Когда сбой — не катастрофа: настраиваем отказоустойчивый кластер Usergate NGFW

[it_foundation]

У многих кластер ассоциируется с «поставили две коробки, включили VRRP - и готово». А потом начинается паника, когда при первом же фейловере сеть падает, потому что никто не продумал IP-план, зоны и роли.
UserGate в этом смысле реально вырос. Раньше VRRP у него был капризный, а сейчас можно строить вполне стабильные Active/Passive-конфигурации. Active/Active всё ещё требует осторожности, но зато есть гибкость, которой не хватает у «Континента» или ViPNet.

[SamDurak]

Ух ты... Типа работает? И даже на железных UG. и может больше недели не падать медным тазиком кластер? Видимо сотни обращений клиентов, что в кластере не работает... Юридические отделы готовящие претензии насчёт несоответствия заявленным характеристикам ... Не увидел а какая версия UG 7.4.2?

[Hamitka]

Ох, прекрасно Вас понимаю

UG и отказоустойчивость это антонимы, сильно сожалею о потраченных средствах компании на этого производителя, а также тонны человеко-часов разбирательств, связанных с неработоспособностью.

И этот принцип "часть действий может проделать только ТПК" - просто вымораживает.

[n_bogdanov]

Ещё бы сами железки не умирали и вообще классно будет. Даже 3х лет не отработали

[pali4123]

Ненене. Сначала нужно обновиться до версии 7.100500. Иначе баг на баге багом погоняет. Включенное правило само по себе перестает пропускать целевой трафик. А если удумаете ноаый SVI поднять в рабочее время, сможете положить прод, запросто.

Про бэкапы на фтп с нод кластера молчу......

[itGuevara]

Какие-то методики и примеры расчета надежности есть?

[the_algebra]

Мое личное мнение: надежность и UG вещи несовместимые. Почитайте release notes раздел исправлено.

[id_Alex]

цифровой вышибала на входе в вашу сеть, который проверяет не только «паспорт» (IP-адрес), но и «содержимое карманов» (данные приложений).

За юмор - спасибо. А как быть если в карманах пусто или непонятно что (ну там https например)? Сразу вышибить не допуская в сеть?!