Отказоустойчивый кластер Kaspersky Security Center Linux обеспечивает высокую доступность Kaspersky Security Center Linux и минимизирует простои Сервера администрирования в случае сбоя. Отказоустойчивый кластер основан на двух идентичных экземплярах Kaspersky Security Center Linux, установленных на двух компьютерах. Один из экземпляров работает как активный узел, а другой – как пассивный. Активный узел управляет защитой клиентских устройств, в то время как пассивный готов взять на себя все функции активного узла в случае отказа активного узла. Когда происходит сбой, пассивный узел становится активным, а активный узел становится пассивным.
Развертывание приложений "Лаборатории Касперского" состоит из следующих этапов:
Рекомендуется соблюдать последовательность этапов, которая описана в этом сценарии.
Убедитесь, что у вас есть оборудование, соответствующее требованиям для отказоустойчивого кластера.
Выберите схему развертывания. Это влияет на следующие этапы развертывания.
Выполните следующие шаги на активном узле, пассивном узле и файловом сервере:
kladmins. Выполните следующие команды:sudo groupadd kladmins
sudo groupmod -g <new_GID> kladmins
Убедитесь, что у этой группы одинаковый GID на всех трех устройствах. Выполните следующую команду:
getent group kladmins
Если идентификаторы GID не совпадают, вы можете использовать следующую команду, чтобы указать GID:
sudo groupmod -g <new_GID> kladmins
ksc. Назначьте учетные записи пользователей группе kladmins. Выполните следующие команды:sudo adduser ksc
sudo usermod -u <new_UID> ksc
sudo gpasswd -a ksc kladmins
sudo usermod -g kladmins ksc
Убедитесь, что у этой учетной записи пользователя одинаковый UID на всех трех устройствах. Выполните следующую команду:
getent passwd ksc
Если идентификаторы UID не совпадают, вы можете использовать следующую команду, чтобы указать UID:
sudo usermod -u <new_UID> ksc
Если вы хотите запустить службу IAM под отдельной учетной записью пользователя, выполните эти команды, чтобы создать учетную запись пользователя iam. По умолчанию служба IAM использует учетную запись пользователя ksc.
rightless. Назначьте учетные записи пользователей группе kladmins. Выполните следующие команды:sudo adduser rightless
sudo usermod -u <new_UID> rightless
sudo gpasswd -a rightless kladmins
sudo usermod -g kladmins rightless
Убедитесь, что у этой учетной записи пользователя одинаковый UID на всех трех устройствах. Выполните следующую команду:
getent passwd rightless
Если идентификаторы UID не совпадают, вы можете использовать следующую команду, чтобы указать UID:
sudo usermod -u <new_UID> rightless
ksc soft nofile <max_number_of_opened_files>
ksc hard nofile <max_number_of_opened_files>
По умолчанию ограничения дескрипторов файлов указываются во время установки. Мягкие ограничения файлов составляют 32 768 файлов, жесткие ограничения файлов составляют 131 072 файла.
Подготовьте файловый сервер к работе в составе отказоустойчивого кластера Kaspersky Security Center Linux. Убедитесь, что файловый сервер соответствует аппаратным и программным требованиям, создайте две общие папки для данных Kaspersky Security Center Linux и настройте права доступа к общим папкам.
Инструкции: Подготовка файлового сервера для отказоустойчивого кластера Kaspersky Security Center Linux.
Установите СУБД для Kaspersky Security Center Linux. Вы можете выбрать одну из поддерживаемых СУБД. Сведения о том, как установить выбранную СУБД, см. в документации к этой СУБД.
Если дистрибутив вашей операционной системы на базе Linux не содержит поддерживаемую СУБД, вы можете установить СУБД из стороннего хранилища пакетов.
После установки СУБД выполните соответствующую инструкцию:
Создайте базу данных для IAM:
psql -U postgres; CREATE DATABASE <iam_db_name>;
mysql -u root -p; CREATE DATABASE <iam_db_name>;
На устройстве с установленной СУБД настройте подключение к устройствам, которые будут работать как активные и пассивные узлы.
Подготовьте два устройства с одинаковым аппаратным и программным обеспечением для работы в качестве активного и пассивного узлов.
Инструкции: Подготовка узлов для отказоустойчивого кластера Kaspersky Security Center Linux.
Установите Kaspersky Security Center Linux в режиме отказоустойчивого кластера на оба узла.
Сначала необходимо установить Kaspersky Security Center Linux на устройство, которое вы хотите использовать в качестве активного узла, а затем установить его на пассивный узел.
Инструкции: Установка Kaspersky Security Center Linux на узлы отказоустойчивого кластера Kaspersky Security Center Linux.
Установите Kaspersky Security Center Web Console на отдельном устройстве, не являющемся узлом кластера.
Укажите отказоустойчивый кластер в качестве адреса Сервера администрирования в файле ответов.
Сертификат Сервера администрирования находится по следующему пути: /mnt/KlFocDataShare_klfoc/1093/cert/klserver.cer.
Скопируйте файл сертификата на устройство, на котором будет установлен Kaspersky Security Center Web Console. Укажите локальный путь к сертификату в файле ответов.
Убедитесь, что вы правильно настроили отказоустойчивый кластер и правильно ли он работает. Например, вы можете выполнить следующую команду, чтобы инициировать переключение на пассивный узел:
/opt/kaspersky/ksc64/sbin/klfoc -failover --stp klfoc
Используйте следующую команду, чтобы убедиться, что служба управления отказоустойчивым кластером находится в состоянии Active: active (running) на обоих узлах:
systemctl status klfocsvc_klfoc
Используйте следующие команды, чтобы убедиться, что другие службы отказоустойчивого кластера находятся в состоянии Active: active (running) на активном узле. На пассивном узле эти службы отказоустойчивого кластера должны быть в состоянии Active: inactive (dead) или Active: failed (Result: signal).
systemctl status klnagent_klfocsystemctl status kladminserver_klfocsystemctl status klactprx_klfocsystemctl status klwebsrv_klfocОтказоустойчивый кластер Kaspersky Security Center Linux развернут.
В начало