UTM FireCluster
Introduction
Pourquoi ?
Ce chapitre traite de la mise en cluster de l’UTM. Comme chaque appareil critique en réseau, il est souvent possible de faire de la haute disponibilité ou High Availability (HA). Il en est de même pour l’UTM de WatchGuard, vous pouvez redonder le boîtier Firebox afin d’avoir de la tolérance de panne et garder le service fonctionnel. La fonction s’appelle FireCluster.
Informations
Il y a deux modes possibles dans un FireCluster :
-
Cluster actif/passif (redondance)
-
Cluster actif/actif (redondance + répartition de charge)
La construction du cluster peut se faire seulement avec WSM. En revanche, la consultation de l’état du cluster peut se faire avec WSM et Web UI. Le cluster est constitué d’un Master et d’un Backup. Le premier UTM à s’allumer devient le maître du cluster et chaque membre peut devenir le master. Il y a une synchronisation permanente entre le Master et le Backup. Dans un cluster, on trouve les éléments suivants :
-
Un Firebox dit Master
-
Un Firebox dit Backup
-
Des interfaces cluster principales (permet de faire communiquer les membres du cluster)
-
Des interfaces de gestion (permet d’accéder aux nœuds du cluster depuis Web UI ou WSM)
Le cluster peut être ajouté à WatchGuard Cloud pour pouvoir lancer des mises à jour, redémarrer des UTM ou déclencher un basculement. Afin d’être...
FireCluster actif/passif
Une fois les minimums requis et les branchements effectués, nous voilà prêts à configurer avec WSM le FireCluster. Pour cela, connectez-vous avec WSM à l’UTM A, Fireware Policy Manager - onglet FireCluster - Installation.
L’assistant se lance en indiquant les minimums requis. Normalement, si vous avez suivi notre résumé par étapes, vous avez tous les éléments en main.
Cochez Cluster actif/passif et laissez ID cluster sur 50.
Laissez par défaut les réglages : Principale sur 7, Secondaire en Non réglé et Interface pour l’adresse IP de gestion en 1.
Entrez une clé de fonctionnalité pour le nœud Master (UTM A) avec un copier-coller.
Indiquez le Nom du membre.
Il vous faut placer les IP pour l’interface du cluster principale et l’adresse IP de gestion (référez-vous au logigramme FireCluster en début de chapitre si vous ne savez pas quoi utiliser).
Précisez Oui pour l’ajout d’un nouveau nœud au cluster.
Indiquez la clé de fonctionnalité de backup (UTM B) avec un copier-coller.
Donnez-lui un nom.
Il vous faut placer les IP pour l’interface du cluster principale et l’adresse IP de gestion (référez-vous au logigramme FireCluster en début de chapitre...
FireCluster actif/actif
Pour monter un FireCluster actif/actif, c’est la même procédure que pour un cluster actif/passif, à l’exception du choix dans l’assistant : Cluster actif/actif.
Tester le FireCluster
Pour tester manuellement le FireCluster, débranchez un câble reliant un des deux UTM au switch du routeur.
C’est très rapide à basculer sur le nœud passif. Le statut indique que l’une des interfaces surveillées est tombée.
Si vous éteignez un des deux UTM, celui-ci est indiqué hors ligne.
Si vous rebranchez les UTM et les câbles, tout revient normalement. Vous pouvez consulter l’Historique des Événements.
Il est possible de réaliser des opérations sur le cluster avec WSM. Pour cela, ouvrez WSM et connectez-vous sur 10.0.1.1 avec les éléments suivants :
-
ID : admin
-
Mot de passe : readonly
Toutes les informations sur le cluster sont disponibles à cet endroit, c’est très pratique.
En ouvrant FSM, Outils - Cluster, vous trouverez toutes les options disponibles :
-
Détecter un membre
-
Matrice de basculement
-
Redémarrer le membre
-
Arrêter le membre
-
Se connecter à un membre