一元管理の意味と一元管理クラスタの作成方法を教えてください。

はじめに

このドキュメントでは、E メール セキュリティ アプライアンス（ESA）での一元管理の意味と、一元管理クラスタの作成方法について説明します。

一元管理の意味と一元管理クラスタの作成方法を教えてください。

背景

一元管理により、複数のアプライアンスを同時に管理および構成して、ネットワーク内での信頼性、柔軟性、および拡張性を高めることができます。これにより、ローカル・ポリシーに準拠した、グローバルな管理が可能になります。クラスタは、共通の設定情報を持つマシンのセットで構成されます。各クラスタ内で、アプライアンスはさらにマシン グループに分けることができます。ここで単独のマシンは一度に 1 つのグループのみでメンバーになれます。クラスタは、マスター/スレーブ関係のないピアツーピア アーキテクチャで実装されます。どのマシンにログインしても、クラスタ全体またはグループの制御と管理を行うことができます。これにより、管理者はシステムのさまざまな要素をクラスタ全体、グループ全体、またはマシンごとに、独自の論理グループに基づいて設定できます。

覚えておくべき要件

• すべてのマシンがIP接続されている必要があります。
• ホスト名を使用する場合は、すべてが正しく解決されることを確認します。前方の「A」DNSレコードと後方の「PTR」DNSレコードが一致しています。
• TCPポート22 SSHまたは2222 Cluster Communication Service(CCS)、あるいは任意のカスタマイズポートで接続できる必要があります。
• すべてのアプライアンスのAsyncOSバージョンが完全に同じであり、製品ファミリが同じである必要があります（注：CシリーズとXシリーズのアプライアンスは相互運用可能です）。
• また、すべてのアプライアンスには、バージョン8.xより前の「一元管理」機能キーが必要です。
• GUIではクラスタ管理ツールの「clusterconfig」が使用できないため、コマンドラインアクセスが必要です。

個々のマシンまたはマシングループの多くの設定を変更して、さまざまな設定を上書きできます。クラスタ化されたアプライアンスが設定を継承する順序は、1)マシン2)グループ3)クラスタです。ただし、ホスト名やIPインターフェイスなどの一部の設定は、マシンレベルでのみ使用でき、他のクラスタメンバーには複製されません。

また、クラスタリング機能は構成管理のみを目的としていることにも注意してください。異なるメンバー間のEメールトラフィックのフローに優先順位を付けたり、スケジュールを設定したりするための固有のメカニズムはありません。これを実現するには、同一のDNSレコードプリフェンス(MX)または別のロードバランシングデバイス、またはその他の外部メカニズムを使用する必要があります。

解決方法

新しいクラスタから始めるには、スタンドアロンマシンとしてすでに完全に実装されているアプライアンスを選択する必要があります。このマシンは、ホスト/受信者アクセステーブル(HAT/RAT)、メールフローポリシー、コンテンツフィルタなど、必要なすべての機能を使用して完全に設定する必要があります。これは、クラスタを形成するための参照点になります。 

覚えておくべき注意事項

1. すべてのマシンのIPアドレスとホスト名が正しいことを確認します。
2. デバイス通信に必要なポート上のすべてのアプライアンスへの接続を確認します（「telnet」コマンドを使用）。
3. ifconfig > editを使用して、選択した適切なサービス（SSH、CCS、またはカスタムポート）がこのマシンのインターフェイスで有効になっていることを確認します。
4. 続行する前に、たとえば「mailconfig」または「saveconfig」を使用して、設定バックアップ（パスワードのマスク解除）を作成します。

次に、「clusterconfig」コマンドを使用してクラスタグループとマシングループの両方を作成し、1つ以上の追加アプライアンスをそのグループに参加させます。

設定

1. 「clusterconfig」設定手順を開始し、新しいクラスタの名前を指定します。
   • clusterconfig > Create A New Cluster
2. IP通信パラメータを定義し、IPアドレスまたはホスト名解決のいずれかを選択します。
   

