О высокой доступности (устаревшая версия)

Важно!

Defender для Интернета вещей теперь рекомендует использовать облачные службы Майкрософт или существующую ИТ-инфраструктуру для централизованного мониторинга и управления датчиками, а также планирует выйти из локальной консоль управления1 января 2025 г.

Дополнительные сведения см. в статье "Развертывание гибридного или воздушного управления датчиком OT".

Увеличьте устойчивость развертывания Defender для Интернета вещей, настроив высокий уровень доступности в локальной консоль управления. Развертывания с высокой доступностью гарантируют, что ваши управляемые датчики будут постоянно отправлять отчеты в активную локальную консоль управления.

Эта развернутая служба реализуется с помощью пары локальных консолей управления, состоящей из основного и дополнительного устройств.

Примечание.

В этом документе локальная консоль управления-субъект называется основным устройством, а агент — дополнительным.

Необходимые компоненты

Перед выполнением процедур, описанных в этой статье, убедитесь, что выполнены следующие предварительные требования:

• Убедитесь, что у вас есть локальный консоль управления установлен как на основном (модуль), так и на дополнительный (модуль).

  • Основной и вторичный локальные консоль управления (модуль) должны работать идентичными аппаратными моделями и версиями программного обеспечения.
  • Для выполнения команд CLI необходимо иметь доступ как к основным, так и к вторичным локальным консоль управления в качестве привилегированного пользователя. Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT.

• Убедитесь, что основной локальный консоль управления полностью настроен, включая по крайней мере два сетевых датчика OT, подключенные и видимые в пользовательском интерфейсе консоли, а также запланированные резервные копии или параметры виртуальной локальной сети. Все параметры автоматически применяются к дополнительному устройству после сопряжения.

• Убедитесь, что сертификаты SSL/TLS соответствуют необходимым критериям. Дополнительные сведения см. в статье о требованиях к сертификату SSL/TLS для локальных ресурсов.

• Убедитесь, что политика безопасности организации предоставляет вам доступ к следующим службам в основном и вторичном локальном консоль управления. Эти службы также обеспечивают подключение между датчиками и дополнительной локальной консолью управления.

  Порт	Служба	Description
  443 или TCP	HTTPS	Предоставляет доступ к веб-консоли локальной консоли управления.
  22 или TCP	SSH	Синхронизирует данные между устройствами основной и дополнительной локальной консоли управления
  123 или UDP	NTP	Синхронизация времени NTP в локальной консоли управления. Убедитесь, что для активных и пассивных устройств задан один часовой пояс.

Создание сопряжения между основной и дополнительной консолью

Важно!

Выполните команды с sudo только в указанном месте. Если это не указано, не выполняйте с sudo.

1. Включите как первичные, так и вторичные локальные консоль управления (модуль).

2. В дополнительном (модуль) выполните следующие действия, чтобы скопировать строка подключения в буфер обмена:

   1. Войдите в дополнительный локальный консоль управления и выберите System Параметры.

   2. В области настройки датчика — строка Подключение ion в разделе "Копировать Подключение ion String" нажмите кнопку, чтобы просмотреть полную строка подключения.

   3. Строка подключения состоит из IP-адреса и маркера. IP-адрес находится до двоеточия, и маркер находится после двоеточия. Скопируйте IP-адрес и маркер отдельно. Например, если строка подключения172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77f, скопируйте IP-адрес 172.10.246.232 и маркер a2c4gv9de23f56n078a44e12gf2ce77f отдельно.

      

3. В основном (модуль) выполните следующие действия, чтобы подключить вторичный (модуль) к основному через CLI:

   1. Войдите в основную локальную консоль управления через SSH для доступа к ИНТЕРФЕЙСу командной строки, а затем выполните следующую команду:

      sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>
      

      где <Secondary IP> IP-адрес вторичного (модуль) и <Secondary token> является второй частью строка подключения после двоеточия, которую вы скопировали в буфер обмена ранее.

      Например:

      sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77f

      Проверяется IP-адрес, сертификат SSL/TLS загружается в основной (модуль), а все датчики, подключенные к первичному (модуль), подключены к вторичному (модуль).

   2. Примените изменения к основному (модуль). Запустить:

      sudo cyberx-management-trusted-hosts-apply
      

   3. Убедитесь, что сертификат установлен правильно на основном (модуль). Запустить:

      cyberx-management-trusted-hosts-list
      

4. Разрешить подключение между резервным копированием и восстановлением первичной и вторичной (модуль):

   • В основном (модуль) выполните следующую команду:

     cyberx-management-deploy-ssh-key <secondary appliance IP address>
     

   • В дополнительном (модуль) выполните вход с помощью SSH для доступа к CLI и выполните следующую команду:

     cyberx-management-deploy-ssh-key <primary appliance IP address>
     

5. Убедитесь, что изменения были применены к вторичному (модуль). В дополнительном (модуль) выполните следующую команду:

   cyberx-management-trusted-hosts-list
   

Отслеживание действий высокой доступности

Основные журналы приложений можно экспортировать в группу поддержки Defender для Интернета вещей для решения любых проблем с высокой доступностью.

Чтобы получить доступ к основным журналам, выполните следующее действие.

1. Войдите в локальную консоль управления и выберите System Параметры> Export. Дополнительные сведения об экспорте журналов для отправки в службу поддержки см. в статье "Экспорт журналов" из локальной консоль управления для устранения неполадок.

Обновление локальной консоли управления с высоким уровнем доступности

Чтобы обновить локальную консоль управления с настроенной высокой доступностью, вам потребуется:

1. Отключите высокий уровень доступности как от основного, так и от дополнительного устройств.
2. Обновите устройства до новой версии.
3. Перенастройте высокий уровень доступности на обоих устройствах.

Выполните действия по обновлению высокого уровня доступности в следующем порядке. Прежде чем приступить к следующему шагу, убедитесь, что выполнен предыдущий.

Обновление локальной консоли управления с высоким уровнем доступности:

1. Отключите высокий уровень доступности как на основном, так и на дополнительном устройстве.

   В основном:

   1. Получите список подключенных устройств. Запустить:

      cyberx-management-trusted-hosts-list
      

   2. Найдите домен, связанный с дополнительным устройством, и скопируйте его в буфер обмена. Например:

      

   3. Удалите дополнительный домен из списка доверенных узлов. Запустить:

      sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]
      

   4. Проверьте, что сертификат сервера установлен. Запустить:

      sudo cyberx-management-trusted-hosts-apply
      

   На дополнительном устройстве:

   1. Получите список подключенных устройств. Запустить:

      cyberx-management-trusted-hosts-list
      

   2. Найдите домен, связанный с основным устройством, и скопируйте его в буфер обмена.

   3. Удалите основной домен из списка доверенных узлов. Запустить:

      sudo cyberx-management-trusted-hosts-remove -d [Primary domain]
      

   4. Проверьте, что сертификат сервера установлен. Запустить:

      sudo cyberx-management-trusted-hosts-apply
      

2. Обновите основное и дополнительное устройства до новой версии. Дополнительные сведения см. в разделе Обновление локальной консоли управления.

3. Снова настройте высокий уровень доступности на основном и дополнительном устройствах. Дополнительные сведения см. в разделе Создание основной и дополнительной пары.

Процесс отработки отказа

После настройки высокой доступности датчики OT автоматически подключаются к вторичной локальной консоль управления, если не удается подключиться к первичной. Если менее половины датчиков OT в настоящее время взаимодействуют с вторичным компьютером, система поддерживается как основными, так и вторичными компьютерами одновременно. Если более половины датчиков OT взаимодействуют с вторичным компьютером, дополнительный компьютер берет на себя все связи с датчиками OT. Отработка отказа с первичного компьютера на дополнительный компьютер занимает примерно три минуты.

При отработке отказа основной локальной консоль управления зависает, и вы можете войти в дополнительный, используя те же учетные данные входа.

Во время отработки отказа датчики продолжают обмениваться данными с основным устройством. Если более половины управляемых датчиков успешно обмениваются данными с основной консолью, основная консоль восстанавливается. При восстановлении основной консоли в дополнительной консоли отображается следующее сообщение:

Снова войдите в основное устройство после перенаправления.

Обработка файлов активации с истекшим сроком действия

Файлы активации можно обновлять только в основной локальной консоль управления.

Прежде чем срок действия файла активации истекает на дополнительном компьютере, определите его как основной компьютер, чтобы можно было обновить лицензию.

Дополнительные сведения см. в статье "Отправка нового файла активации".

Следующие шаги

Дополнительные сведения см. в статье "Активация и настройка локального консоль управления".