Sophos: SSH Befehle für HA Verwaltung

Sophos: SSH Befehle für HA Verwaltung

Auszug aus der Sophos Doku:

<p“>Overview

If you are using High Availability you have different Shellprompts depending on the type of your node:

<M>: Node is master
<S>: Node is slave

<W>: Node is worker

High Availability command line tools

ha_daemon -c help : help

ha_daemon -c status : status information, like fifo output

ha_daemon -c takeover : start manual takeover

ha_daemon -c up2date VERSION : start up2date to VERSION

ha_daemon -c build : print running ha_daemon build info

ha_daemon build : print ha_daemon build info

ha_daemon build verbose : print verbose ha_daemon build info sethacfg: shows current HA/Cluster config

sethacfg -help: shows help

sethacfg -m off: disables ha/cluster

ha_utils status: Show HA/Cluster status overview

ha_utils debug ipsec on/off: Enable/Disable IPSec HA debug

ha_utils ssh: Connect to slave/workers

ha_utils verbose cluster on/off: Enable/Disable verbose messages

</p“>

 

Quelle: https://community.sophos.com/kb/en-us/115616


Erstellen eines Sophos HA Clusters auf Basis ESXI

HA können nur die selben Typ/System erstellen (kein Physisch/Virtuell, oder ASG 220/230).

Es kann dann Lizensierungsmodell gewechselt werden auf Virtuell. Dann kann ein Server auf einem ESXI laufen, der zweite Knoten läuft dann ebenfalls unter ESXI auf einem weiteren System.

Ich verwende hierzu beispielsweise DELL T20. Bei kauf jedoch auf folgendes achten:

  • Netzwerkkarte nicht kompatibel (kann durchgereicht werden, z.B. für HA)
  • Entsprechende Anzahl weiterer Netzwerkkarten (z.B. Intel Pro 1000E, PCIe) besorgen
  • Bis 32 GB Ram, ECC und nicht ECC können gemischt werden.
  • Kein CD Rom zur Installation vorhanden, entweder Stick verwenden oder USB CD Rom verwenden.
  • Wenn 4 GB vorhanden, muss das System erweitert werden – da der Videoram abgezogen wird und die Installation abbricht.

Nun die Konfiguration:

  • Auf dem bestehenden Sophos HA deaktivieren und eine Sicherung von der aktuellen Konfiguration sichern.
  • Sicherheitshalber noch ein Snapshot erstellen.
  • Der Dell wird mit dem ESXI Dell Image installiert und lizensiert.
  • Danach die Netzwerke einrichten (leere Netzwerke mit eigenen vSwitchen ohne Netzwerkkarten auffüllen).
  • Die neue VM mit den selben Daten erstellen wie die vorhandene VM (Suse Open Server 11 – 64 Bit, VMXNET3 Adapter, Kerne, Raum, HDD, LSI Controller, VM Version 8).
  • Die vorhandene VM updaten auf den selben Stand wie das Installationsiso der neuen VM.
  • Auf dem ESXI im Datastore einen Ordner INSTALL erstellen und das Sophos ISO reinkopieren.
  • Das ISO in der neuen VM als CD einbinden und verbinden.
  • Installieren und konfigurieren (andere IP und anderer Hostname verwenden, keine Lizenz angeben).
  • Schauen das ETH3 (also 4 Netzwerkkarte) beide VMs verbunden sind (wenn nur 100 Mbit, dann mit Crossoverkabel – bei Gigabit nicht benötigt).
  • Auf der alten VM nun HA aktivieren.
  • Beide sollten sich synchronisieren, Status kann in den HA Logs kontrolliert werden.
  • Läuft der HA einwandfrei (kontrollieren mit Neustarts usw.), kann der Snapshot gelöscht werden.

 

Hinweis: Sollten Probleme mit ARP Spoofing usw. bestehen, die Einstellungen in dem entsprechenden vSwitchen prüfen im Register Sicherheit.

 

Sophos UTM Isos: https://www.sophos.com/en-us/support/utm-downloads.aspx 

Dell Image: http://www.dell.com/support/home/us/en/19/Drivers/DriversDetails?driverId=YGH6K 

Weitere Informationen: http://fastvue.co/sophos/blog/how-to-build-a-sophos-utm-high-availability-ha-cluster-in-hyper-v/