Configurazione di un cluster ESA (Email Security Appliance)

Aggiornato:9 aprile 2024
ID documento:200885

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come configurare un cluster su un Cisco Email Security Appliance (ESA).

    Prerequisiti 

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Come unire gli accessori in un cluster (gestione centralizzata).
    • Tutte le ESA devono avere le stesse versioni AsyncOS (fino alla revisione).

    Nota: nella versione 8.5+ la chiave di gestione centralizzata non è più necessaria e non è più visibile quando viene aggiunta in quanto è una funzionalità incorporata in AsyncOS.

    • Se si crea un cluster per utilizzare la porta 22 (più facile da configurare), verificare che non vi siano problemi di firewall o routing tra gli accessori sul traffico della porta 22.
    • Se si crea un cluster per utilizzare la porta 2222 (Servizio di comunicazione cluster), verificare che vengano applicate le regole del firewall per consentire la disponibilità del traffico su questa porta senza ispezione o interruzione.
    • Le opzioni di configurazione del cluster devono essere eseguite tramite la CLI sull'ESA e non possono essere create o unite nella GUI.
    • Se si sceglie di utilizzare un nome host per la comunicazione, verificare che i server DNS impostati sugli accessori siano in grado di risolvere tutti gli altri accessori della rete e che gli indirizzi IP a cui i nomi host vengono risolti vengano assegnati a un'interfaccia configurata per l'ascolto sulla porta di comunicazione selezionata.
    • Verificare che sulle interfacce dell'accessorio la porta e il servizio richiesti siano abilitati (SSH o CCS).

    Componenti usati

    Il documento può essere consultato per tutte le versioni software o hardware.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Problema

    Il problema è evitare di dover apportare continuamente modifiche a ciascun accessorio ogni volta che è necessario centralizzare e sincronizzare una configurazione tra un ampio gruppo di UEE.

    Cluster su ESA

    La funzione di gestione centralizzata ESA consente di gestire e configurare più appliance contemporaneamente, per fornire maggiore affidabilità, flessibilità e scalabilità all'interno della rete. In questo modo è possibile gestire le informazioni a livello globale rispettando al contempo le regole locali. 

    Un cluster è costituito da un set di computer con informazioni di configurazione comuni. All'interno di ciascun cluster, gli accessori possono essere ulteriormente suddivisi in gruppi di computer, in cui un singolo computer può essere membro di un solo gruppo alla volta. 

    I cluster vengono implementati in un'architettura peer-to-peer senza alcuna relazione primaria/secondaria. È possibile accedere a qualsiasi computer per controllare e amministrare l'intero cluster o gruppo.  Questo consente all'amministratore di configurare diversi elementi del sistema a livello di cluster, di gruppo o per computer, in base ai propri gruppi logici

    Creare il cluster

    Una volta soddisfatti tutti i requisiti, per creare il cluster è necessario iniziare dalla riga di comando (CLI) del primo accessorio.

    Suggerimento: eseguire il backup della configurazione corrente sull'accessorio prima di configurare il cluster. Dalla GUI, selezionare Amministrazione di sistema > File di configurazione.  Deselezionare la casella Password nascosta e salvare la configurazione localmente sul PC.

    Creazione di un cluster su SSH

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> NameOfCluster

Should all machines in the cluster communicate with each other by hostname or
by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.11 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C370.lab using IP address
10.1.1.11 port 22. You can change this by using the COMMUNICATION subcommand
of the clusterconfig command.
New cluster committed: DATE
Creating a cluster takes effect immediately, there is no need to commit.

Cluster NameOfCluster

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.

    Crea cluster su CCS

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> Test

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 2

Enter the IP address for Machine C370.lab.
[]> 10.1.1.1

Enter the port (on 10.66.71.120) for Machine C370.lab.
[22]> 2222

    Al termine, si dispone di un cluster e tutte le configurazioni vengono spostate dal computer al livello di cluster. Questa è la configurazione che tutte le altre macchine ereditano quando vengono unite.

