Merhaba,
Bu yazıda 1 node çifitini HA olarak yapılandırmayı anlatacağım best practices’e ek olarak yaşadığım deneyimleri de ekleyeceğim bir yazı olacak.
Genel ve yeni başlayanlar için önemli hususlar;
- Cihaz ya da sanal makinelerin modelleri aynı olmak zorundadır.
- Modellere bağlı olarak cihaz versiyonları ve lisanslar aynı olmalı ve aynı feature’ların açık olması gerekmektedir. 1.node’da uyguladığınız kullandığınız özellikler diğerinde yok ise zaten sorun çıkacaktır.
- Versiyona ek olarak dynamic update’lerde aynı seviyede olmalı. HA sonrası kurallar sync edilsede device tarafında bazı ayarlar sync edilmiyor buna otomatize ettiğiniz update’lerde dahil bu sebepten daha sonra schedule’ları birebir aynı olacak şekilde ayarlamanız da fayda var.
Cihazları ve versiyonlar eşitledikten sonra cihazlara HA için kablo bağlantılarını yapmanız gerekiyor.
İki cihaz arasında 4 numaradaki A portundan A’ya, B’den B’ye buna ek olarak’da 3.Porttan diğer cihazın 3.portuna aynı şekilde bağlantı yapmalısınız. Önemli: HA Enable yapıp konfigürasyon sonrası kablo takarsanız kesinti yaşarsınız.
Adım adım devam ediyoruz,
Node 1 de Device > High Availability > General
Enable HA tikini açarak devam edin Peer 1 için 2 diğer Peer diğer için 2 olacak şekilde ipler vereceğiz.
Group ID için ise uniq olmalıdır ortamda başka bir PAN HA çifti var ise problem olmamasına adına.
İplerin başını gizledim son kısmı fikir vermesi açısından açık bırakıyorum. Node 2’de ise aynı ip mantığı ile vermeniz gerekli.
Bu kısım için ayrıca konuşcağım. Device Priority konusunu tahmin ediyorsunuzdur.
Priority ne kadar düşükse ise öncelik onundur. Cihaz bir sebepten ötürü passive duruma düşerse trafik 2.node’a geçer eğer premptive açık ise node 1 açılıp servisleri aktif hale geldiğinde trafiği otomatik olarak üzerine alır. Master node olarak tabir ettiğimiz göreve devam eder.
Peki dezavantajı yok mu? Var.
Yaşadığım bir örnek üzerinden gideyim 2 yıldır problemsiz çalışan upgradeler dışında reboot olmayan cihazlardı. Node 1’de dataplane flap issue yaşama başladık. Cihaz sorunu yaşamaya başladığında crash olup kendini restart ediyor. Bu sürede trafik node 2’ye geçiyor. Node 1 açıldığından tekrar trafiği üzerine alıyor ve tekrar restart ediyor… Bu yaklaşık 5-6 kere tekrar etti çare ise Power Drain dediğimiz fişini çekip varsa bir power tuşu basılı tutmak ve tüm elektriğini atmak. Fişleri çekip bir süre bekledikten sonra Node 1’i çalıştırdık ve o zaman problemsiz çalışmaya devam etti. Bu tür vakalarda ve cihaz uzaktaysa problemli süreçler yaşabilirsiniz. Takdiri size bırakıyorum.
Bu işlemleri tamamladıktan sonra. Commit ile yaptıklarımızı uyguluyoruz.
Dashboard’a gelip Widget’lardan High Availability Widget’ini ekleyin.
Commit sonrası HA1, HA1 Backup ve HA2 yeşil ise kablolar doğru takılmıştır eğer bir sorun varsa bunları kontrol ediniz.
App versiyon Mismatch ve kırmızı görünüyor başta bahsettiğim versiyon farkından kaynaklanıyor. Dynamic update’lerde versiyonu download ve install yapabilirsiniz sync to peer işaretlerseniz aynını node 2’ye de yapacaktır yeşillenmesi için en kolay yol.
Gelelim önemli hususlardan birine sizin normal hayatınız da tek node var ve artık HA yapmaya karar verdiniz. 1.node’da 300 kural var diğer node haliyle boş.
Sync to peer derseniz eğer mevcut cihazdaki config’i diğer peer’a gönderir. Boş kural olmayan firewall’da bunu yapmamaya dikkat ediniz.
Sync to peer kısmı uzun süre kırmızı kalırsa eğer bu app ve vb. şeylerin sync olmadığı anlamadına gelir biliyorsunuz ki kurallarda application da kullanıyoruz ayn app karşı tarafta olmayınca onu kurala ekleyemez bu tarz sorunlardan ötürü kaynaklabilir.
Basit bir deneyime bağlı örnek vereyim 11.0.5’den 11.1.6’ya geçiyorsunuz Plugin DLP versiyon 4 ‘den 5’e geçiyor diğer hala 4 olduğu için running configi sync etmeyecektir. Ne zaman ki diğer node aynı versiyona çıkar o zaman problemsiz bir şekilde edecektir.
Son olarak;
Başarılı bir şekilde yaptıktan sonra Device> HA altında Operational Command bölümü gelecektir.
Her hangi bir sebepten ötürü trafiği pasif node’a aktarmak istiyorsanız “Suspend local device for high availability demeniz gereklidir bakım moduna almış olursunuz.
İşiniz bittikten sonra “Make local device functional for high availability” demeniz gereklidir.
Yazı bu kadar okuduğunuz için teşekkürler.