Über FireCluster in WatchGuard Cloud
Gilt für: Cloud-verwaltete Fireboxen, Lokal verwaltete Fireboxen
Um die Netzwerkleistung und Skalierbarkeit zu erhöhen, können Sie einen FireCluster konfigurieren. FireCluster ist die Hochverfügbarkeitslösung (HA) für WatchGuard Fireboxen.
Ein FireCluster umfasst zwei als Cluster-Mitglieder konfigurierte Fireboxen. Bei einem Ausfall des aktiven Cluster-Mitglieds übernimmt das passive Cluster-Mitglied.
Wenn Sie FireCluster zu WatchGuard Cloud hinzufügen, müssen Sie die Art der Verwaltung von FireCluster wählen:
- Cloud-verwaltet — Bei dieser Option verwenden Sie WatchGuard Cloud für die gesamte Konfigurationsverwaltung, Überwachung und Berichterstattung von FireCluster.
- Lokal verwaltet — Bei dieser Option können Sie WatchGuard Cloud für die Überwachung und Berichterstattung von FireCluster verwenden. Sie können FireCluster in WatchGuard Cloud auch upgraden, ein Failover durchführen und neu starten. Zum Verwalten der FireCluster-Konfiguration müssen Sie WatchGuard System Manager, Fireware Web UI oder die CLI verwenden.
In diesem Thema wird Folgendes erläutert:
- Anforderungen
- Cluster-Konfigurationen
- Failover
- Rollen der Mitglieder
- Unterstützte Firebox-Funktionen
- Wie ein FireCluster hinzufügt wird
- Wie ein FireCluster verwaltet und überwacht wird
Anforderungen
Bevor Sie einen Cloud-verwalteten FireCluster hinzufügen, sollten Sie sich mit den Anforderungen vertraut machen und Ihre Konfiguration planen.
Informationen zu FireCluster-Anforderungen finden Sie unter Vor der Konfiguration eines Cloud-verwalteten FireCluster in WatchGuard Cloud.
Cluster-Modus
In WatchGuard Cloud können Sie Folgende hinzufügen:
- Einen Cloud-verwalteten FireCluster im Aktiv/Passiv-Modus
- Einen lokal verwalteten FireCluster im Aktiv/Passiv- oder Aktiv/Aktiv-Modus
Bei einem Aktiv/Passiv-Cluster ist ein Cluster-Mitglied aktiv und das andere passiv. Das aktive Cluster-Mitglied handhabt den gesamten Netzwerk-Datenverkehr. Das passive Cluster-Mitglied überwacht aktiv den Status des aktiven Cluster-Mitglieds. Der gesamte Datenverkehr über die Schnittstellen eines der Cluster-Mitglieder wird auch über das andere Cluster-Mitglied geführt. Das ist möglich, weil Cluster-Mitglieder dieselbe virtuelle MAC-Adresse (VMAC) teilen.
Bei einem Ausfall des aktiven Cluster-Mitglieds übernimmt das passive Cluster-Mitglied die Verbindungen des ausgefallenen Cluster-Mitglieds. Das passive Cluster-Mitglied wird zum aktiven Cluster-Mitglied. Dieser Vorgang wird Failover genannt.
Alle Cloud-verwalteten FireCluster arbeiten im Aktiv/Passiv-Modus. Ein Cloud-verwalteter FireCluster kann nicht als Aktiv/Aktiv-Cluster konfiguriert werden. Informationen zum Aktiv/Aktiv-Modus auf einem lokal verwalteten FireCluster finden Sie unter About FireCluster.
Topologie
In diesem Diagramm sind Verbindungen für eine einfache Cloud-verwaltete FireCluster-Konfiguration dargestellt.
In diesem Diagramm sind Verbindungen für eine Cloud-verwaltete FireCluster-Konfiguration mit mehreren internen Netzwerken dargestellt.
Failover
Beim Ausfall eines Cluster-Mitglieds erfolgt ein Failover und Folgendes wird aufrechterhalten:
- Paketfilterverbindungen
- BOVPN-Tunnel
- Benutzersitzungen
Bei einem Failover könnten folgende Verbindungen getrennt werden:
- Proxy-Verbindungen
- Mobile VPN-Verbindungen
Mobile VPN-Benutzer könnten die VPN-Verbindung nach einem Failover manuell neu starten müssen.
