Развертывание отказоустойчивого кластера Kaspersky Security Center

Этот раздел содержит общую информацию об отказоустойчивом кластере Kaspersky Security Center, а также инструкции по подготовке и развертыванию отказоустойчивого кластера Kaspersky Security Center в вашей сети.

Сценарий: Развертывание отказоустойчивого кластера Kaspersky Security Center

Отказоустойчивый кластер Kaspersky Security Center обеспечивает высокую доступность Kaspersky Security Center и минимизирует простои Сервера администрирования в случае сбоя. Отказоустойчивый кластер основан на двух идентичных экземплярах Kaspersky Security Center, установленных на двух компьютерах. Один из экземпляров работает как активный узел, а другой – как пассивный. Активный узел управляет защитой клиентских устройств, в то время как пассивный готов взять на себя все функции активного узла в случае отказа активного узла. Когда происходит сбой, пассивный узел становится активным, а активный узел становится пассивным.

Предварительные требования

У вас есть оборудование, соответствующее требованиям для отказоустойчивого кластера.

Этапы

Развертывание программ "Лаборатории Касперского" состоит из следующих этапов:

1. Создание учетной записи для служб Kaspersky Security Center

   Создайте доменную группу (в этом сценарии для группы используется имя "KLAdmins") и предоставьте права локального администратора группе на обоих узлах и на файловом сервере. Затем создайте две учетные записи пользователей домена (в этом сценарии для этих учетных записей используются имена "ksc" и "rightless") и добавьте учетные записи в доменную группу KLAdmins.

   Добавьте учетную запись пользователя, под которой будет установлен Kaspersky Security Center, в ранее созданную доменную группу KLAdmins.

2. Подготовка файлового сервера

   Подготовьте файловый сервер к работе в составе отказоустойчивого кластера Kaspersky Security Center. Убедитесь, что файловый сервер соответствует аппаратным и программным требованиям, создайте две общие папки для данных Kaspersky Security Center и настройте права доступа к общим папкам.

   Инструкции: Подготовка файлового сервера для отказоустойчивого кластера Kaspersky Security Center.

3. Подготовка активного и пассивного узлов

   Подготовьте два компьютера с идентичным аппаратным и программным обеспечением для работы в качестве активного и пассивного узлов.

   Инструкции: Подготовка узлов для отказоустойчивого кластера Kaspersky Security Center.

4. Установка системы управления базами данных (СУБД)

   Выберите любую из поддерживаемых СУБД и установите СУБД на выделенный компьютер. Сведения о том, как установить СУБД, см. в документации к ней.

5. Установка Kaspersky Security Center

   Установите Kaspersky Security Center в режиме отказоустойчивого кластера на оба узла. Сначала необходимо установить Kaspersky Security Center на активный узел, а затем установить его на пассивный.

   Также вы можете установить Kaspersky Security Center Web Console на отдельном устройстве, не являющемся узлом кластера.

   Инструкции: Установка Kaspersky Security Center на узлы отказоустойчивого кластера Kaspersky Security Center.

6. Тестирование отказоустойчивого кластера

   Убедитесь, что вы правильно настроили отказоустойчивый кластер и правильно ли он работает. Например, вы можете остановить одну из служб Kaspersky Security Center на активном узле: kladminserver, klnagent, ksnproxy, klactprx или klwebsrv. После остановки службы управление защитой должно быть автоматически переключено на пассивный узел.

Результаты

Отказоустойчивый кластер Kaspersky Security Center развернут. Пожалуйста, ознакомьтесь с событиями, которые приводят к переключению между активными и пассивными узлами.

Об отказоустойчивом кластере Kaspersky Security Center

Отказоустойчивый кластер Kaspersky Security Center обеспечивает высокую доступность Kaspersky Security Center и минимизирует простои Сервера администрирования в случае сбоя. Отказоустойчивый кластер основан на двух идентичных экземплярах Kaspersky Security Center, установленных на двух компьютерах. Один из экземпляров работает как активный узел, а другой – как пассивный. Активный узел управляет защитой клиентских устройств, в то время как пассивный готов взять на себя все функции активного узла в случае отказа активного узла. Когда происходит сбой, пассивный узел становится активным, а активный узел становится пассивным.

