Este artículo describe cómo implementar un Active / Active HA Sophos XG completo en Azure. La implementación hace uso del nuevo equilibrador de carga estándar de Azure con su función de puertos HA para la distribución de carga saliente.

Nota: 

• Se necesitará una licencia por separado para cada instancia del dispositivo Sophos XG (para BYOL).
• Si los clientes están creando sus propias plantillas utilizando otras herramientas de IaC como Terraform, deben usar diferentes puertos de monitoreo de sondas de estado para los balanceadores de carga externos e internos (por ejemplo, el puerto 4444 y el puerto TCP 3128)
• Solo se admite una solución activa / activa (no hay solución activa / pasiva).
• La implementación automatiza la adición de las rutas necesarias a los equilibradores de carga mediante el uso de runbooks de automatización de Azure.

Implementar la plantilla de solución HA completa

Inicie sesión en el Portal de Azure y abra otra pestaña del navegador para buscar la siguiente URL:  https://github.com/sophos-iaas/xg-azure-aa .

Desplácese por la página y haga clic en el botón Implementar en Azure . Esto abrirá la plantilla en el portal de Azure.

En la ventana de implementación personalizada , configure lo siguiente:

• Suscripción : seleccione la suscripción a la que desea que se asocie este recurso
• Grupo de recursos : seleccione Crear nuevo e ingrese lo siguiente: sophosxg-ha-poc-rg  (siéntase libre de seguir su convención de nombres preferida)
• Ubicación : seleccione la región de Azure en la que desea implementar el recurso
• URL base : Deja la configuración actual.
• Nombre de VM : configure un nombre de VM de acuerdo con su convención de nomenclatura, por ejemplo, do-sophosxg.
• Contraseña de administrador : ingrese una contraseña compleja (tome nota de esta contraseña ya que será necesaria para el inicio de sesión inicial)
• Image Sku : seleccione BYOL si está utilizando una licencia que compró a un socio de Sophos o a Sophos. Seleccione PAYG si pagarála licencia como parte de sus cargos de Azure
• Tamaño de VM: ingrese el tamaño de máquina virtual de Azure que desee: https://docs.microsoft.com/en-in/azure/virtual-machines/windows/sizes-general (el tamaño debe admitir un mínimo de 2 NIC), por ejemplo, Standard_F2s
• Nuevo o existente en la red : seleccione nuevo si desea implementar en una vNet nueva o existente si tiene una vNet existente 
• Net RG : el grupo de recursos de la red nueva o existente
• Nombre de red : el nombre de la red virtual nueva o existente
• Prefijo de red : el espacio de direcciones de la red virtual nueva o existente

• Nombre de Wan : el nombre de la subred de front-end (WAN) nueva o existente
• Prefijo Wan : el rango CIDR de la subred de extremo frontal (WAN) nueva o existente
• Nombre de LAN : el nombre de la subred back-end (LAN) nueva o existente
• Prefijo Lan : el rango CIDR de la subred back-end (LAN) nueva o existente
• Loadbalancer Int IP : la dirección IP del equilibrador de carga interno (saliente). La IP debe estar dentro del rango del prefijo LAN
• IP pública nueva o existente : seleccione nueva  si desea crear una nueva IP pública o existente  si tiene una IP pública existente
• Public Ip RG : el grupo de recursos del nuevo recurso público de IP (generalmente el mismo grupo de recursos que el anterior)
• Nombre de IP público : el nombre del recurso de IP público nuevo o existente
• DNS público Ip : el registro de nombre DNS que se creará en una zona DNS propiedad de Microsoft. Esto debe ser algo único en toda la zona DNS (se recomienda agregar números aleatorios para garantizar la singularidad). Especifique el nombre DNS existente si es para una dirección IP pública existente.
• Almacenamiento nuevo o existente : seleccione nuevo  si desea crear una nueva cuenta de almacenamiento o existente  si tiene una cuenta de almacenamiento existente
• RG de almacenamiento : el grupo de recursos que contiene la cuenta de almacenamiento nueva o existente
• Nombre de almacenamiento : el nombre de la cuenta de almacenamiento nueva o existente donde se almacenará el disco de la máquina virtual
• Tipo de almacenamiento : Estándar o Premium; LRS, ZRS, GRS, RA-GRS, por ejemplo, "Standard_LRS"

