クラスタのインフラを構築したい。私の唯一のオプションはコンテナのVPSです。インフラは次のとおりです。
すべての着信トラフィックはFw1で発生します。プロキシはリクエストをAppServerXにリダイレクトします。データベースは別のサブネットにあります。 Fw2を介してセキュリティゾーンにアクセスします。監視システムは、他のすべてのシステムの状態とファイアウォールも監視します。ご覧のとおり、アプリケーションサーバーとデータベースサーバーは高可用性のためにクラスタ化されています。また、高可用性のためにファイアウォールをクラスタリングする必要があります。マシン間の接続はVPN経由で行う必要があります。理論的にはすべてが良く見えますが、実際には問題があります。 VPNとして、OpenVPNサーバー/クライアントアーキテクチャとゾーン間サイト間を使用する予定です。しかし、クラスタファイアウォールの作成方法を理解できないため、いくつかの問題があります。スレーブモードのファイアウォールだけでなく、すべてのシステムを監視します。たぶん、アーキテクチャが間違っている可能性があります。だから、どんなアドバイスにも感謝します。ベストプラクティスも書いてください。
ありがとうございます。
答え1
まず、ファイアウォールクラスタ間でHAを実装する方法は2つあります。最初のものはaを使うことです。外部モニターこれにより、ハートビートはすべてのサーバーとファイアウォールの状態を継続的に確認します。フェールオーバーが発生すると、クラスタ内の他のファイアウォールが接続ルーティングと管理を担当します。別の方法はクラスタ自体がフェイルオーバーを認識します。これにより、クラスタのスレーブファイアウォールの1つがマスターファイアウォールになります。すべての接続状態は、新しい所有者が適切に処理します。
2番目に決定する必要があるのは、クラスタのアクティブバックアップまたはアクティブアクティブ構成が必要かどうかです。対応する複雑さはさまざまです。アクティブバックアップでは、1つのファイアウォール(マスターファイアウォール)のみが有効になり、他のファイアウォールはシャドウ(スレーブファイアウォール)にあります。アクティブ - アクティブ状態では、マスターデバイスとスレーブデバイスは動作モードになります。
ファイアウォールクラスタにHAを実装する方法を決定したら、次のことが必要です。ハートビートまたは接続を維持HA クラスタを維持するために、フェイルオーバーのためにファイアウォールを継続的に監視し、マスターノードとスレーブノードを追跡します。マスターノードがフェイルオーバーされるたびに、クラスタ内通信を介して新しいマスターノードが選択されます。ファイアウォールを複製するか、クラスタ間の接続状態を同期します。コーントラッキング使用できます。これは、常にクラスタノードがネットワークに立ち往生することなくマスターノードの任務を正常に引き継ぐことができるように準備状態を維持します。
コンセプト仮想IPフェールオーバーシナリオからスレーブノードの1つに切り替えるために使用されます。
したがって、現在の設計がHAクラスタなしでうまく機能していると仮定すると、現在のアーキテクチャを引き続き使用し、これらのソフトウェアを使用してHAをクラスタに含めることができます。
HAクラスタで何を達成したいのかを明確に把握し、それに従うことが重要です。これが役に立つことを願っています。