    Aggiunta a un cluster corrente tramite SSH o CCS

    In questa sezione viene descritto come aggiungere nuovi accessori al cluster corrente creato in precedenza o appena creato. L'aggiunta di un cluster a un cluster corrente con uno dei due metodi è simile. L'unico punto di differenza è che CCS richiede un passaggio aggiuntivo per finalizzarlo in modo da consentire al cluster di accettare l'accessorio più recente.

    Join tramite SSH

    Nota: la sezione indicata in grassetto nei passaggi successivi deve essere eseguita esattamente; con SSH, non dire sì all'abilitazione di CCS.

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  
    To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
    the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  
    These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on C370.lab? [N]>

Enter the IP address of a machine in the cluster.
[]> 10.66.71.120

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Enter the name of an administrator present on the remote machine
[admin]>

Enter password:
Please verify the SSH host key for 10.66.71.120:
Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef
Is this a valid key for this host? [Y]>

    Dopo il controllo, l'accessorio verrà aggiunto al cluster.

    Partecipa tramite CCS

    L'approccio è simile. L'unica differenza consiste nel fatto che, prima di consentire l'accesso al cluster corrente, è necessario accedere all'accessorio attivo nel cluster.

    Sull'accessorio attivo nel cluster:

    (Cluster test)> clusterconfig

Cluster test

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:
- NEW - Add a new host that will join the cluster.
[]> new

Enter the hostname of the system you want to add.
[]> ESA.lab

Enter the serial number of the host ESA.lab.
[]> XXXXXXXXXXXXXX-XXXXXA

Enter the user key of the host ESA2.lab.  This can be obtained by typing 
    "clusterconfig prepjoin print" in the CLI on ESA.lab.
Press enter on a blank line to finish.


    Dopo aver immesso l'impronta digitale SSH (ottenuta quando si accede all'accessorio che tenta di unirsi al cluster e con il comando clusterconfig prepjoin print ) nell'esempio di codice precedente e aver immesso una riga vuota, il join di preparazione viene completato.

    Nota: se si esegue l' PREPJOIN opzione, è necessario eseguire il commit delle modifiche sull'ESA principale prima di eseguire l'ESA secondaria e  clusterconfig  collegare l'appliance al cluster appena configurato.  L'output dell'operazione riporta una nota relativa a questa operazione: per unire l'accessorio a un cluster con chiavi già condivise, accedere al computer del cluster, eseguire il clusterconfig > prepjoin > new  comando e immettere i dettagli successivi e commit le modifiche.

    È quindi possibile avviare il processo di unione sull'accessorio che tenta di unirsi, per riferimento, chiamarlo ESA2.lab per farlo corrispondere a quello della fase precedente.

    Nota: la chiave SSH-DSS si trova nell'esempio successivo.

    ESA2.lab> clusterconfig Do you want to join or create a cluster? 1. No, configure as standalone. 2. Create a new cluster. 3. Join an existing cluster over SSH. 4. Join an existing cluster over CCS. [1]> 4 While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining. 
    To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint. WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
    the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings) Exception: Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster. 
    These settings on this machine will remain intact. In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added. 
    On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit. Host: ESA2.lab Serial Number: XXXXXXXXXXXX-XXXXXA User Key: ssh-dss AAAAB3NzaC1kc3.......BrccM= Choose the interface on which to enable the Cluster Communication Service: 1. ClusterInterface (10.1.1.2/24: ESA2.lab) [1]> 1 Enter the port on which to enable the Cluster Communication Service: [2222] Enter the IP address of a machine in the cluster. []> 10.1.1.1 Enter the remote port to connect to. This must be the CCS port on the machine "10.1.1.1", 
    not the normal admin ssh port. [2222]>

    Dopo la conferma, viene visualizzata la chiave SSH-DSS. Se corrisponde, è possibile accettare i termini e il cluster viene aggiunto correttamente.

