管理集群

配置一个集群

简介

配置一个集群,以便在集群成员关闭 一个安全网关,是集群的一部分。出现故障时保持组织网络的连接。该集群提供了冗余。

支持集群高可用性。在高可用性中,每次只有一个网关是活动的。当出现故障切换时,备用成员成为活动成员。集群成员之间不存在负荷分担。

所有的集群配置都是通过活动成员完成的。

重要提示- 集群配置不支持桥接接口和分配给内部交换机网络的端口。

先决条件:

  • WebUI > 设备 > 本地网络中,在开始配置集群之前,删除桥和交换机的配置。

  • 集群中的设备必须具有相同的硬件、固件和许可证。

    注意- 只有在你完成首次配置向导并移除两台设备上的开关后,才能连接同步网络。两个成员上都不需要额外的配置。

最佳做法- 为同步接口指定同一个LAN端口。默认的同步接口是LAN2/SYNC。

配置工作流程:

  1. 在两个设备上完成首次配置向导。在向导的 "本地网络"页面,清除 "在LAN端口上启用开关"复选框。

  2. 在作为主要(活动)成员的设备上配置网络设置。

  3. 在设备上的同步接口之间连接网络。

    注意事项

    • 你可以连接一个同步接口,在主动备份模式的两个端口之间配置一个邦德接口。这两个端口可以在成员之间直接连接,也可以通过一个交换机。

      • 在直接连接中,网络在设备上的专用下属同步端口之间进行连接。

      • 在交换机中,网络连接设备上的专用下属同步端口和设备之间的交换机上的相应端口。

        单个同步端口也可以通过一个交换机。

    • 当纽带作为同步接口时,你最多可以配置两个从属端口。

  4. 配置活动成员。

  5. 配置备用成员。

对于主(活动)集群成员:

  1. 连接到作为主集群成员的设备。

  2. 在 WebUI 中,进入Device > High Availability,然后单击Configure Cluster

  3. 按照向导的步骤,将设备配置为一个主要成员。

    欲了解更多信息,请参见配置高可用性

对于二级(备用)集群成员:

  1. 连接到作为第二集群成员的设备。

  2. 进入设备 > 高可用性,并点击配置集群

  3. 按照向导的步骤,将设备配置为一个辅助成员。

    欲了解更多信息,请参见配置高可用性

完成其他配置要求,如访问策略、VPN和威胁预防参数。主要成员和次要成员现在会同步他们的配置。

监测集群

最佳实践- 集群配置成功后,连接到http://my.firewall 。这将使你重定向到活动集群成员的 WebUI主页 > 系统页面。

要登录到每个设备上:

用网络浏览器连接到: https://<IP Address of the Cluster Member>:4434

注意- 不是所有的选项都可用,因为所有的集群配置都是通过活动成员完成的。备用集群成员的 WebUI 只有一个标签:设备

要显示集群成员的状态:

转到设备 > 高可用性。

升级一个集群

当你升级一个集群成员时,你可以在升级期间保持网络连接。集群中的一个成员保持活动,而另一个集群成员正在升级。该系统始终处于活动状态,在升级过程中没有停机时间。

在一个高可用性集群中,每次只有一个成员在活动。另一个设备则处于待机状态。要升级一个集群,首先要升级备用设备,然后再升级活动成员。

升级工作流程:

  1. 在 WebUI设备 > 系统操作页面中升级备用成员。

    备用成员自动重新启动。

  2. 在活动成员的 WebUI设备 > 高可用性页面,等待状态显示 "活动 "和 "待机"。

  3. 提升活跃成员关闭 高可用性部署中的集群成员,处理网络连接。

    活动成员自动重新启动。

注意- 每个集群成员的升级过程是相同的。只支持手动升级。

重启后:

要手动升级一个集群成员:

  1. 在 "设备"> "系统操作"页面,点击 "手动升级"。

    升级软件向导打开。

  2. 按照向导的指示来升级集群成员。

    升级过程会自动重新启动成员。

要查看每个集群成员的状态:

转到设备 > 高可用性。