目录
管理集群
安装和初始配置完成后,您可以在应用程序的 web 界面配置设置。为此,必须将托管 Kaspersky Web Traffic Security 的所有节点合并到一个
。您可以添加节点到集群和从集群移除节点。您可以分配带角色控制的节点给作为集群一部分的任何节点。集群中的其他服务器将收到带角色辅助的节点。无论其角色如何,所有集群节点都将处理流量。应用程序 web 界面的 节点 区域显示集群节点表,以及以下有关节点的信息:
- KSN/KPSN 状态。
- 数据库状态。
- 授权许可。
创建新集群
应用程序安装后,您必须创建一个通过应用程序 web 资源管理节点的集群。此外,您可以创建多个集群,以便管理彼此相互独立的不同的服务器组。
要创建新集群:
- 在要分配带角色控制的节点的节点 web 界面中,单击 创建新集群 按钮。
- 几分钟后刷新浏览器页面。
带角色控制的节点的 web 界面将打开。
集群已创建。之后,您可以添加带角色辅助的节点到集群。
页面顶端配置集群节点表的显示
要配置集群节点表的显示:
- 在应用程序 web 界面窗口中,选择 节点。
将打开集群节点表。
- 单击
打开集群节点表显示菜单。 - 选择您想要在表中显示的设置旁边的复选框。
必须至少选择一个复选框。
现在已配置集群节点表的显示。
查看有关集群节点的信息
查看有关集群节点的信息:
- 在应用程序 web 界面窗口中,选择 节点。
- 选择要查看的节点信息。
包含节点信息的窗口将会打开。
根据服务器类型窗口会包含以下信息:
- 节点信息设置组:
- 证书指纹 是服务器的 。
- 虚拟化技术 是虚拟化平台的名称(仅当在虚拟机上部署了应用程序的 ISO 镜像才显示)。
可以使用以下值:
- ACRN
- bhyve (FreeBSD hypervisor)
- Bochs Emulator
- Linux KVM
- Microsoft Hyper-V
- 未使用 意味着应用程序安装在一天物理服务器上
- Oracle VM VirtualBox
- Parallels Desktop 或服务器
- QEMU
- QNX
- UML (user-mode Linux)
- VMware工作站或服务器
- Xen
- z/VM
Kaspersky Web Traffic Security 支持 Microsoft Hyper-V 和 VMware ESXi hypervisor,并支持将应用程序的 ISO 镜像部署在物理服务器上。使用其它 hypervisor 时无法保证应用程序性能。
- 注释 是有关节点的其他信息。可选设置。
- 当前节点角色 是集群中当前节点的角色。
- 流量处理 设置组:
- 扫描线程 是 ICAP 服务器的流量处理线程的同时数量。
- 授权许可到期日期。
- 授权许可 是授权许可信息和距离授权许可到期剩余的天数。
- 授权许可类型 是授权许可类型 (试用或商务)。
- 序列号 是授权许可序列号。
- KSN/KPSN 状态 是与 KSN/KPSN 服务连接的状态。
- 反病毒 是反病毒模块数据库的状态。
- 反钓鱼 是反钓鱼模块数据库的状态。
- 上传文件到 KATA – 将文件发送到 KATA 时存在或不存在错误(仅在 上传文件 模式被启用时显示)。
- 从 KATA 接收对象 – 当接收到 KATA 检测到的对象时存在或不存在错误(仅在 接收对象 模式被启用时显示)。
- 数据库更新 是应用程序数据库及其上次成功更新的结果和时间的状态。
- LDAP 缓存状态 设置组(仅在配置与 Active Directory 域的集成时显示):
- 连接 是最后一次成功连接到 Active Directory 域控制器时的日期和时间。
- 规则匹配的数据 是用于选择流量处理规则的用户账户的最后一次成功更新的日期和时间。
- 使用账户自动填充 是用于应用程序 web 界面中的用户名自动完成的数据的最后一次成功更新的日期和时间。
如果其中至少有一个步骤以错误结束,则集群节点表将显示一条错误消息。
- 设置 组:
- 对于带角色控制的节点:
- 已应用 指上次设置被成功应用到应用程序模块时。
- 时间 是 hypervisor 和 NTP 服务器之间进行时间同步的状态(仅当在虚拟机上部署了应用程序 ISO 镜像时才显示)。
- 对于带角色辅助的节点:
- 已同步 指上次成功从带角色控制的节点收到设置时。如果收到设置,您可以将控制角色分配给该带角色辅助的节点而不会丢失已定义的设置。
- 已应用 指上次设置被成功应用到应用程序模块时。
- 时间 是与以下内容进行时间同步的状态:
- 托管带角色控制的节点的服务器
