계정이 있습니까?

  •   맞춤형 콘텐츠
  •   제품 및 지원

계정이 필요하십니까?

계정 만들기

ESA 클러스터 요구 사항 및 설정

다운로드 옵션

  • PDF     (156.4 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (81.2 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (73.3 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2020년 10월 28일 (수)
문서 ID:200885
번역에 관하여

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 클러스터의 기본 사항, 요구 사항 및 Cisco ESA(Email Security Appliance)에서 클러스터를 설정하는 방법에 대해 설명합니다.

      

    문제

    대규모 ESA 그룹 간의 컨피그레이션을 중앙 집중화하고 모든 컨피그레이션을 동기화해야 사소한 또는 주요 수정이 수행될 때마다 어플라이언스를 하나씩 변경해야 하는 문제를 방지할 수 있습니다.

    ESA의 클러스터란 무엇입니까?

    ESA 중앙 집중식 관리 기능을 사용하면 여러 어플라이언스를 동시에 관리 및 구성할 수 있으며, 네트워크 내에서 향상된 신뢰성, 유연성 및 확장성을 제공하여 로컬 정책을 준수하는 동시에 전 세계적으로 관리할 수 있습니다. 

    클러스터는 공통 컨피그레이션 정보가 있는 시스템 집합으로 구성됩니다.  각 클러스터 내에서 어플라이언스를 시스템 그룹으로 더 세분화할 수 있습니다. 여기서 단일 시스템은 한 번에 하나의 그룹에만 속할 수 있습니다. 

    클러스터는 P2P(peer-to-peer) 아키텍처에서 구현되며 기본/보조 관계는 없습니다.  모든 시스템에 로그인하여 전체 클러스터 또는 그룹을 제어하고 관리할 수 있습니다.  이를 통해 관리자는 자신의 논리적 그룹화를 기반으로 클러스터 전체, 그룹 전체 또는 시스템 단위로 시스템의 여러 요소를 구성할 수 있습니다

    요구 사항

    먼저 어플라이언스를 클러스터(중앙 집중식 관리)에 조인하는 기능을 사용하여 다음을 충족해야 합니다.

    • 모든 ESA에는 동일한 AsyncOS 버전이 있어야 합니다(개정까지).

    참고:버전 8.5 이상에서는 중앙 관리 키가 더 이상 필요하지 않으며, AsyncOS에 통합된 기능이므로 이 키를 추가하면 더 이상 표시되지 않습니다.

    • 포트 22를 사용하도록 클러스터를 만드는 경우(구성이 더 쉬움) 포트 22 트래픽의 어플라이언스 간에 방화벽 또는 라우팅 문제가 없는지 확인합니다.
    • 포트 2222(Cluster Communication Service)를 사용하도록 클러스터를 만드는 경우 검사 또는 중단 없이 이 포트의 트래픽을 사용할 수 있도록 방화벽 규칙이 설정되었는지 확인합니다.
    • 클러스터 컨피그레이션 옵션은 ESA의 CLI를 통해 수행해야 하며 GUI에서 생성하거나 조인할 수 없습니다.
    • 통신에 호스트 이름을 사용하도록 선택한 경우 어플라이언스에 설정된 DNS 서버가 네트워크의 다른 모든 어플라이언스를 확인할 수 있고, 호스트 이름이 확인하도록 구성된 IP 주소가 선택한 통신 포트에서 수신하도록 구성된 인터페이스에 할당되었는지 확인합니다.
    • 어플라이언스의 인터페이스에서 필수 포트 및 서비스가 활성화되었는지 확인합니다(SSH 또는 CCS).

    클러스터 생성

    모든 요구 사항이 충족되면 클러스터를 생성하려면 첫 번째 어플라이언스의 CLI(Command Line)에서 시작해야 합니다.

    : 클러스터를 구성하기 전에 어플라이언스에서 현재 컨피그레이션을 백업합니다. GUI에서 System Administration(시스템 관리) > Configuration File(컨피그레이션 파일). 마스킹된 비밀번호 상자를 선택 취소하고 컨피그레이션을 PC에 로컬로 저장합니다.

    SSH를 통해 클러스터 생성

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> NameOfCluster

Should all machines in the cluster communicate with each other by hostname or
by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 1.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C370.lab using IP address
1.1.1.1 port 22. You can change this by using the COMMUNICATION subcommand
of the clusterconfig command.
New cluster committed: DATE
Creating a cluster takes effect immediately, there is no need to commit.

Cluster NameOfCluster

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.

    CCS를 통해 클러스터 생성

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> Test

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 1.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 2

Enter the IP address for Machine C370.lab.
[]> 1.1.1.1

Enter the port (on 10.66.71.120) for Machine C370.lab.
[22]> 2222

    이 단계를 완료하면 클러스터가 생성되고 모든 컨피그레이션이 시스템에서 클러스터 레벨로 이동됩니다. 이 구성은 다른 모든 시스템이 가입 시 상속되는 구성입니다. 

    SSH 또는 CCS를 통해 기존 클러스터 조인

    이 섹션에서는 방금 생성했거나 이전에 생성한 기존 클러스터에 새 어플라이언스를 추가하는 방법에 대해 설명합니다. 두 방법 중 하나로 기존 클러스터를 결합하는 방법은 비슷하지만, CCS의 유일한 차이점은 클러스터가 새로운 어플라이언스를 수락할 수 있도록 마무리하기 위한 추가 단계가 필요하다는 것입니다.

    SSH를 통해 참가

    참고: 아래 단계에서 굵게 표시된 섹션은 SSH를 사용하므로 CCS 활성화에는 "Y"라고 하지 않아야 합니다.

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on C370.lab? [N]>

Enter the IP address of a machine in the cluster.
[]> 10.66.71.120

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Enter the name of an administrator present on the remote machine
[admin]>

Enter password:
Please verify the SSH host key for 10.66.71.120:
Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef
Is this a valid key for this host? [Y]>

    이 검사가 완료되면 어플라이언스가 클러스터에 성공적으로 가입합니다.

    CCS를 통해 참가

    이는 접근 방식과 비슷하며, 유일한 차이점은 새 어플라이언스를 기존 클러스터에 허용하도록 결정하기 전에 클러스터에서 활성 상태인 어플라이언스에 로그인해야 한다는 것입니다.

    클러스터의 활성 어플라이언스에서 다음을 수행합니다.

    (Cluster test)> clusterconfig

Cluster test

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:
- NEW - Add a new host that will join the cluster.
[]> new

Enter the hostname of the system you want to add.
[]> ESA.lab

Enter the serial number of the host ESA.lab.
[]> XXXXXXXXXXXXXX-XXXXXA

Enter the user key of the host ESA2.lab.  This can be obtained by typing "clusterconfig prepjoin print" in the CLI on ESA.lab.
Press enter on a blank line to finish.


    위에 클러스터에 참가하려고 시도하는 어플라이언스에 로그인하고 clusterconfig prepjoin print 명령을 사용하여 얻은 SSH 핑거프린트를 입력하고 빈 줄을 입력하면 준비 조인이 완료됩니다.

    참고:PREPJOIN 옵션을 실행하는 경우 보조 ESA에서 clusterconfig를 실행하고 해당 어플라이언스를 새로 구성된 클러스터에 연결하기 전에 기본 ESA에 변경 사항을 커밋해야 합니다.  이는 작업 중 출력에서 표시됩니다."사전 공유 키를 사용하여 이 어플라이언스를 클러스터에 추가하려면 클러스터 시스템에 로그인하고 clusterconfig > prepjoin > new 명령을 실행하고 다음 세부 정보를 입력하고 변경 사항을 커밋합니다."


    그런 다음 가입하려는 어플라이언스에서 가입 프로세스를 시작할 수 있습니다. 이 참조를 위해 이를 "ESA2.lab"이라고 부르겠습니다.

    참고:아래 예시의 SSH-DSS 키

    ESA2.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 4

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  These settings on this machine will remain intact.
In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added.  On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit.
Host: ESA2.lab
Serial Number: XXXXXXXXXXXX-XXXXXA
User Key:
ssh-dss AAAAB3NzaC1kc3.......BrccM=

Choose the interface on which to enable the Cluster Communication Service:
1. ClusterInterface (1.1.1.2/24: ESA2.lab)
[1]> 1

Enter the port on which to enable the Cluster Communication Service:
[2222]

Enter the IP address of a machine in the cluster.
[]> 1.1.1.1

Enter the remote port to connect to.  This must be the CCS port on the machine "1.1.1.1", not the normal admin ssh port.
[2222]>

    이것이 확인되면 SSH-DSS 키가 조건에 일치하면 클러스터에 성공적으로 가입됩니다.

    클러스터 구성에서 마이그레이션된 항목

    클러스터는 구성된 모든 정책 설정, 콘텐츠 필터, 텍스트 리소스, 콘텐츠 사전, LDAP 설정, 안티스팸 및 안티바이러스 전역 설정, 리스너 설정, SMTP 경로 설정, DNS 설정을 가져옵니다.

    클러스터 컨피그레이션에서 마이그레이션되지 않은 항목

    • 어플라이언스 로컬 호스트 이름.
    • 구성된 IP 인터페이스.
    • 구성된 라우팅 테이블
    • 로컬 스팸 쿼런틴 구성.
    • 로컬 정책, 바이러스 및 Outbreak 격리 컨피그레이션
    • 명령줄의 websecurityadvancedconfig 명령 아래의 설정(버전 8.5 이상) 

    참고: 존재하지 않는 격리를 참조하는 콘텐츠 필터가 있는 경우 참조된 정책 격리가 시스템에 구성될 때까지 해당 필터는 무효화됩니다.

    ESA 클러스터에서 그룹 구성 방법

    특정 시나리오에서는 클러스터의 ESA가 나머지 ESA보다 특정 방식으로 작동해야 하는 경우가 있습니다.이를 위해 새 클러스터를 만드는 대신 그룹 생성을 진행할 수 있습니다.

    참고:그룹 수준에서 구성된 컨피그레이션은 클러스터 레벨 컨피그레이션보다 우선합니다.

    그룹을 생성하려면 ESA의 CLI에서 생성할 수 있습니다.구성을 시작하려면 clusterconfig —> ADDGROUP 명령을 사용합니다.

    (시스템 esalab.cisco.com)> clusterconfig

    이 명령은 "cluster" 모드로 제한됩니다.  "클러스터" 모드로 전환하시겠습니까?[Y]>

    클러스터 Cisco

    수행할 작업을 선택합니다.

    - ADDGROUP - 클러스터 그룹을 추가합니다.

    - SETGROUP - 시스템이 구성원으로 속한 그룹을 설정합니다.

    - RENAMEGROUP - 클러스터 그룹의 이름을 바꿉니다.

    - DELETEGROUP - 클러스터 그룹을 제거합니다.

    - REMOVEMACHINE - 클러스터에서 시스템을 제거합니다.

    - SETNAME - 클러스터 이름을 설정합니다.

    - LIST - 클러스터의 시스템을 나열합니다.

    - CONNSTATUS - 클러스터의 컴퓨터 간 연결 상태를 표시합니다.

    - 통신 - 클러스터 내에서 시스템이 통신하는 방법을 구성합니다.

    - DISCONNECT - 클러스터에서 시스템을 임시로 분리합니다.

    - RECONNECT - 이전에 분리된 시스템과의 연결을 복원합니다.

    - PREPJOIN - CCS를 통해 새 시스템 추가를 준비합니다.

    []> ADDGROUP

    생성할 새 클러스터 그룹의 이름을 입력합니다.

    []> 새 그룹

    클러스터 그룹 New_Group이 생성되었습니다.

    기존 클러스터에서 생성된 새 그룹에 ESA를 추가하려면 SETGROUP 명령을 사용합니다 

    (시스템 esalab.cisco.com)> clusterconfig

    이 명령은 "cluster" 모드로 제한됩니다.  "클러스터" 모드로 전환하시겠습니까?[Y]>

    클러스터 Cisco

    수행할 작업을 선택합니다.

    - ADDGROUP - 클러스터 그룹을 추가합니다.

    - SETGROUP - 시스템이 구성원으로 속한 그룹을 설정합니다.

    - RENAMEGROUP - 클러스터 그룹의 이름을 바꿉니다.

    - DELETEGROUP - 클러스터 그룹을 제거합니다.

    - REMOVEMACHINE - 클러스터에서 시스템을 제거합니다.

    - SETNAME - 클러스터 이름을 설정합니다.

    - LIST - 클러스터의 시스템을 나열합니다.

    - CONNSTATUS - 클러스터의 컴퓨터 간 연결 상태를 표시합니다.

    - 통신 - 클러스터 내에서 시스템이 통신하는 방법을 구성합니다.

    - DISCONNECT - 클러스터에서 시스템을 임시로 분리합니다.

    - RECONNECT - 이전에 분리된 시스템과의 연결을 복원합니다.

    - PREPJOIN - CCS를 통해 새 시스템 추가를 준비합니다.

