Informationen zur hohen Verfügbarkeit (Legacy)
Wichtig
Defender für IoT empfiehlt jetzt die Verwendung von Microsoft-Clouddiensten oder vorhandener IT-Infrastruktur für die zentrale Überwachung und Sensorverwaltung, und plant, die lokale Verwaltungskonsole am 1. Januar 2025zurückzuziehen.
Weitere Informationen finden Sie unter Bereitstellen einer hybriden oder luftgespaltenen OT-Sensorverwaltung.
Erhöhen Sie die Ausfallsicherheit Ihrer Defender für IoT-Bereitstellung, indem Sie hohe Verfügbarkeit auf Ihrer lokalen Verwaltungskonsole konfigurieren. Bereitstellungen mit hoher Verfügbarkeit stellen sicher, dass Ihre verwalteten Sensoren kontinuierlich an eine aktive lokale Verwaltungskonsole berichten.
Diese Bereitstellung erfolgt mit einem lokalen Paar von Verwaltungskonsolen, das eine primäre und eine sekundäre Appliance umfasst.
Anmerkung
In diesem Dokument wird die lokale Hauptverwaltungskonsole als primäre Verwaltungskonsole bezeichnet, und der Agent wird als sekundär bezeichnet.
Voraussetzungen
Bevor Sie die Verfahren in diesem Artikel ausführen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllt haben:
Stellen Sie sicher, dass eine lokale Verwaltungskonsole sowohl in einer primären Appliance als auch in einer sekundären Appliance installiert ist.
- Sowohl ihre primären als auch die sekundären lokalen Verwaltungskonsolengeräte müssen identische Hardwaremodelle und Softwareversionen ausführen.
- Sie müssen als privilegierter Benutzersowohl auf die primäre als auch auf die sekundäre lokale Verwaltungskonsole zugreifen können, um CLI-Befehle auszuführen. Weitere Informationen finden Sie unter On-premises-Benutzer und Rollen für die OT-Überwachung.
Stellen Sie sicher, dass die primäre lokale Verwaltungskonsole vollständig konfiguriert ist, einschließlich mindestens zwei OT-Netzwerksensoren, die verbunden und in der Konsolenbenutzeroberfläche sichtbar sind, sowie die geplanten Sicherungen oder VLAN-Einstellungen. Alle Einstellungen werden nach der Kopplung automatisch auf die sekundäre Appliance angewendet.
Stellen Sie sicher, dass Ihre SSL/TLS-Zertifikate die erforderlichen Kriterien erfüllen. Weitere Informationen finden Sie unter SSL/TLS-Zertifikatanforderungen für lokale Ressourcen.
Stellen Sie sicher, dass Ihre Sicherheitsrichtlinie Ihrer Organisation Zugriff auf die folgenden Dienste in der primären und sekundären lokalen Verwaltungskonsole gewährt. Diese Dienste ermöglichen auch die Verbindung zwischen den Sensoren und der sekundären lokalen Verwaltungskonsole:
Hafen Dienst Beschreibung 443 oder TCP HTTPS Gewährt Zugriff auf die lokale Verwaltungskonsolen-Webkonsole. 22 oder TCP SSH Synchronisiert die Daten zwischen den primären und sekundären lokalen Verwaltungskonsolen-Appliances. 123 oder UDP Network Time Protocol (NTP) Die NTP-Zeitsynchronisierung der Managementkonsole vor Ort. Stellen Sie sicher, dass die aktiven und passiven Geräte mit derselben Zeitzone definiert sind.
Erstellen Sie das primäre und sekundäre Paar
Wichtig
Führen Sie Befehle nur mit sudo aus, falls angegeben. Wenn nicht angegeben, führen Sie nicht mit sudo aus.
Schalten Sie sowohl die primären als auch die sekundären lokalen Verwaltungskonsolengeräte ein.
