【零信任产品】【基础部署】TAC集群部署配置案例

强裕校发表于:2021年04月02日 17:26:59更新于:2021年04月15日 15:35:19

1    简介

         本文档介绍可信访问控制台TAC设备集群部署典型配置举例。

2    配置前提

         本文档适用于可信访问控制台TAC设备,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。

         本文档中的配置均是在实验室环境下进行的配置和验证,配置前,设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

         可信访问控制台TAC设备要>=3台。

3    配置举例

3.1    组网需求

         在TAC集群场景下,理想条件下,每台TAC需要申请两个交换机端口,一个用于接收外部用户访问请求和TAP/TIP的API请求,一个用于TAC集群节点间进行内部数据同步,同时给TAC集群内部规划一个浮动IP,用于TAC集群中间件服务(数据库mysql),

 组网拓扑如下:

image.png

3.2    安装配置思路

1)   给TAC1、TAC2、TAC3三台设备的第一个物理端口配置IP1、IP2、IP3,通过负载均衡器对外暴露两个虚拟IP。

2)   VIP1:tac_user_vip,作为用户侧访问TAC集群的虚拟IP。

3)   VIP2:tac_api_vip,作为TAP/TIP组件上报数据的虚拟IP。

4)   给TAC1、TAC2、TAC3三台设备的第二个物理端口配置IP4、IP5、IP6,通过交换机VLAN实现互通,用于TAC集群节点间进行内部数据同步。

5)   VIP3:TAC集群中间件服务(数据库/Redis/NTP/etcd)的浮动IP使用版本。

3.3    安装配置步骤

1)   上传安装包到集群中任意一台机器

2)   解压安装包

image.png

3)   设置安装规模

编辑option.yml配置文件

image.png

根据设备内存设置集群安全装规模,修改scale的值

Scale值

机器内存最低要求

small

2G

medium

2G-8G

Standard(缺省配置)

8G以上

4)   设置VLAN IP和VIP

编辑hosts配置文件,配置IP4、IP5、IP6和VIP3

cd trustaccess-deploy/

vi hosts

image.png

*  注:外网物理地址可以安装完成之后登录WEB管理界面进行配置

字段名

注意事项

ip地址

配置用于集群内各节点间数据同步的IP(IP4、IP5、IP6),要填写各节点TAC的物理网卡ip, 而非经过网路地址转换的外部ip

vip

VIP3:TAC集群中间件服务(数据库/Redis/NTP/etcd)的浮动IP ,要求与数据同步的IP(IP4、IP5、IP6)同网段

vip_net_name

配置数据同步的IP(IP4、IP5、IP6)物理网卡名

keepalived_router_id

要在1~255之间,建议用上面vip的最后一位。示例,如果vip配置为192.168.100.33,则取33。

同一网段下如果搭建了keepalived,必须保证每个集群的keepalived_router_id都是唯一的, 否则不同的集群之间会有干扰。

ntp_network_address

填写数据同步的IP(IP4、IP5、IP6)网段的网络号,填写如:192.168.2.0

ntp_network_mask

填写数据同步的IP(IP4、IP5、IP6)网段的子网掩码,填写如:255.255.255.0

5)   安装基础组件

安装程序所在机器首次执行安装程序需要执行此步骤,如果以前执行过安装程序,此步骤可以跳过

执行sh deploy.sh

进入选择模式选择的菜单,如下图所示。选择“2 Multiple”

image.png

进入选择部署命令的菜单,如下图所示。选择“1 Prepare Controller Node ...”

image.png

进入下级菜单,如下图所示。选中“1 Install Ansible”

image.png

稍后,基础组件将安装成功。如下所示。

image.png

6)   SSH免密配置

安装程序所在机器首次执行安装程序需要执行此步骤,如果以前执行过安装程序,此步骤可以跳过。

执行sh deploy.sh

进入选择模式选择的菜单,如下图所示。选择“2 Multiple”

image.png

进入选择部署命令的菜单,如下图所示。选择“1 Prepare Controller Node ...”

image.png

进入下级菜单,如下图所示。选中“2 Authenticate key to cluster nodes”,并按Enter键

image.png

在安装过程中,出现“Do your want to create a new one (y/n)?”,输入 y,如下所示

image.png

输入y后按Enter键确认,接着出现“Enter passphrase (empty for no passphrase): ”,不输入内容,直接按Enter确认。

再接着出现“Enter same passphrase again: ”,不输入内容,直接按Enter确认,如下所示

image.png

之后,程序继续自动安装,在出现输入SSH 用户名和密码时,则输入部署目标机器操作系统的root登录密码。如下所示。

image.png

重复执行,完成每台机器密码设置后

之后,将进行安装,安装成功之后,每台机器都出现如下所示”Success“提示信息。

7)   TAC集群安装

sh deploy.sh

进入选择模式选择的菜单,如下图所示。选择“2 Multiple”

image.png

进入选择部署命令的菜单,如下图所示。选择“3 Install”

image.png

进入版本选择,选择“1 TAC V***"

image.png

确定安装,选“Yes”

image.png

所有的模块安装都ok,安装完成

最后输出本次安装日志,如果安装失败,请查看本次安装日志。

image.png

查看控制台安装日志,如果所有组件显示安装成功【OK】,则表示TAC集群安装成功。

4    验证配置

1)   检查通过TAC 外网IP是否能正常访问管理页面。

2)   检查TAC集群中间件服务(数据库/Redis/NTP/etcd)的浮动IP是否启用。

5    注意事项

1)   可信访问控制台TAC设备要>=3台。

2)   如可信访问控制台为单机版,请先卸载当前版本后再进行集群版本的安装部署。

3)   硬件负载要求

a)   VIP1:tac_user_vip,作为用户侧访问TAC集群的虚拟IP,建议采用4层负载(只暴露443和8443端口,如需支持国密增加444端口),XXX负载均衡模式,源地址哈希法负载均衡算法。

b)   VIP2:tac_api_vip,作为TAP/TIP组件上报数据的虚拟IP,建议采用4层负载(只暴露443端口,如需支持国密增加444端口),XXX负载均衡模式,最小连接数/轮询负载均衡算法。

c)   如果TAP/TIP扩展成集群,要求如下:

TAP集群: 建议采用3层负载,XXX负载均衡模式,源地址哈希法负载均衡算法。

TIP集群: 建议采用4层负载(只暴露80和443端口,如需支持国密增加444端口),XXX负载均衡模式,最小连接数/轮询负载均衡算法。

4)   集群配置完成后,不要修改内部数据同步的IP地址。