Se aplica A: Fireboxes administrados en la nube
Cada miembro del clúster mantiene la información de estado y sesión en todo el momento. Cuando ocurre la conmutación por error, las conexiones de filtro de paquetes, túneles de VPN de sucursal (BOVPN) y sesiones de usuario del Firebox con fallas hacen la conmutación por error de forma automática hacia el otro Firebox en el clúster.
Un Firebox es el maestro del clúster y el otro Firebox es el maestro de respaldo. El maestro de respaldo usa la interfaz principal del clúster para sincronizar la información de sesión y conexión con el maestro del clúster. Para obtener información sobre las mejores prácticas de la interfaz del clúster, consulte Antes de Configurar un FireCluster Administrado en la Nube en WatchGuard Cloud.
Si configura una interfaz del clúster de respaldo y si la interfaz principal del clúster falla o está desconectada, el maestro de respaldo usa la interfaz del clúster de respaldo para comunicarse con el maestro del clúster. Recomendamos una interfaz del clúster de respaldo solo si utiliza un conmutador entre las interfaces del clúster. Para obtener información sobre las mejores prácticas de la interfaz del clúster de respaldo, consulte Antes de Configurar un FireCluster Administrado en la Nube en WatchGuard Cloud.
El maestro del clúster también usa tanto la interfaz principal del clúster y la del clúster de respaldo para enviar un paquete de latido una vez por segundo al maestro de respaldo.
Eventos que desencadenan una conmutación por error
Para un FireCluster administrado en la nube, estos eventos activan la conmutación por error del maestro del clúster:
El índice de salud es demasiado bajo
Cada miembro del clúster tiene un Índice Promedio Ponderado (WAI) que indica la salud general del Firebox.El WAI de un miembro del clúster es un promedio ponderado del Índice de Salud del Sistema (SHI) y del Índice de Salud de los Puertos Monitorizados (MPHI) de ese dispositivo. Si el WAI del maestro del clúster es menor que el WAI del maestro de respaldo, el maestro del clúster tiene una conmutación por error.
El Índice de Salud del Hardware (HHI) está deshabilitado para los FireCluster administrados en la nube.
Para obtener información sobre cómo ver los valores del índice de salud de un FireCluster, consulte Monitorizar FireClusters.
Latido perdido
El maestro del clúster envía un paquete de latido a través de las interfaces del clúster principal y de respaldo una vez por segundo. Si el maestro de respaldo no recibe tres latidos consecutivos del maestro del clúster, esto dispara una conmutación por error del clúster principal. El umbral para los latidos perdidos es tres.
Conmutación por error manual iniciada
En WatchGuard Cloud, cuando selecciona Configurar > Dispositivos> Conmutar por Error el Maestro, fuerza al maestro del clúster a conmutar por error al maestro de respaldo.
Para más información sobre la conmutación por error manual, consulte Conmutación por Error de un FireCluster en WatchGuard Cloud.
La conmutación por error del FireCluster ocurre cuando la interfaz física está desactivada o no responde. La conmutación por error del FireCluster no se produce si se produce una conmutación por error de multi-WAN debido a un fallo del monitor de enlace.
Qué Ocurre Cuando Sucede una Conmutación por Error
Cuando ocurre una conmutación por error del maestro del clúster, el maestro de respaldo se convierte en el maestro del clúster. El maestro del clúster original se vuelve a unir con el clúster como el maestro de respaldo. El clúster mantiene todas las conexiones de filtrado de paquetes, los túneles de VPN de sucursales (BOVPN) y las sesiones de usuario.
Si el maestro de respaldo falla, las conexiones y sesiones no se interrumpen porque el tráfico no está asignado al maestro de respaldo en un FireCluster activo/pasivo.
| Tipo de Conexión/Sesión | Impacto de un evento de conmutación por error |
|---|---|
| Conexiones de filtrado de paquetes | Las conexiones son conmutadas por error a otro miembro del clúster. |
| Túneles VPN de sucursal (BOVPN) | Los túneles son conmutados por error a otro miembro del clúster. |
| Sesiones del usuario | Las sesiones son conmutadas por error a otro miembro del clúster. |
| Conexiones de proxy | Las conexiones asignadas al Firebox con fallas (maestro o maestro de respaldo) deben ser reiniciadas. Las conexiones asignadas al otro Firebox no son interrumpidas. |
| Mobile VPN with SSL | Si cualquiera de los Fireboxes conmuta por error, todas las sesiones deben ser reiniciadas. |
| Mobile VPN with IKEv2 | Si el maestro del clúster conmuta por error, todas las sesiones deben ser reiniciadas. Si el maestro de respaldo falla, sólo las sesiones asignadas al principal de respaldo deben ser reiniciadas. Las sesiones asignadas al maestro del clúster no son interrumpidas. |
Monitorizar una Conmutación por Error del FireCluster
En la página Ajustes de Dispositivo, puede ver qué miembro del clúster es el maestro del clúster. Los FireClusters administrados en la nube usan solo el modo activo/pasivo, lo que significa que solo el maestro del clúster se conecta a WatchGuard Cloud. El estado del maestro del clúster es Conectado. El estado del maestro de respaldo es No Conectado. Para obtener más información acerca de la página Ajustes de Dispositivo, consulte Acerca de la Página Ajustes de Dispositivo.
En la página Estado en Vivo > FireCluster, puede ver una lista de eventos del clúster, que incluye eventos de conmutación por error del clúster. Para obtener más información sobre la página Estado en Vivo del FireCluster, consulte Monitorizar FireClusters.
Conmutación por error de FireCluster y Servicios de Suscripción
Si habilita los servicios de suscripción con licencia para su FireCluster, los servicios continúan funcionando después de la conmutación por error.Para un FireCluster administrado en la nube, debe habilitar los servicios de suscripción en la llave de licencia para un solo miembro del clúster. El miembro del clúster activo usa los servicios de suscripción que están activos en la llave de licencia de cualquiera de los miembros del clúster.
Para más información acerca de las llaves de licencia para FireCluster, consulte Acerca de las Llaves de Licencia y FireCluster.
Acerca de FireCluster en WatchGuard Cloud
Administrar la Generación de Registros del FireCluster en WatchGuard Cloud
Configurar un Reemplazo de RMA para un Miembro de FireCluster Administrado en la Nube