Threat Grid アプライアンスのクラスタリングについて
複数の Threat Grid アプライアンスをクラスタ化する機能は、v2.4.2 以降で使用できます。クラスタ内の各 Threat Grid アプライアンスは、共有ファイルシステムにデータを保存し、クラスタ内の他のノードと同じデータを保持します。
クラスタリングの主な目標は、複数の Threat Grid アプライアンスを 1 つのクラスタ(2 ~ 7 ノードで構成)に結合することによって、単一のシステムのキャパシティを増やすことです。さらにクラスタリングは、クラスタのサイズに応じて、クラスタ内の 1 つ以上のマシンが障害から回復するのをサポートする点でも役立ちます。
クラスタのインストールまたは再設定について不明な点がありましたら、データの破壊を避けるため、シスコサポートまでお問い合わせください。
クラスタリングの機能
Threat Grid アプライアンスのクラスタリングには、次の機能があります。
-
共有データ:クラスタ内のすべての Threat Grid アプライアンスは、スタンドアロンであるかのように使用できます。それぞれが同じデータにアクセスして表示することができます。
-
サンプル送信処理:送信されたサンプルは、いずれかのクラスタメンバーで処理され、他のメンバーは分析結果を確認できます。
-
レート制限:各メンバーの送信レート制限を積算した値がクラスタの制限になります。
-
クラスタサイズ:推奨されるクラスタのサイズは、3、5、または7 メンバーです。2、4、6 ノードのクラスタはサポートされますが、ノードが 1 つ多いものの機能が低下したクラスタ(1 つ以上のノードが動作していないクラスタ)と同様の可用性になります。
-
タイブレーカー:クラスタに偶数のノードを含めるように設定すると、タイブレーカーとして指定されたノードは、どのノードがプライマリデータベースを持つかを決定するイベントで二番手に位置付けられます。
クラスタ内の各ノードにはデータベースが含まれていますが、プライマリノードのデータベースのみが実際に使用されます。プライマリノードがダウンした場合、他のノードがその役割を引き継ぐ必要があります。条件を設定していると、ノードがちょうど半分失敗したとき、ただし、条件が失敗したノード上ではない場合のみ、クラスタがダウンするのを防止できます。
奇数クラスタには、関連付けられた投票はありません。奇数クラスタでは、(タイブレーカーではない)ノードがクラスタからドロップされた場合にのみ、タイブレーカーロールが関係することになります。その場合、クラスタは偶数クラスタになります。
(注)
この機能は、2 ノードのクラスタに対してのみ十分にテストされています。
クラスタリングの制限事項
Threat Grid アプライアンスのクラスタリングには、次の制限事項があります。
-
既存のスタンドアロン Threat Grid アプライアンスのクラスタを構築する場合、最初のノード(初期ノード)のみがそのデータを保持できます。クラスタに既存のデータをマージすることは許可されないため、他のノードは手動でリセットする必要があります。
「バックアップ復元ターゲットとしての Threat Grid アプライアンスのリセット」に記載されているとおり、destroy-data コマンドを使用して既存のデータを削除します。
重要
シスコに返却してイメージを再作成しない限りアプライアンスが稼働しなくなるため、ワイプアプライアンス機能は使用しないでください。
-
ノードを追加または削除すると、クラスタのサイズとメンバー ノードのロールによって、短時間停止することがあります。
-
M3 サーバのクラスタリングはサポートされていません。ご不明な点がありましたら、Threat Grid サポートまでお問い合わせください。
クラスタリングの要件
Threat Grid アプライアンスをクラスタリングする場合、次の要件を満たす必要があります。
-
バージョン:サポートされている設定でクラスタをセットアップするには、すべての Threat Grid アプライアンスが同じバージョンを実行している必要があります。常に使用可能な最新のバージョンにしておきます。
-
Clust インターフェイス:各 Threat grid アプライアンスには、クラスタ内の他の Threat Grid アプライアンスへのダイレクトインターコネクトが必要です。クラスタ内の各 Threat Grid アプライアンスの Clust インターフェイススロットに SFP+ を設置する必要があります(スタンドアロン構成の場合には該当しません)。
ダイレクトインターコネクトとは、すべての Threat Grid アプライアンスが同じレイヤ 2 ネットワークセグメント上にあり、他のノードに到達するためのルーティングが不要で、大幅な遅延やジッターがないことを意味します。ノードが単一の物理ネットワーク セグメント上にないネットワーク トポロジはサポートされていません。
-
エアギャップ展開の場合は非推奨:デバッグの複雑さが増大するため、エアギャップ展開や、顧客がデバッグへの L3 サポートアクセスを提供できない、または提供を望まないシナリオでは、アプライアンスのクラスタリングは推奨されません。
-
データ:Threat Grid アプライアンスは、データが含まれていない場合にのみクラスタに結合できます(初期ノードのみがデータを保持できます)。既存の Threat Grid アプライアンスをデータのない状態に移行するには、データベース リセット プロセスを使用する必要があります(v2.2.4 以降で使用可能)。
重要
破壊的なワイプアプライアンスプロセスを使用しないでください。このプロセスにより、すべてのデータが削除され、シスコに返却してイメージを再作成しない限りアプライアンスが稼働しなくなります。
-
SSL 証明書:1 つのクラスタノードにカスタム CA によって署名された SSL 証明書をインストールする場合、他のノードすべての証明書も同じ CA によって署名されている必要があります。
ネットワーキングと NFS ストレージ
Threat Grid アプライアンスをクラスタリングするには、ネットワーキングおよび NFS ストレージに関して次の点を考慮する必要があります。
-
Threat Grid アプライアンスクラスタでは、NFS ストアを有効にして設定する必要があります。NFS ストアが管理インターフェイス経由で使用可能で、すべてのクラスタノードからアクセス可能になっている必要があります。
-
各クラスタは、キーが 1 つある 1 つの NFS ストアによってバックアップする必要があります。既存の Threat Grid アプライアンスのデータを使用して NFS ストアを初期化することはできますが、クラスタの動作中は、クラスタのメンバーではないシステムからアクセスすることはできません。
-
NFS ストアはシングルポイント障害であり、そのロールに見合った、冗長性があり信頼性の高い機器を使用することが不可欠です。
-
クラスタリングに使用される NFS ストアは、遅延を常に低い状態に保つ必要があります。