Distribuzione del cluster di failover Kaspersky Security Center

Questa sezione contiene sia informazioni generali sul cluster di failover Kaspersky Security Center che istruzioni sulla preparazione e sulla distribuzione del cluster di failover Kaspersky Security Center nella rete.

Scenario: Distribuzione di un cluster di failover Kaspersky Security Center

Un cluster di failover Kaspersky Security Center garantisce un'elevata disponibilità di Kaspersky Security Center e riduce al minimo i tempi di inattività di Administration Server in caso di errore. Il cluster di failover si basa su due istanze identiche di Kaspersky Security Center installate in due computer. Una delle istanze funge da nodo attivo e l'altra da nodo passivo. Il nodo attivo gestisce la protezione dei dispositivi client, mentre quello passivo è predisposto a svolgere tutte le funzioni del nodo attivo in caso di errore del nodo attivo. Quando si verifica un errore, il nodo passivo diventa attivo e il nodo attivo diventa passivo.

Prerequisiti

È necessario disporre di hardware che soddisfi i requisiti per il cluster di failover.

Passaggi

La distribuzione delle applicazioni Kaspersky prevede diversi passaggi:

1. Creazione di un account per i servizi di Kaspersky Security Center

   Creare un nuovo gruppo di dominio, (in questo scenario viene utilizzato il nome "KLAdmins" per il gruppo), quindi concedere le autorizzazioni di amministratore locale al gruppo in entrambi i nodi e nel file server. A questo punto creare due nuovi account utente di dominio (in questo scenario vengono utilizzati i nomi "ksc" e "rightless" per gli account) e aggiungere gli account al gruppo di dominio KLAdmins.

   Aggiungere l'account utente con cui verrà installato Kaspersky Security Center al gruppo di dominio KLAdmins creato in precedenza.

2. Preparazione del file server

   Preparare il file server affinché funzioni come componente del cluster di failover Kaspersky Security Center. Assicurarsi che il file server soddisfi i requisiti hardware e software, creare due cartelle condivise per i dati di Kaspersky Security Center e configurare le autorizzazioni per accedere alle cartelle condivise.

   Istruzioni dettagliate: Preparazione di un file server per il cluster di failover Kaspersky Security Center

3. Preparazione di nodi attivi e passivi

   Preparare due dispositivi con hardware e software identici in modo che fungano da nodi attivi e passivi.

   Istruzioni dettagliate: Preparazione dei nodi per il cluster di failover Kaspersky Security Center

4. Installazione del DBMS (Database Management System)

   Selezionare uno dei DBMS supportati, quindi installare il DBMS in un dispositivo dedicato. Per informazioni su come installare il DBMS, consultare la relativa documentazione.

5. Installazione di Kaspersky Security Center

   Installare Kaspersky Security Center in modalità cluster di failover in entrambi i nodi. È prima necessario installare Kaspersky Security Center nel nodo attivo, quindi installarlo in quello passivo.

   Inoltre, è possibile installare Kaspersky Security Center Web Console in un dispositivo separato che non sia un nodo del cluster.

   Istruzioni dettagliate: Installazione di Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center

6. Test del cluster di failover

   Verificare di aver configurato correttamente il cluster di failover e che funzioni correttamente. È ad esempio possibile arrestare uno dei servizi di Kaspersky Security Center nel nodo attivo: kladminserver, klnagent, ksnproxy, klactprx o klwebsrv. Dopo l'arresto del servizio, la gestione della protezione deve passare automaticamente al nodo passivo.

Risultati

Il cluster di failover Kaspersky Security Center viene distribuito. Esaminare gli eventi che determinano il passaggio dai nodi attivi a quelli passivi.

Informazioni sul cluster di failover Kaspersky Security Center

Un cluster di failover Kaspersky Security Center garantisce un'elevata disponibilità di Kaspersky Security Center e riduce al minimo i tempi di inattività di Administration Server in caso di errore. Il cluster di failover si basa su due istanze identiche di Kaspersky Security Center installate in due computer. Una delle istanze funge da nodo attivo e l'altra da nodo passivo. Il nodo attivo gestisce la protezione dei dispositivi client, mentre quello passivo è predisposto a svolgere tutte le funzioni del nodo attivo in caso di errore del nodo attivo. Quando si verifica un errore, il nodo passivo diventa attivo e il nodo attivo diventa passivo.

Requisiti hardware e software

Per distribuire un cluster di failover Kaspersky Security Center, è necessario disporre del seguente hardware:

• Due dispositivi con hardware e software identici. Questi dispositivi fungeranno da nodi attivi e passivi.
• Un file server che supporti il protocollo CIFS/SMB, versione 2.0 o successiva. È necessario mettere a disposizione un dispositivo dedicato che fungerà da file server.

  Assicurarsi di aver fornito un'elevata larghezza di banda di rete tra il file server e i nodi attivi e passivi.

• Un dispositivo con DBMS (Database Management System).

Schemi di distribuzione

È possibile scegliere uno dei seguenti schemi per distribuire il cluster di failover Kaspersky Security Center:

• Uno schema che utilizza una scheda di rete secondaria.
• Uno schema che utilizza un sistema di bilanciamento del carico di terze parti.

  

  Uno schema che utilizza una scheda di rete secondaria

Legenda schema:

Administration Server invia i dati al database. Aprire le porte necessarie nel dispositivo in cui si trova il database, ad esempio la porta 3306 per MySQL Server o la porta 1433 per Microsoft SQL Server. Fare riferimento alla documentazione DBMS per le informazioni attinenti.

Nei dispositivi gestiti aprire le seguenti porte: TCP 13000, UDP 13000 e TCP 17000.

Uno schema che utilizza un sistema di bilanciamento del carico di terze parti

Legenda schema:

Nel dispositivo di bilanciamento del carico aprire tutte le porte di Administration Server: TCP 13000, UDP 13000, TCP 13299 e TCP 17000.

Se si desidera utilizzare l'utilità klakaut per l'automazione, è necessario aprire anche la porta TCP 13291.

Nei dispositivi gestiti aprire le seguenti porte: TCP 13000, UDP 13000 e TCP 17000.

Administration Server invia i dati al database. Aprire le porte necessarie nel dispositivo in cui si trova il database, ad esempio la porta 3306 per MySQL Server o la porta 1433 per Microsoft SQL Server. Fare riferimento alla documentazione DBMS per le informazioni attinenti.

Condizioni per il passaggio

Il cluster di failover passa la gestione della protezione dei dispositivi client dal nodo attivo al nodo passivo se si verifica uno dei seguenti eventi nel nodo attivo:

• Il nodo attivo è danneggiato a causa di un errore software o hardware.
• Il nodo attivo è stato temporaneamente arrestato per attività di manutenzione.
• Almeno uno dei servizi (o processi) di Kaspersky Security Center non è riuscito o è stato deliberatamente terminato dall'utente. I servizi di Kaspersky Security Center sono i seguenti: kladminserver, klnagent, klactprx e klwebsrv.
• La connessione di rete tra il nodo attivo e l'archivio nel file server è stata interrotta o terminata.

Preparazione di un file server per un cluster di failover Kaspersky Security Center

Un file server funge da componente necessario di un cluster di failover Kaspersky Security Center.

Per preparare un file server:

1. Assicurarsi che il file server soddisfi i requisiti hardware e software.
2. Assicurarsi che il file server ed entrambi i nodi (attivo e passivo) siano inclusi nello stesso dominio o che il file server sia il controller di dominio.
3. Nel file server creare due cartelle condivise. Una di queste verrà utilizzata per conservare le informazioni sullo stato del cluster di failover. L'altra verrà utilizzata per archiviare i dati e le impostazioni di Kaspersky Security Center. Specificare i percorsi delle cartelle condivise durante la configurazione dell'installazione di Kaspersky Security Center.
4. Concedere le autorizzazioni per l'accesso completo (sia le autorizzazioni di condivisione che le autorizzazioni NTFS) alle cartelle condivise create per i seguenti account utente e gruppi:
   • Gruppo di domini KLAdmins.
   • Account utente $<node1> e $<node2>. Qui, <node1> e <node2> sono i nomi dei dispositivi dei nodi attivi e passivi.

Il file server è pronto. Per distribuire il cluster di failover Kaspersky Security Center, seguire le istruzioni aggiuntive in questo scenario.

Preparazione dei nodi per un cluster di failover Kaspersky Security Center

Preparare due dispositivi affinché fungano da nodi attivi e passivi per un cluster di failover Kaspersky Security Center.

