使用集群进行集中管理

本章包含以下部分:

使用集群进行集中管理概述

思科集中管理功能允许同时管理和配置多个邮件网关,减少管理时间,并确保网络中的配置一致。您无需购买额外的硬件来管理多个邮件网关。集中管理功能可提高网络内的可靠性、灵活性和可扩展性,从而可以实现全局管理,同时又能遵从本地策略。

集群是一组共享配置信息的计算机。在集群内,计算机(邮件网关)划分为;每个集群至少包含一个组。一台特定计算机是且仅是一个组的成员。管理员用户可以在集群范围内、组范围内或每台计算机上配置不同的系统元素,从而基于网络、地域、业务部门或其他逻辑关系细分邮件网关

集群按点对点架构形式实施;集群内没有主/辅助关系。您可以登录到任何计算机来控制和管理集群。(但是,某些配置命令受限。请参阅限制的命令。)

用户数据库在集群内的所有计算机之间共享。也就是说,整个集群只有一组用户和一个管理员用户(具有相关密码)。加入集群的所有计算机将共享一个管理员密码,该密码称为集群的 admin 密码


Note
如果集群中的邮件网关超过 20 个,可能会导致集群通信出现错误。

集群要求

  • 集群中的计算机必须在 DNS 中具有可解析的主机名。或者,可以改为使用 IP 地址,但不能将两者混合使用。

    请参阅 DNS 和主机名解析。集群通信通常使用计算机的 DNS 主机名发起。

  • 集群必须全部由运行相同版本 AsyncOS 的计算机组成。

    有关如何升级集群成员的信息,请参阅升级集群中的计算机

  • 计算机可以通过 SSH(通常在端口 22 中)集群通信服务 (CCS) 加入集群。

    请参阅集群通信

  • 计算机加入集群后,即可通过 SSH 或集群通信服务进行通信。使用的端口是可配置的。通常在端口 22 中启用 SSH,而且 CCS 默认在端口 2222 中启用,但可以在其他端口上配置这些服务。

    除了必须为邮件网关打开的正常防火墙端口之外,通过 CCS 通信的集群化计算机必须能够通过 CCS 端口相互连接。请参阅集群通信

  • 您必须使用命令行界面 (CLI) 命令 clusterconfig 创建、加入或配置计算机的集群。

    创建集群后,可通过 GUI 或 CLI 管理非集群的配置设置。

    请参阅创建和加入集群通过 GUI 管理集群

集群组织

在集群内,配置信息可分为 3 组或 3 个级别。最顶层的级别描述集群设置,中间的级别描述组设置,最底层的级别描述计算机特定的设置。

Figure 1. 集群级别层次结构


在每个级别中,都有一个或多个可为其配置设置的特定成员,我们称其为模式。模式是指特定级别的指定成员。例如,“usa”组表示图中的两个组模式之一。级别是一般术语,模式是特定术语;模式这一称谓始终由名称而来。上图中描述的集群有六种模式。

虽然设置在指定级别进行配置,但总是针对特定模式配置。无需为一个级别内的所有模式配置设置。集群模式是一种特殊情况。由于只能存在一个集群,所以为集群模式配置的所有设置都可以称为在集群级别配置。

通常,应在集群级别配置大多数设置。但是,已在较低级别专门配置的设置将覆盖在较高级别配置的设置。因此,可以使用组模式或计算机模式设置覆盖集群模式设置。

例如,您可以首先在集群模式下配置友好相邻表;集群中的所有计算机都将使用该配置。然后,还可以在计算机模式下为计算机 newyork 配置此表。在这种情况下,集群中的所有其他计算机仍将使用在集群级别定义的友好相邻表,但计算机 newyork 将以其单独的计算机模式设置覆盖集群设置。

覆盖特定组或计算机集群设置的功能为您提供了极大的灵活性。但是,如果您发现自己在计算机模式下单独配置了许多设置,将失去集群预期提供的很多管理便利性。

初始配置设置

对于大多数功能,当您开始配置新模式的设置时,默认情况下,这些设置最初均为空。在一种模式下,设置为空与无设置之间有所不同。例如,有一个非常简单的集群,其中包含一个组和一台计算机。假设您在集群级别配置了一个 LDAP 查询。在组或计算机级别未配置设置:

集群

(ldap queries: a, b, c)

Group

Machine

现在,假设您为该组创建了新的 LDAP 查询设置。结果类似如下:

集群

(ldap queries: a, b, c)

Group

(ldap queries: None)

Machine

现在,组级别设置将覆盖集群级别设置;不过新的组设置初始为空。组模式实际上没有配置自己的任何 LDAP 查询。请注意,此组中的计算机将从组中继承 LDAP 查询的“空”集。

接下来,可以将 LDAP 查询添加到该组中,例如:

集群

(ldap queries: a, b, c)

Group

(ldap queries: d)

Machine

现在,集群级别配置了一组查询,而组中有另一组查询。计算机将继承该组中的查询。

创建和加入集群

无法在图形用户界面 (GUI) 中创建或加入集群。您必须使用命令行界面 (CLI) 创建、加入或配置计算机的集群。创建集群后,可通过 GUI 或 CLI 更改配置设置。

clusterconfig 命令

计算机只能通过 clusterconfig 命令创建或加入集群。

  • 创建新集群后,该集群的所有初始设置都将从创建该集群的计算机中继承。如果计算机之前在“独立”模式下配置,则在创建集群时将使用其独立设置。
  • 在计算机加入集群后,该计算机所有可集群化的设置都将从集群级别继承。换句话说,除了特定于计算机的某些设置(IP 地址等)外,其他一切都将丢失,并替换为要加入的且为该计算机所选的集群和/或组中的设置。如果计算机之前在“独立”模式下配置,则在创建集群时将使用其独立设置,而不会保留计算机级别的任何设置。

如果当前的计算机尚不属于某个集群,发送 clusterconfig 命令可提供加入现有集群或创建新集群的选项。

这时,可以将计算机添加到新集群中。这些计算机可通过 SSH 或 CCS 进行通信。 

newyork.example.com> clusterconfig

Do you want to join or create a cluster?

1. No, configure as standalone.

2. Create a new cluster.

3. Join an existing cluster over SSH.

4. Join an existing cluster over CCS.

[1]> 2

Enter the name of the new cluster.

[]> americas

New cluster committed: Wed Jun 22 10:02:04 2005 PDT

Creating a cluster takes effect immediately, there is no need to commit.

Cluster americas

Choose the operation you want to perform:

- ADDGROUP - Add a cluster group.

- SETGROUP - Set the group that machines are a member of.

- RENAMEGROUP - Rename a cluster group.

- DELETEGROUP - Remove a cluster group.

- REMOVEMACHINE - Remove a machine from the cluster.

- SETNAME - Set the cluster name.

- LIST - List the machines in the cluster.

- LISTDETAIL - List the machines in the cluster with detail.

