O que é um sistema de tolerância às falhas?
Quanto mais os computadores ganham espaço nas empresas, nos escritórios e na vida das pessoas em geral, mais se ouve falar em “alta disponibilidade”. Por um simples e bom motivo: nenhum usuário quer que a sua máquina pare de funcionar ou que os recursos de rede não possam mais ser acessados. É justamente a alta disponibilidade que vai garantir a continuidade de operação do sistema na prestação de serviços de rede, armazenamento ou processamento, mesmo se houver falhas em um ou mais de seus elementos.
Assim, alta disponibilidade é hoje um assunto que interessa a um número cada vez maior de usuários. Tornou-se um requisito fundamental para os sistemas que ficam no ar 24 horas por dia, sete dias por semana, ou que não possam ficar fora do ar por até mesmo alguns minutos. Afinal, paradas não planejadas podem comprometer, no mÃnimo, a qualidade do serviço, sem contar os prejuÃzos financeiros.
Tolerância às falhas nada mais é que um agrupamento de recursos que fornece ao sistema a ilusão de um recurso único. A maioria dos seus componentes, encontram-se duplicados, desta forma, mesmo que um componente individual apresente falhas o serviço não é comprometido. Para possibilitar a redundância de recursos é necessário um mecanismo de gerência, de forma a tornar seu funcionamento transparente.
O que é um sistema Cooperativo?
No sistema de tolerância às falhas foi falado a respeito de alta disponibilitade e de agrupamento de recursos, mas no sistema cooperativo além da alta disponibilidade ocorre o balanceamento de carga entre os sistemas. No sistema cooperativo todos os sistemas ficam ativos e se o peso entre eles for igual tratarão de forma balanceada as conexões e todos os processos entre eles.
Como trabalha a Tolerância às Falhas do Aker Firewall?
A tolerância às falhas do Aker Firewall é composta por dois sistemas idênticos, ou seja, duas máquinas com o mesmo Sistema Operacional, mesmas placas de rede e com a mesma versão do Firewall, conectadas entre si. A exigência de se usar o mesmo sistema operacional se dá pelo fato de poder aplicar correções através da interface gráfica e essas correções serem replicadas automaticamente de uma máquina para a outra.
Além de estarem conectadas entre si, o que deve ser feito por uma interface de rede, é necessário que todas as placas de rede correspondentes das duas máquinas estejam conectadas em um mesmo hub ou switch, de forma que ambos os firewalls tenham acesso às mesmas máquinas e roteadores.
Como trabalha o sistema Cooperativo do Aker Firewall?
Antes de tudo a diferença básica da configuração do cluster cooperativo e do failover está vinculada à licença. A licença do cluster cooperativo faz com que a convergência de dois firewalls com pesos iguais seja de 50% para cada um, já a licença do failover faz com que ocorra convergência em apenas um dos firewalls.
O que são modos UNICAST e MULTICAST do sistema Cooperativo do Aker Firewall?
No Aker Firewall em modo cooperativo, mais de um host – os nodos do cluster – precisam receber os mesmos pacotes, para posteriormente cada um deles decidir se é de sua responsabilidade ou não. Como os switches não estão preparados nativamente para isso, uma de duas técnicas precisa ser empregada.
A primeira, chamada do modo unicast, implica em reconfigurar o switch para que ele saiba que um determinado endereço ethernet (MAC) está em duas ou mais portas simultaneamente, significando que ele deve copiar o pacote com esse endereço destino em todas elas, e jamais aprendê-lo como estando em uma porta apenas. Nesse modo, todos os firewalls do cluster usam o mesmo endereço MAC. O único incoveniente desse modo é que são raros os switches que o suportam.
A segunda, modo multicast, faz com que os firewalls de um cluster registrem um endereço ethernet multicast em suas interfaces e respondam as chamadas de ARP para o IP virtual com esse endereço. Se o switch não for configurado para limitar o espalhamento de pacotes multicast, todos os pacotes destinados ao firewall serão redistribuÃdos em todas as portas, como se fossem pacotes broadcast. Para fazer essa configuração, existem duas opções: ou o faz manualmente no switch, ou então utiliza o protocolo IGMP, onde cada firewall anuncia ao switch que é membro do grupo multicast correspondente ao endereço escolhido. Seu switch deve suportar uma dessas duas opções. Além disso, existem alguns roteadores que não aprendem o endereço multicast ethernet da resposta ARP enviada pelo firewall. Nesses casos, as entradas para o firewall devem ser adicionadas manualmente em suas tabelas.
Diferença entre BroadCast, UniCast e MultCast, clique aqui!
Existem implicações sérias de performance (flooding, por exemplo) e segurança (requisição de associação IGMP por qualquer host da rede) no caso de cluster no modo multicast. Todos os problemas podem ser evitados com corretas configurações nos switches. Tenha certeza que você entende o funcionamento desse modo antes de colocá-lo em funcionamento.
Quando o cluster estiver no ar, qualquer alteração feita nas configurações de um firewall através da interface gráfica será replicada automaticamente para o outro firewall.