Централизованное управление
Central Management System – система централизованного управления распределенной инфрастурктурой сетевых шлюзов Traffic Inspector Next Generation.
В рамках инфраструктуры, шлюз Traffic Inspector Next Generation может выполнять одну из двух ролей:
Мастер-узел (master node) – шлюз Traffic Inspector Next Generation, устанавливаемый в центральном офисе учреждения. Мастер-узел позволяет осуществлять централизованное администрирование, диагностику и сбор данных с сетевых шлюзов, расположенных в удаленных офисах.
Подчиненный узел (slave node) – шлюз Traffic Inspector Next Generation, устанавливаемый в каждом из удаленных офисов учреждения. Подчиненный узел получает свои настройки от назначенного мастер-узла. Подчиненный узел полностью контролирует и защищает сетевое взаимодействие между компьютерами удаленного офиса и сетью Интернет.
В процессе развертывания, администратор осуществляет настройки на каждом из узлов будущей инфраструктуры. Подчиненные узлы подготавливаются для взаимодейcтвия с мастер-узлом. На мастер-узле производится регистрация подчиненных узлов. Сетевое взаимодействие между мастер-узлом и подчиненным узлом осуществляется по защищенным соединениям. После настройки инфраструктуры, администратор может инициировать передачу настроек на выбранный подчиненный узел и получать диагностические сообщения с подчиненных узлов.
Примечание
Только один шлюз может выступать в качестве мастер-узла в инфраструктуре. Количество подчиненныех узлов не ограничено. Мастер-шлюз может совмещать функции центра управления для удаленных шлюзов и функции обычного контролирующего шлюза.
Настройка подчиненного нода
Активация лицензии
Активируйте лицензию согласно инструкции Начало работы с Traffic Inspector Next Generation: Активация лицензии.
Примечание
Активированная лицензия необходима для доступа к репозиторию и установки плагинов.
Установка плагина os-cms-node
Пройдите в раздел Система -> Прошивка -> Обновления, и нажмите Проверить наличие обновлений. Нажмите на иконку + напротив плагина os-cms-node для его установки.
Настройка параметров подчиненного узла
Пройдите в раздел Система -> Доступ -> Узел CMS и осуществите настройку параметров подчиненного узла.
Установите флажок Включить доступ к CMS для активации функционала подчиненного узла.
В поле Интерфейс выберите интерфейс, через который подчиненный узел будет взаимодействовать с мастер-узлом.
В поле CMS мастер ограничение адресов можно ограничить возможность подключения мастер-узла только с обозначенных IP-адресов.
В результате осуществленных настроек подчиненный узел подготавливается для входящих подключений от мастер-узла. В частности, в сетевой экран подчиненного узла добавляются два правила для доступа по протоколам HTTPS и SSH (указанный IP-адрес будет отличаться в вашем случае):
pass in quick on igb1 inet proto tcp from any to 10.1.1.161 port = https flags S/SA keep state label "Allow CMS access on HTTPS"
pass in quick on igb1 inet proto tcp from any to 10.1.1.161 port = ssh flags S/SA keep state label "Allow CMS access on SSH"
Настройка мастер-узла
Установка сертификата для доступа к репозиторию
Активируйте лицензию согласно инструкции Начало работы с Traffic Inspector Next Generation: Активация лицензии.
Примечание
Активированная лицензия необходима для доступа к репозиторию и установки плагинов.
Установка плагина os-cms-master
Пройдите в раздел Система -> Прошивка -> Обновления, и нажмите Проверить наличие обновлений. Нажмите на иконку + напротив плагина os-cms-master для его установки.
Примечание
Для успешной установки плагина в вашем устройстве должен быть установлен лицензионный сертификат.
Создание служебного пользователя для инфраструктуры
Пройдите в раздел CMS -> Узлы и осуществите настройку параметров подчиненного нода.
Нажмите на кнопку Выбрать учетную запись администратора CMS.
Укажите логин, например, cmsadmin и пароль.
Примечание
Это служебный пользователь, который будет присутствовать на всех узлах в инфраструктуре. Под этим пользователем мастер логинится на подчиненные узлы и управляет ими. Служебный пользователь не должен совпадать с локальными пользователями, существующими на мастер-узле.
Создание ключей для туннеля
Нажмите на кнопку Создать ключи идентификации туннеля. Произойдет генерация SSH-ключей для туннеля.
Добавление подчиненных узлов на мастер-узле
Произведите добавление подчиненных узлов на мастер-узле. Для этого, кликните на значок +.
В окне добавления подчиненного узла, нужно задать ряд настроек:
Поле Хост узла. В данном поле указывается IP-адрес или DNS-имя подчиненного узла.
Поле HTTPS-порт узла. В данном поле указывается номер HTTPS-порта, который слушает веб-сервер на подчиненном узле. По HTTPS-каналу осуществляется работа с веб-интерфейсом подчиненного узла, и передаются команды на подчиненный узел. Соединение по HTTPS открывается только тогда, когда в web-интерфейсе на мастере нажимается какая-либо кнопка, связанная с получением или передачей информации на подчиненный узел. После передачи соединение сразу же закрывается.
Поле Интерфейс для связи с узлом. В данном поле указывается через какой интерфейс мастер-узел будет подключаться к подчиненному узлу.
Поле Номер порта SSH. В данном поле указывается номер SSH-порта, который слушает служба sshd на подчиненном узле. По SSH-каналу туннелируются сообщения от syslog службы подчиненного узла. Соединение по SSH постоянно находится в установленном состоянии.
Поле Номер порта для регистрации туннеля. В данном поле указывается номер порта, который будет использован для туннелирования syslog-сообщений.
Поле Имя администратора узла. В данном поле указывается имя пользователя-администратора, существующего на подчиненном устройстве.
Поле Пароть администратора узла. В данном поле указывается пароль пользователя-администратора, существующего на подчиненном устройстве.
Примечание
При первой попытке добавить подчиненный узел на мастер-узле, производится генерация сертификата. Данный сертификат нужно экспортировать из раздела Система -> Доверенные сертификаты -> Сертификаты и импортировать в такой же раздел на подчиненном узле. Далее, на подчиненном узле, импортированный сертификат нужно настроить для использования в веб-GUI (раздел Система -> Настройки -> Администрирование, поле Cертификат SSL).
Примечание
В процессе настроек на мастер-узле, мы дважды задавали имя пользователя и пароль: (1) в общих настройках мастер-узла и (2) в настройках каждого добавляемого подчиненного узла. Данные учетные записи используются следующим образом.
Учетная запись в общих настройках мастер-узла
Здесь настраивается служебный пользователь, необходимый для функционирования CMS. Служебный пользователь будет создан на всех узлах, добавленных в инфраструктуру. Служебный пользователь не должен совпадать с локальными пользователями, существующими на мастер-узле.
Служебный пользователь появляется на подчиненном узле при нажатии на кнопку «Сохранить изменения» в диалоговом окне добавления подчиненного узла (см. ниже). Если в этот момент подчиненый узел был недоступен, то нужно будет удалить созданный подчиненный узел и повторить его добавление заново.
Учетная запись в настройках добавляемого подчиненного узла
Здесь указывается логин / пароль пользователя-администратора на подчиненном узле. Мастер-узел использует данный логин / пароль однократно, для того, чтобы создать на подчиненном узле служебного пользователя.
Установка SSH-туннеля между мастер-узлом и подчиненным узлом
В результате удачного добавления подчиненного узла, он будет отображен в интерфейсе со статусом online.
После добавления подчиненного узла, нужно установить туннель между мастер-узлом и подчиненым узлом. Для этого, в разделе CMS -> Узлы нужно выбрать запись, соответствующую нужному подчиненному узлу, и нажать на иконку в виде молнии в колонке tunnel.
После успешной установки туннеля в колонке tunnel должен отобразится зеленый чекбокс.
Использование возможностей удаленного администрирования
Просмотр журналов с подчиненных устройств
После установки SSH-туннеля между мастер-узлом и подчиненным узлом, с последнего на первый начинают приходить syslog-сообщения, которые можно просматривать в разделе CMS -> Журналы.
Передача настроек на подчиненные узлы
Из раздела CMS -> Инструмент клонирования конфигурации можно осуществлять передачу настроек от мастер-узла подчиненным узлам.
На следующем скриншоте демонстрируются настройки для передачи правил фильтрации:
Поле Источник конфигурации. В данном поле указывает узел-источник настроек.
Поле Раздел конфигурации. В данном поле указывается секция конфигурационного файла, подлежащая передаче.
Поле Выбор элементов. В данном поле можно выбрать отдельные элементы из секции конфигурационного файла.
Поле Целевой узел для отправки. В данном поле указывается узел-получатель настроек (подчиненный узел).
Кнопка Показать выбранный раздел. Данная кнопка позволяет просмотреть выбранную секцию конфигурационного файла в текстовом виде.
Кнопка Отправить выбранный раздел узлам. Данная кнопка инициирует отправку настроек на узел-получатель.
Просмотр сертификатов
В разделе CMS -> Сертификаты можно увидеть сводную таблицу сертификатов с подчиненных узлов.
Отображаются CORE сертификаты (сертификаты на базовое ПО Traffic Inspector Next Generation) и сертификаты на модули.
Установка плагинов
В разделе CMS -> Плагины можно осушествить удаленную установку плагинов на подчиненном узле.
Для этого нужно установить чекбокс на пересечении идентификатора нужного подчиненного узла и имени нужного плагина.
Просмотр отчетов по веб-прокси
В разделе CMS -> Отчеты по веб-прокси можно осушествить просмотр отчетов по работе веб-прокси на удаленных узлах.
Установка обновлений
В разделе CMS -> Обновления можно осушествить удаленную установку обновлений на подчиненном узле.
Для того, чтобы инициировать обновление на подчиненном узле, нужно нажать на кнопку в колонке update.
Просмотр состояния удаленных узлов
В разделе CMS -> Состояние можно осушествить просмотр дешборда выбранного удаленного узла.