Gilt für: Cloud-verwaltete Fireboxen
Einige der hier beschriebenen Funktionen sind nur für Teilnehmende am Programm WatchGuard Cloud Beta verfügbar. Ist eine der hier beschriebenen Funktionen in Ihrer Version der WatchGuard Cloud nicht vorhanden, handelt es sich um eine Beta-Funktion.
Jedes Cluster-Mitglied wahrt jederzeit Status- und Session-Informationen. Bei einem Failover werden die Paketfilterverbindungen, Branch-Office-VPN-Tunnels und Benutzersitzungen von der defekten an die andere Firebox im Cluster übergeben.
Die eine Firebox ist der Cluster-Master und die andere Firebox ist der Backup-Master. Der Backup-Master nutzt die primäre Cluster-Schnittstelle für das Synchronisieren von Verbindungs- und Sitzungsinformationen mit dem Cluster-Master.
Falls Sie eine Backup-Cluster-Schnittstelle konfigurieren und falls die primäre Cluster-Schnittstelle ausfällt oder getrennt wird, nutzt der Backup-Master in einigen Fällen die Backup-Cluster-Schnittstelle zur Kommunikation mit dem Cluster-Master. Wir empfehlen eine Backup-Cluster-Schnittstelle nur dann, falls Sie die Cluster-Schnittstellen über einen Switch verbinden.
Der Cluster-Master nutzt sowohl die primäre als auch die Backup-Cluster-Schnittstellen, um einmal pro Sekunde ein Heartbeat-Paket an den Backup-Master zu senden.
Informationen zu bewährten Verfahren in Bezug auf Backup-Cluster-Schnittstellen finden Sie unter Vor der Konfiguration eines Cloud-verwalteten FireClusters in WatchGuard Cloud.
Ereignisse, die ein Failover auslösen
Bei einem Cloud-verwalteten FireCluster lösen folgende Ereignisse ein Failover des Cluster-Masters aus:
Gerätezustandsindex ist zu niedrig
Für jedes Cluster-Mitglied gibt es einen gewichteten Durchschnittsindex (WAI), der den technischen Gesamtzustand der Firebox anzeigt. Der WAI eines Cluster-Mitglieds ist ein gewichteter Mittelwert aus System Health Index (SHI) und Monitored Ports Health Index (MPHI) für dieses Gerät. Wenn der WAI des Cluster-Masters niedriger ist als der WAI des Backup-Masters, erfolgt ein Failover des Cluster-Masters.
Der Hardware Health Index (HHI) ist für Cloud-verwaltete FireCluster deaktiviert.
Informationen zur Anzeige der technischen Zustandsindexwerte für ein FireCluster finden Sie unter FireCluster überwachen.
Verlust des Heartbeat
Der Cluster-Master sendet einmal pro Sekunde ein Heartbeat-Paket über die primären und Backup-Cluster-Schnittstellen. Falls der Backup-Master drei aufeinanderfolgende Heartbeats vom Cluster-Master nicht empfängt, löst dies ein Failover des Cluster-Masters aus. Der Schwellenwert für verlorene Heartbeats ist drei.
Manuelles Failover eingeleitet
Wenn Sie in WatchGuard Cloud Konfigurieren > Geräte> Failover des Masters auswählen, erzwingen Sie ein Failover des Cluster-Masters zum Backup-Master.
Weitere Informationen zu manuellem Failover finden Sie unter Failover eines FireClusters in WatchGuard Cloud.
Für Schnittstellen, die in Multi-WAN- oder Link Aggregation-Konfigurationen enthalten sind:
- Multi-WAN — Ein FireCluster-Failover wird ausgelöst, wenn die physische Schnittstelle nicht verfügbar ist oder nicht antwortet. Es wird kein Failover im FireCluster ausgelöst, falls es bei Multi-WAN wegen Link Monitor-Fehlern zu einem Failover kommt.
- Link Aggregation — Der FireCluster-Failover wird ausgelöst, wenn alle Mitglieder-Schnittstellen der Link Aggregation ausfallen. Der FireCluster-Failover wird nicht ausgelöst, wenn nur einige Mitglieder-Schnittstellen der Link Aggregation ausfallen.
Folgen eines Failovers
Bei einem Failover des Cluster-Masters wird der Backup-Master zum Cluster-Master. Der ursprüngliche Cluster-Master kehrt als Backup-Master wieder zum Cluster zurück. Das Cluster erhält alle Paketfilterverbindungen, Branch-Office-VPN-Tunnel und Benutzersitzungen aufrecht.
Bei Ausfall des Backup-Masters werden Verbindungen und Sitzungen nicht gestört, weil dem Backup-Master in einem Aktiv/Passiv-FireCluster kein Datenverkehr zugewiesen ist.
| Verbindungs-/Sitzungstyp | Auswirkung eines Failover-Ereignisses |
|---|---|
| Paketfilterverbindungen | Verbindungen werden per Failover zum anderen Cluster-Mitglied übergeben. |
| Branch-Office-VPN-Tunnel | Tunnel werden bei Failover zum anderen Cluster-Mitglied übergeben. |
| Benutzersitzungen | Die Sitzungen werden bei Failover zum anderen Cluster-Mitglied übergeben. |
| Proxy-Verbindungen | Verbindungen, die der ausgefallenen Firebox (Master oder Backup-Master) zugewiese sind, müssen neu aufgebaut werden. Verbindungen, die der anderen Firebox zugewiesen sind, bleiben bestehen. |
| Mobile VPN with SSL | Beim Failover einer der Fireboxen müssen alle Sitzungen neu gestartet werden. |
| Mobile VPN with IKEv2 | Bei einem Failover des Cluster-Masters müssen alle Sitzungen neu gestartet werden. Bei Ausfall des Backup-Masters müssen nur die dem Backup-Master zugewiesenen Sitzungen neu gestartet werden. Dem Cluster-Master zugewiesene Sitzungen werden nicht unterbrochen. |
FireCluster-Failover überwachen
Auf der Seite Geräteeinstellungen können Sie sehen, welches Cluster-Mitglied der Cluster-Master ist. Cloud-verwaltete FireCluster nutzen nur den Aktiv/Passiv-Modus, was bedeutet, dass sich nur der Cluster-Master mit WatchGuard Cloud verbindet. Der Status des Cluster-Masters ist Verbunden. Der Status des Backup-Masters ist Nicht verbunden. Weitere Informationen zur Seite Geräteeinstellungen finden Sie unter Geräteeinstellungen in WatchGuard Cloud konfigurieren.
Auf der Seite Live Status > FireCluster sehen Sie eine Liste der Cluster-Ereignisse und Cluster-Failover-Ereignisse. Weitere Informationen zur Seite FireCluster Live Status finden Sie unter FireCluster überwachen.
FireCluster-Failover und Subscription Services
Wenn Sie lizenzierte Abonnementsdienste für Ihr FireCluster aktivieren, laufen die Dienste nach dem Failover weiter. Bei einem Cloud-verwalteten FireCluster müssen Sie die angemeldeten Dienste im Feature Key für nur ein Cluster-Mitglied aktivieren. Das aktive Cluster-Mitglied nutzt die Subscription Services, die im Feature Key eines der Cluster-Mitglieder aktiv sind.
Weitere Informationen zu Feature Keys und FireCluster finden Sie unter Über Feature Keys und FireCluster.
Über FireCluster in WatchGuard Cloud
Verwalten der FireCluster-Protokollierung in WatchGuard Cloud
RMA-Ersatz für ein Cloud-verwaltetes FireCluster-Mitglied konfigurieren