Аппаратные и программные требования

Для развертывания отказоустойчивого кластера Kaspersky Security Center у вас должно быть следующее оборудование:

• Два компьютера с одинаковым оборудованием и программным обеспечением. Эти компьютеры будут действовать как активный и пассивный узлы.
• Файловый сервер, поддерживающий протокол CIFS/SMB версии 2.0 или выше. Вы должны предоставить выделенный компьютер, который будет выступать в качестве файлового сервера.

  Убедитесь, что вы обеспечили высокую пропускную способность сети между файловым сервером, активным и пассивным узлами.

• Компьютер с системой управления базами данных (СУБД).

Схемы развертывания

Вы можете выбрать одну из следующих схем развертывания отказоустойчивого кластера Kaspersky Security Center:

• Схема, в которой используется дополнительный сетевой адаптер.
• Схема, в которой используется сторонняя балансировка нагрузки.

  

  Схема, в которой используется дополнительный сетевой адаптер

Условные обозначения схемы:

Сервер администрирования передает данные в базу данных. Откройте необходимые порты на устройстве, на котором расположена база данных, например порт 3306 для MySQL Server или порт 1433 для Microsoft SQL Server. Подробную информацию см. в документации СУБД.

На управляемых устройствах откройте следующие порты: TCP 13000, UDP 13000 и TCP 17000.

Схема, в которой используется сторонняя балансировка нагрузки

Условные обозначения схемы:

На сервере устройства балансировки нагрузки откройте все порты Сервера администрирования: TCP 13000, UDP 13000, TCP 13291, TCP 13299 и TCP 17000.

На управляемых устройствах откройте следующие порты: TCP 13000, UDP 13000 и TCP 17000.

Сервер администрирования передает данные в базу данных. Откройте необходимые порты на устройстве, на котором расположена база данных, например порт 3306 для MySQL Server или порт 1433 для Microsoft SQL Server. Подробную информацию см. в документации СУБД.

Условия переключения

Отказоустойчивый кластер переключает управление защитой клиентских устройств с активного узла на пассивный, если на активном узле происходит любое из следующих событий:

• Активный узел сломан из-за программного или аппаратного сбоя.
• Активный узел был временно остановлен для проведения технических работ.
• По крайней мере, одна из служб (или процессов) Kaspersky Security Center завершилась с ошибкой или была намеренно остановлена пользователем. К службам Kaspersky Security Center относятся: kladminserver, klnagent, klactprx и klwebsrv.
• Сетевое соединение между активным узлом и хранилищем на файловом сервере было прервано или разорвано.

Подготовка файлового сервера для отказоустойчивого кластера Kaspersky Security Center

Файловый сервер работает как обязательный компонент отказоустойчивого кластера Kaspersky Security Center.

Чтобы подготовить файловый сервер:

1. Убедитесь, что файловый сервер соответствует аппаратным и программным требованиям.
2. Убедитесь, что либо файловый сервер и оба узла (активный и пассивный) включены в один домен, либо файловый сервер является контроллером домена.
3. На файловом сервере создайте две общие папки. Один из них используется для хранения информации о состоянии отказоустойчивого кластера. Другая используется для хранения данных и параметров Kaspersky Security Center. Вам нужно будет указать пути к общим папкам при установке Kaspersky Security Center.
4. Предоставьте права полного доступа (как права общего доступа, так и NTFS-разрешения) к созданным общим папкам для следующих учетных записей пользователей и групп:
   • Доменная группа KLAdmins.
   • Учетные записи пользователей $<node1> и $<node2>. Здесь <node1> и <node2> – это имена компьютеров активного и пассивного узлов.

Файловый сервер подготовлен. Чтобы развернуть отказоустойчивый кластер Kaspersky Security Center, следуйте инструкциям этого сценария.

Подготовка узлов для отказоустойчивого кластера Kaspersky Security Center

Подготовьте два компьютера к работе в качестве активного и пассивного узла для отказоустойчивого кластера Kaspersky Security Center.

