詳細は、「フェイルオーバー・レポータ・システムの構成」を参照してください。
SSLおよびFormsトラフィック
SSLトラフィックおよびOracle Formsトラフィックは、TCPパケット・ストリームの中断によって影響を受けやすいことに注意してください。 これは、接続中に状態情報を維持する必要があるためです。 したがって、フェイルオーバーまたはフォールバック中に、トラフィックが失われる場合があります。
セカンダリ(すなわちフェイルオーバー)・コレクタ・システムの構成によって、プライマリ・コレクタ・システムが使用できなくなった場合に、ネットワーク・トラフィックの監視をシームレスに引き継げるという利点があります。 これにより、高度な運用信頼性が確保できます。 この機能はリモート・コレクタでのみ使用できます。 フェイルオーバー・コレクタ・システムの構成の詳細は、「図9-1」を参照してください。
図9-1 フェイルオーバー・コレクタの構成
サーバー・レベルでは、クロス・オーバー・ネットワーク・ケーブルによってプライマリ・コレクタ・システムとセカンダリ・コレクタ・システムが接続されます。 プライマリ・サーバーとセカンダリ・サーバー間で通常のハートビートが継続するかぎり、セカンダリ・サーバーはネットワーク・トラフィックのモニタリングを開始しません。 ただし、セカンダリ・サーバーは、プライマリ・サーバーのheartbeatで障害が検出されるとすぐに、プライマリ・コレクタのモニタリング・タスクを引き継ぎます。 このプロセスはフェイルオーバーと呼ばれます。 セカンダリ・コレクタはプライマリ・コレクタの仮想IPアドレスを引き継ぎ、これを介してレポータ・システムが通信します。
フェイルバック(つまり、プライマリ・コレクタを元の状態にリストアするプロセス)は、手動で実行する必要があります。 手順はコレクタのフェイルバックの実施を参照してください。
前提条件
フェイルオーバー・コレクタのインストールを構成するには、次の条件を満たす必要があります。
セカンダリTAPまたはコピー・ポートを、監視対象ネットワーク内のプライマリと同じ場所に挿入する必要があります。
プライマリおよびセカンダリ・コレクタのRUEIソフトウェア・バージョンは同一の必要があります。
プライマリおよびセカンダリ・コレクタ・システムは、クロスオーバー・ケーブルで直結する必要があります。 さらに、両方のシステムをローカルまたはパブリック・ネットワークに接続して、レポータ・システムと接続する必要があります。
プライマリおよびセカンダリ・コレクタ・システムは、ログ・ファイルやリプレイ・データを書き込むのと同じ共有ストレージに直接アクセスできる必要があります。 特に、$RUEI_DATA/collector
ディレクトリは、両方のシステムからアクセスできる必要があります。
重要
フェイルオーバー・システムの構成時は、次の点に注意してください。
セカンダリ・コレクタへのフェイルオーバーを行うと、プライマリ・コレクタに記録中の最新データが失われます。 通常、これは1分以内のトラフィックの情報がこれに該当します。
フェイルオーバーを行うこと、TCP、HTTP、SSL、およびOracle Formsベースのセッションに接続中に維持する必要がある状態情報が失われます。 したがって、フェイルオーバー中はこれらのセッションの詳細が提供されません。
上記の点により、一部のページ・ビューが失われます。 これらのページにはセッション・ログオンの詳細が含まれている可能性があります。 その場合は、セッションが匿名として報告されます。 さらに、具体的なユーザー・フロー・ステップが失われることがあります。
セカンダリ・コレクタ・システムのインストール手順は、リモート・コレクタ・システムの場合と同一です。
Linuxオペレーティング・システムとRUEIコレクタ・ソフトウェアを、両方のコレクタ・システム上にインストールします。 詳細は、「前提条件」を参照してください。
セカンダリ・コレクタ・システムのインストール手順を開始する際、/etc/ruei.conf
ファイルがプライマリ・コレクタ・システムのものと同一であることを確認してください。
セカンダリ・コレクタを構成する手順は、次のとおりです:
.ssh
ディレクトリ(レポータの通信構成(分割サーバー設定のみ) に記載の手順に従って作成)を、プライマリ・コレクタからセカンダリ・コレクタにコピーします。 同じロケーションにコピーする必要があります。
プライマリ・コレクタ・システムで、次のコマンドを実行してコレクタのホスト・キーをレポータ・システムのグローバルなknown_hosts
ファイルに追加します:
. /etc/ruei.conf ifconfig ${RUEI_COL_FAILOVER_VIRTUAL_DEV}:0 $RUEI_COL_FAILOVER_VIRTUAL_IP \ netmask $RUEI_COL_FAILOVER_VIRTUAL_MASK up sleep 2 arping -c 3 -A -I $RUEI_COL_FAILOVER_VIRTUAL_DEV $RUEI_COL_FAILOVER_VIRTUAL_IP
