方案：部署 Kaspersky Security Center Linux 故障转移集群

Kaspersky Security Center Linux 故障转移集群提供 Kaspersky Security Center Linux 的高可用性，并在出现故障时最大限度地减少管理服务器的停机时间。故障转移集群基于安装在两台计算机上的两个相同 Kaspersky Security Center Linux 实例。其中一个实例用作主动节点，另一个实例用作被动节点。主动节点管理客户端设备的保护，而被动节点准备在主动节点出现故障时承担主动节点的所有功能。当出现故障时，被动节点成为主动节点，主动节点成为被动节点。

Kaspersky 应用程序部署分阶段进行：

建议遵循此场景中所述的步骤顺序。

1. 检查硬件要求

   确保您拥有满足故障转移集群要求的硬件。

2. 选择部署方案

   选择部署方案。这会影响部署的后续阶段。

3. 为 Kaspersky Security Center Linux 服务准备用户账户

   在主动节点、被动节点和文件服务器上执行以下步骤：

   1. 创建一个 kladmins 组。运行以下命令：

      sudo groupadd kladmins

      sudo groupmod -g <new_GID> kladmins

      确保该组在所有三台设备上具有相同的 GID。运行以下命令：

      getent group kladmins

      如果 GID 不匹配，您可以使用以下命令指定 GID：

      sudo groupmod -g <new_GID> kladmins

   2. 创建 ksc 用户账户。将用户账户分配到 kladmins 组中。运行以下命令：

      sudo adduser ksc

      sudo usermod -u <new_UID> ksc

      sudo gpasswd -a ksc kladmins

      sudo usermod -g kladmins ksc

      确保用户账户在所有三台设备上具有相同的 UID。运行以下命令：

      getent passwd ksc

      如果 UID 不匹配，您可以使用以下命令指定 UID：

      sudo usermod -u <new_UID> ksc

   3. 创建rightless用户账户。将用户账户分配到 kladmins 组中。运行以下命令：

      sudo adduser rightless

      sudo usermod -u <new_UID> rightless

      sudo gpasswd -a rightless kladmins

      sudo usermod -g kladmins rightless

      确保用户账户在所有三台设备上具有相同的 UID。运行以下命令：

      getent passwd rightless

      如果 UID 不匹配，您可以使用以下命令指定 UID：

      sudo usermod -u <new_UID> rightless

   4. 若有必要，需为用于运行 Kaspersky Security Center Linux 服务相关功能的账户，提高其可打开文件（文件描述符）的默认限制。为此，打开 /etc/security/limits.conf 文件，然后指定文件描述符的软限制和硬限制，如下所示：

      ksc soft nofile <最大打开文件数>

      ksc hard nofile <最大打开文件数>

      默认情况下，文件描述符的限制在安装期间指定。软文件限制为 32,768 个文件，硬文件限制为 131,072 个文件。

4. 文件服务器准备

   准备将用作 Kaspersky Security Center Linux 故障转移集群组件的文件服务器。确保该文件服务器满足硬件和软件要求，为 Kaspersky Security Center Linux 数据创建两个共享文件夹，并配置这两个共享文件夹的访问权限。

   操作说明：为 Kaspersky Security Center Linux 故障转移集群准备文件服务器

5. DBMS 安装

   安装用于 Kaspersky Security Center Linux 的 DBMS。您可以选择其中一个受支持的 DBMS。对于如何安装所选 DBMS 的信息，请参考其文档。

   如果 Linux 操作系统的发行版不包含受支持的 DBMS，您可以从第三方软件包存储库安装 DBMS。

   安装 DBMS 后，请按照相应的说明进行操作：

   • 配置与 Kaspersky Security Center Linux 配合使用的 PostgreSQL 或 Postgres Pro 服务器
   • 配置与 Kaspersky Security Center Linux 配合使用的 MariaDB x64 服务器

   在安装了 DBMS 的设备上，配置将作为主动节点和被动节点运行的设备的连接。

6. 准备主动和被动节点

   准备两台具有相同硬件和软件的设备，它们将用作主动和被动节点。

   操作说明：为 Kaspersky Security Center Linux 故障转移集群准备节点

7. Kaspersky Security Center Linux 安装

   在两个节点上均以故障转移集群模式安装 Kaspersky Security Center Linux。

   您必须先在想将其作为主动节点的设备上安装 Kaspersky Security Center Linux，然后在被动节点上安装。

   操作说明：在 Kaspersky Security Center Linux 故障转移集群节点上安装 Kaspersky Security Center Linux。

8. Kaspersky Security Center Web Console 安装

   在非集群节点的单独设备上安装 Kaspersky Security Center Web Console。

   在应答文件中将故障转移集群指定为管理服务器地址。

   管理服务器证书位于以下路径：/mnt/KlFocDataShare_klfoc/1093/cert/klserver.cer

   将证书文件复制到正在安装 Kaspersky Security Center Web Console 的设备上。在应答文件中指定证书的本地路径。

9. 测试故障转移集群

   检查您是否正确配置了故障转移集群以及它是否正常工作。例如，您可以运行以下命令来启动切换到被动节点：

   /opt/kaspersky/ksc64/sbin/klfoc -failover --stp klfoc

   使用以下命令验证故障转移集群管理服务在两个节点上是否处于 Active: active (running) 状态：

   systemctl status klfocsvc_klfoc

   使用以下命令验证其他故障转移集群服务在活动节点上是否处于 Active: active (running) 状态。在被动节点上，这些故障转移集群服务必须为Active: inactive (dead) 或者 Active: failed (Result: signal)。

   • systemctl status klnagent_klfoc
   • systemctl status kladminserver_klfoc
   • systemctl status klactprx_klfoc
   • systemctl status klwebsrv_klfoc

Kaspersky Security Center Linux 故障转移集群已部署。

Page top