О высокой доступности (устаревшая версия)

Важный

Defender для Интернета вещей теперь рекомендует использовать облачные службы Майкрософт или существующую ИТ-инфраструктуру для централизованного мониторинга и управления датчиками, а планирует вывести из эксплуатации локальную консоль управленияянваря 2025 г..

Дополнительные сведения см. в статье Развертывание гибридного управления датчиками OT или управления в изолированном режиме.

Увеличьте устойчивость развертывания Defender для Интернета вещей, настроив высокую доступность на вашей локальной консоли управления. Развертывания с высоким уровнем доступности обеспечивают постоянное предоставление данных управляемыми датчиками в активную локальную консоль управления.

Это развертывание реализуется с помощью локальной пары консоли управления, которая включает основное и дополнительное устройство.

Заметка

В этом документе основная консоль управления называется основной, а агент называется вторичным.

Необходимые условия

Перед выполнением процедур, описанных в этой статье, убедитесь, что выполнены следующие предварительные требования:

• Убедитесь, что у вас есть локальная консоль управления, установленная как на основном устройстве, так и на дополнительном устройстве.

  • Основное и вторичное локальные устройства консоли управления должны работать с идентичными аппаратными моделями и версиями программного обеспечения.
  • Для выполнения команд CLI необходимо иметь доступ как к основным, так и к вторичным локальным консоли управления в качестве привилегированного пользователя. Дополнительные сведения см. в о локальных пользователях и ролях для мониторинга OT.

• Убедитесь, что основная локальная консоль управления полностью настроена, включая по крайней мере два сетевые датчики OT, подключенные и видимые в пользовательском интерфейсе консоли, а также запланированные резервные копии или параметры виртуальной локальной сети. Все параметры применяются к дополнительному устройству автоматически после связывания.

• Убедитесь, что сертификаты SSL/TLS соответствуют необходимым критериям. Дополнительные сведения см. в разделе требования к сертификату SSL/TLS для локальных ресурсов.

• Убедитесь, что политика безопасности организации предоставляет доступ к следующим службам на первичной и вторичной локальной консоли управления. Эти службы также позволяют подключиться между датчиками и вторичной локальной консолью управления:

  Порт	Служба	Описание
  443 или TCP	HTTPS	Предоставляет доступ к локальной веб-консоли консоли управления.
  22 или TCP	SSH	Синхронизирует данные между основными и вторичными локальными устройствами консоли управления
  123 или UDP	NTP	Синхронизация времени NTP консоли управления на месте. Убедитесь, что активные и пассивные системы настроены на одинаковую часовую зону.

Создание первичной и вторичной пары

Важный

Выполните команды с sudo только в указанном месте. Если не указано, не выполняйте с помощью sudo.

1. Питание как на основных, так и на вторичных локальных устройствах консоли управления.

2. На вспомогательном устройствевыполните следующие шаги, чтобы скопировать строку подключения в буфер обмена:

   1. Войдите во вторичную локальную консоль управления и выберите Системные настройки.

   2. В области Датчик – строка подключения, в разделе Копировать строку подключения, нажмите кнопку , чтобы просмотреть полную строку подключения.

   3. Строка подключения состоит из IP-адреса и маркера. IP-адрес находится до двоеточия, а токен находится после двоеточия. Скопируйте IP-адрес и маркер отдельно. Например, если строка подключения 172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77f, скопируйте IP-адрес 172.10.246.232 и маркер a2c4gv9de23f56n078a44e12gf2ce77f отдельно.

      

3. На основном устройствевыполните следующие действия, чтобы подключить дополнительное устройство к основному устройству через CLI:

   1. Войдите в основную локальную консоль управления с помощью SSH для доступа к ИНТЕРФЕЙСу командной строки, а затем выполните следующую команду:

      sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>
      

      где <Secondary IP> — IP-адрес вторичного устройства, а <Secondary token> — вторая часть строки подключения после двоеточия, которую вы скопировали в буфер обмена ранее.

      Например:

      sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77f

      Проверяется IP-адрес, сертификат SSL/TLS загружается на основное устройство, а все датчики, подключенные к основному устройству, подключены к дополнительному устройству.

