Безопасность : устройства безопасности электронной почты Cisco ESA

Что такое централизованное управление для и как централизованное управление может кластеризовать быть созданным?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает то, что обозначает централизованное управление на Email Security Appliance (ESA) и как может быть создан кластер централизованного управления.

Внесенный Эндрю Верстером и Энрико Вернером, специалистами службы технической поддержки Cisco.

Что такое централизованное управление для и как централизованное управление может кластеризовать быть созданным?

Общие сведения

Функция централизованного управления позволяет вам управлять и настраивать множественные устройства в то же время, предоставлять повышение надежности, гибкость и масштабируемость в сети, позволяя вам управлять глобально при исполнении локальной политике. Кластер состоит из ряда машин с информацией об обычной конфигурации. В каждом кластере устройства могут быть далее разделены на группы машины, где одиночная машина может быть участником только одной группы за один раз. Кластеры внедрены в одноранговой архитектуре - без ведущего устройства/подчиненного отношения. Можно войти в любую машину, чтобы управлять и администрировать весь кластер или группу. Это позволяет администратору настраивать другие элементы системы на общекластерной, или основе на машину всей группы, с на основе их собственных логических группировок.

Требования для запоминания

  • Все машины должны иметь возможность подключения с помощью IP-адреса.
  • При использовании имен хоста удостоверьтесь, что все решает правильно - с соответствующим форвардом "A" и обратные записи DNS "PTR".
  • Должно быть подключение или на порту TCP 22 SSH или на 2222 Кластерных сервисах подключения (CCS) или специализированном порту по Вашему выбору.
  • Все устройства должны иметь ту же самую версию AsyncOS и быть того же семейства продуктов (ПРИМЕЧАНИЕ: C и X устройств серии совместимы).
  • Все устройства должны также иметь характерную черту "Централизованного управления" ниже версии 8. x .
  • Вы будете требовать доступа командной строки, поскольку программное средство управления кластером "clusterconfig" не доступно в GUI.

Обратите внимание на то, что много параметров настройки могут быть изменены для отдельных компьютеров или групп машины для отвержения различных параметров настройки. Заказ, в котором кластеризованные устройства наследовали свои параметры настройки, следующие: 1) МАШИНА 2) ГРУППА 3) КЛАСТЕР. Некоторые параметры настройки, такие как имена хоста и IP - интерфейсы, однако, только доступны на уровне машины и не реплицированные в других членов кластера.

Также обратите внимание, что функция объединения в кластеры в целях управления конфигурацией только. Это не предоставляет свойственного механизма, чтобы расположить по приоритетам или планировать поток почтового трафика между другими участниками. Для достижения этого нужно было бы использовать идентичную запись DNS пред заборы (MX) или отдельное устройство распределения нагрузки или некоторый другой внешний механизм.

Решение

Для начала с нового кластера необходимо выбрать устройство, которое было уже полностью внедрено как автономное устройство. Эта машина должна быть полностью настроена со всеми требуемыми функциями, такими как хост / таблицы доступа получателя (HAT / RAT), почтовая политика потока, фильтры контента, и т.д. Это будет точкой отсчета, которой можно сформировать кластер. 

Предостерегающие шаги для запоминания

  1. Проверьте, что все машины имеют свой правильный IP-адрес и имя хоста.
  2. Гарантируйте подключение всем устройствам на требуемом порту для связи устройства (использующий команду 'telnet').
  3. Удостоверьтесь соответствующий сервис, который вы выбираете (SSH, CCS или пользовательский порт) был включен на интерфейсе этой машины с помощью 'ifconfig>, редактируют'.
  4. Создайте резервную копию конфигурации (с размаскированными паролями) прежде, чем продолжиться при помощи 'mailconfig' или 'saveconfig', например.

Затем, можно создать и кластер и группы машины, использующие команду 'clusterconfig', и соединить одно или более дополнительных устройств с ним:

Confiuration

  1. Начните "clusterconfig" последовательность конфигурации и предоставьте название для нового кластера:
    • clusterconfig> Создают Новый Кластер
  2. Определите параметры IP-коммуникаций, выбирая любое разрешение IP-адреса или имени хоста.

    Примечание: На этом этапе кластер может занять несколько секунд для построения, и изменения будут переданы автоматически.

  3. Здесь можно принять решение создать новую группу перед счетными машинами к новому кластеру. При создании нового кластера группа по умолчанию по имени Main_Group создана автоматически. Однако можно решить переименовать это или создать дополнительные группы, использующие следующие команды:

    • clusterconfig> renamegroup
    • clusterconfig> addgroup
  4. Добавьте новые машины к кластеру и группе. Эти шаги должны быть выполнены на любых остающихся машинах, которые должны все же быть сделаны членами кластера и могут быть повторены, как необходимый. Процесс может немного отличаться в зависимости от протокола связи, выбранного ранее.

    • clusterconfig> Соединение существующий кластер по SSH
      1. Вам предложат запустить Кластерный Сервис подключения, который мы можем проигнорировать, так как мы не используем тот протокол.
      2. Введите IP-адрес машины существующего кластера. Это может быть любой кластерной машиной, но должно быть сослано IP, независимо от предпочтения связи.
      3. Выберите порт для связи SSH, как определено во время кластерного создания.
      4. Введите пароль для учетной записи 'admin' на машинах существующего кластера. Вам показывают открытый ключ для этого хоста к подтверждению. Можно далее проверить это на любом устройстве в кластере со следующими командами:
           logconfig> hostkeyconfig> отпечаток пальца

      Примечание: В то время как новый участник получает и применяет конфигурацию кластера автоматически, будет другая задержка.

    • clusterconfig> Соединение существующий кластер по CCS:

      1. Для присоединения к кластеру по CCS необходимо сначала войти члену кластера и сказать ему, что добавляется эта система. На любой машине в cluster run:
            clusterconfig> prepjoin> новый
      2. Скопируйте имя хоста, серийный номер, информация о Ssh key для вставки его в приглашение 'prepjoin' сверху на участнике существующего кластера. <RETURN> соответствия дважды для получения до основного поля приглашения затем выполните 'передачу' для применения изменений. 'Передача' в это время очень важна, поскольку в противном случае новое устройство получит ошибку проверки подлинности.
      3. Вам предложат запустить Кластерный Сервис подключения, который открывает новый сервис по порту TCP 2222 на интерфейсе по Вашему выбору.
      4. Введите IP-адрес машины существующего кластера. Это может быть любой кластерной машиной, но должно быть сослано IP, независимо от предпочтения связи.
      5. Выберите порт для использования CCS, как определено во время кластерного создания.
      6. Вам показывают открытый ключ для этого хоста к подтверждению. Можно далее проверить это на любом устройстве в кластере со следующими командами:

             logconfig> hostkeyconfig> отпечаток пальца

        Примечание: В то время как новый участник получает и применяет конфигурацию кластера автоматически, будет другая задержка

  5. Используйте выходные данные, такие как 'статус', и 'Обзор системы' сообщают для подтверждения всего почтового потока, и работа системы неповреждена прежде, чем сделать другую резервную копию конфигурации. Если в какой-либо точке что-то не кажется правильным - просто используют 'clusterconfig> removemachine', чтобы удалить устройство из кластера и вернуться назад к его параметрам настройки машины уровня.

    Примечание: Удаление заключительной машины от кластера не отличается от удаления машин в целом и эффективно устранит кластер в целом.

Теперь, когда кластер создан и функционирующий должным образом, можно начать делать другую группу и кластерные изменения и видеть, что они применяются по каждому устройству.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.