Cluster voor e-mail security applicatie (ESA) configureren

Bijgewerkt:9 april 2024
Document-id:200885

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een cluster kunt instellen op een Cisco Email Security Applicatie (ESA).

    Voorwaarden 

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Hoe u apparaten kunt samenvoegen tot een cluster (gecentraliseerd beheer).
    • Alle ESA's moeten dezelfde AsyncOS-versies hebben (tot aan de herziening).

    Opmerking: In versie 8.5+ is de gecentraliseerde beheersleutel niet langer vereist en is hij niet meer zichtbaar wanneer hij wordt toegevoegd, aangezien hij een ingebouwde functie is in het AsyncOS.

    • Als u een cluster maakt om poort 22 te gebruiken (gemakkelijker te configureren), moet u ervoor zorgen dat er geen firewall- of routeringsproblemen zijn tussen de applicaties op poort 22-verkeer.
    • Als u een cluster maakt om poort 2222 (Cluster Communication Service) te gebruiken, zorg er dan voor dat er firewallregels worden gemaakt om verkeer op deze poort zonder inspectie of onderbreking beschikbaar te stellen.
    • Clusterconfiguratieopties moeten via de CLI op de ESA worden uitgevoerd en kunnen niet in de GUI worden gecreëerd of aangesloten.
    • Als u ervoor kiest om een hostnaam te gebruiken voor communicatie, zorg er dan voor dat DNS-servers die zijn ingesteld op de toestellen in staat zijn om alle andere toestellen in uw netwerk op te lossen en dat de IP-adressen die de hostnamen besluiten om te worden toegewezen aan een interface die is geconfigureerd om te luisteren op de geselecteerde communicatiepoort.
    • Zorg ervoor dat de vereiste poort en service op de interfaces van uw apparaat zijn ingeschakeld (SSH of CCS).

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Probleem

    Het probleem is te voorkomen dat er voortdurend wijzigingen op elk apparaat moeten worden aangebracht wanneer een configuratie tussen een grote groep ESE's moet worden gecentraliseerd en synchroon moet worden gehouden.

    Clusters op ESA

    Met de functie voor gecentraliseerd beheer van ESA kunt u meerdere apparaten tegelijkertijd beheren en configureren voor een grotere betrouwbaarheid, flexibiliteit en schaalbaarheid in uw netwerk. Dit stelt u in staat om mondiaal te beheren terwijl u tegelijkertijd voldoet aan lokaal beleid. 

    Een cluster bestaat uit een reeks machines met gemeenschappelijke configuratieinformatie. Binnen elk cluster kunnen de apparaten verder worden verdeeld in machinegroepen, waarbij één enkele machine tegelijkertijd lid kan zijn van slechts één groep. 

    Clusters worden geïmplementeerd in een peer-to-peer-architectuur zonder primaire/secundaire relatie. U kunt zich bij elke machine aanmelden om het gehele cluster of groep te besturen en te beheren.  Dit stelt de beheerder in staat om verschillende elementen van het systeem te configureren op clusterbrede, groepsbrede of machinale basis, gebaseerd op hun eigen logische groepen

    De cluster maken

    Als aan alle vereisten is voldaan, moet u om het cluster te maken beginnen in de opdrachtregel (CLI) van het eerste apparaat.

    Tip: maak een back-up van uw huidige configuratie op uw apparaat voordat u uw cluster configureert. Van de GUI, Systeembeheer > Configuratiebestand.  Schakel het vakje gemaskeerd wachtwoord uit en sla de configuratie lokaal op de pc op.

    Cluster via SSH maken

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> NameOfCluster

Should all machines in the cluster communicate with each other by hostname or
by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.11 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C370.lab using IP address
10.1.1.11 port 22. You can change this by using the COMMUNICATION subcommand
of the clusterconfig command.
New cluster committed: DATE
Creating a cluster takes effect immediately, there is no need to commit.

Cluster NameOfCluster

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.

    Cluster via CCS maken

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> Test

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 2

Enter the IP address for Machine C370.lab.
[]> 10.1.1.1

Enter the port (on 10.66.71.120) for Machine C370.lab.
[22]> 2222

    Zodra deze stap is uitgevoerd, hebt u een cluster en al uw configuraties worden verplaatst van de machine naar het niveau van de Cluster. Dit is de configuratie die alle andere machines erven wanneer ze worden aangesloten.

