FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】

2024-04-182024-07-25

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate の HA 構成に関する Q&A を掲載します。

なお、記載されている回答は筆者であるシェイド@陰の構築者の経験と調査に基づく個人的な見解となります。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

FortiGate-60F
- バージョン 7.4.3
- バージョン 7.4.4

基礎知識編

HA を構成するための条件は何ですか？: 以下が条件です。

FortiGate のモデル（型番）が一致していること

FortiGate のライセンスが一致していること

FortiGate の OS バージョンが一致していること
HA を構成するためにライセンスは必要ですか？: いいえ、ライセンスは必要ありません。
機器状態としてプライマリ・セカンダリと表記する情報とマスター・スレイブと表記する情報がありましたが、どちらが正しいですか？: 過去のバージョンではアクティブ機の状態がマスター、パッシブ機の状態がスレイブと表記されていましたが、バージョン 7.4.x ではアクティブ機の状態はプライマリ、パッシブ機の状態はセカンダリと表記されます。

HA 設定関連

HA 設定のモードはアクティブ・パッシブとアクティブ・アクティブのどちらが良いですか？: 単純に冗長化が目的の場合はアクティブ・パッシブにしてください。アクティブ・アクティブを使用するケースはほとんどありませんが、特定の場合で負荷分散を目的とする場合はアクティブ・アクティブを使用できます。詳しくはこちらの記事を確認してください。
アクティブ・アクティブモードの場合シングル構成の2倍のトラフィックを処理できますか？: いいえ。アクティブ・アクティブの場合でもすべての通信は必ずプライマリ機が受信した後でクラスタ内機器にセッションが振り分けられるという動作になるため、基本的に処理能力は向上しません。また負荷分散の対象となる通信は一部に限られます。詳しくはこちらの記事を確認してください。
アクティブ・アクティブモードのメリットとデメリットは何ですか。: アクティブ・アクティブのメリットは、CPU・メモリ負荷の高いプロキシベースのセキュリティプロファイルを使用する場合その処理がクラスタ内で分散されるため、スループットが向上する可能性があるという点です。デメリットとしては、アクティブ・パッシブと比べて動作が複雑になるためトラブルシュートが難しくなるという点があります。
デバイスのプライオリティとは何ですか？: プライマリの選出基準の一つとなる値です。プライオリティがより大きい方がより優先度が高くなります。
グループIDはデフォルトの 0 から変えたほうが良いですか？: ほとんどの場合はデフォルトのままで問題ありません。ただし同一セグメント内に複数の FortiGate HA クラスタが存在する場合は、HA クラスタごとに別の ID になるよう変更してください。
グループ名とパスワードは何でも良いのですか？: はい、何でも良いですが、HA を構成するすべての機器で同じ値にする必要があります。また使用できない記号もあるため設定可否は実機で確認してください。
セッションピックアップは有効化したほうが良いですか？: はい、通常は有効化してください。そうしない場合、セッション情報が同期されません。
モニタインターフェースとは何ですか？: 状態監視を行う対象のインターフェースです。プライマリ機でモニタインターフェースがダウンした場合フェイルオーバーが発生します。
VLANスイッチやソフトウェアスイッチ、またはこれらスイッチに所属する個別インターフェースをモニタインターフェースとして設定できますか？: いいえ。VLANスイッチ、ソフトウェアスイッチ、いずれかのスイッチに所属する個別のインターフェースのすべてについてモニタインターフェースとして設定することはできません。
ハートビートインターフェースとは何ですか？: HA を構成する機器間で互いに状態監視したりコンフィグやセッションの同期を行うためのハートビートパケットを送受信するためのインターフェースです。
ハートビートインターフェースは何ポート必要ですか？: 最低1ポートあれば HA を構成できます。ただし、スプリットブレインを防止するために2ポート使用することを推奨します。
ハートビートインターフェースのプライオリティとは何ですか？: ハートビートインターフェースを複数指定した場合は、プライオリティの高いものが優先して使用されます。
「管理インターフェースの予約」とは何ですか？: 機器管理通信用の管理インターフェースを作るための設定です。管理インターフェースでは機器別に異なる IP アドレスを設定することができます。通常は管理インターフェースの予約を有効化し、いずれかのポートを管理インターフェースとして割り当ててください。
オーバーライド設定 (override) とは何ですか？: HA アップタイムを無視してプライオリティによってプライマリが選出されるようにするための設定です。オーバーライドが有効な場合、プライオリティの高い機器が障害から復旧した際に自動切り戻り（フェイルバック）が発生します。

管理インターフェース関連

「管理インターフェースの予約」で指定したインターフェースのアドレスを、その他のいずれかのサービス通信用インターフェースのアドレスと同一のセグメントから設定できますか？

はい、管理インターフェースのアドレスをその他の任意のインターフェースのアドレスと同一のセグメントから設定することができます。管理インターフェースは内部的にはrootVDOM とは別のvsys_hamgmt という VDOM に所属することになるためです。このため、管理インターフェース用に新セグメントを払い出したくない場合は既存セグメントからアドレスを払い出すことが可能です。

管理インターフェース発の通信は、「管理インターフェースの予約」設定内のゲートウェイ・サブネット設定に基づいてルーティングされます。

コンフィグ同期関連

プライマリ機とセカンダリ機の間でコンフィグは同期されますか？: はい、同期されます。ただし、設定次第で同期しないようにすることも可能です。
HA 構成時に機器間でコンフィグの差分がある場合コンフィグはどうなりますか？: プライマリに選出された機器のコンフィグに同期されます。
同期されないコンフィグはありますか？: はい、以下のコンフィグは同期されません。