- Hypervisor (仅当虚拟机上部署了应用程序的 ISO 镜像时才显示)
- NTP 服务器(仅当虚拟机上部署了应用程序的 ISO 镜像时才显示)
如果状态为 失败,您可以通过单击状态右侧的 复制 链接将错误信息复制到剪贴板。
- 对于带角色控制的节点:
添加节点到集群
要添加节点到集群:
- 在应用程序 web 界面窗口中,选择 节点。
- 单击 添加节点。
添加节点 窗口将打开。
- 在 IP 地址 和 端口 字段,键入托管要添加为集群节点的应用程序的服务器的 IP 地址和端口。
- 如有必要,在 注释 字段键入有关添加的服务器的额外信息。
- 在 扫描线程 字段,指定 ICAP 服务器可以同时处理的流量线程数。
有效值从 4 到 1024。推荐值:处理器内核数加 1。
- 单击 下一步。
- 对比 确认节点 窗口中的证书指纹和 nginx 服务器文件夹 (/etc/nginx/kwts/controlapi.crt) 中的证书文件中的证书指纹。如果证书指纹匹配,单击 确认。
通过运行以下命令可以获取证书指纹:
openssl x509 -noout -fingerprint -sha256 -inform pem -in /etc/nginx/kwts/controlapi.crt
节点将添加到集群并显示在 节点 页面上的节点表中。
页面顶端修改节点设置
您无法更改已安装了应用程序的服务器的 IP 地址和端口。如有必要,从集群中移除一个节点并向集群添加一个具有所需地址的新节点。
要修改节点设置:
- 在应用程序 web 界面窗口中,选择 节点。
- 在集群节点表中,选择您要修改其设置的节点。
节点设置窗口将打开。
- 在窗口的右下角,单击 编辑。
编辑节点 窗口将打开。
- 在必要时,更改以下设置:
- 在 注释 字段中添加有关节点的任何额外信息。
- 在 扫描线程 字段中输入 ICAP 服务器的同时流量处理线程数量。
有效值从 4 到 1024。推荐值:处理器内核数加 1。
- 单击 保存。
如果修改 扫描线程 设置,代理服务器将被重启。重启完成前流量处理将被暂停。
节点设置将被修改。
页面顶端从集群移除节点
无法移除带角色控制的节点。
当从一个集群移除某个节点时,将不会从服务器移除应用程序。您可以随时将节点添加回群集,并继续管理此节点的应用程序设置。
从集群移除节点:
- 在应用程序 web 界面窗口中,选择 节点。
- 在集群节点表中,选择您要从集群中移除的带角色辅助的节点。
节点设置窗口将打开。
- 在窗口的左下角,单击 删除。
这将打开一个窗口,用于确认从群集中删除节点。
- 单击 是。
节点将从集群中移除。有关节点的信息不会显示在集群节点表中。
页面顶端更改集群中的节点角色
您可以将控制节点角色分配给任何一个集群节点。其他节点将带辅助节点的角色。例如,您可能需要更改角色,因为带角色控制的节点出现故障,或者必须从此服务器中移除应用程序。
要将带角色辅助的节点分配给带角色控制的节点:
- 在应用程序 web 界面窗口中,选择 节点。
- 在集群节点表中,选择带角色控制的节点。
节点设置窗口将打开。
- 单击 将角色更改为辅助节点。
带角色控制的节点将变为带角色辅助的节点。带角色辅助的节点的 web 界面将会打开。
要将带角色控制的节点分配给带角色辅助的节点:
- 在应用程序 web 界面窗口中,选择 节点。
- 在集群节点表中,选择带角色辅助的节点。
节点设置窗口将打开。
- 单击 前往管理节点。
授权页面将在新的浏览器窗口中打开。
- 输入应用程序管理员的名称和密码。
带角色辅助的节点的 web 界面将会打开。
- 单击 更改角色到控制节点。
- 在确认窗口,单击 是。
带角色辅助的节点将变为带角色控制的节点。
页面顶端删除集群
仅当没有带角色辅助的节点时,才能删除集群。
要删除集群请执行以下操作:
- 在应用程序 web 界面窗口中,选择 节点。
- 在集群节点表中,选择带角色控制的节点。
节点设置窗口将打开。
- 在窗口的左下角,单击 删除集群。
这将打开一个窗口,用于确认从群集中删除节点。
- 单击 是。
集群被删除。您将看到承载不属于集群的应用程序的服务器的 web 界面。
页面顶端检查数据完整性
为了确保应用程序组件安装正确,没有修改或损坏,您可以运行数据完整性检查。它会检查 Kaspersky Web Traffic Security 可执行文件的 MD5 哈希。
要检查数据完整性:
- 在应用程序 web 界面窗口中,选择 节点。
- 单击
打开 节点 区域菜单。 - 单击 检查数据完整性。
检查数据完整性的节点选择 窗口将打开。
- 在集群节点表中选择您想要为其运行完整性检查的节点旁边的复选框。
