ZTNA gateway có thể được triển khai dưới dạng một cụm (cluster) gồm ba instances trở lên. Số lượng instances phải tăng theo số lẻ do kiến trúc Kubernetes của ZTNA. Hiện tại, số instances được hỗ trợ tối đa trong một cụm là chín.

Triển khai ZTNA như một cụm cung cấp khả năng dự phòng và có khả năng hỗ trợ số lượng người dùng cao hơn. Cụm có thể được sử dụng có hoặc không có bộ cân bằng tải bên ngoài. ZTNA có thể quản lý cân bằng tải của riêng nó, nhưng nếu bạn đã có bộ cân bằng tải trong cơ sở hạ tầng của mình, thì có thể sử dụng bộ cân bằng tải đó.

One-arm proxy deployment: Sử dụng WAN (external interface) cho cả lưu lượng đến và đi thông qua tường lửa. Cách triển khai này giảm thiểu những thay đổi đối với cơ sở hạ tầng của bạn.

Two-arm proxy deployment: sử dụng cả WAN và LAN (external and internal interface). Cách triển khai này yêu cầu thay đổi cơ sở hạ tầng nhưng cung cấp thông lượng và bảo mật tốt nhất.

2. Network Diagram

One-arm proxy deployment

Cụm sẽ có một địa chỉ IP ảo, được giữ bởi master instance. Master instance được xác định là có octet cuối cùng cao nhất trong địa chỉ IP của chúng.
Trong sơ đồ trên, không có bộ cân bằng tải bên ngoài, lưu lượng truy cập được DNAT thông qua tường lửa đến địa chỉ IP cụm ảo. Instance có IP cụm ảo sẽ cân bằng các kết nối đến với các instance cụm, sử dụng tính năng round-robin.
Instance xử lý yêu cầu sẽ sử dụng địa chỉ IP của chính nó và do đó sẽ nhận được phản hồi từ ứng dụng. Lưu lượng được gửi lại thông qua master instance cho người dùng với địa chỉ nguồn là IP cụm ảo.

Bạn có thể tham khảo việc triển khai ZTNA Gateway trên VMware Esxi qua bài biết sau: https://www.thegioifirewall.com/huong-dan-cau-hinh-trien-khai-sophos-ztna-tren-vmware-esxi/

3. Hướng dẫn

Bước 1: Add Instances.

Sau khi đã tạo ZTNA Gateway, bạn có thể chọn thêm các instances. Trên Sophos Central > Zero Trust Network Access > Gateways > Click chọn ZTNA1.

Click Add/Instances.

Trong Add/Instances:

Thay đổi trang thái Gateway Clustering sang ON.

Cluster virtual IP: điền ip 172.30.30.80. IP này được sử dụng để quản lý cụm và cân bằng tải. IP phải nằm trong cùng dải IP với các gateway instances.

Click Add another instances

Add thêm các Instances: Điền các VM name là ztna-gateway2 và ztna-gateway3 với ip là 172.30.30.82 và 172.30.30.83. Click Save.

Xuất hiện cảnh báo, click Save.

Bước 2: Download image và cài đặt Gateway Instances

Sau khi đã add các instances > click chọn Download image ở mỗi instances.

Các bước tiếp theo bạn có thể cài đặt theo hướng dẫn sau: https://www.thegioifirewall.com/huong-dan-cau-hinh-trien-khai-sophos-ztna-tren-vmware-esxi/

Các gateway instances đã cài đặt thành công.