Gilt für: Cloud-verwaltete Fireboxen
Jedes Cluster-Mitglied wahrt jederzeit Status- und Session-Informationen. Bei einem Failover werden die Paketfilterverbindungen, Branch-Office-VPN-Tunnels und Benutzersitzungen von der defekten an die andere Firebox im Cluster übergeben.
Die eine Firebox ist der Cluster-Master und die andere Firebox ist der Backup-Master. Der Backup-Master nutzt die primäre Cluster-Schnittstelle für das Synchronisieren von Verbindungs- und Sitzungsinformationen mit dem Cluster-Master. Informationen zu bewährten Verfahren in Bezug auf Cluster-Schnittstellen finden Sie unter Vor der Konfiguration eines Cloud-verwalteten FireCluster in WatchGuard Cloud.
Falls Sie eine Backup-Cluster-Schnittstelle konfigurieren und falls die primäre Cluster-Schnittstelle ausfällt oder getrennt wird, nutzt der Backup-Master in einigen Fällen die Backup-Cluster-Schnittstelle zur Kommunikation mit dem Cluster-Master. Wir empfehlen eine Backup-Cluster-Schnittstelle nur dann, falls Sie die Cluster-Schnittstellen über einen Switch verbinden. Informationen zu bewährten Verfahren in Bezug auf Backup-Cluster-Schnittstellen finden Sie unter Vor der Konfiguration eines Cloud-verwalteten FireCluster in WatchGuard Cloud.
Der Cluster-Master nutzt sowohl die primäre als auch die Backup-Cluster-Schnittstellen, um einmal pro Sekunde ein Heartbeat-Paket an den Backup-Master zu senden.
Ereignisse, die ein Failover auslösen
Bei einem Cloud-verwalteten FireCluster lösen folgende Ereignisse ein Failover des Cluster-Masters aus:
Gerätezustandsindex ist zu niedrig
Für jedes Cluster-Mitglied gibt es einen gewichteten Durchschnittsindex (WAI), der den technischen Gesamtzustand der Firebox anzeigt. Der WAI eines Cluster-Mitglieds ist ein gewichteter Mittelwert aus System Health Index (SHI) und Monitored Ports Health Index (MPHI) für dieses Gerät. Wenn der WAI des Cluster-Masters niedriger ist als der WAI des Backup-Masters, erfolgt ein Failover des Cluster-Masters.
Der Hardware Health Index (HHI) ist für Cloud-verwaltete FireCluster deaktiviert.
Informationen zur Anzeige der technischen Zustandsindexwerte für ein FireCluster finden Sie unter FireCluster überwachen.
Verlust des Heartbeat
Der Cluster-Master sendet einmal pro Sekunde ein Heartbeat-Paket über die primären und Backup-Cluster-Schnittstellen. Falls der Backup-Master drei aufeinanderfolgende Heartbeats vom Cluster-Master nicht empfängt, löst dies ein Failover des Cluster-Masters aus. Der Schwellenwert für verlorene Heartbeats ist drei.
Manuelles Failover eingeleitet
Wenn Sie in WatchGuard Cloud Konfigurieren > Geräte> Failover des Masters auswählen, erzwingen Sie ein Failover des Cluster-Masters zum Backup-Master.
Weitere Informationen zu manuellem Failover finden Sie unter Failover eines FireClusters in WatchGuard Cloud.
Ein FireCluster-Failover wird ausgelöst, wenn die physische Schnittstelle nicht verfügbar ist oder nicht antwortet. Es wird kein Failover im FireCluster ausgelöst, falls es bei Multi-WAN wegen Link Monitor-Fehlern zu einem Failover kommt.
Folgen eines Failovers
Bei einem Failover des Cluster-Masters wird der Backup-Master zum Cluster-Master. Der ursprüngliche Cluster-Master kehrt als Backup-Master wieder zum Cluster zurück. Das Cluster erhält alle Paketfilterverbindungen, Branch-Office-VPN-Tunnel und Benutzersitzungen aufrecht.
Bei Ausfall des Backup-Masters werden Verbindungen und Sitzungen nicht gestört, weil dem Backup-Master in einem Aktiv/Passiv-FireCluster kein Datenverkehr zugewiesen ist.
| Verbindungs-/Sitzungstyp | Auswirkung eines Failover-Ereignisses |
|---|---|
| Paketfilterverbindungen | Verbindungen werden per Failover zum anderen Cluster-Mitglied übergeben. |
| Branch-Office-VPN-Tunnel | Tunnel werden bei Failover zum anderen Cluster-Mitglied übergeben. |
| Benutzersitzungen | Die Sitzungen werden bei Failover zum anderen Cluster-Mitglied übergeben. |
| Proxy-Verbindungen | Verbindungen, die der ausgefallenen Firebox (Master oder Backup-Master) zugewiese sind, müssen neu aufgebaut werden. Verbindungen, die der anderen Firebox zugewiesen sind, bleiben bestehen. |
| Mobile VPN with SSL | Beim Failover einer der Fireboxen müssen alle Sitzungen neu gestartet werden. |
| Mobile VPN with IKEv2 | Bei einem Failover des Cluster-Masters müssen alle Sitzungen neu gestartet werden. Bei Ausfall des Backup-Masters müssen nur die dem Backup-Master zugewiesenen Sitzungen neu gestartet werden. Dem Cluster-Master zugewiesene Sitzungen werden nicht unterbrochen. |
FireCluster-Failover überwachen
Auf der Seite Geräteeinstellungen können Sie sehen, welches Cluster-Mitglied der Cluster-Master ist. Cloud-verwaltete FireCluster nutzen nur den Aktiv/Passiv-Modus, was bedeutet, dass sich nur der Cluster-Master mit WatchGuard Cloud verbindet. Der Status des Cluster-Masters ist Verbunden. Der Status des Backup-Masters ist Nicht verbunden. Weitere Informationen zur Seite Geräteeinstellungen finden Sie unter Über die Seite Geräteeinstellungen.
Auf der Seite Live Status > FireCluster sehen Sie eine Liste der Cluster-Ereignisse und Cluster-Failover-Ereignisse. Weitere Informationen zur Seite FireCluster Live Status finden Sie unter FireCluster überwachen.
FireCluster-Failover und Subscription Services
Wenn Sie lizenzierte Abonnementsdienste für Ihr FireCluster aktivieren, laufen die Dienste nach dem Failover weiter. Bei einem Cloud-verwalteten FireCluster müssen Sie die abonnierten Dienste im Feature Key für nur ein Cluster-Mitglied aktivieren. Das aktive Cluster-Mitglied nutzt die Subscription Services, die im Feature Key eines der Cluster-Mitglieder aktiv sind.
Weitere Informationen zu Feature Keys und FireCluster finden Sie unter Über Feature Keys und FireCluster.
Über FireCluster in WatchGuard Cloud
Verwalten der FireCluster-Protokollierung in WatchGuard Cloud
RMA-Ersatz für ein Cloud-verwaltetes FireCluster-Mitglied konfigurieren