- DISCONNECT - Temporarily detach machines from the cluster.

- RECONNECT - Restore connections with machines that were previously detached.

- PREPJOIN - Prepare the addition of a new machine over CCS.

[]>

加入现有集群

在要添加到集群的主机中,发出 clusterconfig 命令可加入现有集群。可以选择通过 SSH 或 CCS(集群通信服务)加入集群。

要将主机加入现有集群,必须:

  • 可以验证集群中计算机的 SSH 主机密钥
  • 知道集群中计算机的 IP 地址,并能够连接到到集群中的此计算机(例如,通过 SSH 或 CCS)
  • 知道属于该集群的某台计算机中 admin 用户的管理员密码

通过 SSH 加入现有集群

下表演示如何使用 SSH 选项将计算机 losangeles.example.com 添加到集群。 

losangeles.example.com> clusterconfig


Do you want to join or create a cluster?

1. No, configure as standalone.

2. Create a new cluster.

3. Join an existing cluster over SSH.

4. Join an existing cluster over CCS.

[1]> 3


While joining a cluster, you will need to validate the SSH host key of the remote
machine to which you are joining. To get the public host key

fingerprint of the remote host, connect to the cluster and run: logconfig ->
hostkeyconfig -> fingerprint.


WARNING: All non-network settings will be lost. System will inherit the values set at
the group or cluster mode for the non-network settings. Ensure that the cluster
settings are compatible with your network settings (e.g. dnsconfig settings)

Do you want to enable the Cluster Communication Service on
losangeles.example.com? [N]> n

Enter the IP address of a machine in the cluster.

[]> IP address is entered

Enter the remote port to connect to. The must be the normal admin ssh
port, not the CCS port.

[22]> 22

Enter the admin passphrase for the cluster.
The administrator passphrase for the clustered machine is entered

Please verify the SSH host key for IP address:

Public host key fingerprint: xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx

Is this a valid key for this host? [Y]> y

Joining cluster group Main_Group.

Joining a cluster takes effect immediately, there is no need to commit.

Cluster americas

Choose the operation you want to perform:

- ADDGROUP - Add a cluster group.

- SETGROUP - Set the group that machines are a member of.

- RENAMEGROUP - Rename a cluster group.

- DELETEGROUP - Remove a cluster group.

- REMOVEMACHINE - Remove a machine from the cluster.

- SETNAME - Set the cluster name.

- LIST - List the machines in the cluster.

- LISTDETAIL - List the machines in the cluster with detail.

- DISCONNECT - Temporarily detach machines from the cluster.

- RECONNECT - Restore connections with machines that were previously detached.

- PREPJOIN - Prepare the addition of a new machine over CCS.

[]>

(Cluster americas)>

通过 CCS 加入现有集群

如果无法使用 SSH,请使用 CCS 替代 SSH。CCS 唯一的优势是,通过该端口只会进行集群通信(无用户登录、SCP 等)。要通过 CCS 将其他计算机添加到现有集群,请使用 clusterconfig 的子命令 prepjoin 准备要添加到集群的计算机。在本例中,在计算机 newyork 中发出 prepjoin 命令,准备要添加到集群中的计算机 losangeles。

prepjoin 命令涉及:通过在要添加到集群的主机的 CLI 中键入 clusterconfig prepjoin print 获取该主机的用户密钥,然后将该密钥复制到当前位于集群中的主机的命令行。

计算机成为集群的一部分后,使用 clusterconfig 命令可以针对该集群配置各种设置。 

Choose the operation you want to perform:


- ADDGROUP - Add a cluster group.

- SETGROUP - Set the group that machines are a member of.

- RENAMEGROUP - Rename a cluster group.

- DELETEGROUP - Remove a cluster group.

- REMOVEMACHINE - Remove a machine from the cluster.

- SETNAME - Set the cluster name.

- LIST - List the machines in the cluster.

- LISTDETAIL - List the machines in the cluster with detail.

- DISCONNECT - Temporarily detach machines from the cluster.

- RECONNECT - Restore connections with machines that were previously detached.

- PREPJOIN - Prepare the addition of a new machine over CCS.

[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:

- NEW - Add a new host that will join the cluster.

[]> new

Enter the hostname of the system you want to add.

[]> losangeles.example.com

Enter the serial number of the host mail3.example.com.

[]> unique serial number is added

Enter the user key of the host losangeles.example.com. This can be obtained by typing
"clusterconfig prepjoin print" in the CLI on mail3.example.com. Press enter on a blank
line to finish.


unique user key from output of prepjoin print is pasted

Host losangeles.example.com added.

Prepare Cluster Join Over CCS

1. losangeles.example.com (serial-number)

Choose the operation you want to perform:

- NEW - Add a new host that will join the cluster.

- DELETE - Remove a host from the pending join list.

[]>


(Cluster Americas)> clusterconfig

Cluster americas

Choose the operation you want to perform:

- ADDGROUP - Add a cluster group.

- SETGROUP - Set the group that machines are a member of.

- RENAMEGROUP - Rename a cluster group.

- DELETEGROUP - Remove a cluster group.

- REMOVEMACHINE - Remove a machine from the cluster.

- SETNAME - Set the cluster name.

- LIST - List the machines in the cluster.

- LISTDETAIL - List the machines in the cluster with detail.

- DISCONNECT - Temporarily detach machines from the cluster.

- RECONNECT - Restore connections with machines that were previously detached.

- PREPJOIN - Prepare the addition of a new machine over CCS.

[]>

使用预共享密钥通过 SSH 加入现有集群

下表演示如何使用预共享密钥通过 SSH 将计算机 (testmachine.example.com) 加入集群 (test_cluster)。 

testmachine.example.com> clusterconfig


Do you want to join or create a cluster?

1. No, configure as standalone.

2. Create a new cluster.

3. Join an existing cluster over SSH.

4. Join an existing cluster over CCS.

[1]> 3


While joining a cluster, you will need to validate the SSH host key of the remote
machine to which you are joining. To get the public host key

fingerprint of the remote host, connect to the cluster and run: logconfig ->
hostkeyconfig -> fingerprint.


WARNING: All non-network settings will be lost. System will inherit the values set at
the group or cluster mode for the non-network settings. Ensure that the cluster
settings are compatible with your network settings (e.g. dnsconfig settings)

Do you want to enable the Cluster Communication Service on
testmachine.example.com? [N]> 

Enter the IP address of a machine in the cluster.

[]> IP address entered

Enter the remote port to connect to. The must be the normal admin ssh
port, not the CCS port.

[22]>

Would you like to join this appliance to a cluster using pre-shared keys? 