- 单击 启动。
检查完成后,系统将显示结果表。您可以下载未通过完整性检查的可执行文件的列表。
通过 SSH 协议连接到集群节点
Kaspersky Web Traffic Security 管理员可以通过 SSH 协议连接到任何集群节点,以便通过命令行在技术支持模式下使用应用程序。为此,必须生成 SSH 密钥,并通过应用程序 web 界面上传 SSH 公钥。将此密钥上传到托管带角色控制的节点的服务器后,将中继并保存在所有群集节点上。
为了防止未经授权访问系统,管理员必须使用令牌独立地确保 SSH 私钥的安全。
要通过应用程序 web 界面上传 SSH 公钥:
- 在应用程序 web 界面中,选择 设置 区域,SSH 公钥 子区域。
- 在 描述 字段,输入任何有关上传的 SSH 密钥的信息。
- 在 SSH 密钥 字段,复制之前生成的 SSH 公钥。
- 单击 添加。
SSH 公钥现已添加。如果有合适的 SSH 私钥可用,Kaspersky Web Traffic Security 管理员将能够连接到任何集群节点。如果要替换 SSH 密钥,必须删除之前添加的密钥,并在其位置添加新的密钥。
要删除 SSH 公钥:
- 在应用程序 web 界面中,选择 设置 区域,SSH 密钥 子区域。
- 单击 删除。
- 在确认窗口,单击 是。
SSH 公钥现已删除。您将能添加一个新密钥。
页面顶端重启集群节点
通过网页界面重启只对应用程序 ISO 镜像可用。如果应用程序是从 RPM 或 DEB 包安装的,重启将通过使用操作系统工具执行。
可能需要重启节点的操作系统以应用某些更新,比如 OpenSSL 库更新。在此情况下,集群节点表会显示 需要重启操作系统 通知。
要通过应用程序网页界面重启带角色控制的节点,请执行以下操作:
- 在应用程序 web 界面中,选择 节点 区域。
- 在集群节点表中,选择带角色控制的节点。
包含节点信息的窗口将会打开。
- 单击 重启。
- 在确认窗口,单击 是。
操作系统将被重启。这可能会花一些时间。几分钟后重新加载浏览器页面。重启完成后,您会看到连接到应用程序网页界面的页面。
重启完成前流量处理将被停止。
要通过应用程序网页界面重启带角色辅助的节点,请执行以下操作:
- 在应用程序 web 界面中,选择 节点 区域。
- 在集群节点表中,选择您要重启的带角色辅助的节点。
包含节点信息的窗口将会打开。
- 单击 前往管理节点 链接转至带角色辅助的节点的网页界面。
用来连接到网页界面的页面将在浏览器的新选项卡中打开。
- 输入账户凭证,连接到带角色辅助的节点。
- 单击 重启。
- 在确认窗口,单击 是。
操作系统将被重启。这可能会花一些时间。几分钟后重新加载浏览器页面。重启完成后,您会看到用来连接到带角色辅助的节点的网页界面的页面。
重启完成前流量处理将被停止。
页面顶端紧急模式下的应用程序操作
如果系统有两个或多个带角色控制的节点,Kaspersky Web Traffic Security 会切换到紧急模式。例如,带角色控制的节点变得不可用 ,并且此角色被分配给集群中的另一个节点。最终,第一个带角色控制的节点再次可用,使系统具有两个带角色控制的节点。
紧急模式不影响网络流量处理。在应用程序切换到紧急模式之前,所有节点都继续使用从带角色控制的节点接收到的最新设置来处理网络流量。
带角色控制的节点
在带角色控制的节点上的紧急模式窗口会显示以下信息:
- 当前节点的 IP 地址。
- 当前节点的角色。
- 集群内的节点表。
节点表包含以下列:
- IP 地址: 端口 是连接到节点的 IP 地址和端口。
- 角色 是应用程序中当前节点的角色。
- 控制节点 是带角色控制的节点的 IP 地址。
仅对带角色辅助的节点可用。
- 已同步 设置值上次同步的时间。
- 控制节点连接状态 是通过网络的带角色控制的节点的可用性。
表中一行中的
图标表示此节点遇到问题。例如,带角色辅助的节点已错误地成为带角色控制的节点,或者服务器在网络上不可用。
如果要把应用程序控制权转移给另一个节点,您可以单击 分配辅助节点角色 把带角色辅助的节点分配给当前的带角色控制的节点。
带角色辅助的节点
带角色辅助的节点上的紧急模式窗口会显示以下信息:
- 当前节点的 IP 地址。
- 当前节点的角色。
- IP 地址和带角色控制的节点的可用性。
- 设置值上次设置同步的日期和时间。
- 集群内的节点表。
节点表包含以下列:
- IP 地址: 端口 是连接到节点的 IP 地址和端口。
- 角色 是节点在应用程序中的角色。
如果要管理此节点上的应用程序设置,您可以单击 更改角色到控制节点 将带角色辅助的节点分配给它。
页面顶端