¿Para qué sirve la gestión centralizada y cómo se puede crear un clúster de gestión centralizada?

Opciones de descarga

  • PDF     (242.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (91.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (77.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de octubre de 2014
ID del documento:118503

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe qué significa la administración centralizada en el dispositivo de seguridad Email Security Appliance (ESA) y cómo se puede crear un clúster de administración centralizada.

¿Para qué sirve la gestión centralizada y cómo se puede crear un clúster de gestión centralizada?

Background

La función de gestión centralizada le permite gestionar y configurar varios dispositivos al mismo tiempo, para proporcionar una mayor fiabilidad, flexibilidad y escalabilidad dentro de su red, lo que le permite gestionar de forma global a la vez que se cumplen las políticas locales. Un clúster consta de un conjunto de máquinas con información de configuración común. Dentro de cada clúster, los dispositivos se pueden dividir en grupos de máquinas, donde una sola máquina puede ser miembro de un solo grupo a la vez. Los clústeres se implementan en una arquitectura de igual a igual, sin relación maestro/esclavo. Puede iniciar sesión en cualquier equipo para controlar y administrar todo el clúster o grupo. Esto permite al administrador configurar diferentes elementos del sistema en un clúster, en un grupo o por máquina, con base en sus propias agrupaciones lógicas.

Requisitos que debe recordar

  • Todas las máquinas deben tener conectividad IP.
  • Si utiliza nombres de host, asegúrese de que todo se resuelve correctamente, con registros DNS "A" y "PTR" inversos coincidentes.
  • Debe haber conectividad en el puerto TCP 22 SSH o 2222 Cluster Communication Service (CCS) o en el puerto personalizado de su elección.
  • Todos los dispositivos deben tener exactamente la misma versión de AsyncOS y pertenecer a la misma familia de productos (NOTA: los dispositivos de las series C y X son interoperables).
  • Todos los dispositivos también deben tener la clave de la función "Administración centralizada" debajo de la versión 8.x.
  • Necesitará acceso a la línea de comandos, ya que la herramienta de administración de clústeres "clusterconfig" no está disponible en la GUI.

Tenga en cuenta que se pueden modificar muchas configuraciones para equipos individuales o grupos de máquinas para invalidar varias configuraciones. El orden en el que los dispositivos agrupados heredan su configuración es el siguiente: 1) MÁQUINA 2) GRUPO 3) CLÚSTER. Sin embargo, algunos valores de configuración, como nombres de host e interfaces IP, sólo están disponibles en el nivel de equipo y no se replican en otros miembros del clúster.

Tenga en cuenta también que la función de agrupación en clúster solo se utiliza para la gestión de la configuración. No proporciona ningún mecanismo inherente para priorizar o programar el flujo del tráfico de correo electrónico entre los diferentes miembros. Para lograr esto, uno necesitaría utilizar el registro de DNS idéntico antes de las vallas (MX) o un dispositivo de balanceo de carga separado o algún otro mecanismo externo.

Solución

Para empezar con un nuevo clúster, debe elegir un dispositivo que ya se haya implementado completamente como equipo independiente. Esta máquina debe estar completamente configurada con todas las funciones deseadas, como tablas de acceso de host/destinatario (HAT/RAT), políticas de flujo de correo, filtros de contenido, etc. Este será un punto de referencia por el cual podrá formar el clúster. 

Pasos de precaución para recordar

  1. Verifique que todas las máquinas tengan su dirección IP y nombre de host correctos.
  2. Asegúrese de la conectividad con todos los dispositivos en el puerto deseado para la comunicación del dispositivo (mediante el comando 'telnet').
  3. Asegúrese de que el servicio adecuado que ha elegido (SSH, CCS o puerto personalizado) se ha habilitado en la interfaz de esta máquina mediante 'ifconfig > edit'.
  4. Cree una copia de seguridad de la configuración (con las contraseñas desenmascaradas) antes de continuar usando 'mailconfig' o 'saveconfig' por ejemplo.

