Страница Службы предназначена для мониторинга и управления работой внутренних служб AxelNAC.
Службы
Ниже приведен перечень внутренних служб AxelNAC, сгруппированных по функциональному назначению.
Службы api-frontend, httpd.admin_dispatcher, pfperl-api, haproxy-admin являются критичными. Их остановка или отключение может привести к недоступности веб-интерфейса AxelNAC.
Управление и кластер
Служба
Что делает
tracking-config
Отслеживает изменения файлов конфигурации в каталоге /usr/local/pf/conf/ и фиксирует их в локальном git-репозитории. Обеспечивает аудит изменений настроек системы
keepalived
Реализует отказоустойчивость кластера: управляет виртуальными IP-адресами (VRRP) и переключением ролей между узлами при отказе активного сервера
galera-autofix
Выполняет автоматическое восстановление кластера MariaDB Galera при сбоях синхронизации
mysql-probe
Выполняет проверку доступности экземпляра MySQL/MariaDB. Используется балансировщиком haproxy-db для маршрутизации запросов к работоспособному узлу базы данных
proxysql
Предоставляет прокси-слой для SQL-запросов и распределяет подключения к узлам кластерной базы данных с разделением операций чтения и записи
Балансировщики нагрузки (HAProxy)
Служба
Что делает
haproxy-admin
Критическая служба. Балансирует входящий трафик к компонентам административного интерфейса: REST API, статические ресурсы, сервис мониторинга. Является точкой входа для управления системой
haproxy-db
Балансирует подключения клиентов к экземплярам MySQL/MariaDB в кластере. Поддерживает проверку состояния узлов через mysql-probe
haproxy-portal
Балансирует входящий трафик к компонентам Captive-портала: диспетчер, веб-портал, PKI
Веб-сервисы
Служба
Что делает
api-frontend
Критическая служба. Принимает HTTP-запросы к REST API административного интерфейса и перенаправляет их к backend-сервисам
httpd.admin_dispatcher
Критическая служба. Маршрутизирует HTTP-запросы административного интерфейса к соответствующим backend-компонентам панели управления
httpd.dispatcher
Маршрутизирует HTTP-запросы пользователей Captive-портала к компонентам регистрации и авторизации
httpd.portal
Обслуживает веб-страницы Captive-портала: регистрация устройств, аутентификация пользователей, отображение политик доступа
httpd.proxy
Выполняет перехват и проксирование HTTP/HTTPS-трафика в inline-режиме
httpd.webservices
Реализует серверную часть внутреннего API
httpd.collector
Принимает и обрабатывает данные, собираемые в кластерной конфигурации. Работает в management-сети
RADIUS и учет сессий
Служба
Что делает
httpd.aaa
Предоставляет REST-интерфейс аутентификации, авторизации и учета (AAA). Используется radiusd-службами при обработке запросов на доступ
radiusd-auth
Обрабатывает RADIUS-запросы аутентификации для проводного и беспроводного доступа (802.1X, MAC-аутентификация). Проверяет учетные данные, сертификаты и параметры устройства
radiusd-load_balancer
Распределяет RADIUS-запросы между узлами кластера. Активируется при включенном кластере
radiusd-eduroam
Обрабатывает RADIUS-запросы для федерации eduroam. Активируется при наличии настроенного источника аутентификации Eduroam
radiusd-cli
Обрабатывает RADIUS-запросы аутентификации для консольного доступа (CLI login) к коммутаторам. Активируется при наличии CLI-коммутаторов в конфигурации
radsniff
Перехватывает RADIUS-пакеты (UDP 1812/1813) и передает метрики в систему мониторинга для оценки нагрузки на RADIUS-серверы
pfacct
Принимает данные учета сессий (RADIUS accounting, NetFlow) и записывает статистику использования сетевых ресурсов
Сеть: DHCP, DNS, межсетевой экран, обнаружение
Служба
Что делает
iptables
Генерирует и применяет правила IPv4-файрвола: изоляция VLAN, контроль трафика в inline-режиме, блокировка неавторизованных устройств
ip6tables
Генерирует и применяет правила IPv6-файрвола. Функционально аналогичен iptables для протокола IPv6
tc
Управляет ограничением пропускной способности (traffic shaping) на inline-интерфейсах
pfdhcp
Выдает IP-адреса устройствам в управляемых сетях по протоколу DHCPv4
pfdhcplistener
Анализирует DHCP-трафик на сетевых интерфейсах для обнаружения устройств, определения ОС и разрешения имен хостов. Не выдает IP-адреса
pfdns
Обрабатывает DNS-запросы: перенаправляет запросы в inline-сетях, маршрутизирует обращения к корпоративным DNS-серверам и Active Directory
pffilter
Определяет политику доступа для устройства по запросу от DHCP, DNS, RADIUS и других компонентов: VLAN, профиль подключения, правила фильтрации
pfipset
Управляет динамическими наборами IP-адресов (ipset) в inline-режиме
snmptrapd
Обработка SNMP-запросов.
