【堡垒机】【HA】HA部署配置指导

所甜甜发表于:2021年04月01日 11:33:57更新于:2021年04月01日 11:50:20

【问题描述】

堡垒机HA部署指导

【适用场景】

通用

【原因分析】

堡垒机HA部署比较复杂

【解决办法】

★两台新堡垒机搭建HA的前提条件★:

  1. 主、备堡垒机的时间保持一致,误差越小越好

  2. 主备堡垒机版本相同(“系统”→关于系统→“设备系统”)

  3. 两台堡垒机业务口IP地址处于同一网段,网络互通

  4. 主、备HA服务端口互通,主、备 tcp的22、31036、31679、31873端口出入方向都要放通


4.1  在两台机器上将网卡地址配置好,如下图

主机网卡配置:

image.png


备机网卡配置:

image.png


     

配置完ip地址之后,做一下连通性测试,在“系统”→“系统维护”→“网络诊断”中,用主机ping备机的ip地址。正常则都能通。

HA会实时同步mysql数据、Redis数据、审计数据等重要数据。2秒检测一次心跳状态。

标准HA实施流程为业务流量和数据同步流量分离,分别经过业务网口和心跳网口传输。

另:若只为测试使用,也可将业务口与心跳口选择为同一个,但是该方案对网卡性能负载较大。

4.2  3.3.8.0及之后版本搭建HA,可以直接申请普通授权。不需要专门申请HA授权。

3.3.8.0之前版本分别登录到主机和备机,下载授权申请码,如下图。

image.png

此时得到主备两端的授权申请码,将两个授权申请码文件发送到相关人员,获取到一个许可文件。将得到的一个许可文件分别导入到主机和备机。完成设备授权步骤。

4.3  登录主机,进入“系统”→“系统配置”→“HA配置”,如下图。

修改HA状态为“启用”,节点角色选“主节点”。

填写备节点IP地址(心跳口地址)。

image.png

4.4  登录到备机,进入“系统”→“关于系统”→“查看HA key”,复制HA key,然后粘贴到主机HA key一栏,如下图。

image.png

4.5  登陆主机,继续配置进行主机HA配置。进入“系统”→“系统配置”→“HA配置”,。

填写浮动IP地址

选中浮动ip网口和HA心跳线接口

image.png

点击确定后,系统会提示HA设置重启生效,如下图。

image.png

image.png

image.png

4.6  等待主机重启完成,通过浮动地址登录到主机,查看HA信息,如下图。

image.png

至此,主机端HA已经搭建完成。

4.7  主机端口连通性检测

为了主备节点之间数据同步可以顺利进行,应提前测试主节点HA服务相关端口的连通性。
登录备节点使用“系统”→“系统维护”→“网络诊断”→“TCP端口检测”对主节点的HA网卡,做tcp协议下22、31036、31679、31873等端口网络连通性检测,如下图。

image.png

image.png


image.png


image.png


均显示成功后,说明主节点HA服务各端口畅通,可以登录备机进行HA配置。

4.8  登录备机,进入“系统”→“系统配置”→“HA配置”,如下图

      登录主机,进入“系统”→“系统配置”→“HA配置”找到“ha群组验证秘钥”复制

      再次登陆备机粘贴从主机复制的“ha群组验证秘钥”

填写主节点地址

填写浮动IP地址

选中浮动ip网口和HA心跳线接口

image.png

    

点击确定后,这个时候备节点会和主节点进行同步,需要等待同步完成。系统会提示HA设置重启生效,如下图。

image.png

4.9  重启备机,此时主机的信息已同步至备机,备机重启使用的密码为主机密码。重启完成之后,通过浏览器访问备节点实际ip地址,若出现”当前为HA备节点,请使用浮动IP进行访问!”为正常现象。(两个节点,一主一备,服务在主节点上时,备节点无法被访问)如下图。

image.png