Delen via

Over hoge beschikbaarheid (verouderd)

  • Artikel

Belangrijk

Defender for IoT raadt nu aan om Microsoft-cloudservices of bestaande IT-infrastructuur te gebruiken voor centraal bewakings- en sensorbeheer en is van plan om de on-premises beheerconsole op 1 januari 2025 buiten gebruik te stellen.

Zie Hybride of lucht-gapped OT-sensorbeheer implementeren voor meer informatie.

Verhoog de tolerantie van uw Defender for IoT-implementatie door hoge beschikbaarheid te configureren in uw on-premises beheerconsole. Implementaties met hoge beschikbaarheid zorgen ervoor dat uw beheerde sensoren continu rapporteren aan een actieve on-premises beheerconsole.

Deze implementatie wordt geïmplementeerd met een on-premises beheerconsolepaar dat een primair en secundair apparaat bevat.

Notitie

In dit document wordt de on-premises beheerconsole van de principal de primaire console genoemd en wordt de agent de secundaire agent genoemd.

Vereisten

Voordat u de procedures in dit artikel uitvoert, controleert u of u aan de volgende vereisten hebt voldaan:

  • Zorg ervoor dat u een on-premises beheerconsole hebt geïnstalleerd op zowel een primair apparaat als een secundair apparaat.

    • Zowel uw primaire als secundaire on-premises beheerconsoleapparaten moeten identieke hardwaremodellen en softwareversies uitvoeren.
    • U moet toegang hebben tot de primaire en secundaire on-premises beheerconsoles als bevoegde gebruiker voor het uitvoeren van CLI-opdrachten. Zie On-premises gebruikers en rollen voor OT-bewaking voor meer informatie.

  • Zorg ervoor dat de primaire on-premises beheerconsole volledig is geconfigureerd, inclusief ten minste twee OT-netwerksensoren die zijn verbonden en zichtbaar zijn in de consolegebruikersinterface, evenals de geplande back-ups of VLAN-instellingen. Alle instellingen worden automatisch toegepast op het secundaire apparaat na het koppelen.

  • Zorg ervoor dat uw SSL/TLS-certificaten voldoen aan de vereiste criteria. Zie ssl/TLS-certificaatvereisten voor on-premises resources voor meer informatie.

  • Zorg ervoor dat uw beveiligingsbeleid van uw organisatie u toegang verleent tot de volgende services, op de primaire en secundaire on-premises beheerconsole. Deze services bieden ook de mogelijkheid om verbinding te maken tussen de sensoren en de secundaire on-premises beheerconsole:

    Poort Service Beschrijving
    443 of TCP HTTPS Verleent toegang tot de webconsole van de on-premises beheerconsole.
    22 of TCP SSH Synchroniseert de gegevens tussen de primaire en secundaire on-premises beheerconsoleapparaten
    123 of UDP NTP De NTP-tijdsynchronisatie van de on-premises beheerconsole. Controleer of de actieve en passieve apparaten zijn gedefinieerd met dezelfde tijdzone.

Het primaire en secundaire paar maken

Belangrijk

Voer opdrachten alleen uit met sudo, waar aangegeven. Als dit niet wordt aangegeven, voert u niet uit met sudo.

  1. Schakel zowel de primaire als de secundaire on-premises beheerconsoleapparaten in.

  2. Gebruik op het secundaire apparaat de volgende stappen om de verbindingsreeks naar het klembord te kopiëren:

    1. Meld u aan bij de secundaire on-premises beheerconsole en selecteer System Instellingen.

    2. Selecteer in het gebied Verbinding maken ion String onder Copy Verbinding maken ion String de knop om de volledige verbindingsreeks weer te geven.

    3. De verbindingsreeks bestaat uit het IP-adres en het token. Het IP-adres bevindt zich vóór de dubbele punt en het token bevindt zich na de dubbele punt. Kopieer het IP-adres en het token afzonderlijk. Als uw verbindingsreeks bijvoorbeeld is172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77f, kopieert u het IP-adres 172.10.246.232 en het token a2c4gv9de23f56n078a44e12gf2ce77f afzonderlijk.

      Screenshot showing to copy each part of the connection string to use in the following command.

  3. Gebruik op het primaire apparaat de volgende stappen om het secundaire apparaat te verbinden met de primaire via CLI:

    1. Meld u via SSH aan bij de primaire on-premises beheerconsole om toegang te krijgen tot de CLI en voer het volgende uit:

      sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>

      waar <Secondary IP> is het IP-adres van het secundaire apparaat en <Secondary token> is het tweede deel van de verbindingsreeks na de dubbele punt, die u eerder naar het klembord hebt gekopieerd.

      Voorbeeld:

      sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77f

      Het IP-adres wordt gevalideerd, het SSL/TLS-certificaat wordt gedownload naar het primaire apparaat en alle sensoren die zijn verbonden met het primaire apparaat, zijn verbonden met het secundaire apparaat.

