Configurar um cluster do ESA (Email Security Appliance)

Introdução

Este documento descreve como configurar um cluster em um Cisco Email Security Appliance (ESA).

Pré-requisitos 

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Como unir dispositivos em um cluster (gerenciamento centralizado).
• Todos os ESAs devem ter as mesmas versões do AsyncOS (até a revisão).

Note: Na versão 8.5+, a chave de Gerenciamento centralizado não é mais necessária e também não pode mais ser visível quando adicionada, pois é um recurso incorporado no AsyncOS.

• Se você criar um cluster para usar a porta 22 (mais fácil de configurar), verifique se não há problemas de firewall ou roteamento entre os dispositivos no tráfego da porta 22.
• Se você criar um cluster para usar a porta 2222 (Cluster Communication Service), certifique-se de que as regras de firewall sejam criadas para permitir que o tráfego nessa porta esteja disponível sem inspeção ou interrupção.
• As opções de configuração de cluster devem ser feitas por meio da CLI no ESA e não podem ser criadas ou associadas na GUI.
• Se você optar por usar um nome de host para comunicação, certifique-se de que os servidores DNS definidos nos aplicativos sejam capazes de resolver todos os outros aplicativos em sua rede e que os endereços IP aos quais os nomes de host resolvem sejam atribuídos a uma interface configurada para escutar na porta de comunicação selecionada.
• Certifique-se de que, nas interfaces do equipamento, a porta e o serviço necessários estejam ativados (SSH ou CCS).

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Problema

O problema é evitar a necessidade contínua de modificação em cada dispositivo sempre que uma configuração entre um grande grupo de ESAs precisar ser centralizada e mantida em sincronia.

Clusters no ESA

O recurso de gerenciamento centralizado do ESA permite que você gerencie e configure vários dispositivos ao mesmo tempo, para oferecer maior confiabilidade, flexibilidade e escalabilidade na sua rede. Isso permite que você gerencie globalmente e, ao mesmo tempo, esteja em conformidade com as políticas locais. 

Um cluster consiste em um conjunto de máquinas com informações de configuração comuns. Em cada cluster, os dispositivos podem ser divididos em grupos de máquinas, onde uma única máquina pode ser membro de apenas um grupo por vez. 

Os clusters são implementados em uma arquitetura ponto-a-ponto sem relacionamento primário/secundário. Você pode fazer login em qualquer máquina para controlar e administrar todo o cluster ou grupo.  Isso permite que o administrador configure diferentes elementos do sistema em nível de cluster, grupo ou computador, com base em seus próprios grupos lógicos

Criar o cluster

Quando todos os requisitos forem atendidos, para criar o cluster, você precisará começar na linha de comando (CLI) do primeiro dispositivo.

Dica: faça backup da configuração atual no equipamento antes de configurar o cluster. Na GUI, System Administration > Configuration File.  Desmarque a caixa de senha mascarada e salve a configuração localmente em seu PC.

Criar Cluster sobre SSH

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> NameOfCluster

Should all machines in the cluster communicate with each other by hostname or
by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.11 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C370.lab using IP address
10.1.1.11 port 22. You can change this by using the COMMUNICATION subcommand
of the clusterconfig command.
New cluster committed: DATE
Creating a cluster takes effect immediately, there is no need to commit.

Cluster NameOfCluster

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.

Criar Cluster Sobre CCS

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> Test

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 2

Enter the IP address for Machine C370.lab.
[]> 10.1.1.1

Enter the port (on 10.66.71.120) for Machine C370.lab.
[22]> 2222

Depois que essa etapa for concluída, você terá um cluster e todas as suas configurações serão movidas da máquina para o nível de cluster. Essa é a configuração que todas as outras máquinas herdam quando são unidas.

Ingressar em um cluster atual por meio de SSH ou CCS

Esta seção aborda como adicionar novos dispositivos ao cluster atual que você criou anteriormente ou recentemente. A associação a um cluster atual por qualquer um dos métodos é semelhante em termos de abordagem, o único ponto-chave de diferença é que o CCS requer uma etapa extra para finalizá-lo para permitir que o cluster aceite o dispositivo mais novo.

Ingressar por meio do SSH

Note:  A seção indicada em negrito nessas próximas etapas precisa ser feita exatamente. Com o SSH, você não deve dizer sim à ativação do CCS.

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  
To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  
These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on C370.lab? [N]>

Enter the IP address of a machine in the cluster.
[]> 10.66.71.120

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Enter the name of an administrator present on the remote machine
[admin]>

Enter password:
Please verify the SSH host key for 10.66.71.120:
Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef
Is this a valid key for this host? [Y]>

Após a verificação, o equipamento ingressa no cluster com êxito.

Ingressar por meio do CCS

Essa abordagem é semelhante, a única diferença é que, antes de permitir o novo dispositivo no cluster atual, você precisa fazer login no dispositivo que está ativo no cluster.