Führen Sie in der sekundären Appliancedie folgenden Schritte aus, um die Verbindungszeichenfolge in die Zwischenablage zu kopieren:
Melden Sie sich bei der sekundären lokalen Verwaltungskonsole an, und wählen Sie Systemeinstellungenaus.
Wählen Sie im Bereich Sensor-Setup - Verbindungszeichenfolge unter Verbindungszeichenfolge kopierendie Schaltfläche
aus, um die vollständige Verbindungszeichenfolge anzuzeigen.Die Verbindungszeichenfolge besteht aus der IP-Adresse und dem Token. Die IP-Adresse befindet sich vor dem Doppelpunkt, und das Token befindet sich hinter dem Doppelpunkt. Kopieren Sie die IP-Adresse und das Token separat. Wenn Ihre Verbindungszeichenfolge z. B.
172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77fist, kopieren Sie die IP-Adresse172.10.246.232und das Tokena2c4gv9de23f56n078a44e12gf2ce77fjeweils separat.
Führen Sie auf der primären Appliancedie folgenden Schritte aus, um die sekundäre Appliance über CLI mit der primären zu verbinden:
Melden Sie sich über SSH bei der primären lokalen Verwaltungskonsole an, um auf die CLI zuzugreifen, und führen Sie dann Folgendes aus:
sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>dabei ist
<Secondary IP>die IP-Adresse der sekundären Appliance und<Secondary token>ist der zweite Teil der Verbindungszeichenfolge nach dem Doppelpunkt, den Sie zuvor in die Zwischenablage kopiert haben.Zum Beispiel:
sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77fDie IP-Adresse wird überprüft, das SSL/TLS-Zertifikat wird in die primäre Appliance heruntergeladen, und alle Sensoren, die mit der primären Appliance verbunden sind, werden mit der sekundären Appliance verbunden.
Wenden Sie Ihre Änderungen auf die primäre Appliance an. Laufen:
sudo cyberx-management-trusted-hosts-applyStellen Sie sicher, dass das Zertifikat auf der primären Appliance ordnungsgemäß installiert ist. Laufen:
cyberx-management-trusted-hosts-list
Ermöglichen Sie die Verbindung zwischen dem Sicherungs- und Wiederherstellungsvorgang der primären und sekundären Appliances:
Führen Sie auf der primären ApplianceFolgendes aus:
cyberx-management-deploy-ssh-key <secondary appliance IP address>Melden Sie sich auf der sekundären Appliancean, melden Sie sich über SSH an, um auf die CLI zuzugreifen, und führen Sie Folgendes aus:
cyberx-management-deploy-ssh-key <primary appliance IP address>
Stellen Sie sicher, dass die Änderungen auf die sekundäre Appliance angewendet wurden. Führen Sie auf der sekundären ApplianceFolgendes aus:
cyberx-management-trusted-hosts-list
Nachverfolgen von Hochverfügbarkeitsaktivitäten
Die wichtigsten Anwendungsprotokolle können an das Defender for IoT-Supportteam exportiert werden, um Probleme mit der Hochverfügbarkeit zu behandeln.
So greifen Sie auf die Kernprotokolle zu:
- Melden Sie sich bei der lokalen Verwaltungskonsole an, und wählen Sie Systemeinstellungen>Exportaus. Weitere Informationen zum Exportieren von Protokollen zum Senden an das Supportteam finden Sie unter Exportieren von Protokollen aus der lokalen Verwaltungskonsole zur Problembehandlung.
Aktualisieren Sie die lokale Verwaltungskonsole für eine hohe Verfügbarkeit.
Um eine lokale Verwaltungskonsole mit konfigurierter hoher Verfügbarkeit zu aktualisieren, müssen Sie:
- Trennen Sie die hohe Verfügbarkeit von den primären und sekundären Appliances.
- Aktualisieren Sie die Appliances auf die neue Version.
- Konfigurieren Sie die hohe Verfügbarkeit wieder auf beide Appliances um.
Führen Sie die Aktualisierung in der folgenden Reihenfolge aus. Stellen Sie sicher, dass jeder Schritt abgeschlossen ist, bevor Sie einen neuen Schritt beginnen.
So aktualisieren Sie eine lokale Verwaltungskonsole mit konfigurierter hoher Verfügbarkeit:
Trennen Sie die hohe Verfügbarkeit von den primären und sekundären Appliances:
Im primären:
Ruft die Liste der aktuell verbundenen Geräte ab. Laufen:
cyberx-management-trusted-hosts-listSuchen Sie die domäne, die der sekundären Appliance zugeordnet ist, und kopieren Sie sie in die Zwischenablage. Zum Beispiel:
Entfernen Sie die sekundäre Domäne aus der Liste der vertrauenswürdigen Hosts. Laufen:
sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]Stellen Sie sicher, dass das Zertifikat ordnungsgemäß installiert ist. Laufen:
sudo cyberx-management-trusted-hosts-apply
Sekundär:
Ruft die Liste der aktuell verbundenen Geräte ab. Laufen:
cyberx-management-trusted-hosts-listSuchen Sie die domäne, die der primären Appliance zugeordnet ist, und kopieren Sie sie in die Zwischenablage.
Entfernen Sie die primäre Domäne aus der Liste der vertrauenswürdigen Hosts. Laufen:
sudo cyberx-management-trusted-hosts-remove -d [Primary domain]Stellen Sie sicher, dass das Zertifikat ordnungsgemäß installiert ist. Laufen:
sudo cyberx-management-trusted-hosts-apply
Aktualisieren Sie sowohl die primären als auch die sekundären Appliances auf die neue Version. Weitere Informationen finden Sie unter Aktualisieren einer lokalen Verwaltungskonsole.
Richten Sie die Hochverfügbarkeit erneut auf den primären und sekundären Appliances ein. Weitere Informationen finden Sie unter Erstellen des primären und sekundären Paars.
Failoverprozess
Nach dem Einrichten der hohen Verfügbarkeit stellen OT-Sensoren automatisch eine Verbindung mit einer sekundären lokalen Verwaltungskonsole her, wenn sie keine Verbindung mit der primären herstellen können. Wenn weniger als die Hälfte der OT-Sensoren derzeit mit der sekundären Maschine kommunizieren, wird Ihr System sowohl von den primären als auch von sekundären Computern gleichzeitig unterstützt. Wenn mehr als die Hälfte der OT-Sensoren mit der sekundären Maschine kommunizieren, übernimmt die sekundäre Maschine die gesamte OT-Sensor-Kommunikation. Das Failover vom primären auf den sekundären Computer dauert ungefähr drei Minuten.
Wenn ein Failover auftritt, friert die primäre vor Ort Verwaltungskonsole ein, und Sie können sich mit denselben Anmeldeinformationen bei der sekundären anmelden.
Während des Failovers versuchen Sensoren weiterhin, mit der primären Appliance zu kommunizieren. Wenn mehr als die Hälfte der verwalteten Sensoren erfolgreich mit dem Primärsystem kommunizieren, wird das Primärsystem wiederhergestellt. Die folgende Meldung wird auf der sekundären Konsole angezeigt, wenn die primäre Wiederhergestellt wird:
Melden Sie sich nach der Umleitung wieder bei der primären Appliance an.
Behandeln abgelaufener Aktivierungsdateien
Aktivierungsdateien können nur in der primären lokalen Verwaltungskonsole aktualisiert werden.
Bevor die Aktivierungsdatei auf dem sekundären Computer abläuft, definieren Sie sie als primären Computer, damit Sie die Lizenz aktualisieren können.
Weitere Informationen finden Sie unter Hochladen einer neuen Aktivierungsdatei.
Nächste Schritte
Weitere Informationen finden Sie unter Aktivieren und Einrichten einer lokalen Verwaltungskonsole.