Per preparare i nodi per un cluster di failover Kaspersky Security Center:

1. Assicurarsi di avere due dispositivi che soddisfino i requisiti hardware e software. Questi dispositivi fungeranno da nodi attivi e passivi del cluster di failover.
2. Assicurarsi che il file server ed entrambi i nodi siano inclusi nello stesso dominio.
3. Eseguire una delle seguenti operazioni:
   • In ogni nodo, configurare una scheda di rete secondaria.

     Una scheda di rete secondaria può essere fisica o virtuale. Se si desidera utilizzare una scheda di rete fisica, connetterla e configurarla con gli strumenti standard del sistema operativo. Se si desidera utilizzare una scheda di rete virtuale, crearla utilizzando software di terzi.

     Assicurarsi che vengano soddisfatte le seguenti condizioni:

     • Le schede di rete secondarie sono disabilitate.

       È possibile creare le schede di rete secondarie nello stato disabilitato o disabilitarle dopo la creazione.

     • Le schede di rete secondario in entrambi i nodi hanno lo stesso indirizzo IP.
   • Utilizzare un sistema di bilanciamento del carico di terze parti. È ad esempio possibile utilizzare un server nginx. In questo caso, procedere come segue:
     1. Mettere a disposizione un dispositivo basato su Linux dedicato con nginx installato.
     2. Configurare il bilanciamento del carico. Impostare il nodo attivo come server principale e il nodo passivo come server di backup.
     3. Nel server nginx aprire tutte le porte di Administration Server: TCP 13000, UDP 13000, TCP 13299 e TCP 17000.

        Se si desidera utilizzare l'utilità klakaut per l'automazione, è necessario aprire anche la porta TCP 13291.

4. Riavviare entrambi i nodi e il file server.
5. Mappare le due cartelle condivise create durante la fase di preparazione del file server a ciascuno dei nodi. È necessario mappare le cartelle condivise come unità di rete. Durante il mapping delle cartelle è possibile selezionare eventuali lettere di unità libere. Per accedere alle cartelle condivise, utilizzare le credenziali dell'account utente creato durante il passaggio 1 dello scenario.

I nodi sono pronti. Per distribuire il cluster di failover Kaspersky Security Center, seguire le istruzioni aggiuntive dello scenario.

Installazione di Kaspersky Security Center nei nodi del cluster di failover Kaspersky Security Center

Kaspersky Security Center viene installato separatamente in entrambi i nodi del cluster di failover Kaspersky Security Center. Prima si installa l'applicazione nel nodo attivo, poi su quello passivo. Durante l'installazione, è necessario scegliere quale nodo sarà attivo e quale sarà passivo.

Solo un utente del gruppo di domini KLAdmins può installare Kaspersky Security Center in ogni nodo.

Per installare Kaspersky Security Center nel nodo attivo del cluster di failover Kaspersky Security Center:

1. Eseguire il file eseguibile ksc_14.2_<numero build>_full_<lingua>.exe.

   Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare. Nella finestra di selezione delle applicazioni fare clic sul collegamento Installazione di Kaspersky Security Center Administration Server per avviare l'Installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

2. Leggere attentamente il Contratto di licenza e l'Informativa sulla privacy. Se si accettano tutte le condizioni del Contratto di licenza e dell'Informativa sulla privacy, selezionare le seguenti caselle di controllo nella sezione Confermo di aver letto e compreso integralmente e di accettare quanto segue:
   • Termini e condizioni del presente Contratto di licenza con l'utente finale
   • Informativa sulla privacy in cui viene descritta la gestione dei dati

   L'installazione dell'applicazione nel dispositivo continuerà dopo la selezione di entrambe le caselle di controllo.

   Se non si accetta il Contratto di licenza o l'Informativa sulla privacy, annullare l'installazione facendo clic sul pulsante Annulla.

3. Selezionare Nodo primario di Kaspersky Failover Cluster per installare l'applicazione nel nodo attivo.
4. Nella finestra Cartella condivisa procedere come segue:
   • Nei campi Condivisione dello stato e Condivisione dei dati specificare i percorsi delle cartelle condivise create nel file server durante la relativa preparazione.
   • Nei campi Unità della condivisione dello stato e Unità della condivisione dei dati selezionare le unità di rete a cui sono state mappate le cartelle condivise durante la preparazione dei nodi.
   • Selezionare la modalità di connettività del cluster: tramite una scheda di rete secondaria o un sistema di bilanciamento del carico di terzi.
5. Eseguire gli altri passaggi dell'installazione personalizzata, a partire dal passaggio 3.

   Nel passaggio 13 specificare l'indirizzo IP di una scheda di rete secondaria se è stata creata una scheda durante la preparazione dei nodi del cluster. In caso contrario, inserire l'indirizzo IP del sistema di bilanciamento del carico di terze parti in uso.

Kaspersky Security Center è installato nel nodo attivo.

Per installare Kaspersky Security Center nel nodo passivo del cluster di failover Kaspersky Security Center:

1. Eseguire il file eseguibile ksc_14.2_<numero build>_full_<lingua>.exe.

   Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare. Nella finestra di selezione delle applicazioni fare clic sul collegamento Installazione di Kaspersky Security Center Administration Server per avviare l'Installazione guidata di Administration Server. Seguire le istruzioni della procedura guidata.

2. Leggere attentamente il Contratto di licenza e l'Informativa sulla privacy. Se si accettano tutte le condizioni del Contratto di licenza e dell'Informativa sulla privacy, selezionare le seguenti caselle di controllo nella sezione Confermo di aver letto e compreso integralmente e di accettare quanto segue:
   • Termini e condizioni del presente Contratto di licenza con l'utente finale
   • Informativa sulla privacy in cui viene descritta la gestione dei dati

   L'installazione dell'applicazione nel dispositivo continuerà dopo la selezione di entrambe le caselle di controllo.

   Se non si accetta il Contratto di licenza o l'Informativa sulla privacy, annullare l'installazione facendo clic sul pulsante Annulla.

3. Selezionare Nodo secondario di Kaspersky Failover Cluster per installare l'applicazione nel nodo passivo.
4. Nella finestra Cartella condivisa, nel campo Condivisione dello stato, specificare un percorso della cartella condivisa con le informazioni sullo stato del cluster creato nel file server durante la relativa preparazione.
5. Fare clic sul pulsante Installa. Al termine dell'installazione, fare clic sul pulsante Fine.

Kaspersky Security Center è installato nel nodo passivo. Adesso è possibile testare il cluster di failover Kaspersky Security Center per assicurarsi di averlo configurato correttamente e che il cluster funzioni nel modo adeguato.

Avvio e arresto manuale dei nodi del cluster

Potrebbe essere necessario arrestare l'intero cluster di failover Kaspersky Security Center o scollegare temporaneamente uno dei nodi del cluster per la manutenzione. In tal caso, seguire le istruzioni contenute in questa sezione. Non tentare di avviare o arrestare i servizi o i processi relativi al cluster di failover utilizzando altri metodi. Questo potrebbe determinare la perdita di dati.

Avvio e arresto dell'intero cluster di failover per la manutenzione

Per avviare o arrestare l'intero cluster di failover:

1. Nel nodo attivo accedere a <Disco>:\Programmi (x86)\Kaspersky Lab\Kaspersky Security Center.
2. Aprire la riga di comando, quindi eseguire uno dei seguenti comandi:
   • Per arrestare il cluster, eseguire: klfoc -stopcluster --stp klfoc
   • Per avviare il cluster, eseguire: klfoc -startcluster --stp klfoc

Il cluster di failover viene avviato o arrestato, a seconda del comando eseguito.

Manutenzione di uno dei nodi

Per eseguire la manutenzione di uno dei nodi:

1. Nel nodo attivo arrestare il cluster di failover utilizzando il comando klfoc -stopcluster --stp klfoc.
2. Nel nodo di cui si desidera eseguire la manutenzione accedere a <Disco>:\Programmi (x86)\Kaspersky Lab\Kaspersky Security Center.
3. Aprire la riga di comando, quindi scollegare il nodo dal cluster eseguendo il comando detach_node.cmd.
4. Nel nodo attivo avviare il cluster di failover utilizzando il comando klfoc -startcluster --stp klfoc.
5. Eseguire le attività di manutenzione.
6. Nel nodo attivo arrestare il cluster di failover utilizzando il comando klfoc -stopcluster --stp klfoc.
7. Nel nodo di cui è stata eseguita la manutenzione accedere a <Disco>:\Programmi (x86)\Kaspersky Lab\Kaspersky Security Center.
8. Aprire la riga di comando, quindi collegare il nodo al cluster eseguendo il comando attach_node.cmd.
9. Nel nodo attivo avviare il cluster di failover utilizzando il comando klfoc -startcluster --stp klfoc.

Viene eseguita la manutenzione del nodo, che viene quindi collegato al cluster di failover.