High Availability (HA): Tính sẵn sàng cao: khả năng của một hệ thống hoặc dịch vụ duy trì hoạt động liên tục mà không bị gián đoạn trong một khoảng thời gian dài kể cả khi gặp sự cố. Mục tiêu của HA là giảm thiểu tối đa thời gian chết (downtime). Bài viết sẽ hướng dẫn cấu hình các chế độ trong mô hình HA là active/active cũng như active/standby trong nhiều trường hợp.
II. Cấu hình
Chuyển đổi tự động: khi node active sập vẫn sẽ đảm bảo kết nối được duy trì nhờ cơ chế chuyển đổi tự động đưa node standby lên
Cân bằng tải: phân phối lưu lượng đến toàn bộ node trong cụm HA
Đồng bộ trạng thái: các heartbeat interface giữa các node trong cụm liên tục trao đổi nhau đảm bảo khi gặp sự cố đường truyền vẫn ổn định
- 2 kiến trúc chính trong HA là Active/Standby và Active/Active
- Yêu cầu:
+ Các firewall cần cùng đồng nhất về phiên bản
+ Cấu hình các interface, cổng vật lý cần giống nhau
+ Đặt group và mật khẩu giống nhau khi cấu hình
+ Cần ít nhất một kết nối giữa các firewall trong hệ thống HA (cổng heartbeat) để trao đổi trạng thái và đồng bộ cấu hình
Mô hình dùng cho triển khai 3 kịch bản: active/active 2 node, active/active 3 node và active/passive 2 node
- Fw1 và Fw2 cho 2 kịch bản 2 node, Fw3, Fw4, Fw5 cho kịch bản 3 node active.
- Lớp mạng 192.168.10.0/24 cho mạng nội bộ kịch bản 2 node, 192.168.30.0/24 cho kịch bản 3 node, 192.168.20.0/24 là lớp mạng cho máy Window kết nối đến các firewall để chạy giao diện web.
Yêu cầu:
- Cấu hình để các PC trong mạng LAN có thể ra ngoài internet.
- Cấu hình fw1 làm primary cho 2 kịch bản active/active, active/passive của mô hình 2 node, fw3 làm primary cho kịch bản 3 node
- Kiểm tra tính đồng bộ và đảm bảo kết nối giữa các firewall trong mô hình
Vào System/HA trên cả 2 fw 1 và 2, lúc này chế độ chạy độc lập đang mặc định là Standalone
Đổi sang Active/active:
- Đặt độ ưu tiên ở node fw1 cao hơn -> trở thành primary.
- Tên nhóm và mật khẩu cần giống nhau ở 2 node.
- Session pickup: đồng bộ các phiên liền mạch mà không gián đoạn kết nối từ node phụ sang node chính.
- Các giao diện giám sát: các cổng cần dự phòng, chuyển đổi khi gặp sự cố: các cổng LAN, WAN.
- Giao diện heartbeat: cổng giữa các node trong mô hình.
Làm tương tự ở fw2, kiểm tra tính đồng bộ sau khi cấu hình (cần chờ một lúc để có thể đồng bộ)
Ping kiểm tra trên PC1 trước và sau khi tắt tạm thời fw1
Kiểm tra tính đồng bộ
Ping kiểm tra trước và sau khi ngắt đi kết nối của fw1
Đặt độ ưu tiên trên fw3 cao nhất để làm primary
Khi tắt fw3, fw5 nhảy lên làm primary
Ping kiểm tra trước và sau khi tắt fw3 đều thành công
Mục lục
I. HAII. Cấu hình
1. Mô hình
2. Cấu hình chi tiết
2. Cấu hình chi tiết
2.1 Active/active 2 node
2.2 Active/standby 2 node
2.2 Active/standby 2 node
2.3 Active/active 3 node
I. HA
- Nguyên lý hoạt động:Chuyển đổi tự động: khi node active sập vẫn sẽ đảm bảo kết nối được duy trì nhờ cơ chế chuyển đổi tự động đưa node standby lên
Cân bằng tải: phân phối lưu lượng đến toàn bộ node trong cụm HA
Đồng bộ trạng thái: các heartbeat interface giữa các node trong cụm liên tục trao đổi nhau đảm bảo khi gặp sự cố đường truyền vẫn ổn định
- 2 kiến trúc chính trong HA là Active/Standby và Active/Active
Đặc điểm | Active/Standby | Active/Active |
Cơ chế | Chỉ thiết bị Active được dùng, standby dự phòng không tham gia | Tất cả node active đều hoạt động |
Tối ưu tài nguyên | Kém hơn vì chỉ 1 node active gánh toàn bộ lưu lượng | cân bằng tải tốt hơn vì lưu lượng chia đều cho các node active |
Cách thức chuyển đổi | Khi node active gặp sự cố, node standby lên thay thế | Khi một node active gặp sự cố, lưu lượng của nó được phân bổ lại cho (các) node active còn lại. |
+ Các firewall cần cùng đồng nhất về phiên bản
+ Cấu hình các interface, cổng vật lý cần giống nhau
+ Đặt group và mật khẩu giống nhau khi cấu hình
+ Cần ít nhất một kết nối giữa các firewall trong hệ thống HA (cổng heartbeat) để trao đổi trạng thái và đồng bộ cấu hình
II. Cấu hình
1. Mô hình

