Referenz der Menüpunkte

Dieses Menü bietet die Möglichkeit mehrere Appliances zu einem Cluster zusammen zu fügen (siehe auch Clustern mehrerer Systeme).

Das Verhalten des Clusters (zum Beispiel aktiv/aktiv, aktiv/passiv und so weiter) ist dabei stark von den vorgenommenen Systemeinstellungen (siehe unter anderem System IP ALIAS addresses und SMTP loadbalancer) abhängig.

Maschinen, welche dem Cluster hinzugefügt werden, übernehmen die Einstellungen der Basis-Maschine. Das heisst alle eventuell bereits vorgenommenen Einstellungen werden überschrieben.

Ausgenommen vom Synchronisieren im Cluster bleiben die Menüpunkte, welche maschinenbezogene Daten enthalten, wie System, EXTENDED POSTFIX MTA SETTINGS, SSL, das Root-Zertifikat aus CA, Logs und Statistics.

hint

Hinweis:

Wird LFT (siehe auch Home License Large File Transfer (LFT) licenses, sowie GINA Domains Domains CHANGE GINA SETTINGS FOR Large File Transfer) verwendet, so muss der zusätzliche LFT Speicher auf allen Cluster-Partnern (auch Frontend-Systemen) bereit gestellt werden.

warning

Achtung:

Für das Bilden eines Clusters ist zwingend darauf zu achten, dass die Maschinen

•den gleichen Firmware Stand haben (siehe Home System Firmware version)

•stets dieselbe Systemzeit haben (siehe System Advanced view Time and Date Set remote NTP Server)

warning

Achtung:

ist dem Cluster ein Loadbalancer vorgeschaltet, so ist zwingend darauf zu achten, an diesem ein festes Zuordnen von Quell- und Ziel-IP-Adresse einzurichten.

Dadurch wird gewährleistet, dass ist insbesondere beim GINA-Zugriff die Anfragen einer Session auch immer auf demselben Cluster-Member landen.

Andernfalls wären Session-Abbrüche die Folge.

Sektion Prepare for cluster

Spalte	Beschreibung
Cluster password (neu in 12.1)	Eingabe des Passworts zum Schutz des privaten Schlüssels.
Download cluster identifier lädt das Zertifikat, beziehungsweise Schlüsselpaar für das Herstellen der SSH Verbindung vom zukünftigen Cluster-Partner zur Basis-Maschine herunter. In der Regel heisst diese Datei «clusterid.txt». Das heisst diese Aktion wird an der Maschine vorgenommen, von welcher die Einstellungen übernommen werden sollen.

Spalte

Beschreibung

Cluster password

(neu in 12.1)

Eingabe des Passworts zum Schutz des privaten Schlüssels.

Download cluster identifier lädt das Zertifikat, beziehungsweise Schlüsselpaar für das Herstellen der SSH Verbindung vom zukünftigen Cluster-Partner zur Basis-Maschine herunter.

In der Regel heisst diese Datei «clusterid.txt». Das heisst diese Aktion wird an der Maschine vorgenommen, von welcher die Einstellungen übernommen werden sollen.

warning

Achtung:

Sollen mehrere Maschinen einem Cluster hinzugefügt werden, so muss dies unbedingt nacheinander passieren.

Werden mehrere Maschinen parallel hinzugefügt, kann dies zum Verlust der Konfiguration führen!

Sektion Add this device to existing cluster

Diese Sektion erscheint nur dann, wenn das SEPPmail Secure E-Mail Gateway nicht bereits in einem Cluster-Verbund integriert ist und dient dem Hinzufügen zu einem Cluster.

warning

Achtung:
Alle Einstellungen, welche nicht maschinenbezogen sind (siehe Sektion Prepare for cluster), werden durch diese Aktion mit den Einstellungen der Basis-Maschine überschrieben. Sollten Unsicherheiten bezüglich der Aktion bestehen, empfiehlt sich dringend zuvor ein manuelles Backup zu erstellen (siehe Administration Backup).

Parameter	Beschreibung
Cluster identifier	Über die Browser-Schaltfläche «Datei auswählen» wird das für die SSH Verbindung benötigte Zertifikat der Basis-Maschine «clusterid.txt» (siehe Sektion Prepare for cluster) ausgewählt.
Cluster member IP	An dieser Stelle wird die physikalische IP-Adresse (kein Alias!, also virtuelle Adresse) der Basis-Maschine über welche die Cluster Kommunikation stattfinden soll sowie der zu verwendende Port (im Standard Port 22 für das SSH-Protokoll) angegeben.	Achtung: Das Angeben eines Port: ist ausschliesslich dann erforderlich, wenn an einer zwischengelagerten Komponente (zum Beispiel Firewall) ein Port-Mapping erfolgt. Die Cluster member IP horcht immer auf Port 22 SSH (Standardeintrag).
IP address of this device	An dieser Stelle wird die physikalische IP-Adresse (kein Alias!, also virtuelle Adresse, siehe System IP ALIAS addresses) dieser Maschine über welche die Cluster Kommunikation stattfinden soll sowie der zu verwendende Port (muss identisch mit dem unter Cluster member IP eingegebenen sein) angegeben.
Connect	Über die Schaltfläche Start wird die Maschine dem Cluster hinzugefügt.

Sektion Cluster members

Diese Sektion erscheint nur dann, wenn das SEPPmail Secure E-Mail Gateway bereits Bestandteil eines Cluster ist. In diesem Fall werden alle vollwertigen Cluster-Partner - also ausschliesslich Backend Maschinen - mit den folgenden Daten gelistet:

Spalte	Beschreibung
Device ID	Zeigt die «Device ID» der jeweiligen Cluster-Partner an. Das Entfernen eines entfernten Cluster-Partners kann durch Klicken auf die «Device ID» erfolgen. Hierdurch öffnet ein weiteres Menü, in welchem dann der Server über die Schaltfläche Remove device from cluster entfernt werden kann. Die Datenbank bleibt mit dem zuletzt synchronisierten Stand auf dem entfernten System erhalten. Das Entfernen der lokalen Maschine aus dem Cluster-Verbund erfolgt wie in Sektion Remove from cluster beschrieben.
IP address	Zeigt die «IP-Adresse» des jeweiligen Cluster-Partners an, welche für die Cluster Kommunikation konfiguriert wurde.
Port	Zeigt den Kommunikations-Port an (im Standard Port 22 für das SSH-Protokoll)
Status	Arbeitet der Cluster korrekt, so steht hier "OK (XXXX entries in remote database, XXXX entries in local Database)" wobei die Anzahl «XXXX» identisch sein sollte.
Comment	Zeigt den für den Cluster-Partner definierten Kommentar an (siehe System Comment)
Location	Zeigt den für den Cluster-Partner definierten Standort an (siehe System Comment)
Version (neu in 13.0.0)	Zeigt den Firmware version der jeweiligen Device ID
Last update time (neu in 13.0.0)	Zeigt den Zeitpunkt der letzten Syncronisation der jeweiligen Device ID mit dem Cluster-Verbund an. Die Anzeige ist statisch und wird somit erst mit dem Neuaufruf des Menüs wieder aktualisiert.

Sektion Remove from cluster

Diese Sektion erscheint nur dann, wenn das SEPPmail Secure E-Mail Gateway bereits Bestandteil eines Cluster ist.

Durch Klicken der Schaltfläche remove this device from cluster wird die Maschine aus dem Cluster herausgenommen. Die lokale Datenbank bleibt dabei erhalten und hat den Stand des letzten Synchronisierens im Cluster.

Sektion Allow mail injection

(neu in 13.0.5)

Diese Sektion erscheint nur dann, wenn das SEPPmail Secure E-Mail Gateway bereits Bestandteil eines Cluster ist.

Mit dieser Einstellung können Sie diesem Clustermitglied erlauben, Mails an die ausgewählten Clustermitglieder zu injizieren.

Dies ist vor allem für Bypass LFT Systeme und für den SMTP Loadbalancer wichtig.

Die Synchronisation von gespeicherten LFT-Anhängen wird nur mit den ausgewählten Clustermitgliedern durchgeführt.

