Acerca de la alta disponibilidad (heredado)

Artículo
01/24/2023

Importante

Defender para IoT ahora recomienda el uso de servicios en la nube de Microsoft o la infraestructura de TI existente para la supervisión central y la administración de sensores, y planea retirar la consola de administración local el 1 de enero de 2025.

Para obtener más información, consulte Despliegue de la gestión de sensores de OT híbridos o de espacios aislados.

Aumente la resiliencia de la implementación de Defender para IoT configurando alta disponibilidad en su consola de administración local. Las implementaciones de alta disponibilidad garantizan que los sensores administrados informen continuamente a una consola de administración local activa.

Esta implementación se implementa con un par de consola de administración local que incluye un dispositivo principal y secundario.

Nota

En este documento, la consola de administración local se conoce como principal y el agente se conoce como secundario.

Prerrequisitos

Antes de realizar los procedimientos de este artículo, compruebe que cumple los siguientes requisitos previos:

Asegúrese de que tiene instalada consola de administración local tanto en un dispositivo principal como en un dispositivo secundario.
- Tanto los dispositivos de consola de administración local principal como secundario deben ejecutar modelos de hardware y versiones de software idénticos.
- Debe poder acceder tanto a las consolas de administración primarias y secundarias en las instalaciones como usuario con privilegios , para ejecutar comandos de la CLI. Para obtener más información, consulte usuarios y roles locales para la supervisión de OT.
Asegúrese de que la consola de administración local principal esté totalmente configurada, incluidos al menos dos sensores de red de OT conectados y visibles en la interfaz de usuario de la consola, así como las copias de seguridad programadas o la configuración de VLAN. Todas las configuraciones se aplican automáticamente al dispositivo secundario después del emparejamiento.
Asegúrese de que los certificados SSL/TLS cumplen los criterios necesarios. Para obtener más información, consulte requisitos de certificado SSL/TLS para los recursos locales.

Asegúrese de que la directiva de seguridad de la organización le concede acceso a los siguientes servicios, en la consola de administración local principal y secundaria. Estos servicios también permiten la conexión entre los sensores y la consola de administración local secundaria:

Puerto	Servicio	Descripción
443 o TCP	HTTPS	Da acceso a la consola web de administración local.
22 o TCP	SSH	Sincroniza los datos entre los dispositivos de la consola de administración local principal y secundaria.
123 o UDP	Protocolo de Tiempo de Red (NTP)	Sincronización de hora NTP de la consola de administración local. Compruebe que los dispositivos activos y pasivos están definidos con la misma zona horaria.

Creación del par principal y secundario

Importante

Ejecute comandos con sudo solo donde se indique. Si no se indica, no ejecute con sudo.

Encienda tanto los dispositivos de consola de administración local principal como secundario.
En el dispositivo secundario, siga estos pasos para copiar la cadena de conexión en el portapapeles:
1. Inicie sesión en la consola de administración local secundaria y seleccione Configuración del sistema.
2. En el área Configuración del sensor, en Copiar cadena de conexión, seleccione el botón para ver la cadena de conexión completa.
3. La cadena de conexión se compone de la dirección IP y el token. La dirección IP está antes de los dos puntos y el token está después de los dos puntos. Copie la dirección IP y el token por separado. Por ejemplo, si la cadena de conexión es 172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77f, copie la dirección IP 172.10.246.232 y el token a2c4gv9de23f56n078a44e12gf2ce77f por separado.
En el dispositivo principal, siga estos pasos para conectar el dispositivo secundario al principal a través de la CLI:
1. Inicie sesión en la consola de administración local principal a través de SSH para acceder a la CLI y, a continuación, ejecute:
```
sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>
```
  donde <Secondary IP> es la dirección IP del dispositivo secundario y <Secondary token> es la segunda parte de la cadena de conexión después de los dos puntos, que copió en el Portapapeles anteriormente.
  
  Por ejemplo:
  
  sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77f
  
  La dirección IP se valida, el certificado SSL/TLS se descarga en el dispositivo principal y todos los sensores que están conectados al dispositivo principal están conectados al dispositivo secundario.
2. Aplique los cambios en el dispositivo principal. Correr:
```
sudo cyberx-management-trusted-hosts-apply
```
3. Compruebe que el certificado está instalado correctamente en el dispositivo principal. Correr:
```
cyberx-management-trusted-hosts-list
```
Permita la conexión entre el proceso de copia de seguridad y restauración de los dispositivos principales y secundarios:
- En el dispositivo principal, ejecute:
```
cyberx-management-deploy-ssh-key <secondary appliance IP address>
```
- En el dispositivo secundario, inicie sesión a través de SSH para acceder a la CLI y ejecute:
```
cyberx-management-deploy-ssh-key <primary appliance IP address>
```
Compruebe que los cambios se han aplicado en el dispositivo secundario. En el dispositivo secundario, ejecute:
```
cyberx-management-trusted-hosts-list
```

Seguimiento de la actividad de alta disponibilidad

Los registros de aplicaciones principales se pueden exportar al equipo de soporte técnico de Defender para IoT para controlar cualquier problema de alta disponibilidad.

Para acceder a los registros principales:

Inicie sesión en la consola de administración local y seleccione Configuración del sistema>Exportar. Para obtener más información sobre cómo exportar registros para enviarlos al equipo de soporte técnico, consulte Exportación de registros desde la consola de administración local para solucionar problemas.

Actualización de la consola de administración local con alta disponibilidad

Para actualizar una consola de administración local que tenga alta disponibilidad configurada, deberá hacer lo siguiente:

Desconecte la alta disponibilidad de los dispositivos primarios y secundarios.
Actualice los dispositivos a la nueva versión.
Vuelva a configurar la alta disponibilidad en ambos dispositivos.

Realice la actualización en el orden siguiente. Asegúrese de que cada paso se complete antes de comenzar un nuevo paso.

Para actualizar una consola de administración local con alta disponibilidad configurada:

Desconecte la alta disponibilidad de los dispositivos principales y secundarios:

En el principal:
1. Obtenga la lista de los dispositivos conectados actualmente. Correr:
```
cyberx-management-trusted-hosts-list
```
2. Busque el dominio asociado al dispositivo secundario y cópielo en el Portapapeles. Por ejemplo:
3. Quite el dominio secundario de la lista de hosts de confianza. Correr:
```
sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]
```
4. Compruebe que el certificado está instalado correctamente. Correr:
```
sudo cyberx-management-trusted-hosts-apply
```
En la base de datos secundaria:
1. Obtenga la lista de los dispositivos conectados actualmente. Correr:
```
cyberx-management-trusted-hosts-list
```
2. Busque el dominio asociado al dispositivo principal y cópielo en el Portapapeles.
3. Quite el dominio principal de la lista de hosts de confianza. Correr:
```
sudo cyberx-management-trusted-hosts-remove -d [Primary domain]
```
4. Compruebe que el certificado está instalado correctamente. Correr:
```
sudo cyberx-management-trusted-hosts-apply
```
Actualice los dispositivos principal y secundario a la nueva versión. Para obtener más información, consulte Actualización de una consola de administración local.
Vuelva a configurar la alta disponibilidad en los dispositivos principales y secundarios. Para obtener más información, vea Crear el par principal y secundario.

Proceso de conmutación por error

Después de configurar la alta disponibilidad, los sensores de OT se conectan automáticamente a una consola de administración local secundaria si no se puede conectar a la principal. Si menos de la mitad de los sensores de OT se están comunicando actualmente con la máquina secundaria, el sistema es compatible con las máquinas principales y secundarias simultáneamente. Si más de la mitad de los sensores de OT se comunican con la máquina secundaria, la máquina secundaria toma todas las comunicaciones del sensor de OT. La conmutación por error de la máquina principal a la secundaria tarda aproximadamente tres minutos.

Cuando se produce la conmutación por error, la consola de administración local primaria se bloquea y puede iniciar sesión en la consola de administración secundaria con las mismas credenciales de inicio de sesión.

Durante la conmutación por error, los sensores continúan intentando comunicarse con el dispositivo principal. Cuando más de la mitad de los sensores administrados se comunican correctamente con la principal, se restaura la principal. El mensaje siguiente aparece en la consola secundaria cuando se restaura la principal:

Captura de pantalla de un mensaje que aparece en la consola secundaria cuando se restaura la principal.

Vuelva a iniciar sesión en el dispositivo principal después de la redirección.

Controlar los archivos de activación expirados

Los archivos de activación solo se pueden actualizar en la consola de administración local principal.

Antes de que el archivo de activación expire en la máquina secundaria, definalo como la máquina principal para que pueda actualizar la licencia.

Para obtener más información, consulte Suba un nuevo archivo de activación.

Pasos siguientes

Para obtener más información, consulte Activar y configurar una consola de administración local.

Compartir vía