SX-GATE Cluster

Zur Erhöhung der Ausfallsicherheit, können zwei SX-GATE-Systeme zu einem Failover-Cluster zusammengeschlossen werden. Es werden zwei vollwertige Systeme mit jeweils ausreichend Benutzern und allen Zusatzlizenzen (z.B. Virenscanner) benötigt. Die Systeme laufen im Aktiv-/Passiv-Betrieb, d.h. falls der Master-Knoten ausfällt, übernimmt automatisch der Backup-Knoten. Eine zukünftige Erweiterung auf Aktiv-/Aktiv-Betrieb ist geplant, ein Zeitpunkt für die Realisierung steht jedoch noch nicht fest.

Der passive Knoten muss dennoch nicht ungenutzt auf den Ernstfall warten: Über DNS-Aliase kann mit dem Web-Proxy einer der Kerndienste parallel auf beiden Knoten genutzt werden. Konfigurieren Sie dazu in den Proxy-Einstellungen der Browser anstelle der IP-Adresse einfach einen Hostnamen als Proxy. Zu diesem Hostnamen hinterlegen Sie im lokalen DNS die individuellen IP-Adressen der beiden Cluster-Systeme. DNS ändert bei jeder Anfrage die Reihenfolge der Adressen in der Antwort. Die Browser wenden sich stets zunächst an die erste der erhalten Adressen, so dass die Browser abwechselnd an die beiden Cluster-Knoten verteilt werden. Ist der Knoten nicht erreichbar, greift der Browser auf die andere Adresse zurück.

Konfiguration des Clusters

Fast alle Einstellungen werden auf dem Backup-Knoten vorgenommen. Konfigurationsänderungen werden auf Knopfdruck oder automatisch auf den Master-Knoten repliziert. Sollten Sie einen bereits im Betrieb befindlichen SX-GATE nachträglich zu einem Cluster erweitern, bietet es sich daher an, das alte, bereits komplett konfigurierte System, zukünftig als Backup zu betreiben. Bereiten Sie also bitte zunächst die Konfiguration des Backup-Knotens vor.

Nun geht es an die Konfiguration der Ethernet-Schnittstellen. Sowohl Master als auch Backup erhalten hier eine individuelle IP-Adresse. Der Cluster wird jedoch zukünftig über mindestens eine gemeinsame Cluster-IP angesprochen. Diese wechselt später bei einem Ausfall des Master-Knotens automatisch auf das Backup-System, ist also stets auf dem aktiven Knoten gebunden. Bei der Konfiguration der Rechner im LAN (z.B. Standard-Gateway) oder im Internet-DNS (Zugriff auf den Cluster von außen) muss entsprechend eine der Cluster-IPs verwendet werden. Fügen Sie die Cluster-IPs in der Schnittstellen-Konfiguration des zukünftigen Backup-Systems als Alias-IPs hinzu. Wird ein Einzelsystem zum Cluster erweitert, bietet es sich an, eine neue individuelle IP auszuwählen und die bisherige IP als Alias-/Cluster-IP einzutragen. Bereits auf diese IP konfigurierte Systeme müssen so nicht angepasst werden.

Wechseln Sie nun auf dem Backup-Knoten in das Menü »System > Grundeinstellungen« zum Reiter »Clustering«. Stellen Sie den Cluster in den Modus »Backup« und konfigurieren Sie die individuellen IP-Adressen von Master und Backup, über die zukünftig die Replikation erfolgen soll. Mit der Wahl der IP-Adressen wird automatisch die benutzte Netzwerkkarte festgelegt. Laden Sie dann den SSH-Schlüssel herunter, der für die Replikation der Konfiguration benötigt wird.

Auf dem Master-Knoten werden nur sehr wenige Einstellungen konfiguriert. Dazu gehören insbesondere

  • die verfügbaren Netzwerk-Schnittstellen
  • die individuellen IP-Adressen, unter denen der Master-Knoten angesprochen werden kann
  • der Internet-Zugang
  • eigene Schlüssel und Zertifikate
  • der Virenscanner
  • das Backup

Legen Sie auf dem Master zunächst die individuellen IP-Adressen fest. Gehen Sie dann in das Menü »System > Grundeinstellungen« und stellen Sie auf dem Reiter »Clustering« den Modus »Master« ein. Nun können Sie auch den zuvor vom Backup-Knoten heruntergeladenen SSH-Schlüssel importieren.

Wechseln Sie dann zurück auf den Backup-Knoten. Die Konfiguration sollte sich nun auf den Master-Knoten replizieren lassen. In den Ethernet-Schnittstellen des Master-Knotens erscheinen nach erfolgreichem Abgleich die Cluster-IPs.

Damit die Replikation der Einstellungen funktionieren kann, darf die Software-Version auf dem Master nie älter sein als auf dem Backup-Knoten. Aktualisieren Sie also bitte stets zuerst den Master. Das gibt Ihnen zudem die Möglichkeit, bei Problemen nach einem Update auf das Backup-System zurückzugreifen.

