Подготовка узлов для отказоустойчивого кластера Kaspersky Security Center Linux

Прежде чем продолжить, убедитесь, что вы выполнили предыдущие шаги сценария Развертывание отказоустойчивого кластера "Лаборатории Касперского".

Подготовьте два устройства к работе в качестве активного и пассивного узлов для отказоустойчивого кластера Kaspersky Security Center Linux.

Конфигурация общих папок

1. В зависимости от вашего дистрибутива Linux установите либо пакет nfs-utils, либо пакет nfs-kernel-server на каждом узле, выполнив соответствующую команду:

   sudo yum install nfs-utils

   sudo apt install nfs-kernel-server

2. Создайте точки подключения, выполнив следующие команды:

   sudo mkdir -p /mnt/KlFocStateShare

   sudo mkdir -p /mnt/KlFocDataShare_klfoc

3. Сопоставьте точки подключения и общие папки:

   sudo sh -c "echo {файловый сервер}:/mnt/KlFocStateShare /mnt/KlFocStateShare nfs vers=4,soft,timeo=50,retrans=2,auto,user,rw 0 0 >> /etc/fstab"

   sudo sh -c "echo {файловый сервер}:/mnt/KlFocDataShare_klfoc /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0 >> /etc/fstab"

   Где {файловый сервер} – это FQDN файлового сервера с общими папками.

4. Подключите общие папки, выполнив следующие команды:

   mount /mnt/KlFocStateShare

   mount /mnt/KlFocDataShare_klfoc

5. Убедитесь, что разрешения на доступ к общим папкам принадлежат ksc:kladmins.

   Выполните следующую команду:

   sudo ls -la /mnt/

Конфигурация сетевого адаптера

Дополнительный сетевой адаптер может быть физическим или виртуальным. Если вы выбрали схему развертывания с дополнительным сетевым адаптером, выполните соответствующую процедуру на обоих узлах:

• Используйте виртуальный дополнительный сетевой адаптер на основе физического сетевого адаптера (технология MACVLAN):
  1. Установите пакет iputils-arping. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:
     • sudo yum install iputils

     Или

     • apt install iputils-arping
  2. Выполните следующую команду, чтобы убедиться, что NetworkManager используется для управления физическим сетевым адаптером:

     nmcli device status

     Если вывод команды показывает, что физический сетевой адаптер не управляется, настройте NetworkManager для управления физическим сетевым адаптером. Точные шаги настройки зависят от вашего дистрибутива Linux.

  3. Используйте следующую команду для идентификации интерфейсов:

     ip a

  4. Выполните следующую команду, чтобы создать профиль конфигурации:

     nmcli connection add type macvlan dev <физический интерфейс> mode bridge ifname <виртуальный интерфейс> ipv4.addresses <маска адреса> ipv4.method manual autoconnect no

• Используйте физический дополнительный сетевой адаптер или создайте виртуальное устройство TAP с помощью гипервизора. В этом случае выключите приложение NetworkManager.
  1. Подключите дополнительный сетевой адаптер к узлу.
  2. Установите пакет iputils-arping. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:
     • sudo yum install iputils

     Или

     • apt install iputils-arping
  3. Выполните следующую команду, чтобы удалить соединение NetworkManager для целевого интерфейса:

     nmcli con del <название соединения>

     Используйте следующую команду для проверки соединений с целевым интерфейсом:

     nmcli con show

  4. Измените файл NetworkManager.conf. Найдите раздел файла ключа и назначьте целевой интерфейс параметру unmanaged-devices:

     [keyfile]

     unmanaged-devices=interface-name:<имя интерфейса>

  5. Перезагрузите NetworkManager:

     systemctl reload NetworkManager

     Используйте следующую команду, чтобы убедится, что целевой интерфейс больше не является управляемым:

     nmcli dev status

Конфигурация балансировщика нагрузки

Если вы выбрали схему развертывания с балансировщиком нагрузки, выполните следующие действия:

1. Подготовьте выделенное Linux-устройство с установленным nginx или другим балансировщиком нагрузки.
2. Настройте балансировку нагрузки. Установите активный узел в качестве основного сервера и пассивный узел в качестве резервного сервера.
3. На сервере nginx откройте все порты Сервера администрирования в соответствии со статьей Порты, используемые Kaspersky Security Center Linux.

Чтобы развернуть отказоустойчивый кластер Kaspersky Security Center Linux, следуйте инструкциям сценария.

Доступность узлов отказоустойчивого кластера должна определяться доступностью основных портов подключения к Серверу администрирования. Пассивный узел не принимает никаких внешних подключений, пока не произойдет переключение.

См. также: Об отказоустойчивом кластере Kaspersky Security Center Linux Сценарий: развертывание отказоустойчивого кластера Kaspersky Security Center Linux Порты, используемые Kaspersky Security Center Linux

В начало