Чтобы подготовить узлы для отказоустойчивого кластера Kaspersky Security Center:

1. Убедитесь, что у вас есть два компьютера, соответствующих аппаратным и программным требованиям. Эти компьютеры будут действовать как активные и пассивные узлы отказоустойчивого кластера.
2. Убедитесь, что файловый сервер и оба узла включены в один домен.
3. Выполните одно из следующих действий:
   • На каждом из узлов настройте дополнительный сетевой адаптер.

     Дополнительный сетевой адаптер может быть физическим или виртуальным. Если вы хотите использовать физический сетевой адаптер, подключите и настройте его стандартными средствами операционной системы. Если вы хотите использовать виртуальный сетевой адаптер, создайте его с помощью программ сторонних производителей

     Убедитесь, что выполняются следующие условия:

     • Дополнительные сетевые адаптеры выключены.

       Вы можете создать дополнительные сетевые адаптеры в отключенном состоянии или отключить их после создания.

     • Дополнительные сетевые адаптеры на обоих узлах должны иметь одинаковый IP-адрес.
   • Используйте сторонний балансировщик нагрузки. Например, вы можете использовать сервер nginx. В этом случае сделайте следующее:
     1. Предоставьте выделенный компьютер с операционной системой Linux с установленным nginx.
     2. Настройте балансировку нагрузки. Установите активный узел в качестве основного сервера и пассивный узел в качестве резервного сервера.
     3. На сервере nginx откройте все порты Сервера администрирования: TCP 13000, UDP 13000, TCP 13291, TCP 13299 и TCP 17000.
4. Перезагрузите оба узла и файловый сервер.
5. Сопоставьте две общие папки, которые вы создали во время этапа подготовки файлового сервера, к каждому из узлов. Вы должны сопоставить общие папки как сетевые диски. При сопоставлении папок вы можете выбрать любые свободные буквы дисков. Для доступа к общим папкам используйте учетные данные учетной записи пользователя, которую вы создали на шаге 1 сценария.

Узлы подготовлены. Чтобы развернуть отказоустойчивый кластер Kaspersky Security Center, следуйте инструкциям сценария.

Установка Kaspersky Security Center на узлы отказоустойчивого кластера Kaspersky Security Center

Kaspersky Security Center устанавливается на оба узла отказоустойчивого кластера Kaspersky Security Center по отдельности. Сначала вы устанавливаете программу на активный узел, затем на пассивный. Во время установки вы выбираете, какой узел будет активным, а какой пассивным.

Только пользователь из доменной группы KLAdmins может установить Kaspersky Security Center на каждый узел.

Чтобы установить Kaspersky Security Center на активный узел отказоустойчивого кластера Kaspersky Security Center:

1. Запустите исполняемый файл ksc_14.<номер сборки>_full_<язык локализации>.exe.

   Откроется окно с выбором программ "Лаборатории Касперского" для установки. В окне с выбором программ по ссылке Установка Сервера администрирования Kaspersky Security Center 14 запустите мастер установки Сервера администрирования. Следуйте далее указаниям мастера.

2. Внимательно прочитайте Лицензионное соглашение, которое заключается между вами и "Лабораторией Касперского", и Политику конфиденциальности. Если вы согласны со всеми пунктами Лицензионного соглашения и Политики конфиденциальности, в блоке Я подтверждаю, что полностью прочитал, понимаю и принимаю установите флажки:
   • Положения и условия настоящего Лицензионного соглашения
   • Политику конфиденциальности, которая описывает обработку данных

   Установка программы будет продолжена после установки обоих флажков.

   Если вы не согласны с Лицензионным соглашением или Политикой конфиденциальности, то отмените установку программы, нажав на кнопку Отмена.

3. Выберите Первичный узел отказоустойчивого кластера "Лаборатории Касперского", чтобы установить программу на активный узел.
4. В окне Общая папка выполните следующее:
   • В полях Общая папка состояний и Общая папка данных укажите пути к общим папкам, которые вы создали на файловом сервере во время его подготовки.
   • В полях Общая папка состояний диска и Общая папка данных диска выберите сетевые диски, к которым вы подключили общие папки во время подготовки узлов.
   • Выберите режим подключения кластера: через дополнительный сетевой адаптер или сторонний балансировщик нагрузки.
5. Выполните другие шаги выборочной установки, начиная с шага 3.

