Udostępnij za pośrednictwem


Informacje o wysokiej dostępności (starsza wersja)

Ważne

Usługa Defender for IoT zaleca teraz używanie usług w chmurze firmy Microsoft lub istniejącej infrastruktury IT do centralnego monitorowania i zarządzania czujnikami oraz planuje wycofanie lokalnej konsoli zarządzania w dniu 1 stycznia 2025 r.

Aby uzyskać więcej informacji, zobacz Wdrażanie hybrydowego lub rozerwanego powietrza zarządzania czujnikami OT.

Zwiększ odporność wdrożenia usługi Defender dla IoT, konfigurując wysoką dostępność w lokalnej konsoli zarządzania. Wdrożenia o wysokiej dostępności zapewniają ciągłe raportowanie zarządzanych czujników do aktywnej lokalnej konsoli zarządzania.

To wdrożenie jest implementowane z lokalną parą konsoli zarządzania, która zawiera podstawowe i pomocnicze urządzenie.

Uwaga

W tym dokumencie główna lokalna konsola zarządzania jest określana jako podstawowa, a agent jest określany jako pomocniczy.

Wymagania wstępne

Przed wykonaniem procedur opisanych w tym artykule sprawdź, czy zostały spełnione następujące wymagania wstępne:

  • Upewnij się, że masz lokalną konsolę zarządzania zainstalowaną zarówno na urządzeniu podstawowym, jak i na urządzeniu pomocniczym.

    • Zarówno podstawowe, jak i pomocnicze lokalne urządzenia konsoli zarządzania muszą mieć identyczne modele sprzętowe i wersje oprogramowania.
    • Aby uruchamiać polecenia interfejsu wiersza polecenia, musisz mieć dostęp zarówno do podstawowych, jak i pomocniczych lokalnych konsol zarządzania jako uprzywilejowany użytkownik. Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot.
  • Upewnij się, że podstawowa lokalna konsola zarządzania jest w pełni skonfigurowana, w tym co najmniej dwa czujniki sieciowe OT połączone i widoczne w interfejsie użytkownika konsoli, a także zaplanowane kopie zapasowe lub ustawienia sieci VLAN. Wszystkie ustawienia są stosowane do urządzenia pomocniczego automatycznie po połączeniu.

  • Upewnij się, że certyfikaty SSL/TLS spełniają wymagane kryteria. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów SSL/TLS dla zasobów lokalnych.

  • Upewnij się, że zasady zabezpieczeń organizacji zapewniają dostęp do następujących usług w podstawowej i dodatkowej lokalnej konsoli zarządzania. Te usługi umożliwiają również połączenie między czujnikami a dodatkową lokalną konsolą zarządzania:

    Port Usługa opis
    443 lub TCP HTTPS Przyznaje dostęp do lokalnej konsoli sieci Web konsoli zarządzania.
    22 lub TCP SSH Synchronizuje dane między podstawowymi i pomocniczymi lokalnymi urządzeniami konsoli zarządzania
    123 lub UDP NTP Synchronizacja czasu NTP lokalnej konsoli zarządzania. Sprawdź, czy aktywne i pasywne urządzenia są zdefiniowane z tą samą strefą czasową.

Tworzenie pary podstawowej i pomocniczej

Ważne

Uruchom polecenia za pomocą polecenia sudo tylko tam, gdzie wskazano. Jeśli nie jest wskazane, nie uruchamiaj polecenia sudo.

  1. Włącz zarówno podstawowe, jak i pomocnicze lokalne urządzenia konsoli zarządzania.

  2. Na urządzeniu pomocniczym wykonaj następujące kroki, aby skopiować parametry połączenia do schowka:

    1. Zaloguj się do pomocniczej lokalnej konsoli zarządzania i wybierz pozycję System Ustawienia.

    2. W obszarze Konfiguracja czujnika — ciąg Połączenie ion w obszarze Kopiuj ciąg Połączenie ion wybierz przycisk, aby wyświetlić pełną parametry połączenia.

    3. Parametry połączenia składa się z adresu IP i tokenu. Adres IP znajduje się przed dwukropkiem, a token znajduje się po dwukropku. Skopiuj oddzielnie adres IP i token. Jeśli na przykład parametry połączenia to 172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77f, skopiuj adres 172.10.246.232 IP i token a2c4gv9de23f56n078a44e12gf2ce77f oddzielnie.

      Screenshot showing to copy each part of the connection string to use in the following command.

  3. Na urządzeniu podstawowym wykonaj następujące kroki, aby połączyć urządzenie pomocnicze z podstawowym za pośrednictwem interfejsu wiersza polecenia:

    1. Zaloguj się do podstawowej lokalnej konsoli zarządzania za pośrednictwem protokołu SSH, aby uzyskać dostęp do interfejsu wiersza polecenia, a następnie uruchom następujące polecenie:

      sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>
      

      gdzie <Secondary IP> jest adresem IP urządzenia pomocniczego i <Secondary token> jest drugą częścią parametry połączenia po dwukropku, który został skopiowany do schowka wcześniej.

      Na przykład:

      sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77f

      Adres IP jest weryfikowany, certyfikat SSL/TLS jest pobierany do urządzenia podstawowego, a wszystkie czujniki podłączone do urządzenia podstawowego są połączone z urządzeniem pomocniczym.

