简介
本文档介绍将外部负载均衡器与ThreatGrid设备集群配合使用的相关要求
先决条件
Cisco 建议您了解以下主题:
- 思科ThreatGrid设备
- 思科Firepower管理中心
- 思科电邮和网络安全设备
配置
问:能否将负载均衡器与两个或多个独立的ThreatGrid设备配合使用以提供高可用性/资源共享?
答:在注册过程中,ThreatGrid设备(TGA)为每台设备设置API用户名+唯一密钥;因此,终端设备仅注册到其中一个TGA设备。这将消除故障切换/资源平衡选项的任何可能性。
但是,从2.4开始,TGA支持群集,这允许TGA资源管理多个连接TGA的负载,以在软件本身内提供资源管理/HA功能。由于集群能够通过任何可用的联接设备处理请求,因此终端设备可以加入并使用池中的所有资源,而无需担心跨多个设备的API密钥匹配或使用外部负载均衡器类型设备。但请注意,可以在TGA前面添加外部负载均衡器,以提供更类似于池的架构。
摘要:
负载均衡器可以添加在TG群集前面,以便为设备加入提供单个主机名,然后被定向到任何可用节点。这是可选功能,不一定需要,因为TGA软件本机对发送到任何集群成员的任何请求执行此操作。
— 此设置要求使用SAN证书,其中CN名称是负载均衡器主机名,SAN条目包含每个TGA设备的负载均衡器主机名和条目。
负载均衡器后面的多个独立TGA可以使用警告
- LB必须在100%的时间将终端设备传送到同一终端设备,因为设备之间发生1到1的注册/密钥交换。如果设备伸出到其他TGA设备分析,查找失败,则会导致级联问题。
- 由于1到1的密钥交换,TGA设备故障的故障转移将不可能。
反馈