IBM Cloud Docs
Synchronisation des configurations à haute disponibilité (HA)

Synchronisation des configurations à haute disponibilité (HA)

Deux IBM Cloud® Virtual Router Appliances (VRA) dans une paire de haute disponibilité (HA) doivent avoir leurs configurations suffisamment synchronisées pour que les deux appareils se comportent de manière similaire. Ce processus s'effectue par l'intermédiaire de configuration sync-maps et vous pouvez choisir la partie de la configuration à synchroniser. Si vous modifiez une machine, la configuration marquée est transférée à l'autre appareil.

Ce processus synchronise et enregistre la configuration en cours d'exécution de l'appareil local sur l'appareil distant. Cependant, étant donné qu'il s'agit d'une étape du processus de validation, elle ne sauvegarde pas la configuration sur l'unité locale.

Ne synchronisez pas les configurations qui sont propres à un système. Par exemple, ne synchronisez pas les adresses IP et MAC réelles. Le noeud de configuration system config-sync et le noeud service https ne peuvent pas être synchronisés.

L'exemple suivant illustre config-sync :

set system config-sync sync-map TEST rule 2 action include
set system config-sync sync-map TEST rule 2 location security firewall
set system config-sync remote-router 192.168.1.22 username vyatta
set system config-sync remote-router 192.168.1.22 password xxxxxx
set system config-sync remote-router 192.168.1.22 sync-map TEST

Les deux premières lignes créent la mappe de synchronisation sync-map réelle. Ici, la strophe de configuration pour le pare-feu de sécurité security firewall est définie dans sync-map. Par conséquent, toutes les modifications apportées au nœud de configuration sont transmises à l'appareil distant. Cependant, les modifications apportées à security user ne peuvent pas être envoyées car elles ne correspondent pas à la règle. Vous pouvez rendre la mappe de synchronisation sync-map aussi spécifique ou générale que vous le souhaitez.

Les trois lignes suivantes désignent l'utilisateur et le mot de passe pour la synchronisation de la configuration (config-sync) du routeur distant, l'adresse IP, ainsi que la mappe de synchronisation (sync-map) à envoyer. Pour toute modification correspondant aux règles de TEST, passez à remote-router 192.168.1.22 et utilisez les informations de connexion. Pour les versions 1801zf et antérieures, un appel REST est effectué pour réaliser cette opération à l'aide de l'API VRA. Ainsi, le serveur HTTPS doit être en cours d'exécution (et non bloqué) sur le routeur distant. La version 1908/1912 réécrit config-sync afin d'utiliser netconf à la place d'HTTPS pour traiter les problèmes de performances dans les éditions précédentes. Les lignes suivantes sont requises, avec le paramètre allow dans les règles de pare-feu de chaque unité Vyatta, pour établir des connexions entre les unités sur le port 830 :

set service netconf
set service ssh port 830
set service ssh port 22

Pour synchroniser la configuration d'un mot de passe, tel qu'un secret pré-partagé pour un VPN IPsec, le système en attente doit avoir le groupe secrets qui est configuré et l'utilisateur config-sync doit faire partie de ce groupe.

set system login group secrets
set system login user vyatta authentication plaintext-password '****'
set system login user vyatta group secrets

La synchronisation de la configuration (Config-sync) a lieu à chaque fois que vous validez une modification. Soyez attentif aux messages d'erreur en provenance de l'unité distante. Si la configuration n'est pas synchronisée, vous devez la corriger sur l'unité distante pour qu'elle soit à nouveau opérationnelle.

Vous pouvez également voir les différences de configuration en utilisant la commande show config-sync difference.