Requisitos e configuração do cluster ESA

Introduction

Este documento descreve os fundamentos de um cluster, os requisitos e como configurar um cluster em um Cisco Email Security Appliance (ESA).

  

Problema

Frequentemente, é necessário centralizar a configuração entre um grande grupo de ESAs e mantê-los sincronizados para evitar a tarefa de alterar a configuração um a cada dispositivo sempre que uma modificação menor ou maior for feita.

O que é um cluster no ESA?

O recurso de gerenciamento centralizado do ESA permite que você gerencie e configure vários dispositivos ao mesmo tempo, para fornecer mais confiabilidade, flexibilidade e escalabilidade na sua rede, permitindo que você gerencie globalmente, ao mesmo tempo em que cumpre com as políticas locais. 

Um cluster consiste em um conjunto de máquinas com informações de configuração comuns.  Dentro de cada cluster, os dispositivos podem ser divididos em grupos de máquinas, onde uma única máquina pode ser membro de apenas um grupo por vez. 

Os clusters são implementados em uma arquitetura ponto-a-ponto - sem relação primária/secundária.  Você pode fazer login em qualquer máquina para controlar e administrar todo o cluster ou grupo.  Isso permite que o administrador configure diferentes elementos do sistema em nível de cluster, em nível de grupo ou por máquina, com base em seus próprios agrupamentos lógicos

Requirements

Para poder começar, a capacidade de unir dispositivos em um cluster (Gerenciamento centralizado), você precisará garantir que o seguinte seja atendido:

• Todos os ESAs DEVEM ter as mesmas versões do AsyncOS (até a revisão).

Note: Na versão 8.5+, a chave de gerenciamento centralizado não é mais necessária e também não será mais visível quando adicionada, pois é um recurso incorporado no AsyncOS.

• Se estiver criando um cluster para usar a porta 22 (mais fácil de configurar), certifique-se de que não haja nenhum problema de firewall ou roteamento entre os dispositivos no tráfego da porta 22.
• Se estiver criando um cluster para usar a porta 2222 (Serviço de Comunicação de Cluster), certifique-se de que as regras de firewall sejam estabelecidas para permitir que o tráfego nesta porta esteja disponível sem inspeção ou interrupção.
• As opções de configuração de cluster devem ser feitas através da CLI no ESA e não podem ser criadas ou associadas à GUI.
• Se você optar por usar o nome de host para comunicação, certifique-se de que os servidores DNS definidos nos dispositivos possam resolver todos os outros dispositivos na rede e que os endereços IP que os nomes de host resolvem sejam atribuídos a uma interface configurada para ouvir na porta de comunicação selecionada.
• Certifique-se de que nas interfaces do dispositivo a porta e o serviço necessários estejam ativados (SSH ou CCS).

Criando o cluster

Quando todos os requisitos forem atendidos, para criar o cluster, você precisará começar na linha de comando (CLI) do primeiro dispositivo.

Dica: faça backup da sua configuração atual no aplicativo antes de configurar o cluster.  Na GUI, System Administration > Configuration File.  Desmarque a caixa de seleção de senha mascarada e salve a configuração localmente em seu PC.

Criando cluster sobre SSH

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> NameOfCluster

Should all machines in the cluster communicate with each other by hostname or
by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 1.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C370.lab using IP address
1.1.1.1 port 22. You can change this by using the COMMUNICATION subcommand
of the clusterconfig command.
New cluster committed: DATE
Creating a cluster takes effect immediately, there is no need to commit.

Cluster NameOfCluster

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.

Criando cluster no CCS

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> Test

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 1.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 2

Enter the IP address for Machine C370.lab.
[]> 1.1.1.1

Enter the port (on 10.66.71.120) for Machine C370.lab.
[22]> 2222

Quando esta etapa for concluída, você terá um cluster e todas as suas configurações serão movidas de Máquina para Cluster.  Esta será a configuração que todas as outras máquinas herdarão ao se juntarem. 

Ingressar em um cluster existente por meio de SSH ou CCS

Esta seção cobrirá a adição de novos dispositivos no cluster existente que você acabou de criar ou criou anteriormente.  Participar de um cluster existente por qualquer um dos métodos será semelhante na abordagem, o único ponto importante de diferença é que o CCS requer uma etapa extra para finalizá-lo para permitir que o cluster aceite o dispositivo mais novo.

Ingressando via SSH

Note:  A seção indicada em negrito nas etapas abaixo precisa ser seguida exatamente, como estamos usando SSH, você não deve dizer "Y" para habilitar o CCS.

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on C370.lab? [N]>

Enter the IP address of a machine in the cluster.
[]> 10.66.71.120

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Enter the name of an administrator present on the remote machine
[admin]>

Enter password:
Please verify the SSH host key for 10.66.71.120:
Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef
Is this a valid key for this host? [Y]>

Depois que essa verificação for feita, o aplicativo agora ingressará no cluster com êxito.

