О высокой доступности (устаревшая версия)
Важно!
Defender для Интернета вещей теперь рекомендует использовать облачные службы Майкрософт или существующую ИТ-инфраструктуру для централизованного мониторинга и управления датчиками, а также планирует выйти из локальной консоль управления1 января 2025 г.
Дополнительные сведения см. в статье "Развертывание гибридного или воздушного управления датчиком OT".
Увеличьте устойчивость развертывания Defender для Интернета вещей, настроив высокий уровень доступности в локальной консоль управления. Развертывания с высокой доступностью гарантируют, что ваши управляемые датчики будут постоянно отправлять отчеты в активную локальную консоль управления.
Эта развернутая служба реализуется с помощью пары локальных консолей управления, состоящей из основного и дополнительного устройств.
Примечание.
В этом документе локальная консоль управления-субъект называется основным устройством, а агент — дополнительным.
Необходимые компоненты
Перед выполнением процедур, описанных в этой статье, убедитесь, что выполнены следующие предварительные требования:
Убедитесь, что у вас есть локальный консоль управления установлен как на основном (модуль), так и на дополнительный (модуль).
- Основной и вторичный локальные консоль управления (модуль) должны работать идентичными аппаратными моделями и версиями программного обеспечения.
- Для выполнения команд CLI необходимо иметь доступ как к основным, так и к вторичным локальным консоль управления в качестве привилегированного пользователя. Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT.
Убедитесь, что основной локальный консоль управления полностью настроен, включая по крайней мере два сетевых датчика OT, подключенные и видимые в пользовательском интерфейсе консоли, а также запланированные резервные копии или параметры виртуальной локальной сети. Все параметры автоматически применяются к дополнительному устройству после сопряжения.
Убедитесь, что сертификаты SSL/TLS соответствуют необходимым критериям. Дополнительные сведения см. в статье о требованиях к сертификату SSL/TLS для локальных ресурсов.
Убедитесь, что политика безопасности организации предоставляет вам доступ к следующим службам в основном и вторичном локальном консоль управления. Эти службы также обеспечивают подключение между датчиками и дополнительной локальной консолью управления.
Порт Служба Description 443 или TCP HTTPS Предоставляет доступ к веб-консоли локальной консоли управления. 22 или TCP SSH Синхронизирует данные между устройствами основной и дополнительной локальной консоли управления 123 или UDP NTP Синхронизация времени NTP в локальной консоли управления. Убедитесь, что для активных и пассивных устройств задан один часовой пояс.
Создание сопряжения между основной и дополнительной консолью
Важно!
Выполните команды с sudo только в указанном месте. Если это не указано, не выполняйте с sudo.
Включите как первичные, так и вторичные локальные консоль управления (модуль).
В дополнительном (модуль) выполните следующие действия, чтобы скопировать строка подключения в буфер обмена:
Войдите в дополнительный локальный консоль управления и выберите System Параметры.
В области настройки датчика — строка Подключение ion в разделе "Копировать Подключение ion String" нажмите кнопку, чтобы просмотреть полную строка подключения.
Строка подключения состоит из IP-адреса и маркера. IP-адрес находится до двоеточия, и маркер находится после двоеточия. Скопируйте IP-адрес и маркер отдельно. Например, если строка подключения
172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77f
, скопируйте IP-адрес172.10.246.232
и маркерa2c4gv9de23f56n078a44e12gf2ce77f
отдельно.
В основном (модуль) выполните следующие действия, чтобы подключить вторичный (модуль) к основному через CLI:
Войдите в основную локальную консоль управления через SSH для доступа к ИНТЕРФЕЙСу командной строки, а затем выполните следующую команду:
sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>
где
<Secondary IP>
IP-адрес вторичного (модуль) и<Secondary token>
является второй частью строка подключения после двоеточия, которую вы скопировали в буфер обмена ранее.Например:
sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77f
Проверяется IP-адрес, сертификат SSL/TLS загружается в основной (модуль), а все датчики, подключенные к первичному (модуль), подключены к вторичному (модуль).
