Haute disponibilité
DynFi Firewall utilise le protocole CARP (Common Address Redundancy Protocol) pour le basculement matériel. Deux pare-feu ou plus peuvent être configurés en tant que groupe de basculement. Si une interface tombe en panne sur le primaire ou si le primaire est complètement hors ligne, le secondaire devient actif.
L’utilisation de cette puissante fonctionnalité de DynFi Firewall permet de créer un pare-feu entièrement redondant, avec un basculement automatique et transparent. Lors du passage au réseau de secours, les connexions restent actives avec un minimum d’interruption pour les utilisateurs.
Flux de travail
Bien qu’il ne soit pas nécessaire de synchroniser la configuration de la machine principale avec celle de la sauvegarde, il est préférable que les deux systèmes soient (en majeure partie) identiques.
Pour éviter que des problèmes ne se propagent sur les deux firewalls en même temps, nous avons choisi de ne mettre à jour que sur commande (voir la page d’état).
Notre flux de travail ressemble donc à ceci :
Commencer par valider toutes les modifications sur le maître, puis mettre à jour la sauvegarde tout en sachant que le maître est toujours correctement configuré.
Note
En cas d’urgence, vous devriez toujours être en mesure de basculer vers le nœud de sauvegarde lorsque les changements posent des problèmes, étant donné que la machine de sauvegarde est laissée dans un état connu pendant toute la durée du processus.
Réplication automatique
Bien que nous conseillions de veiller à ce que la machine de sauvegarde reste intacte pendant la maintenance, certaines personnes préfèrent
maintenir la synchronisation de la sauvegarde à intervalles réguliers. Pour cette raison, nous avons ajouté une action cron que vous pouvez
programmer vous-même dans Système >> Paramètres >> Cron sur le noeud primaire.
Pour utiliser cette fonctionnalité, ajoutez un nouveau job cron contenant la commande HA update and reconfigure backup et un horaire
approprié (une fois par jour en dehors des heures de bureau est généralement une option correcte).
Note
Pour éviter qu’une machine primaire non fonctionnelle ne mette à jour le maître actif, la commande HA update and reconfigure backup
ne s’exécutera que si toutes les interfaces CARP sont en mode MASTER.
Paramètres
Basculement automatique
Bien qu’il ne s’agisse pas vraiment d’un paramètre de la page de configuration de la haute disponibilité, il s’agit d’un élément crucial des configurations de haute disponibilité. En utilisant des adresses virtuelles de type CARP, le pare-feu secondaire prendra le relais sans intervention de l’utilisateur et avec un minimum d’interruption lorsque le pare-feu principal devient indisponible.
Les IP virtuelles de type CARP (/configuration_firewall_VIP) sont nécessaires pour cette fonctionnalité.
Tables d’état synchronisées
La table d’état du pare-feu est répliquée sur tous les pare-feu configurés pour le basculement. Cela signifie que les connexions existantes seront maintenues en cas de défaillance, ce qui est important pour éviter les perturbations réseau lors du basculement d’un firewall primaire à un un secondaire.
Désactiver la préemption
Par défaut, cette option est désélectionnée, ce qui est le scénario conseillé pour les configurations HA les plus courantes. L’option preempt` permet de s’assurer que plusieurs interfaces CARP agiront comme un groupe (tous sauvegarde ou maître) en même temps, en supposant qu’il n’y ait pas de problèmes techniques entre les deux.
Synchronisation de la configuration
DynFi Firewall inclut des capacités de synchronisation de la configuration. Les changements de configuration effectués sur le système principal sont synchronisés à la demande avec le pare-feu secondaire.
Configurer HA CARP
Pour un guide d’installation détaillé, voir : /how-to/guide_pratique_haute_disponibilite_carp
Statut
La page d’état se connecte à l’hôte de sauvegarde configuré précédemment et affiche tous les services en cours d’exécution sur le serveur de sauvegarde. Avec cette page, vous pouvez mettre à jour la machine de sauvegarde et redémarrer les services si nécessaire.