Wozu dient die zentrale Verwaltung, und wie kann ein zentralisiertes Management-Cluster erstellt werden?

Download-Optionen

  • PDF     (243.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (92.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (78.4 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:14. Oktober 2014
Dokument-ID:118503

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird beschrieben, was zentrales Management auf der E-Mail Security Appliance (ESA) bedeutet und wie ein zentralisiertes Management-Cluster erstellt werden kann.

Wozu dient die zentrale Verwaltung, und wie kann ein zentralisiertes Management-Cluster erstellt werden?

Hintergrund

Mit der zentralisierten Verwaltungsfunktion können Sie mehrere Appliances gleichzeitig verwalten und konfigurieren, um die Zuverlässigkeit, Flexibilität und Skalierbarkeit innerhalb Ihres Netzwerks zu erhöhen. So können Sie globale Verwaltungsaufgaben durchführen und gleichzeitig lokale Richtlinien einhalten. Ein Cluster besteht aus einer Reihe von Computern mit gemeinsamen Konfigurationsinformationen. Innerhalb jedes Clusters können die Appliances weiter in Computergruppen unterteilt werden, wobei ein einzelner Computer jeweils nur einer Gruppe angehören kann. Cluster werden in einer Peer-to-Peer-Architektur implementiert - ohne Master/Slave-Beziehung. Sie können sich bei jedem Computer anmelden, um den gesamten Cluster oder die gesamte Gruppe zu steuern und zu verwalten. Dies ermöglicht es dem Administrator, verschiedene Elemente des Systems auf Cluster-, Gruppen- oder Computerbasis basierend auf ihren eigenen logischen Gruppierungen zu konfigurieren.

Anforderungen zur Erinnerung

  • Alle Computer müssen über IP-Verbindungen verfügen.
  • Wenn Sie Hostnamen verwenden, stellen Sie sicher, dass alles richtig aufgelöst wird - mit passenden "A"- und "PTR"-DNS-Einträgen.
  • Es muss eine Verbindung entweder über den TCP-Port 22 SSH oder den 2222 Cluster Communication Service (CCS) oder über den benutzerdefinierten Port Ihrer Wahl bestehen.
  • Alle Appliances müssen dieselbe AsyncOS-Version aufweisen und derselben Produktfamilie angehören (HINWEIS: Die Appliances der Serien C und X sind interoperabel).
  • Alle Appliances müssen außerdem den Feature-Schlüssel "Zentrales Management" unter Version 8.x aufweisen.
  • Sie benötigen Zugriff auf die Kommandozeile, da das Clusterverwaltungstool "clusterconfig" in der GUI nicht verfügbar ist.

Beachten Sie, dass viele Einstellungen für einzelne Computer oder Computergruppen geändert werden können, um verschiedene Einstellungen zu überschreiben. Die Reihenfolge, in der geclusterte Appliances ihre Einstellungen übernehmen, ist wie folgt: 1) MASCHINE 2) GRUPPE 3) CLUSTER. Einige Einstellungen wie Hostnamen und IP-Schnittstellen sind jedoch nur auf Computerebene verfügbar und werden nicht auf andere Cluster-Mitglieder repliziert.

Beachten Sie außerdem, dass die Clustering-Funktion nur für das Konfigurationsmanagement verwendet wird. Es bietet keinen inhärenten Mechanismus, um den E-Mail-Verkehr zwischen verschiedenen Mitgliedern zu priorisieren oder zu planen. Dazu müssten identische DNS-Eintragsvoreinstellungen (MX), ein separates Load Balancing-Gerät oder ein anderer externer Mechanismus verwendet werden.

Lösung

Um mit einem neuen Cluster zu beginnen, sollten Sie eine Appliance auswählen, die bereits vollständig als Standalone-Computer implementiert wurde. Dieses System sollte vollständig mit allen gewünschten Funktionen wie Host-/Empfänger-Zugriffstabellen (HAT/RAT), Mail Flow Policies, Content-Filtern usw. konfiguriert sein. Dies ist ein Bezugspunkt, mit dem Sie den Cluster bilden können. 

Vorsichtige Schritte zur Erinnerung

  1. Überprüfen Sie, ob alle Computer über die richtige IP-Adresse und den richtigen Hostnamen verfügen.
  2. Stellen Sie die Verbindung zu allen Appliances am gewünschten Port für die Gerätekommunikation sicher (mit dem Befehl "telnet").
  3. Stellen Sie sicher, dass der von Ihnen ausgewählte Service (SSH, CCS oder benutzerdefinierter Port) auf der Schnittstelle dieses Computers aktiviert wurde. Verwenden Sie hierzu "ifconfig > edit".
  4. Erstellen Sie ein Konfigurations-Backup (mit nicht maskierten Kennwörtern), bevor Sie fortfahren, indem Sie z. B. 'mailconfig' oder 'saveconfig' verwenden.

Als Nächstes können Sie mit dem Befehl 'clusterconfig' sowohl die Cluster- als auch die Computergruppe erstellen und einer oder mehreren zusätzlichen Appliances hinzufügen:

Konfiguration

  1. Beginnen Sie mit der Konfigurationssequenz "clusterconfig", und geben Sie einen Namen für das neue Cluster an:
    • clusterkonfiguration > Neuen Cluster erstellen
  2. Definieren Sie die IP-Kommunikationsparameter, und wählen Sie die Auflösung für die IP-Adresse oder den Hostnamen aus.

