Configurer un FireCluster sur VMware ESXi

Vous pouvez configurer deux machines virtuelles FireboxV en tant que FireCluster actif/passif. Nous vous recommandons de procéder à la configuration du réseau virtuel sur l'hyperviseur avant de configurer les périphériques FireboxV que vous souhaitez utiliser pour le cluster.

Cette rubrique explique les Exigences et montre les étapes de planification et de configuration :

  1. Planifier Votre Configuration
  2. Configurer les Commutateurs Réseau
  3. Configurer le Cluster
  4. Déployer et Provisionner deux Machine Virtuelles FireboxV
  5. Obtenir la Clé de Fonctionnalité du Deuxième Périphérique
  6. Configurer les Paramètres FireCluster
  7. Créer le Cluster

Exigences

Assurez-vous de disposer des éléments suivants :

  • Deux machines virtuelles WatchGuard FireboxV du même modèle
  • Une version de Fireware identique sur chaque périphérique
  • La clé de fonctionnalité de chaque machine virtuelle
  • Un vSwitch configuré pour chaque interface du cluster
  • Un vSwitch pour chaque interface de trafic active
  • WatchGuard System Manager pour modifier la configuration FireCluster

Vous devez vérifier que vos configurations FireCluster, réseau et ESXi répondent à toutes les exigences. Dans un environnement VMware, un FireCluster ne fonctionne pas comme escompté si toutes les conditions ne sont pas satisfaites.

Exigences de FireCluster

Le FireCluster actif/actif n'est pas pris en charge pour VMware ESXi. Vous devez configurer un FireCluster actif/passif.

Exigences de Réseau

Vérifiez que votre réseau et vos configurations ESXi répondent aux exigences.

Exigences réseau

  • Chaque type d'interface doit appartenir au même domaine de diffusion sur les deux membres du cluster.
    Le maître de sauvegarde diffuse un ARP gratuit (GARP) pour devenir maître du cluster en cas de basculement du cluster. L'autre membre du cluster doit appartenir au même domaine de diffusion afin de recevoir cette diffusion.

  • Tous les clients protégés par le cluster doivent pouvoir communiquer avec les deux membres du cluster.
    Cela signifie que vous devez vérifier que tous les paquets destinés au FireboxV peuvent être transmis avec succès aux deux membres du cluster. VMware ne transmet pas le trafic des clients du même hôte ESXi qu'un membre du cluster vers l'autre membre du cluster d'un autre hôte ESXi. Ces clients ne peuvent pas faire transiter le trafic via le cluster à moins qu'ils ne soient hébergés par le même hôte ESXi que le membre actif du cluster. Les clients hébergés sur le même hôte ESXi que le membre passif du cluster ne peuvent pas faire transiter le trafic via le cluster. Ce comportement se produit, car l'hôte ESXi pense que l'adresse MAC virtuelle (VMAC) partagée par les membres du cluster n'existe que sur cet hôte ESXi. Par conséquent, l'hôte ESXi ne transmet pas le trafic qui tente de transiter via le cluster au membre actif du cluster de l'autre hôte ESXi.

Exigences ESXi

  • GARP doit être activé sur les vSwitches.
    Après un basculement de cluster, le nouveau maître du cluster envoie un GARP. Les vSwitches utilisent les informations du GARP pour apprendre à router le trafic après le basculement du cluster.
  • Sur toutes les interfaces FireboxV, le paramètre Transmissions Falsifiées de VMWare doit être configuré sur Accepter. Cela est le paramètre par défaut.
  • Le vSwitch de l'interface externe doit être configuré de manière à accepter les modifications d'adresse MAC.
  • Le mode de proximité du vSwitch de l'interface de gestion du FireCluster doit être activé.
  • Le vSwitch connecté à chaque interface de cluster doit être dédié à cette tâche.

Exemple

Pour une redondance matérielle et logicielle, vous pouvez configurer :

  • Deux hôtes ESXi connectés à un vSwitch et séparés par différents commutateurs physiques
  • Des membres maître et membres de secours FireCluster sont configurés sur chaque hôte ESXi différent

Cette configuration ajoute une redondance, car le FireCluster peut basculer en cas de panne logicielle ou matérielle.