Примените изменения к основному (модуль). Запустить:
sudo cyberx-management-trusted-hosts-apply
Убедитесь, что сертификат установлен правильно на основном (модуль). Запустить:
cyberx-management-trusted-hosts-list
Разрешить подключение между резервным копированием и восстановлением первичной и вторичной (модуль):
В основном (модуль) выполните следующую команду:
cyberx-management-deploy-ssh-key <secondary appliance IP address>
В дополнительном (модуль) выполните вход с помощью SSH для доступа к CLI и выполните следующую команду:
cyberx-management-deploy-ssh-key <primary appliance IP address>
Убедитесь, что изменения были применены к вторичному (модуль). В дополнительном (модуль) выполните следующую команду:
cyberx-management-trusted-hosts-list
Отслеживание действий высокой доступности
Основные журналы приложений можно экспортировать в группу поддержки Defender для Интернета вещей для решения любых проблем с высокой доступностью.
Чтобы получить доступ к основным журналам, выполните следующее действие.
- Войдите в локальную консоль управления и выберите System Параметры> Export. Дополнительные сведения об экспорте журналов для отправки в службу поддержки см. в статье "Экспорт журналов" из локальной консоль управления для устранения неполадок.
Обновление локальной консоли управления с высоким уровнем доступности
Чтобы обновить локальную консоль управления с настроенной высокой доступностью, вам потребуется:
- Отключите высокий уровень доступности как от основного, так и от дополнительного устройств.
- Обновите устройства до новой версии.
- Перенастройте высокий уровень доступности на обоих устройствах.
Выполните действия по обновлению высокого уровня доступности в следующем порядке. Прежде чем приступить к следующему шагу, убедитесь, что выполнен предыдущий.
Обновление локальной консоли управления с высоким уровнем доступности:
Отключите высокий уровень доступности как на основном, так и на дополнительном устройстве.
В основном:
Получите список подключенных устройств. Запустить:
cyberx-management-trusted-hosts-list
Найдите домен, связанный с дополнительным устройством, и скопируйте его в буфер обмена. Например:
Удалите дополнительный домен из списка доверенных узлов. Запустить:
sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]
Проверьте, что сертификат сервера установлен. Запустить:
sudo cyberx-management-trusted-hosts-apply
На дополнительном устройстве:
Получите список подключенных устройств. Запустить:
cyberx-management-trusted-hosts-list
Найдите домен, связанный с основным устройством, и скопируйте его в буфер обмена.
Удалите основной домен из списка доверенных узлов. Запустить:
sudo cyberx-management-trusted-hosts-remove -d [Primary domain]
Проверьте, что сертификат сервера установлен. Запустить:
sudo cyberx-management-trusted-hosts-apply
Обновите основное и дополнительное устройства до новой версии. Дополнительные сведения см. в разделе Обновление локальной консоли управления.
Снова настройте высокий уровень доступности на основном и дополнительном устройствах. Дополнительные сведения см. в разделе Создание основной и дополнительной пары.
Процесс отработки отказа
После настройки высокой доступности датчики OT автоматически подключаются к вторичной локальной консоль управления, если не удается подключиться к первичной. Если менее половины датчиков OT в настоящее время взаимодействуют с вторичным компьютером, система поддерживается как основными, так и вторичными компьютерами одновременно. Если более половины датчиков OT взаимодействуют с вторичным компьютером, дополнительный компьютер берет на себя все связи с датчиками OT. Отработка отказа с первичного компьютера на дополнительный компьютер занимает примерно три минуты.
При отработке отказа основной локальной консоль управления зависает, и вы можете войти в дополнительный, используя те же учетные данные входа.
Во время отработки отказа датчики продолжают обмениваться данными с основным устройством. Если более половины управляемых датчиков успешно обмениваются данными с основной консолью, основная консоль восстанавливается. При восстановлении основной консоли в дополнительной консоли отображается следующее сообщение:
Снова войдите в основное устройство после перенаправления.
Обработка файлов активации с истекшим сроком действия
Файлы активации можно обновлять только в основной локальной консоль управления.
Прежде чем срок действия файла активации истекает на дополнительном компьютере, определите его как основной компьютер, чтобы можно было обновить лицензию.
Дополнительные сведения см. в статье "Отправка нового файла активации".
Следующие шаги
Дополнительные сведения см. в статье "Активация и настройка локального консоль управления".