Was ist die zentrale Verwaltung, und wie kann ein zentralisiertes Management-Cluster erstellt werden?

Download-Optionen

  • PDF     (88.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (93.1 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (78.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:14. Oktober 2014
Dokument-ID:118503

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

In diesem Dokument wird beschrieben, wofür die zentrale Verwaltung auf der E-Mail Security Appliance (ESA) steht und wie ein zentralisiertes Management-Cluster erstellt werden kann.

Was ist die zentrale Verwaltung, und wie kann ein zentralisiertes Management-Cluster erstellt werden?

Hintergrund

Die Funktion für die zentrale Verwaltung ermöglicht die gleichzeitige Verwaltung und Konfiguration mehrerer Appliances, um eine höhere Zuverlässigkeit, Flexibilität und Skalierbarkeit innerhalb Ihres Netzwerks zu ermöglichen. So können Sie globale Verwaltungen durchführen und gleichzeitig die lokalen Richtlinien einhalten. Ein Cluster besteht aus einem Satz von Computern mit allgemeinen Konfigurationsinformationen. Innerhalb jedes Clusters können die Appliances weiter in Maschinengruppen unterteilt werden, wobei ein einzelner Rechner jeweils nur einer Gruppe angehören kann. Cluster werden in einer Peer-to-Peer-Architektur implementiert - ohne Master/Slave-Beziehung. Sie können sich bei jedem Computer anmelden, um den gesamten Cluster oder die gesamte Gruppe zu steuern und zu verwalten. Dadurch kann der Administrator verschiedene Systemelemente auf Cluster-weiter, gruppenweiter oder pro Computer konfigurieren, die auf eigenen logischen Gruppierungen basieren.

Zu berücksichtigende Anforderungen

  • Alle Computer müssen über IP-Verbindungen verfügen.
  • Wenn Sie Hostnamen verwenden, vergewissern Sie sich, dass alle Einträge korrekt aufgelöst werden - mit der Vorwärts-"A"- und Rückwärtsbewegung der "PTR"-DNS-Datensätze.
  • Es muss eine Verbindung entweder über den TCP-Port 22 SSH oder den 222 Cluster Communication Service (CCS) oder den von Ihnen gewählten benutzerdefinierten Port bestehen.
  • Alle Appliances müssen dieselbe AsyncOS-Version haben und derselben Produktfamilie angehören (HINWEIS: Geräte der Serien C und X sind interoperabel).
  • Alle Appliances müssen außerdem über den Feature-Schlüssel "Zentrales Management" unter Version 8.x verfügen.
  • Sie benötigen Zugriff auf die Befehlszeile, da das Cluster-Verwaltungstool "clusterconfig" in der GUI nicht verfügbar ist.

Beachten Sie, dass viele Einstellungen für einzelne Computer oder Maschinengruppen geändert werden können, um verschiedene Einstellungen zu überschreiben. Die Reihenfolge, in der geclusterte Appliances ihre Einstellungen erben, ist wie folgt: 1) MASCHINE 2) GRUPPE 3) CLUSTER. Einige Einstellungen wie Hostnamen und IP-Schnittstellen sind jedoch nur auf Computerebene verfügbar und nicht auf andere Cluster-Member repliziert.

Beachten Sie, dass die Clustering-Funktion nur für Konfigurationsmanagementzwecke verwendet wird. Der E-Mail-Verkehr zwischen verschiedenen Mitgliedern wird dabei nicht automatisch priorisiert oder geplant. Hierzu müssen identische DNS-Record Pre-Zäences (MX), ein separates Load Balancing-Gerät oder ein anderer externer Mechanismus verwendet werden.

Lösung

Um mit einem neuen Cluster zu beginnen, sollten Sie eine Appliance auswählen, die bereits vollständig als eigenständige Maschine implementiert wurde. Dieser Computer sollte vollständig mit allen gewünschten Funktionen konfiguriert sein, z. B. Host-/Empfänger-Zugriffstabellen (HAT/RAT), Mail-Flow-Richtlinien, Content-Filter usw. Dies ist ein Bezugspunkt, über den Sie den Cluster bilden können. 

Vorsichtsmaßnahmen

  1. Überprüfen Sie, ob alle Computer über die richtige IP-Adresse und den richtigen Hostnamen verfügen.
  2. Stellen Sie die Verbindung zu allen Appliances am gewünschten Port für die Gerätekommunikation sicher (mithilfe des Befehls 'telnet').
  3. Vergewissern Sie sich, dass der von Ihnen gewählte Service (SSH, CCS oder benutzerdefinierter Port) auf der Schnittstelle dieses Rechners mit "ifconfig > edit" aktiviert wurde.
  4. Erstellen Sie eine Konfigurationssicherung (mit nicht maskierten Passwörtern), bevor Sie zum Beispiel 'mailconfig' oder 'saveconfig' verwenden.

Als Nächstes können Sie sowohl die Cluster- als auch die Computergruppen mit dem Befehl clusterconfig erstellen und einer oder mehreren zusätzlichen Appliances hinzufügen:

Konfiguration

  1. Beginnen Sie mit der Konfigurationssequenz der Cluster-Konfiguration, und geben Sie einen Namen für das neue Cluster an:
    • clusterconfig > Neuen Cluster erstellen
  2. Definieren Sie die IP-Kommunikationsparameter, und wählen Sie entweder die Auflösung von IP-Adressen oder Hostnamen aus.

