并非所有FortiAnalyzer型号都支持RAID。
你可以使用容错RAID解决方案来保护你的日志。如果FortiAnalyzer上发生关键事件,这将提高你的日志可用性。然而,请记住,并非所有FortiAnalyzer型号都支持RAID。检查你的设备规格,以验证是否支持RAID。
RAID将两个或多个物理驱动器组合成一个逻辑驱动器。
RAID使你能够在多个硬盘驱动器之间分配数据。RAID以不同的方式在驱动器之间分配数据,称为RAID级别。你选择的级别取决于你的目标。每个级别都提供了可靠性、可用性、性能和容量的不同平衡。
你可以在许多类型的RAID阵列中配置大多数设备。要设置RAID阵列,你必须拥有多个 (至少两个) 相同大小的驱动器。
请注意,RAID不能替代备份日志。即使你使用RAID,你仍然应该备份您的日志。
通过镜像,它不会将文件写入单个硬盘驱动器,而是将它们写入另一个硬盘驱动器。这样,你就拥有数据的实时副本。
通过条带,两个或多个驱动器组合成一个逻辑驱动器。当数据存储在逻辑驱动器上时,它会分裂成碎片并分布在阵列中的所有物理驱动器上。
需要注意的是,并非所有RAID级别都以相同的方式运行。有些人只做镜像,有些人只做条带,有些两者兼而有之。
还有一些版本包括分布式奇偶校验,这是实现数据冗余的一种方式。通过分布式奇偶校验,奇偶校验数据分布在多个驱动器之间,需要三个或更多磁盘(RAID 5及以上)。此外,可能出现故障的驱动器数量取决于RAID级别。无论级别如何,太多的故障驱动器都会导致数据丢失。
根据设备型号,你可以构建硬件RAID或软件RAID。
始终建议使用硬件RAID,因为专用控制器卡更快、更高效地处理所有RAID操作。
软件RAID意味着操作系统需要在其所有常规功能的基础上处理所有RAID操作。这会影响性能;因此,除非这是唯一的选择,否则不建议这样做。
如果支持RAID,你可以在RAID管理页面上配置RAID。支持的级别包括线性、RAID 0、RAID 1、RAID 1 + spare、RAID 5、RAID 5 + spare、RAID 6、RAID 6+ spare、RAID 10、RAID 50和RAID 60。
● RAID 0由两个或多个磁盘均匀拆分的数据组成。速度和性能是主要目标。没有奇偶校验信息或数据冗余。这意味着没有容错;如果一个磁盘出现故障,会影响整个阵列,数据就会丢失。
● RAID 1由两个 (最常见) 或多个磁盘上一组数据的精确副本组成。阅读性能和可靠性是主要目标。RAID 1包括容错性,因此如果一个磁盘出现故障,另一个磁盘可以继续工作,因为它包含数据的完整副本。
● RAID 5由具有分布式奇偶校验的块级条带组成。数据和奇偶校验在三个或更多磁盘上条带。此RAID级别提供比镜像和容错更好的性能。它可以承受单个驱动器的故障,因为后续读取可以从分布式奇偶校验计算,因此不会丢失任何数据。
● RAID 6通过添加另一个奇偶校验块来扩展RAID 5。因此,它由块级条带组成,两个奇偶校验块分布在所有成员磁盘上。它比RAID 5更强大,因为即使两个磁盘出现故障,系统也可以保持运行。
● RAID 50结合了RAID 0的块级条带和RAID 5的分布式奇偶校验。写入性能比RAID 5有所提高,并提供比单个RAID 5级别更好的容错能力。有了这个级别,每个RAID 5集中的一个驱动器可能出现故障。
● RAID 60结合了RAID 0的块级条带和RAID 6的分布式双重奇偶校验。写入性能受到影响,但增强的冗余提供了安心。双奇偶校验允许每个RAID 6阵列中的两个磁盘发生故障。
有关RAID级别的更多信息,请参阅FortiAnalyzer管理指南。
来源:维基百科、标准RAID级别和嵌套RAID级别
磁盘状态可以是以下之一:
● 准备就绪
● 重建
● 初始化
● 验证
● 降级
● 不可操作
如果FortiAnalyzer上的硬盘出现故障,你必须更换它。在支持硬件RAID的FortiAnalyzer型号上,你可以在FortiAnalyzer仍在运行时更换磁盘。这被称为热交换。Fortinet仅支持硬件RAID上的热交换。在装有软件RAID的FortiAnalyzer设备上,你必须在交换硬盘之前关闭FortiAnalyzer。
使用命令diagnose system raid hwinfo查看FortiAnalyzer上单个磁盘硬件的详细信息。
在FortiAnalyzer-VM上,只有diagnose system disk usage命令可用。
● 当FortiAnalyzer主设备出现故障时,提供实时冗余。如果主设备出现故障,集群中的另一个设备将被选为主设备。
● 在多个FortiAnalyzer设备之间安全地同步日志和数据。适用于HA的系统和配置设置也是同步的。
● 通过将辅助设备用于运行报告等进程来减轻主设备的负载。
FortiAnalyzer HA集群最多可以有四个设备:一个主要设备,最多三个辅助设备。集群中的所有设备必须具有相同的FortiAnalyzer系列和固件,并且在网络上相互可见。所有设备必须以相同的操作模式运行:分析器或收集器。
虽然可用的磁盘空间不需要匹配,但重要的是要确保所有集群成员有足够的存储空间来存储预期的日志。建议所有成员拥有相同的可用存储空间。
当使用FortiAnalyzer虚拟机作为集群成员时,所有虚拟机必须在同一平台上运行。例如,在VMware上运行的虚拟机无法与在KVM中运行的虚拟机形成集群。
FortiAnalyzer HA实施仅在允许虚拟路由器冗余协议 (VRRP) 的网络中工作。因此,它可能没有得到一些公共云基础设施的支持。
当使用具有不同许可证的FortiAnalyzer设备创建HA集群时,将使用允许最少数量的托管设备的许可证。
要配置集群,请将主设备的操作模式设置为高可用性,然后在设备加入HA集群时选择该设备的首选角色。
在集群虚拟IP部分中,你需要选择接口,然后键入FortiAnalyzer设备要为其提供冗余的IP地址。一旦集群启动,发送日志的设备必须指向此IP。
默认情况下,VRRP心跳数据包发送到多播地址224.0.0.18,并来自配置的第一个虚拟IP接口的主IP地址。从CLl,你可以配置不同的接口来发送心跳,并将其设置为使用单播。
接下来,你将每个辅助设备的IP地址和序列号添加到主设备对等列表中。主设备和所有辅助设备的IP地址和序列号必须添加到每个辅助设备。日志同步流量需要通过这些IP地址访问集群成员。如上图和上上图所示,这些IP地址不必与集群虚拟IP位于同一个子网上。相反,建议它们在单独的子网上。
主设备和所有辅助设备必须具有相同的组名、组ID和密码。优先级设置用于选择集群中的主要设备。你可以分配80到120的值,其中较高的数字具有更高的优先级。默认情况下启用日志数据同步选项。在初始日志同步后,它提供了集群成员之间的实时日志同步。
在主设备故障的情况下,FortiAnalyzer HA使用以下规则来选择新的主设备:
● 所有集群设备都被分配了80到120的优先级。默认优先级是100。如果主设备不可用,则选择优先级最高的设备作为新的主设备。例如,选择优先级为110的设备,而不是优先级为100的设备。
● 如果多个设备具有相同的优先级,则选择主IP地址具有最大价值的设备作为新的主设备。例如,123.45.67.124被选择在123.45.67.123之上。
● 如果具有更高优先级或更高值IP地址的新设备加入集群,新设备不会自动替换 (或抢占) 当前主设备。
默认情况下,检查触发自动故障转移的唯一参数是集群成员之间的网络可达性。你可以选择配置HA来检查Postgres数据库进程的状态,以在该进程停止工作时启动故障转移。这是在system ha配置模式下使用命令set healthcheck DB从CLl完成的。
初始同步:主设备将其日志与添加到集群的新设备同步。初始同步完成后,辅助设备会自动重新启动并使用同步的日志重建其日志数据库。你可以在集群状态窗格初始日志同步列中查看状态。
实时同步:初始日志同步后,HA集群进入实时日志同步状态。默认情况下,HA集群中的所有设备都启用日志数据同步。当主设备启用日志数据同步时,主设备会实时将日志转发到所有辅助设备。这确保了主设备和辅助设备中的日志同步。如果主设备出现故障,选择为新主设备的辅助设备将继续与辅助设备同步日志。如果你想将FortiAnalyzer设备用作备用设备(而不是次要设备),那么你不需要实时日志同步,因此你可以禁用日志数据同步。
配置同步在集群设备之间提供冗余和负载均衡。FortiAnalyzer HA集群将以下模块的配置同步到所有集群设备:
● 设备管理器
● 事件和事件
● 报告
● 大多数系统设置
FortiAnalyzer HA同步HA集群中的大多数系统设置。上图的表格显示了一些同步的设置。有关完整列表,请参阅FortiAnalyzer管理指南。
● 报告
● FortiView
生成多个报告时,负载以循环方式分配给所有HA集群设备。生成报告时,报告将与其他设备同步,以便报告在所有HA设备成员上可见。同样,对于FortiView,当这些模块为其小部件生成输出时,集群设备共享一些负载。
与升级独立FortiAnalyzer设备的固件一样,正常的FortiAnalyzer操作可能会在集群固件升级时导致暂时中断。由于这些中断,你应该在维护期间升级集群固件。升级HA集群固件的步骤显示在上图上。
请注意,在升级同步过程完成之前,你可能无法连接到FortiAnalyzer GUl。在升级期间,使用SSH或Telnet连接到CLI可能会很慢。如有必要,请使用控制台连接到CLI。
● 角色
● 序列号
● IP
● 主机名
● 正常运行时间/停机时间
● 初始日志同步
● 配置同步
● 消息
你可以使用CLI命令diagnose ha status来显示相同的HA状态信息。上图还展示了其他有用的CLI诊断命令来监控和排除HA故障。
上图的图像仅用于演示目的。它是故意采用一个配置错误的HA集群,以说明您在类似情况下可能会遇到的一些错误。
