Synchronisation des configurations à haute disponibilité (HA)
Deux IBM Cloud® Virtual Router Appliances (VRA) dans une paire de haute disponibilité (HA) doivent avoir leurs configurations suffisamment synchronisées pour que les deux appareils se comportent de manière similaire. Ce processus s'effectue par
l'intermédiaire de configuration sync-maps
et vous pouvez choisir la partie de la configuration à synchroniser. Si vous modifiez une machine, la configuration marquée est transférée à l'autre appareil.
Ce processus synchronise et enregistre la configuration en cours d'exécution de l'appareil local sur l'appareil distant. Cependant, étant donné qu'il s'agit d'une étape du processus de validation, elle ne sauvegarde pas la configuration sur l'unité locale.
Ne synchronisez pas les configurations qui sont propres à un système. Par exemple, ne synchronisez pas les adresses IP et MAC réelles. Le noeud de configuration system config-sync
et le noeud service https
ne peuvent
pas être synchronisés.
L'exemple suivant illustre config-sync
:
set system config-sync sync-map TEST rule 2 action include
set system config-sync sync-map TEST rule 2 location security firewall
set system config-sync remote-router 192.168.1.22 username vyatta
set system config-sync remote-router 192.168.1.22 password xxxxxx
set system config-sync remote-router 192.168.1.22 sync-map TEST
Les deux premières lignes créent la mappe de synchronisation sync-map
réelle. Ici, la strophe de configuration pour le pare-feu de sécurité security firewall
est définie dans sync-map
. Par conséquent, toutes
les modifications apportées au nœud de configuration sont transmises à l'appareil distant. Cependant, les modifications apportées à security user
ne peuvent pas être envoyées car elles ne correspondent pas à la règle. Vous pouvez
rendre la mappe de synchronisation sync-map
aussi spécifique ou générale que vous le souhaitez.
Les trois lignes suivantes désignent l'utilisateur et le mot de passe pour la synchronisation de la configuration (config-sync
) du routeur distant, l'adresse IP, ainsi que la mappe de synchronisation (sync-map
) à envoyer.
Pour toute modification correspondant aux règles de TEST
, passez à remote-router 192.168.1.22
et utilisez les informations de connexion. Pour les versions 1801zf et antérieures, un appel REST
est effectué
pour réaliser cette opération à l'aide de l'API VRA. Ainsi, le serveur HTTPS doit être en cours d'exécution (et non bloqué) sur le routeur distant. La version 1908/1912 réécrit config-sync
afin d'utiliser netconf
à
la place d'HTTPS pour traiter les problèmes de performances dans les éditions précédentes. Les lignes suivantes sont requises, avec le paramètre allow
dans les règles de pare-feu de chaque unité Vyatta, pour établir des connexions
entre les unités sur le port 830 :
set service netconf
set service ssh port 830
set service ssh port 22
Pour synchroniser la configuration d'un mot de passe, tel qu'un secret pré-partagé pour un VPN IPsec, le système en attente doit avoir le groupe secrets
qui est configuré et l'utilisateur config-sync
doit faire partie
de ce groupe.
set system login group secrets
set system login user vyatta authentication plaintext-password '****'
set system login user vyatta group secrets
La synchronisation de la configuration (Config-sync
) a lieu à chaque fois que vous validez une modification. Soyez attentif aux messages d'erreur en provenance de l'unité distante. Si la configuration n'est pas synchronisée, vous
devez la corriger sur l'unité distante pour qu'elle soit à nouveau opérationnelle.
Vous pouvez également voir les différences de configuration en utilisant la commande show config-sync difference
.