Informace o vysoké dostupnosti (starší verze)

Důležitý

Defender for IoT nyní doporučuje používat cloudové služby Microsoftu nebo stávající IT infrastrukturu pro centrální monitorování a správu senzorů a plánuje ukončení provozu místní konzole pro správu k 1. lednu 2025.

Další informace najdete v tématu Nasazení hybridního nebo s odděleným přístupem (air-gapped) správy senzorů OT.

Zvyšte odolnost nasazení Defenderu pro IoT tím, že nakonfigurujete vysokou dostupnost v místní konzole pro správu. Nasazení zajišťující vysokou dostupnost garantují, že vaše spravované senzory nepřetržitě hlásí do aktivní místní konzole pro správu.

Toto nasazení se implementuje pomocí dvojice lokálních konzol pro správu, která zahrnuje primární a sekundární zařízení.

Poznámka

V tomto dokumentu se hlavní místní konzola pro správu označuje jako primární a agent se označuje jako sekundární.

Požadavky

Před provedením postupů v tomto článku ověřte, že splňujete následující požadavky:

• Ujistěte se, že máte nainstalovanou místní konzolu pro správu na primárním i sekundárním zařízení.

  • Primární i sekundární místní zařízení konzoly pro správu musí používat stejné hardwarové modely a verze softwaru.
  • Abyste mohli spouštět příkazy rozhraní příkazového řádku, musíte mít přístup k primární i sekundární místní konzole pro správu jako privilegovaného uživatele. Další informace naleznete v tématu uživatelé a role pro monitorování OT v lokálních podmínkách.

• Ujistěte se, že je primární místní konzola pro správu plně nakonfigurovaná, včetně alespoň dvou síťových senzorů OT připojených a viditelných v uživatelském rozhraní konzoly a také plánovaných záloh nebo nastavení sítě VLAN. Všechna nastavení se po spárování automaticky použijí na sekundární zařízení.

• Ujistěte se, že certifikáty SSL/TLS splňují požadovaná kritéria. Další informace najdete v tématu požadavky na certifikát SSL/TLS pro místní prostředky.

• Ujistěte se, že zásady zabezpečení vaší organizace umožňují přístup k následujícím službám v primární a sekundární místní konzole pro správu. Tyto služby také umožňují propojení mezi senzory a sekundární místní konzolou pro správu:

  Přístav	Služba	Popis
  443 nebo TCP	HTTPS	Uděluje přístup k webové konzole pro správu na místní síti.
  22 nebo TCP	SSH	Synchronizuje data mezi primárními a sekundárními místními zařízeními konzoly pro správu.
  123 nebo UDP	NTP	Synchronizace času NTP konzoly pro místní správu. Ověřte, že aktivní a pasivní zařízení jsou nastavena se stejným časovým pásmem.

Vytvoření primárního a sekundárního páru

Důležitý

Spouštění příkazů s sudo pouze tam, kde je uvedeno. Pokud není uvedeno, nespouštějte pomocí sudo.

1. Zapněte primární i sekundární místní zařízení konzoly pro správu.

2. Na sekundárním zařízenízkopírujte připojovací řetězec do schránky pomocí následujícího postupu:

   1. Přihlaste se do sekundární místní konzole pro správu a vyberte Nastavení systému.

   2. V oblasti nastavení snímačů – připojovací řetězec v části Copy Connection String(Kopírovat připojovací řetězec) vyberte tlačítko a zobrazte úplný připojovací řetězec.

   3. Připojovací řetězec se skládá z IP adresy a tokenu. IP adresa je před dvojtečkou a token je za dvojtečkou. Zkopírujte IP adresu a token samostatně. Pokud je například připojovací řetězec 172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77f, zkopírujte IP adresu 172.10.246.232 a token a2c4gv9de23f56n078a44e12gf2ce77f samostatně.

      

3. Na primárním zařízenípomocí následujícího postupu připojte sekundární zařízení k primárnímu prostřednictvím rozhraní příkazového řádku:

   1. Přihlaste se k primární místní konzole pro správu přes SSH, abyste mohli získat přístup k rozhraní příkazového řádku, a pak spusťte:

      sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>
      

      kde <Secondary IP> je IP adresa sekundárního zařízení a <Secondary token> je druhá část připojovacího řetězce po dvojtečce, kterou jste si dříve zkopírovali do schránky.

      Například:

      sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77f

      Ip adresa se ověří, certifikát SSL/TLS se stáhne do primárního zařízení a všechny senzory, které jsou připojené k primárnímu zařízení, jsou připojené k sekundárnímu zařízení.