レポータ・システム上で、arp
-a
またはping
コマンドを使用して、プライマリ・コレクタ・システムの仮想IPアドレスに到達できることを確認します。
続けて、次のコマンドを実行します。
ssh-keyscan -t rsa,dsa Collector-virt-ip-address
>> /etc/ssh/ssh_known_hosts
RUEI_USER
ユーザーとして、仮想コレクタのIPアドレスが~/.ssh/known_hosts
ファイルに指定されていないことを確認します。
SSH接続を、レポータ・システムからプライマリ・コレクタ・システムへのRUEI_USER
ユーザーとして確立しようとします。 ホスト・キーに関する警告やプロンプトは表示されず、自動的にログインする必要があります。
プライマリ・コレクタ・システムで、次のコマンドを実行している仮想IPアドレスを停止します:
ifconfig ${RUEI_COL_FAILOVER_VIRTUAL_DEV}:0 $RUEI_COL_FAILOVER_VIRTUAL_IP netmask $RUEI_COL_FAILOVER_VIRTUAL_MASK down
上記の手順をセカンダリ・コレクタ・システムでも繰り返します。 完了したら、/etc/ssh/ssh_known_hosts
ファイルで、4つのキーが仮想IPアドレス用に指定されているはずです。
RUEI_USER
ユーザーのuid
およびgid
設定が、プライマリおよびセカンダリの両方のコレクタ・システムで同じであることを確認します。
次に例を示します。
id moniforce uid=501(moniforce) gid=502(moniforce) groups=502(moniforce)
重要
業務用コレクタ・システムでRUEI_USER
ユーザーのUID
を変更する必要がある場合は、次のことを行う必要があります:
RUEI_USER
ユーザーとして次のコマンドを実行します:
appsensor stop wg sslloadkeys -f
プロンプトが表示されたら、yes
(フル)を入力する必要があります。
/var/opt/ruei/collector
の下のすべてのファイルとディレクトリのuser:group所有権を、新しいUID
に変更します。
root
ユーザーで次のコマンドを実行します。
/etc/init.d/crond restart
両方のコレクタ・システムでクロスオーバー・ケーブルに使用する静的IPアドレスを構成します。 system-config-network
などのユーティリティを使用して行えます。
共有ストレージをRUEI_DATA
/collector
ディレクトリにマウントし、/etc/fstab
ファイルがブート時にマウントされるように編集します。
次に例を示します。
10.6.5.9:/home/nfs /var/opt/ruei/collector/data nfs rsize=1024,wsize=1024 0 0
注意:
コレクタがこのステップの前にすでに動作していて、$RUEI_DATA/collector
ディレクトリが共有されていない場合は、既存のディレクトリの内容を上で指定したマウント・ポイントにコピーする必要があります。 セキュリティ担当者は、このコピー・プロセスにサーバーのSSLキーが含まれていることを認識しておく必要があります。
コレクタがこのステップの前にすでに動作していて、$RUEI_DATA/collector
ディレクトリが共有されていない場合は、既存のディレクトリの内容を上で指定したマウント・ポイントにコピーする必要があります。 セキュリティ担当者は、このコピー・プロセスにサーバーのSSLキーが含まれていることを認識しておく必要があります。
あるいは、共有ストレージにリプレイ・データのストレージを格納するのに十分な帯域幅がない場合、かわりにREPLAY
ディレクトリをローカルな場所にsymlinkできます。 この場合は、HTTPログ・ファイルとログだけが共有ディスクに書き込まれます。 ただし、この構成を指定すると、フェイルオーバー起動前に記録されたリプレイ・データは失われ、フェイルオーバー以降のセッションだけにアクセスできます。 さらに、これらのリンクは工場出荷時のデフォルトにリセットされるので、初期のコレクタ設定時にはディレクトリが存在しません。
プライマリ・コレクタ・システムとセカンダリ・コレクタ・システムの両方の/etc/ruei.conf
ファイルを編集して、仮想、プライマリおよびスタンバイIPアドレスを指定します。
次に例を示します。
RUEI_COL_FAILOVER_PRIMARY_IP=192.168.56.201 # crossover cable primary RUEI_COL_FAILOVER_STANDBY_IP=192.168.56.202 # crossover cable secondary RUEI_COL_FAILOVER_VIRTUAL_IP=10.11.12.23 # (virtual) IP to access Collector RUEI_COL_FAILOVER_VIRTUAL_DEV=eth0 RUEI_COL_FAILOVER_VIRTUAL_MASK=255.255.255.0