   注：この時点では、クラスタの構築に数秒かかる場合があり、変更は自動的にコミットされます。

3. ここでは、新しいクラスタにマシンを追加する前に、新しいグループを作成することを選択できます。新しいクラスタを作成すると、Main_Groupという名前のデフォルトのグループが自動的に作成されます。ただし、次のコマンドを使用して、この名前を変更するか、追加のグループを作成することもできます。
   
   
   • clusterconfig > renamegroup
   • clusterconfig > addgroup
4. クラスタとグループに新しいマシンを追加します。これらの手順は、クラスタメンバーにまだ作成されておらず、必要に応じて繰り返すことができる残りのマシンで実行します。プロセスは、以前に選択した通信プロトコルによって若干異なる場合があります。
   
   
   • clusterconfig > SSHを使用した既存のクラスタへの参加
     1. Cluster Communication Serviceを開始するように求められます。このプロトコルを使用していないため、このサービスは無視できます。
     2. 既存のクラスタマシンのIPアドレスを入力します。これは任意のクラスタマシンにできますが、通信の設定にかかわらず、IPから参照する必要があります。
     3. クラスタの作成時に定義されたSSH通信用のポートを選択します。
     4. 既存のクラスタマシンの「admin」アカウントのパスワードを入力します。確認のためにこのホストの公開キーが表示されます。次のコマンドを使用して、クラスタ内の任意のアプライアンスでこれを確認できます。
           logconfig > hostkeyconfig >フィンガープリント

     注：新しいメンバーがクラスタ設定を自動的に取得して適用するまで、さらに遅延が発生します。

   • clusterconfig > Join an existing cluster over CCS:
     
     
     1. CCS経由でクラスタに参加するには、まずクラスタメンバーにログインし、このシステムが追加されることを伝える必要があります。  クラスタ内の任意のマシンで、次のコマンドを実行します。
             clusterconfig > prepjoin > new
     2. ホスト名、シリアル番号、SSHキー情報をコピーし、上の既存のクラスタメンバーの「prepjoin」プロンプトに貼り付けます。<RETURN>を2回押してメインプロンプトに移動し、「commit」を実行して変更を適用します。この時点での「コミット」は非常に重要です。そうしないと、新しいアプライアンスは認証エラーを受け取ります。
     3. Cluster Communication Serviceを開始するように求められます。これにより、選択したインターフェイス上でTCPポート2222経由の新しいサービスが開きます。
     4. 既存のクラスタマシンのIPアドレスを入力します。これは任意のクラスタマシンにできますが、通信の設定にかかわらず、IPから参照する必要があります。
     5. クラスタの作成時に定義されたとおりにCCSで使用するポートを選択します。
     6. 確認のためにこのホストの公開キーが表示されます。次のコマンドを使用して、クラスタ内の任意のアプライアンスでこれを確認できます。
        
              logconfig > hostkeyconfig >フィンガープリント

        注：新しいメンバーがクラスタ設定を自動的に取得して適用するまで、さらに遅延が発生します

5. 別の設定をバックアップする前に、「status」や「System Overview」レポートなどの出力を使用して、すべてのメールフローとシステム動作が正常であることを確認します。どの時点でも何かが正しくないと思われる場合は、「clusterconfig > removemachine」を使用してクラスタからデバイスを削除し、マシンレベルの設定に戻します。
   
   

   注：クラスタから最後のマシンを削除することは、一般的にマシンを削除することと同じで、クラスタ全体を効果的に削除します。

クラスタが作成され、正常に機能するようになったので、グループとクラスタに異なる変更を加え、それらの変更が各アプライアンスに適用されることを確認できます。

関連情報

• クラスタ内にある ESA の置き換え:
• クラスタ内にあるESAをアップグレードする方法
  
• テクニカル サポートとドキュメント - Cisco Systems