Przygotowywanie węzłów dla klastra trybu failover Kaspersky Security Center Linux

Przed kontynuowaniem upewnij się, że wykonałeś poprzednie kroki w Scenariuszu: Wdrażanie klastra trybu failover Kaspersky.

Przygotuj dwa urządzenia do pracy jako węzły aktywne i pasywne dla klastra pracy awaryjnej Kaspersky Security Center Linux.

Konfiguracja wspólnych folderów

Aby skonfigurować wspólne foldery:

1. W zależności od dystrybucji systemu Linux zainstaluj pakiet nfs-utils lub pakiet nfs-kernel-server na każdym węźle, uruchamiając odpowiednie polecenie:

   yum install nfs-utils

   apt install nfs-kernel-server

2. Utwórz punkty montowania, uruchamiając następujące polecenia:

   mkdir -p /mnt/KlFocStateShare

   mkdir -p /mnt/KlFocDataShare_klfoc

3. Dopasuj punkty montowania i foldery współdzielone:

   sudo sh -c "echo <serwer plików>:/mnt/KlFocStateShare /mnt/KlFocStateShare nfs vers=4,soft,timeo=50,retrans=2,auto,user,rw 0 0 >> /etc/fstab"

   sudo sh -c "echo <serwer plików>:/mnt/KlFocDataShare_klfoc /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0 >> /etc/fstab"

   Tutaj {serwer plików} jest nazwą FQDN serwera plików z folderami współdzielonymi.

4. Zamontuj foldery współdzielone, uruchamiając następujące polecenia:

   mount /mnt/KlFocStateShare

   mount /mnt/KlFocDataShare_klfoc

5. Upewnij się, że uprawnienia dostępu do folderów udostępnionych należą do ksc:kladmins.

   Uruchom następujące polecenie:

   ls -la /mnt/

Konfiguracja kart sieciowych

Dodatkowa karta sieciowa może być fizyczna lub wirtualna. Jeśli wybrałeś schemat wdrażania z dodatkową kartą sieciową, wykonaj odpowiednią procedurę na obu węzłach:

• Użyj wirtualnej dodatkowej karty sieciowej opartej na fizycznej karcie sieciowej (technologia MACVLAN):
  1. Zainstaluj pakiet iputils-arping. W zależności od dystrybucji Linux uruchom jedno z następujących poleceń:
     • yum install iputils

     lub

     • apt install iputils-arping
  2. Aby upewnić się, że NetworkManager jest używany do zarządzania fizyczną kartą sieciową, uruchom następujące polecenie:

     nmcli device status

     Jeśli dane wyjściowe polecenia pokazują, że fizyczna karta sieciowa nie jest zarządzana, skonfiguruj NetworkManager do zarządzania fizyczną kartą sieciową. Dokładne kroki konfiguracji zależą od Twojej dystrybucji systemu Linux.

  3. Aby zidentyfikować interfejsy, należy użyć następującego polecenia:

     ip a

  4. Aby utworzyć profil konfiguracyjny, uruchom następujące polecenie:

     nmcli connection add type macvlan dev <interfejs fizyczny> mode bridge ifname <interfejs wirtualny> ipv4.addresses <maska adresu> ipv4.method manual autoconnect no

• Użyj fizycznej dodatkowej karty sieciowej lub utwórz wirtualne urządzenie TAP za pomocą hiperwizora. W tym scenariuszu wyłącz oprogramowanie NetworkManager.
  1. Podłącz dodatkową kartę sieciową do węzła.
  2. Zainstaluj pakiet iputils-arping. W zależności od dystrybucji Linux uruchom jedno z następujących poleceń:
     • yum install iputils

     lub

     • apt install iputils-arping
  3. Aby usunąć połączenie NetworkManager dla interfejsu docelowego, uruchom następujące polecenie:

     nmcli con del <connection name>

     Aby sprawdzić połączenia z interfejsem docelowym, uruchom następujące polecenie:

     nmcli con show

  4. Edytuj plik NetworkManager.conf. Znajdź sekcję pliku klucza i przypisz interfejs docelowy do parametru unmanaged-devices:

     [keyfile]

     unmanaged-devices=interface-name:<nazwa interfejsu>

  5. Uruchom ponownie NetworkManager:

     systemctl reload NetworkManager

     Aby upewnić się, że interfejs docelowy nie jest już zarządzany, uruchom następujące polecenie:

     nmcli dev status

Konfiguracja modułu równoważenia obciążenia

Jeśli wybrano schemat wdrożenia z modułem równoważenia obciążenia, postępuj zgodnie z poniższymi instrukcjami, aby go skonfigurować.

Aby skonfigurować moduł równoważenia obciążenia:

1. Przygotuj dedykowane urządzenie z systemem Linux z zainstalowanym serwerem nginx lub innym modułem równoważenia obciążenia.
2. Skonfiguruj moduł równoważenia obciążenia. Ustaw węzeł aktywny jako serwer główny, a węzeł pasywny jako serwer zapasowy.
3. Na serwerze nginx otwórz wszystkie porty Serwera administracyjnego zgodnie z następującym artykułem: Porty używane przez Kaspersky Security Center Linux.

Aby zainstalować klaster trybu failover Kaspersky Security Center Linux, postępuj zgodnie z dalszymi instrukcjami scenariusza.

Dostępność węzłów klastra trybu failover powinna być określona przez dostępność głównych portów połączeń z Serwerem administracyjnym. Węzeł pasywny nie akceptuje żadnych połączeń zewnętrznych, dopóki nie nastąpi przełączenie.

Zobacz również: Informacje o klastrze trybu failover Kaspersky Security Center Linux Scenariusz: Wdrażanie klastra trybu failover Kaspersky Security Center Linux Porty używane przez Kaspersky Security Center Linux

Przejdź do góry