Configurar um cluster do ESA (Email Security Appliance)

Atualizado:9 de abril de 2024
ID do documento:200885

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar um cluster em um Cisco Email Security Appliance (ESA).

    Pré-requisitos 

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Como unir dispositivos em um cluster (gerenciamento centralizado).
    • Todos os ESAs devem ter as mesmas versões do AsyncOS (até a revisão).

    Observação: na versão 8.5+, a chave de gerenciamento centralizado não é mais necessária e também não pode mais ser visível quando adicionada, pois é um recurso incorporado no AsyncOS.

    • Se você criar um cluster para usar a porta 22 (mais fácil de configurar), verifique se não há problemas de firewall ou roteamento entre os dispositivos no tráfego da porta 22.
    • Se você criar um cluster para usar a porta 2222 (Cluster Communication Service), certifique-se de que as regras de firewall sejam criadas para permitir que o tráfego nessa porta esteja disponível sem inspeção ou interrupção.
    • As opções de configuração de cluster devem ser feitas por meio da CLI no ESA e não podem ser criadas ou associadas na GUI.
    • Se você optar por usar um nome de host para comunicação, certifique-se de que os servidores DNS definidos nos aplicativos sejam capazes de resolver todos os outros aplicativos em sua rede e que os endereços IP aos quais os nomes de host resolvem sejam atribuídos a uma interface configurada para escutar na porta de comunicação selecionada.
    • Certifique-se de que, nas interfaces do equipamento, a porta e o serviço necessários estejam ativados (SSH ou CCS).

    Componentes Utilizados

    Este documento não se restringe a versões de software e hardware específicas.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Problema

    O problema é evitar a necessidade contínua de modificação em cada dispositivo sempre que uma configuração entre um grande grupo de ESAs precisar ser centralizada e mantida em sincronia.

    Clusters no ESA

    O recurso de gerenciamento centralizado do ESA permite que você gerencie e configure vários dispositivos ao mesmo tempo, para oferecer maior confiabilidade, flexibilidade e escalabilidade na sua rede. Isso permite que você gerencie globalmente e, ao mesmo tempo, esteja em conformidade com as políticas locais. 

    Um cluster consiste em um conjunto de máquinas com informações de configuração comuns. Em cada cluster, os dispositivos podem ser divididos em grupos de máquinas, onde uma única máquina pode ser membro de apenas um grupo por vez. 

    Os clusters são implementados em uma arquitetura ponto-a-ponto sem relacionamento primário/secundário. Você pode fazer login em qualquer máquina para controlar e administrar todo o cluster ou grupo.  Isso permite que o administrador configure diferentes elementos do sistema em nível de cluster, grupo ou computador, com base em seus próprios grupos lógicos

    Criar o cluster

    Quando todos os requisitos forem atendidos, para criar o cluster, você precisará começar na linha de comando (CLI) do primeiro dispositivo.

    Dica: faça backup da configuração atual no equipamento antes de configurar o cluster. Na GUI, System Administration > Configuration File.  Desmarque a caixa de senha mascarada e salve a configuração localmente em seu PC.

    Criar Cluster sobre SSH

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> NameOfCluster

Should all machines in the cluster communicate with each other by hostname or
by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.11 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C370.lab using IP address
10.1.1.11 port 22. You can change this by using the COMMUNICATION subcommand
of the clusterconfig command.
New cluster committed: DATE
Creating a cluster takes effect immediately, there is no need to commit.

Cluster NameOfCluster

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.

    Criar Cluster Sobre CCS

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> Test

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 2

Enter the IP address for Machine C370.lab.
[]> 10.1.1.1

Enter the port (on 10.66.71.120) for Machine C370.lab.
[22]> 2222

    Depois que essa etapa for concluída, você terá um cluster e todas as suas configurações serão movidas da máquina para o nível de cluster. Essa é a configuração que todas as outras máquinas herdam quando são unidas.

    Ingressar em um cluster atual por meio de SSH ou CCS

    Esta seção aborda como adicionar novos dispositivos ao cluster atual que você criou anteriormente ou recentemente. A associação a um cluster atual por qualquer um dos métodos é semelhante em termos de abordagem, o único ponto-chave de diferença é que o CCS requer uma etapa extra para finalizá-lo para permitir que o cluster aceite o dispositivo mais novo.

    Ingressar por meio do SSH

    Observação: a seção indicada em negrito nessas próximas etapas precisa ser feita exatamente, com o SSH, você não deve dizer sim à ativação do CCS.

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  
    To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
    the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  
    These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on C370.lab? [N]>

Enter the IP address of a machine in the cluster.
[]> 10.66.71.120

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Enter the name of an administrator present on the remote machine
[admin]>

Enter password:
Please verify the SSH host key for 10.66.71.120:
Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef
Is this a valid key for this host? [Y]>

    Após a verificação, o equipamento ingressa no cluster com êxito.

    Ingressar por meio do CCS

    Essa abordagem é semelhante, a única diferença é que, antes de permitir o novo dispositivo no cluster atual, você precisa fazer login no dispositivo que está ativo no cluster.