    Elementi migrati in una configurazione cluster

    Migrazione configurazione cluster:

    • Impostazioni dei criteri configurate
    • Filtri dei contenuti
    • Risorse di testo
    • Dizionari dei contenuti
    • Impostazioni LDAP
    • Antispam e antivirus
    • Impostazioni globali
    • Impostazioni listener
    • Impostazioni route SMTP
    • Impostazioni DNS
      •

    Elementi non migrati in una configurazione cluster

    La configurazione del cluster non esegue la migrazione:

    • Nome host locale accessorio.
    • Interfacce IP configurate.
    • Tabelle di routing configurate.
    • Configurazione quarantena posta indesiderata locale.
    • Configurazioni di quarantena di epidemie, virus e criteri locali
    • Impostazioni sotto il websecurityadvancedconfig  comando nella riga di comando (per le versioni 8.5 e successive). 
      •
    note-icon

    Nota: i filtri del contenuto che fanno riferimento a quarantene inesistenti vengono invalidati fino a quando la quarantena o le quarantene di criteri di riferimento non sono state configurate nel computer.

    Configurazione dei gruppi in un cluster ESA

    In alcuni scenari, può essere necessario che poche ESA nel cluster funzionino in un modo particolare rispetto alle altre. A tale scopo, non è necessario creare un nuovo cluster e si può procedere con la creazione di gruppi.

    note-icon

    Nota: le configurazioni create a livello di gruppo hanno la precedenza sulla configurazione a livello di cluster.

    Per la creazione di gruppi, createli dalla CLI dell'ESA. Per iniziare la configurazione, utilizzare il comando clusterconfig --> ADDGROUP :

    (Computer esalab.cisco.com)> clusterconfig 

    Questo comando è limitato alla modalità "cluster".  Passare alla modalità cluster? [S]>

    Cluster Cisco

    Scegliere l'operazione da eseguire:

    - ADDGROUP - Aggiunge un gruppo di cluster.

    - SETGROUP - Imposta il gruppo di cui sono membri i computer.

    - RENAMEGROUP - Rinomina un gruppo di cluster.

    - DELETEGROUP - Rimuove un gruppo cluster.

    - REMOVEMACHINE - Rimuovere un computer dal cluster.

    - SETNAME - Imposta il nome del cluster.

    - LIST - Elenca i computer nel cluster.

    - CONNSTATUS - Visualizza lo stato delle connessioni tra computer nel cluster.

    - COMUNICAZIONE - Configurare la modalità di comunicazione dei computer nel cluster.

    - DISCONNECT - Scollegare temporaneamente i computer dal cluster.

    - RECONNECT - Ripristina le connessioni con i computer precedentemente scollegati.

    - PREPJOIN - Prepara l'aggiunta di una nuova macchina su CCS.

    []> GRUPPO AGGIUNTI

    Immettere il nome del nuovo gruppo di cluster da creare.

    []> Nuovo_gruppo

    Gruppo cluster New_Group creato.

    Per aggiungere ESA dal cluster corrente al nuovo gruppo creato, utilizzare il comando SETGROUP: 

    (Computer esalab.cisco.com)> clusterconfig

    Questo comando è limitato alla modalità "cluster".  Passare alla modalità cluster? [S]>

    Cluster Cisco

    Scegliere l'operazione da eseguire:

    - ADDGROUP - Aggiunge un gruppo di cluster.

    - SETGROUP - Imposta il gruppo di cui sono membri i computer.

    - RENAMEGROUP - Rinomina un gruppo di cluster.

    - DELETEGROUP - Rimuove un gruppo cluster.

    - REMOVEMACHINE - Rimuovere un computer dal cluster.

    - SETNAME - Imposta il nome del cluster.

    - LIST - Elenca i computer nel cluster.

    - CONNSTATUS - Visualizza lo stato delle connessioni tra computer nel cluster.

    - COMUNICAZIONE - Configurare la modalità di comunicazione dei computer nel cluster.

    - DISCONNECT - Scollegare temporaneamente i computer dal cluster.

    - RECONNECT - Ripristina le connessioni con i computer precedentemente scollegati.