Planifier Votre Configuration

Avant d'activer FireCluster, nous vous recommandons d'identifier le vSwitch, l'interface réseau et les adresses réseau à utiliser. Pour le FireCluster, l'interface externe doit utiliser une adresse IP statique. Un plan clair simplifie la configuration des adresses IP et des paramètres du vSwitch requis par chaque interface. Vous pouvez par exemple créer une liste similaire à celle-ci :

Option FireCluster Nom du vSwitch FireboxV ou XTMv
Numéro d'interface		 Adresse IP
Interface cluster principale Réseau-HA 9

Membre 1 : 10.10.5.1/24

Membre 2 : 10.10.5.2/24
L'adresse IP de l'interface de gestion Réseau-approuvé 1

Membre 1 : 10.10.1.2/24

Membre 2 : 10.10.1.3/24
Interface externe Réseau-externe 0 203.0.113.2 /24
Interface approuvée Réseau-approuvé 1 10.10.1.1/24

Configurer les Commutateurs Réseau

Vous devez configurer un vSwitch sur chaque interface que vous souhaitez activer. Nous vous recommandons d'effectuer cette opération avant d'avant d'activer FireCluster. Avant d'activer le FireCluster, configurez les commutateurs de manière à répondre aux exigences de la section Exigences.

Pour de plus amples informations concernant la configuration des commutateurs, consultez Configurer les Ressources dans VMware ESXi.

Configurer le Cluster

Après avoir planifié votre réseau et configuré les vSwitches, vous pouvez configurer les machines virtuelles FireboxV et activer FireCluster.

Déployer et Provisionner deux Machine Virtuelles FireboxV

Afin de créer un FireboxV avec deux nouvelles machines virtuelles FireboxV, utilisez la procédure de la section précédente pour déployer et activer deux périphériques FireboxV. Si vous souhaitez activer FireCluster pour une machine virtuelle FireboxV existante, déployez et activez une machine virtuelle FireboxV supplémentaire. Pour plus d'informations, consultez Déployer FireboxV ou XTMv sur VMware ESXi.

Allouez les mêmes ressources (cartes réseau, processeurs virtuels et mémoire) à chaque machine virtuelle FireboxV. Pour plus d'informations, consultez Configurer les Ressources dans VMware ESXi.

Obtenir la Clé de Fonctionnalité du Deuxième Périphérique

Copiez la clé de fonctionnalité du deuxième périphérique dans un fichier texte afin de pouvoir l'ajouter à la configuration FireCluster.

Pour copier la clé de fonctionnalité avec Policy Manager :

  1. Dans WatchGuard System Manager, connectez-vous à la machine virtuelle qui sera le deuxième périphérique du cluster.
  2. Sélectionnez Outils > Policy Manager.
  3. Sélectionnez Configurer > Clés de Fonctionnalité > Détails.
  4. Sélectionnez et copiez les détails de la clé de fonctionnalité dans un fichier texte.

Configurer les Paramètres FireCluster

Les étapes de configuration des paramètres FireCluster sur FireboxV sont identiques à ceux des autres Firebox. Vous devez cependant sélectionner Actif/Passif pour un FireCluster virtuel.

Après avoir exécuté l'assistant FireCluster Setup Wizard, vous enregistrez la configuration du cluster sur chacune des machines virtuelles. Lorsqu'elles redémarrent, le cluster est créé.

Pour configurer le FireCluster :

  1. Dans WatchGuard System Manager, connectez-vous à la machine virtuelle FireboxV ou XTMv possédant la configuration à utiliser pour le cluster.
  2. Sélectionnez Outils > Policy Manager.
  3. Sélectionnez FireCluster > Configurer.
    L'assistant FireCluster Setup Wizard démarre.
  4. Cliquez sur Suivant.
  5. Sélectionnez Cluster Actif/Passif.
    Même si vous pouvez la sélectionner, l'option de cluster Actif/Actif n'est pas prise en charge par FireboxV.
  6. Sélectionnez l'ID du cluster.
    L'identifiant du cluster l'identifie de façon unique lorsque vous configurez plusieurs clusters sur le même domaine de diffusion de couche 2. Si vous ne possédez qu'un seul cluster, vous pouvez conserver la valeur par défaut de 1.
  7. Cliquez sur Suivant.
  8. Sélectionnez l'interface cluster Principale.
    Sélectionnez une interface connectée à un vSwitch dédié. L'interface cluster est dédiée à la communication entre les membres du cluster et ne sert pas aux autres trafics réseau.
  9. (Facultatif) Sélectionnez une interface cluster de Secours.
    Si vous sélectionnez une interface cluster de secours, sélectionnez une interface connectée à un deuxième vSwitch dédié.
  10. Sélectionnez l'Interface de l'adresse IP de gestion.
    Cette interface vous permet de vous connecter directement aux périphériques membres de FireCluster pour les opérations de maintenance. Le maître du cluster utilise également l'Adresse IP de Gestion du maître de secours pour lui communiquer l'état des périphériques et l'agrégation des actions. Ce n'est pas une interface dédiée. Elle est également utilisée pour d'autres trafics réseau. Il est impossible de sélectionner une interface VLAN comme Interface de l'adresse IP de Gestion. Nous vous conseillons de sélectionner l'interface à laquelle l'ordinateur de gestion se connecte habituellement.

Veillez à activer le mode de proximité sur le vSwitch de l'interface configurée comme Interface de l'adresse IP de Gestion.

  1. Cliquez sur Suivant.
  2. À l'invite de l'Assistant de configuration, ajoutez ces propriétés des membres de FireCluster à chaque périphérique :

Clé de Fonctionnalité

Pour chaque Firebox, ajoutez la clé de fonctionnalité pour obtenir les numéros de série des périphériques et activer l'ensemble de leurs fonctionnalités. Sur le premier membre du cluster, l'assistant utilise automatiquement la clé de fonctionnalité figurant dans le fichier de configuration.

Nom du Membre

Il s'agit du nom qui identifie chaque Firebox dans la configuration de FireCluster.

Adresse IP de l'interface cluster principale

L'adresse IP utilisée par les membres du cluster pour communiquer entre eux sur l'interface cluster principale. L'adresse IP de l'interface cluster principale de chaque membre doit être une adresse IPv4 appartenant au même sous-réseau.

Si les deux périphériques démarrent en même temps, le membre du cluster ayant l'adresse IP la plus élevée attribuée à l'interface cluster principale devient le maître du cluster.

Adresse IP de l'interface cluster de secours

(Facultatif) L'adresse IP utilisée par les membres du cluster pour communiquer entre eux sur l'interface cluster de secours. L'adresse IP de l'interface cluster de secours de chaque membre doit être une adresse IPv4 appartenant au même sous-réseau.

Ne définissez pas l'adresse IP du cluster principal ou de secours comme adresse IP par défaut d'une interface du périphérique. Les adresses IP d'interface par défaut sont dans la plage 10.0.0.1 - 10.0.17.1. Les adresses IP du cluster Principal ou de Secours ne doivent pas être utilisées sur votre réseau à d'autres fins, par exemple en tant qu'adresses IP virtuelles Mobile VPN ou pour les réseaux Branch Office distants.

Adresse IP de Gestion

Adresse IP unique qui vous permet de vous connecter à un Firebox individuel configuré en tant que membre d'un cluster. Vous devez spécifier une adresse IP de gestion différente pour chaque membre du cluster. Si le protocole IPv6 est activé sur l'interface que vous avez choisie comme Interface de l'adresse IP de gestion, vous avez la possibilité de configurer une adresse IP de gestion IPv6.

L'adresse IP de gestion IPv4 doit être une adresse IP inutilisée. Nous vous recommandons d'utiliser une adresse IP appartenant au sous-réseau de l'interface sélectionnée comme Interface de l'adresse IP de gestion. afin que l'adresse soit routable. L'adresse IP de gestion doit appartenir au sous-réseau des serveurs WatchGuard Log Server ou syslog auxquels votre FireCluster envoie ses messages de journal.

L'adresse IP de gestion IPv6 doit être inutilisée. Nous vous recommandons d'utiliser une adresse IP IPv6 présentant un préfixe identique à une adresse IPv6 attribuée à l'interface sélectionnée comme Interface de l'adresse IP de gestion afin que cette adresse IPv6 soit routable. Cela assure que l'adresse IPv6 est routable.

  1. Relisez le résumé de la configuration sur l'écran final de l'Assistant FireCluster Setup Wizard. Le résumé de la configuration illustre les options sélectionnées ainsi que les interfaces dont l'état des liaisons est analysé.
  2. Cliquez sur Terminer.
    La boîte de dialogue Configuration FireCluster s'affiche.

Créer le Cluster

Pour créer le cluster, enregistrez le fichier de configuration sur chaque machine virtuelle FireboxV.

  1. Pour enregistrer la configuration sur la première machine virtuelle FireboxV ou XTMv, sélectionnez Fichier > Enregistrer > Vers Firebox dans Policy Manager.
  2. Sélectionnez à nouveau Fichier > Enregistrer > Vers Firebox dans Policy Manager puis indiquez l'adresse IP de la seconde machine virtuelle FireboxV.
    Policy Manager affiche un avertissement si l'adresse IP à laquelle vous enregistrez la configuration n'existe pas dans le fichier de configuration.
  3. Cliquez sur Oui pour confirmer l'enregistrement du fichier.

Le cluster se forme automatiquement. Pour vérifier si le cluster a été créé, connectez-vous au périphérique dans WatchGuard System Manager et actualisez son état périodiquement. Si le cluster n'est pas créé au bout de que quelques minutes, redémarrez ou lancez un cycle d'alimentation sur chaque machine virtuelle pour déclencher la formation du cluster.

Voir Également

À propos de FireCluster

Introduction à FireboxV et XTMv

ID de Cluster Actif/Passif et Adresse MAC virtuelle