
Palo Alto – CITRIX Netscaler LINK MONITORING ile HA
Aşağıdaki şekildeki gibi bir topolojimiz olduğunu varsayıyoruz. Güvenlik duvarları kendi arasında yedekli (Aktif-Pasif) HA çalışır durumda. Yük dengeleme cihazları da Aktif-Pasif yapıda çalışıyor.
Aktif Palo Alto herhangi bir sebeple devre dışı kaldığında HA bağlantısı sayesinde pasif cihaz bundan haberdar olup Aktif konuma geçebiliyor. Benzer durum yük dengeleme cihazları için de geçerli Aktif cihaz bir sebeple sustuğunda pasif cihaz devreye giriyor.
Diyelim ki aktif durumdaki güvenlik duvarında (Palo Alto) bir sorun yaşandı ve devre dışı kaldı. Pasif Güvenlik duvarı trafiği üzerine alacak ve aktif duruma geçecektir. Ancak bu durumdan netscaler’ın haberi olmadığından aktif pasif değişimi yapılamayacak, netscaler arkasındaki servislere dışardan ulaşılamayacaktır (Default ayarlarda). Durum aşağıdaki gibi olacak:
Tam yedeklilik için aşağıdaki topolojinin oluşturulması gerekiyordu. Fakat bizim case’imizde Palo alto üzerinde bu topolojiyi gerçekleştirebilecek sayıda port yok. O yüzden Palo Alto ve Netscaler tarafında Link and Path Monitoring yeteneklerini kullanarak. Tam yedekliliği o şekilde sağlamak istiyoruz.
Yukarıdaki gibi çapraz bağlantılar yapmadan, tam yedekliliği sağlamak için yapılması gerekenler:
Palo Alto tarafında yapılması gereken ayar:
1.Device > High Availability altında Link and Path monitoring tabına gelin
Link monitoring tabının sağ üst köşesindeki butona tıklayarak Enable ve Any seçerek OK.
2.Link Group tabındaki Add butonuna basarak izlenmesi istenen (yani bizim case’imizde citrix’e giden) portu seçin Enable deyip OK ile kaydedin.
Commit edin.
Citrix Netscaler tarafında yapılması gereken ayar:
1.Configuration > System > Network > Interfaces altına gelin
2.Palo Altonun bağlı olduğu porta tıklayıp içine girin. HA monitoring’i ON duruma getirin ve kaydedin.
3.Dana önceden citrix kurulumunda cihazlar HA olarak çalışması gereken ayarlar yapılmışsa, aşağıdakine benzer bir görüntüyü Configuration > System > High Availability altında görüyor olmanız gerek
UP durumda olan cihazın üstüne tıklayın kutucukların aşağıdaki gibi işaretlendiğinden emin olun.
Kaydedin. Pasif durumda olan cihazlarda da bu değişikliklerin gerçekleştiğinden emin olun. Yedeklilik testi için cihazlarınızı kapatıp açabilirsiniz. Bu topolojide bir cihaz devre dışı kaldığında sistemin tekrar çalışır hale gelmesi 30 sn 1 dk arasında zaman alabiliyor.
Diğer Palo Alto yazıları için tıklayın
Diğer Netscaler yazıları için tıklayın
teşekkürler hocam aydınlandık…
Rica ederim.