S'applique À : Fireboxes Gérés sur le Cloud
Certaines des fonctionnalités décrites dans cette rubrique sont uniquement proposées aux participants du programme Bêta WatchGuard Cloud. Si une fonctionnalité décrite dans cette rubrique n'est pas disponible dans votre version de WatchGuard Cloud, il s'agit d'une fonctionnalité proposée uniquement en version bêta.
Chaque membre du cluster conserve à tout moment les informations sur l'état et les sessions. En cas de basculement, les connexions via un filtre de paquets, les tunnels Branch Office VPN (BOVPN) et les sessions d'utilisateur gérés par le Firebox en échec bascule automatiquement vers l'autre Firebox du cluster.
Un Firebox est le maître du cluster et l'autre Firebox est le maître de secours. Le maître de secours utilise l'interface cluster principale pour synchroniser les informations sur les connexions et les sessions à partir du maître du cluster.
Si vous configurez une interface cluster de secours et que l'interface cluster principale dysfonctionne ou se déconnecte, le maître de secours utilise l'interface cluster de secours pour communiquer avec le maître du cluster dans certains cas. Nous recommandons une interface cluster de secours uniquement si vous utilisez un commutateur entre les interfaces cluster.
Le maître du cluster utilise les interfaces de cluster principales et de secours pour envoyer un paquet de pulsations une fois par seconde au maître de secours.
Pour de plus amples informations concernant les meilleures pratiques en matière d'interface cluster de secours, accédez à Avant de configurer un FireCluster Géré sur le Cloud dans WatchGuard Cloud.
Les événements qui déclenchent un basculement
Pour un FireCluster géré sur le cloud, les événements suivants déclenchent le basculement du maître du cluster :
L'indice de santé est trop faible
Chaque membre du cluster présente un Indice Moyen Pondéré (IMP) indiquant la santé générale du Firebox. L'IMP d'un membre du cluster correspond à la moyenne pondérée de l'Indice de Santé du Système (ISS) et de l'Indice de Santé des Ports Surveillés (ISPS) de ce périphérique. Si l'IMP du maître du cluster est inférieur à l'IMP du maître de secours, le maître du cluster bascule.
L'Indice de Santé du Matériel (ISM) est désactivé pour les FireClusters gérés sur le cloud.
Pour de plus amples informations concernant l'affichage des valeurs d'indice de santé d'un FireCluster, accédez à Surveiller les FireClusters.
Perte de pulsation
Le maître du cluster envoie un paquet de pulsations une fois par seconde sur les interfaces cluster principale et de secours. Si le maître de secours ne reçoit pas trois pulsations consécutivement du maître du cluster, cela déclenche le basculement du maître du cluster. Le seuil pour la perte de pulsation est de trois.
Basculement manuel lancé
Dans WatchGuard Cloud, lorsque vous sélectionnez Configurer > Périphériques > Basculer le Maître, vous forcez le maître du cluster à basculer vers le maître de secours.
Pour plus d'informations sur le basculement manuel, accédez à Basculer un FireCluster dans WatchGuard Cloud.
Pour les interfaces incluses dans les configurations multi-WAN ou d'agrégation des liaisons :
- Multi-WAN — Le basculement du FireCluster est déclenché lorsque l'interface physique dysfonctionne ou ne répond pas. Le basculement du FireCluster ne se déclenche pas si le basculement multi-WAN se produit en raison du dysfonctionnement du contrôle des liaisons.
- Agrégation des Liaisons — Le basculement du FireCluster est déclenché si toutes les interfaces membres de l'agrégation des liaisons échouent. Le basculement du FireCluster n'est pas déclenché si seules certaines interfaces membres de l'agrégation des liaisons échouent.
Que se Passe-t-il Lorsqu'un Basculement se Produit ?
En cas de dysfonctionnement du maître du cluster, le maître de secours devient le maître du cluster. Le maître du cluster d'origine rejoint le cluster en tant que maître de secours. Le cluster conserve toutes les connexions du filtre de paquets, les tunnels branch office VPN (BOVPN) et les sessions des utilisateurs.
En cas de dysfonctionnement du maître de secours, les connexions et les sessions ne sont pas interrompues, car le trafic n'est pas attribué au maître de secours dans un FireCluster actif/passif.
| Type de connexion/session | Impact d'un événement de basculement |
|---|---|
| Connexions via un filtre de paquets | Les connexions basculent sur l'autre membre du cluster. |
| Tunnels Branch Office VPN (BOVPN) | Les tunnels basculent sur l'autre membre du cluster. |
| Sessions de l'utilisateur | Les sessions basculent sur l'autre membre du cluster. |
| Connexions proxy | Les connexions affectées au Firebox en échec (maître ou maître de secours) doivent être redémarrées. Les connexions affectées à l'autre Firebox ne sont pas interrompues. |
| Mobile VPN with SSL | Si l'un des deux Fireboxes bascule, toutes les sessions doivent être redémarrées. |
| Mobile VPN with IKEv2 | Si le maître du cluster bascule, toutes les sessions doivent être redémarrées. Si le maître de secours échoue, seules les sessions attribuées au maître de secours doivent être redémarrées. Les sessions affectées au maître du cluster ne sont pas interrompues. |
Surveiller le Basculement d'un FireCluster
Sur la page Paramètres du Périphérique, vous pouvez consulter le membre du cluster assurant le rôle de maître du cluster. Les FireClusters gérés sur le cloud utilisent uniquement le mode actif/passif. C'est pourquoi seul le maître du cluster se connecte à WatchGuard Cloud. L'état du maître du cluster est Connecté. L'état du maître de secours est Non Connecté. Pour plus d'informations sur la page Paramètres du Périphérique, accédez à Configurer les Paramètres du Périphérique dans WatchGuard Cloud.
Sur la page État en Direct > FireCluster, vous pouvez afficher la liste des événements du cluster, y compris les événements de basculement du cluster. Pour plus d'informations sur les pages État en Direct du FireCluster, accédez à Surveiller les FireClusters.
Basculement du FireCluster et Services d'Abonnement
Si vous avez activé des services d'abonnement sous licence pour votre FireCluster, les services continuent d'être fonctionnels après le basculement. Pour un FireCluster géré sur le cloud, vous devez activer les services d'abonnement sur la clé de fonctionnalité pour un seul membre du cluster. Le membre du cluster actif utilise les services d'abonnement actifs sur la clé de fonctionnalité de l'un des deux membres du cluster.
Pour plus d'informations sur les clés de fonctionnalité et le FireCluster, accédez à À Propos des Clés de Fonctionnalité et de FireCluster.
À Propos des FireClusters dans WatchGuard Cloud
Gérer la Journalisation FireCluster dans WatchGuard Cloud
Configurer un Remplacement RMA d'un Membre d'un FireCluster Géré sur le Cloud