ESA-Cluster-Anforderungen und Einrichtung

Einführung

Dieses Dokument beschreibt die Grundlagen eines Clusters, die Anforderungen und die Einrichtung eines Clusters auf einer Cisco E-Mail Security Appliance (ESA).

  

Problem

Häufig muss die Konfiguration zwischen einer großen Gruppe von ESAs zentralisiert und alle synchronisiert werden, um zu vermeiden, dass die Konfiguration jedes einzelnen Geräts geändert werden muss, wenn geringfügige oder größere Änderungen vorgenommen werden.

Was ist ein Cluster auf der ESA?

Die zentrale Verwaltungsfunktion der ESA ermöglicht die gleichzeitige Verwaltung und Konfiguration mehrerer Appliances, um eine höhere Zuverlässigkeit, Flexibilität und Skalierbarkeit innerhalb Ihres Netzwerks zu ermöglichen. So können Sie globale Verwaltungen durchführen und gleichzeitig die lokalen Richtlinien einhalten. 

Ein Cluster besteht aus einem Satz von Computern mit allgemeinen Konfigurationsinformationen.  Innerhalb jedes Clusters können die Appliances weiter in Maschinengruppen unterteilt werden, wobei ein einzelner Rechner jeweils nur einer Gruppe angehören kann. 

Cluster werden in einer Peer-to-Peer-Architektur implementiert - ohne primäre/sekundäre Beziehung.  Sie können sich bei jedem Computer anmelden, um den gesamten Cluster oder die gesamte Gruppe zu steuern und zu verwalten.  Dadurch kann der Administrator die verschiedenen Systemelemente auf Cluster-Ebene, gruppenweit oder pro Computer konfigurieren, basierend auf den eigenen logischen Gruppierungen

Anforderungen

Um zu beginnen, müssen Sie sicherstellen, dass folgende Elemente erfüllt sind, wenn Sie Appliances einem Cluster (zentrales Management) hinzufügen können:

• Alle ESAs MÜSSEN dieselben AsyncOS-Versionen (bis zur Revision) aufweisen.

Hinweis: In Version 8.5+ ist der Schlüssel für die zentrale Verwaltung nicht mehr erforderlich und wird beim Hinzufügen nicht mehr sichtbar, da er eine integrierte Funktion in AsyncOS ist.

• Wenn Sie einen Cluster für die Verwendung von Port 22 erstellen (einfacher zu konfigurieren), stellen Sie sicher, dass es keine Firewall- oder Routing-Probleme zwischen den Appliances auf Port 22-Datenverkehr gibt.
• Wenn Sie einen Cluster erstellen, der Port 222 (Cluster Communication Service) verwendet, stellen Sie sicher, dass Firewall-Regeln festgelegt werden, damit der Datenverkehr an diesem Port ohne Überprüfung oder Unterbrechung verfügbar ist.
• Cluster-Konfigurationsoptionen müssen über die CLI auf der ESA ausgeführt werden und können nicht in der GUI erstellt oder hinzugefügt werden.
• Wenn Sie Hostnamen für die Kommunikation verwenden, stellen Sie sicher, dass die auf den Appliances eingerichteten DNS-Server alle anderen Appliances in Ihrem Netzwerk auflösen können und dass die IP-Adressen, die die Hostnamen auflösen, einer Schnittstelle zugewiesen sind, die so konfiguriert ist, dass sie den ausgewählten Kommunikations-Port überwachen.
• Stellen Sie sicher, dass auf den Schnittstellen Ihrer Appliance der erforderliche Port und Service aktiviert ist (SSH oder CCS).

Erstellen des Clusters

Wenn alle Anforderungen erfüllt sind, müssen Sie zum Erstellen des Clusters in der Befehlszeile (CLI) der ersten Appliance beginnen.

Tipp: Sichern Sie die aktuelle Konfiguration auf Ihrer Appliance, bevor Sie den Cluster konfigurieren.  In der GUI Systemverwaltung > Konfigurationsdatei.  Deaktivieren Sie das Kontrollkästchen maskiertes Kennwort, und speichern Sie die Konfiguration lokal auf Ihrem PC.

Erstellen von Cluster über SSH

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> NameOfCluster

Should all machines in the cluster communicate with each other by hostname or
by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 1.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C370.lab using IP address
1.1.1.1 port 22. You can change this by using the COMMUNICATION subcommand
of the clusterconfig command.
New cluster committed: DATE
Creating a cluster takes effect immediately, there is no need to commit.

Cluster NameOfCluster

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.

Erstellen von Cluster über CCS

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> Test

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 1.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 2

Enter the IP address for Machine C370.lab.
[]> 1.1.1.1

Enter the port (on 10.66.71.120) for Machine C370.lab.
[22]> 2222

Sobald dieser Schritt abgeschlossen ist, wird ein Cluster erstellt und alle Ihre Konfigurationen werden von der Ebene Computer auf Cluster verschoben.  Dies ist die Konfiguration, die alle anderen Computer beim Beitritt übernehmen. 

Einem vorhandenen Cluster über SSH oder CCS beitreten

Dieser Abschnitt behandelt das Hinzufügen neuer Appliances zum bestehenden Cluster, das Sie gerade erstellt oder zuvor erstellt haben.  Der Ansatz, einem vorhandenen Cluster nach einer der beiden Methoden beizutreten, ist ähnlich. Der einzige Hauptunterschied besteht darin, dass CCS einen zusätzlichen Schritt zum Abschluss erfordert, damit der Cluster die neuere Appliance akzeptieren kann.

Beitreten über SSH

Hinweis:  Der in den Schritten unten fett angegebene Abschnitt muss genau befolgt werden. Da SSH verwendet wird, sollten Sie bei der CCS-Aktivierung nicht "Y" angeben.

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on C370.lab? [N]>

Enter the IP address of a machine in the cluster.
[]> 10.66.71.120

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Enter the name of an administrator present on the remote machine
[admin]>

Enter password:
Please verify the SSH host key for 10.66.71.120:
Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef
Is this a valid key for this host? [Y]>

Sobald diese Prüfung abgeschlossen ist, wird die Appliance dem Cluster erfolgreich beitreten.

Beitreten über CCS

Dieser Ansatz ist ähnlich. Der einzige Unterschied besteht darin, dass Sie sich bei der Appliance anmelden müssen, die im Cluster aktiv ist, bevor Sie sich für die neue Appliance im vorhandenen Cluster entscheiden.

Auf der aktiven Appliance im Cluster:

(Cluster test)> clusterconfig

Cluster test

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:
- NEW - Add a new host that will join the cluster.
[]> new

Enter the hostname of the system you want to add.
[]> ESA.lab

Enter the serial number of the host ESA.lab.
[]> XXXXXXXXXXXXXX-XXXXXA

Enter the user key of the host ESA2.lab.  This can be obtained by typing "clusterconfig prepjoin print" in the CLI on ESA.lab.
Press enter on a blank line to finish.

Wenn Sie den SSH-Fingerabdruck eingeben (dieser wird durch die Anmeldung bei der Appliance abgerufen, die versucht, Ihrem Cluster beizutreten, und den Befehl clusterconfig prepjoin print in der obigen Datei verwendet), und eine leere Zeile eingeben, wird die Prep-Join-Datei abgeschlossen.

Hinweis: Wenn Sie die PREPJOIN-Option ausführen, müssen Sie Ihre Änderungen auf die primäre ESA übertragen, bevor Sie Cluster-Konfiguration auf der sekundären ESA ausführen und diese Appliance mit Ihrem neu konfigurierten Cluster verbinden.  Dies wird aus der Ausgabe während des Betriebs ersichtlich: "Melden Sie sich zum Verbinden dieser Appliance mit einem Cluster mithilfe von vorinstallierten Schlüsseln beim Cluster-Computer an, führen Sie den Befehl clusterconfig > prepjoin > new aus, geben Sie die folgenden Details ein, und bestätigen Sie Ihre Änderungen."

Anschließend können Sie den Verbindungsprozess auf der Appliance starten, die versucht, sich anzuschließen. Als Referenz wird hier "ESA2.lab" genannt, um dem oben beschriebenen Schritt zu entsprechen.

Hinweis: Der SSH-DSS-Schlüssel im folgenden Beispiel

ESA2.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 4

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  These settings on this machine will remain intact.
In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added.  On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit.
Host: ESA2.lab
Serial Number: XXXXXXXXXXXX-XXXXXA
User Key:
ssh-dss AAAAB3NzaC1kc3.......BrccM=

Choose the interface on which to enable the Cluster Communication Service:
1. ClusterInterface (1.1.1.2/24: ESA2.lab)
[1]> 1

Enter the port on which to enable the Cluster Communication Service:
[2222]

Enter the IP address of a machine in the cluster.
[]> 1.1.1.1

Enter the remote port to connect to.  This must be the CCS port on the machine "1.1.1.1", not the normal admin ssh port.
[2222]>

Sobald dies bestätigt ist, wird Ihnen der SSH-DSS-Schlüssel angezeigt. Wenn er mit den Bedingungen übereinstimmt, akzeptieren Sie die Bedingungen, und der Cluster wird erfolgreich hinzugefügt.