Ingressando via CCS

Essa abordagem será semelhante, a única diferença é que antes de você decidir permitir o novo dispositivo no cluster existente, você precisa fazer login no aplicativo que está ativo no cluster.

No aplicativo ativo no cluster:

(Cluster test)> clusterconfig

Cluster test

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:
- NEW - Add a new host that will join the cluster.
[]> new

Enter the hostname of the system you want to add.
[]> ESA.lab

Enter the serial number of the host ESA.lab.
[]> XXXXXXXXXXXXXX-XXXXXA

Enter the user key of the host ESA2.lab.  This can be obtained by typing "clusterconfig prepjoin print" in the CLI on ESA.lab.
Press enter on a blank line to finish.

Quando você digitar a impressão digital SSH (que é obtida ao fazer login no dispositivo tentando ingressar no cluster e usando o comando clusterconfig prepjoin print) na lista acima e inserir uma linha em branco, a associação de preparação será concluída.

Note: Se você executar a opção PREPARAR, precisará confirmar suas alterações no ESA principal antes de executar o clusterconfig no ESA secundário e juntar esse dispositivo ao cluster recém-configurado.  Isso é observado na saída durante a operação: "Para ingressar neste aplicativo em um cluster usando chaves pré-compartilhadas, faça login na máquina de cluster, execute o clusterconfig > prepjoin > new comando, insira os detalhes a seguir e confirme suas alterações."

Em seguida, você pode iniciar o processo de adesão no dispositivo que está tentando participar, para esta referência, chamaremos de "ESA2.lab" para corresponder ao da etapa acima.

Note: A chave SSH-DSS no exemplo abaixo

ESA2.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 4

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  These settings on this machine will remain intact.
In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added.  On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit.
Host: ESA2.lab
Serial Number: XXXXXXXXXXXX-XXXXXA
User Key:
ssh-dss AAAAB3NzaC1kc3.......BrccM=

Choose the interface on which to enable the Cluster Communication Service:
1. ClusterInterface (1.1.1.2/24: ESA2.lab)
[1]> 1

Enter the port on which to enable the Cluster Communication Service:
[2222]

Enter the IP address of a machine in the cluster.
[]> 1.1.1.1

Enter the remote port to connect to.  This must be the CCS port on the machine "1.1.1.1", not the normal admin ssh port.
[2222]>

Depois que isso for confirmado, você verá a chave SSH-DSS se ela corresponder a você aceitar os termos e o cluster será adicionado com êxito.

O que é migrado em uma configuração de cluster

O cluster trará todas as configurações de política, filtros de conteúdo, recursos de texto, dicionários de conteúdo, configurações LDAP, configurações globais antisspam e antivírus, configurações de ouvinte, configurações de rota SMTP, configurações DNS.

O que não é migrado em uma configuração de cluster

• Nome de host local do dispositivo.
• Interfaces IP configuradas.
• Tabelas de roteamento configuradas.
• Configuração de quarentena de spam local.
• Configurações de quarentena de detecção, vírus e política local
• Configurações sob o comando websecurityadvancedconfig na linha de comando (para versões 8.5 e mais recentes). 

Note:  Se você tiver filtros de conteúdo que fazem referência a quarentenas que não existem, eles serão invalidados até que as Quarentenas de política referenciadas tenham sido configuradas na máquina.

Como os grupos são configurados em um cluster ESA

Em determinados cenários, pode haver a exigência de que poucos ESAs no cluster trabalhem de uma forma específica do que os demais. Para conseguir isso, em vez de criar um novo cluster, podemos continuar com a criação de Grupos.

Note: As configurações que são feitas no nível de grupo têm precedência sobre a configuração no nível de cluster.

Para a criação de grupos, podemos criá-lo a partir da CLI do ESA. Para iniciar a configuração, usaremos o comando clusterconfig —> ADDGROUP

(Machine esalab.cisco.com)> clusterconfig

Este comando é restrito ao modo "cluster".  Deseja alternar para o modo "cluster"? [S]>

Cluster Cisco

Escolha a operação que deseja executar:

- ADDGROUP - Adicione um grupo de clusters.

- SETGROUP - Defina o grupo do qual as máquinas são membros.

- RENAMEGROUP - Renomear um grupo de clusters.

- DELETEGROUP - Remova um grupo de clusters.

- REMOVEMACHINE - Remova uma máquina do cluster.

- SETNAME - Defina o nome do cluster.

- LIST - Liste as máquinas no cluster.

- CONNSTATUS - Mostra o status das conexões entre as máquinas no cluster.

- COMUNICAÇÃO - Configure como as máquinas se comunicam no cluster.

- DISCONNECT - Desconecte temporariamente as máquinas do cluster.

- RECONECTAR - Restaure conexões com máquinas que foram desconectadas anteriormente.

- PREPARAÇÃO - Preparar a adição de uma nova máquina sobre o CCS.