A continuación, puede crear tanto el clúster como los grupos de máquinas mediante el comando 'clusterconfig' y unir uno o más dispositivos adicionales a él:

Configuración

  1. Comience la secuencia de configuración "clusterconfig" y proporcione un nombre para su nuevo clúster:
    • clusterconfig > Crear un nuevo clúster
  2. Defina los parámetros de comunicación IP, eligiendo dirección IP o resolución de nombre de host.

    Nota: En este momento, el cluster puede tardar unos segundos en crearse y los cambios se confirmarán automáticamente.

  3. Aquí puede elegir crear un nuevo grupo antes de agregar máquinas al nuevo clúster. Al crear un nuevo cluster, se crea automáticamente un grupo por defecto denominado Grupo_Principal. Sin embargo, puede decidir cambiar el nombre de este grupo o crear grupos adicionales mediante los siguientes comandos:

    • clusterconfig > renamegroup
    • clusterconfig > addgroup
  4. Agregue nuevas máquinas al clúster y al grupo. Estos pasos se deben realizar en cualquier máquina restante que aún no se haya convertido en miembro del clúster y se pueden repetir según sea necesario. El proceso puede ser ligeramente diferente dependiendo del protocolo de comunicación elegido anteriormente.

    • clusterconfig > Unirse a un clúster existente sobre SSH
      1. Se le solicitará que inicie el Servicio de comunicación de clúster, que podemos ignorar ya que no estamos utilizando ese protocolo.
      2. Introduzca la dirección IP de una máquina de clúster existente. Puede ser cualquier máquina de clúster, pero debe estar referenciada por IP, independientemente de sus preferencias de comunicación.
      3. Seleccione el puerto para la comunicación SSH como se definió durante la creación del clúster.
      4. Introduzca la contraseña para la cuenta 'admin' en las máquinas de clúster existentes.Se le mostrará la clave pública para este host para su confirmación. Puede verificar esto en cualquier dispositivo del clúster con los siguientes comandos:
            logconfig > hostkeyconfig > fingerprint

      Nota: Habrá otro retraso mientras el nuevo miembro recupera y aplica la configuración del cluster automáticamente.

    • clusterconfig > Unirse a un clúster existente sobre CCS:
      1. Para unirse a un clúster a través de CCS, primero debe iniciar sesión en un miembro del clúster y decirle que se está agregando este sistema.  En cualquier máquina del clúster, ejecute:
             clusterconfig > prepjoin > new
      2. Copie el nombre de host, el número de serie y la información de la clave SSH para pegarla en el mensaje 'prepjoin' de arriba en el miembro del clúster existente. Presione <RETURN> dos veces para llegar al prompt principal y luego ejecute 'commit' para aplicar los cambios. El "commit" en este momento es muy importante, ya que de lo contrario el nuevo dispositivo recibirá una falla de autenticación.
      3. Se le solicitará que inicie el Servicio de comunicación de clúster, que abre un nuevo servicio a través del puerto TCP 2222 en la interfaz que elija.
      4. Introduzca la dirección IP de una máquina de clúster existente. Puede ser cualquier máquina de clúster, pero debe estar referenciada por IP, independientemente de sus preferencias de comunicación.
      5. Seleccione el puerto para el uso de CCS, tal como se definió durante la creación del clúster.
      6. Se muestra la clave pública de este host para su confirmación. Puede verificar esto en cualquier dispositivo del clúster con los siguientes comandos:

              logconfig > hostkeyconfig > fingerprint

        Nota: Habrá otro retraso mientras el nuevo miembro recupera y aplica la configuración del cluster automáticamente

  5. Utilice resultados como 'status' y su informe 'System Overview' para verificar que todo el flujo de correo y el funcionamiento del sistema están intactos antes de realizar otra copia de seguridad de la configuración. Si en algún momento algo no parece correcto, simplemente use 'clusterconfig > removemachine' para quitar el dispositivo del clúster y volver a su configuración de nivel de máquina.

    Nota: Quitar la máquina final de un clúster no es diferente de quitar máquinas en general, y eliminará eficazmente el clúster por completo.

Ahora que el clúster se ha creado y funciona correctamente, puede comenzar a realizar cambios de grupos y clústeres diferentes y verlos aplicarse en cada dispositivo.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
14-Oct-2014
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Andrew Wurster and Enrico Werner
    Cisco TAC Engineers.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos