Configurar un FireCluster en VMware ESXi

Puede configurar dos máquinas virtuales FireboxV como un FireCluster activo/pasivo. Recomendamos que complete la configuración de red virtual en el hipervisor antes de configurar los dispositivos FireboxV que desea agrupar.

Este tema explica el Requisitos y muestra los pasos de planificación y configuración:

  1. Planificar Su Configuración
  2. Configurar Conmutadores de Red
  3. Configurar el Clúster
  4. Implementación y Provisión de dos Máquinas Virtuales FireboxV
  5. Obtener la Llave de Licencia para el Segundo Dispositivo
  6. Configurar los Ajustes de FireCluster
  7. Formación del Clúster

Requisitos

Asegurarse de que tiene esos ítems:

  • Dos máquinas virtuales WatchGuard FireboxV del mismo modelo
  • La misma versión de Fireware en cada dispositivo
  • La llave de licencia para cada máquina virtual
  • Un vSwitch configurado para cada interfaz de clúster
  • Un vSwitch para cada interfaz de tráfico activa
  • WatchGuard System Manager, para editar la configuración de FireCluster

Debe verificar que sus configuraciones de FireCluster, red y ESXi cumplan con todos los requisitos. FireCluster en un entorno VMware no funciona como se esperaba si no se cumplen estos requisitos.

Requisitos de FireCluster

El FireCluster activo/activo no es compatible con VMware ESXi. Debe configurar un FireCluster activo/pasivo.

Requisitos de red

Asegúrese de que su red y las configuraciones de ESXi cumplan con los requisitos.

Requisitos de red

  • Cada tipo de interfaz debe estar en el mismo dominio de difusión en ambos miembros del clúster.
    La copia de seguridad maestra transmite un ARP gratuito (GARP) para convertirse en el clúster principal durante la conmutación por error del clúster. El otro miembro del clúster debe estar en el mismo dominio de difusión para recibir esta difusión.

  • Todos los clientes protegidos por el clúster deben poder comunicarse con ambos miembros del clúster.
    Esto significa que debe verificar que todos los paquetes dirigidos al FireboxV se puedan entregar correctamente a ambos miembros del clúster. VMware no envía tráfico de clientes en el mismo host ESXi que un miembro del clúster al otro miembro del clúster en otro host ESXi. Estos clientes no pueden enviar tráfico a través del clúster a menos que estén en el mismo host ESXi que el miembro del clúster activo. Los clientes en el mismo host ESXi que el miembro del clúster pasivo no pueden enviar tráfico a través del clúster. Este comportamiento ocurre porque el host ESXi cree que la dirección MAC virtual (VMAC) compartida por los miembros del clúster existe solo en ese host ESXi. Como resultado, el host ESXi no reenvía el tráfico que intenta pasar a través del clúster al miembro del clúster activo en el otro host ESXi.

Requisitos de ESXi

  • GARP debe estar habilitado en los vSwitches.
    Después de una conmutación por error del clúster, el nuevo clúster maestro envía un GARP. Los vSwitches usan información en el GARP para aprender cómo enrutar el tráfico después de la conmutación por error del clúster.
  • Para todas las interfaces de FireboxV, el ajuste Transmisiones Adulteradas en VMWare debe configurarse como Aceptar. Esta es la configuración predeterminada.
  • El vSwitch para la interfaz externa debe configurarse para aceptar cambios en la dirección MAC.
  • El vSwitch para la interfaz de administración de FireCluster debe tener el modo promiscuo habilitado.
  • El vSwitch que se conecta a cada interfaz del clúster debe estar dedicado a este fin.

Ejemplo

Para la redundancia de hardware y software, puede configurar lo siguiente:

  • Dos hosts ESXi conectados a un vSwitch con varios conmutadores físicos entre ellos
  • Los miembros maestros y de respaldo del FireCluster están configurados en un host ESXi diferente

Esta configuración agrega redundancia porque el FireCluster puede realizar una conmutación por error en el caso de una falla de software o hardware.

