08ClusterXL·VSX·VRRP 클러스터 설치ClusterXL·VSX·VRRP 클러스터 설치

종류는 달라도 흐름은 단일 Security Gateway 설치의 연장입니다. 각 멤버에서 Gaia를 깔고 첫 구성 마법사에서 클러스터 멤버로 지정한 뒤, SmartConsole에서 클러스터 객체 를 만들어 각 멤버를 추가하고 SIC를 세우고, 인터페이스 역할(Cluster Virtual IP·동기화·private)을 정하는 순서입니다.

마법사 차이는 작습니다 — Products에서 Security Gateway only를 고른 뒤 Unit is a part of a cluster 를 켜고 클러스터 종류(ElasticXL·ClusterXL·VRRP)를 선택 합니다. 핵심은 클러스터가 외부에 보이는 Cluster Virtual IP(VIP) 와, 각 멤버의 고유 물리 IP 를 구분해 두는 것입니다. VIP를 멤버 물리 IP와 다른 네트워크에 두려면 멤버에 static route를 잡아야 합니다.

R82부터 VSX에는 두 모드가 있습니다 — 새로운 VSNext 와 기존 Legacy VSX 입니다. VSNext는 ElasticXL Cluster 나 Maestro Security Group 에서만 켤 수 있습니다. 플랫폼을 깔 때(ElasticXL은 R82 Scalable Platforms Administration Guide, Maestro는 Quantum Maestro Getting Started Guide) 첫 구성 마법사에서 Unit is a part of a cluster → ElasticXL을 고르고 Gateway Virtualization에서 Install as VSNext 를 선택 합니다(Maestro는 Security Group 생성 시 Install as VSNext/VSX 선택). 한 번 VSNext로 깔면 나중에 전환할 수 없습니다.

플랫폼이 준비되면 필요한 Virtual Switch·Virtual Gateway를 구성하고(R82 VSX Administration Guide의 VSNext 장), SmartConsole에서 각 Virtual Gateway마다 VSX > Gateway 객체를 만들되 "VSNext mode on Scalable Platform cluster" 를 선택 해 객체를 잇습니다.

가장 일반적인 것이 ClusterXL 입니다. 각 멤버를 깐 뒤 SmartConsole에서 클러스터 객체를 만들 때 Check Point ClusterXL 을 고르고 모드(High Availability 또는 Load Sharing)를 정 합니다. 그다음 Cluster Members 페이지에서 멤버를 하나씩 추가 하는데, 각 멤버의 물리 IP를 첫 구성 마법사에서 잡은 값과 똑같이 넣고 같은 Activation Key로 Initialize해 Trust State가 Trust established가 되도록 합니다(안 되면 멤버에서 cpconfig 의 Secure Internal Communication으로 키를 바꾸고 Reset → Initialize).

핵심 단계는 Cluster Topology 입니다. 인터페이스마다 역할을 정합니다 — 트래픽 인터페이스는 "Representing a cluster interface"로 두고 Cluster Virtual IP·넷마스크를 잡고, 동기화 인터페이스는 "Cluster Synchronization > Primary only"(클러스터는 동기화 네트워크를 하나만 지원), 트래픽을 안 흘리는 인터페이스는 "Private use of each member" 로 둡니다. 마지막으로 Platform(Hardware·Version R82·OS Gaia)을 맞추고 ClusterXL Software Blade가 켜졌는지 확인한 뒤 정책을 설치합니다.

설치 마법사의 ClusterXL and VRRP 단계에서는 세부 동작을 고릅니다. 모드는 High Availability, Load Sharing(Multicast 또는 Unicast), Active-Active 중에서 정하고, High Availability라면 추가로 — 짧은 연결의 동기화를 늦춰 성능을 지키는 "Start synchronizing N seconds after connection initiation"(기본 3초, 2~60초), VIP에 같은 가상 MAC을 묶는 Use Virtual MAC(sk50840), 페일오버 복구 시 어느 멤버를 Active로 둘지 정하는 recovery 방식(현재 Active 유지 vs 우선순위 높은 멤버로 전환) 을 정합니다.

Legacy VSX Cluster 는 Legacy VSX Gateway를 클러스터로 묶은 것으로, R81.20 이하에서 그냥 "VSX"라 부르던 방식입니다. VSNext를 쓰지 않는 환경에서 여러 VSX Gateway를 묶을 때 씁니다(상세는 R82 VSX 관리자 가이드).

VRRP Cluster 는 ClusterXL 대신 업계 표준 VRRP(Virtual Router Redundancy Protocol)로 가용성을 구현 하는 Gaia 클러스터입니다. 멤버 설치와 SIC 세우기는 ClusterXL과 같되, 클러스터 객체에서 VRRP 모드를 골라 구성합니다. 멀티벤더 라우팅 환경 등 VRRP가 더 맞는 곳에서 선택합니다.

가장 촘촘한 형태가 Full High Availability Cluster 입니다. Check Point appliance 두 대가 각각 ClusterXL Cluster Member이면서 동시에 Security Management Server로 동작 해, 게이트웨이의 가용성과 관리 서버의 가용성을 한꺼번에 얻습니다. 한 appliance의 관리 서버가 Primary·ClusterXL이 Active로, 다른 쪽이 Secondary·Standby로 돌며 동기화 연결로 트래픽 정보를 주고받습니다.

이 구성은 관리와 집행이 한 장비에 얹혀 있어 로깅 옵션을 신중히 골라야 합니다(원문 "Recommended Logging Options" 절). 두 장비뿐이라 단순하지만, 그만큼 관리 서버 부하와 게이트웨이 부하가 같은 하드웨어를 나눠 쓴다는 점 을 감안해 규모를 잡아야 합니다.

클러스터까지 세웠다면, 더 작은 배포 형태와 설치 후 마무리로 넘어갑니다 — Standalone·Scalable Platform·설치 후 구성입니다.