ICT Diary

Network(主にCisco系)、Server(RedHat系)、Program(適当)を気まぐれにUPしていく。

Fortigate HA知識

HAについて

HAとは2台のFortigateを冗長化構成として動作させ、Configやセッション等を同期させ
片方の機器に故障が発生した際にもう片方がその機能を肩代わりすることにより影響を少なくする機能

HA構成を使用する条件

以下の内容が2台の機器で同一であることが必要 * モデル/ハードウェア * FortiOSバージョン * ライセンス構成 * インターフェース接続

モード

FortigateのHAには[Active-Active], [Active-Passive], [VirtualCluster]の3つのモードがある。
[Active-Active]はその名の通り普段からHA構成の機器をフルで使用する。(負荷分散)
[Active-Passive]は通常時はメインを使用し、普段使用しないサブは障害時に切り替わって使用する。(いわゆるAct/Stn)
[VirtualCluster]VDOMを使用した2台で複数HA構成を組む際に使用する。

セッション同期

通常障害があった場合は冗長化しても既存のセッションは切断・再接続になるが同期を有効にすることで、有効な機器に通信を引き継ぐことが出来る。
Fortigateではデフォルトこの機能が無効になっている。

ハートビート・インターフェース

HAを構成する為の通信を行うI/Fのこと。(管理I/Fともいう)
コンフィグ同期, ハートビート, セッション同期が行われる。

トリガー

HAを構成している機器に障害が発生していると判断される基準のこと。
Fortigateでは以下の4つを障害の検知のトリガーとしている。

  • 監視対象となる特定のI/Fのダウン
  • 機器の電源障害
  • 機器のハードディスク障害 (オプション)
  • メモリ使用率高騰 (オプション)

プライオリティ

HA構成の機器でどの機器がメイン機となるかを選定するための基準。
Fortigateでは以下の判定基準順番で選出される。

  1. 監視対象に指定しているI/Fの数が多い方がメインとなる
  2. 稼働時間が長い方がメインとなる
    • ただし以下の2つのどちらかに当てはまる場合は、次の判定基準が使用される
    • 稼働時間の差分が5分以内
    • オーバーライド設定が有効
  3. プライオリティ値が大きい方がメイン機となる
  4. シリアル番号が大きい方がメイン機となる

オーバーライド

Cisco風に言うとプリエンプト。 (HSRP)
通常時にプライオリティ値が高い機器が常にメイン機となる設定。
障害でメイン機が入れ替わった状態で、障害から復旧した際に再度プライオリティ値が高い機器にメイン機が戻る設定。
デフォルトでは無効になっている。

Config同期と例外

基本的にHAを構成している機器ではConfigが同期される。 ただし、以下の設定のみはそれぞれ独自の設定として維持される。