No dispositivo ativo no cluster:

(Cluster test)> clusterconfig

Cluster test

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:
- NEW - Add a new host that will join the cluster.
[]> new

Enter the hostname of the system you want to add.
[]> ESA.lab

Enter the serial number of the host ESA.lab.
[]> XXXXXXXXXXXXXX-XXXXXA

Enter the user key of the host ESA2.lab.  This can be obtained by typing 
"clusterconfig prepjoin print" in the CLI on ESA.lab.
Press enter on a blank line to finish.

Depois de inserir a impressão digital SSH (que é obtida quando você faz login no dispositivo que tenta unir seu cluster e com o comandoclusterconfig prepjoin print) no exemplo de código anterior, e inserir uma linha em branco, ele conclui a junção de preparação.

Note: Se você executar a opção PREPJOIN, precisará confirmar suas alterações no ESA primário antes de executar clusterconfig no ESA secundário e unir esse dispositivo ao cluster recém-configurado.  Isso é observado a partir da saída durante toda a operação: para adicionar este aplicativo a um cluster com chaves pré-compartilhadas, faça login no computador do cluster, execute o comando clusterconfig > prepjoin > new, insira os próximos detalhes e confirme suas alterações.

Em seguida, você pode iniciar o processo de junção no equipamento que tenta se juntar, para referência, chame-o de ESA2.lab para corresponder ao da etapa anterior.

Note: A chave SSH-DSS está no próximo exemplo.

ESA2.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 4

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  
To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  
These settings on this machine will remain intact.
In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added.  
On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit.
Host: ESA2.lab
Serial Number: XXXXXXXXXXXX-XXXXXA
User Key:
ssh-dss AAAAB3NzaC1kc3.......BrccM=

Choose the interface on which to enable the Cluster Communication Service:
1. ClusterInterface (10.1.1.2/24: ESA2.lab)
[1]> 1

Enter the port on which to enable the Cluster Communication Service:
[2222]

Enter the IP address of a machine in the cluster.
[]> 10.1.1.1

Enter the remote port to connect to.  This must be the CCS port on the machine "10.1.1.1", 
not the normal admin ssh port.
[2222]>

Uma vez confirmado, você verá a chave SSH-DSS. Se for correspondente, você poderá aceitar os termos e o cluster será unido com êxito.

O que é migrado em uma configuração de cluster

A configuração do cluster migra:

• Definições de política configuradas
• Filtros de conteúdo
• Recursos de texto
• Dicionários de conteúdo
• Configurações LDAP
• Antisspam e antivírus
• Configurações globais
• Configurações de ouvinte
• Configurações de rota SMTP
• Configurações DNS

O que não é migrado em uma configuração de cluster

A configuração do cluster não migra:

• Nome de host local do aplicativo
• Interfaces IP configuradas
• Tabela de Roteamento Configurada.
• Configuração de quarentena de spam local
• Configurações de quarentena de política local, vírus e epidemia
• Configurações sob o comando websecurityadvancedconfig na Linha de Comando (para versões 8.5 e mais recentes). 

Note: Se você tiver filtros de conteúdo que fazem referência a quarentenas que não existem, eles serão invalidados até que a(s) quarentena(s) de política referenciada(s) tenha(m) sido configurada(s) no computador.

Como os grupos são configurados em um cluster ESA

Em determinados cenários, pode ser necessário que poucos ESAs no cluster trabalhem de uma maneira específica do que os demais. Para isso, não é necessário criar um novo cluster e você pode continuar com a criação de Grupos.

Note: As configurações feitas no nível do Grupo têm precedência sobre a configuração no nível do Cluster.

Para a criação de grupos, crie-o a partir da CLI do ESA. Para iniciar a configuração, use o comando clusterconfig --> ADDGROUP:

(Computador esalab.cisco.com)> configuração de cluster 

Este comando está restrito ao modo cluster.  Deseja alternar para o modo de cluster? [S]>

Cluster Cisco

Escolha a operação que deseja executar:

- ADDGROUP - Adiciona um grupo de clusters.

- SETGROUP - Defina o grupo do qual as máquinas são membros.

- RENAMEGROUP - Renomear um grupo de clusters.

- DELETEGROUP - Remove um grupo de clusters.

- REMOVEMACHINE - Remova um computador do cluster.

- SETNAME - Defina o nome do cluster.

- LIST - Lista as máquinas no cluster.

- CONNSTATUS - Mostra o status das conexões entre máquinas no cluster.

- COMUNICAÇÃO - Configure como as máquinas se comunicam dentro do cluster.

- DISCONNECT - Desconecte temporariamente as máquinas do cluster.

- RECONNECT - Restaura conexões com computadores que foram previamente desconectados.

- PREPJOIN - Prepare a adição de uma nova máquina sobre CCS.

[]> ADICIONAR GRUPO

Digite o nome do novo grupo de clusters a ser criado.

[]> Novo_grupo

Novo grupo de clusters criado.

Para adicionar ESAs do cluster atual ao novo grupo criado, use o comando SETGROUP:

(Computador esalab.cisco.com)> configuração de cluster

Este comando está restrito ao modo de cluster. Deseja alternar para o modo de cluster? [S]>

Cluster Cisco

Escolha a operação que deseja executar:

- ADDGROUP - Adiciona um grupo de clusters.

- SETGROUP - Defina o grupo do qual as máquinas são membros.

- RENAMEGROUP - Renomear um grupo de clusters.

- DELETEGROUP - Remove um grupo de clusters.

- REMOVEMACHINE - Remova um computador do cluster.

- SETNAME - Defina o nome do cluster.

- LIST - Lista as máquinas no cluster.

- CONNSTATUS - Mostra o status das conexões entre máquinas no cluster.

- COMUNICAÇÃO - Configure como as máquinas se comunicam dentro do cluster.

- DISCONNECT - Desconecte temporariamente as máquinas do cluster.

- RECONNECT - Restaura conexões com computadores que foram previamente desconectados.

- PREPJOIN - Prepare a adição de uma nova máquina sobre CCS.

[]> CONFIGURAR GRUPO

Escolha a máquina a ser movida para um grupo diferente.  Separe várias máquinas com vírgulas.

1. esalab.cisco.com (grupo ESA_Group)

[1]> 1

Escolha o grupo do qual esalab.cisco.com deve ser membro.

1. ESA_Group

2. Novo_Grupo

[1]> 2

esalab.cisco.com definido para o grupo New_Group.

Para renomear um grupo atual no cluster do ESA, use o comando RENAMEGROUP:

(Computador esalab.cisco.com)> configuração de cluster

Este comando está restrito ao modo de cluster. Deseja alternar para o modo de cluster? [S]>

Cluster Cisco

Escolha a operação que deseja executar:

- ADDGROUP - Adiciona um grupo de clusters.

- SETGROUP - Defina o grupo do qual as máquinas são membros.

- RENAMEGROUP - Renomear um grupo de clusters.

- DELETEGROUP - Remove um grupo de clusters.

- REMOVEMACHINE - Remova um computador do cluster.

- SETNAME - Defina o nome do cluster.

- LIST - Lista as máquinas no cluster.

- CONNSTATUS - Mostra o status das conexões entre máquinas no cluster.

- COMUNICAÇÃO - Configure como as máquinas se comunicam dentro do cluster.

- DISCONNECT - Desconecte temporariamente as máquinas do cluster.

- RECONNECT - Restaura conexões com computadores que foram previamente desconectados.

- PREPJOIN - Prepare a adição de uma nova máquina sobre CCS.

[]> RENOMEAR GRUPO

Escolha o grupo que deseja renomear.

1. ESA_Group

2. Novo_Grupo

[1]> 2

Digite o novo nome do grupo.

[Novo_Grupo]> Cluster_Group

Grupo New_Group renomeado para Cluster_Group.

Para excluir um grupo atual do cluster ESA, use o comando  DELETEGROUP

(Computador esalab.cisco.com)> configuração de cluster

Este comando está restrito ao modo cluster.Deseja alternar para o modo de cluster? [S]>

Cluster Cisco

Escolha a operação que deseja executar:

- ADDGROUP - Adiciona um grupo de clusters.

- SETGROUP - Defina o grupo do qual as máquinas são membros.

- RENAMEGROUP - Renomear um grupo de clusters.

- DELETEGROUP - Remove um grupo de clusters.

- REMOVEMACHINE - Remova um computador do cluster.

- SETNAME - Defina o nome do cluster.

- LIST - Lista as máquinas no cluster.

- CONNSTATUS - Mostra o status das conexões entre máquinas no cluster.

- COMUNICAÇÃO - Configure como as máquinas se comunicam dentro do cluster.

- DISCONNECT - Desconecte temporariamente as máquinas do cluster.

- RECONNECT - Restaura conexões com computadores que foram previamente desconectados.

- PREPJOIN - Prepare a adição de uma nova máquina sobre CCS.

[]> EXCLUIRGRUPO

Escolha o grupo que deseja remover.

1. Grupo_Clusters

2. Grupo ESA

[1]> 1

Escolha o grupo para o qual os computadores em Cluster_Group devem ser movidos.

1. ESA_Group

[1]> 1

Grupo Cluster_Group removido.

Note: Quando você adiciona/remove computadores no cluster, as alterações se aplicam instantaneamente aos dispositivos sem um commit. Considerando que, no caso dos grupos ESA, as ações com eles relacionadas só são aplicadas às ESA após um commitperíodo.

Informações Relacionadas

• Suporte técnico e downloads da Cisco