   2. Použijte změny na primárním zařízení. Běžet:

      sudo cyberx-management-trusted-hosts-apply
      

   3. Ověřte, že je certifikát správně nainstalovaný na primárním zařízení. Běžet:

      cyberx-management-trusted-hosts-list
      

4. Povolte propojení mezi procesem zálohování a obnovení primárního a sekundárního zařízení:

   • Na primárním zařízeníspusťte:

     cyberx-management-deploy-ssh-key <secondary appliance IP address>
     

   • Na sekundárním zařízeníse přihlaste přes SSH, abyste mohli získat přístup k rozhraní příkazového řádku, a spusťte:

     cyberx-management-deploy-ssh-key <primary appliance IP address>
     

5. Ověřte, že se změny použily na sekundárním zařízení. Na sekundárním zařízeníspusťte:

   cyberx-management-trusted-hosts-list
   

Sledování aktivity s vysokou dostupností

Záznamy jádra aplikace je možné exportovat do týmu podpory Defenderu pro IoT, aby řešil jakékoli problémy s vysokou dostupností.

Přístup k základním protokolům:

1. Přihlaste se do té místní konzole pro správu a vyberte Nastavení systému>Exportování. Další informace o exportu protokolů, které se mají odeslat týmu podpory, najdete v tématu Export protokolů z místní konzoly pro správu, kde najdete informace o řešení potíží s.

Aktualizace místní konzoly pro správu s vysokou dostupností

Pokud chcete aktualizovat místní konzolu pro správu, která má nakonfigurovanou vysokou dostupnost, budete muset:

1. Odpojte funkci vysoké dostupnosti u primárních a sekundárních zařízení.
2. Aktualizujte zařízení na novou verzi.
3. Znovu nakonfigurujte vysokou dostupnost na obě zařízení.

Proveďte aktualizaci v následujícím pořadí. Před zahájením nového kroku se ujistěte, že je každý krok dokončený.

Aktualizace správní konzole na pracovišti mající nakonfigurovanou vysokou dostupnost:

1. Deaktivujte vysokou dostupnost u primárního i sekundárního zařízení:

   Na primárním serveru:

   1. Získejte seznam aktuálně připojených zařízení. Běžet:

      cyberx-management-trusted-hosts-list
      

   2. Vyhledejte doménu přidruženou k sekundárnímu zařízení a zkopírujte ji do schránky. Například:

      

   3. Odeberte sekundární doménu ze seznamu důvěryhodných hostitelů. Běžet:

      sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]
      

   4. Ověřte, že je certifikát správně nainstalovaný. Běžet:

      sudo cyberx-management-trusted-hosts-apply
      

   Na sekundáru:

   1. Získejte seznam aktuálně připojených zařízení. Běžet:

      cyberx-management-trusted-hosts-list
      

   2. Vyhledejte doménu přidruženou k primárnímu zařízení a zkopírujte ji do schránky.

   3. Odeberte primární doménu ze seznamu důvěryhodných hostitelů. Běžet:

      sudo cyberx-management-trusted-hosts-remove -d [Primary domain]
      

   4. Ověřte, že je certifikát správně nainstalovaný. Běžet:

      sudo cyberx-management-trusted-hosts-apply
      

2. Aktualizujte primární i sekundární zařízení na novou verzi. Další informace najdete v tématu Aktualizace místní konzoly pro správu.

3. Znovu nastavte vysokou dostupnost na primárních i sekundárních zařízeních. Další informace najdete v tématu Vytvoření primárního a sekundárního páru.

Proces převzetí služeb při selhání

Po nastavení vysoké dostupnosti se senzory OT automaticky připojují k sekundární místní konzole pro správu, pokud se nemůžou připojit k primární konzole. Pokud s sekundárním počítačem v současné době komunikuje méně než polovina senzorů OT, podporuje váš systém současně primární i sekundární počítače. Pokud s sekundárním počítačem komunikuje více než polovina senzorů OT, převezme sekundární počítač veškerou komunikaci senzoru OT. Přepnutí z primárního na sekundární počítadlo trvá přibližně tři minuty.

Když dojde k přepnutí při selhání, primární místní konzola pro správu zamrzne a můžete se přihlásit do sekundární konzole pomocí stejných přihlašovacích údajů.

Během převzetí při selhání senzory pokračují v pokusech o komunikaci s primárním zařízením. Když více než polovina spravovaných senzorů úspěšně komunikuje s primárním systémem, primární jednotka se obnoví. Po obnovení primární konzoly se v sekundární konzole zobrazí následující zpráva:

Po přesměrování se znovu přihlaste k primárnímu zařízení.

Zpracování aktivačních souborů s vypršenou platností

Aktivační soubory je možné aktualizovat pouze v primární místní konzole pro správu.

Než vyprší platnost aktivačního souboru na sekundárním počítači, definujte ho jako primární počítač, abyste mohli licenci aktualizovat.

Další informace najdete v tématu Nahrání nového aktivačního souboru.

Další kroky

Další informace najdete v tématu Aktivace a nastavení místní konzoly pro správu.