Vyatta Gateway High Availability 구성

Vyatta Gateway 1대를 배포 후 사용 중에, 추가로 1대를 배포하여 HA 구성하는 가이드 입니다.

  1. Control Portal에 접속 후, Network > Gateway Appliances메뉴를 클릭하여 Gateway Appliances 장비를 확인합니다.

  1. 우측 상단의 Actions > Upgrade to H/A 버튼을 클릭합니다.

  1. 아래와 같은 PoP Up 창이 뜨면 OK 버튼을 누릅니다. 아래 빨간 박스의 링크를 누르면 Vyatta 간 VRRP 및 Config Sync 방법에 대한 가이드가 나타납니다.

  1. OK 버튼을 클릭하면 Vyatta Gateway 1대를 추가로 주문하는 창이 뜹니다.

  1. 주문을 완료하면, 아래와 같이 2대의 Vyatta가 Clustering 되어 배포가 완료되는 것을 확인할 수 있습니다. 기존 Vyatta의 VPN IP를 빨간 박스의 Public Gateway IP로 설정해 두셨다면, VPN 설정 변경 없이 계속 사용 가능합니다.

배포가 완료 된 후, 아래 두가지 설정이 필요합니다.

1. Config Sync
새로 배포된 Vyatta로 접속하여 아래 명령어를 입력하여 Vyatta 간 Configuration을 자동 동기화하는 설정을 해줍니다.

configure
set system config-sync remote-router 10.1.1.1
set system config-sync remote-router 10.1.1.1 password P@ssw0rd
set system config-sync remote-router 10.1.1.1 sync-map syncme
set system config-sync remote-router 10.1.1.1 username vyatta

set system config-sync sync-map syncme rule 1 action include
set system config-sync sync-map syncme rule 1 location firewall
set system config-sync sync-map syncme rule 2 action include
set system config-sync sync-map syncme rule 2 location “vpn ipsec”

위와 같이 설정이 끝난 후, IPSec VPN 또는 Firewall 설정 변경 시 동기화 되는 것을 확인할 수 있습니다.

2. VRRP Failover Configuration
set interfaces bonding bond1 vrrp vrrp-group 1 run-transition-scripts master /config/scripts/ipsec-restart
set interfaces bonding bond1 vrrp vrrp-group 1 run-transition-scripts backup /config/scripts/ipsec-stop
set interfaces bonding bond1 vrrp vrrp-group 1 run-transition-scripts fault /config/scripts/ipsec-stop

위와 같이 설정을 하면, Vyatta간 Failover시 VPN Service가 자동 Restart 되어 복구됩니다.

최종적으로 기존에 배포 된 Vyatta Gateway를 Down 시키면 새로 배포 된 Vyatta로 전환되어 HA 구성이 완료되었습니다.