Partager via

À propos de la haute disponibilité (ancienne version)

  • Article

Important

Defender pour IoT recommande désormais d’utiliser des services cloud Microsoft ou une infrastructure informatique existante pour la supervision centralisée et la gestion des capteurs, et prévoit de mettre hors service la console de gestion locale le 1er janvier 2025.

Pour plus d’informations, consultez Voir la gestion des capteurs OT hybrides ou à isolation d'air.

Augmentez la résilience de votre déploiement Defender pour IoT en configurant haute disponibilité sur votre console de gestion locale. Les déploiements à haute disponibilité garantissent que vos capteurs managés signalent en permanence à une console de gestion locale active.

Ce déploiement est implémenté avec une paire de consoles de gestion locale qui inclut une appliance principale et secondaire.

Note

Dans ce document, la console de gestion locale principale est appelée principal et l’agent est appelé secondaire.

Conditions préalables

Avant d’effectuer les procédures décrites dans cet article, vérifiez que vous avez rempli les conditions préalables suivantes :

  • Vérifiez que vous disposez d’une console de gestion locale installée sur une appliance principale et une appliance secondaire.

    • Vos appliances de console de gestion principale et secondaire doivent exécuter des modèles matériels et des versions logicielles identiques.
    • Vous devez être en mesure d’accéder aux consoles de gestion locales principales et secondaires en tant qu'utilisateur privilégié, pour exécuter des commandes CLI. Pour plus d’informations, consultez utilisateurs et rôles sur site pour la surveillance OT.

  • Assurez-vous que la console de gestion locale principale est entièrement configurée, avec au moins deux capteurs réseau OT connectés et visibles dans l’interface utilisateur de la console, ainsi que les sauvegardes planifiées ou les paramètres des VLANs. Tous les paramètres sont appliqués automatiquement à l’appareil secondaire après le jumelage.

  • Assurez-vous que vos certificats SSL/TLS répondent aux critères requis. Pour plus d’informations, consultez exigences de certificat SSL/TLS pour les ressources locales.

  • Assurez-vous que votre stratégie de sécurité organisationnelle vous accorde l’accès aux services suivants, sur la console de gestion principale et secondaire locale. Ces services autorisent également la connexion entre les capteurs et la console de gestion locale secondaire :

    Port Service Description
    443 ou TCP HTTPS Accorde l’accès à la console web de la console de gestion locale.
    22 ou tcp SSH Synchronise les données entre les appliances de console de gestion principale et secondaire locale
    123 ou UDP NTP Synchronisation du temps NTP de la console de gestion locale. Vérifiez que les appliances actives et passives sont définies avec le même fuseau horaire.

Créer la paire primaire et secondaire

Important

Exécutez des commandes avec sudo uniquement lorsqu’elle est indiquée. Si ce n'est pas indiqué, n'exécutez pas avec sudo.

  1. Mettez sous tension les appliances de console de gestion principale et secondaire locale.

  2. Sur l’appliance secondaire, procédez comme suit pour copier la chaîne de connexion dans votre Presse-papiers :

    1. Connectez-vous à la console de gestion locale secondaire, puis sélectionnez paramètres système.

    2. Dans la zone Capteur - Chaîne de connexion, sous Copier la chaîne de connexion, sélectionnez le bouton afin d'afficher la chaîne de connexion complète.

    3. La chaîne de connexion est composée de l’adresse IP et du jeton. L’adresse IP est avant le signe deux-points et le jeton est après le signe deux-points. Copiez l’adresse IP et le jeton séparément. Par exemple, si votre chaîne de connexion est 172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77f, copiez l’adresse IP 172.10.246.232 et le jeton a2c4gv9de23f56n078a44e12gf2ce77f séparément.

      Capture d’écran montrant comment copier chaque partie de la chaîne de connexion à utiliser dans la commande suivante.

  3. Sur l’appliance principale, procédez comme suit pour connecter l’appliance secondaire au serveur principal via l’interface CLI :

    1. Connectez-vous à la console de gestion locale principale via SSH pour accéder à l’interface CLI, puis exécutez :

      sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>

      <Secondary IP> est l’adresse IP de l’appliance secondaire et <Secondary token> est la deuxième partie de la chaîne de connexion après le deux-points, que vous aviez copiée dans le Presse-papiers plus tôt.

      Par exemple:

      sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77f

      L’adresse IP est validée, le certificat SSL/TLS est téléchargé sur l’appliance principale, et tous les capteurs connectés à l’appliance principale sont connectés à l’appliance secondaire.

    2. Appliquez vos modifications sur l’appliance principale. Courir:

      sudo cyberx-management-trusted-hosts-apply

    3. Vérifiez que le certificat est installé correctement sur l’appliance principale. Courir:

      cyberx-management-trusted-hosts-list

  4. Autorisez la connexion entre le processus de sauvegarde et de restauration des appliances primaires et secondaires :

    • Sur l’appliance principale, exécutez :

      cyberx-management-deploy-ssh-key <secondary appliance IP address>

    • Sur l’appliance secondaire, connectez-vous via SSH pour accéder à l’interface CLI et exécutez :

      cyberx-management-deploy-ssh-key <primary appliance IP address>

  5. Vérifiez que les modifications ont été appliquées sur l’appliance secondaire. Sur l’appliance secondaire, exécutez :

    cyberx-management-trusted-hosts-list

Suivre l’activité de haute disponibilité

Les journaux d’application principaux peuvent être exportés vers l’équipe du support technique Defender pour IoT afin de gérer les problèmes de haute disponibilité.

Pour accéder aux journaux principaux:

  1. Connectez-vous à la console de gestion locale et sélectionnez Paramètres système>Exporter. Pour plus d’informations sur l’exportation des journaux à envoyer à l’équipe de support technique, consultez Exporter les journaux à partir de la console de gestion locale pour la résolution des problèmes.

Mettre à jour la console de gestion locale avec une haute disponibilité

Pour mettre à jour une console de gestion locale avec une haute disponibilité configurée, vous devez :

  1. Déconnectez la fonctionnalité de haute disponibilité des appliances primaires et secondaires.
  2. Mettez à jour les appliances vers la nouvelle version.
  3. Reconfigurez la haute disponibilité sur les deux appareils.

Effectuez la mise à jour dans l’ordre suivant. Vérifiez que chaque étape est terminée avant de commencer une nouvelle étape.

Pour mettre à jour une console de gestion locale avec une haute disponibilité configurée:

  1. Déconnectez la haute disponibilité des appliances primaires et secondaires :

    sur le principal

    1. Obtenez la liste des appliances actuellement connectées. Courir:

      cyberx-management-trusted-hosts-list

    2. Recherchez le domaine associé à l’appliance secondaire et copiez-le dans le Presse-papiers. Par exemple:

      Capture d’écran montrant le domaine associé à l’appliance secondaire.

    3. Supprimez le domaine secondaire de la liste des hôtes approuvés. Courir:

      sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]

    4. Vérifiez que le certificat est correctement installé. Courir:

      sudo cyberx-management-trusted-hosts-apply

    en secondaire :

    1. Obtenez la liste des appliances actuellement connectées. Courir:

      cyberx-management-trusted-hosts-list

    2. Recherchez le domaine associé à l’appliance principale et copiez-le dans votre Presse-papiers.

    3. Supprimez le domaine principal de la liste des hôtes approuvés. Courir :

      sudo cyberx-management-trusted-hosts-remove -d [Primary domain]

    4. Vérifiez que le certificat est correctement installé. Courir:

      sudo cyberx-management-trusted-hosts-apply

  2. Mettez à jour les appliances primaires et secondaires vers la nouvelle version. Pour plus d’informations, consultez Mettre à jour une console de gestion locale.

  3. Configurez à nouveau la haute disponibilité sur les appliances primaires et secondaires. Pour plus d’informations, consultez Créer la paire principale et secondaire.

Processus de basculement

Après avoir configuré la haute disponibilité, les capteurs OT se connectent automatiquement à une console de gestion locale secondaire s’il ne peut pas se connecter au serveur principal. Si moins de la moitié des capteurs OT communiquent actuellement avec la machine secondaire, votre système est pris en charge simultanément par les machines primaires et secondaires. Si plus de la moitié des capteurs OT communiquent avec la machine secondaire, la machine secondaire prend en charge toutes les communications de capteur OT. Le basculement du serveur principal vers la machine secondaire prend environ trois minutes.

Lorsque le basculement se produit, la console de gestion locale principale se bloque et vous pouvez vous connecter au serveur secondaire à l’aide des mêmes informations d’identification de connexion.

Pendant le basculement, les capteurs continuent de tenter de communiquer avec l’appliance principale. Lorsque plus de la moitié des capteurs managés réussissent à communiquer avec le serveur principal, le serveur principal est restauré. Le message suivant s’affiche sur la console secondaire lorsque le serveur principal est restauré :

Capture d’écran d’un message qui s’affiche sur la console secondaire lorsque le serveur principal est restauré.

Connectez-vous à l’appliance principale après la redirection.

Gérer les fichiers d’activation expirés

Les fichiers d’activation ne peuvent être mis à jour que sur la console de gestion locale principale.

Avant l’expiration du fichier d’activation sur l’ordinateur secondaire, définissez-le comme ordinateur principal afin de pouvoir mettre à jour la licence.

Pour plus d’informations, consultez Charger un nouveau fichier d’activation.

Étapes suivantes

Pour plus d’informations, consultez Activer et configurer une console de gestion locale.