IBM Cloud Docs
同步高可用性 (HA) 配置

同步高可用性 (HA) 配置

高可用性 (HA) 对中的两个 IBM Cloud® Virtual Router Appliances (VRA) 必须充分同步其配置,以便两个设备以类似的方式运行。 此过程通过 configuration sync-maps 完成,您可以选择同步配置的哪个部分。 如果更改一台机器,就会将标记的配置推送到另一台设备。

该过程将本地设备的运行配置同步保存到远程设备上。 不过,作为提交过程的一个步骤,它不会在本地设备上保存配置。

不要同步一个系统独有的配置。 例如,不要同步真实 IP 地址和 MAC。 system config-sync 配置节点本身和 service https 节点无法同步。

下面的示例说明了 config-sync

set system config-sync sync-map TEST rule 2 action include
set system config-sync sync-map TEST rule 2 location security firewall
set system config-sync remote-router 192.168.1.22 username vyatta
set system config-sync remote-router 192.168.1.22 password xxxxxx
set system config-sync remote-router 192.168.1.22 sync-map TEST

前两行创建实际的 sync-map 本身。 在这里,security firewall 的配置节被设置在 sync-map 中。 因此,配置节点内的任何更改都会被推送到远程设备。 但是,对 security user 所做的更改无法发送,因为它不符合规则。 您可以将 sync-map 设置为具体的,也可以设置为一般的。

接下来的三行指定了远程路由器的 config-sync 用户和密码、IP 以及要推送的 sync-map 路由器。 任何符合 TEST 规则的更改,请转到 remote-router 192.168.1.22 并使用登录信息。 对于1801zf及更早版本,会调用 REST 来使用 VRA API 执行此操作。 因此,HTTPS 服务器必须在远程路由器上运行(且未被阻止)。 1908/1912 版重写了 config-sync 以使用 netconf 代替 HTTPS,以解决以前版本中的性能问题。 每台 Vyatta 都需要在防火墙规则中加上 allow,才能通过 830 端口相互连接:

set service netconf
set service ssh port 830
set service ssh port 22

要同步配置密码(如 IPsec VPN 的预共享密码),备用系统必须拥有已配置的 secrets 组,且 config-sync 用户必须在该组中。

set system login group secrets
set system login user vyatta authentication plaintext-password '****'
set system login user vyatta group secrets

Config-sync 每当您提交更改时都会发生。 请监视来自远程设备的错误消息。 如果配置不同步,必须在远程设备上进行修复,使其重新运行。

您还可以使用 show config-sync difference 命令查看配置差异。