    - PREPJOIN - Prepara l'aggiunta di una nuova macchina su CCS.

    []> SETGROUP

    Scegliere il computer da spostare in un gruppo diverso.  Separare più computer con virgole.

    1. esalab.cisco.com (gruppo ESA_Group)

    [1]> 1

    Scegliere il gruppo di cui deve essere membro esalab.cisco.com.

    1. ESA_Group

    2. Nuovo_gruppo

    [1]> 2

    esalab.cisco.com impostato su group New_Group.

    Per rinominare un gruppo corrente nel cluster ESA, usare il comando RENAMEGROUP:

    (Computer esalab.cisco.com)> clusterconfig

    Questo comando è limitato alla modalità "cluster".  Passare alla modalità cluster? [S]>

    Cluster Cisco

    Scegliere l'operazione da eseguire:

    - ADDGROUP - Aggiunge un gruppo di cluster.

    - SETGROUP - Imposta il gruppo di cui sono membri i computer.

    - RENAMEGROUP - Rinomina un gruppo di cluster.

    - DELETEGROUP - Rimuove un gruppo cluster.

    - REMOVEMACHINE - Rimuovere un computer dal cluster.

    - SETNAME - Imposta il nome del cluster.

    - LIST - Elenca i computer nel cluster.

    - CONNSTATUS - Visualizza lo stato delle connessioni tra computer nel cluster.

    - COMUNICAZIONE - Configurare la modalità di comunicazione dei computer nel cluster.

    - DISCONNECT - Scollegare temporaneamente i computer dal cluster.

    - RECONNECT - Ripristina le connessioni con i computer precedentemente scollegati.

    - PREPJOIN - Prepara l'aggiunta di una nuova macchina su CCS.

    []> RINOMINA GRUPPO

    Scegliere il gruppo da rinominare.

    1. ESA_Group

    2. Nuovo_gruppo

    [1]> 2

    Immettere il nuovo nome del gruppo.

    [Nuovo_Gruppo]> Gruppo_Cluster

    Gruppo Nuovo_gruppo rinominato in Cluster_Group.

    Per eliminare un gruppo corrente dal cluster ESA, utilizzare il comando  DELETEGROUP

    (Computer esalab.cisco.com)> clusterconfig

    Questo comando è limitato alla modalità "cluster".  Passare alla modalità cluster? [S]>

    Cluster Cisco

    Scegliere l'operazione da eseguire:

    - ADDGROUP - Aggiunge un gruppo di cluster.

    - SETGROUP - Imposta il gruppo di cui sono membri i computer.

    - RENAMEGROUP - Rinomina un gruppo di cluster.

    - DELETEGROUP - Rimuove un gruppo cluster.

    - REMOVEMACHINE - Rimuovere un computer dal cluster.

    - SETNAME - Imposta il nome del cluster.

    - LIST - Elenca i computer nel cluster.

    - CONNSTATUS - Visualizza lo stato delle connessioni tra computer nel cluster.

    - COMUNICAZIONE - Configurare la modalità di comunicazione dei computer nel cluster.

    - DISCONNECT - Scollegare temporaneamente i computer dal cluster.

    - RECONNECT - Ripristina le connessioni con i computer precedentemente scollegati.

    - PREPJOIN - Prepara l'aggiunta di una nuova macchina su CCS.

    []> ELIMINAGRUPPO

    Scegliere il gruppo da rimuovere.

    1. Gruppo_cluster

    2. ESA_Group

    [1]> 1

    Scegliere il gruppo in cui spostare i computer in Cluster_Group.

    1. ESA_Group

    [1]> 1

    Gruppo Cluster_Group rimosso.

    note-icon

    Nota: quando si aggiungono o si rimuovono macchine in cluster, le modifiche vengono applicate immediatamente agli accessori senza commitalcun. mentre per i gruppi del SEC, tutte le azioni ad essi collegate si applicano alle ESA solo dopo un commitanno.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    3.0
    09-Apr-2024
    Certificazione
    1.0
    12-Dec-2016
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Matthew Huynh
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti