Gestione cluster#
Un cluster NethServer 8 è composto da un nodo leader e da più nodi worker.
Un cluster NS8 composto solo dal nodo leader è un sistema completamente funzionale. I nodi worker possono essere aggiunti o rimossi in qualsiasi momento. I cluster NS8 supportano un massimo di 4 nodi.
Tutti i nodi sono gestiti dall’interfaccia utente Web in esecuzione sul nodo leader.
Aggiungere un nodo#
È possibile aggiungere un nodo worker a un cluster esistente. Il processo avviene in tre passaggi:
installare il nuovo nodo
ottenere il codice di join dal nodo leader
inserire il codice di join nel nodo worker
Anzitutto preparare una macchina con la stessa distribuzione Linux utilizzata per il nodo leader, quindi seguire le istruzioni di installazione fino al login all’interfaccia utente Web.
Dopo il login sul nodo worker, fare clic sul pulsante Join cluster.
Assicurarsi che il Fully Qualified Domain Name (FQDN) del nodo sia corretto e rispetti i requisiti DNS.
Sul nodo leader, accedere alla pagina Nodi e fare clic su Aggiungi nodo al cluster. Quindi copiare il codice di join dalla finestra di dialogo.
Tornare al nodo worker e incollare il codice dentro il campo Codice di join. Premere il pulsante Join cluster. Se il nodo leader non ha un certificato TLS valido, ricordarsi di disabilitare l’opzione Verifica del certificato TLS prima di premere il pulsante di join.
Quando la registrazione del nodo è completa, si può tornare alla interfaccia utente del nodo leader e installare applicazioni sul nuovo nodo worker.
Rimuovere un nodo#
I nodi worker possono essere rimossi dal cluster. Prima di rimuovere un nodo worker, assicurarsi che nessuna replica di account provider sia su di esso in esecuzione. Nella pagina Domini e utenti, per ogni dominio seguire il link N provider per vedere in quale nodo è installata la replica, quindi rimuoverla.
Avvertimento
Se il nodo non è raggiungibile, o non risponde, la rimozione della replica del provider deve essere completata manualmente dopo la rimozione del nodo.
Accedere alla pagina Nodi, andare al menu a tre punti del nodo e cliccare su Rimuovi dal cluster per aprire una finestra di conferma. Le applicazioni installate sul nodo sono elencate: rivedere quella lista con attenzione perché la rimozione del nodo non è recuperabile.
Se la finestra di rimozione del nodo viene confermata premendo il pulsante Sono consapevole, rimuovi il nodo, il nodo e le sue applicazioni sono disconnessi, le loro autorizzazioni vengono revocate e non possono accedere più al cluster.
Quando un nodo viene rimosso dal cluster le applicazioni in esecuzione su di esso non sono influenzate e sono lasciate in esecuzione. Arrestare e spegnere il nodo per completarne la rimozione.
Promuovere un nodo a leader#
Aggiungere e rimuovere i nodi potrebbe aumentare la necessità di cambiare il nodo leader del cluster.
Un buon nodo leader deve essere raggiungibile da ogni altro nodo worker.
Se il DNS viene utilizzato per trovare l’indirizzo IP del leader, ogni nodo worker deve risolvere correttamente il nome host del leader e questo deve essere lo stesso per ogni nodo worker.
A seconda dello stato attuale del nodo leader ci sono due possibili procedure per promuovere un nodo al ruolo di leader:
Nodo leader raggiungibile
Nodo leader irraggiungibile
In ogni caso, dopo la promozione del leader è necessario eseguire questi passi aggiuntivi:
La password di backup del cluster deve essere impostata di nuovo. Vedere anche Cluster backup.
Vedere anche la nota in :ref: audit-trail-section sulla promozione del nodo.
Nota
The promotion of a new leader entails a change in the System logs configuration. Refer to Logs persistence for more details.
Nodo leader raggiungibile#
Se l’attuale nodo leader funziona correttamente, accedere alla pagina Nodi, andare al menu a tre punti del nodo da promuovere e fare clic su Promuovi a leader.
Confermare o inserire il nome host del leader nel campo Indirizzo VPN pubblico. Viene accettato anche un indirizzo IP.
Confermare o inserire il numero di Porta UDP VPN pubblica. Ogni nodo worker contatterà il leader su quel numero di porta UDP. Nella maggior parte dei casi, la porta VPN predefinita 55820 dovrebbe bastare, a meno che non vi sia un dispositivo di rete tra il leader e i worker lo traduce in un numero di porta diverso.
Quando la stringa di conferma viene digitata, il pulsante Sono consapevole, promuovi il nodo diventa attivo ed è possibile completare la promozione nodo.
La casella di controllo Controlla la connettività del nodo verifica la connessione di ogni nodo con quello selezionato. Dal momento che la connessione VPN non può essere del tutto verificata, viene controllato solo HTTPS, e può fallire a causa di impostazioni su altri dispositivi di rete, come il port-forwarding. In questo caso, se si è certi che la configurazione inserita è corretta, si ha la possibilità di disabilitare il controllo, ma si procedere a proprio rischio!
Nodo leader irraggiungibile#
Se il nodo leader attuale non è raggiungibile, è necessario eseguire un comando su qualsiasi altro nodo worker. Prepararsi in anticipo per questa situazione consentendo l’accesso ai nodi con un terminale di root, mediante SSH, console o Cockpit.
Ad esempio, per promuovere il nodo con ID 3, VPN endpoint node3.example.com, porta UDP 55820, eseguire il seguente comando su ogni nodo worker:
switch-leader --node 3 --endpoint node3.example.com:55820
Amministratori#
Gli amministratori del cluster hanno il totale controllo del cluster. Si raccomanda di creare un utente personale per ogni amministratore del cluster. Tutte le azioni eseguite da un amministratore del cluster sono registrate all’interno di Audit log.
Per aggiungere un nuovo amministratore del cluster vai alla pagina Impostazioni e selezionare la scheda Amministratori cluster. Quindi fare clic su Crea amministratore e compilare i campi richiesti.
Un amministratore non può eliminare il proprio utente. Per eliminare un amministratore, è necessario accedere come un altro amministratore del cluster già esistente.
Gli amministratori possono cambiare la propria password dalla scheda Account all’interno della pagina Impostazioni.
Autenticazione a due fattori (2FA)#
L’autenticazione a due fattori (2FA) può essere utilizzata per aggiungere un ulteriore livello di sicurezza necessario per accedere all’interfaccia utente di gestione del cluster.
L’amministratore può abilitare 2FA dalla scheda Account all’interno della pagina Impostazioni facendo clic sul pulsante Abilita 2FA .
L’utente dovrà:
scaricare e installare l’applicazione 2FA preferita sullo smartphone
eseguire la scansione del codice QR con l’applicazione 2FA
generare un nuovo codice e copiarlo all’interno del campo di verifica, quindi fare clic su Verifica codice
Applicazioni smartphone#
Ci sono diverse applicazioni commerciali e open source per 2FA:
Disponibile sia per Android che per iOS:
FreeOTP: disponibile sia per Android che per iOS
Authenticator: disponibile solo su iOS
2FAS: disponibile sia per Android che per iOS
Reimpostare la password dell’amministratore del cluster#
Se sei bloccato fuori dall’interfaccia utente web e puoi ancora accedere ad un terminale come root (ad esempio dalla console di ripristino del sistema o SSH), eseguire il seguente comando per disabilitare 2FA e ripristinare la password:
api-cli run alter-user --data '{"user":"admin","set":{"password":"Nethesis,1234","2fa":false}}'
Sostituisci le credenziali admin e Nethesis,1234 predefinite come necessario.
Audit log#
All’interno della pagina del percorso di audit, gli amministratori di cluster possono ispezionare tutte le azioni eseguite da qualsiasi altro amministratore. Ogni evento del percorso di audit contiene almeno:
data e ora dell’azione
nome utente dell’amministratore del cluster
nome dell’azione
Gli eventi del log di audit possono essere filtrati per utente, data, tipo di azione e corrispondenza di testo personalizzata.
Nota
Le informazioni del log di audit vengono memorizzate nel disco del nodo leader. In caso di new leader promotion le informazioni del log di audit nel vecchio leader non sono più accessibili.