Über FireCluster in WatchGuard Cloud

Gilt für: Cloud-verwaltete Fireboxen, Lokal verwaltete Fireboxen

Um die Netzwerkleistung und Skalierbarkeit zu erhöhen, können Sie einen FireCluster konfigurieren. FireCluster ist die Hochverfügbarkeitslösung (HA) für WatchGuard Fireboxen.

Eine Schnellstartanleitung für das Hinzufügen eines Aktiv/Passiv-FireClusters in WatchGuard Cloud finden Sie unter Schnellstart — Cloud-verwaltete FireCluster einrichten.

  • Ein FireCluster umfasst zwei als Cluster-Mitglieder konfigurierte Fireboxen.
  • Bei einem Ausfall des aktiven Cluster-Mitglieds übernimmt das passive Cluster-Mitglied.

Wenn Sie FireCluster zu WatchGuard Cloud hinzufügen, müssen Sie die Art der Verwaltung von FireCluster wählen:

  • Cloud-verwaltet — Bei dieser Option verwenden Sie WatchGuard Cloud für die gesamte Konfigurationsverwaltung, Überwachung und Berichterstattung von FireCluster.
  • Lokal verwaltet — Bei dieser Option können Sie WatchGuard Cloud für die Überwachung und Berichterstattung von FireCluster verwenden. Sie können FireCluster in WatchGuard Cloud auch upgraden, ein Failover durchführen und neu starten. Zum Verwalten der FireCluster-Konfiguration müssen Sie WatchGuard System Manager, Fireware Web UI oder die CLI verwenden.

In diesem Thema wird Folgendes erläutert:

Anforderungen

Bevor Sie einen Cloud-verwalteten FireCluster hinzufügen, sollten Sie sich mit den Anforderungen vertraut machen und Ihre Konfiguration planen. Informationen zu FireCluster-Anforderungen finden Sie unter Vor der Konfiguration eines Cloud-verwalteten FireClusters in WatchGuard Cloud.

Die wichtigsten Anforderungen sind:

  • Stellen Sie sicher, dass Sie zwei aktivierte Fireboxen mit derselben Modellnummer haben.
  • Stellen Sie sicher, dass jede Firebox über die gleiche Anzahl von Netzwerkschnittstellen und Schnittstellenmodulen verfügt, die in denselben Steckplätzen jeder Firebox installiert sind.
  • Stellen Sie sicher, dass auf jeder Firebox dieselbe Version von Fireware installiert ist.

Cluster-Typ

In WatchGuard Cloud können Sie hinzufügen:

  • Cloud-verwaltete FireCluster im Aktiv/Passiv-Modus
  • Lokal verwaltete FireCluster im Aktiv/Passiv- oder Aktiv/Aktiv-Modus

Bei einem Aktiv/Passiv-Cluster ist ein Cluster-Mitglied aktiv und das andere passiv. Das aktive Cluster-Mitglied handhabt den gesamten Netzwerk-Datenverkehr. Das passive Cluster-Mitglied überwacht aktiv den Status des aktiven Cluster-Mitglieds. Der gesamte Datenverkehr über die Schnittstellen eines der Cluster-Mitglieder wird auch über das andere Cluster-Mitglied geführt. Das ist möglich, weil Cluster-Mitglieder dieselbe virtuelle MAC-Adresse (VMAC) teilen.

Bei einem Ausfall des aktiven Cluster-Mitglieds übernimmt das passive Cluster-Mitglied die Verbindungen des ausgefallenen Cluster-Mitglieds. Das passive Cluster-Mitglied wird zum aktiven Cluster-Mitglied. Dieser Vorgang wird Failover genannt.

Alle Cloud-verwalteten FireCluster arbeiten im Aktiv/Passiv-Modus. Ein Cloud-verwalteter FireCluster kann nicht als Aktiv/Aktiv-Cluster konfiguriert werden. Informationen zum Aktiv/Aktiv-Modus auf einem lokal verwalteten FireCluster finden Sie unter Über FireCluster.

Über FireCluster and Link Aggregation

Einige der hier beschriebenen Funktionen sind nur für Teilnehmende am Programm WatchGuard Cloud Beta verfügbar. Ist eine der hier beschriebenen Funktionen in Ihrer Version der WatchGuard Cloud nicht vorhanden, handelt es sich um eine Beta-Funktion.

Durch die Konfiguration der Link Aggregation können Sie mit einem FireCluster außerdem die Performance verbessern und vollständige Redundanz erreichen. Mit dieser Methode kann eine Gruppe physischer Schnittstellen als eine einzige logische Schnittstelle fungieren.

Weitere Informationen finden Sie unter Über Link Aggregation und Link Aggregation für einen FireCluster in WatchGuard Cloud konfigurieren.