   На шаге 13 укажите IP-адрес дополнительного сетевого адаптера, если вы создали адаптер, во время подготовки узлов кластера. В противном случае введите IP-адрес стороннего балансировщика нагрузки, который вы используете.

Программа Kaspersky Security Center установлена на активном узле.

Чтобы установить Kaspersky Security Center на пассивный узел отказоустойчивого кластера Kaspersky Security Center:

1. Запустите исполняемый файл ksc_14.<номер сборки>_full_<язык локализации>.exe.

   Откроется окно с выбором программ "Лаборатории Касперского" для установки. В окне с выбором программ по ссылке Установка Сервера администрирования Kaspersky Security Center 14 запустите мастер установки Сервера администрирования. Следуйте далее указаниям мастера.

2. Внимательно прочитайте Лицензионное соглашение, которое заключается между вами и "Лабораторией Касперского", и Политику конфиденциальности. Если вы согласны со всеми пунктами Лицензионного соглашения и Политики конфиденциальности, в блоке Я подтверждаю, что полностью прочитал, понимаю и принимаю установите флажки:
   • Положения и условия настоящего Лицензионного соглашения
   • Политику конфиденциальности, которая описывает обработку данных

   Установка программы будет продолжена после установки обоих флажков.

   Если вы не согласны с Лицензионным соглашением или Политикой конфиденциальности, то отмените установку программы, нажав на кнопку Отмена.

3. Выберите Вторичный узел отказоустойчивого кластера "Лаборатории Касперского", чтобы установить программу на пассивный узел.
4. В окне Общая папка в поле Общая папка состояний укажите путь к общей папке с информацией о состоянии кластера, который вы создали на файловом сервере во время его подготовки.
5. Нажмите на кнопку Установить. После завершения установки нажмите на кнопку Готово.

Программа Kaspersky Security Center установлена на пассивный узел. Теперь вы можете протестировать отказоустойчивый кластер Kaspersky Security Center, чтобы убедиться, что вы корректно его настроили и кластер работает правильно.

Запуск и остановка узла кластера вручную

Вам может потребоваться остановить весь отказоустойчивый кластер Kaspersky Security Center или временно отключить один из узлов кластера для обслуживания. В этом случае следуйте инструкциям этого раздела. Не пытайтесь запускать или останавливать службы или процессы, связанные с отказоустойчивым кластером, с помощью других средств. Это может привести к потере данных.

Запуск и остановка всего отказоустойчивого кластера для обслуживания

Чтобы запустить или остановить весь отказоустойчивый кластер:

1. На активном узле перейдите в папку <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
2. Откройте командную строку и выполните одну из следующих команд:
   • Чтобы остановить кластер, выполните: klfoc -stopcluster --stp klfoc
   • Чтобы запустить кластер, выполните: klfoc -startcluster --stp klfoc

Отказоустойчивый кластер запускается или останавливается в зависимости от команды.

Обслуживание одного из узлов

Для обслуживания одного из узлов:

1. На активном узле остановите отказоустойчивый кластер с помощью команды klfoc -stopcluster --stp klfoc.
2. На узле, который вы хотите обслуживать, перейдите в папку <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
3. Откройте командную строку и отключите узел от кластера, выполнив команду detach_node.cmd.
4. На активном узле запустите отказоустойчивый кластер с помощью команды klfoc -startcluster --stp klfoc.
5. Выполните работы по техническому обслуживанию.
6. На активном узле остановите отказоустойчивый кластер с помощью команды klfoc -stopcluster --stp klfoc.
7. На обслуживаемом узле перейдите в папку <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
8. Откройте командную строку и подключите узел к кластеру, выполнив команду attach_node.cmd.
9. На активном узле запустите отказоустойчивый кластер с помощью команды klfoc -startcluster --stp klfoc.

Узел обслуживается и подключается к отказоустойчивому кластеру.