同步高可用性 (HA) 配置
高可用性 (HA) 对中的两个 IBM Cloud® Virtual Router Appliances (VRA) 必须充分同步其配置,以便两个设备以类似的方式运行。 此过程通过 configuration sync-maps
完成,您可以选择同步配置的哪个部分。 如果更改一台机器,就会将标记的配置推送到另一台设备。
该过程将本地设备的运行配置同步保存到远程设备上。 不过,作为提交过程的一个步骤,它不会在本地设备上保存配置。
不要同步一个系统独有的配置。 例如,不要同步真实 IP 地址和 MAC。 system config-sync
配置节点本身和 service https
节点无法同步。
下面的示例说明了 config-sync
:
set system config-sync sync-map TEST rule 2 action include
set system config-sync sync-map TEST rule 2 location security firewall
set system config-sync remote-router 192.168.1.22 username vyatta
set system config-sync remote-router 192.168.1.22 password xxxxxx
set system config-sync remote-router 192.168.1.22 sync-map TEST
前两行创建实际的 sync-map
本身。 在这里,security firewall
的配置节被设置在 sync-map
中。 因此,配置节点内的任何更改都会被推送到远程设备。 但是,对 security user
所做的更改无法发送,因为它不符合规则。 您可以将 sync-map
设置为具体的,也可以设置为一般的。
接下来的三行指定了远程路由器的 config-sync
用户和密码、IP 以及要推送的 sync-map
路由器。 任何符合 TEST
规则的更改,请转到 remote-router 192.168.1.22
并使用登录信息。 对于1801zf及更早版本,会调用 REST
来使用 VRA API 执行此操作。 因此,HTTPS 服务器必须在远程路由器上运行(且未被阻止)。
1908/1912 版重写了 config-sync
以使用 netconf
代替 HTTPS,以解决以前版本中的性能问题。 每台 Vyatta 都需要在防火墙规则中加上 allow
,才能通过 830 端口相互连接:
set service netconf
set service ssh port 830
set service ssh port 22
要同步配置密码(如 IPsec VPN 的预共享密码),备用系统必须拥有已配置的 secrets
组,且 config-sync
用户必须在该组中。
set system login group secrets
set system login user vyatta authentication plaintext-password '****'
set system login user vyatta group secrets
Config-sync
每当您提交更改时都会发生。 请监视来自远程设备的错误消息。 如果配置不同步,必须在远程设备上进行修复,使其重新运行。
您还可以使用 show config-sync difference
命令查看配置差异。