ESA集群要求和设置

简介

本文档介绍集群的基本信息、要求以及如何在思科邮件安全设备(ESA)上设置集群。

  

问题

通常，需要集中大组ESA之间的配置并保持所有ESA的同步，以避免每次进行次要或重大修改时，每次设备都必须更改一次配置。

什么是ESA上的群集？

ESA集中管理功能允许您同时管理和配置多个设备，以在网络中提供更高的可靠性、灵活性和可扩展性，使您能够在遵守本地策略的同时进行全局管理。 

群集由一组具有通用配置信息的计算机组成。  在每个集群中，设备可进一步分为计算机组，其中一台计算机一次只能是一个组的成员。 

集群在点对点架构中实施 — 无主/辅关系。  您可以登录任何计算机以控制和管理整个集群或组。  这允许管理员根据自己的逻辑分组在集群范围、组范围或每台计算机上配置系统的不同元素

要求

要能够开始，您需要将设备加入集群（集中管理），以确保满足以下条件：

• 所有ESA必须具有相同的AsyncOS版本（从下到修订版）。

注意：在版本8.5+中，集中管理密钥不再是必需的，添加后也将不再可见，因为它是AsyncOS中的一项合并功能。

• 如果创建集群以使用端口22（更易于配置），请确保端口22流量上的设备之间不存在防火墙或路由问题。
• 如果要创建集群以使用端口2222（集群通信服务），请确保制定防火墙规则，允许此端口上的流量在不进行检查或中断的情况下可用。
• 集群配置选项必须通过ESA上的CLI完成，并且无法在GUI中创建或加入。
• 如果选择使用主机名进行通信，请确保在设备上设置的DNS服务器能够解析网络中的所有其他设备，并且主机名解析到的IP地址已分配给配置为侦听所选通信端口的接口。
• 确保在设备的接口上启用所需的端口和服务（SSH或CCS）。

创建集群

满足所有要求后，要创建集群，您需要从第一台设备的命令行(CLI)开始。

提示：在配置集群之前，先备份设备上的当前配置。 在GUI中，依次选择System Administration > Configuration File。 取消选中屏蔽的密码框，并将配置本地保存到您的PC。

通过SSH创建集群

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> NameOfCluster

Should all machines in the cluster communicate with each other by hostname or
by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 1.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C370.lab using IP address
1.1.1.1 port 22. You can change this by using the COMMUNICATION subcommand
of the clusterconfig command.
New cluster committed: DATE
Creating a cluster takes effect immediately, there is no need to commit.

Cluster NameOfCluster

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.

通过CCS创建集群

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> Test

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 1.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 2

Enter the IP address for Machine C370.lab.
[]> 1.1.1.1

Enter the port (on 10.66.71.120) for Machine C370.lab.
[22]> 2222

完成此步骤后，您将拥有一个集群，并且所有配置都将从计算机移至集群级别。 这将是所有其它计算机在加入时继承的配置。 

通过SSH或CCS加入现有集群

本节将介绍将您刚刚创建或之前创建的任何新设备添加到现有集群。 通过任一方法加入现有集群的方法将类似，唯一的不同点是CCS需要额外的步骤来完成，以允许集群接受较新的设备。

通过SSH加入

注意： 在以下步骤中以粗体显示的部分需要完全遵循，因为我们使用SSH，您不应说“Y”表示CCS启用。

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on C370.lab? [N]>

Enter the IP address of a machine in the cluster.
[]> 10.66.71.120

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Enter the name of an administrator present on the remote machine
[admin]>

Enter password:
Please verify the SSH host key for 10.66.71.120:
Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef
Is this a valid key for this host? [Y]>

完成此检查后，设备现在将成功加入集群。

通过CCS加入

这在方法上将类似，唯一的区别是在您决定允许新设备进入现有集群之前，您需要登录在集群中处于活动状态的设备。

在集群中的活动设备上：

(Cluster test)> clusterconfig

Cluster test

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:
- NEW - Add a new host that will join the cluster.
[]> new

Enter the hostname of the system you want to add.
[]> ESA.lab

Enter the serial number of the host ESA.lab.
[]> XXXXXXXXXXXXXX-XXXXXA

Enter the user key of the host ESA2.lab.  This can be obtained by typing "clusterconfig prepjoin print" in the CLI on ESA.lab.
Press enter on a blank line to finish.

在上面输入SSH指纹(通过登录尝试加入集群的设备并使用命令clusterconfig prejoin print 获取)并输入空行后，它将完成准备加入。

注意：如果运行PREPJOIN选项，则在辅助ESA上运行clusterconfig 并将该设备加入新配置的集群之前，需要将更改提交到主ESA。  在操作期间，从输出中可以看出以下情况："要使用预共享密钥将此设备加入集群，请登录集群计算机，运行clusterconfig > prepjoin > new 命令，输入以下详细信息，然后提交您的更改。"

然后，您可以在尝试加入的设备上开始加入过程，为此参考，我们将其称为“ESA2.lab”，以匹配上述步骤中的步骤。

注意：以下示例中的SSH-DSS密钥

ESA2.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 4

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  These settings on this machine will remain intact.
In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added.  On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit.
Host: ESA2.lab
Serial Number: XXXXXXXXXXXX-XXXXXA
User Key:
ssh-dss AAAAB3NzaC1kc3.......BrccM=

Choose the interface on which to enable the Cluster Communication Service:
1. ClusterInterface (1.1.1.2/24: ESA2.lab)
[1]> 1

Enter the port on which to enable the Cluster Communication Service:
[2222]

Enter the IP address of a machine in the cluster.
[]> 1.1.1.1

Enter the remote port to connect to.  This must be the CCS port on the machine "1.1.1.1", not the normal admin ssh port.
[2222]>

确认后，系统将显示SSH-DSS密钥，如果该密钥与您接受条款匹配，则集群将成功加入。

群集配置中迁移的内容

集群将提供所有已配置的策略设置、内容过滤器、文本资源、内容词典、LDAP设置、反垃圾邮件和防病毒全局设置、侦听程序设置、SMTP路由设置、DNS设置。

群集配置中未迁移的内容

• 设备本地主机名。
• 配置的IP接口。
• 配置的路由表。
• 本地垃圾邮件隔离区配置。
• 本地策略、病毒和爆发隔离区配置
• 命令行中websecurityadvancedconfig命令下的设置（适用于8.5及更高版本）。 

注意： 如果您有引用不存在的隔离区的内容过滤器，则这些过滤器将失效，直到在计算机上配置了引用的策略隔离区。

如何在ESA集群中配置组

在某些情况下，可能要求集群中的ESA很少以特定方式工作，而不是以其他方式工作。为了实现此目的，我们可以继续创建组，而不是创建新集群。

注意：在组级别进行的配置优先于集群级别配置。

为了创建组，我们可以从ESA的CLI创建组。要开始配置，我们将使用命令clusterconfig —> ADDGROUP

（机器esalab.cisco.com）> clusterconfig

此命令仅限于“集群”模式。  是否要切换到“集群”模式？[Y]>

群集思科

选择要执行的操作：

- ADDGROUP — 添加群集组。

- SETGROUP — 设置计算机所属的组。

- RENAMEGROUP — 重命名群集组。

— 删除组 — 删除群集组。

— 删除计算机 — 从群集中删除计算机。

- SETNAME — 设置群集名称。

- LIST — 列出集群中的计算机。

- CONNSTATUS — 显示集群中计算机之间连接的状态。

— 通信 — 配置计算机在集群内的通信方式。

— 断开连接 — 暂时将计算机从群集中分离。

— 重新连接 — 恢复与之前已分离的计算机的连接。

- PREPJOIN — 准备在CCS上添加一台新机器。

[]>地址组

输入要创建的新群集组的名称。

[]> New_Group

群集组New_Group已创建。

要将ESA从现有集群添加到新创建的组，我们将使用命令SETGROUP 

（机器esalab.cisco.com）> clusterconfig

此命令仅限于“集群”模式。  是否要切换到“集群”模式？[Y]>

群集思科

选择要执行的操作：

- ADDGROUP — 添加群集组。

- SETGROUP — 设置计算机所属的组。

- RENAMEGROUP — 重命名群集组。

— 删除组 — 删除群集组。

— 删除计算机 — 从群集中删除计算机。

- SETNAME — 设置群集名称。

- LIST — 列出集群中的计算机。

- CONNSTATUS — 显示集群中计算机之间连接的状态。

— 通信 — 配置计算机在集群内的通信方式。

— 断开连接 — 暂时将计算机从群集中分离。

— 重新连接 — 恢复与之前已分离的计算机的连接。

- PREPJOIN — 准备在CCS上添加一台新机器。

[]>集组

选择要移动到其他组的计算机。  用逗号分隔多台计算机。

1.esalab.cisco.com（组ESA_Group）

[1]> 1

选择esalab.cisco.com应为其成员的组。

1. ESA_Group

2.新组

[1]> 2

esalab.cisco.com设置为组New_Group。

要重命名ESA集群中已创建的组，我们将使用命令RENAMEGROUP

（机器esalab.cisco.com）> clusterconfig

此命令仅限于“集群”模式。  是否要切换到“集群”模式？[Y]>

群集思科

选择要执行的操作：

- ADDGROUP — 添加群集组。

- SETGROUP — 设置计算机所属的组。

- RENAMEGROUP — 重命名群集组。

— 删除组 — 删除群集组。

— 删除计算机 — 从群集中删除计算机。

- SETNAME — 设置群集名称。

- LIST — 列出集群中的计算机。

- CONNSTATUS — 显示集群中计算机之间连接的状态。

— 通信 — 配置计算机在集群内的通信方式。

— 断开连接 — 暂时将计算机从群集中分离。

— 重新连接 — 恢复与之前已分离的计算机的连接。

- PREPJOIN — 准备在CCS上添加一台新机器。

[]>雷纳美集团

选择要重命名的组。

1. ESA_Group

2.新组

[1]> 2

输入组的新名称。

[New_Group]> Cluster_Group

将Group New_Group重命名为Cluster_Group。

最后，要从ESA集群中删除现有组，我们将使用命令DELETEGROUP

（机器esalab.cisco.com）> clusterconfig

此命令仅限于“集群”模式。  是否要切换到“集群”模式？[Y]>

群集思科

选择要执行的操作：

- ADDGROUP — 添加群集组。

- SETGROUP — 设置计算机所属的组。

- RENAMEGROUP — 重命名群集组。

— 删除组 — 删除群集组。

— 删除计算机 — 从群集中删除计算机。

- SETNAME — 设置群集名称。

- LIST — 列出集群中的计算机。

- CONNSTATUS — 显示集群中计算机之间连接的状态。

— 通信 — 配置计算机在集群内的通信方式。

— 断开连接 — 暂时将计算机从群集中分离。

— 重新连接 — 恢复与之前已分离的计算机的连接。

- PREPJOIN — 准备在CCS上添加一台新机器。

[]>删除组

选择要删除的组。

1. Cluster_Group

2. ESA_Group

[1]> 1

选择Cluster_Group中的计算机应移动到的组。

1. ESA_Group

[1]> 1

已删除Group Cluster_Group。

NOTE:当我们在集群中添加/删除计算机时，更改将立即应用到设备，无需提交。而对于ESA组，与其相关的任何操作都将仅在提交后应用到ESA。