Развертывание High Availability кластера CyberArk в Windows Server 2012

Все заказчики, использующие в своем окружении какие-либо системы контроля привилегированных учетных записей (PIM-системы), сразу же задаются вопросом отказоустойчивости этих систем, так как хранимые в них данные являются очень критичными. Пользователи решения обычно опасаются, что в случае выхода из строя PIM-системы они потеряют доступ к привилегированным учетным записям и, как следствие, ко всем целевым системам, интегрированным с PIM-решением. Поэтому большинство заказчиков предпочитают объединять сервера PIM-систем в отказоустойчивый (High Availability) кластер, повышающий надежность работы системы и снижающий вероятность потери доступа к учетным записям и целевым системам.

В продукте CyberArk Enterprise Password Vault отказоустойчивость была реализована с использованием решений Microsoft, а именно Windows Failover Cluster. Однако, использование Windows Failover Cluster требовало обязательное членство серверов EPV в составе домена, что снижало защищенность самих серверов. Это вызывало сложности в построении отказоустойчивых архитектур, так как приходилось использовать различные дополнительные решения, чтобы обойти данное ограничение, например, использовать для серверов EPV отдельный технологический домен. Окончательно данная сложность была устранена вендором в версии 9.7, где отказоустойчивость была реализована собственными средствами.

Если продукт CyberArk Enterprise Password Vault разворачивается в среде Microsoft Windows Server 2012, то для построения High Availability кластера (HA-кластер) используется собственная служба Cluster Vault Manager (CVM). Архитектура HA-кластера серверов EPV представлена на рисунке ниже.

Screenshot_1

Как видно из рисунка, для построения HA-кластера требуется выделить 5 IP-адресов – 2 IP-адреса для кластерного взаимодействия и передачи heartbeat-сообщений (Private Network), 2 IP-адреса для сетевого взаимодействия и 1 виртуальный кластерный IP-адрес (Public Network), а также общее хранилище для размещения дисков кворума и данных.

Процесс установки EPV практически не отличается от предыдущих версий, за исключением того, что после нее нужно внести необходимые данные в конфигурационный файл ClusterVault.ini. В этом файле указываются логические имена кластера и его серверов (нод), имя сетевого интерфейса, а также те 5 IP-адресов, которые выделены для работы HA-кластера. После окончания установки на первом сервере HA-кластера диски кворума и данных переключаются на второй сервер, на котором выполняется та же процедура установки и настройки (обратите внимание на то, что для установки необходимо использовать те же ключи, что использовались на первом сервере), после чего оба сервера перезагружаются.

Если в процессе установки не было допущено ошибок, то после загрузки серверов в интерфейсе службы Cluster Vault Management можно наблюдать похожую картину.

CVM

Для тестирования корректной работы HA-кластера можно использовать центральную кнопку в консоли Cluster Vault Management: если ее нажать на активной ноде, то запустится процесс переключения на пассивную ноду кластера.

Процесс обновления HA-кластера CyberArk в окружении Windows Server 2012 до версии 9.7 не столь прост и очевиден, прежде всего потому, что версия 9.6 поддерживает только Windows Failover Cluster, а версия 9.7 – только кластеризацию с использованием Cluster Vault Management. Поэтому процедура миграции выполняется в несколько шагов с использованием промежуточного сервера EPV:

  1. Устанавливается отдельный промежуточный сервер EPV версии 9.6.
  2. Данные с HA-кластера CyberArk 9.6 реплицируются на промежуточный сервер EPV с использованием утилиты резервного копирования CyberArk PAReplicate.
  3. Промежуточный сервер EPV обновляется до версии 9.7.
  4. Устанавливается новый HA-кластер CyberArk 9.7.
  5. Данные с промежуточного сервера EPV реплицируются в новый HA-кластер CyberArk 9.7.

Следует отметить тот факт, что данную процедуру миграции инженеры компании Инфозащита недавно успешно выполнили для одного из наших заказчиков, использующего продукты CyberArk. По данным вендора это была первая в России выполненная миграция такого рода.

Таким образом, по моему мнению, в новой версии CyberArk 9.7 появилась отличная альтернатива Windows Failover Cluster, позволяющая отказаться от включения серверов EPV в состав домена. У нового решения по кластеризации CyberArk есть следующие плюсы по сравнению с Windows Failover Cluster:

  • повышение защищенности серверов EPV;
  • отсутствие потенциальных проблем на стыке решений производителей (Microsoft и CyberArk);
  • более простая установка, настройка и обслуживание кластера.

Минусов данного решения нами и нашими заказчиками обнаружено не было. Поэтому я рекомендую всем заказчикам, использующим HA-кластер CyberArk EPV на базе Windows Failover Cluster, задуматься об отказе от него в пользу нового решения по кластеризации от CyberArk.