    No dispositivo ativo no cluster:

    (Cluster test)> clusterconfig

Cluster test

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:
- NEW - Add a new host that will join the cluster.
[]> new

Enter the hostname of the system you want to add.
[]> ESA.lab

Enter the serial number of the host ESA.lab.
[]> XXXXXXXXXXXXXX-XXXXXA

Enter the user key of the host ESA2.lab.  This can be obtained by typing 
    "clusterconfig prepjoin print" in the CLI on ESA.lab.
Press enter on a blank line to finish.


    Depois de inserir a impressão digital SSH (que é obtida quando você faz login no dispositivo que tenta unir seu cluster e com o comando clusterconfig prepjoin print ) no exemplo de código anterior e inserir uma linha em branco, ele conclui a junção de preparação.

    Observação: se você executar a PREPJOIN opção, precisará confirmar suas alterações no ESA primário antes de executar  clusterconfig  no ESA secundário e associar esse dispositivo ao cluster recém-configurado.  Isso é observado a partir da saída durante toda a operação: para adicionar este dispositivo a um cluster com chaves pré-compartilhadas, faça login no computador do cluster, execute o clusterconfig > prepjoin > new  comando , insira os próximos detalhes e commit suas alterações.

    Em seguida, você pode iniciar o processo de junção no equipamento que tenta se juntar, para referência, chame-o de ESA2.lab para corresponder ao da etapa anterior.

    Observação: a chave SSH-DSS está no próximo exemplo.

    ESA2.lab> clusterconfig Do you want to join or create a cluster? 1. No, configure as standalone. 2. Create a new cluster. 3. Join an existing cluster over SSH. 4. Join an existing cluster over CCS. [1]> 4 While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining. 
    To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint. WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
    the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings) Exception: Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster. 
    These settings on this machine will remain intact. In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added. 
    On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit. Host: ESA2.lab Serial Number: XXXXXXXXXXXX-XXXXXA User Key: ssh-dss AAAAB3NzaC1kc3.......BrccM= Choose the interface on which to enable the Cluster Communication Service: 1. ClusterInterface (10.1.1.2/24: ESA2.lab) [1]> 1 Enter the port on which to enable the Cluster Communication Service: [2222] Enter the IP address of a machine in the cluster. []> 10.1.1.1 Enter the remote port to connect to. This must be the CCS port on the machine "10.1.1.1", 
    not the normal admin ssh port. [2222]>

    Uma vez confirmado, você verá a chave SSH-DSS. Se for correspondente, você poderá aceitar os termos e o cluster será unido com êxito.

    O que é migrado em uma configuração de cluster

    A configuração do cluster migra:

    • Definições de política configuradas
    • Filtros de conteúdo
    • Recursos de texto
    • Dicionários de conteúdo
    • Configurações LDAP
    • Antisspam E Antivírus
    • Configurações globais
    • Configurações de ouvinte
    • Configurações de rota SMTP
    • Configurações DNS
      •

    O que não é migrado em uma configuração de cluster

    A configuração do cluster não migra:

    • Appliance Local Hostname (Nome de host local do aplicativo).
    • Interfaces IP configuradas.
    • Tabelas De Roteamento Configuradas.
    • Configuração de quarentena de spam local.
    • Configurações de quarentena de política local, vírus e epidemia
    • Configurações sob o websecurityadvancedconfig  comando na linha de comando (para versões 8.5 e mais recentes). 
      •
    note-icon

    Observação: se você tiver filtros de conteúdo que fazem referência a quarentenas que não existem, eles serão invalidados até que a(s) quarentena(s) de política referenciada(s) seja(m) configurada(s) no computador.

    Como os grupos são configurados em um cluster ESA

    Em determinados cenários, pode ser necessário que poucos ESAs no cluster trabalhem de uma maneira específica do que os demais. Para isso, não é necessário criar um novo cluster e você pode continuar com a criação de Grupos.

    note-icon

    Observação: as configurações feitas no nível de Grupo têm precedência sobre a configuração no nível de Cluster.

    Para a criação de grupos, crie-o a partir da CLI do ESA. Para iniciar a configuração, use o comando clusterconfig --> ADDGROUP :

    (Computador esalab.cisco.com)> configuração de cluster 

    Este comando está restrito ao modo "cluster".  Deseja alternar para o modo "cluster"? [S]>

    Cluster Cisco

    Escolha a operação que deseja executar:

    - ADDGROUP - Adiciona um grupo de clusters.

    - SETGROUP - Defina o grupo do qual as máquinas são membros.

    - RENAMEGROUP - Renomear um grupo de clusters.

    - DELETEGROUP - Remove um grupo de clusters.

    - REMOVEMACHINE - Remove um computador do cluster.

    - SETNAME - Defina o nome do cluster.

    - LIST - Liste as máquinas no cluster.

    - CONNSTATUS - Mostra o status das conexões entre máquinas no cluster.

    - COMUNICAÇÃO - Configure como as máquinas se comunicam dentro do cluster.

    - DISCONNECT - Desconecte temporariamente as máquinas do cluster.

    - RECONECTAR - Restaura conexões com computadores anteriormente desconectados.

    - PREPJOIN - Prepare a adição de uma nova máquina em CCS.

    []> ADICIONAR GRUPO

    Digite o nome do novo grupo de clusters a ser criado.

    []> Novo_grupo

    Novo grupo de clusters criado.

    Para adicionar ESAs do cluster atual ao novo grupo criado, use o comando SETGROUP: 

    (Computador esalab.cisco.com)> configuração de cluster

    Este comando está restrito ao modo "cluster".  Deseja alternar para o modo "cluster"? [S]>

    Cluster Cisco

    Escolha a operação que deseja executar:

    - ADDGROUP - Adiciona um grupo de clusters.

    - SETGROUP - Defina o grupo do qual as máquinas são membros.

    - RENAMEGROUP - Renomear um grupo de clusters.

    - DELETEGROUP - Remove um grupo de clusters.

    - REMOVEMACHINE - Remove um computador do cluster.

    - SETNAME - Defina o nome do cluster.

    - LIST - Liste as máquinas no cluster.

    - CONNSTATUS - Mostra o status das conexões entre máquinas no cluster.

    - COMUNICAÇÃO - Configure como as máquinas se comunicam dentro do cluster.

    - DISCONNECT - Desconecte temporariamente as máquinas do cluster.

    - RECONECTAR - Restaura conexões com computadores anteriormente desconectados.

    - PREPJOIN - Prepare a adição de uma nova máquina em CCS.

    []> CONFIGURAR GRUPO

    Escolha a máquina a ser movida para um grupo diferente.  Separe várias máquinas com vírgulas.

    1. esalab.cisco.com (grupo ESA_Group)

    [1]> 1

    Escolha o grupo do qual esalab.cisco.com deve ser membro.

    1. ESA_Group

    2. Novo_Grupo

    [1]> 2

    esalab.cisco.com definido para o grupo New_Group.

    Para renomear um grupo atual no cluster do ESA, use o comando RENAMEGROUP:

    (Computador esalab.cisco.com)> configuração de cluster

    Este comando está restrito ao modo "cluster".  Deseja alternar para o modo "cluster"? [S]>

    Cluster Cisco

    Escolha a operação que deseja executar:

    - ADDGROUP - Adiciona um grupo de clusters.

    - SETGROUP - Defina o grupo do qual as máquinas são membros.

    - RENAMEGROUP - Renomear um grupo de clusters.

    - DELETEGROUP - Remove um grupo de clusters.

    - REMOVEMACHINE - Remove um computador do cluster.

    - SETNAME - Defina o nome do cluster.

    - LIST - Liste as máquinas no cluster.

    - CONNSTATUS - Mostra o status das conexões entre máquinas no cluster.

    - COMUNICAÇÃO - Configure como as máquinas se comunicam dentro do cluster.

    - DISCONNECT - Desconecte temporariamente as máquinas do cluster.

    - RECONECTAR - Restaura conexões com computadores anteriormente desconectados.

    - PREPJOIN - Prepare a adição de uma nova máquina em CCS.

    []> RENOMEAR GRUPO

    Escolha o grupo que deseja renomear.

    1. ESA_Group

    2. Novo_Grupo

    [1]> 2

    Digite o novo nome do grupo.

    [Novo_Grupo]> Cluster_Group

    Grupo New_Group renomeado para Cluster_Group.

    Para excluir um grupo atual do cluster ESA, use o comando  DELETEGROUP

    (Computador esalab.cisco.com)> configuração de cluster

    Este comando está restrito ao modo "cluster".  Deseja alternar para o modo "cluster"? [S]>

    Cluster Cisco

    Escolha a operação que deseja executar:

    - ADDGROUP - Adiciona um grupo de clusters.

    - SETGROUP - Defina o grupo do qual as máquinas são membros.

    - RENAMEGROUP - Renomear um grupo de clusters.

    - DELETEGROUP - Remove um grupo de clusters.

    - REMOVEMACHINE - Remove um computador do cluster.

    - SETNAME - Defina o nome do cluster.

    - LIST - Liste as máquinas no cluster.

    - CONNSTATUS - Mostra o status das conexões entre máquinas no cluster.

    - COMUNICAÇÃO - Configure como as máquinas se comunicam dentro do cluster.

    - DISCONNECT - Desconecte temporariamente as máquinas do cluster.

    - RECONECTAR - Restaura conexões com computadores anteriormente desconectados.

    - PREPJOIN - Prepare a adição de uma nova máquina em CCS.

    []> EXCLUIRGRUPO

    Escolha o grupo que deseja remover.

    1. Grupo_Clusters

    2. Grupo ESA

    [1]> 1

    Escolha o grupo para o qual os computadores em Cluster_Group devem ser movidos.

    1. ESA_Group

    [1]> 1

    Grupo Cluster_Group removido.

    note-icon

    Observação: quando você adiciona/remove computadores no cluster, as alterações se aplicam instantaneamente aos dispositivos sem um commit. Considerando que, no caso dos grupos ESA, as ações com eles relacionadas só são aplicadas às ESA após um commit período.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    3.0
    09-Apr-2024
    Recertificação
    1.0
    12-Dec-2016
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Matthew Huynh
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos