本ブログは、日々お客様よりいただくネットワーク・セキュリティプロダクトに関するお問い合わせを、

エンジニア1年生が先輩の指導を受けながら検証などを行い、回答した内容を一問一答方式でまとめたブログです。

＜番外編 マスタリングHA 前編＞

今回はマスタリングHAということで、

FortiGateが持つHA機能を全てマスターするべく、冗長化機能を調べ検証していきました。

FortiGateでHAというとFortiGateの設定全てを同期する機能の事を指しますが、それ以外にも様々な冗長化の方法がFortiGateには備わっていました。

番外編Vol.4ではFortiGateの持つ冗長化機能を前後編に分けて紹介していきます。

＜HA機能＞

FortiGateにはHA(High Availability)と呼ばれる機能が搭載されていて、2台のFortiGateに冗長性をもたせることが可能です。この機能を利用することで、ミッションクリティカルな環境においても、万一のハードウェア障害から即座に復旧させます。

同一機器によってのみ構成されるシステムで、コンフィグレーションの動機、セッションの引き継ぎ、高速切替など最も高度な冗長性機能を提供します。

• HA構成の制約

FortiGateのHA機能を利用するには以下の制約を満たす必要があります。

2台のFortiGateが以下脳通り、同一のモデルの必要があります。

• モデル/ハードウェア
• FortiOSバージョン
• ライセンス構成
• インターフェース接続

そのため、異なるモデル、バージョン違いなどではHAが構成できませんのでご注意ください。

・HA動作モード

FortiGateのHA動作モードは下記の3つです。

Active-Passive、Active-Active(負荷分散)に加え、VDOMをHA構成にするVirtual Cluster構成も可能です。

最も一般的な構成はActive-Passive構成です。

• FortiGateのマスターセレクション

HA構成時にFortiGateはマスター機とスレーブ機を選出します。

マスター機の選定基準は以下の順番で行われます。

①正しく接続されているモニタポート数の多いユニット

②Age Time(正常稼働時間)がより長いユニット

　※差分5分以内は選定基準としては無視される。

③各ユニットに設定しているプライオリティ(0－255)の高いユニット

④各ユニットのシリアルNo.の大きいユニット

プライオリティをより高い値に設定し、先に電源を上げて置くことでマスター機として選出される可能性が上がります。

• HAの設定イメージ

ここからは実際にHAを設定していきます。

システム＞HAよりマスター機、スレーブ機それぞれに設定を入力していきます。

設定通りにマスター、スレーブが選出されていることを確認します。

• HA同期情報の確認

コンフィグレーションの同期状態については下記のコマンドから確認可能です。

HA構成時は全てのチェックサム値が同一になります。

＜Virtual Cluster＞

FortiGate内のVDOM単位で行うクラスター構成で、ロードババランシングを利用する場合の代替えの方法です。

VDOMのMaster状態を互い違いにセットすることで処理のバランシングを行います。

・Virtual Cluster設定イメージ

HA設定画面でVDOMパーティショニングを有効にするとHAクラスタ内のVDOMの配置を分散できます。

VDOM機能単位で分散配置することでクラスタ全体のリソースロードバランスが可能です。

VDOMごとにバーチャルクラスタ内の機器が異なることが確認できます。

＜HA Override（Preempt）と切り戻しについて＞

FortiGate HAは同一モデル構成のため、プリエンプト機能(復旧後に旧マスターへ機能が戻る事)は行いません。

プリエンプト機能を利用する場合は以下の設定が別途必要です。

マスターとなるデバイスに最も高いプライオリティを設定し、コマンドを入力します。

<HA構成時の仮想MACアドレス>

HA構成時の仮想MACアドレスは定義されています。

00-09-0f-09-<group-id_hex>-<vcluster_integer>+<idx>

そのため、同一サイト内で複数のHAシステムを構成する場合は、

Group-IDを分けて設定してください。

----------------------

検証後記

紹介してきた通りFortiGateではHA機能を利用することで、
システムの全てに冗長性を提供することができます。

また設定方法も簡単でVirtual ClusterやPreempt機能を使うことで、
リソースの負荷分散や高可用性を得ることが可能です。

しかしHA構成を組むにあたり制約も多く、同じFortiGateを2台以上用意しなければいけないなど利用するお客様にとっては敷居が高いと感じられ事も少なくありません。

後編ではFortiGate1台で実現可能な部分的冗長化や、
他ベンダー製品と併せて利用できる冗長化の方法を紹介していきます。