Einige Ereignisse führen zu einem automatischen Failover eines FireClusters. Informationen zum automatischen Failover bei Cloud-verwalteten FireClustern finden Sie unter Über FireCluster-Failover.
In WatchGuard Cloud können Sie manuell ein Failover eines FireClusters erzwingen. Informationen zum manuellen Failover finden Sie unter Failover eines FireClusters in WatchGuard Cloud.
Rollen der Mitglieder
Sie sollten mit den verschiedenen möglichen Rollen von Fireboxen im Cluster vertraut sein.
Cluster-Master
Dieses Cluster-Mitglied weist Cluster-Mitgliedern Netzwerk-Datenverkehrsströme zu und antwortet auf alle Anfragen von externen Systemen, wie WatchGuard Cloud, SNMP, DHCP, ARP, Routingprotokolle und IKE. Wenn Sie die Cluster-Konfiguration vornehmen oder ändern, speichern Sie die Cluster-Konfiguration im Cluster-Master. Jedes der beiden Geräte kann Cluster-Master sein. Das erste Gerät in einem Cluster, das hochgefahren wird, wird der Cluster-Master.
Backup-Master
Dieses Cluster-Mitglied synchronisiert alle notwendigen Informationen mit dem Cluster-Master, so dass es bei einem Ausfall des Cluster-Master dessen Rolle übernehmen kann. In einem Aktiv/Passiv-Cluster ist der Backup-Cluster-Master passiv.
Aktives Mitglied
Dies kann jedes Cluster-Mitglied sein, das aktiv den Datenverkehrsstrom handhabt. In einem Aktiv/Passiv-Cluster ist der Cluster-Master das einzige aktive Gerät.
Passives Mitglied
Eine Firebox in einem Aktiv/Passiv-Cluster, das im Normalbetrieb keine Netzwerk-Datenverkehrsströme handhabt. In einem Aktiv/Passiv-Cluster ist das passive Mitglied der Backup-Cluster-Master.
Unterstützte Firebox-Funktionen
In einem aktivierten FireCluster unterstützen Ihre Fireboxen folgende Funktionen:
- Sekundäre Netzwerke an internen, externen und Gast-Schnittstellen
- Multi-WAN-Verbindungen
- VLANs
Ein Multi-WAN-Failover aufgrund einer fehlgeschlagenen Verbindung zu einem Link Monitoring-Host löst kein FireCluster-Failover aus. Ein FireCluster-Failover erfolgt nur, wenn die physische Schnittstelle ausgefallen ist oder nicht antwortet.
Informationen zu Funktionen, die für einen Cloud-verwalteten FireCluster nicht unterstützt werden, finden Sie unter Von Cloud-verwalteten FireClustern nicht unterstützte Funktionen.
Hinzufügen eines FireClusters
Sie können einen lokal verwalteten oder Cloud-verwalteten FireCluster in WatchGuard Cloud hinzufügen. Wenn Sie einen lokal verwalteten FireCluster zwecks Visibility zu WatchGuard Cloud hinzugefügt haben, können Sie den Typ der Verwaltung später zu Cloud-verwaltet ändern.
Weitere Informationen finden Sie unter:
- Hinzufügen eines Cloud-verwalteten FireCluster
- Hinzufügen eines lokal verwalteten FireCluster zu WatchGuard Cloud
- FireCluster-Verwaltungstyp ändern
Für einen Cloud-verwalteten FireCluster müssen beide Fireboxen die Fireware v12.8.2 oder höher (oder v12.5.11 oder höher für T30, T35, T50, M200 und M300 Fireboxen) ausführen.
FireCluster verwalten und überwachen
Sie können WatchGuard Cloud sowohl für Cloud-verwaltete als auch für lokal verwaltete FireCluster für Folgendes nutzen:
- Upgrade eines FireClusters in WatchGuard Cloud
- Neustart eines Cluster-Mitglieds in WatchGuard Cloud
- Failover eines FireClusters in WatchGuard Cloud
- FireCluster überwachen
- Verwalten der FireCluster-Protokollierung in WatchGuard Cloud
- FireCluster-Verwaltungstyp ändern
- Entfernen eines FireClusters aus WatchGuard Cloud
Für Cloud-verwaltete Cluster können Sie außerdem: