S'applique à : Fireboxes Gérés sur le Cloud
Chaque membre du cluster conserve à tout moment les informations sur l'état et les sessions. En cas de basculement, les connexions via un filtre de paquets, les tunnels Branch Office VPN (BOVPN) et les sessions d'utilisateur gérés par le Firebox en échec bascule automatiquement vers l'autre Firebox du cluster.
Un Firebox est le maître du cluster et l'autre Firebox est le maître de secours. Le maître de secours utilise l'interface cluster principale pour synchroniser les informations sur les connexions et les sessions à partir du maître du cluster. Pour de plus amples informations concernant les meilleures pratiques en matière d'interfaces cluster, consultez la section Avant de configurer un FireCluster Géré sur le Cloud dans WatchGuard Cloud.
Si vous configurez une interface cluster de secours et que l'interface cluster principale dysfonctionne ou se déconnecte, le maître de secours utilise l'interface cluster de secours pour communiquer avec le maître du cluster dans certains cas. Nous recommandons une interface cluster de secours uniquement si vous utilisez un commutateur entre les interfaces cluster. Pour de plus amples informations concernant les meilleures pratiques en matière d'interfaces cluster de secours, consultez la section Avant de configurer un FireCluster Géré sur le Cloud dans WatchGuard Cloud.
Le maître du cluster utilise les interfaces de cluster principales et de secours pour envoyer un paquet de pulsations une fois par seconde au maître de secours.
Les événements qui déclenchent un basculement
Pour un FireCluster géré sur le cloud, les événements suivants déclenchent le basculement du maître du cluster :
L'indice de santé est trop faible
Chaque membre du cluster présente un Indice Moyen Pondéré (IMP) indiquant la santé générale du Firebox. L'IMP d'un membre du cluster correspond à la moyenne pondérée de l'Indice de Santé du Système (ISS) et de l'Indice de Santé des Ports Surveillés (ISPS) de ce périphérique. Si l'IMP du maître du cluster est inférieur à l'IMP du maître de secours, le maître du cluster bascule.
L'indice de santé matériel (ISM) est désactivé pour les FireClusters gérés sur le cloud.
Pour de plus amples informations concernant l'affichage des valeurs d'indice de santé d'un FireCluster, consultez la section Surveiller des FireClusters.
Perte de pulsation
Le maître du cluster envoie un paquet de pulsations une fois par seconde sur les interfaces cluster principale et de secours. Si le maître de secours ne reçoit pas trois pulsations consécutivement du maître du cluster, cela déclenche le basculement du maître du cluster. Le seuil pour la perte de pulsation est de trois.
Basculement manuel lancé
Dans WatchGuard Cloud, lorsque vous sélectionnez Configurer > Périphériques> Basculer le Maître, vous forcez le maître du cluster à basculer vers le maître de secours.
Pour plus d'informations sur le basculement manuel, consultez Basculer un FireCluster dans WatchGuard Cloud.
Le basculement du FireCluster se déclenche lorsque l'interface physique dysfonctionne ou ne répond pas. Le basculement du FireCluster ne se déclenche pas si le basculement multi-WAN se produit en raison du dysfonctionnement du contrôle des liaisons.
Que se passe-t-il lorsqu'un basculement se produit ?
En cas de dysfonctionnement du maître du cluster, le maître de secours devient le maître du cluster. Le maître du cluster d'origine rejoint le cluster en tant que maître de secours. Le cluster conserve toutes les connexions du filtre de paquets, les tunnels branch office VPN (BOVPN) et les sessions des utilisateurs.
En cas de dysfonctionnement du maître de secours, les connexions et les sessions ne sont pas interrompues, car le trafic n'est pas attribué au maître de secours dans un FireCluster actif/passif.
| Type de connexion/session | Impact d'un événement de basculement |
|---|---|
| Connexions via un filtre de paquets | Les connexions basculent sur l'autre membre du cluster. |
| Tunnels Branch Office VPN (BOVPN) | Les tunnels basculent sur l'autre membre du cluster. |
| Sessions de l'utilisateur | Les sessions basculent sur l'autre membre du cluster. |
| Connexions proxy | Les connexions affectées au Firebox en échec (maître ou maître de secours) doivent être redémarrées. Les connexions affectées à l'autre Firebox ne sont pas interrompues. |
| Mobile VPN with SSL | Si l'un des deux Fireboxes bascule, toutes les sessions doivent être redémarrées. |
| Mobile VPN with IKEv2 | Si le maître du cluster bascule, toutes les sessions doivent être redémarrées. Si le maître de secours échoue, seules les sessions affectées au maître de secours doivent être redémarrées. Les sessions affectées au maître du cluster ne sont pas interrompues. |
Surveiller le Basculement d'un FireCluster
Sur la page Paramètres du Périphérique, vous pouvez consulter le membre du cluster assurant le rôle de maître du cluster. Les FireClusters gérés sur le cloud utilisent uniquement le mode actif/passif. C'est pourquoi seul le maître du cluster se connecte à WatchGuard Cloud. L'état du maître du cluster est Connecté. L'état du maître de secours est Non Connecté. Pour plus d'informations sur la page Paramètres du Périphérique, consultez À Propos de la Page Paramètres du Périphérique.
Sur la page État en Direct > FireCluster, vous pouvez afficher la liste des événements du cluster, y compris les événements de basculement du cluster. Pour plus d'informations sur les pages État en Direct du FireCluster, consultez Surveiller des FireClusters.
Basculement du FireCluster et Services d'Abonnement
Si vous avez activé des services d'abonnement sous licence pour votre FireCluster, les services continuent d'être fonctionnels après le basculement. Pour un FireCluster géré sur le cloud, vous devez activer les services d'abonnement sur la clé de fonctionnalité pour un seul membre du cluster. Le membre du cluster actif utilise les services d'abonnement actifs sur la clé de fonctionnalité de l'un des deux membres du cluster.
Pour plus d'informations sur les clés de fonctionnalité et le FireCluster, consultez À Propos des Clés de Fonctionnalité et de FireCluster.
Ajouter un FireCluster à WatchGuard Cloud
Gérer la Journalisation FireCluster dans WatchGuard Cloud
Configurer un Remplacement RMA d'un membre d'un FireCluster Géré sur le Cloud