/KlFocDataShare_klfoc

3. Dopasuj punkty montowania i foldery współdzielone:

   sudo sh -c "echo {serwer plików}:/mnt/KlFocStateShare /mnt/KlFocStateShare nfs vers=4,soft,timeo=50,retrans=2,auto,user,rw 0 0 >> /etc/fstab"

   sudo sh -c "echo {serwer plików}:/mnt/KlFocDataShare_klfoc /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0 >> /etc/fstab"

   Tutaj {serwer plików} jest nazwą FQDN serwera plików z folderami współdzielonymi.

4. Zamontuj foldery współdzielone, uruchamiając następujące polecenia:

   mount /mnt/KlFocStateShare

   mount /mnt/KlFocDataShare_klfoc

5. Upewnij się, że uprawnienia dostępu do folderów udostępnionych należą do ksc:kladmins.

   Uruchom następujące polecenie:

   sudo ls -la /mnt/

Konfiguracja kart sieciowych

Dodatkowa karta sieciowa może być fizyczna lub wirtualna. Jeśli wybrałeś schemat wdrażania z dodatkową kartą sieciową, wykonaj odpowiednią procedurę na obu węzłach:

• Użyj wirtualnej dodatkowej karty sieciowej opartej na fizycznej karcie sieciowej (technologia MACVLAN):
  1. Zainstaluj pakiet iputils-arping. W zależności od dystrybucji Linux uruchom jedno z następujących poleceń:
     • sudo yum install iputils

     lub

     • apt install iputils-arping
  2. Użyj następującego polecenia, aby sprawdzić, czy NetworkManager jest używany do zarządzania fizyczną kartą sieciową:

     nmcli device status

     Jeśli dane wyjściowe polecenia pokazują, że fizyczna karta sieciowa nie jest zarządzana, skonfiguruj NetworkManager do zarządzania fizyczną kartą sieciową. Dokładne kroki konfiguracji zależą od Twojej dystrybucji systemu Linux.

  3. Użyj następującego polecenia, aby zidentyfikować interfejsy:

     ip a

  4. Uruchom następujące polecenie, aby utworzyć profil konfiguracyjny:

     nmcli connection add type macvlan dev <physical interface> mode bridge ifname <virtual interface> ipv4.addresses <address mask> ipv4.method manual autoconnect no

• Użyj fizycznej dodatkowej karty sieciowej lub utwórz wirtualne urządzenie TAP za pomocą hiperwizora. W tym scenariuszu wyłącz oprogramowanie NetworkManager.
  1. Podłącz dodatkową kartę sieciową do węzła.
  2. Zainstaluj pakiet iputils-arping. W zależności od dystrybucji Linux uruchom jedno z następujących poleceń:
     • sudo yum install iputils

     lub

     • apt install iputils-arping
  3. Uruchom poniższe polecenie, aby usunąć połączenie NetworkManager dla interfejsu docelowego:

     nmcli con del <connection name>

     Użyj poniższego polecenia, aby sprawdzić połączenia z interfejsem docelowym:

     nmcli con show

  4. Edytuj plik NetworkManager.conf. Znajdź sekcję pliku klucza i przypisz interfejs docelowy do parametru unmanaged-devices:

     [keyfile]

     unmanaged-devices=interface-name:<interface name>

  5. Uruchom ponownie NetworkManager:

     systemctl przeładuj NetworkManager

     Użyj następującego polecenia, aby sprawdzić, czy interfejs docelowy nie jest już zarządzany:

     nmcli dev status

Konfiguracja modułu równoważenia obciążenia

Jeśli wybrałeś schemat wdrażania z modułem równoważenia obciążenia, wykonaj następujące kroki:

1. Przygotuj dedykowane urządzenie z systemem Linux z zainstalowanym serwerem nginx lub innym modułem równoważenia obciążenia.
2. Skonfiguruj moduł równoważenia obciążenia. Ustaw węzeł aktywny jako serwer główny, a węzeł pasywny jako serwer zapasowy.
3. Na serwerze nginx otwórz wszystkie porty Serwera administracyjnego zgodnie z następującym artykułem: Porty używane przez Kaspersky Security Center Linux.

Aby zainstalować klaster trybu failover Kaspersky Security Center Linux, postępuj zgodnie z dalszymi instrukcjami scenariusza.

Dostępność węzłów klastra trybu failover powinna być określona przez dostępność głównych portów połączeń z Serwerem administracyjnym. Węzeł pasywny nie akceptuje żadnych połączeń zewnętrznych, dopóki nie nastąpi przełączenie.

Zobacz również: Informacje o klastrze trybu failover Kaspersky Security Center Linux Scenariusz: Wdrażanie klastra trybu failover Kaspersky Security Center Linux Porty używane przez Kaspersky Security Center Linux

Przejdź do góry