Der FireCluster-Failover wird ausgelöst, wenn alle LAG-Schnittstellen ausfallen. Der FireCluster-Failover wird nicht ausgelöst, wenn nur einige der LAG-Schnittstellen ausfallen.

Topologie

In diesem Diagramm sind Verbindungen für eine einfache Cloud-verwaltete FireCluster-Konfiguration dargestellt.

Einfaches Diagramm der FireCluster-Netzwerkkonfiguration

In diesem Diagramm sind Verbindungen für eine Cloud-verwaltete FireCluster-Konfiguration mit mehreren internen Netzwerken dargestellt.

Diagramm einer FireCluster-Einrichtung mit mehreren internen Netzwerken

Failover

Beim Ausfall eines Cluster-Mitglieds erfolgt ein Failover und Folgendes wird aufrechterhalten:

  • Paketfilterverbindungen
  • BOVPN-Tunnel
  • Benutzersitzungen

Bei einem Failover könnten folgende Verbindungen getrennt werden:

  • Proxy-Verbindungen
  • Mobile VPN-Verbindungen

Mobile VPN-Benutzer könnten die VPN-Verbindung nach einem Failover manuell neu starten müssen.

Einige Ereignisse führen zu einem automatischen Failover eines FireClusters. Informationen zum automatischen Failover bei Cloud-verwalteten FireClustern finden Sie unter Über FireCluster-Failover.

In WatchGuard Cloud können Sie manuell ein Failover eines FireClusters erzwingen. Informationen zum manuellen Failover finden Sie unter Failover eines FireClusters in WatchGuard Cloud.

Rollen der Mitglieder

Sie sollten mit den verschiedenen möglichen Rollen von Fireboxen im Cluster vertraut sein.

Cluster-Master

Dieses Cluster-Mitglied weist Cluster-Mitgliedern Netzwerk-Datenverkehrsströme zu und antwortet auf alle Anfragen von externen Systemen, wie WatchGuard Cloud, SNMP, DHCP, ARP, Routingprotokolle und IKE. Wenn Sie die Cluster-Konfiguration vornehmen oder ändern, speichern Sie die Cluster-Konfiguration im Cluster-Master. Jedes der beiden Geräte kann Cluster-Master sein. Das erste Gerät in einem Cluster, das hochgefahren wird, wird der Cluster-Master.

Backup-Master

Dieses Cluster-Mitglied synchronisiert alle notwendigen Informationen mit dem Cluster-Master, sodass es bei einem Ausfall des Cluster-Master dessen Rolle übernehmen kann. In einem Aktiv/Passiv-Cluster ist der Backup-Cluster-Master passiv.

Aktives Mitglied

Dies kann jedes Cluster-Mitglied sein, das aktiv den Datenverkehrsstrom handhabt. In einem Aktiv/Passiv-Cluster ist der Cluster-Master das einzige aktive Gerät.

Passives Mitglied

Eine Firebox in einem Aktiv/Passiv-Cluster, das im Normalbetrieb keine Netzwerk-Datenverkehrsströme handhabt. In einem Aktiv/Passiv-Cluster ist das passive Mitglied der Backup-Cluster-Master.

Unterstützte Firebox-Funktionen

In einem aktivierten FireCluster unterstützen Ihre Fireboxen folgende Funktionen:

  • Sekundäre Netzwerke an internen, externen und Gast-Schnittstellen
  • VLANs
  • Link Aggregation — Der FireCluster-Failover wird ausgelöst, wenn alle Mitglieder-Schnittstellen der Link Aggregation ausfallen. Der FireCluster-Failover wird nicht ausgelöst, wenn nur einige Mitglieder-Schnittstellen der Link Aggregation ausfallen.
  • Multi-WAN-Verbindungen — Es wird kein Failover im FireCluster ausgelöst, falls es bei Multi-WAN wegen Link Monitor-Fehlern zu einem Failover kommt. Ein FireCluster-Failover wird ausgelöst, wenn die physische Schnittstelle nicht verfügbar ist oder nicht antwortet.

Informationen zu Funktionen, die für einen Cloud-verwalteten FireCluster nicht unterstützt werden, finden Sie unter Von Cloud-verwalteten FireClustern nicht unterstützte Funktionen.

FireCluster hinzufügen

Sie können einen lokal verwalteten oder Cloud-verwalteten FireCluster in WatchGuard Cloud hinzufügen. Wenn Sie einen lokal verwalteten FireCluster zwecks Visibility zu WatchGuard Cloud hinzugefügt haben, können Sie den Typ der Verwaltung später zu Cloud-verwaltet ändern.

Weitere Informationen finden Sie unter:

FireCluster Verwalten und Überwachen

Sie können WatchGuard Cloud sowohl für Cloud-verwaltete als auch für lokal verwaltete FireCluster für Folgendes nutzen:

Für Cloud-verwaltete Cluster können Sie außerdem: