Management Center 고가용성 정보
운영의 연속성을 보장하려면 고가용성 기능을 사용하여 디바이스 관리를 위한 이중 management center를 지정할 수 있습니다. management center는 하나의 어플라이언스가 액티브 유닛이며 디바이스를 관리하는 액티브/스탠바이 고가용성을 지원합니다. 스탠바이 유닛은 디바이스를 활동적으로 관리하지 않습니다. 액티브 유닛은 구성 데이터를 데이터 저장소로 기록하고 두 유닛 모두에 대해 데이터를 복제하며 필요한 경우 동기화를 사용하여 스탠바이 유닛과 정보를 공유합니다.
Active/Standby(액티브/스탠바이) 고가용성을 사용하면 보조 management center을 구성하고 장애가 발생한 경우 기본 management center의 기능을 대체합니다. 기본 management center에 장애가 발생하는 경우 보조 management center을 승격하여 액티브 유닛으로 만들 수 있습니다.
이벤트 데이터는 매니지드 디바이스에서 고가용성 쌍에 있는 management center 모두로 흐릅니다. 한 management center가 실패하면 다른 management center를 사용하여 중단 없이 네트워크를 모니터링할 수 있습니다.
참고로 고가용성 쌍으로 구성된 management center는 신뢰할 수 있는 동일한 관리 네트워크에 있어야 할 필요가 없으며 동일한 지리적 위치에 있어야 할 필요도 없습니다.
 경고 |
시스템이 일부 기능을 액티브 management center로 제한하므로 해당 어플라이언스가 실패하면 스탠바이 management center를 액티브로 승격해야 합니다. |
 참고 |
변경 구축에 성공한 직후 management center에서 전환을 트리거하면 새 액티브 management center에서 미리보기 구성이 작동하지 않을 수 있습니다. 이는 정책 구축 기능에 영향을 주지 않습니다. 필요한 동기화가 완료된 후 management center에서 전환을 트리거하는 것이 좋습니다. 마찬가지로,management center HA 동기화 상태가 저하된 상태에서 전환을 트리거하거나 역할을 변경하면 management centerHA가 데이터베이스를 손상시키고 심각한 상황을 초래할 수 있습니다. 이 문제를 해결하기 위해 추가 지원이 필요하면 Cisco TAC(Technical Assistance Center)에 즉시 문의하는 것이 좋습니다. 이 HA 동기화는 여러 가지 이유로 성능이 저하된 상태로 끝날 수 있습니다. 이 장의 고가용성 쌍의 Management Center 교체 섹션에서는 일부 실패 시나리오와 문제를 해결하는 후속 절차를 다룹니다. 성능 저하의 이유 또는 시나리오가 설명된 시나리오와 일치하는 경우 다음 단계에 따라 문제를 해결합니다. 다른 작업은 TAC에 문의하는 것이 좋습니다. |
원격 액세스 VPN 고가용성에 대한 정보
기본 디바이스에 Remote Access(원격 액세스) VPN 구성과 CertEnrollment 개체로 등록한 ID 인증서가 있는 경우, 보조 디바이스에 동일한 CertEnrollment 개체로 등록한 ID 인증서가 있어야 합니다. CertEnrollment 개체는 디바이스별 재정의로 인해 기본 및 보조 디바이스에 대해 서로 다른 값을 가질 수 있습니다. 고가용성 형성 하기 전에 두 개의 디바이스를 등록 하는 동일한 CertEnrollment 개체에만 개로 제한이 됩니다.
Management Center 고가용성에서의 SNMP 동작
SNMP 구성 HA 쌍에서 알림 정책을 구축하면 기본 management center가 SNMP 트랩을 전송합니다. 기본 management center에 오류가 발생하면 액티브 유닛이 되는 보조 management center는 추가 구성 없이 SNMP 트랩을 전송합니다.
Firepower Management Center 고가용성의 역할 및 상태 비교
기본/보조 역할
Secure Firewall Management Center의 고가용성 쌍을 설정할 때 한 Secure Firewall Management Center를 기본, 다른 하나를 보조로 구성합니다. 컨피그레이션 중에는 기본 유닛의 정책이 보조 유닛에 동기화됩니다. 동기화가 끝나면 기본 Secure Firewall Management Center은 액티브 피어가 되고 보조 Secure Firewall Management Center는 보조 피어로 두 유닛이 매니지드 디바이스 및 정책 설정에 단일 어플라이언스로 작동합니다.
액티브/스탠바이 상태
고가용성 쌍에서 두 Secure Firewall Management Center의 가장 큰 차이는 액티브 및 스탠바이 피어와 관련이 있습니다. 액티브 Secure Firewall Management Center는 모든 기능을 사용할 수 있으며 디바이스와 정책을 관리할 수 있습니다. 스탠바이 Secure Firewall Management Center는 기능이 숨겨져 있으며 설정 변경을 할 수 없습니다.
Management Center 고가용성 쌍의 이벤트 처리
고가용성 쌍의 두 management center가 관리된 디바이스에서 이벤트를 수신하므로 어플라이언스용 관리 IP 주소를 공유하지 않습니다. 즉 management center 중 하나에 오류가 발생하는 경우 이벤트를 지속적으로 처리하기 위해 개입할 필요가 없습니다.
AMP 클라우드 연결 및 악성코드 정보
이들은 파일 정책 및 관련 컨피그레이션을 공유하지만 고가용성 쌍의 management center과 Cisco AMP Cloud 연결과 악성코드 성향을 공유하지 않습니다. 운영 연속성을 보장하고 탐지된 파일의 악성코드 속성이 두 management center및 기본과 보조 management center에 동일하려면 AMP 클라우드에 대한 액세스 권한이 있어야 합니다.
URL 필터링 및 보안 인텔리전스
URL 필터링과 보안 인텔리전스의 설정 및 정보는 고가용성 구축에서 Secure Firewall Management Center 간에 동기화됩니다. 그러나 기본 Secure Firewall Management Center만 URL 카테고리 및 평판 데이터 그리고 보안 인텔리전스 피드에 대한 업데이트를 다운로드합니다.
기본 Secure Firewall Management Center에 장에가 발생하면 위협 인텔리전스 데이터 업데이트를 위해 보조 Secure Firewall Management Center가 인터넷에 액세스할 수 있는지 확인하고 보조 Secure Firewall Management Center의 웹 인터페이스를 사용해 액티브로 전환합니다.
Management Center 페일오버 중에 사용자 데이터 처리
기본 management center 에 장애가 발생하면 보조 management center 가 TS Agent ID 소스 소스 에서 관리되는 디바이스 사용자 - IP 매핑을 전파하고, ISE / ISE-PIC ID 소스에서 SGT 매핑을 전파합니다. ID 소스로 아직 확인되지 않은 사용자는 알 수 없음으로 식별됩니다.
다운타임이 끝나면 ID 정책의 규칙에 따라 알 수 없는 사용자가 다시 식별되고 처리됩니다.
Management Center 고가용성 쌍에서 구성 관리
고가용성 구축에서 액티브 management center만 디바이스를 관리하고 정책을 적용할 수 있습니다. 두 management center 모두 지속적인 동기화 상태를 유지합니다.
액티브 management center에 오류가 발생하는 경우 고가용성 쌍은 사용자가 수동으로 스탠바이 어플라이언스를 액티브 상태로 승격할 때까지 저하 상태에 돌입합니다. 승격이 완료되면 어플라이언스는 유지 관리 모드 상태가 됩니다.
Management Center 고가용성 재해 복구
재해 복구 상황에서는 수동 전환을 수행해야 합니다. 기본 management center - FMC1에 오류가 발생하면 보조 management center인 FMC2의 웹 인터페이스에서 액세스하여 피어를 교체합니다. 이는 보조(FMC2)에 장애가 발생하는 경우에도 반대로 적용됩니다. 자세한 내용은 Management Center 고가용성 쌍에서 피어 전환를 참고하십시오.
실패한 management center 복원에 대해서는 고가용성 쌍의 Management Center 교체의 내용을 참조하십시오.
SSO 및 고가용성 쌍
Management Center고가용성 설정의 FMC는 SSO(Single Sign-On, 단일 인증)를 지원할 수 있지만, 다음 사항을 고려해야 합니다.
-
SSO 설정은 고가용성 쌍의 멤버 간에 동기화되지 않습니다. 쌍의 각 멤버에서 SSO를 별도로 설정해야 합니다.
-
고가용성 쌍의 두 management center는 모두 SSO에 동일한 ID 공급자(IdP)를 사용해야 합니다. SSO에 대해 설정된 각 management center의 IdP에서 서비스 제공자 애플리케이션을 설정해야 합니다.
-
둘 다 SSO를 지원하도록 설정된 management center 고가용성 쌍에서는 사용자가 SSO를 사용하여 보조 management center에 처음으로 액세스하기 전에 먼저 사용자가 SSO를 통해 기본 management center에 한 번 이상 로그인해야합니다.
-
고가용성 쌍에서 management center에 대해 SSO를 설정하는 경우:
-
기본 management center에서 SSO를 설정하는 경우, 보조 management center에서 SSO를 설정할 필요가 없습니다.
-
보조 management center에서 SSO를 설정하는 경우, 기본 management center에서도 SSO를 설정해야 합니다. (SSO 사용자는 보조 management center에 로그인하기 전에 기본 management center에 한 번 이상 로그인해야 하기 때문입니다.)
-
Management Center 백업 중에 고가용성 동작
management center 고가용성 쌍에서 백업을 수행할 경우 백업 작업은 피어 간 동기화를 일시 중지합니다. 이 작업을 수행하는 동안 액티브 management center을 계속 사용할 수 있지만 스탠바이 피어는 사용할 수 없습니다.
백업이 완료되면 동기화가 재시작되어 액티브 피어의 프로세스를 일시적으로 비활성화합니다. 이 일시 중지 상태에 고가용성 페이지는 모든 프로세스가 다시 시작될 때까지 일시적으로 보류 페이지를 표시합니다.
Management Center 고가용성 스플릿 브레인
고가용성 쌍에서 액티브 management center이 중단(전원 문제, 네트워크/연결 문제)되는 경우 스탠바이 management center를 액티브 상태로 승격시킵니다. 원래 액티브 피어가 복구되면 두 피어 모두 액티브 상태로 간주할 수 있습니다. 이 상태를 '스플릿 브레인' 상태라고 합니다. 이러한 상황이 발생하면 시스템은 액티브 어플라이언스를 선택하고 다른 어플라이언스를 스탠바이로 전환하도록 합니다.
액티브 management center이 중단(또는 네트워크 오류로 연결 끊기)되는 경우 고가용성 또는 스위치 역할을 중단할 수 있습니다. 스탠바이 management center는 성능 저하 상태에 진입합니다.
참고 |
스플릿 브레인을 해결하면 보조로 사용하는 어플라이언스의 모든 디바이스 등록 및 정책 설정이 손실됩니다. 예를 들어 보조에 존재하던 정책 수정 내용을 전부 잃지만 기본에 있던 것은 보존됩니다. management center이 두 어플라이언스가 액티브 상태인 고가용성 스플릿 브레인 시나리오에 돌입하고 스플릿 브레인을 해소하기 전에 관리되는 디바이스를 등록하고 정책을 구축하는 경우 모든 정책을 내보내고 관리되는 디바이스를 새 고가용성이 재구성되기 전에 해당 스탠바이 management center에서 등록 해제해야 합니다. 그런 다음 액티브 management center에서 관리되는 디바이스를 등록하고 정책을 가져올 수 있습니다. |
고가용성 쌍에서 Management Center 업그레이드
Cisco는 온라인으로 다양한 유형의 업데이트를 주기적으로 배포합니다. 시스템 소프트웨어의 주요 및 사소한 업그레이트를 포함합니다. 고가용성 설정에서 management center에 이런 업데이트를 설치해야 할 수 있습니다.
 경고 |
업그레이드 중 하나 이상의 운영 management center이 있는지 확인하십시오. |
시작하기 전에
업그레이드와 함께 배포된 릴리스 노트 또는 권고 사항을 읽습니다. 릴리스 정보에는 지원되는 플랫폼, 호환성, 전제 조건, 경고, 특정 설치 및 제거 지침과 같은 중요 정보가 제공됩니다.
프로시저
|
단계 1 |
액티브 management center의 웹 인터페이스에 액세스하고 데이터 동기화를 중단시키려면 쌍을 이룬 Management Center 간에 통신 일시 중지를 참조하십시오. |
|
단계 2 |
스탠바이 management center을 업그레이드합니다. |
|
단계 3 |
다른 management center을 업그레이드합니다. |
|
단계 4 |
어떤 management center을 스탠바이로 사용할지 결정합니다. 동기화가 중지된 뒤 스탠바이에 추가된 모든 추가 장치 또는 정책은 액티브 management center에 동기화되지 않습니다. 이러한 추가 디바이스만 등록을 취소하고 유지하려는 설정을 내보냅니다. 새 액티브 management center을 선택한 경우 보조로 지정한 management center는 디바이스 등록 및 동기화되지 않은 정책 설정 구축을 잃게 됩니다. |
|
단계 5 |
정책 및 디바이스의 최신 요구 설정이 있는 새 액티브 management center을 선택하여 스플릿 브레인을 해결합니다. |
Management Center 고가용성 문제 해결
이 섹션에서는 management center 고가용성 운영 오류에 대한 일반적인 정보를 설명합니다.
|
오류 |
설명 |
해결책 |
||
|---|---|---|---|---|
|
스탠바이에 로그인하려면 먼저 활성 management center에서 비밀번호를 재설정해야 합니다. |
계정에 강제 비밀번호 재설정이 활성화된 상태에서 대기 management center에 로그인하려 했습니다. |
데이터베이스가 대기 management center에 대해 읽기 전용이므로, 액티브 management center의 로그인 페이지에서 비밀번호를 재설정해야 합니다. |
||
|
500 내부 |
피어 역할 전환이나 동기화 중지 또는 재개 등 중요한 management center 고가용성 작업을 수행하는 동안 웹 인터페이스 접속을 시도할 때 표시될 수 있습니다. |
작업이 완료되기를 기다린 뒤 웹 인터페이스를 사용합니다. |
||
|
시스템 프로세스가 시작 중이니 기다려 주시기 바랍니다. 웹 인터페이스가 응답하지 않을 수 있습니다. |
이는 고가용성 또는 데이터 동기화 중 management center이 재부팅될 때(수동 또는 전원 복구 중) 표시될 수 있습니다. |
|
||
|
디바이스 등록 상태:호스트 <string> 연결할 수 없음 |
threat defense의 초기 구성 중에 management center IP 주소 및 NAT ID가 지정된 경우 Host(호스트) 필드를 비워둘 수 있습니다. 그러나 NAT 뒤에 management center가 모두 있는 HA 환경에서는 보조 management center에 threat defense를 추가하면 이 오류가 발생합니다. |
|
)
피드백