    2. Pas uw wijzigingen toe op het primaire apparaat. Run:

      sudo cyberx-management-trusted-hosts-apply

    3. Controleer of het certificaat correct is geïnstalleerd op het primaire apparaat. Run:

      cyberx-management-trusted-hosts-list

  4. Sta de verbinding toe tussen het back-up- en herstelproces van het primaire en secundaire apparaat:

    • Voer op het primaire apparaat het volgende uit:

      cyberx-management-deploy-ssh-key <secondary appliance IP address>

    • Meld u op het secundaire apparaat aan via SSH om toegang te krijgen tot de CLI en voer het volgende uit:

      cyberx-management-deploy-ssh-key <primary appliance IP address>

  5. Controleer of de wijzigingen zijn toegepast op het secundaire apparaat. Voer op het secundaire apparaat het volgende uit:

    cyberx-management-trusted-hosts-list

Activiteit met hoge beschikbaarheid bijhouden

De belangrijkste toepassingslogboeken kunnen worden geëxporteerd naar het ondersteuningsteam van Defender for IoT om eventuele problemen met hoge beschikbaarheid af te handelen.

Toegang tot de kernlogboeken:

  1. Meld u aan bij de on-premises beheerconsole en selecteer System Instellingen> Export. Zie Logboeken exporteren vanuit de on-premises beheerconsole voor probleemoplossing voor meer informatie over het exporteren van logboeken die naar het ondersteuningsteam moeten worden verzonden.

De on-premises beheerconsole bijwerken met hoge beschikbaarheid

Als u een on-premises beheerconsole wilt bijwerken waarvoor hoge beschikbaarheid is geconfigureerd, moet u het volgende doen:

  1. Verbreek de hoge beschikbaarheid van zowel de primaire als de secundaire apparaten.
  2. Werk de apparaten bij naar de nieuwe versie.
  3. Configureer de hoge beschikbaarheid opnieuw op beide apparaten.

Voer de update in de volgende volgorde uit. Zorg ervoor dat elke stap is voltooid voordat u een nieuwe stap begint.

Een on-premises beheerconsole bijwerken met hoge beschikbaarheid geconfigureerd:

  1. Koppel de hoge beschikbaarheid los van zowel de primaire als de secundaire apparaten:

    Op de primaire server:

    1. Haal de lijst op van de momenteel verbonden apparaten. Run:

      cyberx-management-trusted-hosts-list

    2. Zoek het domein dat is gekoppeld aan het secundaire apparaat en kopieer het naar het klembord. Voorbeeld:

      Screenshot showing the domain associated with the secondary appliance.

    3. Verwijder het secundaire domein uit de lijst met vertrouwde hosts. Run:

      sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]

    4. Controleer of het certificaat juist is geïnstalleerd. Run:

      sudo cyberx-management-trusted-hosts-apply

    Op de secundaire:

    1. Haal de lijst op van de momenteel verbonden apparaten. Run:

      cyberx-management-trusted-hosts-list

    2. Zoek het domein dat is gekoppeld aan het primaire apparaat en kopieer het naar het klembord.

    3. Verwijder het primaire domein uit de lijst met vertrouwde hosts. Run:

      sudo cyberx-management-trusted-hosts-remove -d [Primary domain]

    4. Controleer of het certificaat juist is geïnstalleerd. Run:

      sudo cyberx-management-trusted-hosts-apply

  2. Werk zowel de primaire als de secundaire apparaten bij naar de nieuwe versie. Zie Een on-premises beheerconsole bijwerken voor meer informatie.

  3. Stel opnieuw hoge beschikbaarheid in op zowel de primaire als de secundaire apparaten. Zie Het primaire en secundaire paar maken voor meer informatie.

Failoverproces

Na het instellen van hoge beschikbaarheid maken OT-sensoren automatisch verbinding met een secundaire on-premises beheerconsole als deze geen verbinding kan maken met de primaire console. Als minder dan de helft van de OT-sensoren momenteel communiceren met de secundaire machine, wordt uw systeem ondersteund door zowel de primaire als secundaire machines tegelijk. Als meer dan de helft van de OT-sensoren communiceren met de secundaire machine, neemt de secundaire machine alle OT-sensorcommunicatie over. Failover van de primaire naar de secundaire machine duurt ongeveer drie minuten.

Wanneer er een failover plaatsvindt, blokkeert de primaire on-premises beheerconsole en kunt u zich aanmelden bij de secundaire console met dezelfde aanmeldingsreferenties.

Tijdens de failover blijven sensoren proberen te communiceren met het primaire apparaat. Wanneer meer dan de helft van de beheerde sensoren slaagt in de communicatie met de primaire, wordt de primaire hersteld. Het volgende bericht wordt weergegeven op de secundaire console wanneer de primaire console wordt hersteld:

Screenshot of a message that appears at the secondary console when the primary is restored.

Meld u na omleiding weer aan bij het primaire apparaat.

Verlopen activeringsbestanden verwerken

Activeringsbestanden kunnen alleen worden bijgewerkt op de primaire on-premises beheerconsole.

Voordat het activeringsbestand op de secundaire computer verloopt, definieert u het als de primaire computer, zodat u de licentie kunt bijwerken.

Zie Een nieuw activeringsbestand uploaden voor meer informatie.

Volgende stappen

Zie Een on-premises beheerconsole activeren en instellen voor meer informatie.