В процессе своей трудовой деятельности, начиная от заместителя руководителя по ИТ в крупной образовательной организации и заканчивая ведущим инженером одной из компаний РФ, стоящих на острие современных решений кибербезопасности – меня всегда озадачивал вопрос отказоустойчивости периметрального решения компании или учреждения. При этом хотелось попасть в идеальный баланс между целесообразностью выстраиваемой архитектуры и отсутствием избыточности решения.
Говоря про периметральные NGFW, если отбросить вопрос их корректной настройки инженером и штатного функционирования бекендов, основным способом обеспечения отказоустойчивости является построение кластера из нескольких экземпляров устройств, которые функционируют как единое целое. При этом существуют два принципиально разных варианта реализации – это кластер Active|Passive (A|P) и кластер Active | Active (A|A).
Сегодня я хотел бы поговорить о том, какой тип кластеризации подходит больше к какому типу сети/компании/контекста использования, а также какие преимущества и недостатки имеются у каждого из них.
Кластеризация в режиме Active|Passive представляет собой технологию объединения двух NGFW устройств (каждое из которых будет называться нодой) в единый логический элемент сети (кластер) для обеспечения высокого уровня отказоустойчивости и доступности.
Фактически за счет дублирования физического устройства при этом устраняется проблема «единой точки отказа», когда при выходе из строя узла (как самого NGFW, так и сетевого интерфейса, линка к сетевому интерфейсу) кластер продолжает обрабатывать трафик без прерываний прозрачно для пользователя и сервисов, приложений.
Переключение при этом происходит автоматически и, например в решении Ideco NGFW Novum, при построении кластера с синхронизацией сессий при пропадании линка между нодами переключение происходит моментально.
Другим плюсом применения кластера NGFW типа Active-Passive в контексте отказоустойчивости соединений является свойство прозрачности для VPN и клиентов. Обуславливается это тем, что NGFW кластер используется как единая точка в VPN конфигурациях, клиенты видят лишь один IP адрес (доменное имя, которое разрешается в один IP адрес) и получают устойчивые клиентские сессии даже при смене активного узла в случае появления на нем признаков неисправности. Аналогичное утверждение справедливо и к IPSEC соединениям / VPN c Гост криптографией, обеспечивающими создание криптографически защищенных каналов Site-to-Site VPN между офисами компании.
Предлагаю чуть подробнее рассмотреть архитектуру кластеризации Active-Passive на примере Ideco NGFW Novum: кластер собирается из двух нод, активной при этом является нода, обрабатывающая трафик в данный момент, резервной – нода, которая находится в предзагруженном состоянии (hot standby) и непрерывно отслеживает состояние активной ноды, по необходимости переводя текущие задачи обработки трафика на себя без вмешательства администратора. При этом в конкретный момент времени трафик обрабатывает только одна из нод, возможности административного переключения при этом не предусмотрено. При создании кластера между активной и пассивной нодами устанавливается линк кластерной сети (heartbeat link), представляющий физический канал, под который у каждой из нод резервируется по одному физическому порту. Участвующие же в сетевом взаимодействии интерфейсы, в том случае если их адреса настроены вручную, имеют общи�� IP адреса на их сопоставленных парах. При этом нет «плавающих» IP адресов. В случае же автоматической конфигурации по DHCP адреса будут отличаться в зависимости от ноды.
После успешного создания кластера при синхронизации двух экземпляров NGFW данные активной ноды копируются в резервную ноду. Они включают в себя метаданные конфигурации, таблицы сессий, ключи VPN и прочие критичные параметры. Синхронизация данных происходит регулярным образом автоматически в фоновом режиме раз в три минуты, при этом на пассивной ноде отключается сервис создания автоматических бэкапов, поскольку все бэкапы с активной ноды передаются на резервную в момент обмена данными и заменяют те бэкапы, которые там присутствовали ранее. В результате всего этого комплекса действий резервная нода постоянно синхронизирована и готова к мгновенному переключению. При переключении резервная нода будет иметь актуальные политики, сессии, пользовательские подключения и пр. Для проверки статуса текущей ноды или состояния резервной администратор или сетевой инженер могут использовать терминал.
Механизм обновления решения также вписан в работу кластера с учетом его архитектуры: при обновлении в кластере сначала обновляется активная нода, а затем резервная с младшей версией принудительно станет активной для обновления до версии активной ноды. При этом существует ряд защитных механизмов. Например, обновление активной ноды кластера блокируется, если она не синхронизирована с резервной нодой или с момента последней синхронизации прошло более 30 минут. Нода с младшей версией сможет обновиться без наличия синхронизации.
Исходя из опыта большого числа интеграций в инфраструктуру клиентов я рекомендую сетевым специалистам обратить внимание на следующие технические нюансы, которые важно учитывать при эксплуатации решений с кластеризации Active-Passive:
в случае различных размеров накопителей могут возникать проблемы с синхронизацией из-за нехватки места, в следствии чего рекомендуется использовать однотипные накопители;
использование HDD на одной из нод или на обоих нодах кластера может привести к значительному времени первичной синхронизации;
в том случае, если у провайдера имеется привязка к MAC-адресу, то после переключения нод будет отсутствовать доступ в интернет.
В целом ARP/MAC failover, же кластеризация Active-Passive удобна за счет прос��оты и предсказуемости такого решения. Данная архитектура проще в настройке, меньше риск ассиметричного хождения трафика, сессии при наступлении критического состояния активной ноды сохраняются и для пользователя переключение обработки трафика на пассивную ноду происходит совершенно прозрачно. Кластеризацию данного типа для периметральных NGFW можно рекомендовать для любых государственных организаций, сетей компаний от малой до крупного enterprise, образовательных учреждений и пр. Все указанные варианты клиентов – целевая аудитория, успешно эксплуатирующая Ideco NGFW на своих периметрах уже много лет.
Для чего же тогда, для каких конкретных целей существует кластеризация Active – Active? Что она представляет собой? Что мы не можем закрыть архитектурой кластера типа A|P?
Кластеризация типа Active-Active в NGFW представляет собой вариант работы 2-х (и более) НОД, когда они одновременно обрабатывают пользовательский трафик. В отличие от A|P, когда одна нода находится в горячем резерве, здесь обе ноды используются параллельно.
Чаще всего причиной сборки кластера типа A|A является необходимость масштабирования производительности. Одна нода (какой бы не была мощной ее начинка) может упереться в CPU, пропускную способность, лимит по сессиям. Распределение нагрузки между несколькими устройствами NGFW позволяет увеличить совокупную производительность такого кластера. Важно понимать, что кластер типа A|A не дает линейное увеличение производительности с увеличением числа нод, поскольку все равно часть нагрузки будет уходить на синхронизацию состояний, служебный обмен между нодами кластера, контроль целостности сессий и прочие накладные расходы.
При этом архитектурно Active-Active кластер также может реализовываться несколькими способами:
В одном случае это фактически балансировка на уровне сессий, когда новые соединения распределяются между нодами. Он обычно выбирается для инфраструктур с большой плотностью трафика, ресурсоемкими механизмами его обработки.
В другом – это логическое деление нагрузки, например по VLAN или зонам. Такой вариант более предсказуем и устойчив, поскольку фактически представляет собой разделение ответственности между нодами и снижает риски асимметричной маршрутизации.
При этом следует помнить и о недостатках данного варианта архитектуры кластера: это и риск ассиметричного трафика (например, когда исходящий пакет выйдет через одну ноду, а ответный придет через другую), необходимость продуманной маршрутизации, согласованной работы с сопутствующими технологиями, такими как ECMP.
Целевым клиентом для кластеризации NGFW типа A|A являются например дата центры. В этом случае наличие нескольких пограничных устройств позволяет корректно обрабатывать распределенные потоки, в мультиконтекстных средах. Другие кейсом являются сервис-провадеры, когда имеется потребность изоляции групп клиентов и равномерного распределения ресурсов.
A|A прежде всего следует рассматривать как инструмент масштабирование и оптимизации, а не просто способ повысить отказоустойчивость. В классических корпоративных сетях без явного дефицита ресурсов более рациональным является использовать традиционный Active-Passive, оставив Active-Active для построения сценариев, где его архитектурные преимущества действительно востребованы и соотносятся со сложностью сети.
Кстати, в данной статье в качестве примера функционирования кластера Active-Passive мы рассматривали отечественное решение Ideco NGFW Novum, согласно текущему RoadMap второй вариант архитектурной реализации кластера Active-Active запланирован у разработчиков данного NGFW на Q4 2026, что позволит ему эффективно использоваться еще в большем числе кейсов.
А какой тип кластеризации используете вы для обеспечения отказоустойчивости периметрального NGFW вашей компании?
