Einführung
In diesem Dokument wird beschrieben, wofür die zentrale Verwaltung auf der E-Mail Security Appliance (ESA) steht und wie ein zentralisiertes Management-Cluster erstellt werden kann.
Was ist die zentrale Verwaltung, und wie kann ein zentralisiertes Management-Cluster erstellt werden?
Hintergrund
Die Funktion für die zentrale Verwaltung ermöglicht die gleichzeitige Verwaltung und Konfiguration mehrerer Appliances, um eine höhere Zuverlässigkeit, Flexibilität und Skalierbarkeit innerhalb Ihres Netzwerks zu ermöglichen. So können Sie globale Verwaltungen durchführen und gleichzeitig die lokalen Richtlinien einhalten. Ein Cluster besteht aus einem Satz von Computern mit allgemeinen Konfigurationsinformationen. Innerhalb jedes Clusters können die Appliances weiter in Maschinengruppen unterteilt werden, wobei ein einzelner Rechner jeweils nur einer Gruppe angehören kann. Cluster werden in einer Peer-to-Peer-Architektur implementiert - ohne Master/Slave-Beziehung. Sie können sich bei jedem Computer anmelden, um den gesamten Cluster oder die gesamte Gruppe zu steuern und zu verwalten. Dadurch kann der Administrator verschiedene Systemelemente auf Cluster-weiter, gruppenweiter oder pro Computer konfigurieren, die auf eigenen logischen Gruppierungen basieren.
Zu berücksichtigende Anforderungen
- Alle Computer müssen über IP-Verbindungen verfügen.
- Wenn Sie Hostnamen verwenden, vergewissern Sie sich, dass alle Einträge korrekt aufgelöst werden - mit der Vorwärts-"A"- und Rückwärtsbewegung der "PTR"-DNS-Datensätze.
- Es muss eine Verbindung entweder über den TCP-Port 22 SSH oder den 222 Cluster Communication Service (CCS) oder den von Ihnen gewählten benutzerdefinierten Port bestehen.
- Alle Appliances müssen dieselbe AsyncOS-Version haben und derselben Produktfamilie angehören (HINWEIS: Geräte der Serien C und X sind interoperabel).
- Alle Appliances müssen außerdem über den Feature-Schlüssel "Zentrales Management" unter Version 8.x verfügen.
- Sie benötigen Zugriff auf die Befehlszeile, da das Cluster-Verwaltungstool "clusterconfig" in der GUI nicht verfügbar ist.
Beachten Sie, dass viele Einstellungen für einzelne Computer oder Maschinengruppen geändert werden können, um verschiedene Einstellungen zu überschreiben. Die Reihenfolge, in der geclusterte Appliances ihre Einstellungen erben, ist wie folgt: 1) MASCHINE 2) GRUPPE 3) CLUSTER. Einige Einstellungen wie Hostnamen und IP-Schnittstellen sind jedoch nur auf Computerebene verfügbar und nicht auf andere Cluster-Member repliziert.
Beachten Sie, dass die Clustering-Funktion nur für Konfigurationsmanagementzwecke verwendet wird. Der E-Mail-Verkehr zwischen verschiedenen Mitgliedern wird dabei nicht automatisch priorisiert oder geplant. Hierzu müssen identische DNS-Record Pre-Zäences (MX), ein separates Load Balancing-Gerät oder ein anderer externer Mechanismus verwendet werden.
Lösung
Um mit einem neuen Cluster zu beginnen, sollten Sie eine Appliance auswählen, die bereits vollständig als eigenständige Maschine implementiert wurde. Dieser Computer sollte vollständig mit allen gewünschten Funktionen konfiguriert sein, z. B. Host-/Empfänger-Zugriffstabellen (HAT/RAT), Mail-Flow-Richtlinien, Content-Filter usw. Dies ist ein Bezugspunkt, über den Sie den Cluster bilden können.
Vorsichtsmaßnahmen
- Überprüfen Sie, ob alle Computer über die richtige IP-Adresse und den richtigen Hostnamen verfügen.
- Stellen Sie die Verbindung zu allen Appliances am gewünschten Port für die Gerätekommunikation sicher (mithilfe des Befehls 'telnet').
- Vergewissern Sie sich, dass der von Ihnen gewählte Service (SSH, CCS oder benutzerdefinierter Port) auf der Schnittstelle dieses Rechners mit "ifconfig > edit" aktiviert wurde.
- Erstellen Sie eine Konfigurationssicherung (mit nicht maskierten Passwörtern), bevor Sie zum Beispiel 'mailconfig' oder 'saveconfig' verwenden.
Als Nächstes können Sie sowohl die Cluster- als auch die Computergruppen mit dem Befehl clusterconfig erstellen und einer oder mehreren zusätzlichen Appliances hinzufügen:
Konfiguration
- Beginnen Sie mit der Konfigurationssequenz der Cluster-Konfiguration, und geben Sie einen Namen für das neue Cluster an:
- clusterconfig > Neuen Cluster erstellen
- Definieren Sie die IP-Kommunikationsparameter, und wählen Sie entweder die Auflösung von IP-Adressen oder Hostnamen aus.
Hinweis: An diesem Punkt kann die Erstellung des Clusters einige Sekunden dauern, und die Änderungen werden automatisch übernommen.
- Hier können Sie eine neue Gruppe erstellen, bevor Sie dem neuen Cluster Computer hinzufügen. Wenn Sie einen neuen Cluster erstellen, wird automatisch eine Standardgruppe mit dem Namen Main_Group erstellt. Sie können diesen jedoch umbenennen oder mithilfe der folgenden Befehle zusätzliche Gruppen erstellen:
- clusterconfig > umgruppieren
- clusterconfig > addgroup
- Fügen Sie dem Cluster und der Gruppe neue Computer hinzu. Diese Schritte sind auf allen verbleibenden Rechnern durchzuführen, die noch nicht zu Cluster-Membern gemacht wurden und bei Bedarf wiederholt werden können. Der Prozess kann je nach zuvor gewähltem Kommunikationsprotokoll leicht unterschiedlich sein.
- Verwenden Sie Ausgaben wie 'status' und Ihren 'System Overview'-Bericht, um zu überprüfen, ob der gesamte E-Mail-Fluss und der Systembetrieb intakt sind, bevor Sie eine weitere Konfigurationssicherung durchführen. Wenn an irgendeinem Punkt etwas nicht richtig scheint, verwenden Sie einfach 'clusterconfig > removemachine', um das Gerät aus dem Cluster zu entfernen und auf die Einstellungen auf Computerebene zurückzukehren.
Hinweis: Das Entfernen des Endgeräts aus einem Cluster unterscheidet sich nicht von dem Entfernen von Computern im Allgemeinen, und der Cluster wird somit komplett eliminiert.
Nachdem der Cluster erstellt wurde und ordnungsgemäß funktioniert, können Sie beginnen, verschiedene Gruppen- und Cluster-Änderungen vorzunehmen, und sehen, wie sie für jede Appliance gelten.
Zugehörige Informationen