Mô hình dùng cho triển khai 3 kịch bản: active/active 2 node, active/active 3 node và active/passive 2 node
- Fw1 và Fw2 cho 2 kịch bản 2 node, Fw3, Fw4, Fw5 cho kịch bản 3 node active.
- Lớp mạng 192.168.10.0/24 cho mạng nội bộ kịch bản 2 node, 192.168.30.0/24 cho kịch bản 3 node, 192.168.20.0/24 là lớp mạng cho máy Window kết nối đến các firewall để chạy giao diện web.
Yêu cầu:
- Cấu hình để các PC trong mạng LAN có thể ra ngoài internet.
- Cấu hình fw1 làm primary cho 2 kịch bản active/active, active/passive của mô hình 2 node, fw3 làm primary cho kịch bản 3 node
- Kiểm tra tính đồng bộ và đảm bảo kết nối giữa các firewall trong mô hình
2. Cấu hình chi tiết
2.1 Active/active 2 node
Chi tiết về các cấu hình tối thiểu cần thiết cho đường đi từ PC1 (LAN) ra internet đã có: ip trên 2 cổng WAN, LAN; định tuyến tĩnh ra WAN; policy cho phép,... xem lại ở bài viết trước, bài viết này chỉ tập trung vào cấu hình high availability.Vào System/HA trên cả 2 fw 1 và 2, lúc này chế độ chạy độc lập đang mặc định là Standalone

Đổi sang Active/active:
- Đặt độ ưu tiên ở node fw1 cao hơn -> trở thành primary.
- Tên nhóm và mật khẩu cần giống nhau ở 2 node.
- Session pickup: đồng bộ các phiên liền mạch mà không gián đoạn kết nối từ node phụ sang node chính.
- Các giao diện giám sát: các cổng cần dự phòng, chuyển đổi khi gặp sự cố: các cổng LAN, WAN.
- Giao diện heartbeat: cổng giữa các node trong mô hình.

Làm tương tự ở fw2, kiểm tra tính đồng bộ sau khi cấu hình (cần chờ một lúc để có thể đồng bộ)

Ping kiểm tra trên PC1 trước và sau khi tắt tạm thời fw1

2.2 Active/standby 2 node
Dùng chung mô hình, chỉ thay đổi lúc chọn chế độ từ active/active sang active/standby
Kiểm tra tính đồng bộ

Ping kiểm tra trước và sau khi ngắt đi kết nối của fw1

2.3 Active/active trên 3 node
Đặt độ ưu tiên trên fw3 cao nhất để làm primary

Khi tắt fw3, fw5 nhảy lên làm primary

Ping kiểm tra trước và sau khi tắt fw3 đều thành công


Bài viết liên quan
Bài viết mới