Was wird in einer Clusterkonfiguration migriert

Der Cluster bringt alle konfigurierten Richtlinieneinstellungen, Content-Filter, Textressourcen, Content-Dictionarys, LDAP-Einstellungen, globalen Anti-Spam- und Anti-Virus-Einstellungen, Listener-Einstellungen, SMTP-Routeneinstellungen, DNS-Einstellungen.

Was nicht in einer Clusterkonfiguration migriert wird

• Lokaler Hostname der Appliance.
• Konfigurierte IP-Schnittstellen.
• Konfigurierte Routing-Tabellen.
• Konfiguration der lokalen Spam-Quarantäne.
• Lokale Richtlinien-, Virus- und Outbreak-Quarantänekonfigurationen
• Einstellungen unter dem Befehl websecurityadvanced config in der Befehlszeile (für Versionen 8.5 und höher). 

Hinweis:  Wenn Content-Filter auf Quarantänebereiche verweisen, die nicht vorhanden sind, werden sie ungültig, bis die Richtlinienquarantäne, auf die verwiesen wird, auf dem Computer konfiguriert wurde.

Wie werden Gruppen in einem ESA-Cluster konfiguriert?

In bestimmten Szenarien kann es erforderlich sein, dass nur wenige ESAs im Cluster auf eine bestimmte Weise arbeiten als die anderen. Um dies zu erreichen, können wir statt eines neuen Clusters mit der Erstellung von Gruppen fortfahren.

Hinweis: Die Konfigurationen auf Gruppenebene haben Vorrang vor der Konfiguration auf Clusterebene.

Für die Erstellung von Gruppen können wir sie über die CLI der ESA erstellen. Um mit der Konfiguration zu beginnen, verwenden wir den Befehl clusterconfig —> ADDGROUP.

(Machine esalab.cisco.com)> clusterconfig

Dieser Befehl ist auf den Cluster-Modus beschränkt.  Möchten Sie in den Cluster-Modus wechseln? [J]>

Cluster Cisco

Wählen Sie den Vorgang aus, den Sie ausführen möchten:

- ADDGROUP - Cluster-Gruppe hinzufügen.

- SETGROUP - Legen Sie die Gruppe fest, der die Computer angehören.

- RENAMEGROUP - Cluster-Gruppe umbenennen.

- DELETEGROUP - Entfernen Sie eine Clustergruppe.

- ENTFERNEN - Entfernen Sie einen Rechner aus dem Cluster.

- SETNAME - Legen Sie den Cluster-Namen fest.

- LIST: Listen Sie die Computer im Cluster auf.

- CONNSTATUS - Zeigt den Status der Verbindungen zwischen Computern im Cluster an.

- KOMMUNIKATION - Konfigurieren Sie die Kommunikation von Computern innerhalb des Clusters.

- DISCONNECT - Trennt vorübergehend Rechner vom Cluster.

- RECONNECT - Stellen Sie Verbindungen mit zuvor getrennten Computern wieder her.

- VORBEREITUNG - Vorbereiten des Hinzufügens eines neuen Systems über CCS.

[]> ADDGROUP

Geben Sie den Namen der zu erstellenden neuen Clustergruppe ein.

[]> New_Group

Clustergruppe New_Group erstellt.

Um ESAs aus dem vorhandenen Cluster zur neu erstellten Gruppe hinzuzufügen, verwenden wir den Befehl SETGROUP 

(Machine esalab.cisco.com)> clusterconfig

Dieser Befehl ist auf den Cluster-Modus beschränkt.  Möchten Sie in den Cluster-Modus wechseln? [J]>

Cluster Cisco

Wählen Sie den Vorgang aus, den Sie ausführen möchten:

- ADDGROUP - Cluster-Gruppe hinzufügen.

- SETGROUP - Legen Sie die Gruppe fest, der die Computer angehören.

- RENAMEGROUP - Cluster-Gruppe umbenennen.

- DELETEGROUP - Entfernen Sie eine Clustergruppe.

- ENTFERNEN - Entfernen Sie einen Rechner aus dem Cluster.

- SETNAME - Legen Sie den Cluster-Namen fest.

- LIST: Listen Sie die Computer im Cluster auf.

- CONNSTATUS - Zeigt den Status der Verbindungen zwischen Computern im Cluster an.

- KOMMUNIKATION - Konfigurieren Sie die Kommunikation von Computern innerhalb des Clusters.

- DISCONNECT - Trennt vorübergehend Rechner vom Cluster.