    Hinweis: An diesem Punkt kann die Erstellung des Clusters einige Sekunden dauern, und die Änderungen werden automatisch übernommen.

  3. Hier können Sie eine neue Gruppe erstellen, bevor Sie dem neuen Cluster Computer hinzufügen. Wenn Sie einen neuen Cluster erstellen, wird automatisch eine Standardgruppe mit dem Namen Main_Group erstellt. Sie können diese jedoch umbenennen oder zusätzliche Gruppen erstellen, indem Sie die folgenden Befehle verwenden:

    • Clusterkonfiguration > umbenennenGruppe
    • Clusterkonfiguration > Gruppe hinzufügen
  4. Hinzufügen neuer Computer zum Cluster und zur Gruppe Diese Schritte müssen auf allen verbleibenden Computern ausgeführt werden, die noch zu Clustermitgliedern gemacht werden müssen, und können bei Bedarf wiederholt werden. Der Prozess kann je nach dem zuvor gewählten Kommunikationsprotokoll etwas anders verlaufen.

    • clusterconfig > Bestehenden Cluster über SSH beitreten
      1. Sie werden aufgefordert, den Cluster Communication Service zu starten, den Sie ignorieren können, da dieses Protokoll nicht verwendet wird.
      2. Geben Sie die IP-Adresse eines vorhandenen Clustercomputers ein. Dies kann ein beliebiger Clustercomputer sein, muss jedoch unabhängig von Ihren Kommunikationspräferenzen von der IP referenziert werden.
      3. Wählen Sie den Port für die SSH-Kommunikation wie bei der Clustererstellung definiert aus.
      4. Geben Sie das Kennwort für das Konto "admin" auf den vorhandenen Clustercomputern ein. Ihnen wird der öffentliche Schlüssel für diesen Host zur Bestätigung angezeigt. Sie können dies mit den folgenden Befehlen auf jeder Appliance im Cluster überprüfen:
            logconfig > hostkeyconfig > Fingerabdruck

      Hinweis: Es tritt eine weitere Verzögerung auf, während das neue Mitglied die Clusterkonfiguration automatisch abruft und anwendet.

    • clusterconfig > Einem vorhandenen Cluster über CCS beitreten:
      1. Um einem Cluster über CCS beizutreten, müssen Sie sich zuerst bei einem Clustermitglied anmelden und ihm mitteilen, dass dieses System hinzugefügt wird.  Führen Sie auf jedem Computer im Cluster Folgendes aus:
             Clusterkonfiguration > Prejoin > neu
      2. Kopieren Sie den Hostnamen, die Seriennummer und die SSH-Schlüsselinformationen, um diese Informationen in die Eingabeaufforderung "prepjoin" (Prepaid) oben auf dem vorhandenen Cluster-Element einzufügen. Drücken Sie zweimal <RETURN>, um zur Hauptaufforderung zu gelangen, und führen Sie dann 'commit' aus, um die Änderungen zu übernehmen. Die 'commit'-Funktion ist zu diesem Zeitpunkt sehr wichtig, da andernfalls die neue Appliance einen Authentifizierungsfehler erhält.
      3. Sie werden aufgefordert, den Cluster Communication Service zu starten, der einen neuen Service über TCP-Port 2222 auf der Schnittstelle Ihrer Wahl öffnet.
      4. Geben Sie die IP-Adresse eines vorhandenen Clustercomputers ein. Dies kann ein beliebiger Clustercomputer sein, muss jedoch unabhängig von Ihren Kommunikationspräferenzen von der IP referenziert werden.
      5. Wählen Sie den Port für die CCS-Verwendung wie bei der Clustererstellung definiert aus.
      6. Ihnen wird der öffentliche Schlüssel für diesen Host zur Bestätigung angezeigt. Sie können dies mit den folgenden Befehlen auf jeder Appliance im Cluster überprüfen:

              logconfig > hostkeyconfig > Fingerabdruck

        Hinweis: Es tritt eine weitere Verzögerung auf, während das neue Mitglied die Clusterkonfiguration automatisch abruft und anwendet.

  5. Verwenden Sie Ausgaben wie 'status' und 'system overview', um zu überprüfen, ob der gesamte E-Mail-Fluss und der Systembetrieb intakt sind, bevor Sie eine weitere Sicherung der Konfiguration vornehmen. Wenn irgendetwas nicht richtig erscheint, verwenden Sie einfach 'clusterconfig > removemachine', um das Gerät aus dem Cluster zu entfernen und zu den Einstellungen auf Computerebene zurückzukehren.

    Hinweis: Das Entfernen des endgültigen Computers aus einem Cluster unterscheidet sich nicht vom Entfernen von Computern im Allgemeinen und führt zu einer effektiven Eliminierung des Clusters.

Nachdem der Cluster erstellt wurde und ordnungsgemäß funktioniert, können Sie verschiedene Änderungen an Gruppen und Clustern vornehmen und diese für jede Appliance übernehmen.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
14-Oct-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Andrew Wurster and Enrico Werner
    Cisco TAC Engineers.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.