   2. Примените изменения на основном устройстве. Запуск

      sudo cyberx-management-trusted-hosts-apply
      

   3. Убедитесь, что сертификат установлен правильно на основном устройстве. Бежать:

      cyberx-management-trusted-hosts-list
      

4. Разрешить подключение между резервным копированием и восстановлением первичных и вторичных устройств:

   • На основном устройствевыполните следующую команду:

     cyberx-management-deploy-ssh-key <secondary appliance IP address>
     

   • На дополнительном устройствевыполните вход с помощью SSH для доступа к CLI и выполните следующую команду:

     cyberx-management-deploy-ssh-key <primary appliance IP address>
     

5. Убедитесь, что изменения были применены на дополнительном устройстве. На дополнительном устройствевыполните следующие действия:

   cyberx-management-trusted-hosts-list
   

Отслеживание активности высокого уровня доступности

Основные журналы приложений можно экспортировать в службу поддержки Defender for IoT для решения проблем, связанных с высокой доступностью.

Для доступа к основным журналам:

1. Войдите в локальную консоль управления и выберите Параметры системы>Экспорт. Дополнительные сведения об экспорте журналов для отправки в службу поддержки см. в разделе Экспорт журналов из локальной консоли управления для устранения неполадок.

Обновление локальной консоли управления с высоким уровнем доступности

Чтобы обновить локальную консоль управления с настроенным высоким уровнем доступности, вам потребуется:

1. Отключите высокий уровень доступности от основных и вторичных устройств.
2. Обновите устройства до новой версии.
3. Перенастройка высокой доступности на обоих устройствах.

Выполните обновление в следующем порядке. Прежде чем начать новый шаг, убедитесь, что каждый шаг завершен.

Обновление локальной консоли управления с настроенным высоким уровнем доступности:

1. Отключите высокий уровень доступности от основных и вторичных устройств:

   В основном:

   1. Получите список подключенных устройств. Бежать:

      cyberx-management-trusted-hosts-list
      

   2. Найдите домен, связанный с вторичным устройством, и скопируйте его в буфер обмена. Например:

      

   3. Удалите дополнительный домен из списка доверенных узлов. Запустить:

      sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]
      

   4. Убедитесь, что сертификат установлен правильно. Бежать:

      sudo cyberx-management-trusted-hosts-apply
      

   Вторичная:

   1. Получите список подключенных устройств. Бежать:

      cyberx-management-trusted-hosts-list
      

   2. Найдите домен, связанный с основным устройством, и скопируйте его в буфер обмена.

   3. Удалите основной домен из списка доверенных узлов. Бежать:

      sudo cyberx-management-trusted-hosts-remove -d [Primary domain]
      

   4. Убедитесь, что сертификат установлен правильно. Бежать:

      sudo cyberx-management-trusted-hosts-apply
      

2. Обновите первичные и вторичные устройства до новой версии. Дополнительные сведения см. в разделе Обновление локальной консоли управления.

3. Снова настройте высокий уровень доступности на основных и вторичных устройствах. Дополнительные сведения см. в разделе Создание первичной и вторичной пары.

Процесс переключения на резервный ресурс

После настройки высокой доступности датчики OT автоматически подключаются к вторичной локальной консоли управления, если не удается подключиться к первичной. Если менее половины датчиков OT в настоящее время взаимодействуют с вторичным компьютером, система поддерживается как основными, так и вторичными компьютерами одновременно. Если более половины датчиков OT взаимодействуют с вторичным компьютером, дополнительный компьютер берет на себя все связи с датчиками OT. Переключение с основного на резервный компьютер занимает примерно три минуты.

При возникновении сбоя основная локальная консоль управления зависает, и вы можете войти во вторичную, используя те же учётные данные для входа.

Во время переключения на резервный датчики продолжают пытаться взаимодействовать с основным устройством. Когда более половины управляемых датчиков успешно взаимодействуют с основными, основной восстанавливается. Когда основная консоль восстановлена, на вторичной консоли появится следующее сообщение:

Войдите обратно на основное устройство после перенаправления.

Обработка файлов активации с истекшим сроком действия

Файлы активации можно обновлять только в основной локальной консоли управления.

Прежде чем срок действия файла активации истекает на дополнительном компьютере, определите его как основной компьютер, чтобы можно было обновить лицензию.

Дополнительные сведения см. в разделе Отправка нового файла активации.

Дальнейшие действия

Дополнительные сведения см. в разделе Активация и настройка локальной консоли управления.