NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
Regroupement avec NxFilter
NxFilter prend en charge la mise en grappe pour l'équilibrage de la charge et la sécurité intégrée. Une fois que vous avez un nœud maître, vous pouvez ajouter jusqu'à 4 nœuds esclaves à votre cluster. esclaves à votre cluster. Tous les nœuds esclaves de votre cluster partagent les paramètres de leur nœud maître. Vous pouvez donc tout contrôler tout sur votre nœud maître.

Création d'un cluster
Pour créer un cluster, la première chose à faire est de configurer un noeud maître. Sur System > Clustering, vous pouvez faire de l'une de vos installations NxFilter votre nœud maître. Ensuite, vous pouvez ajouter les autres installations NxFilter en tant que nœuds maîtres. NxFilter en tant que nœuds esclaves à votre nœud maître. Vous devez redémarrer NxFilter après avoir modification de la configuration du cluster.

Clustering requires TCP/19002, TCP/19003, TCP/19004, UDP/19004 ports opened on the master node.

Démarrage du cluster NxFilter
Lorsque vous démarrez le cluster NxFilter, démarrez d'abord votre nœud maître, puis vos nœuds esclaves. En effet, les nœuds esclaves doivent télécharger la configuration initiale à partir de leur nœud maître lorsqu'ils démarrent.

Équilibrage de charge et sécurité intégrée
Une bonne chose à propos d'un filtre DNS est qu'il existe déjà un moyen d'équilibrer la charge et d'assurer la sécurité. Faites de votre nœud maître le serveur DNS primaire et de votre nœud esclave le serveur DNS secondaire de votre réseau. secondaire de votre réseau. Vous disposez alors d'un équilibrage de charge et d'une sécurité intégrée.

Anycast pour la redirection de blocs
Vous pouvez avoir plusieurs adresses IP de redirection de blocs sur votre réseau. System > Setup pour la redondance. Cependant, cela n'est pas idéal lorsque vous placez 4 noeuds ou plus derrière 2 adresses IP utilisant Anycast. Si vous définissez ces 2 adresses IP dans l'interface graphique, vous risquez de rediriger vos clients vers un endroit qui n'est pas proche d'eux. Avec Anycast, vous voulez rediriger vos clients bloqués vers le serveur le plus proche qui est le serveur qui les a bloqués. Pour ce faire, vous pouvez définir 'block_node_ip' dans le fichier /nxcloud/conf/cfg.properties de chaque nœud avec son IP Anycast.

Par exemple, si vous voulez transférer vos clients bloqués vers 192.168.0.100 à partir d'un nœud, ajoutez la ligne suivante dans son fichier /nxcloud/conf/cfg/propriétés, ajoutez la ligne suivante dans son fichier /nxcloud/conf/cfg.properties.

    block_node_ip = 192.168.0.100

Lorsqu'un nœud de cluster est hors service
Lorsqu'un noeud esclave tombe, les autres noeuds ne sont pas affectés. Lorsque votre noeud maître tombe en panne, vous ne perdez pas votre filtrage à moins que vous ne redémarriez votre noeud esclave. filtrage à moins que vous ne redémarriez votre nœud esclave avant de restaurer le nœud maître. Cependant, il y a plusieurs choses que vous devez être conscient de plusieurs choses.

Si vous avez configuré un email d'alerte sur System > Alert, vous recevrez un courriel lorsqu'un nœud du cluster est en panne.

1. La redirection de login ne fonctionnera pas

Lorsque votre nœud maître est en panne, nous ne pouvons pas partager la session de connexion entre les nœuds du cluster. Cela signifie que votre page de connexion ne fonctionnera pas correctement. Nous ne redirigeons donc pas les utilisateurs vers la page de connexion.

2. Les utilisateurs non authentifiés seront contournés.

Si nous ne redirigeons pas les "utilisateurs de mot de passe" vers la page de connexion, ils ne peuvent pas se connecter. Cependant, nous ne voulons pas qu'ils perdent l'accès à Internet. Nous contournons donc le filtrage pour ces utilisateurs non authentifiés lorsque votre nœud principal est en panne. Si vous ne voulez pas contourner le filtrage pour les utilisateurs même si votre nœud principal est en panne, essayez d'avoir un utilisateur par défaut qui couvre l'ensemble de la plage IP de votre réseau. couvrant l'ensemble de la plage IP de votre réseau.

Le cas de NxCloud est un peu différent. Il laisse tomber les requêtes des utilisateurs non authentifiés parce que la redirection de connexion n'est pas une option par défaut pour NxCloud. pas une option par défaut pour NxCloud et que les utilisateurs de NxCloud utilisent principalement d'autres méthodes d'authentification.

3. plusieurs adresses IP de serveur avec un agent

Si vous utilisez nos programmes d'agent avec plusieurs adresses IP de serveur pour la sécurité intégrée, ils fonctionneront toujours.

Contrôle d'accès pour un noeud esclave
Si vous ajoutez toutes les adresses IP de vos nœuds esclaves dans le champ System > Clustering, toute tentative d'accès à un nœud esclave à partir d'une inconnue sera bloquée.

Surveillance de l'état de la connexion
Vous pouvez visualiser l'état de la connexion de vos nœuds esclaves sur System > Clustering. Une fois que vous avez configuré votre cluster vos nœuds esclaves seront affichés avec l'heure du dernier contact sur la page. La page indique également l'état de connexion de chaque nœud request, block, user, client-ip  counting data. These counters will be set to 0 on midnight or when you restart NxFilter.

Vérification de la connexion du nœud maître
Sur un noeud esclave, il y a un processus de vérification de connexion en cours d'exécution dans backgroud. Il vérifie la connexion à son nœud maître en se basant sur TCP/19003 et TCP/19004. Lorsqu'il y a un problème de connexion ou si votre noeud maître est bloqué, vous êtes notifié par une alerte à l'adresse email de l'administrateur sur System > Alert.

Cependant, nous avons constaté que cette méthode de vérification de la connexion ne fonctionne pas correctement dans certaines conditions. Votre nœud esclave doit être notifié par l'événement de fermeture de socket de son système d'exploitation. Cela fonctionne lorsque votre nœud maître s'arrête ou lorsqu'il y a un problème de réseau sous Windows. Mais s'il s'agit d'un système Linux, cela ne fonctionne pas bien. ne fonctionne pas bien. Votre nœud esclave attendra longtemps les réponses de son nœud maître, même en cas de panne de réseau. s'il y a une panne de réseau.

Pour résoudre ce problème, nous avons créé un processus de vérification supplémentaire sur le nœud esclave. Il vérifiera TCP/80 de votre nœud nœud maître. Si le TCP/80 de votre nœud maître est fermé, il contournera la communication avec son nœud maître et vous en informera par e-mail. vous notifiera le problème par un email d'alerte. Comme ce n'est pas pour tout le monde, vous devez l'activer sur votre nœud esclave, vous devez l'activer du côté de l'esclave. Vous pouvez ajouter la ligne suivante dans le fichier /nxfilter/conf/cfg.properties fichier.

    cluster_double_check = 1

L'option 'cluster_double_check' a été introduite par la version 4.5.2.4 de NxFilter et NxCloud.

Dépannage
Lorsque vous n'avez pas d'entrée pour votre noeud maître sur /etc/hosts fichier de votre nœud esclave, ce dernier peut être bloqué par le message suivant lors de son démarrage le message suivant au cours de son processus de démarrage, 

	INFO [07-31 06:10:53] - MM, MasterCheck started.

Ce problème provient de notre bibliothèque DB. Elle nécessite un nom d'hôte en /etc/hosts pour se connecter.