簡介
本文檔介紹有關將外部負載平衡器與ThreatGrid裝置群集配合使用的要求
必要條件
思科建議您瞭解以下主題:
- Cisco ThreatGrid裝置
- Cisco Firepower Management Center
- 思科電子郵件與網路安全裝置
組態
問:是否可以將負載均衡器與兩個或多個獨立的ThreatGrid裝置配合使用,以提供高可用性/資源共用?
A. ThreatGrid裝置(TGA)在註冊過程中為每個裝置設定API使用者名稱+唯一金鑰;因此,終端裝置只註冊到其中一個TGA裝置。這將消除故障切換/資源平衡選項的任何機會。
但是,從2.4開始,TGA支援群集,這允許TGA資源跨多個加入的TGA管理負載,以在軟體本身內部提供資源管理/高可用性功能。由於集群提供通過任何可用的已加入裝置處理請求的能力,因此終端裝置能夠加入和使用池中的所有資源,而不用擔心跨多個裝置的API金鑰匹配或通過使用外部負載平衡器型別裝置。請注意,但是可以在TGA前面新增外部負載平衡器,以提供更像池的體系結構。
摘要:
可以在TG集群前面新增負載均衡器,以便於裝置加入的單個主機名然後被定向到任何可用節點。這是一項可選功能,不一定需要,因為TGA軟體會針對傳送到任何群整合員的任何請求在本地執行該功能。
— 此設定要求使用SAN證書,其中CN名稱是負載平衡器主機名,SAN條目包含每個TGA裝置的負載平衡器主機名和條目。
負載均衡器背後的多個獨立TGA使用警告
- 由於1到1註冊/金鑰交換,LB必須在裝置之間發生100%的時間將終端裝置傳遞到同一終端裝置。如果裝置接觸到其他TGA裝置,則分析和查詢會失敗,從而導致級聯問題。
- 由於1到1金鑰交換,無法進行TGA裝置故障的故障轉移。
意見