Продолжаем вас знакомить с решением номер 1 для сертифицированной защиты виртуальной инфраструктуры VMware vSphere средствами политик - vGate R2 от компании Код Безопасности. Сегодня мы поговорим о том, как работает механизм резервирования основного компонента защиты инфраструктуры vGate R2 - сервера авторизации.
В стандартном режиме работы основной сервер авторизации проксирует через себя все соединения клиентов vSphere к серверам виртуальной инфраструктуры, а реплики конфигурации передает на резервный сервер:
Предположим, у нас заданы следующие настройки основного (Сервер-1) и резервного (Сервер-2) серверов авторизации vGate R2:
Теперь рассмотрим последовательность действий администратора в случае сбоев. В случае выхода из строя основного сервера (сервер-1) необходимо остановить
репликацию данных на резервном сервере (сервер-2) и сделать резервный
сервер основным до тех пор, пока основной сервер не будет восстановлен или
заменен.
Передача управления резервному серверу авторизации
Отключите питание на сервере-1.
На сервере-2 активируйте в меню "Пуск" команду "Программы | Код Безопасности | vGate | Резервирование | Сбой основного сервера". Дождитесь завершения процесса блокировки репликации данных. Серверу-2 будет назначен основной IP-адрес сервера-1 (192.168.26.2), а его собственный IP-адрес (192.168.26.8) станет дополнительным.
В DNS измените настройки псевдонима, настроив ссылку на полное доменное имя (FQDN) сервера-2.
Теперь сервер-2 является основным и единственным сервером авторизации.
Далее нужно развернуть новый сервер авторизации vGate R2, который можно сделать резервным или переключиться на него снова как на основной.
Ввод в эксплуатацию нового сервера авторизации и настройка репликации
Для ввода в эксплуатацию нового сервера:
Настройте на новом сервере два соединения локальной сети, аналогично серверу-2. В качестве IP-адреса в сети администрирования укажите 192.168.26.10, а в качестве IP-адреса внешнего периметра используйте 192.168.70.2.
Выполните установку резервного сервера авторизации. В качестве IP-адреса сетевого адаптера в защищаемом периметре (на шаге 6
установки) укажите основной IP-адрес сервера-1 (192.168.26.2) вручную. Если вместо ввода в эксплуатацию нового сервера был восстановлен после сбоя сервер-1,
просто удалите из настроек адаптера 1 основной IP-адрес сервера (192.168.26.2). У сервера-1 должен остаться только дополнительный IP-адрес (192.168.26.10).
Для восстановления репликации данных:
На сервере-2 активируйте в меню "Пуск" команду "Программы | Код Безопасности | vGate | Резервирование | Запуск репликации основного сервера". Дождитесь завершения процесса.
На новом сервере активируйте в меню "Пуск" команду "Программы | Код Безопасности | vGate | Резервирование | Запуск репликации резервного сервера". Дождитесь завершения процесса.
Запустите консоль управления vGate на сервере-2 и убедитесь в том, что изменение конфигурации vGate на сервере-2 приводит к изменению конфигурации vGate на новом сервере.
Смена ролей серверов авторизации, если нужно восстановить статус кво:
На основном сервере (сервер-2) активируйте в меню "Пуск" команду "Программы | Код Безопасности | vGate | Резервирование | Смена роли основного сервера на резервный". Дождитесь появления строки “Please run
move_slave.cmd on the other node and wait for completion...”.
На резервном сервере (новый сервер) активируйте в меню "Пуск" команду "Программы | Код Безопасности | vGate | Резервирование | Смена роли резервного сервера на основной". Дождитесь завершения операции.
На сервере-2 завершите начатый в пункте 1 процесс нажатием клавиши Enter.
В DNS измените настройки псевдонима, настроив ссылку на новый сервер.
Если же из строя у вас вышел не основной, а резервный сервер авторизации vGate R2, то нужно выполнить шаги, указанные ниже.
Номер
Шаг
Описание
1
Остановка репликации данных
На основном сервере активируйте в меню "Пуск" команду "Программы | Код Безопасности | vGate | Резервирование | Остановка репликации".
Дождитесь завершения процесса
2
Замена неисправного
сервера
Новому резервному серверу рекомендуется назначить сетевое имя и IP-адреса замененного сервера.
3
Запуск репликации
данных
Выполняется на основном и резервном серверах авторизации.
Напомним, что основной и резервный серверы авторизации vGate R2 могут работать в виртуальных машинах, для которых нужно обязательно сделать правило (Anti-affinity rule) невозможности существования их на одном хост-сервере VMware ESXi, чтобы оба сервера одновременно не вышли из строя.
RSS