RUEI_COL_FAILOVER_PRIMARY_IPおよびRUEI_COL_FAILOVER_STANDBY_IP設定で、2つのコレクタ・システム間のクロスオーバー・ケーブルのIPアドレスを指定する必要があります。 これらの設定の詳細は、「RUEI構成ファイルを確認」を参照してください。 両方のコレクタ・システムに指定する設定は同一である必要があります。
レポータとコレクタ間のすべての通信が、指定された仮想IPアドレス経由で行われていることを確認します。 これは、プライマリ・コレクタが使用できなくなった場合に、セカンダリ・コレクタに自動的にフェイルオーバーを行うために必要です。 このため、既存のコレクタ・システムの再構成が必要になる場合があります。
ruei-collector-failover.sh
スクリプトを両方のコレクタ・システムにインストールします。 たとえば/usr/local/bin
ディレクトリなどです。 RUEI zipファイルに保存されます。 詳細は、「RUEIソフトウェアの展開」を参照してください。
プライマリおよびセカンダリの両方のコレクタ・システムのroot
ユーザーcrontab
ファイルに、次のエントリを追加します:
* * * * * /usr/local/bin/ruei-collector-failover.sh
これによって、セカンダリ・コレクタがハートビート信号をプライマリ・コレクタに60秒間隔で送信し、プライマリ・コレクタが使用できなくなった場合に、RUEIの監視対象トラフィックの処理を引き継ぎます。
少なくとも60秒待機します。
プライマリ・コレクタ上の/sbin/ifconfig
コマンド出力をチェックし、仮想IPアドレスが正しく構成されていることを確認します。
次に例を示します。
$ /sbin/ifconfig eth0 Link encap:Ethernet HWaddr 08:00:27:F7:B0:14 inet addr:192.168.56.201 Bcast:192.168.56.255 Mask:255.255.255.0 inet6 addr: fe80::a00:27ff:fef7:b014/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:80 errors:0 dropped:0 overruns:0 frame:0 TX packets:311 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:12793 (12.4 KiB) TX bytes:26268 (25.6 KiB) eth0:0 Link encap:Ethernet HWaddr 08:00:27:F7:B0:14 inet addr:10.11.12.23 Bcast:192.168.56.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
レポータからプライマリ・リモート・コレクタの登録を解除し、仮想IPアドレスを使用して再度登録します。
プライマリ・コレクタ・システムを停止し、セカンダリ・コレクタがモニター対象トラフィックの処理を開始することを検証します。 プライマリ・システムに到達できず、セカンダリ・システムが起動されているという警告がイベント・ログに報告されます。 そうした後、フェイルバックを実行して、RUEIインストールを元の状態に戻す必要があります。
RUEIのインストールを元の状態に戻すためには、プライマリ・コレクタ・システムへのフェイルバックを手動で行う必要があります。 次を実行します。
プライマリ回収担当システムで、次のコマンドを実行します:
. /etc/ruei.conf echo $RUEI_COL_FAILOVER_PRIMARY_IP > \ /var/opt/ruei/collector/active-failover-server
セカンダリ・コレクタ・システムで、次のコマンドを実行します:
. /etc/ruei.conf ifconfig ${RUEI_COL_FAILOVER_VIRTUAL_DEV}:0 $RUEI_COL_FAILOVER_VIRTUAL_IP \ netmask $RUEI_COL_FAILOVER_VIRTUAL_MASK down
(/etc/ruei.conf
ファイルがロードされた状態で)プライマリ・コレクタ・システムで、次のコマンドを実行します:
ifconfig ${RUEI_COL_FAILOVER_VIRTUAL_DEV}:0 $RUEI_COL_FAILOVER_VIRTUAL_IP \ netmask $RUEI_COL_FAILOVER_VIRTUAL_MASK up sleep 2 arping -c 3 -A -I $RUEI_COL_FAILOVER_VIRTUAL_DEV $RUEI_COL_FAILOVER_VIRTUAL_IP