セキュリティ : Cisco E メール セキュリティ アプライアンス

何および作成する中央集中型管理はどのようにのためのことができます中央集中型管理 クラスタありますか。

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

E メール セキュリティ アプライアンス(ESA)のどんな中央集中型管理を意味する、そしてどのように中央集中型管理 クラスタが作成することができるかこの資料に記述されています。

アンドリュー Wurster およびエンリコ Werner によって貢献される、Cisco TAC エンジニア。

何および作成する中央集中型管理はどのようにのためのことができます中央集中型管理 クラスタありますか。

背景説明

中央集中型管理 機能はローカル ポリシーに従っている間柔軟性およびスケーラビリティを提供するために複数のアプライアンスを、ネットワーク内の高められた信頼性同時に管理し、設定することを、可能にしまグローバルに管理することを許可します。 クラスタは一組の一般的 な 設定 情報のマシンで構成されています。 各クラスタの中では、アプライアンスは単一 マシンが 1 グループだけの一度にメンバーである場合もあるマシン グループに更に分けることができます。 クラスタは-マスター・スレーブ関係無しで…ピアツーピア な アーキテクチャで設定されます。 全体のクラスタかグループを制御し、管理するためにマシンにログイン することができます。 これは管理者が論理的なグループ化で cluster-wide、グループ全体の、または毎マシン基礎のシステムの異なる要素を、基づいた自分自身で設定することを可能にします。

覚える必要条件

  • すべてのマシンは IP接続がなければなりません。
  • ホスト名を使用している場合、すべてが- 「A」および反転「PTR」DNS レコードと順方向に一致することと…正しく解決することを確かめて下さい。
  • (CCS)または選択のカスタマイズされたポート TCPポート 22 SSH か 2222 クラスタに接続がコミュニケーションサービスある必要があります。
  • すべてのアプライアンスは正確のが AsyncOS 同じバージョンあるおよび同じ製品 グループ(注である必要があります: C および X シリーズ アプライアンスは相互運用可能です)。
  • すべてのアプライアンスはまたバージョン 8.x の下で「中央集中型管理」フィーチャーキーを備えなければなりません。
  • クラスタマネージメント ツール「clusterconfig」が GUI で利用できないのでコマンドライン アクセスを必要とします。

個々 の マシンかマシン グループがさまざまな設定を無効にすることができるように多くの設定が変えることができることに注目して下さい。 クラスタ化した順序はアプライアンス設定をです次の通り受継ぎます: 1) 3) 2) マシン グループ クラスタ。 しかしホスト名および IP インターフェイスのようないくつかの設定はマシン レベルだけで利用でき、他のクラスタ メンバーに複製されません。

クラスタ処理 機能が設定管理目的のためであることにまた注目して下さい。 それは異なるメンバーの間の E メール トラフィックのフローに優先順位をつけるか、またはスケジュールするために固有メカニズムを提供しません。 これを実現させるために、1 つは同一の DNS レコード塀(MX)または別途のロード バランシング デバイスまたは他の外部メカニズム前に使用する必要があります。

解決策

新しいクラスタから始まるために、スタンドアロン マシンとして既に十分に設定されていたアプライアンスを選択する必要があります。 このマシンはホスト/受信者のアクセス 表(帽子/RATS)のようなすべての望ましい機能でメール フロー ポリシー、コンテンツ フィルター、等完全に設定する必要があります。 これはクラスタを形成できるリファレンス ポイントです。 

覚えるべき警戒ステップ

  1. すべてのマシンに正しい IP アドレスおよびホスト名があることを確認して下さい。
  2. デバイス通信のための望ましいポートのすべてのアプライアンスへの接続を確認して下さい(「telnet」コマンドを使用して)。
  3. (SSH、CCS、またはカスタム ポート)選択する「ifconfig > Edit」を使用してこのマシンのインターフェイスで適切なサービスが有効に なったことを確かめて下さい
  4. mailconfig」か「saveconfig」を使用することによってたとえば続く前に設定 の バックアップを(暴露されるパスワードで)作成して下さい。

次に、「clusterconfig」コマンドを使用してクラスタおよびマシン グループを両方作成できそれに 1つ以上の追加アプライアンスに加入します:

Confiuration

  1. 「clusterconfig」設定 シーケンスを始め、新しいクラスタに名前をつけて下さい:
    • clusterconfig は > 新しいクラスタを作成します
  2. どちらかの IP アドレス または ホスト名解決を選択する IPコミュニケーション パラメータを定義して下さい。

    : この時点で、クラスタは構築するために数秒かかるかもしれ、変更は自動的に保存されます。

  3. 新しいクラスタに加算機の前に新しいグループを作成することを選択することができます。 新しいクラスタを作成するとき、Main_Group と問い合わせられるデフォルト グループは自動的に作成されます。ただし、これの名前を変更するか、または次のコマンドを使用して追加グループを作成することにすることができます:

    • clusterconfig > renamegroup
    • clusterconfig > addgroup
  4. 新しいマシンをクラスタに追加し、グループ化して下さい。 これらのステップはまだクラスタ メンバーになされることを持ち、必要に応じて繰り返すことができるあらゆる残りのマシンで実行されたべきです。 プロセスは先に選択される通信プロトコルによってわずかに異なります。

    • clusterconfig > 加入 SSH 上の実在するクラスタ
      1. そのプロトコルを使用していないので無視できるクラスタ コミュニケーションサービスを開始するためにプロンプト表示されます。
      2. 実在するクラスタ マシンの IP アドレスを入力して下さい。 これはどのクラスタ マシンである場合もありましたり IP によって通信ユーザー設定に関係なく、参照する必要があります。
      3. クラスタ作成の間に定義されるように SSH 通信にポートを選択して下さい。
      4. 実在するクラスタ マシンの「admin」アカウントのためのパスワードを入力して下さい。確認のこのホストのための公開キーを示されています。 次のコマンドでクラスタのあらゆるアプライアンスで更にこれを確認できます:
            logconfig > hostkeyconfig > フィンガープリント

      : 新しいメンバーがクラスタ設定を自動的に取得し、適用する間、もう一つの遅延があります。

    • clusterconfig > 加入 CCS 上の実在するクラスタ:

      1. このシステムが追加されるように CCS、あなた上のクラスタにログイン加入し、それに言うことはクラスタ メンバーに最初になります。  動作するクラスタのマシン:
             clusterconfig > prepjoin > 新しい
      2. 実在するクラスタ メンバーの上からの「prepjoin」プロンプトにそれを貼り付けるためにホスト名を、シリアル番号、SSH 鍵情報コピーして下さい。 メインプロンプトに到達するために <RETURN> を二度見つけそして変更を加えるために「託します」実行して下さい。 他では新しいアプライアンスが認証失敗を受け取るように、「現時点で」です非常に重要託して下さい。
      3. 選択のインターフェイスの TCPポート 2222 上の新しいサービスを開くクラスタ コミュニケーションサービスを開始するためにプロンプト表示されます。
      4. 実在するクラスタ マシンの IP アドレスを入力して下さい。 これはどのクラスタ マシンである場合もありましたり IP によって通信ユーザー設定に関係なく、参照する必要があります。
      5. クラスタ作成の間に定義されるように CCS 使用にポートを選択して下さい。
      6. 確認のこのホストのための公開キーを示されています。 次のコマンドでクラスタのあらゆるアプライアンスで更にこれを確認できます:

              logconfig > hostkeyconfig > フィンガープリント

        : 新しいメンバーがクラスタ設定を自動的に取得し、適用する間、もう一つの遅延があります

  5. 「ステータス」使用すれば「システム の 概要」レポートのような出力をすべてのメール フローおよびシステムオペレーションを確認することは別の設定 の バックアップを作成する前にそのままです。 いずれかの時点で何かが右ではないようではない-デバイスをクラスタから削除し、マシン レベル設定に戻る「clusterconfig > removemachine」を単に使用して下さい。

    : クラスタから最終的なマシンを取除くことはマシンを一般に取除くことと異なっていないし、効果的にクラスタを全体で除去します。

クラスタがであるので作成され、適切に機能します、異なるグループを作り、変更をクラスタ化し、各アプライアンスを渡って適用するのを見始めることができます。

関連情報



Document ID: 118503