Principe de la synchronisation

Depuis la version 4 de SNS, la synchronisation en temps réel au sein du cluster est réalisée grâce au protocole Kernel To Kernel (K2K) basé sur le port 44242/UDP.

Synchronisation en temps réel

Les éléments à synchroniser en temps réel (tables des connexions TCP et UDP, tables de connexions IPState [GRE / ESP], associations SCTP, tables d’hôtes, ...) sont envoyés en permanence du firewall actif vers firewall passif et les états sont synchronisés à la volée.

Il n'est donc plus nécessaire d'attendre le basculement pour que ces tables soient intégrées dans le noyau du firewall passif : en effet, les connexions y sont présentes en permanence, dans un état dit "larvaire", c'est à dire prêtes à être activées en cas de basculement. Ainsi, par exemple, les liens entre règles de filtrage et connexions sont déjà établis dans le noyau du firewall passif, ce qui entraîne une reprise d'activité beaucoup plus rapide et des performances accrues.

Cet accroissement des performances est également lié à la suppression du mécanisme de synchronisations de masse (bulk updates) grâce au protocole K2K.

Synchronisation à la demande

Lorsqu'un administrateur modifie la configuration du firewall actif, cette modification n'est pas immédiatement répliquée car elle peut nécessiter un redémarrage du firewall passif pour être prise en compte au sein du cluster.

Dans ce cas, l'administrateur peut déclencher cette synchronisation au moment voulu de deux manières différentes :

• Soit en cliquant sur l'icône affichée dans le bandeau supérieur de l'interface d'administration du cluster,
• Soit à l'aide de la commande CLI (module Configuration > Système > Console CLI) : HA SYNC .
  Pour plus de détails sur cette commande, veuillez vous référer au Guide de référence des commandes CLI / Serverd.