• Ubicación : especifique una ubicación personalizada o salga ya que se implementará en la misma ubicación que el grupo de recursos
• Nic Wan : el nombre de la NIC de la parte frontal (WAN) del firewall de Sophos XG
• Nic Lan : el nombre de la NIC de back-end (WAN) del firewall de Sophos XG
• Grupo de seguridad de red Nuevo o existente : seleccione "nuevo" si desea que se cree un nuevo grupo de seguridad de red o "existente" si tiene un grupo de seguridad de red existente que le gustaría usar
• Nombre del grupo de seguridad de red: el nombre del grupo de seguridad de red que se asociará con la NIC de la parte frontal (WAN) del firewall de Sophos XG
• Red de confianza : el host (IP) o el rango de red CIDR que debe tener acceso administrativo al firewall de Sophos XG (use * para cualquier). NOTA: Por favor, deje este conjunto en *  para cualquiera. La cuenta de Azure Automation usa las direcciones IP públicas de Azure para la conexión. Al restringir esto, la conexión del runbook fallará. Puede apretar el NSG después de la implementación exitosa.
• Conjunto de disponibilidad nuevo o existente : seleccione "nuevo" si desea que se cree un nuevo conjunto de disponibilidad o "existente" si tiene un conjunto de disponibilidad existente
• Nombre del conjunto de disponibilidad : el nombre del conjunto de disponibilidad nuevo o existente en el que se implementarán los cortafuegos de Sophos XG
• Número de instancias : el número de cortafuegos de Sophos XG que le gustaría implementar en el conjunto de disponibilidad. La plantilla limita esto a un máximo de cinco (5), pero el valor se puede modificar en la plantilla según sea necesario
• Cuenta de automatización nueva o existente : seleccione nueva  si desea que se cree una nueva cuenta de automatización o que exista  si tiene una cuenta de automatización existente
• Nombre de cuenta de automatización : el nombre de la cuenta de automatización nueva o existente que se usará para ejecutar el runbook de configuración posterior a la implementación
  • Las cuentas de automatización de Azure se admiten actualmente en regiones seleccionadas: visite para obtener más información Productos disponibles por región
  • Asegúrese de que una ubicación compatible esté seleccionada

En la  sección Términos y condiciones , marque la casilla para aceptar los términos y haga clic en Comprar

Conexión a las instancias de Sophos XG después del despliegue

Acceso WebAdmin a las instancias de Sophos XG.

Si la implementación es exitosa, podrá conectarse directamente a WebAdmin de cada instancia de Sophos XG utilizando los puertos TCP 4444, 4445, 4446 respectivamente.

Por ejemplo:

• Se puede acceder a WebAdmin de la primera instancia de XG en https: // <public IP>: 4444
• Se puede acceder a WebAdmin de la segunda instancia de XG en https: // <public IP>: 4445
• Se puede acceder a WebAdmin de la tercera instancia de XG en https: // <public IP>: 4446

Acceso SSH a las instancias de Sophos XG.

Si la implementación es exitosa, podrá conectarse directamente al SSH de cada instancia de Sophos XG utilizando los puertos TCP 2222, 2223, 2224 respectivamente.

Por ejemplo:

• Se puede acceder a SSH de la primera instancia XG en el puerto TCP 2222
• Se puede acceder a SSH de la segunda instancia XG en el puerto TCP 2223
• Se puede acceder a SSH de la tercera instancia XG en el puerto TCP 2224

Verifique que las rutas necesarias fueron agregadas por el runbook de automatización de Azure

Conéctese al dispositivo Sophos XG a través de SSH

Ejecuta el siguiente comando:

ssh admin@<public IP> -p 2222

Ingrese sí cuando se le solicite con respecto a la autenticidad del host

Ingrese la contraseña de administrador cuando se le solicite

Navegue a la shell avanzada del firewall

En la ventana de la consola, escriba 5 y presione Entrar para seleccionar Administración de dispositivos

Escribe 3 y presiona Enter para seleccionar Advanced Shell

Verifique que tenga las dos rutas a "168.63.129.16" en la tabla de rutas

Escribe el siguiente comando: 

ip route show

Repita los pasos anteriores para los demás dispositivos Sophos XG. Recuerde usar los puertos SSH correctos para conectarse a cada uno de ellos.

Verifique que las instancias de XG estén respondiendo a las sondas de salud

La métrica del estado de la sonda de estado describe el estado de las instancias de Sophos XG de acuerdo con la configuración de la sonda de estado del equilibrador de carga. El equilibrador de carga de Azure usa el estado de la sonda de estado para determinar dónde enviar los nuevos flujos. Las sondas de estado se originan en una dirección de infraestructura de Azure y son visibles dentro del sistema operativo de la máquina virtual.

Algunas razones por las cuales las pruebas de salud pueden fallar incluyen:

• Configura una sonda de estado en un puerto que no escucha o no responde o está utilizando el protocolo incorrecto. Si su servicio está utilizando las reglas de retorno directo del servidor (DSR o IP flotante), asegúrese de que el servicio esté escuchando en la dirección IP de la configuración IP de la NIC y no solo en el bucle de retorno que está configurado con la dirección IP de front-end.
• Su sonda no está permitida por el Grupo de seguridad de red, el firewall del sistema operativo invitado de la VM o los filtros de la capa de aplicación.

En el Portal de Azure, vaya a Cargar equilibradores  para seleccionar cualquiera de los equilibradores de carga que desea verificar. 

En la sección de monitoreo, haga clic en Métricas (Vista previa) .

En la ventana de Loadbalancer - Métricas (Vista previa)  , seleccione la métrica Estado de la sonda de estado con el tipo de agregación Promedio .

Podemos aplicar un filtro en la  dirección IP de Backend requerida de las instancias o el puerto de Sophos XG (o ambos).

Nota:  el gráfico puede fluctuar, pero esto no importa siempre que el estado de la sonda no llegue a 0, que es cuando se elimina del conjunto de instancias saludables.

Domotes Somos parte de tu Equipo.