    Hinweis: An diesem Punkt kann die Erstellung des Clusters einige Sekunden dauern, und die Änderungen werden automatisch übernommen.

  3. Hier können Sie eine neue Gruppe erstellen, bevor Sie dem neuen Cluster Computer hinzufügen. Wenn Sie einen neuen Cluster erstellen, wird automatisch eine Standardgruppe mit dem Namen Main_Group erstellt. Sie können diesen jedoch umbenennen oder mithilfe der folgenden Befehle zusätzliche Gruppen erstellen:

    • clusterconfig > umgruppieren
    • clusterconfig > addgroup
  4. Fügen Sie dem Cluster und der Gruppe neue Computer hinzu. Diese Schritte sind auf allen verbleibenden Rechnern durchzuführen, die noch nicht zu Cluster-Membern gemacht wurden und bei Bedarf wiederholt werden können. Der Prozess kann je nach zuvor gewähltem Kommunikationsprotokoll leicht unterschiedlich sein.

    • clusterconfig > Einem vorhandenen Cluster über SSH beitreten
      1. Sie werden aufgefordert, den Cluster Communication Service zu starten, den wir ignorieren können, da wir dieses Protokoll nicht verwenden.
      2. Geben Sie die IP-Adresse eines vorhandenen Clustercomputers ein. Dabei kann es sich um einen beliebigen Cluster-Computer handeln, auf den jedoch unabhängig von Ihren Kommunikationspräferenzen über IP verwiesen werden muss.
      3. Wählen Sie den Port für die SSH-Kommunikation wie bei der Clustererstellung definiert aus.
      4. Geben Sie das Kennwort für das 'admin'-Konto auf den vorhandenen Cluster-Computern ein. Der öffentliche Schlüssel für diesen Host wird Ihnen zur Bestätigung angezeigt. Sie können dies mit den folgenden Befehlen auf jeder Appliance im Cluster überprüfen:
            logconfig > hostkeyconfig > fingerprint

      Hinweis: Eine weitere Verzögerung tritt ein, während der neue Teilnehmer die Cluster-Konfiguration automatisch abruft und anwendet.

    • clusterconfig > einem vorhandenen Cluster über CCS beitreten:
      1. Um einem Cluster über CCS beizutreten, müssen Sie sich zuerst bei einem Cluster anmelden und ihm mitteilen, dass dieses System hinzugefügt wird.  Auf jedem Computer im Cluster wird Folgendes ausgeführt:
             clusterconfig > prepjoin > new
      2. Kopieren Sie den Hostnamen, die Seriennummer und die SSH-Schlüsselinformationen, um sie in die oben angegebene Eingabeaufforderung zum 'Prejoin' auf dem vorhandenen Cluster-Mitglied einzufügen. Drücken Sie zweimal <RÜCKGABE>, um zur Hauptaufforderung zu gelangen, und führen Sie dann 'commit' aus, um die Änderungen zu übernehmen. Der 'Commit' ist zu diesem Zeitpunkt sehr wichtig, da ansonsten die neue Appliance einen Authentifizierungsfehler erhält.
      3. Sie werden aufgefordert, den Cluster Communication Service zu starten, der einen neuen Dienst über den TCP-Port 2222 an der gewünschten Schnittstelle öffnet.
      4. Geben Sie die IP-Adresse eines vorhandenen Clustercomputers ein. Dabei kann es sich um einen beliebigen Cluster-Computer handeln, auf den jedoch unabhängig von Ihren Kommunikationspräferenzen über IP verwiesen werden muss.
      5. Wählen Sie den Port für die CCS-Verwendung wie bei der Clustererstellung definiert aus.
      6. Ihnen wird der öffentliche Schlüssel für diesen Host zur Bestätigung angezeigt. Sie können dies mit den folgenden Befehlen auf jeder Appliance im Cluster überprüfen:

              logconfig > hostkeyconfig > fingerprint

        Hinweis: Eine weitere Verzögerung tritt ein, während der neue Teilnehmer die Cluster-Konfiguration automatisch abruft und anwendet.

  5. Verwenden Sie Ausgaben wie 'status' und Ihren 'System Overview'-Bericht, um zu überprüfen, ob der gesamte E-Mail-Fluss und der Systembetrieb intakt sind, bevor Sie eine weitere Konfigurationssicherung durchführen. Wenn an irgendeinem Punkt etwas nicht richtig scheint, verwenden Sie einfach 'clusterconfig > removemachine', um das Gerät aus dem Cluster zu entfernen und auf die Einstellungen auf Computerebene zurückzukehren.

    Hinweis: Das Entfernen des Endgeräts aus einem Cluster unterscheidet sich nicht von dem Entfernen von Computern im Allgemeinen, und der Cluster wird somit komplett eliminiert.

Nachdem der Cluster erstellt wurde und ordnungsgemäß funktioniert, können Sie beginnen, verschiedene Gruppen- und Cluster-Änderungen vorzunehmen, und sehen, wie sie für jede Appliance gelten.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
14-Oct-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Andrew Wurster and Enrico Werner
    Cisco TAC Engineers.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.