Introduzione
In questo documento vengono descritti i requisiti relativi all'utilizzo di un load balancer esterno con un cluster di appliance ThreatGrid
Prerequisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Appliance Cisco ThreatGrid
- Cisco Firepower Management Center
- Cisco Email and Web Security Appliance
Configurazione
D. È possibile utilizzare un servizio di bilanciamento del carico con due o più appliance ThreatGrid separate per fornire elevata disponibilità/condivisione delle risorse?
A. gli accessori ThreatGrid (TGA) configurano un nome utente API + una chiave univoca per ciascun dispositivo durante il processo di registrazione; pertanto il dispositivo terminale si registra solo con uno degli accessori TGA. In questo modo si eliminano tutte le possibilità di failover e di bilanciamento delle risorse.
Tuttavia, a partire dalla versione 2.4, TGA supporta il clustering che consente alle risorse TGA di gestire il carico su più TGA unite per fornire la funzionalità di gestione delle risorse/HA in modo nativo all'interno del software stesso. Poiché il cluster consente di elaborare una richiesta tramite qualsiasi dispositivo unito disponibile, un dispositivo terminale può unire e utilizzare tutte le risorse del pool senza preoccuparsi di corrispondenze di chiavi API tra più dispositivi o tramite l'utilizzo di un dispositivo di tipo Load Balancer esterno. Si noti, tuttavia, che è possibile aggiungere un load balancer esterno davanti ai TGA per fornire un'architettura più simile a quella del pool.
Riepilogo:
È possibile aggiungere un load balancer davanti a un cluster TG per facilitare l'aggiunta di un singolo nome host ai dispositivi e quindi indirizzarlo a qualsiasi nodo disponibile. Si tratta di una funzione opzionale e non necessariamente necessaria, in quanto il software TGA esegue questa operazione in modo nativo per qualsiasi richiesta inviata a qualsiasi membro del cluster.
-Questa configurazione richiede l'utilizzo di un certificato SAN in cui il nome CN è il nome host del load balancer e le voci SAN contengono il nome host del load balancer e le voci per ogni accessorio TGA.
Più TGA separate dietro un load balancer funzionano con avvertenze
- Il bilanciamento carico deve passare il dispositivo terminale allo stesso dispositivo terminale il 100% del tempo a causa della registrazione da 1 a 1/dello scambio di chiavi che si verifica tra i dispositivi. Se un dispositivo raggiunge l'altro dispositivo TGA e le ricerche non riescono, si verificano problemi a catena.
- Il failover per un errore del dispositivo TGA non è possibile a causa dello scambio di chiavi da 1 a 1.