    []> SETGROUP

    다른 그룹으로 이동할 컴퓨터를 선택합니다.  여러 대의 시스템을 쉼표로 구분합니다.

    1.esalab.cisco.com(그룹 ESA_Group)

    [1]> 1

    esalab.cisco.com이 구성원으로 포함되어야 하는 그룹을 선택합니다.

    1. ESA_그룹

    2. 신규_그룹

    [1]> 2

    esalab.cisco.com이 그룹 New_Group으로 설정되었습니다.

    ESA 클러스터에서 이미 생성된 그룹의 이름을 바꾸려면 RENAMEGROUP 명령을 사용합니다

    (시스템 esalab.cisco.com)> clusterconfig

    이 명령은 "cluster" 모드로 제한됩니다.  "클러스터" 모드로 전환하시겠습니까?[Y]>

    클러스터 Cisco

    수행할 작업을 선택합니다.

    - ADDGROUP - 클러스터 그룹을 추가합니다.

    - SETGROUP - 시스템이 구성원으로 속한 그룹을 설정합니다.

    - RENAMEGROUP - 클러스터 그룹의 이름을 바꿉니다.

    - DELETEGROUP - 클러스터 그룹을 제거합니다.

    - REMOVEMACHINE - 클러스터에서 시스템을 제거합니다.

    - SETNAME - 클러스터 이름을 설정합니다.

    - LIST - 클러스터의 시스템을 나열합니다.

    - CONNSTATUS - 클러스터의 컴퓨터 간 연결 상태를 표시합니다.

    - 통신 - 클러스터 내에서 시스템이 통신하는 방법을 구성합니다.

    - DISCONNECT - 클러스터에서 시스템을 임시로 분리합니다.

    - RECONNECT - 이전에 분리된 시스템과의 연결을 복원합니다.

    - PREPJOIN - CCS를 통해 새 시스템 추가를 준비합니다.

    []> RENAMEGROUP

    이름을 바꿀 그룹을 선택합니다.

    1. ESA_그룹

    2. 신규_그룹

    [1]> 2

    그룹의 새 이름을 입력합니다.

    [New_Group]> Cluster_Group

    Group New_Group의 이름이 Cluster_Group으로 바뀌었습니다.

    마지막으로, ESA 클러스터에서 기존 그룹을 삭제하는 경우 DELETEGROUP 명령을 사용합니다

    (시스템 esalab.cisco.com)> clusterconfig

    이 명령은 "cluster" 모드로 제한됩니다.  "클러스터" 모드로 전환하시겠습니까?[Y]>

    클러스터 Cisco

    수행할 작업을 선택합니다.

    - ADDGROUP - 클러스터 그룹을 추가합니다.

    - SETGROUP - 시스템이 구성원으로 속한 그룹을 설정합니다.

    - RENAMEGROUP - 클러스터 그룹의 이름을 바꿉니다.

    - DELETEGROUP - 클러스터 그룹을 제거합니다.

    - REMOVEMACHINE - 클러스터에서 시스템을 제거합니다.

    - SETNAME - 클러스터 이름을 설정합니다.

    - LIST - 클러스터의 시스템을 나열합니다.

    - CONNSTATUS - 클러스터의 컴퓨터 간 연결 상태를 표시합니다.

    - 통신 - 클러스터 내에서 시스템이 통신하는 방법을 구성합니다.

    - DISCONNECT - 클러스터에서 시스템을 임시로 분리합니다.

    - RECONNECT - 이전에 분리된 시스템과의 연결을 복원합니다.

    - PREPJOIN - CCS를 통해 새 시스템 추가를 준비합니다.

    []> DELETEGROUP

    제거할 그룹을 선택합니다.

    1. Cluster_Group

    2. ESA_그룹

    [1]> 1

    Cluster_Group의 시스템을 이동할 그룹을 선택합니다.

    1. ESA_그룹

    [1]> 1

    그룹 Cluster_Group이 제거되었습니다.

    참고:Cluster에서 시스템을 추가/제거하면 커밋 없이 변경 사항이 어플라이언스에 즉시 적용됩니다.반면 ESA 그룹의 경우 ESA와 관련된 모든 작업은 커밋 후에만 ESA에 적용됩니다. 

    TAC Authored

    Cisco 엔지니어가 작성

    • Matthew Huynh
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품

    시스코 소개
    문의하기
    시스코와 협력하기