To join this appliance to a cluster using pre-shared keys, log in to the cluster machine, 
run the clusterconfig > prepjoin > command, enter the
following details, and commit your changes.
Host: pod1226-esa07.ibesa
Serial Number: 42291A18D741EDB4C601-BC14E5579F34
User Key:

ssh-dss
AAAAB3NzaC1kc3MAAACBAJ6Xm+ja4aau9n4DOcJs/gGwEDEUWgERYchhgWApKt6IW+s58I7knGM81rQgQbNdNCO58D
EqaVGmP0Vyb0TTpgvh6f0mr80OuTgWh9bqg4uiOJvbKvlTvDt0o7//mTklm159zr2KT/qFH+9L5i+8iIMX62R5y+a
6E8JV0BrJCNAAAAFQCmK+WOu9HSribsC0f/5dVoADdxEwAAAIA5p7NR74rlSrs0JWWYItNAtE1SamAN+gqCOdUWGPPHT
qdrtBIlPQ9tfFoThZElqY4Tx8lku9laasoRLruQ2Z36R3bQGzIn4jzQqujvvbxTvLK9eLoSr8yFbEE3ZvuUo0+vhDn
LIDX2N65AQSQsTaOrKX+yQZ8yAVt48CsctpsDrgAAAIAVROGlWoSl8g3FFm2eRTa+/oZ+cMjv+pSZiZoiUCoaIlouc
u1ZDpN413QBnf6p/3D8wVD8m5uo8O4N/HXasAMektZvGoP4Sf+shItPuISRv3lrMTEYsD0sqVcMc7vIXUeD2jpOk7MB
ooVkTZB/rdTbNMfXrhDkNJ2IAPQQiUKVnw==

Before you proceed to the next step, make sure you add the ‘Host’, Serial Number’ and ‘User Key’ 
details to the cluster machine.

Would you like to continue? [Y]> yes

Joining cluster group Main_Group.

Joining a cluster takes effect immediately, there is no need to commit. 

Cluster test_cluster

Choose the operation you want to perform:

- ADDGROUP - Add a cluster group.

- SETGROUP - Set the group that machines are a member of.

- RENAMEGROUP - Rename a cluster group.

- DELETEGROUP - Remove a cluster group.

- REMOVEMACHINE - Remove a machine from the cluster.

- SETNAME - Set the cluster name.

- LIST - List the machines in the cluster.

- LISTDETAIL - List the machines in the cluster with detail.

- DISCONNECT - Temporarily detach machines from the cluster.

- RECONNECT - Restore connections with machines that were previously detached.

- PREPJOIN - Prepare the addition of a new machine over CCS.

[]>

(Cluster test_cluster)>

添加组

所有集群必须至少包含一个组。在创建新集群时,系统会自动创建一个名为 Main_Group 的默认组。但是,您可以决定在集群中创建其他组。本示例展示了如何在现有集群中创建其他组以及向新组分配计算机。

Procedure

Step 1

发出 clusterconfig 命令。

Step 2

选择 addgroup 子命令,并输入新组的名称。

Step 3

使用 setgroup 子命令选择新组的计算机。

管理集群

通过 CLI 管理集群

对于属于集群的计算机,CLI 可以切换到不同的模式。重申一下,模式是指某个级别特定的指定成员。

CLI 模式完全决定修改配置设置的位置。对于用户登录到的计算机“登录主机”,默认为“计算机”模式。

使用 clustermode 命令可在不同模式之间切换。

Table 1. 管理集群

命令示例

说明 


clustermode

提示切换集群模式 


clustermode group northamerica

将“northamerica”组切换到组模式 


clustermode machine losangeles.example.com

将计算机“losangeles”切换到计算机模式

CLI 中的提示变为指示当前模式。 


(Cluster Americas)> 


(Machine losangeles.example.com)>

在计算机模式下,提示将包括计算机的完全限定域名。

复制和移动设置

所有非受限(请参阅限制的命令)的命令都有新的操作:CLUSTERSHOWCLUSTERSETCLUSTERSHOW 用于显示配置命令的模式(请参阅添加的新操作)。CLUSTERSET 操作允许在不同模式或不同级别(例如,从一台计算机到到一个组)之间移动或复制当前的设置(可通过当前的命令配置)。

copy 将保留当前模式的设置。move 将重置(清除)当前模式的配置;例如,在移动后,当前模式将没有配置任何设置。

例如,如果您为组 northamerica 配置了“友好相邻表”设置(destconfig 命令),并且希望整个集群都采用这些设置,则可以在 destconfig 命令内使用 clusterset 操作,将当前设置复制(或移动)到集群模式。(请参阅测试新配置。)


Caution

移动或复制配置设置避免时务必小心,以避免从属关系不一致。例如,如果要将配置了免责声明标记的侦听程序移动或复制到其他计算机,而新计算机没有配置相同的免责声明,则在新计算机中不会启用免责声明标记。

测试新配置

使用集群最有利的方面之一,就是测试新的配置设置。首先,在独立环境下,在计算机模式下进行更改。然后,对所做的配置满意后,将这些配置更改上移到集群模式,以用于所有计算机。

以下示例显示了在一台计算机上更改侦听程序设置,准备好后再将设置发布到集群其余部分的步骤。由于侦听程序通常在集群级别配置,所以示例首先是将配置下拉到一台计算机的计算机模式,然后才进行更改并测试。您应在一台计算机上测试此类型的试验性更改,然后再对集群中的其他计算机进行更改。

Procedure

Step 1

使用 clustermode cluster 命令更改到集群模式。

切记,clustermode 命令是用来将模式更改到集群、组和计算机级别的 CLI 命令。

Step 2

键入 listenerconfig 可查看为集群配置的侦听程序设置。

Step 3

选择用于试验的计算机,然后使用 clusterset 命令将设置从集群“向下”复制到计算机模式。

Step 4

使用 clustermode 命令导航到试验计算机的计算机模式,例如:

clustermode machine newyork.example.com

Step 5

在计算机模式下,在试验计算机中发出 listenerconfig 命令,以专门针对试验计算机进行更改。

Step 6

确认更改。

Step 7

在试验计算机上继续试验配置更改,切记要确认更改。

Step 8

在准备好将新设置应用到所有其他计算机后,使用 clusterset 命令将设置上移到集群模式。

Step 9

确认更改。

永久退出集群(删除)

使用 clusterconfig 的 REMOVEMACHINE 操作,可从集群中永久删除计算机。从集群中永久删除计算机后,其配置将“趋于扁平”,适用范围与其之前属于集群成员时相同。例如,如果只有一个集群模式的“全局取消订用”(Global Unsubscribe) 表,则从集群中删除该计算机后,该“全局取消订用”(Global Unsubscribe) 表数据将复制到计算机的本地配置中。

升级集群中的计算机

集群不允许连接的计算机采用不同版本的 AsyncOS。

在安装 AsyncOS 升级之前,需要通过 clusterconfig 命令断开集群中每台计算机。升级所有计算机后,可以通过 clusterconfig 命令重新连接集群。将计算机升级到相同版本时,可以运行两个不同的集群。此外,还可以在“GUI 升级”(GUI Upgrades) 页面升级集群中的计算机。

可以在后台下载升级,这样在准备好安装升级之前,无需断开集群计算机。


Note
如果在从集群断开每台计算机之前就使用升级命令,AsyncOS 将断开集群中的所有计算机。思科系统公司建议先从集群中断开每台计算机,再进行升级。然后,其他计算机可以继续作为集群运行,直到每台计算机均已断开和升级。

Procedure

Step 1

在集群中的某台计算机上,使用 clusterconfig 的 disconnect 操作。例如,要断开计算机 losangeles.example.com,请键入 type clusterconfig disconnect losangeles.example.com。无需 commit。

Step 2

或者,在升级过程中,使用 suspendlistener 命令停止接受新连接和消息。

Step 3

发出 upgrade 命令,将 AsyncOS 升级到更新的版本。

Note

 
忽略有关断开集群中的所有计算机的任何警告或确认提示。由于您已断开计算机,AsyncOS 此时不会断开集群中的其他计算机。

Step 4

选择计算机的 AsyncOS 版本。升级完成后,计算机将重启。

Step 5

在升级计算机中使用 resume 命令,以开始接受新消息。

Step 6

针对集群中的每台计算机,重复步骤 1 - 5。

Note

 
从集群中断开某台计算机后,将无法使用它来更改其他计算机的配置。虽然仍可以修改集群配置,但断开计算机后请勿进行更改,因为设置无法同步。

Step 7

在升级了所有计算机后,针对每台升级的计算机使用 clusterconfig 的 reconnect 操作,以便重新连接。例如,要重新连接计算机 losangeles.example.com,请键入 clusterconfig reconnect losangeles.example.com。请注意,只能将计算机连接到运行相同版本 AsyncOS 的集群。

CLI 命令支持

所有命令均为集群感知

AsyncOS 中的所有 CLI 命令现在都是集群可感知的。在集群模式下发出某些命令时,其行为可能稍有变化。例如,在属于集群的计算机中发出以下命令时,它们的行为有所变化:

commit 和 clearchanges 命令

commit

commit 命令将确认在集群所有三个级别进行的全部更改,不考虑您当前所处的模式。

commitdetail

commitdetail 命令提供将配置应用到集群内的所有计算机时,有关配置变更的详细信息。

clearchanges

clearchanges (clear) 命令将清除集群所有三个级别的全部更改,不考虑您当前所处的模式。

添加的新操作

CLUSTERSHOW

在每个命令中,现在都有一个 CLUSTERSHOW 操作,允许您查看配置命令的模式。

当输入 CLI 命令要执行的操作将会被较低级的现有设置覆盖时,您将会看到通知。例如,如果您在集群模式下输入命令,可能会看到如下通知: 

Note: Changes to these settings will not affect the following groups and machines
because they are overriding the cluster-wide settings:

East_Coast, West_Coast

facilities_A, facilities_B, receiving_A

如果您正在编辑组模式的设置,也会显示类似的消息。

限制的命令

大多数 CLI 命令及其对应的 GUI 页面可在任何模式(集群、组或计算机)下运行。但是,有些命令和页面仅限于一种模式。

系统界面(GUI 和 CLI)始终会明确指出命令受限及其受限方式。切换到配置命令的适当模式非常方便。

  • 在 GUI 中,可使用“更改模式”(Change Mode) 菜单或“当前定义此功能设置的位置:”(Settings for this features are currently defined at:) 链接切换模式。
  • 在 CLI 中,可使用 clustermode 命令切换模式。
Table 2. 仅限于集群模式的命令

clusterconfig

sshconfig

clustercheck

userconfig

passwd

如果尝试在组或计算机级别运行上述某个命令,系统将为您提供警告消息,并允许您切换到适当的模式。


Note
passwd 命令是特殊情况,因为它需要能被访客用户使用。如果访客用户在集群模式下在一台计算机上发出 passwd 密码,则它不会输出警告消息,而只是以静默方式操作集群级别的数据,而不会更改用户的模式。所有其他用户将会遇到上面提到的情况(与其他受限的配置命令保持一致)。

以下命令仅限于计算机模式


antispamstatus
 

etherconfig
 

resume
 

suspenddel
 

antispamupdate
 

featurekey
 

resumedel
 

suspendlistener
 

antivirusstatus
 

hostrate
 

resumelistener
 

techsupport
 

antivirusupdate
 

hoststatus
 

rollovernow
 

tophosts
 

bouncerecipients
 

interfaceconfig
 

routeconfig
 

topin
 

deleterecipients
 

ldapflush
 

sbstatus
 

trace
 

delivernow
 

ldaptest
 

setgateway
 

version
 

diagnostic
 

nslookup
 

sethostname
 

vofflush
 

dnsflush
 

quarantineconfig
 

settime
 

vofstatus
 

dnslistflush
 

rate
 

shutdown
 

workqueue
 

dnslisttest
 

reboot
 

status
 



dnsstatus
 

resetcounters
 

suspend

如果尝试在集群或组级别运行上述某个命令,系统将为您提供警告消息,并允许您切换到适当的模式。

而且,以下命令还限于登录主机(即您登录到的特定计算机)。这些命令要求有权访问本地文件系统。

Table 3. 限于登录主机模式的命令

last

resetconfig

tail

upgrade

ping

supportrequest

telnet

who

通过 GUI 管理集群

虽然从 GUI 无法创建或加入集群或管理集群特定的设置(相当于 clusterconfig 命令),但可以在 GUI 内浏览集群中的计算机,并在集群、组和计算机之间创建、删除、复制和移动设置(即相当于执行 clustermodeclusterset 命令)。

“传入邮件概述”(Incoming Mail Overview) 页面是限于登录主机的命令示例,因为您查看的邮件流量监控数据存储在本地计算机中。要查看其他计算机的传入邮件概述报告,必须登录到该计算机的 GUI。

如果邮件网关上启用了集群,请注意浏览器地址字段中的 URL。URL 中将包含相应的单词 machine、groupcluster。例如,首次登录时,“传入邮件概述”(Incoming Mail Overview) 页面的 URL 将显示为:

https:// hostnamemachine/serial_number /monitor/incoming_mail_overview


Note
“监控”(Monitor) 菜单中的“传入邮件概述”(Incoming Mail Overview) 和“传入邮件详细信息”(Incoming Mail Details) 页面仅限于登录计算机。

“邮件策略”(Mail Policies)、“安全服务”(Security Services)、“网络”(Network,) 和“系统管理”(System Administration) 选项卡包含不限于本地计算机的页面。如果点击“邮件策略”(Mail Policies) 选项卡,GUI 中的集中管理信息将发生变化。

Figure 2. GUI 中的集中管理功能:未定义设置


在上图中,计算机将从集群模式继承当前功能的所有配置设置。继承的设置为浅灰色(预览)。您可以保留这些设置,也可以更改它们,覆盖此计算机的集群级别设置。


Note
继承的设置(预览显示)始终显示从集群继承的设置。在启用或禁用组和集群级别之间的从属服务时,请务必小心。有关详细信息,请参阅复制和移动设置

如果点击“覆盖设置”(Override Settings) 链接,您将转到该功能的新页面。在此页面,可为计算机模式创建新的配置设置。可以从默认设置开始,如果您已在其他模式下配置了设置,也可以将那些设置复制到此计算机。

Figure 3. GUI 中的集中管理功能:创建新设置


或者,如图“GUI 中的集中管理功能:未定义设置"中所示,也可以导航到已定义此配置设置的模式。这些模式列在“当前定义此功能设置的位置:”(Settings for this feature are currently defined at:) 下的集中管理框的下半部分。此处只会列出实际定义了设置的模式。当您查看在其他模式下定义(并继承)的设置页面时,该页面将为您显示相关设置。

如果点击列出的模式之一(例如,图“GUI 中的集中管理功能:未定义设置”中显示的“集群: 美洲”链接),您将会转到一个新页面,从中可查看和管理该模式的设置的新页面。

Figure 4. GUI 中的集中管理功能:定义的设置


对于为特定模式定义的设置,每个页面将以最小化状态显示集中管理框。点击“集中管理选项”(Centralized Management Options) 链接可展开该框,显示当前页面中针对当前模式可使用的选项列表。点击“管理设置”(Manage Settings) 按钮,可以将当前设置复制或移动到其他模式,或完全删除这些设置。

例如,在下图中,点击“集中管理选项”(Centralized Management Options) 链接后将显示以下可用的选项。

Figure 5. GUI 中的集中管理功能:管理设置


该框的右侧是“更改模式”(Change Mode) 菜单。此菜单显示当前模式,并提供随时导航到任何其他模式(集群、组或计算机)的功能。

Figure 6. “更改模式”(Change Mode) 菜单


当您导航至代表另一模式的页面时,集中管理方框左侧的“Mode -”文本将短暂闪烁黄色,提醒您模式已更改。

某些选项卡中的部分页面仅限于计算机模式。但是,与仅限于当前登录主机的“传入邮件概述”(Incoming Mail Overview) 页面不同,这些页面可用于集群中的任何计算机。

Figure 7. 集中管理功能:受限计算机


从“更改模式”(Change Mode) 菜单可选择要管理的计算机。您将看到文本短暂地闪烁,以提醒您模式已更改。

集群通信

集群中的计算机使用网状网络相互通信。默认情况下,所有计算机彼此相互连接。如果一条链接中断,不会阻碍其他计算机接收更新。

默认情况下,使用 SSH 保护集群之间的所有通信。每台计算机在内存中保留一份路由表,如果链接断开或恢复,则根据需要在内存内进行更改。每台计算机还会定期(每隔 1 分钟)对集群中其他计算机执行“ping”操作。这样可确保链接状态最新,即使路由器或 NAT 超时,也会保持连接。


Note
如果您的邮件网关处于集群模式,并且您计划远程访问另一邮件网关的数据(与配置无关,例如查看隔离区中的邮件或以较快的速率刷新报告);将有可以生成警报和错误的集群重新连接尝试。邮件网关将自动重新连接,不需要手动干预。

DNS 和主机名解析

计算机加入集群需要 DNS。集群通信通常使用计算机的 DNS 主机名发起(不是计算机接口的主机名)。主机名不可解析的计算机无法与集群中的任何其他计算机实际通信,即使从技术上属于集群的一部分也不例外。

您的 DNS 必须配置为:主机名指向启用了 SSH 或 CCS 的邮件网关中正确的 IP 接口。这一点非常重要。如果 DNS 指向其他未启用 SSH 或 CCS 的 IP 地址,将找不到该主机。请注意,集中管理功能使用“主要主机名”,而不是按接口的主机名(与使用 sethostname 命令的设置相同)。

如果使用 IP 地址连接到集群中的其他计算机,则连接到的计算机必须能够反向查找连接的 IP 地址。如果反向查找由于 IP 地址不在 DNS 中超时,计算机将无法连接到集群。

集群、完全限定域名和升级

更改 DNS 可能会导致升级 AsyncOS 后连接丢失。请注意,如果需要更改集群中某台计算机的完全限定域名(而非集群中某台计算机接口的主机名),则必须通过 sethostname 更改主机名设置,并在升级 AsyncOS 之前更新该计算机的 DNS 记录。

集群通信安全

集群通信安全 (CCS) 是一种与定期 SSH 服务类似的安全外壳服务。思科实施 CCS,是为了打消使用定期 SSH 进行集群通信的顾虑。两台计算机之间的 SSH 通信将在同一端口打开定期登录(admin 等)。许多管理员不愿意在其集群计算机中打开定期登录。

提示:切勿启用“集群通信服务”(Cluster Communication Services)(即使是默认设置),除非您加入集群的部分计算机之间拥有防火墙阻止端口 22。集群在所有计算机之间使用全网状的 SSH 隧道(在端口 22 上)。如果您已同意在任何计算机中启用 CCS,请从集群中删除所有计算机并重新开始。删除集群中的最后一台计算机将删除集群。

CCS 提供增强功能,借此管理员可以打开集群通信,但不是 CLI 登录。默认情况下禁用该服务。当系统提示您启用其他服务时,系统将提示您通过 interfaceconfig 命令启用 CCS。例如: 

Do you want to enable SSH on this interface? [Y]>

Which port do you want to use for SSH?

[22]>

Do you want to enable Cluster Communication Service on this interface?

[N]> y

Which port do you want to use for Cluster Communication Service?

[2222]>

CCS 的默认端口号为 2222。如果愿意,可以将此端口更改为其他开放、未使用的端口号。在完成加入且加入的计算机获得集群中的所有配置数据后,将会出现以下问题: 

Do you want to enable Cluster Communication Service on this interface? [N]> y


Which port do you want to use for Cluster Communication Service?

[2222]>

集群一致性

具有“集群感知”的计算机将不断验证与集群内其他计算机的网络连接。这种验证通过定期向集群中的其他计算机发送“ping”进行。

如果尝试与特定计算机通信总是失败,则尝试进行通信的计算机将记录一条消息,指出远程主机已断开连接。系统会向管理员发送警报,说明远程主机已断开连接。

即使计算机关闭,仍会继续发送 ping 验证。当计算机重新加入集群网络后,系统将发送同步命令,这样以前脱机的任何计算机都能下载任何更新。同步命令还可确定一端(而不是另一端)是否有任何更改。如果是,以前关闭的计算机将以静默方式下载更新。

断开连接/重新连接

计算机可以从集群断开连接。有时,您可能想要故意断开计算机,例如要升级计算机。此外,还可能会意外断开连接,例如由于电源故障或其他软件或硬件错误。如果一个邮件网关在会话中尝试打开的 SSH 连接数超过允许的最大值,也可能会出现中断。从集群断开的计算机仍可以直接访问和配置,但在断开的计算机重新连接之前,对其进行的任何更改将不会再应用到集群内的其他计算机。

在计算机重新连接到集群后,它将立即尝试重新连接所有计算机。

理论上,集群中断开连接的两台设备可以同时向其本地数据库确认类似的更改。计算机在重新连接到集群后,将尝试同步这些更改。如果存在冲突,将记录最近的更改(取代任何其他更改)。

在确认期间,邮件网关会检查更改的每个变量。确认数据包括版本信息、序列识别号和可比较的其他信息。如果您发现要更改的数据与以前的更改存在冲突,允许您选择放弃更改。例如,您可能会看到如下信息: 

(Machine mail3.example.com)> clustercheck

This command is restricted to "cluster" mode. Would you like to switch to "cluster"

mode? [Y]> y

Checking Listeners (including HAT, RAT, bounce profiles)...

Inconsistency found!

Listeners (including HAT, RAT, bounce profiles) at Cluster enterprise:

mail3.example.com was updated Mon Sep 12 10:59:17 2005 PDT by 'admin' on

mail3.example.com

test.example.com was updated Mon Sep 12 10:59:17 2005 PDT by 'admin' on

mail3.example.com

How do you want to resolve this inconsistency?

1. Force entire cluster to use test.example.com version.


2. Force entire cluster to use mail3.example.com version.

3. Ignore.

[1]>

如果选择不放弃更改,它们将保持不变(但未确认)。您可以查看针对当前设置的更改,并决定如何继续。

还可以随时使用 clustercheck 命令确认集群的运行是否正确。 

losangeles> clustercheck

Do you want to check the config consistency across all machines in the cluster? [Y]> y

Checking losangeles...

Checking newyork...

No inconsistencies found.

相互依赖的设置

建议您不要在邮件网关中配置以下设置。

在集中管理环境下,有些相互依赖的设置是在不同模式下配置的。灵活的配置模式允许在多种模式下配置设置,而继承规则控制在每台计算机中使用哪些设置。但是,有些设置对其他设置具有依赖性,且从属设置配置的可用性不仅限于相同模式的设置。因此,可以针对引用不同级别下为特定计算机所配置的设置的级别配置设置。

相互依赖的设置最常见的示例就是页面中从不同集群部分提取数据的特定字段。例如,以下功能可以在不同模式下配置:

  • 使用 LDAP 查询
  • 使用词典或文本资源
  • 使用退回或 SMTP 身份验证配置文件。

在集中管理中,存在受限和非受限的命令。(请参阅限制的命令。)非受限命令通常是可跨集群共享的配置命令。

listenerconfig 命令就是为集群中的所有计算机配置的命令示例。非受限命令表示可在集群的所有计算机中镜像,且无需修改计算机特定数据的命令。

另一方面,受限命令是仅适用于特定模式的命令。例如,不能针对特定计算机配置用户 - 整个集群中只能设置一个用户。(否则,将无法使用相同登录信息登录到远程计算机。)同样,由于只能在每台计算机的基础上维护邮件流量监控数据、系统概述计数器和日志文件,所以这些命令和页面必须限于计算机。

您会发现,虽然整个集群中配置的计划报告可以相同,但报告的视图则取决于计算机。因此,在 GUI 的单个“计划的报告”(Scheduled Reports) 页面,必须在集群模式下执行配置,但查看报告则必须是计算机模式。

“系统时间”(System Time) 页面包含 settz、ntpconfigsettime 命令,其中既有受限命令,也有非受限命令。在这种情况下,settime 必须仅限于计算机模式(因为时间设置是计算机特定的),而 settzntpconfig 可在集群或组模式下配置。

Figure 8. 相互依赖的设置示例


在此图示中,侦听程序“IncomingMail”引用仅在计算机级别配置的“免责声明”(disclaimer) 页脚。可用页脚资源下拉列表显示,该页脚在集群中也可使用的计算机“buttercup.run”中不可用。针对此难题,有两种解决方案:

  • 将页脚“免责声明”(disclaimer) 从计算机级别提升到集群级别
  • 将侦听程序降低到计算机级别,以消除相互依赖关系

为了充分实现集中管理系统的功能最大化,优先选择前一种解决方案。在为属于集群的计算机量身定制配置时,请注意设置之间的相互依赖关系。

在集群邮件网关中加载配置

AsyncOS 允许在集群的邮件网关中加载集群配置。在以下场景下,可以加载集群配置:

  • 如果要从内部部署环境迁移到托管环境,并想要将内部部署的集群配置迁移到托管环境。
  • 如果集群中的邮件网关关闭或需要淘汰,您希望将此邮件网关的配置加载到计划添加到集群的新邮件网关中。
  • 如果要向集群中添加更多邮件网关,您希望将集群中现有的一台邮件网关的配置加载到新添加的邮件网关中。
  • 如果要将备份配置加载到集群中。

根据您的需求,可以从有效的集群配置文件中加载集群配置或邮件网关配置。


Note
在集群中的邮件网关上无法加载独立邮件网关的配置。

准备工作


Note
您可以将所有邮件网关归入一个组。确保集群通信的接口在您的设置与 XML 配置中,具有相同的名称及 SSH 和 CCS 设置。

Procedure

Step 1

点击系统管理 (System Administration) > 配置文件 (Configuration File)

Step 2

模式 (Mode) 下拉菜单中选择集群。

Step 3

根据您要加载集群配置还是邮件网关配置,执行以下任一操作:

  • 加载集群配置
    1. 在“加载配置”(Load Configuration) 部分,从下拉列表中选择集群 (Cluster)
    2. 加载集群配置,并点击加载 (Load)。请参阅加载配置文件

    3. 向集群中的邮件网关分配已加载的配置中的组,并将选定组中邮件网关邮件网关配置复制到各自的邮件网关当中。使用组配置 (Group Configuration)设备配置 (Appliance Configuration) 下拉列表。

      如果您不希望复制邮件网关配置,请从设备配置 (Appliance Configuration) 下拉列表中选择不复制 (Don't Copy)

      1. 检查配置。点击审核 (Review)
      2. 点击确认 (Commit)
      3. 点击继续 (Continue)
  • 加载邮件网关配置
    1. 在“加载配置”部分,从下拉列表中选择集群中的设备
    2. 加载配置,并点击加载 (Load)。请参阅加载配置文件。请注意,在集群中的邮件网关上无法加载独立邮件网关的配置。
    3. 从已加载的配置中选择邮件网关配置,并在要将配置加载到的集群中选择目标邮件网关。使用下拉列表。
    4. 点击确定 (OK)
    5. 点击继续 (Continue)
    6. 要将邮件网关配置加载到更多邮件网关,请重复步骤 a 到步骤 e

Step 4

检查集群中的邮件网关的网络设置,然后确认更改。

最佳实践和常见问题解答

最佳实践

在创建集群时,您当时所登录到的计算机将作为第一台计算机自动添加到该集群,并会添加到 Main_Group。其计算机级别设置会尽可能有效地迁移到集群级别。无组级别的设置,唯一留在计算机级别的设置就是在集群级别没有意义和无法集群化的设置。例如 IP 地址、功能密钥等。

尽可能多的在集群级别保留设置。如果集群中只有一台计算机需要不同的设置,可将集群设置复制到该计算机的计算机级别。请勿移动该设置。如果移动没有出厂默认值的设置(例如 HAT 表、SMTPROUTES 表、LDAP 服务器配置文件等),继承集群设置的系统会有空白表,并可能无法处理邮件。

要让该计算机重新继承集群设置,请管理 CM 设置并删除计算机设置。只有在看到以下显示时,才会知道计算机要覆盖集群设置:

Settings are defined:

To inherit settings from a higher level: Delete Settings for this feature at this mode.

You can also Manage Settings.

该特征的设置也可以定义在:

Cluster: xxx

或以下显示:

删除配置:

Cluster: xxx

Machine: yyyy.domain.com

复制与移动

什么时候复制:当您希望集群有设置,而组或计算机无设置或具有不同的设置时。

什么时候移动:但您希望集群完全没有设置,而组或计算机有设置时。

良好的 CM 设计实践

在 LIST 您的 CM 计算机时,您可能希望看到如下信息:

cluster = CompanyName

Group Main_Group:

Machine lab1.example.com (Serial #: XXXXXXXXXXXX-XXXXXXX)

Machine lab2.example.com (Serial #: XXXXXXXXXXXX-XXXXXXX)

Group Paris:

Machine lab3.example.com (Serial #: XXXXXXXXXXXX-XXXXXXX)

Machine lab4.example.com (Serial #: XXXXXXXXXXXX-XXXXXXX)

Group Rome:

Machine lab5.example.com (Serial #: XXXXXXXXXXXX-XXXXXXX)

Machine lab6.example.com (Serial #: XXXXXXXXXXXX-XXXXXXX)

请注意,不要丢失对所做更改级别的跟踪。例如,如果将 Main_Group 的名称(使用 RENAMEGROUP)更改为 London,它将显示如下所示的信息:

cluster = CompanyName

Group London:

Machine lab1.cable.nu (Serial #: 000F1FF7B3F0-CF2SX51)

...

但是,许多管理员可能会对此配置感到困惑,因为它们开始是在组级别更改 London 系统,然后又停止使用集群级别作为基本设置的正常配置级别。

提示:最好不要使用与集群相同的名称作为组名,例如集群 London、组 London。如果您使用站点名称作为组名,则最好不要使用引用某个位置的集群名称。

如上所述,正确的方法是在集群级别保留尽可能多的设置。大多数情况下,应在 Main_Group 中保留计算机的主站点或主要集合,并对其他站点使用组合。即使您认为两个站点“平等”,这一点也不例外。请记住,CM 没有主要/辅助服务器 - 集群中的所有计算机是对等的。

提示:如果使用额外的组,则可以在将这些额外计算机加入集群之前轻松地准备组。

在集群设置中访问垃圾邮件或策略隔离区的最佳实践

从登录的邮件网关访问集群中其他设备的垃圾邮件或策略隔离区,可能会导致登录邮件网关上的 CPU 利用率过高。为了避免出现这种情况,可以通过登录所需的邮件网关访问垃圾邮件或策略隔离区。

过程:配置示例集群

要配置此示例集群,在运行 clusterconfig 之前,请在所有设备上退出全部 GUI。在任意一台主站点计算机中运行 clusterconfig。然后,就能将其他仅需要尽可能最大共享设置(支持仅限计算机的设置,例如 IP 地址)的本地和远程计算机加入此集群。使用 clusterconfig 命令无法将远程计算机加入集群,必须在远程计算机上使用 CLI 并运行 clusterconfig(“加入现有集群”)。

在我们上面的示例中,我们登录到 lab1,运行 clusterconfig,并创建一个名为 CompanyName 的集群。我们只有一台具有相同需求的计算机,因此我们登录到 lab2 并针对现有配置运行 saveconfig(继承 lab1 的大多数设置后,它将发生巨大变化。)然后,在 lab2 中可以使用 clusterconfig 加入现有集群。如果此站点还有其他计算机需要类似的策略和设置,请重复上述操作。

运行 CONNSTATUS,确认 DNS 解析是否正确。在计算机加入集群后,新计算机将继承 lab1 的几乎所有设置,早期的设置将丢失。如果是生产计算机,您则需要估计是否仍可使用新配置(而不是先前配置)来处理邮件。如果从集群中删除它们,它们不会恢复到以前的专用配置。

接下来,我们来看例外的计算机数量。如果只有一台,它应会收到几个额外计算机级别的设置,您无需为其创建额外的组。将其加入集群,并开始将设置向下复制到计算机级别。如果此计算机是现有的生产计算机,则必须备份配置,并考虑邮件处理的变化,如上所述。

如果有两台或更多台例外计算机,就像在我们的示例中,需要确定这两台计算机之间是否共享不与集群共享的任何设置。在这种情况下,需要为它们创建一个或多个组。否则,可以为每台计算机进行计算机级别的设置,这样则无需创建额外的组。

在我们的情况下,我们需要从已属于集群的任意计算机的 CLI 中运行 clusterconfig,并选择 ADDGROUP。此操作要执行两次,针对 Paris 和 Rome 各执行一次。

现在,即可开始使用 GUI 和 CLI 为集群和所有组构建配置设置(即使组中还没有计算机)。对于计算机特定的设置,只有在计算机加入集群才能为它们创建。

创建覆盖或例外设置的最佳方式是,将更高级别(例如集群)的设置向下复制到较低(例如组)级别。

例如,在创建集群后,我们的 dnsconfig 设置起初如下所示:

Configured at mode:

Cluster: Yes

Group Main_Group: No

Group Paris: No

Group Rome: No

Machine lab2.cable.nu: No

如果我们将 DNS 设置“复制到组”,将如下所示:

Configured at mode:

Cluster: Yes

Group Main_Group: No

Group Paris: Yes

Group Rome: No

Machine lab2.cable.nu: No

现在,您可以编辑 Paris 组级别的 DNS 设置,而 Paris 组的其他计算机将继承这些设置。除非非 Paris 计算机具有特定于计算机的设置,否则它们将继承集群设置。除了 DNS 设置,为 SMTPROUTES 创建组级别设置则非常常见。


Tip

使用各种菜单中的 CLI CLUSTERSET 功能时,可以使用一项 GUI 无法提供的特殊选项将设置复制到所有组。

侦听程序将自动从组或集群中完全继承,通常您只需在集群的第一个系统中创建侦听程序。这样可以显著减少管理工作。但是,要使用此功能,整个组或集群的接口的名称必须完全相同

一旦组级别定义的设置正确,即可将计算机加入集群,使它们成为此组的成员。需要两个步骤:

首先,要将我们剩余的 4 个系统加入集群,需要在每个系统中运行 clusterconfig。集群越庞大和复杂,加入所需的时间就越长,可能需要几分钟。可以使用 LIST 和 CONNSTATUS 子命令监控加入的进度。加入完成后,可以使用 SETGROUP 将计算机从 Main_Group 移至 Paris 和 Rome。有一种情况无法避免,即添加到集群的所有计算机最初将继承 Main_Group 设置,而不是 Paris 和 Rome 的设置。如果新系统已在运行中,这样可能会影响邮件流量。


Tip

切勿将实验计算机加入与生产计算机相同的集群。对于实验系统,使用新的集群名称。这样可增加一层保护,防止出现意外变更(例如,有人更改实验系统会意外丢失生产邮件)。

使用 CM 设置(而不是集群默认设置)的 GUI 选项摘要

覆盖设置,开始使用默认设置。例如,SMTPROUTES 配置的默认设置是一个空白表,然后您可以从头开始构建。

覆盖设置,但开始使用当前继承自集群 xxx 或组 yyy 的设置副本。例如,您可能希望在组级别获得一份新的 SMTPROUTES 表副本(初始与集群表相同)。同一组 (SETGROUP) 中包含的所有邮件网关都将获得此表。不在该组的计算机仍将使用集群级别设置。在此表的独立副本中更改 SMTPROUTES 不会影响其他组、继承集群设置的计算机或在单个计算机级别定义设置的计算机。这是最常见的选择。

管理设置,“集中管理选项”(Centralized Management Options) 的子菜单。在此菜单中,可以复制如上设置,也可以移动或删除设置。如果将 SMTPROUTES 移到组或计算机级别,路由表将在集群级别为空,但在更具体的级别仍然存在。

管理设置。继续我们的 SMTPROUTES 示例,使用删除选项也会导致集群的 SMTPROUTES 表为空。如果您先前在组级别或计算机级别为 SMTPROUTES 配置了定义,这没什么问题。但最好不要删除集群级别设置,而仅依赖于组或计算机设置。集群范围的设置作为新添加计算机的默认设置,它们非常有用,保留它们可减少一项您必须维护的组或站点设置。

设置和配置问题

:我有一台以前配置的独立计算机,将其加入了现有集群。我的设置会发生什么情况?

:在计算机加入集群后,该计算机所有可集群化的设置都将从集群级别继承。在加入集群后,所有本地配置的非网络设置将丢失,被集群及任何关联组的设置覆盖。(其中包括用户/密码表;密码和用户在集群内共享)。

:我有一台集群计算机,并从集群中永久删除了该计算机。我的设置会发生什么情况?

:从集群中永久删除某台计算机时,其配置层次结构会“精简”,这样计算机的工作方式才会和在集群中时相同。该计算机继承的所有设置将在独立设置中应用于计算机。

例如,如果只有一个集群模式的“全局取消订用”(Global Unsubscribe) 表,则从集群中删除计算机后,该“全局取消订用”(Global Unsubscribe) 表的数据将复制到计算机的本地配置中。

一般问题

:日志文件是否汇集在集中管理的计算机中?

:不是。日志文件仍然为每台计算机单独保留。出于跟踪和报告目的,可使用思科安全管理器邮件和网络网关汇集多个计算机中的邮件日志。

:用户访问的工作原理是什么?

邮件网关针对整个集群共享一个数据库。特别是,整个集群只有一个 admin 帐户(和密码)。

:我应该如何将数据中心集群化?

:理想地讲,数据中心是集群内的一个“组”,不是自己的集群。但是,如果数据中心自身之间共享的数据不多,最好是每个数据中心设置独立的集群。

:如果系统脱机,然后重新连接,会发生什么情况?

:在重新连接到集群后,系统将尝试同步。

网络问题

:集中管理功能是“对等”架构还是“主/辅助”架构?

:由于每台计算机都包含所有计算机的所有数据(包括其不会使用的所有计算机特定的设置),所以可以将集中管理视为点对点架构。

:如何设置一个框,才不会使其成为一个点?我想要一个“辅助”系统。

:使用这种架构无法创建真正的“辅助”计算机。但是,可以在计算机级别禁用 HTTP (GUI) 和 SSH (CLI) 访问。这样,则只能通过 clusterconfig 命令配置没有 GUI 或 CLI 访问权限的计算机(也就是说,它永远不能作为登录主机)。这与拥有辅助计算机类似,但该配置在重新打开登录访问权限后即失效。

:是否可以创建多个分段的集群?

:可以注册隔离的“孤岛”集群;实际上,有些情况下创建此类集群比较有利,例如出于性能考虑的情况。

:我想重新配置加入集群的某个邮件网关的 IP 地址和主机名。如果这样做,在运行重启命令前是否会丢失 GUI/CLI 会话?

:请按以下步骤操作:

  1. 添加新 IP 地址。
  2. 将侦听程序移到新地址上
  3. 离开集群
  4. 更改主机名
  5. 确保从任何计算机查看时,clusterconfig 连接列表中都不会显示旧计算机名称
  6. 确保所有 GUI 会话均已注销
  7. 确保任何接口上都未启用 CCS(通过 interfaceconfig 或“网络”>“侦听程序”检查)
  8. 将计算机再次添加到集群中

:是否可以在集群级别应用目标控制功能?还是只能在本地计算机级别应用?

:可以在集群级别设置;但是限制在计算机级别设置。因此,如果限制为 50 个连接,则 50 就是为集群中每台计算机设置的限制。

规划与配置

问:在设置集群时,如何才能最大限度地提高效率和减少问题?

  1. 初始规划
    • 尝试在集群级别配置尽可能多的设置。
    • 仅对例外情况按计算机进行管理。
    • 比方说,您有多个数据中心,则可使用组来共享既不是集群也不必特别于计算机的属性。
    • 对于每个邮件网关上的接口和侦听程序,使用相同的名称。
  2. 注意受限命令。

  3. 注意设置之间的相互依赖关系。

    例如,listenerconfig 命令(即使在集群级别)依赖于仅在计算机级别存在的接口。如果并不是集群中所有计算机的计算机级别都存在该接口,该侦听程序将被禁用。

    请注意,删除接口还会影响 listenerconfig。

  4. 注意您的设置!

    切记,先前配置的计算机在加入集群后将丢失其独立设置。如果要重新应用以前在计算机级别配置的某些设置,请务必在加入集群之前记下所有设置。

    切记,“断开连接的”计算机仍是集群的一部分。在计算机重新连接后,您在其脱机状态下所做的任何更改将与集群的其余计算机同步。

    请记住,如果从集群中永久删除某台计算机,该计算机将保留其属于集群时的所有设置。但是,如果您改变主意将其重新加入集群,该计算机将丢失全部独立设置。

    使用 saveconfig 命令可记录设置。