Wieder auf dem Master-Knoten, können Sie dessen Konfiguration fertigstellen. Beachten Sie bitte, dass für beide Cluster-Systeme der Internet-Zugang individuell konfiguriert werden muss. So kann z.B. der Master über Ethernet/Standleitung, das Backup-System über ADSL-Wählleitung an das Internet angebunden werden. Wird eine gemeinsame Ethernet-Standleitung genutzt, ist - wie gehabt - jedem System eine individuelle IP zuzuteilen. Falls erforderlich, erhält der Cluster als solches mindestens eine gemeinsame Cluster-IP. Steht nur eine Internet-IP zur Verfügung, bitte im Internet ungültige Adressen als individuelle IP vergeben und auf dem Backup-Knoten unter »Module > Netzwerk > Einstellungen« auf dem Reiter »Gateway« die Option »Cluster mit geteiltem Internet-Zugang« aktivieren. Selbiges gilt, wenn sich beide Knoten einen DSL-Zugang teilen. Beachten Sie bitte die Online-Hilfe zu der genannten Option.

Zu den Zertifikaten: Ab Version 5.2-3.2 und 6.0-1.4 werden die meisten Schlüssel und Zertifikate automatisch auf den Master-Knoten übertragen. Ausgenommen sind:

  • der private Schlüssel der SX-GATE CA (Zertifikate dürfen nur auf dem Backup-Knoten ausgestellt werden)
  • die SSL-Proxy CA zum Aufbrechen verschlüsselter Verbindungen. Jeder Knoten muss hier eine eigene CA besitzen. Die Zertifikatsdaten der CAs müssen sich in mindestens einem Punkt unterscheiden. Die öffentlichen Schlüssel beider CAs müssen in den Browsern hinterlegt werden.
  • Zertifikat des Administrations-Servers. Da dieser auf Master und Backup individuell angesprochen wird muss jeder Knoten ein auf die eigene Adresse ausgestelltes Zertifikat erhalten.
  • selbstsignierte Zertifikate für Dienste. Ein selbstsigniertes Zertifikat deutet darauf hin, dass entweder kein Wert auf korrekte Authentifizierung des Servers gelegt wird oder es sich um ein noch nicht vollständig konfiguriertes System mit Dummy-Zertifikat handelt.

Bei älteren SX-GATE-Versionen müssen die Export- und Import-Funktionen genutzt werden, um Schlüssel und Zertifikate zu übertragen.

Nun ist der Cluster betriebsbereit. Starten Sie den Dienst »Cluster-Knoten« auf beiden Systemen. Die Cluster-IP-Adressen sollten danach ausschließlich auf dem Master-System angezeigt werden. Nun können Sie testen, ob auch ein Failover stattfindet.

Wann kommt es zu einem Failover und was passiert dann?

Folgende Gründe führen dazu, dass der Backup-Knoten aktiv wird:

  • die im Cluster-Menü konfigurierte individuelle IP ist vom Backup aus nicht mehr erreichbar (z.B. Netzwerkverbindung getrennt, Master ausgeschaltet)
  • eine der Netzwerkkarten des Masters mit konfigurierter Cluster-IP verliert den Netzwerk-Link
  • der Cluster-Dienst auf dem Master wird gestoppt

Der Ausfall der Internet-Verbindung oder der Ausfall eines SX-GATE-Dienstes führen bislang nicht zu einem Failover. Dies ist für Version 6.0-2.0 geplant.

Der admin wird von beiden Knoten per Mail über den Zustandswechsel des Clusters informiert. Der Master-Knoten deaktiviert, der Backup-Knoten aktiviert die Cluster-IPs auf den zugehörigen Netzwerk-Schnittstellen. Der Backup-Knoten sendet gratuitous ARP-Pakete, um die ARP-Tabellen der angeschlossenen Systeme zu aktualisieren. Dienste, die nur auf einem der beiden Knoten laufen dürfen (z.B. VPN oder IPSec), werden auf dem Backup gestartet. IPSec-Verbindungen zu Gegenstellen mit fester IP werden automatisch vom Backup neu aufgebaut. Verbindungen zu Gegenstellen mit dynamischer IP muss die Gegenstelle neu aufbauen. Verbindungen zu Diensten auf SX-GATE (z.B. Downloads via Web-Proxy) brechen ab, während Verbindungen, die durch SX-GATE hindurch geroutet werden, dank Synchronisation der Stateful-Inspection-Firewall nach einer minimalen Unterbrechung weiterlaufen. Sofern E-Mails in Postfächer auf dem SX-GATE zugestellt werden, werden eingehende Mails in der Warteschlange des Backups gehalten, bis der Master-Knoten wieder erreichbar ist. Mails an einen internen Mail-Server werden wie üblich sofort weitergeleitet.

Sobald der Master-Knoten wieder alle notwendigen Bedingungen erfüllt, wird automatisch zurück gewechselt.