Очереди, кэш и фоновые задачи
Служба
Что делает
pfqueue
Обрабатывает асинхронные задачи из очереди Redis: реакция на SNMP-события, отправка CoA, переключение VLAN на портах коммутаторов
redis_queue
Предоставляет экземпляр Redis для хранения очереди задач службы pfqueue
redis_ntlm_cache
Предоставляет экземпляр Redis для кэширования NTLM-хэшей Active Directory
pfcron
Выполняет периодические фоновые задачи по расписанию: очистка данных, синхронизация, проверки состояния системы
pfdetect
Обрабатывает уведомления систем обнаружения вторжений (IDS): читает данные из pipe-файлов, настроенных в detect.conf, и инициирует события безопасности. Активируется при наличии настроенных детекторов
Безопасность, PKI, SSO, интеграции
Служба
Что делает
pfpki
Управляет локальной инфраструктурой открытых ключей (PKI): выпуск и отзыв сертификатов, поддержка SCEP, интеграция с MDM-платформами
pfsso
Реализует Firewall User Identity: при успешной аутентификации пользователя передает событие на внешние межсетевые экраны (Palo Alto, Cisco ISE PIC и др.)
pfconnector-server
Принимает зашифрованные туннельные соединения от клиентов pfconnector-client Connector в удаленных или облачных средах
pfconnector-client
Устанавливает туннельное соединение с pfconnector-server для доступа к on-premise компонентам (RADIUS, LDAP, портал) из облачной среды
winbindd
Обеспечивает интеграцию с Active Directory: доменная аутентификация, работа с учетными записями Windows. Активируется при настроенных доменах AD
API, мониторинг
Служба
Что делает
pfperl-api
Критическая служба. Предоставляет основной REST API системы: управление конфигурацией, узлами, политиками доступа, пользователями. Используется административным интерфейсом
pfstats
Собирает и агрегирует статистические данные из RADIUS-логов, LDAP и других источников. Используется для отчетов и панелей мониторинга
netdata
Отображает метрики работы системы в реальном времени: загрузка CPU, память, сеть, состояние служб AxelNAC и внешних источников аутентификации
Управление службами
Для того чтобы перезапустить выбранную службу на всех узлах, выберите из списка . Чтобы остановить службу, нажмите . Это приведет к остановке службы на всех узлах кластера AxelNAC. Если необходимо запустить службу на всех узлах, нажмите . Для отключения службы на всех узлах, нажмите .
Для определения работы службы только на одном узле, выберите соответствующие действия в столбце с названием узла.
Групповые действия
Для того чтобы выполнить действия с несколькими службами отметьте необходимые службы. Чтобы выполнить действия со всеми службами в списке, нажмите на селектор в шапке таблицы.
Список доступных групповых действий:
Включить — включает выбранные службы;
Отключить — отключает выбранные службы;
Перезапустить — перезапускает выбранные службы;
Запустить — запускает выбранные службы;
Остановить — останавливает выбранные службы.
Одновременный выбор нескольких служб позволяет выполнить групповые действия со службами на кластере или на определенном отдельном узле.
.png)
.png){kind=small}
. Чтобы остановить службу, нажмите .png)
. Это приведет к остановке службы на всех узлах кластера AxelNAC. Если необходимо запустить службу на всех узлах, нажмите .png){kind=small}
. Для отключения службы на всех узлах, нажмите .png){kind=small}
. .png){kind=small}
в шапке таблицы..png)
.png)