ホスト名

GUI ダッシュボードのウィジェット設定

インターフェースのset management-ipの設定

HA 設定の「管理インターフェースの予約」で設定されたインターフェースの設定

HA の以下設定

プライオリティ

オーバーライド設定

管理インターフェースのデフォルトゲートウェイ設定

仮想クラスタのプライオリティ

Ping サーバの HA プライオリティ
プライマリ機で設定変更を行った場合、差分コンフィグはセカンダリ機に同期されますか？: はい、設定変更による差分コンフィグはセカンダリ機に即座に同期されます。
セカンダリ機で設定変更を行ってしまいましたが、問題ありませんか？: はい、セカンダリ機で設定変更を行った場合でも差分コンフィグはプライマリ機に同期されるため問題ありません。ただし設定変更はプライマリ機で行うことを推奨します。

HA 動作仕様関連

プライマリ機はどのように決まりますか？

以下の順で判定が行われます。

◆オーバーライドが無効の場合

状態がアップのモニタインターフェースの数が多い方がプライマリとなる
HA アップタイムがより長い方がプライマリとなる
- ただし HA アップタイムの差分が 5 分未満の場合はプライオリティによる判定を行う
プライオリティの高い方がプライマリとなる
シリアル番号の大きい方がプライマリとなる

◆オーバライドが有効の場合

状態がアップのモニタインターフェースの数が多い方がプライマリとなる
プライオリティの高い方がプライマリとなる
シリアル番号の大きい方がプライマリとなる

ハートビートは何秒間隔で送信されますか？

デフォルトでは 200 ミリ秒間隔です。ただし設定で変更することもできます。

各種管理系通信の送信元インターフェースはどうなりますか？

デフォルトではルーティングテーブルに基づき送信元インターフェースが決定されます。

ha-direct 設定を行うことで以下のような通信の送信元インターフェースを管理インターフェースにすることができます。

Syslog 送信
SNMP クエリ応答、SNMP トラップ送信
NTP 同期通信

詳しくはこちらの記事を確認して下さい。

ha-direct を設定すると Ping の送信元インターフェースは管理インターフェースになりますか？

いいえ、ha-direct は Ping には影響しません。

管理インターフェースから Ping を実行できますか？

はい、できます。詳しくはこちらの記事を確認して下さい。

HA 構成時の MAC アドレスは何になりますか？

サービス用ポートでは仮想 MAC アドレスが使用されます。詳しくはこちらの記事を確認してください。

スプリットブレインとは何ですか？

ハートビート用リンクに障害が発生してハートビートが送受信できなくなることにより、HA を構成する機器が 2 台ともプライマリ状態になることです。スプリットブレインが発生すると通信が不安定になるなどの不都合が発生します。

フェイルオーバー関連

フェイルオーバーのトリガーとなるイベントには何がありますか？: 以下がフェイルオーバーのトリガーとなります。

FortiGate のモニタインターフェースのダウン

FortiGate の電源断（筐体障害）

FortiGate の SSD の障害（オプション）

FortiGate のメモリ使用率の高騰の継続（オプション）
フェイルオーバ―発生時に新プライマリ機から GARP は送信されますか？: はい、送信されます。ただし設定で送信しないようにすることもできます。
筐体障害発生時のフェイルオーバー切り替わり時間はどの程度ですか？: デフォルトでは理論値で 1,2 秒程度となりますが、実際の時間は検証を行い確認してください。詳しくはこちらの記事を確認してください。
モニタインターフェース障害時のフェイルオーバー切り替わり時間はどの程度ですか？: 簡易的な検証を行った結果としては 2~3 秒程度です。詳しくはこちらの記事を確認してください。

保守・運用関連

プライマリ機の CLI からセカンダリ機の CLI にログインする方法を教えてください。

プライマリ機でexecute ha manage 1 adminコマンドを実行することでセカンダリ機の CLI にログインできます。なお admin の代わりに別の管理者ユーザを指定することも可能です。

コマンド実行による手動フェイルオーバーはできますか？

オーバーライドが無効の場合は、プライマリ機にて diagnose sys ha reset-uptime を実行し HA アップタイムをリセットすることにより手動フェイルオーバーが可能です。

オーバーライドが有効の場合は、フェイルオーバーさせるためにはデバイスプライオリティ設定を変更する必要があります。

また対象機器を強制セカンダリ状態にするコマンドもあります。

execute ha failover set：強制セカンダリ状態にする
execute ha failover unset：強制セカンダリ状態を解除する

HA アップタイムの確認方法を教えてください。

diagnose sys ha dump-by groupコマンドの「start_time=」の箇所で確認できます。

HA 構成でバックアップリストアはできますか？

はい、できます。ただし HA 構成中のリストアについてはプライマリ機・セカンダリ機の両方で同時にリストアが発生するため注意してください。詳しくはこちらの記事を確認してください。

HA 構成でのバージョンアップ方法を教えてください。

プライマリ機にてバージョンアップ操作を行うことで、セカンダリ機、プライマリ機の順で順次バージョンアップが実行されます。詳しくはこちらの記事を確認してください。

その他

設定済みの HA のパスワードを確認することはできますか？: いいえ、パスワードはハッシュ化されて保存されるため確認はできません。
セカンダリ機が NTP サーバと同期がされていない様なのですが。: はい、セカンダリ機では NTP サーバとの同期は行われない仕様です。セカンダリ機はプライマリ機と時刻同期します。

FortiGate 記事一覧は以下記事でチェック