Симптомы

Создано правило с профилем DoS - отбрасывать пакеты UDP с порогом 2000, но при атаке DoS UDP (атака на DNS) и попытке отбросить данные пакеты происходит загрузка ЦП на 100%, что приводит к попытке переезда мастера на резервную ноду и как следствие неработоспособность кластера

Решение

Убрать настройки DoS из правил МЭ, и настроить на зонах.

Причина

Для исключения значительной нагрузки на процессор, рекомендуется использовать защиту DoS на зонах. В этом случае первичная обработка трафика происходит на сетевом адаптере и не нагружает процессор.

Правила DOS настраиваются для защиты ресурсов, которые находятся за UserGate, т.е. для транзитного трафика, а настройки на зонах настраиваются для всех пакетов которые приходят на UserGate в том числе на локальные адреса.