Страница Службы предназначена для мониторинга и управления работой внутренних служб AxelNAC.
.png)
Службы
Ниже приведен перечень внутренних служб AxelNAC, сгруппированных по функциональному назначению.
Службы api-frontend, httpd.admin_dispatcher, pfperl-api, haproxy-admin являются критичными. Их остановка или отключение может привести к недоступности веб-интерфейса AxelNAC.
Управление и кластер
| Служба | Что делает |
|---|---|
| tracking-config | Отслеживает изменения файлов конфигурации в каталоге /usr/local/pf/conf/ и фиксирует их в локальном git-репозитории. Обеспечивает аудит изменений настроек системы |
| keepalived | Реализует отказоустойчивость кластера: управляет виртуальными IP-адресами (VRRP) и переключением ролей между узлами при отказе активного сервера |
| galera-autofix | Выполняет автоматическое восстановление кластера MariaDB Galera при сбоях синхронизации |
| mysql-probe | Выполняет проверку доступности экземпляра MySQL/MariaDB. Используется балансировщиком haproxy-db для маршрутизации запросов к работоспособному узлу базы данных |
| proxysql | Предоставляет прокси-слой для SQL-запросов и распределяет подключения к узлам кластерной базы данных с разделением операций чтения и записи |
Балансировщики нагрузки (HAProxy)
| Служба | Что делает |
|---|---|
| haproxy-admin | Критическая служба. Балансирует входящий трафик к компонентам административного интерфейса: REST API, статические ресурсы, сервис мониторинга. Является точкой входа для управления системой |
| haproxy-db | Балансирует подключения клиентов к экземплярам MySQL/MariaDB в кластере. Поддерживает проверку состояния узлов через mysql-probe |
| haproxy-portal | Балансирует входящий трафик к компонентам Captive-портала: диспетчер, веб-портал, PKI |
Веб-сервисы
| Служба | Что делает |
|---|---|
| api-frontend | Критическая служба. Принимает HTTP-запросы к REST API административного интерфейса и перенаправляет их к backend-сервисам |
| httpd.admin_dispatcher | Критическая служба. Маршрутизирует HTTP-запросы административного интерфейса к соответствующим backend-компонентам панели управления |
| httpd.dispatcher | Маршрутизирует HTTP-запросы пользователей Captive-портала к компонентам регистрации и авторизации |
| httpd.portal | Обслуживает веб-страницы Captive-портала: регистрация устройств, аутентификация пользователей, отображение политик доступа |
| httpd.proxy | Выполняет перехват и проксирование HTTP/HTTPS-трафика в inline-режиме |
| httpd.webservices | Реализует серверную часть внутреннего API |
| httpd.collector | Принимает и обрабатывает данные, собираемые в кластерной конфигурации. Работает в management-сети |
RADIUS и учет сессий
| Служба | Что делает |
|---|---|
| httpd.aaa | Предоставляет REST-интерфейс аутентификации, авторизации и учета (AAA). Используется radiusd-службами при обработке запросов на доступ |
| radiusd-auth | Обрабатывает RADIUS-запросы аутентификации для проводного и беспроводного доступа (802.1X, MAC-аутентификация). Проверяет учетные данные, сертификаты и параметры устройства |
| radiusd-load_balancer | Распределяет RADIUS-запросы между узлами кластера. Активируется при включенном кластере |
| radiusd-eduroam | Обрабатывает RADIUS-запросы для федерации eduroam. Активируется при наличии настроенного источника аутентификации Eduroam |
| radiusd-cli | Обрабатывает RADIUS-запросы аутентификации для консольного доступа (CLI login) к коммутаторам. Активируется при наличии CLI-коммутаторов в конфигурации |
| radsniff | Перехватывает RADIUS-пакеты (UDP 1812/1813) и передает метрики в систему мониторинга для оценки нагрузки на RADIUS-серверы |
| pfacct | Принимает данные учета сессий (RADIUS accounting, NetFlow) и записывает статистику использования сетевых ресурсов |
Сеть: DHCP, DNS, межсетевой экран, обнаружение
| Служба | Что делает |
|---|---|
| iptables | Генерирует и применяет правила IPv4-файрвола: изоляция VLAN, контроль трафика в inline-режиме, блокировка неавторизованных устройств |
| ip6tables | Генерирует и применяет правила IPv6-файрвола. Функционально аналогичен iptables для протокола IPv6 |
| tc | Управляет ограничением пропускной способности (traffic shaping) на inline-интерфейсах |
| pfdhcp | Выдает IP-адреса устройствам в управляемых сетях по протоколу DHCPv4 |
| pfdhcplistener | Анализирует DHCP-трафик на сетевых интерфейсах для обнаружения устройств, определения ОС и разрешения имен хостов. Не выдает IP-адреса |
| pfdns | Обрабатывает DNS-запросы: перенаправляет запросы в inline-сетях, маршрутизирует обращения к корпоративным DNS-серверам и Active Directory |
| pffilter | Определяет политику доступа для устройства по запросу от DHCP, DNS, RADIUS и других компонентов: VLAN, профиль подключения, правила фильтрации |
| pfipset | Управляет динамическими наборами IP-адресов (ipset) в inline-режиме |
| snmptrapd | Обработка SNMP-запросов. |
Очереди, кэш и фоновые задачи
| Служба | Что делает |
|---|---|
| pfqueue | Обрабатывает асинхронные задачи из очереди Redis: реакция на SNMP-события, отправка CoA, переключение VLAN на портах коммутаторов |
| redis_queue | Предоставляет экземпляр Redis для хранения очереди задач службы pfqueue |
| redis_ntlm_cache | Предоставляет экземпляр Redis для кэширования NTLM-хэшей Active Directory |
| pfcron | Выполняет периодические фоновые задачи по расписанию: очистка данных, синхронизация, проверки состояния системы |
| pfdetect | Обрабатывает уведомления систем обнаружения вторжений (IDS): читает данные из pipe-файлов, настроенных в detect.conf, и инициирует события безопасности. Активируется при наличии настроенных детекторов |
Безопасность, PKI, SSO, интеграции
| Служба | Что делает |
|---|---|
| pfpki | Управляет локальной инфраструктурой открытых ключей (PKI): выпуск и отзыв сертификатов, поддержка SCEP, интеграция с MDM-платформами |
| pfsso | Реализует Firewall User Identity: при успешной аутентификации пользователя передает событие на внешние межсетевые экраны (Palo Alto, Cisco ISE PIC и др.) |
| pfconnector-server | Принимает зашифрованные туннельные соединения от клиентов pfconnector-client Connector в удаленных или облачных средах |
| pfconnector-client | Устанавливает туннельное соединение с pfconnector-server для доступа к on-premise компонентам (RADIUS, LDAP, портал) из облачной среды |
| winbindd | Обеспечивает интеграцию с Active Directory: доменная аутентификация, работа с учетными записями Windows. Активируется при настроенных доменах AD |
API, мониторинг
| Служба | Что делает |
|---|---|
| pfperl-api | Критическая служба. Предоставляет основной REST API системы: управление конфигурацией, узлами, политиками доступа, пользователями. Используется административным интерфейсом |
| pfstats | Собирает и агрегирует статистические данные из RADIUS-логов, LDAP и других источников. Используется для отчетов и панелей мониторинга |
| netdata | Отображает метрики работы системы в реальном времени: загрузка CPU, память, сеть, состояние служб AxelNAC и внешних источников аутентификации |
Управление службами
Для того чтобы перезапустить выбранную службу на всех узлах, выберите из списка .png){kind=small}
. Чтобы остановить службу, нажмите .png)
. Это приведет к остановке службы на всех узлах кластера AxelNAC. Если необходимо запустить службу на всех узлах, нажмите .png){kind=small}
. Для отключения службы на всех узлах, нажмите .png){kind=small}
.
Для определения работы службы только на одном узле, выберите соответствующие действия в столбце с названием узла.
Групповые действия
Для того чтобы выполнить действия с несколькими службами отметьте необходимые службы. Чтобы выполнить действия со всеми службами в списке, нажмите на селектор .png){kind=small}
в шапке таблицы.
.png)
Список доступных групповых действий:
- Включить — включает выбранные службы;
- Отключить — отключает выбранные службы;
- Перезапустить — перезапускает выбранные службы;
- Запустить — запускает выбранные службы;
- Остановить — останавливает выбранные службы.
Одновременный выбор нескольких служб позволяет выполнить групповые действия со службами на кластере или на определенном отдельном узле.
.png)