    2. Zastosuj zmiany na urządzeniu podstawowym. Uruchom:

      sudo cyberx-management-trusted-hosts-apply
      
    3. Sprawdź, czy certyfikat jest poprawnie zainstalowany na urządzeniu podstawowym. Uruchom:

      cyberx-management-trusted-hosts-list
      
  4. Zezwalaj na połączenie między procesem tworzenia kopii zapasowej i przywracania kopii zapasowych urządzeń podstawowych i pomocniczych:

    • Na urządzeniu podstawowym uruchom polecenie:

      cyberx-management-deploy-ssh-key <secondary appliance IP address>
      
    • Na urządzeniu pomocniczym zaloguj się za pośrednictwem protokołu SSH, aby uzyskać dostęp do interfejsu wiersza polecenia, i uruchom następujące polecenie:

      cyberx-management-deploy-ssh-key <primary appliance IP address>
      
  5. Sprawdź, czy zmiany zostały zastosowane na urządzeniu pomocniczym. Na urządzeniu pomocniczym uruchom polecenie:

    cyberx-management-trusted-hosts-list
    

Śledzenie aktywności wysokiej dostępności

Podstawowe dzienniki aplikacji można wyeksportować do zespołu pomocy technicznej usługi Defender for IoT w celu obsługi wszelkich problemów z wysoką dostępnością.

Aby uzyskać dostęp do podstawowych dzienników:

  1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję System Ustawienia> Eksportuj. Aby uzyskać więcej informacji na temat eksportowania dzienników do wysłania do zespołu pomocy technicznej, zobacz Eksportowanie dzienników z lokalnej konsoli zarządzania w celu rozwiązania problemów.

Aktualizowanie lokalnej konsoli zarządzania o wysokiej dostępności

Aby zaktualizować lokalną konsolę zarządzania, która ma skonfigurowaną wysoką dostępność, należy wykonać następujące kroki:

  1. Odłącz wysoką dostępność od urządzeń podstawowych i pomocniczych.
  2. Zaktualizuj urządzenia do nowej wersji.
  3. Ponownie skonfiguruj wysoką dostępność z powrotem na obu urządzeniach.

Wykonaj aktualizację w następującej kolejności. Przed rozpoczęciem nowego kroku upewnij się, że każdy krok został ukończony.

Aby zaktualizować lokalną konsolę zarządzania z skonfigurowaną wysoką dostępnością:

  1. Odłącz wysoką dostępność od urządzeń podstawowych i pomocniczych:

    Na serwerze podstawowym:

    1. Pobierz listę aktualnie połączonych urządzeń. Uruchom:

      cyberx-management-trusted-hosts-list
      
    2. Znajdź domenę skojarzona z urządzeniem pomocniczym i skopiuj ją do schowka. Na przykład:

      Screenshot showing the domain associated with the secondary appliance.

    3. Usuń domenę pomocniczą z listy zaufanych hostów. Uruchom:

      sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]
      
    4. Sprawdź, czy certyfikat jest poprawnie zainstalowany. Uruchom:

      sudo cyberx-management-trusted-hosts-apply
      

    W pomocniczym:

    1. Pobierz listę aktualnie połączonych urządzeń. Uruchom:

      cyberx-management-trusted-hosts-list
      
    2. Znajdź domenę skojarzona z urządzeniem podstawowym i skopiuj ją do schowka.

    3. Usuń domenę podstawową z listy zaufanych hostów. Uruchom:

      sudo cyberx-management-trusted-hosts-remove -d [Primary domain]
      
    4. Sprawdź, czy certyfikat jest poprawnie zainstalowany. Uruchom:

      sudo cyberx-management-trusted-hosts-apply
      
  2. Zaktualizuj zarówno podstawowe, jak i pomocnicze urządzenia do nowej wersji. Aby uzyskać więcej informacji, zobacz Aktualizowanie lokalnej konsoli zarządzania.

  3. Ponownie skonfiguruj wysoką dostępność zarówno na urządzeniach podstawowych, jak i pomocniczych. Aby uzyskać więcej informacji, zobacz Tworzenie pary podstawowej i pomocniczej.

Proces trybu failover

Po skonfigurowaniu wysokiej dostępności czujniki OT automatycznie łączą się z dodatkową lokalną konsolą zarządzania, jeśli nie może nawiązać połączenia z podstawowym. Jeśli mniej niż połowa czujników OT komunikuje się obecnie z maszyną pomocniczą, system jest obsługiwany zarówno przez maszyny podstawowe, jak i pomocnicze jednocześnie. Jeśli ponad połowa czujników OT komunikuje się z maszyną pomocniczą, maszyna pomocnicza przejmuje całą komunikację czujnika OT. Przejście w tryb failover z komputera podstawowego do pomocniczego trwa około trzech minut.

W przypadku przejścia w tryb failover podstawowa lokalna konsola zarządzania zawiesza się i możesz zalogować się do pomocniczej przy użyciu tych samych poświadczeń logowania.

Podczas pracy w trybie failover czujniki nadal próbują komunikować się z urządzeniem podstawowym. Gdy ponad połowa zarządzanych czujników powiedzie się w komunikacji z podstawowym, zostanie przywrócona podstawowa. Po przywróceniu podstawowego elementu podstawowego w konsoli pomocniczej zostanie wyświetlony następujący komunikat:

Screenshot of a message that appears at the secondary console when the primary is restored.

Zaloguj się ponownie do urządzenia podstawowego po przekierowaniu.

Obsługa wygasłych plików aktywacji

Pliki aktywacji można aktualizować tylko w podstawowej lokalnej konsoli zarządzania.

Przed wygaśnięciem pliku aktywacji na maszynie pomocniczej zdefiniuj go jako maszynę podstawową, aby można było zaktualizować licencję.

Aby uzyskać więcej informacji, zobacz Przekazywanie nowego pliku aktywacji.

Następne kroki

Aby uzyskać więcej informacji, zobacz Aktywowanie i konfigurowanie lokalnej konsoli zarządzania.