Planificar Su Configuración

Antes de habilitar FireCluster, le recomendamos que identifique el vSwitch, la interfaz de red y las direcciones de red a usar. Para FireCluster, la interfaz externa debe usar una dirección IP estática. Un plan claro lo ayuda a configurar las direcciones IP de la interfaz y a configurar los ajustes del vSwitch según sea necesario para cada interfaz. Por ejemplo, podría crear una lista que se parezca a algo como esto

Opción de FireCluster Nombre de vSwitch FireboxV o XTMv
Número de Interfaz
Dirección IP
Interfaz de clúster primario Red HA 9

Miembro 1: 10.10.5.1/24

Miembro 2: 10.10.5.2/24

Interfaz para la dirección IP de administración Red de confianza 1

Miembro 1: 10.10.1.2/24

Miembro 2: 10.10.1.3/24

Interfaz externa Red externa 0 203.0.113.2 /24
Interfaz de confianza Red de confianza 1 10.10.1.1/24

Configurar Conmutadores de Red

Debe configurar un vSwitch para cada interfaz que desee habilitar. Le recomendamos que haga esto antes de habilitar FireCluster. Antes de habilitar FireCluster, asegúrese de que los conmutadores estén configurados para cumplir con los requisitos establecidos en la sección Requisitos.

Para más información sobre la configuración del conmutador, consulte Configurar Recursos en VMware ESXi.

Configurar el Clúster

Después de haber planificado su red y configurado los vSwitches, puede configurar las máquinas virtuales FireboxV y habilitar FireCluster.

Implementación y Provisión de dos Máquinas Virtuales FireboxV

Para crear un FireCluster con dos nuevas máquinas virtuales FireboxV, use el procedimiento de la sección anterior para implementar y activar dos dispositivos Firebox V. Si desea habilitar FireCluster para una máquina virtual FireboxV existente, implemente y active una máquina virtual FireboxV adicional. Para más información, consulte Implementar FireboxV o XTMv en VMware ESXi.

Asigne los mismos recursos (adaptadores de red, CPU virtual y memoria) a cada máquina virtual FireboxV. Para más información, consulte Configurar Recursos en VMware ESXi.

Obtener la Llave de Licencia para el Segundo Dispositivo

Copie la llave de licencia desde el segundo dispositivo a un archivo de texto, para que pueda agregarla a la configuración de FireCluster.

Para copiar la llave de licencia con Policy Manager:

  1. En WatchGuard System Manager, conéctese a la máquina virtual que será el segundo dispositivo en el clúster.
  2. Seleccione Herramientas > Policy Manager.
  3. Seleccione Configurar > Llaves de Licencia > Detalles.
  4. Seleccione y copie los detalles de la llave de licencia en un archivo de texto.

Configurar los Ajustes de FireCluster

Los pasos para configurar los ajustes de FireCluster en FireboxV son los mismos que para cualquier otro Firebox, excepto que debe seleccionar Activo/Pasivo para un FireCluster virtual.

Después de ejecutar el FireCluster Setup Wizard, guarde la configuración del clúster en cada una de las máquinas virtuales. Cuando se reinician, se forma el clúster.

Para configurar el FireCluster:

  1. En el WatchGuard System Manager, conéctese a la máquina virtual FireboxV o XTMv que tenga la configuración que desea usar para el clúster.
  2. Seleccione Herramientas > Policy Manager.
  3. Seleccione FireCluster > Configuración.
    El FireCluster Setup Wizard se inicia.
  4. Haga clic en Siguiente.
  5. Seleccione Clúster Activo/Pasivo.
    Aunque puede seleccionarla, la opción de clúster Activo/Activo no es admitida en FireboxV.
  6. Seleccione el ID del Clúster.
    El ID del clúster identifica singularmente el clúster si configura más de un clúster en el mismo dominio de difusión de capa 2. Si solo tiene un clúster, puede usar el valor predeterminado de 1.
  7. Haga clic en Siguiente.
  8. Seleccione una interfaz de grupo Primario.
    Seleccione una interfaz que esté conectada a un vSwitch dedicado. Las interfaces de clúster están dedicadas a establecer la comunicación entre los miembro del clúster y no se usan para otro tráfico de red.
  9. (Opcional) Seleccione una interfaz de clúster de Respaldo.
    Si selecciona una interfaz de clúster de respaldo, seleccione una interfaz conectada a un segundo vSwitch dedicado.
  10. Seleccione la Dirección IP de interfaz para administración.
    Use esa interfaz para conectarse directamente a los dispositivos miembros de FireCluster para operaciones de mantenimiento. El clúster principal también utiliza la dirección IP de Administración del principal de respaldo para comunicarse con el principal de respaldo acerca del estado del dispositivo y el conjunto de acciones. Ésta no es una interfaz exclusiva. También es utilizada para otro tráfico de red. No se puede seleccionar una interfaz VLAN como dirección IP de Interfaz para Administración. Recomendamos que seleccione la interfaz a la que se conecta por lo general la computadora de administración.

Asegúrese de que el modo promiscuo esté habilitado en vSwitch para la interfaz que configure como Interfaz para la dirección IP de administración.

  1. Haga clic en Siguiente.
  2. Cuando lo solicite el asistente de configuración, añada esas propiedades del FireCluster miembro a cada dispositivo:

Llave de Licencia

Para cada Firebox, agregue la llave de licencia para obtener los números de serie del dispositivo y habilitar todas las funciones. Para el primer miembro del clúster, el asistente utiliza automáticamente la llave de licencia que existe en el archivo de configuración.

Nombre del miembro

El nombre que identifica a cada Firebox en la configuración de FireCluster.

Dirección IP de la interfaz del clúster principal

La dirección IP que los miembros del clúster utilizan para comunicarse entre sí a través de la interfaz del clúster primaria. La dirección IP de interfaz para el clúster primario para cada miembro del clúster debe ser una dirección IPv4 en la misma subred.

Si ambos dispositivos inician al mismo tiempo, el miembro del clúster con la dirección IP más alta asignada a la interfaz del clúster principal se convierte en el principal.

Dirección IP de interfaz de clúster de respaldo

(Opcional) La dirección IP que los miembros del clúster utilizan para comunicarse entre sí a través de la interfaz del clúster de respaldo. La dirección IP de interfaz para el clúster de respaldo para cada miembro del clúster debe ser una dirección IPv4 en la misma subred.

No establezca la dirección IP del clúster Primario o de Respaldo a la dirección IP predeterminada de una interfaz en el dispositivo. Las direcciones IP de interfaz predeterminadas se encuentran dentro del rango 10.0.0.1 - 10.0.17.1. Las direcciones IP del clúster primario y de respaldo no se deben usar de ningún otro modo en su red, como las direcciones IP virtuales para Mobile VPN y las direcciones IP utilizadas por las redes de sucursales remotas.

Dirección IP de Administración

Una dirección IP única que puede usar para conectarse a un Firebox individual mientras que está configurada como parte de un clúster. Debe especificar una dirección IP de administración diferente para cada miembro del clúster. Si la interfaz que seleccionó como la Interfaz para dirección IP de administración tiene IPv6 habilitado, también puede, de forma opcional, configurar una dirección IPv6 de administración.

La dirección IP IPv4 de administración puede ser cualquier dirección IP sin utilizar. Recomendamos que use una dirección IP en la misma subred que la interfaz que seleccione como Interfaz para dirección IP de administración. Esto es para asegurarse de que la dirección es enrutable. La dirección IP de administración debe encontrarse en la misma subred que el WatchGuard Log Server o el servidor syslog a los que su FireCluster envía los mensajes de registro.

La dirección IP IPv6 de administración debe ser una dirección IP sin utilizar. Recomendamos que use una dirección IPv6 con el mismo prefijo que una dirección IPv6 asignada a la interfaz que seleccionó como la Interfaz para la dirección IP de administración. Esto es para asegurarse de que la dirección IPv6 sea enrutable.

  1. Revise el resumen de configuración en la pantalla final del FireCluster Setup Wizard. El resumen de configuración muestra las opciones que seleccionó y cuáles interfaces son monitorizadas para el estado del enlace.
  2. Haga clic en Finalizar.
    Aparece el cuadro de diálogo Configuración de FireCluster.

Formación del Clúster

Para formar el clúster, guarde el archivo de configuración en cada máquina virtual FireboxV.

  1. En Policy Manager, seleccione Archivo> Guardar > En Firebox para guardar la configuración en la primera máquina virtual FireboxV o XTMv.
  2. En Policy Manager, seleccione nuevamente Archivo > Guardar > En Firebox y especifique la dirección IP de la segunda máquina virtual FireboxV.
    Policy Manager despliega una advertencia si la configuración que guardó en la dirección IP no existe en el archivo de configuración.
  3. Haga clic en para confirmar que desea guardar el archivo.

El clúster se forma automáticamente. Para verificar si se ha formado un clúster, conéctese al dispositivo en WatchGuard System Manager y actualice el estado periódicamente. Si el clúster no se forma automáticamente después de unos minutos, reinicie o desconecte y vuelva a conectar cada máquina virtual para activar la formación automática del clúster.

Ver También

Acerca de FireCluster

Introducción a FireboxV y XTMv

ID del Clúster Activo/Pasivo y Dirección MAC Virtual