[]> ADDGROUP

Digite o nome do novo grupo de clusters a ser criado.

[]> Novo_grupo

Novo_grupo de cluster criado.

Para adicionar ESAs do cluster existente ao novo grupo criado, usaremos o comando SETGROUP 

(Machine esalab.cisco.com)> clusterconfig

Este comando é restrito ao modo "cluster".  Deseja alternar para o modo "cluster"? [S]>

Cluster Cisco

Escolha a operação que deseja executar:

- ADDGROUP - Adicione um grupo de clusters.

- SETGROUP - Defina o grupo do qual as máquinas são membros.

- RENAMEGROUP - Renomear um grupo de clusters.

- DELETEGROUP - Remova um grupo de clusters.

- REMOVEMACHINE - Remova uma máquina do cluster.

- SETNAME - Defina o nome do cluster.

- LIST - Liste as máquinas no cluster.

- CONNSTATUS - Mostra o status das conexões entre as máquinas no cluster.

- COMUNICAÇÃO - Configure como as máquinas se comunicam no cluster.

- DISCONNECT - Desconecte temporariamente as máquinas do cluster.

- RECONECTAR - Restaure conexões com máquinas que foram desconectadas anteriormente.

- PREPARAÇÃO - Preparar a adição de uma nova máquina sobre o CCS.

[]> SETGROUP

Escolha a máquina para mover para um grupo diferente.  Separe várias máquinas com vírgulas.

1. esalab.cisco.com (grupo ESA_Group)

[1]> 1

Escolha o grupo do qual esalab.cisco.com deve ser membro.

1. ESA_Group

2. Novo_grupo

[1]> 2

esalab.cisco.com definido para group New_Group.

Para renomear um grupo já criado no cluster ESA, usaremos o comando RENAMEGROUP

(Machine esalab.cisco.com)> clusterconfig

Este comando é restrito ao modo "cluster".  Deseja alternar para o modo "cluster"? [S]>

Cluster Cisco

Escolha a operação que deseja executar:

- ADDGROUP - Adicione um grupo de clusters.

- SETGROUP - Defina o grupo do qual as máquinas são membros.

- RENAMEGROUP - Renomear um grupo de clusters.

- DELETEGROUP - Remova um grupo de clusters.

- REMOVEMACHINE - Remova uma máquina do cluster.

- SETNAME - Defina o nome do cluster.

- LIST - Liste as máquinas no cluster.

- CONNSTATUS - Mostra o status das conexões entre as máquinas no cluster.

- COMUNICAÇÃO - Configure como as máquinas se comunicam no cluster.

- DISCONNECT - Desconecte temporariamente as máquinas do cluster.

- RECONECTAR - Restaure conexões com máquinas que foram desconectadas anteriormente.

- PREPARAÇÃO - Preparar a adição de uma nova máquina sobre o CCS.

[]> RENAMEGROUP

Escolha o grupo que deseja renomear.

1. ESA_Group

2. Novo_grupo

[1]> 2

Digite o novo nome do grupo.

[New_Group]> Cluster_Group

Grupo Novo_Grupo renomeado para Cluster_Group.

Finalmente, para excluir um grupo existente do cluster ESA, usaremos o comando DELETEGROUP

(Machine esalab.cisco.com)> clusterconfig

Este comando é restrito ao modo "cluster".  Deseja alternar para o modo "cluster"? [S]>

Cluster Cisco

Escolha a operação que deseja executar:

- ADDGROUP - Adicione um grupo de clusters.

- SETGROUP - Defina o grupo do qual as máquinas são membros.

- RENAMEGROUP - Renomear um grupo de clusters.

- DELETEGROUP - Remova um grupo de clusters.

- REMOVEMACHINE - Remova uma máquina do cluster.

- SETNAME - Defina o nome do cluster.

- LIST - Liste as máquinas no cluster.

- CONNSTATUS - Mostra o status das conexões entre as máquinas no cluster.

- COMUNICAÇÃO - Configure como as máquinas se comunicam no cluster.

- DISCONNECT - Desconecte temporariamente as máquinas do cluster.

- RECONECTAR - Restaure conexões com máquinas que foram desconectadas anteriormente.

- PREPARAÇÃO - Preparar a adição de uma nova máquina sobre o CCS.

[]> DELETEGROUP

Escolha o grupo que deseja remover.

1. Grupo_Cluster

2. ESA_Group

[1]> 1

Escolha o grupo para o qual as máquinas em Cluster_Group devem ser movidas.

1. ESA_Group

[1]> 1

Grupo Cluster_Group removido.

NOTE: Quando adicionamos/removemos máquinas no cluster, as alterações se aplicam instantaneamente aos dispositivos sem uma confirmação. Considerando que, no caso dos grupos ESA, quaisquer ações relacionadas com o mesmo serão aplicadas às AES apenas após uma autorização.