Élection du firewall actif

L'élection du membre actif du cluster est organisée lors du démarrage de la HA.

Cette élection respecte le processus suivant :

Il est important de noter qu'il est possible de forcer un firewall à être actif (menu Configuration > Système > Maintenance > Configuration > Haute disponibilité). Dans ce cas, ce firewall sera actif même si son facteur de qualité est inférieur. Il est déconseillé d'utiliser cette option pour un cluster en production. Cette option est à réserver pour le débogage d'une configuration.

Ce processus fait notamment référence à la comparaison du facteur de qualité de chacun des firewalls. Cette notion de facteur de qualité est expliquée dans la suite de cette section.

Comprendre le calcul du facteur de qualité

Le facteur de qualité est issu d'une formule mathématique calculée en tenant compte de différents indicateurs :

  • État et poids des interfaces actives du firewall (les interfaces HA sont exclues de ce calcul), y compris pour les interfaces regroupées au sein d'un agrégat (LACP / Redondance).

     

    Notez que dans le cas d'un agrégat (LACP / Redondance), par défaut, le facteur de qualité du firewall se dégrade après la perte de tous les membres de l'agrégat. Il est possible de paramétrer la HA pour que la perte d'une seule interface membre de l'agrégat dégrade le facteur de qualité. Ce paramètre peut être activé à l'aide des commandes CLI / Serverd CONFIG HA CREATE et CONFIG HA UPDATE en modifiant la valeur du paramètre ci-dessous à 1 :

    • Pour un agrégat de type LACP : LACPMembersHaveWeight=<0|1>,

    • Pour un agrégat de type Redondance (à partir de la version SNS 4.3) : FailoverMembersHaveWeight=<0|1>.

  • État du(des) disque(s) dur(s),

  • État du TPM sur les modèles qui en disposent.

    Le jeton de configuration TPMQualityIncluded=1 présent dans la section [Global] du fichier de configuration ConfigFiles/HA/highavailability indique que l'état du module TPM est pris en compte.

  • État des modules additionnels (réseau, alimentation, ventilateur ...) sur les modèles haut de gamme.

Exemple de calcul de l'indicateur de qualité des interfaces

Dans cet exemple, seules les interfaces 1 (out), 2 (in) et 4 (dmz2) entrent en compte, l'interface dmz1 étant dédiée à la HA. Notez que l'interface 2 (in) présente un défaut de connectivité :

Les poids affectés aux interfaces sont les suivants :

L'indicateur de qualité des interfaces pour ce firewall vaut donc : (1x100 + 0x100 + 1x75) / (100 + 100 + 75)=63%

L'indicateur ainsi calculé sera intégré dans le calcul global du facteur de qualité tenant compte des autres paramètres.