Knoten für ein Kaspersky Security Center Linux Failover-Cluster vorbereiten

Bevor Sie fortfahren, stellen Sie sicher, dass Sie die vorherigen Schritte im Szenario: Ein Kaspersky-Failover-Cluster bereitstellen ausgeführt haben.

Bereiten Sie zwei Geräte darauf vor, als aktiver und passiver Knoten für das Kaspersky Security Center Linux Failover-Cluster zu fungieren.

Konfiguration der gemeinsamen Ordner

So konfigurieren Sie gemeinsame Ordner:

1. Installieren Sie auf jedem Knoten abhängig von Ihrer Linux-Distribution entweder das Paket "nfs-utils" oder das Paket "nfs-kernel-server", indem Sie den entsprechenden Befehl ausführen:

   yum install nfs-utils

   apt install nfs-kernel-server

2. Erstellen Sie Einhängepunkte, indem Sie die folgenden Befehle ausführen:

   mkdir -p /mnt/KlFocStateShare

   mkdir -p /mnt/KlFocDataShare_klfoc

3. Passen Sie die Einhängepunkte und die freigegebenen Ordner an:

   sudo sh -c "echo <Dateiserver>:/mnt/KlFocStateShare /mnt/KlFocStateShare nfs vers=4,soft,timeo=50,retrans=2,auto,user,rw 0 0 >> /etc/fstab"

   sudo sh -c "echo <Dateiserver>:/mnt/KlFocDataShare_klfoc /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0 >> /etc/fstab"

   Wobei {Dateiserver} der FQDN des Dateiservers mit den freigegebenen Ordnern entspricht.

4. Stellen Sie die freigegebenen Ordner bereit, indem Sie die folgenden Befehle ausführen:

   mount /mnt/KlFocStateShare

   mount /mnt/KlFocDataShare_klfoc

5. Stellen Sie sicher, dass die Berechtigungen für den Zugriff auf die freigegebenen Ordner ksc:kladmins gehören.

   Führen Sie den folgenden Befehl aus:

   ls -la /mnt/

Konfiguration der Netzwerkadapter

Ein sekundärer Netzwerkadapter kann physisch oder virtuell sein. Wenn Sie ein Bereitstellungsschema mit einem sekundären Netzwerkadapter ausgewählt haben, führen Sie das entsprechende Verfahren auf beiden Knoten aus:

• Verwenden Sie einen virtuellen sekundären Netzwerkadapter, der auf einem physischen Netzwerkadapter basiert (MACVLAN-Technologie):
  1. Installieren Sie das Paket iputils-arping. Führen Sie abhängig von Ihrer Linux-Distribution einen der folgenden Befehle aus:
     • yum install iputils

     oder

     • apt install iputils-arping
  2. Um sicherzustellen, dass NetworkManager zur Verwaltung der physischen Netzwerkadapter verwendet wird, führen Sie den folgenden Befehl aus:

     nmcli device status

     Wenn der Befehl ausgibt, dass der physische Netzwerkadapter nicht verwaltet wird, konfigurieren Sie NetworkManager für die Verwaltung des physischen Netzwerkadapters. Die genauen Konfigurationsschritte sind dabei von Ihrer Linux-Distribution abhängig.

  3. Verwenden Sie den folgenden Befehl, um Schnittstellen zu identifizieren:

     ip a

  4. Um ein Konfigurationsprofil zu erstellen, führen Sie den folgenden Befehl aus:

     nmcli connection add type macvlan dev <physische Schnittstelle> mode bridge ifname <virtuelle Schnittstelle> ipv4.addresses <Adressmaske> ipv4.method manual autoconnect no

• Verwenden Sie einen physischen sekundären Netzwerkadapter oder erstellen Sie ein virtuelles TAP-Gerät mittels eines Hypervisors. Deaktivieren Sie in diesem Szenario das NetworkManager-Tool.
  1. Verbinden Sie den sekundären Netzwerkadapter mit einem Knoten.
  2. Installieren Sie das Paket iputils-arping. Führen Sie abhängig von Ihrer Linux-Distribution einen der folgenden Befehle aus:
     • yum install iputils

     oder

     • apt install iputils-arping
  3. Um für die Zielschnittstelle die NetworkManager-Verbindung zu löschen, führen Sie den folgenden Befehl aus:

     nmcli con del <Verbindungsname>

     Um Verbindungen zu der Zielschnittstelle zu überprüfen, führen Sie den folgenden Befehl aus:

     nmcli con show

  4. Bearbeiten Sie die Datei "NetworkManager.conf". Suchen Sie den keyfile-Abschnitt und weisen Sie die Zielschnittstelle dem Parameter unmanaged-devices zu:

     [keyfile]

     unmanaged-devices=interface-name:<Name der Schnittstelle>

  5. Starten Sie NetworkManager neu.

     systemctl reload NetworkManager

     Um sicherzustellen, dass die Zielschnittstelle nicht mehr verwaltet wird, führen Sie den folgenden Befehl aus:

     nmcli dev status

Konfiguration des Load Balancers

Wenn Sie ein Bereitstellungsschema mit Load Balancer ausgewählt haben, folgen Sie den nachstehenden Anweisungen, um es zu konfigurieren.

So konfigurieren Sie den Load Balancer:

1. Bereiten Sie ein separates Linux-Gerät vor, auf dem nginx oder ein anderer Load Balancer installiert ist.
2. Konfigurieren Sie das Load Balancing. Legen Sie den aktiven Knoten als Hauptserver und den passiven Knoten als Backup-Server fest.
3. Öffnen Sie auf dem nginx-Server alle Ports des Administrationsservers gemäß dem folgenden Artikel: Ports, die von Kaspersky Security Center Linux verwendet werden.

Um das Kaspersky Security Center Linux Failover-Cluster bereitzustellen, folgen Sie den weiteren Anweisungen des Szenarios.

Die Verfügbarkeit der Failover-Cluster-Knoten sollte durch die Verfügbarkeit der hauptsächlichen Verbindungsports zum Administrationsserver bestimmt werden. Der passive Knoten nimmt keine externen Verbindungen an, bis ein Wechsel erfolgt.

Siehe auch: Über Kaspersky Security Center Linux Failover-Cluster Szenario: Kaspersky Security Center Linux Failover-Cluster bereitstellen Ports, die von Kaspersky Security Center Linux verwendet werden

Nach oben