@media screen and (min-width: 580px) { .flotantewhatsapp{ display:none; } }

Compartir por WhatsApp

Inicio - VMware - Sophos Cluster HA VMware
sophos-cluster-ha-vmware-37

Sophos Cluster HA VMware

Sophos Cluster HA para VMware

Hoy quiero mostraros como configurar un clúster para Sophos UTM en una infraestructura VMware. El otro día ya hablamos que iba a ser nuestra solución para nuestro vCloud, por su calidad y prestaciones.

Aunque una vez montado funciona muy bien, es verdad que en una infraestructura VMware puede ser un poco costoso o laborioso. Intentaremos que con este manual os sea más cómodo, ya que la documentación oficial aún no dispone de tanto detalle.

Nuestro clúster:

  • 2 Nodos
  • Licencia gratuita
  • Activo-Pasivo
  • Mínimo 3 tarjetas para cada nodo (WAN, INTRANET y HEARTBEAT). 1 dedicada para el heartbeat del clúster en el mismo vSwitch.
  • Previamente la gestión debe estar en la WAN y no en la INTRANET (Luego se puede cambiar nuevamente)
  • IPs para la WAN y la INTRANET. Y una IP temporal para la INTRANET del NODO 2.

Partimos que ya hemos configurado un nodo con el appliance vmware que hay en las descargas y que nos han pasado la licencia gratuita pertinente desde Sophos, y que está trabajando normalmente. Así que os recomiendo hacer un snapshot en parado y empezar con el proceso de configuración.

Lo primero que tenemos que hacer es abrir la consola de VMware de nuestro nodo 1, que llamaremos Firewall01. Editamos el grub, para ello paramos el arranque con la tecla ESC. Pulsamos «e» para editar la línea del kernel:

sophos-cluster-ha-vmware-1

Pulsamos nuevamente «e» en la línea que llama al kernel:

sophos-cluster-ha-vmware-2

Añadimos init=/bin/bash al final de la línea y pulsamos INTRO, y después «b»:

sophos-cluster-ha-vmware-3

Se reiniciará en modo consola:

sophos-cluster-ha-vmware-4

Asignamos contraseña a root con el comando «passwd root«:

 

sophos-cluster-ha-vmware-5

Reinciamos la máquina y nos logueamos con las credenciales de root que hemos facilitado en el patio anterior:

sophos-cluster-ha-vmware-15

Ahora deberemos introducir el siguiente comando:

Apagamos la máquina y vamos a vclient para añadir unos parámetros avanzados de la máquina virtual. Editamos las propiedades del nodo 1 –> Options –> Advanced –> General –> Configuration Parameters. Pulsamos Add Row y añadimos las siguientes líneas:

sophos-cluster-ha-vmware-44

Tener en cuenta el número de interfaces que tenéis, nosotros tenemos 4, así que la del heartbeat es la ethernet3 y no la introducimos (tampoco pasaría nada). Estos parámetros son para que no existan conflictos con las macs de vmware (probé a poner las mismas pero no sirvió):

En cuanto a VMware ya tenemos prácticamente todo configurado para que cuando activemos la funcionalidad de HA, el clúster trabaje bien.

Ahora vamos con el nodo 2. Lo primero que hay que hacer es un CLON de la máquina virtual nodo 1. Le ponéis un nombre característico, ejemplo Firewall02.

sophos-cluster-ha-vmware-40

Antes de arrancarla,hay que editarla y deshabilitar el arranque de las tarjetas, menos la INTERNA y el HEARTBEAT:

sophos-cluster-ha-vmware-39

Arrancamos la máquina. Y nos conectamos como root, como es un clon del nodo 1 son las mismas credenciales. Vamos a resetearlo por comando a fábrica:

Lanzamos el comando «cc»:

sophos-cluster-ha-vmware-16

Ahora «RAW»:


sophos-cluster-ha-vmware-17

Y después «system_factory_reset»:

sophos-cluster-ha-vmware-18

La máquina del nodo 2 tendrá la ip por defecto 10.0.0.250, así que vamos al navegador, colocando nuestra máquina en esa red «http://10.0.0.250:4444«:

sophos-cluster-ha-vmware-21

Nos pedirá la licencia. Y una vez colocada se reiniciará:

sophos-cluster-ha-vmware-22

Ahora nos pedirá un nuevo password para el usuario «admin» y haremos el primer login del nodo 2:

sophos-cluster-ha-vmware-24

Me salto los pasos, porque son rellenar datos y siguiente-siguiente. Le colocamos una IP si queremos cambiar la de gestión :

sophos-cluster-ha-vmware-27

El resto de tarjetas de red no hace falta configurar porque no las necesitamos y las tenemos desactivadas:

sophos-cluster-ha-vmware-28

El resto de opciones no las configuramos ya que el clúster una vez configurado replicará configuraciones:

sophos-cluster-ha-vmware-33

Ya tenemos el nodo 2 preparado. Ahora vamos al nodo 1 y configuramos el HA como activo-pasivo (se puede colocar en automático también) desde Gestión –> Alta Disponibilidad –> Configuración:

sophos-cluster-ha-vmware-38

Si como yo os conectabais al original a su gestión por la INTRANET, os tirará e incluso puede no responder ni funcionar las reglas e interfaces. IMPORTANTE: Conectaros a la gestión por la WAN, que era un requisito que he apuntado, y veréis su estado. Es importante REINICIAR LOS ESXI QUE ALBERGAN LOS NODOS DEL FIREWALL SOPHOS.

sophos-cluster-ha-vmware-34

Ya tenemos el nodo 1 ACTIVO. Ahora nos conectamos al nodo 2 y activamos el HA de la misma forma:

sophos-cluster-ha-vmware-35

Veremos el estado, la sincronización y estabilización de clúster tardará unos 15 minutos, que si tenemos notificaciones activadas por correo en el nodo 1, nos llegará datos de quien se queda MASTER o SLAVE:

sophos-cluster-ha-vmware-36

Y en Estado de sistema veremos datos de los nodos de forma separada:

sophos-cluster-ha-vmware-37

Activar los interfaces que no hemos activado en el Nodo 2. Ahora podéis hacer pruebas de tirar un nodo, normalmente son 3-4 pings para que se levante el activo:

sophos-cluster-ha-vmware-41

Lo que se ha hecho es una replicación completa del Nodo 1 al 2, con las mismas IPs y configuraciones. Ahora sólo podéis entrar a la gestión del nodo 1, donde veréis ambos nodos.

Podéis volver a cambiar la gestión al interfaz de la INTRANET.

La versión de pago permite hasta 10 nodos.

 

 

 

Acerca de Raul Unzue Pulido

Administrador de sistemas virtuales e infraestructuras IT, linuxero y entusiasta de la tecnología.

Compruebe también

crear-carpeta-y-acceso-directo-por-gpo-1

Crear carpeta y acceso directo por GPO

Crear carpeta y acceso directo por GPO Hoy os voy a explicar como generar carpetas …

3 comentarios

  1. Hello Raul,

    Are those steps the same when using an active-active cluster?

  2. Hello Raul,

    Are those steps the same with an active-active cluster setup?

    Kind Regards
    Jeroen

    • Hello Jeroen,

      If I remember correctly, because a few years ago …

      Yes the steps would be the same

      There are two options:

      – It was not possible
      – Or was done when generating the HA. Instead of placing it in Operating mode -> Automatic

      Sorry, but it was a project a long time ago.

      Thanks for comment

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

quince − diez =

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
Blog Maquinas Virtuales - El Blog de Negu