소개
이 문서에서는 ESA(Email Security Appliance)의 중앙 집중식 관리 의미 및 중앙 집중식 관리 클러스터를 만드는 방법에 대해 설명합니다.
중앙 집중식 관리란 무엇이며, 중앙 집중식 관리 클러스터는 어떻게 생성할 수 있습니까?
배경
중앙 집중식 관리 기능을 사용하면 여러 어플라이언스를 동시에 관리 및 구성할 수 있어 네트워크 내에서 안정성, 유연성 및 확장성이 향상되므로 로컬 정책을 준수하면서 전역적으로 관리할 수 있습니다. 클러스터는 공통 컨피그레이션 정보가 있는 시스템 집합으로 구성됩니다. 각 클러스터 내에서 어플라이언스를 머신 그룹으로 더 세분화할 수 있으며, 여기서 단일 머신은 한 번에 하나의 그룹에만 속할 수 있습니다. 클러스터는 피어 투 피어 아키텍처에서 구현되며 마스터/슬레이브 관계가 없습니다. 모든 시스템에 로그인하여 전체 클러스터 또는 그룹을 제어하고 관리할 수 있습니다. 이를 통해 관리자는 클러스터 전체, 그룹 전체 또는 시스템별로 고유한 논리적 그룹화를 기반으로 시스템의 여러 요소를 구성할 수 있습니다.
기억해야 할 요건
- 모든 시스템에 IP 연결이 있어야 합니다.
- 호스트 이름을 사용하는 경우 모든 것이 올바르게 확인되는지 확인하십시오. 즉, 일치하는 정방향 "A" 및 역방향 "PTR" DNS 레코드를 사용해야 합니다.
- TCP 포트 22 SSH 또는 2222 CCS(Cluster Communication Service) 또는 선택한 사용자 정의 포트에 연결이 있어야 합니다.
- 모든 어플라이언스의 AsyncOS 버전이 정확히 동일해야 하며 제품군이 동일해야 합니다(참고: C 및 X 시리즈 어플라이언스는 상호 운용 가능).
- 또한 모든 어플라이언스는 버전 8.x 아래의 "중앙 집중식 관리" 기능 키를 가져야 합니다.
- GUI에서 클러스터 관리 툴 "clusterconfig"를 사용할 수 없으므로 명령줄 액세스가 필요합니다.
개별 시스템 또는 시스템 그룹에 대해 여러 설정을 변경하여 다양한 설정을 재정의할 수 있습니다. 클러스터링된 어플라이언스가 설정을 상속하는 순서는 1) MACHINE 2) GROUP 3) CLUSTER와 같습니다. 그러나 호스트 이름 및 IP 인터페이스와 같은 일부 설정은 시스템 레벨에서만 사용할 수 있으며 다른 클러스터 멤버로 복제되지 않습니다.
클러스터링 기능은 컨피그레이션 관리 용도로만 사용됩니다. 서로 다른 구성원 간에 이메일 트래픽의 흐름을 우선하거나 스케줄링할 수 있는 고유의 메커니즘은 제공하지 않습니다. 이를 위해서는 동일한 DNS MX(Record Pre Fence) 또는 별도의 로드 밸런싱 디바이스 또는 기타 외부 메커니즘을 사용해야 합니다.
솔루션
새 클러스터로 시작하려면 독립형 시스템으로 완전히 구현된 어플라이언스를 선택해야 합니다. 이 시스템은 호스트/수신자 액세스 테이블(HAT/RAT), 메일 플로우 정책, 콘텐츠 필터 등 원하는 모든 기능을 사용하여 완벽하게 구성해야 합니다. 이는 클러스터를 구성할 수 있는 참조 지점이 됩니다.
기억해야 할 주의 단계
- 모든 시스템의 IP 주소와 호스트 이름이 올바른지 확인합니다.
- 디바이스 통신을 위해 원하는 포트의 모든 어플라이언스에 대한 연결을 확인합니다('telnet' 명령 사용).
- 선택한 적절한 서비스(SSH, CCS 또는 사용자 지정 포트)가 'ifconfig > edit'를 사용하여 이 컴퓨터의 인터페이스에서 활성화되었는지 확인합니다.
- 'mailconfig' 또는 'saveconfig'를 사용하여 계속하기 전에 암호를 마스크를 제거한 컨피그레이션 백업을 만듭니다.
다음으로, 'clusterconfig' 명령을 사용하여 클러스터 및 시스템 그룹을 모두 만들고 하나 이상의 추가 어플라이언스를 여기에 조인할 수 있습니다.
컨피그레이션
- "clusterconfig" 컨피그레이션 시퀀스를 시작하고 새 클러스터의 이름을 제공합니다.
- clusterconfig > 새 클러스터 생성
- IP 주소 또는 호스트 이름 확인을 선택하여 IP 통신 매개변수를 정의합니다.
참고: 이 시점에서 클러스터는 구축하는 데 몇 초 정도 걸릴 수 있으며 변경 사항은 자동으로 커밋됩니다.
- 여기서 시스템을 새 클러스터에 추가하기 전에 새 그룹을 생성하도록 선택할 수 있습니다. 새 클러스터를 생성하면 Main_Group이라는 기본 그룹이 자동으로 생성됩니다. 그러나 이 그룹의 이름을 바꾸거나 다음 명령을 사용하여 추가 그룹을 생성할 수 있습니다.
- clusterconfig > renamegroup
- clusterconfig > addgroup
- 클러스터 및 그룹에 새 시스템을 추가합니다. 이 단계는 아직 클러스터 멤버가 되지 않은 나머지 시스템에서 수행되며 필요에 따라 반복할 수 있습니다. 앞서 선택한 통신 프로토콜에 따라 프로세스는 약간 다를 수 있다.
- 다른 컨피그레이션 백업을 만들기 전에 'status' 및 'System Overview' 보고서와 같은 출력을 사용하여 모든 메일 흐름 및 시스템 작업이 손상되지 않았는지 확인합니다. 어떤 시점에서도 올바르게 보이지 않는 경우, 클러스터에서 디바이스를 제거하고 시스템 레벨 설정으로 돌아가려면 'clusterconfig > removemachine'을 사용하면 됩니다.
참고: 클러스터에서 최종 머신을 제거하는 것은 일반적으로 머신을 제거하는 것과 다르지 않으며, 사실상 클러스터를 모두 제거합니다.
이제 클러스터가 생성되고 올바르게 작동하므로, 서로 다른 그룹 및 클러스터 변경을 시작하고 각 어플라이언스에서 해당 변경 사항이 적용되는 것을 확인할 수 있습니다.
관련 정보