Spalte	Beschreibung
Allowed frontend systems	(falls vorhanden) Ein oder mehrere Frontend-Clustermitglieder auswählen.
Allowed backend systems	(falls vorhanden) Ein oder mehrere Backend-Clustermitglieder auswählen.

Sektion Cluster Setup

(neu in 13.0.0)

Diese Sektion erscheint nur dann, wenn das SEPPmail Secure E-Mail Gateway bereits Bestandteil eines Cluster ist. In diesem Fall werden alle Cluster-Partner (auch Frontend Maschinen) mit den folgenden Daten gelistet:

Spalte	Beschreibung
Device ID /UUID	Zeigt die «Device ID», sowie die «UUID» des jeweiligen Cluster-Partners, sowie einen eindeutigen Farbcode an.
Cluster No.	Bei jeder Backend Maschine wird eine eindeutige Nummer angezeigt. Bei jeder Frontend Maschine wird ein «F» und dahinter in Klammern die jeweils eindeutigen Nummern der verbundenen Backend Maschinen angezeigt (vergleiche auch Add additional backend).
Hostname	Zeigt den Hostname der jeweiligen Maschine an (vergleiche Hostname).
IP address	Zeigt die «IP-Adresse» des jeweiligen Cluster-Partners an, welche für die Cluster Kommunikation konfiguriert wurde.
Port	Zeigt den Kommunikations-Port an (im Standard Port 22 für das SSH-Protokoll)
Is Frontend of	Bei Frontend Maschinen werden hier die Backend Maschinen mit ihren Device ID /UUIDs angezeigt (vergleiche auch Add additional backend).
Is Backend of	Bei Backend Maschinen werden hier die Frontend Maschinen mit ihren Device ID /UUIDs angezeigt, welche eine Verbindung zum jeweiligen Backend konfiguriert haben
Comment	Zeigt den für die jeweilige Device ID /UUID definierten Kommentar an (siehe Comment)
Location	Zeigt den für die jeweilige Device ID /UUID definierten Standort an (siehe Comment)
Version	Zeigt den Firmware version der jeweiligen Device ID /UUID
Last update time	Zeigt den Zeitpunkt der letzten Syncronisation der jeweiligen Device ID /UUID mit dem Cluster-Verbund an. Die Anzeige ist statisch und wird somit erst mit dem Neuaufruf des Menüs wieder aktualisiert.
	Wurde ein Cluster-Partner dauerhaft abgeschaltet, so kann dessen Eintrag (Device ID /UUID) über das Symbol entfernt werden. Wird der Eintrag eines aktiven Cluster-Partners (auch Frontend-Maschinen!) entfernt, so taucht dieser in der Regel nach einer Minute von alleine wieder auf.

Sektion Cluster replication

(neu in 13.0.0)

Spalte	Beschreibung
Device ID /UUID	Zeigt die «Device ID», sowie die «UUID» des jeweiligen Cluster-Partners mit seinem eindeutigen Farbcode (siehe Cluster setup Device ID / UUID) an. Die Maschine, auf welcher das Menü geöffnet ist wird dabei in fett dargestellt.
Cluster No.	vergleiche Cluster setup Cluster No.
Last context CSN	Gibt an, welcher Cluster-Partner (Cluster No.) wann zuletzt eine Änderung am Datenbestand (LDAP) vorgenommen hat.

Spalte

Beschreibung

Device ID /UUID

Zeigt die «Device ID», sowie die «UUID» des jeweiligen Cluster-Partners mit seinem eindeutigen Farbcode (siehe Cluster setup Device ID / UUID) an.

Die Maschine, auf welcher das Menü geöffnet ist wird dabei in fett dargestellt.

Cluster No.

vergleiche Cluster setup Cluster No.

Last context CSN

Gibt an, welcher Cluster-Partner (Cluster No.) wann zuletzt eine Änderung am Datenbestand (LDAP) vorgenommen hat.

Sektion Add this device as frontend server (no local database)

Diese Sektion erscheint nur dann, wenn das SEPPmail Secure E-Mail Gateway nicht bereits in einem Cluster-Verbund integriert ist. Sie dient dem Hinzufügen der Maschine als Frontend-Server zu einer anderen Maschine oder einem Cluster. Als Frontend-Server wird ein Cluster-Partner ohne lokale Datenbank bezeichnet.

Sollte aufgrund von Revisionsvorgaben das SEPPmail Secure E-Mail Gateway in einer DMZ platziert werden müssen(siehe auch GINA Satellit), in welcher keine Datenhaltung - in diesem Fall in erster Linie Schlüsselmaterial - erlaubt ist, so kann über diese Funktion ein Auftrennen zwischen dem Datenbanksystem (backend) und dem E-Mail verarbeitenden System (frontend) vollzogen werden. Häufig wird diese Variante auch zum Abtrennen des GINA verarbeitenden Teils verwendet.

Der Frontend-Server erhält in diesem Fall jeweils nur die diejenigen Daten vom Backend-Server, welche aktuell zum Verarbeiten einer E-Mail benötigt werden. Der Backend-Server steht ausserhalb der DMZ und hält die Daten in seiner Datenbank.

Frontend-Server werden nicht in der Sektion Cluster members der Backend-Systeme angezeigt.

Parameter	Beschreibung
Cluster identifier	Über die Browser-Schaltfläche «Datei auswählen» wird das für die SSH Verbindung benötigte Zertifikat der Basis-Maschine «clusterid.txt» (siehe Sektion Prepare for cluster) ausgewählt.
Existing appliance IP	An dieser Stelle wird IP-Adresse der Backend-Maschine über welche die Cluster Kommunikation stattfinden soll sowie der zu verwendende Port (im Standard Port 22 für das SSH-Protokoll) angegeben. Existiert ein «Backend-Cluster», so kann an dieser Stelle eine virtuelle IP-Adresse (siehe System IP ALIAS addresses) verwendet werden. Es besteht aber auch die Möglichkeit, der Frontend-Maschine weitere Backend-Server im Nachhinein hinzu zu fügen (siehe Sektion Add additional backend) falls keine virtuelle IP-Adresse verfügbar ist.
Connect	Über die Schaltfläche Start wird die Maschine dem Cluster hinzugefügt.

Parameter

Beschreibung

Cluster identifier

Über die Browser-Schaltfläche «Datei auswählen» wird das für die SSH Verbindung benötigte Zertifikat der Basis-Maschine «clusterid.txt» (siehe Sektion Prepare for cluster) ausgewählt.

Existing appliance IP

An dieser Stelle wird IP-Adresse der Backend-Maschine über welche die Cluster Kommunikation stattfinden soll sowie der zu verwendende Port (im Standard Port 22 für das SSH-Protokoll) angegeben.

Existiert ein «Backend-Cluster», so kann an dieser Stelle eine virtuelle IP-Adresse (siehe System IP ALIAS addresses) verwendet werden. Es besteht aber auch die Möglichkeit, der Frontend-Maschine weitere Backend-Server im Nachhinein hinzu zu fügen (siehe Sektion Add additional backend) falls keine virtuelle IP-Adresse verfügbar ist.

Connect

Über die Schaltfläche Start wird die Maschine dem Cluster hinzugefügt.

hint

Hinweis:

Vom Frontend wird ausschliesslich die Kommunikation zum Backend via Port 22 SSH und zur jeweiligen Server IP Address (siehe Mail System Managed domains) via Port 25 SMTP benötigt.

warning

Achtung:

(geändert in 12.0)

Nach Änderungen in den Menüs GINA Domains, beziehungsweise Mail Processing, müssen diese auf jedem Frontend separat erneut angewendet (Save / Generate ruleset) werden.

Änderungen der Konfiguration des Backend Systems werden am Frontend System erst bis zu zehn Minuten später aktiv.

Sektion Remote LDAP server

Diese Sektion erscheint nur dann, wenn das SEPPmail Secure E-Mail Gateway bereits als Frontend-Server eingerichtet ist. In diesem Fall werden alle Backend-Server mit den folgenden Daten gelistet:

Spalte	Beschreibung
IP address	Zeigt die «IP-Adresse» der jeweiligen LDAP-(Backend-)Maschine an. Das Entfernen eines LDAP-(Backend-)Servers erfolgt durch klicken auf die IP-Adresse. Hierdurch öffnet ein weiteres Menü, in welchem dann der Server über die Schaltfläche Remove device from cluster entfernt werden kann. Das Entfernen der lokalen Maschine als Frontend-Server erfolgt wie in Sektion Detach from LDAP server beschrieben.
Port	Zeigt den Kommunikations-Port an (im Standard Port 22 für das SSH-Protokoll)
Status	Arbeitet der Cluster korrekt, so steht hier "OK (XXXX entries in remote database)"

Spalte

Beschreibung

IP address

Zeigt die «IP-Adresse» der jeweiligen LDAP-(Backend-)Maschine an.

Das Entfernen eines LDAP-(Backend-)Servers erfolgt durch klicken auf die IP-Adresse. Hierdurch öffnet ein weiteres Menü, in welchem dann der Server über die Schaltfläche Remove device from cluster entfernt werden kann.

Das Entfernen der lokalen Maschine als Frontend-Server erfolgt wie in Sektion Detach from LDAP server beschrieben.

Port

Zeigt den Kommunikations-Port an (im Standard Port 22 für das SSH-Protokoll)

Status

Arbeitet der Cluster korrekt, so steht hier

"OK (XXXX entries in remote database)"

Sektion Detach from LDAP server

Über die Schaltfläche Detach wird das SEPPmail Secure E-Mail Gateway als Frontend-Server entfernt. Dabei wird eine leere Lokale Datenbank auf dem System angelegt.

hint

Hinweis:

Das Abkoppeln eines Frontend-Servers wird durch einen automatischen Neustart der Appliance abgeschlossen.

Sektion Add additional backend

Sollen mehrere Backend-Server aus einem Backend-Cluster für LDAP-Anfragen herangezogen werden, ohne dass eine virtuelle IP-Adresse zu diesem Zweck bereit gestellt wurde, so kann über diese Option jeder Backend-Server separat eingebunden werden.

Parameter	Beschreibung
Existing appliance IP	An dieser Stelle wird die physikalische IP-Adresse einer weiteren Backend-Maschine sowie der zu verwendende Port (im Standard Port 22 für das SSH-Protokoll) angegeben. Hierdurch kann ein Backend-Cluster ohne Verwenden von virtuellen IP-Adressen ausfallsicher angebunden werden.
Connect	Über die Schaltfläche Start wird die zusätzliche Backend-Maschine hinzugefügt.

Parameter

Beschreibung

Existing appliance IP

An dieser Stelle wird die physikalische IP-Adresse einer weiteren Backend-Maschine sowie der zu verwendende Port (im Standard Port 22 für das SSH-Protokoll) angegeben.

Hierdurch kann ein Backend-Cluster ohne Verwenden von virtuellen IP-Adressen ausfallsicher angebunden werden.

Connect

Über die Schaltfläche Start wird die zusätzliche Backend-Maschine hinzugefügt.

Sektion Protect cluster identfier

(neu in 13.0.0)

Diese Sektion erscheint nur dann, wenn das SEPPmail Secure E-Mail Gateway bereits Bestandteil eines Cluster ist. In diesem Fall werden alle Cluster-Partner mit den folgenden Daten gelistet:

Parameter

Beschreibung

limit cluster identifier to the specified IPs

Im Standard ist diese Option inaktiv.

Durch Aktivieren der Option kann über das Eingabefeld das Nutzen des «Cluster identifier» (siehe auch Prepare for cluster) auf die angegebenen IP-Adressen beschränkt werden. Dabei ist bei der Eingabe für jede IP Adresse eine neue Zeile zu verwenden.

warning

Achtung:

Werden die IP Adressen an dieser Stelle nicht eingeschränkt, so kann über den «Cluster identifier» per SSH Zugriff auf das SEPPmail Secure E-Mail Gateway erlangt werden.

Aus diesem Grund wird dringend empfohlen, die IP Adressen der Cluster aufzunehmen.