MITIGATOR в режиме кластера
В режиме кластера несколько экземпляров системы MITIGATOR пользуются едиными базами данных и управляются централизованно. За счет добавления дополнительных экземпляров система допускает неограниченное масштабирование. Режим кластера позволяет обрабатывать трафик независимо на каждом экземпляре, но управлять ими из единого интерфейса. При плановом или аварийном отключении любого экземпляра сохраняется возможность управления остальными.
Развертывание
Между экземплярами настраивается виртуальная сеть (VPN). Для ее работы нужна сетевая связность между экземплярами. Подробные сведения по настройке и необходимым доступам описаны по ссылке.
Важно настроить балансировку трафика между экземплярами таким образом, чтобы пара src_ip + dst_ip всегда попадала на одно и то же устройство. В противном случае отправители могут не пройти проверки активных контрмер MITIGATOR.
Существует несколько принципиальных схем внедрения.
-
Общее нерезервированное хранилище:
простота настройки;
при выключении главного экземпляра теряется управление и мониторинг;
при отказе диска главного экземпляра теряются данные. -
Внутреннее отказоустойчивое хранилище:
отказоустойчивость за счет репликации БД;
нет потребности в дополнительном сервере для хранилища;
ресурсы экземпляров MITIGATOR расходуются на нужды хранилища;
повышенные требования к квалификации администратора;
отсутствие гибкости настройки. -
Внешнее отказоустойчивое хранилище:
полный контроль и гибкость (отказоустойчивость, тонкая настройка);
снимается нагрузка с экземпляров MITIGATOR;
требуется квалификация администратора;
нужен дополнительный сервер для хранилища;
необходимо запускать миграцию вручную при обновлении. -
Вышеописанные схемы внедрения могут быть скомбинированы между собой. Плюсы и минусы такого способа объединяют в себе плюсы и минусы схем по отдельности.
Управление через web-интерфейс
Основным изменением в интерфейсе MITIGATOR при переходе на режим кластера стало разделение некоторых настроек на относящиеся к системе в целом и для конкретных экземпляров.
На вкладке «Экземпляры» пользователю доступен список всех экземпляров системы. Для каждого из них отображается текущий статус активности. Переключателями централизованно изменяется состояние экземпляра. Нажатие на название экземпляра переводит пользователя на страницу настройки экземпляра. Если в системе создан только один экземпляр, то при нажатии на пункт меню «Экземпляры» пользователь сразу попадет на страницу настройки экземпляра.
В настройках экземпляра могут быть изменены его название, признак лидера, статус защиты и адрес обработчика пакетов для данного экземпляра.
Разделы «Интеграция в сеть» и «GRE-туннель со сторонним сервисом» теперь также находятся на вкладке «Экземпляры», так как для корректной работы системы следует задать параметры внедрения в сеть для каждого экземпляра.
MITIGATOR позволяет использовать агрегацию каналов (LAG) между устройствами во внешней и внутренней сети. Настройки интеграции в сеть влияют на то, какие варианты агрегации каналов могут использоваться:
- в режиме «L2-прозрачность» — статический или динамический (например, LACP);
- в режиме «On-a-stick» — только статический LAG.
MITIGATOR позволяет балансировать нагрузку между несколькими экземплярами системы по ECMP за счет анонсирования по BGP каждым экземпляром одинаковых префиксов. Когда один из экземпляров отключается, анонс снимается и трафик автоматически распределяется между оставшимися экземплярами.
Карточка «Лицензия» разделена на две. В настройках системы задается значение лицензионного ключа, а в настройках экземпляра находятся элементы управления лицензированной полосой и сервисная информация.
В верхней панели интерфейса находится выпадающий список, позволяющий выбрать экземпляр, для которого в системе будут показываться графики. Также возможно отображение суммарно для всех экземпляров, если выбрано значение «Все экземпляры».