FortiGate HA 構成時のコンフィグ同期の仕様について解説します

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate に関して、HA 構成時のコンフィグ同期の仕様について説明します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

• FortiGate-60F
  • バージョン 7.4.3

FortiGate HA 構成時にコンフィグ同期はされるのか？

答えとしては、HA 構成時は HA クラスタ内の機器間でコンフィグ同期されます。

ただし、以下のコンフィグは同期されません。

上記の項目は HA を構成する各々の機器で設定するようにしてください。

コンフィグ同期させないよう設定することも可能

コンフィグの同期をするかどうかは、config system ha内のsync-configで設定されています。デフォルトではコンフィグ同期は有効になっています。

config system ha
    set sync-config enable
end

これを以下のように無効にするとコンフィグ同期は実施されなくなります。

config system ha
    set sync-config disable
end

ただ、実際コンフィグ同期を無効にすることはほぼ無いので、設定変更することもできるということだけ覚えておけば良いです。

コンフィグ同期されるタイミング

コンフィグ同期されるタイミングは以下の2つです。

• HA を構成する機器間のハートビートインターフェースが接続され、HA クラスタを構成するタイミング
  • このタイミングではコンフィグ全体が同期されます
• HA 構成中に何れかの機器で設定変更がされたタイミング
  • このタイミングでは差分コンフィグが同期されます

HA 構成時にコンフィグ差分がある場合どうなるのか

機器間のハートビートインターフェースが接続され、HA クラスタが構成される際に、機器間でコンフィグに差分がある場合はどうなるのか気になるかと思います。

答えとしては、プライマリ機のコンフィグが優先され、セカンダリ機のコンフィグはプライマリ機のコンフィグと同じになります。

HA 構成時にセカンダリ機で設定変更したらどうなるのか

HA 構成時、設定変更する場合は通常プライマリ機で設定変更するかと思います。プライマリ機で行った設定変更はセカンダリ機に同期されます。

ではセカンダリ機で設定変更を行ったらどうなるのでしょうか。

答えは、セカンダリ機で行った設定変更はプライマリ機に同期されます。

プライマリ機で設定変更しようと思っていて誤ってセカンダリ機で設定変更していたことに気付いた場合、相当ヒヤッとすると思いますがコンフィグは問題なく同期されるため、プライマリ機とセカンダリ機のどちらで設定変更しても同じ結果になります。

参考資料