    Sluit u aan bij een actuele cluster via SSH of CCS

    In deze paragraaf wordt beschreven hoe u nieuwe apparaten kunt toevoegen aan uw huidige cluster die u eerder hebt gemaakt of zojuist hebt gemaakt. Sluit je aan bij een huidig cluster door een van beide methoden is gelijk in aanpak, het enige belangrijke verschil is dat CCS een extra stap vereist om het af te ronden, zodat het cluster het nieuwere apparaat kan accepteren.

    Samenvoegen via SSH

    Opmerking: de sectie die vet in deze volgende stappen wordt weergegeven moet precies worden uitgevoerd, met SSH, moet u niet ja zeggen tegen CCS inschakelen.

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  
    To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
    the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  
    These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on C370.lab? [N]>

Enter the IP address of a machine in the cluster.
[]> 10.66.71.120

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Enter the name of an administrator present on the remote machine
[admin]>

Enter password:
Please verify the SSH host key for 10.66.71.120:
Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef
Is this a valid key for this host? [Y]>

    Na de controle sluit het apparaat zich met succes aan bij het cluster.

    Samenvoegen via CCS

    Dit is een soortgelijke aanpak, het enige verschil is dat u zich moet aanmelden bij het apparaat dat actief is in het cluster voordat u besluit het nieuwe apparaat toe te staan in het huidige cluster.

    Op het actieve apparaat in het cluster:

    (Cluster test)> clusterconfig

Cluster test

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:
- NEW - Add a new host that will join the cluster.
[]> new

Enter the hostname of the system you want to add.
[]> ESA.lab

Enter the serial number of the host ESA.lab.
[]> XXXXXXXXXXXXXX-XXXXXA

Enter the user key of the host ESA2.lab.  This can be obtained by typing 
    "clusterconfig prepjoin print" in the CLI on ESA.lab.
Press enter on a blank line to finish.


    Zodra u de SSH-vingerafdruk hebt ingevoerd (die wordt verkregen wanneer u zich aanmeldt bij het apparaat dat zich bij uw cluster probeert aan te sluiten en met de opdracht clusterconfig prepjoin print ) in het vorige codevoorbeeld en een lege regel invoert, wordt de voorp-verbinding voltooid.

    Opmerking: als u de PREPJOIN optie uitvoert, moet u uw wijzigingen aan de primaire ESA vastleggen voordat u  clusterconfig  op de secundaire ESA draait en zich bij dat apparaat aansluit op uw nieuwe cluster.  Dit wordt opgemerkt vanaf de uitvoer tijdens de bewerking: om dit apparaat aan te sluiten op een cluster met vooraf gedeelde sleutels, u aan te melden bij de clustermachine, de clusterconfig > prepjoin > new  opdracht uit te voeren, de volgende gegevens in te voeren en commit uw wijzigingen aan te brengen.

    Vervolgens kunt u het Josep-proces starten op het apparaat dat probeert toe te voegen, ter referentie, ESA2.lab bellen om overeen te komen met de vorige stap.

    Opmerking: de SSH-DSS-toets staat in het volgende voorbeeld.

    ESA2.lab> clusterconfig Do you want to join or create a cluster? 1. No, configure as standalone. 2. Create a new cluster. 3. Join an existing cluster over SSH. 4. Join an existing cluster over CCS. [1]> 4 While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining. 
    To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint. WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
    the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings) Exception: Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster. 
    These settings on this machine will remain intact. In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added. 
    On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit. Host: ESA2.lab Serial Number: XXXXXXXXXXXX-XXXXXA User Key: ssh-dss AAAAB3NzaC1kc3.......BrccM= Choose the interface on which to enable the Cluster Communication Service: 1. ClusterInterface (10.1.1.2/24: ESA2.lab) [1]> 1 Enter the port on which to enable the Cluster Communication Service: [2222] Enter the IP address of a machine in the cluster. []> 10.1.1.1 Enter the remote port to connect to. This must be the CCS port on the machine "10.1.1.1", 
    not the normal admin ssh port. [2222]>

    Zodra dit is bevestigd, ziet u de SSH-DSS-toets. Als het overeenkomt, kunt u de voorwaarden accepteren en de cluster is succesvol aangesloten.

    Wat wordt gemigreerd in een clusterconfiguratie

    Clusterconfiguratie migreert:

    • Geconfigureerde beleidsinstellingen
    • Contentfilters
    • Tekstbronnen
    • Content Woordenboeken
    • LDAP-instellingen
    • Anti-spam en anti-virus
    • Wereldwijde instellingen
    • Luisterinstellingen
    • SMTP-routeinstellingen
    • DNS-instellingen
      •

    Wat niet gemigreerd is in een clusterconfiguratie

    Clusterconfiguratie migreert niet:

    • Lokale hostnaam van applicatie.
    • Configureerde IP-interfaces.
    • Geconfigureerde routingtabellen.
    • Configuratie van lokale spamquarantaine.
    • Configuraties van lokaal beleid, virussen en uitbraakquarantaine
    • Instellingen onder de websecurityadvancedconfig  opdracht in de opdrachtregel (voor versies 8.5 en nieuwer). 
      •
    pictogram van opmerking

    Opmerking: Als u inhoudsfilters hebt die verwijzen naar quarantaine die niet bestaat, worden ze ongeldig gemaakt totdat de referentiebeleidsquarantaine(s) op de machine is geconfigureerd.

    Hoe worden groepen geconfigureerd in een ESA-cluster

    In bepaalde scenario's kan worden verlangd dat weinig ESA's in de Cluster op een bepaalde manier werken dan de rest. Om dit te bereiken, hoeft u geen nieuwe cluster te maken en kunt u doorgaan met het maken van groepen.

    pictogram van opmerking

    Opmerking: de configuraties die op groepsniveau worden gemaakt, hebben voorrang op de configuratie op clusterniveau.

    Voor de creatie van Groepen, creeer het van ESA CLI. Om met de configuratie te beginnen, gebruik het bevel clusterconfig --> ADDGROUP :

    (Machine esalab.cisco.com)> clusterconfiguratie 

    Deze opdracht is beperkt tot de "cluster" modus.  Wilt u switches naar "cluster" modus? [Y]>

    Cluster Cisco

    Kies de bewerking die u wilt uitvoeren:

    - ADGROUP - Voeg een clustergroep toe.

    - SETGROUP - Stel de groep in waar machines lid van zijn.

    - RENAMEGROUP - Hernoem een clustergroep.

    - DELETEGROUP - Verwijder een clustergroep.

    - REMOVEMACHINE - verwijder een machine uit het cluster.

    - SETNAME - Stel de clusternaam in.

    - LIJST - Maak een lijst van de machines in het cluster.

    - CONNSTATUS - toon de status van verbindingen tussen machines in het cluster.

    - COMMUNICATIE - Configureren hoe machines communiceren binnen het cluster.

    - ONTKOPPEL - Maak machines tijdelijk los van het cluster.

    - RECONNECT - Herstel de verbindingen met machines die eerder zijn losgekoppeld.

    - PREPJOINT - Voorbereiden van de toevoeging van een nieuwe machine via CCS.

    []> ADGROUP

    Voer de naam in van de nieuwe clustergroep die u wilt maken.

    []> Nieuwe_groep

    Clustergroep New_Group gemaakt.

    Als u ESA’s van het huidige cluster aan de nieuwe groep wilt toevoegen, gebruikt u de opdracht SETGROUP: 

    (Machine esalab.cisco.com)> clusterconfiguratie

    Deze opdracht is beperkt tot de "cluster" modus.  Wilt u switches naar "cluster" modus? [Y]>

    Cluster Cisco

    Kies de bewerking die u wilt uitvoeren:

    - ADGROUP - Voeg een clustergroep toe.

    - SETGROUP - Stel de groep in waar machines lid van zijn.

    - RENAMEGROUP - Hernoem een clustergroep.

    - DELETEGROUP - Verwijder een clustergroep.

    - REMOVEMACHINE - verwijder een machine uit het cluster.

    - SETNAME - Stel de clusternaam in.

    - LIJST - Maak een lijst van de machines in het cluster.

    - CONNSTATUS - toon de status van verbindingen tussen machines in het cluster.

    - COMMUNICATIE - Configureren hoe machines communiceren binnen het cluster.

    - ONTKOPPEL - Maak machines tijdelijk los van het cluster.

    - RECONNECT - Herstel de verbindingen met machines die eerder zijn losgekoppeld.

    - PREPJOINT - Voorbereiden van de toevoeging van een nieuwe machine via CCS.

    []> SETGROUP

    Kies de machine om naar een andere groep te gaan.  Scheid meerdere machines met komma's.

    1. esalab.cisco.com (groep ESA_Group)

    [1]> 1

    Kies de groep waar esalab.cisco.com lid van moet zijn.

    1. ESA_groep

    2. Nieuwe groep

    [1]> 2

    esalab.cisco.com ingesteld op groep New_Group.

    Gebruik de opdracht om de naam van een huidige groep in het ESA-cluster te wijzigen RENAMEGROUP:

    (Machine esalab.cisco.com)> clusterconfiguratie

    Deze opdracht is beperkt tot de "cluster" modus.  Wilt u switches naar "cluster" modus? [Y]>

    Cluster Cisco

    Kies de bewerking die u wilt uitvoeren:

    - ADGROUP - Voeg een clustergroep toe.

    - SETGROUP - Stel de groep in waar machines lid van zijn.

    - RENAMEGROUP - Hernoem een clustergroep.

    - DELETEGROUP - Verwijder een clustergroep.

    - REMOVEMACHINE - verwijder een machine uit het cluster.

    - SETNAME - Stel de clusternaam in.

    - LIJST - Maak een lijst van de machines in het cluster.

    - CONNSTATUS - toon de status van verbindingen tussen machines in het cluster.

    - COMMUNICATIE - Configureren hoe machines communiceren binnen het cluster.

    - ONTKOPPEL - Maak machines tijdelijk los van het cluster.

    - RECONNECT - Herstel de verbindingen met machines die eerder zijn losgekoppeld.

    - PREPJOINT - Voorbereiden van de toevoeging van een nieuwe machine via CCS.

    []> RENAMEGROUP

    Kies welke groep u wilt hernoemen.

    1. ESA_groep

    2. Nieuwe groep

    [1]> 2

    Voer de nieuwe naam van de groep in.

    [New_Group]> Cluster_groep

    De groep New_Group heeft de naam veranderd in Cluster_Group.

    Om een huidige groep uit de ESA Cluster te verwijderen, gebruikt u de opdracht  DELETEGROUP

    (Machine esalab.cisco.com)> clusterconfiguratie

    Deze opdracht is beperkt tot de "cluster" modus.  Wilt u switches naar "cluster" modus? [Y]>

    Cluster Cisco

    Kies de bewerking die u wilt uitvoeren:

    - ADGROUP - Voeg een clustergroep toe.

    - SETGROUP - Stel de groep in waar machines lid van zijn.

    - RENAMEGROUP - Hernoem een clustergroep.

    - DELETEGROUP - Verwijder een clustergroep.

    - REMOVEMACHINE - verwijder een machine uit het cluster.

    - SETNAME - Stel de clusternaam in.

    - LIJST - Maak een lijst van de machines in het cluster.

    - CONNSTATUS - toon de status van verbindingen tussen machines in het cluster.

    - COMMUNICATIE - Configureren hoe machines communiceren binnen het cluster.

    - ONTKOPPEL - Maak machines tijdelijk los van het cluster.

    - RECONNECT - Herstel de verbindingen met machines die eerder zijn losgekoppeld.

    - PREPJOINT - Voorbereiden van de toevoeging van een nieuwe machine via CCS.

    []> DELETEGROUP

    Kies welke groep u wilt verwijderen.

    1. Cluster_groep

    2. ESA_groep

    [1]> 1

    Kies de groep waarop machines in Cluster_Group moeten worden verplaatst.

    1. ESA_groep

    [1]> 1

    Groep Cluster_groep verwijderd.

    pictogram van opmerking

    Opmerking: als u in Cluster machines toevoegt of verwijdert, zijn de wijzigingen onmiddellijk van toepassing op de apparaten zonder commiteen. Voor de ETA - Groepen worden acties in verband hiermee pas na een commit evaluatie op de ETA's toegepast.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    09-Apr-2024
    Hercertificering
    1.0
    12-Dec-2016
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Matthew Huynh
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten