Подготовка узлов для отказоустойчивого кластера Kaspersky Security Center Linux

Прежде чем продолжить, убедитесь, что вы выполнили предыдущие шаги сценария Развертывание отказоустойчивого кластера "Лаборатории Касперского".

Подготовьте два устройства к работе в качестве активного и пассивного узлов для отказоустойчивого кластера Kaspersky Security Center Linux.

Конфигурация общих папок

Чтобы настроить общие папки:

1. В зависимости от вашего дистрибутива Linux установите либо пакет nfs-utils, либо пакет nfs-kernel-server на каждом узле, выполнив соответствующую команду:

   yum install nfs-utils

   apt install nfs-kernel-server

2. Создайте точки подключения, выполнив следующие команды:

   mkdir -p /mnt/KlFocStateShare

   mkdir -p /mnt/KlFocDataShare_klfoc

3. Сопоставьте точки подключения и общие папки:

   sudo sh -c "echo <файловый сервер>:/mnt/KlFocStateShare /mnt/KlFocStateShare nfs vers=4,soft,timeo=50,retrans=2,auto,user,rw 0 0 >> /etc/fstab"

   sudo sh -c "echo <файловый сервер>:/mnt/KlFocDataShare_klfoc /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0 >> /etc/fstab"

   Где {файловый сервер} – это FQDN файлового сервера с общими папками.

4. Подключите общие папки, выполнив следующие команды:

   mount /mnt/KlFocStateShare

   mount /mnt/KlFocDataShare_klfoc

5. Убедитесь, что разрешения на доступ к общим папкам принадлежат ksc:kladmins.

   Выполните следующую команду:

   ls -la /mnt/

Конфигурация сетевого адаптера

Дополнительный сетевой адаптер может быть физическим или виртуальным. Если вы выбрали схему развертывания с дополнительным сетевым адаптером, выполните соответствующую процедуру на обоих узлах:

• Используйте виртуальный дополнительный сетевой адаптер на основе физического сетевого адаптера (технология MACVLAN):
  1. Установите пакет iputils-arping. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:
     • yum install iputils

     Или

     • apt install iputils-arping
  2. Чтобы убедиться, что NetworkManager используется для управления физическим сетевым адаптером, выполните следующую команду:

     nmcli device status

     Если вывод команды показывает, что физический сетевой адаптер не управляется, настройте NetworkManager для управления физическим сетевым адаптером. Точные шаги настройки зависят от вашего дистрибутива Linux.

  3. Чтобы идентифицировать интерфейсы, используйте следующую команду:

     ip a

  4. Чтобы создать конфигурационный профиль, выполните следующую команду:

     nmcli connection add type macvlan dev <физический интерфейс> mode bridge ifname <виртуальный интерфейс> ipv4.addresses <маска адреса> ipv4.method manual autoconnect no

• Используйте физический дополнительный сетевой адаптер или создайте виртуальное устройство TAP с помощью гипервизора. В этом случае выключите приложение NetworkManager.
  1. Подключите дополнительный сетевой адаптер к узлу.
  2. Установите пакет iputils-arping. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:
     • yum install iputils

     Или

     • apt install iputils-arping
  3. Чтобы удалить подключение NetworkManager для целевого интерфейса, выполните следующую команду:

     nmcli con del <название соединения>

     Чтобы проверить подключения с целевым интерфейсом, выполните следующую команду:

     nmcli con show

  4. Измените файл NetworkManager.conf. Найдите раздел файла ключа и назначьте целевой интерфейс параметру unmanaged-devices:

     [keyfile]

     unmanaged-devices=interface-name:<имя интерфейса>

  5. Перезагрузите NetworkManager:

     systemctl reload NetworkManager

     Чтобы убедиться, что целевой интерфейс больше не управляется, выполните следующую команду:

     nmcli dev status

Конфигурация балансировщика нагрузки

Если вы выбрали схему развертывания с балансировщиком нагрузки, следуйте инструкциям ниже, чтобы настроить его.

Чтобы настроить балансировщик нагрузки:

1. Подготовьте выделенное Linux-устройство с установленным nginx или другим балансировщиком нагрузки.
2. Настройте балансировку нагрузки. Установите активный узел в качестве основного сервера и пассивный узел в качестве резервного сервера.
3. На сервере nginx откройте все порты Сервера администрирования в соответствии со статьей Порты, используемые Kaspersky Security Center Linux.

Чтобы развернуть отказоустойчивый кластер Kaspersky Security Center Linux, следуйте инструкциям сценария.

Доступность узлов отказоустойчивого кластера должна определяться доступностью основных портов подключения к Серверу администрирования. Пассивный узел не принимает никаких внешних подключений, пока не произойдет переключение.

См. также: Об отказоустойчивом кластере Kaspersky Security Center Linux Сценарий: развертывание отказоустойчивого кластера Kaspersky Security Center Linux Порты, используемые Kaspersky Security Center Linux

В начало