- RECONNECT - Stellen Sie Verbindungen mit zuvor getrennten Computern wieder her.

- VORBEREITUNG - Vorbereiten des Hinzufügens eines neuen Systems über CCS.

[]> SETGROUP

Wählen Sie den Computer aus, um zu einer anderen Gruppe zu wechseln.  Trennen Sie mehrere Computer durch Kommas.

1. esalab.cisco.com (Gruppe ESA_Gruppe)

[1]> 1

Wählen Sie die Gruppe aus, der esalab.cisco.com angehören soll.

1. ESA_Gruppe

2. Neue_Gruppe

[1]> 2

esalab.cisco.com ist auf "New_Group" (Neue Gruppe) eingestellt.

Zum Umbenennen einer bereits erstellten Gruppe im ESA-Cluster verwenden wir den Befehl RENAMEGROUP

(Machine esalab.cisco.com)> clusterconfig

Dieser Befehl ist auf den Cluster-Modus beschränkt.  Möchten Sie in den Cluster-Modus wechseln? [J]>

Cluster Cisco

Wählen Sie den Vorgang aus, den Sie ausführen möchten:

- ADDGROUP - Cluster-Gruppe hinzufügen.

- SETGROUP - Legen Sie die Gruppe fest, der die Computer angehören.

- RENAMEGROUP - Cluster-Gruppe umbenennen.

- DELETEGROUP - Entfernen Sie eine Clustergruppe.

- ENTFERNEN - Entfernen Sie einen Rechner aus dem Cluster.

- SETNAME - Legen Sie den Cluster-Namen fest.

- LIST: Listen Sie die Computer im Cluster auf.

- CONNSTATUS - Zeigt den Status der Verbindungen zwischen Computern im Cluster an.

- KOMMUNIKATION - Konfigurieren Sie die Kommunikation von Computern innerhalb des Clusters.

- DISCONNECT - Trennt vorübergehend Rechner vom Cluster.

- RECONNECT - Stellen Sie Verbindungen mit zuvor getrennten Computern wieder her.

- VORBEREITUNG - Vorbereiten des Hinzufügens eines neuen Systems über CCS.

[]> RENAMEGROUP

Wählen Sie die Gruppe aus, die umbenannt werden soll.

1. ESA_Gruppe

2. Neue_Gruppe

[1]> 2

Geben Sie den neuen Namen der Gruppe ein.

[New_Group]> Cluster_Group

Gruppe New_Group umbenannt in Cluster_Group.

Zum Löschen einer vorhandenen Gruppe aus dem ESA-Cluster verwenden wir schließlich den Befehl DELETEGROUP.

(Machine esalab.cisco.com)> clusterconfig

Dieser Befehl ist auf den Cluster-Modus beschränkt.  Möchten Sie in den Cluster-Modus wechseln? [J]>

Cluster Cisco

Wählen Sie den Vorgang aus, den Sie ausführen möchten:

- ADDGROUP - Cluster-Gruppe hinzufügen.

- SETGROUP - Legen Sie die Gruppe fest, der die Computer angehören.

- RENAMEGROUP - Cluster-Gruppe umbenennen.

- DELETEGROUP - Entfernen Sie eine Clustergruppe.

- ENTFERNEN - Entfernen Sie einen Rechner aus dem Cluster.

- SETNAME - Legen Sie den Cluster-Namen fest.

- LIST: Listen Sie die Computer im Cluster auf.

- CONNSTATUS - Zeigt den Status der Verbindungen zwischen Computern im Cluster an.

- KOMMUNIKATION - Konfigurieren Sie die Kommunikation von Computern innerhalb des Clusters.

- DISCONNECT - Trennt vorübergehend Rechner vom Cluster.

- RECONNECT - Stellen Sie Verbindungen mit zuvor getrennten Computern wieder her.

- VORBEREITUNG - Vorbereiten des Hinzufügens eines neuen Systems über CCS.

[]> DELETEGROUP

Wählen Sie die Gruppe aus, die Sie entfernen möchten.

1. Cluster_Gruppe

2. ESA_Gruppe

[1]> 1

Wählen Sie die Gruppe aus, in die Computer in Cluster_Group verschoben werden sollen.

1. ESA_Gruppe

[1]> 1

Gruppe Cluster_Gruppe entfernt.

HINWEIS: Wenn wir Computer im Cluster hinzufügen/entfernen, gelten die Änderungen sofort für die Appliances ohne Bestätigung. Im Falle von ESA-Gruppen werden alle damit zusammenhängenden Maßnahmen erst nach einer Bestätigung auf die ESAs angewendet.