コンテンツにスキップ

QuickHA モードを使用して、アクティブ-アクティブの HA を設定する

QuickHA を使用してアクティブ-アクティブ HA クラスタ内のファイアウォールを設定する際は、ファイアウォールが HA 要件を満たしていることを確認します。

前提条件

両方の Sophos Firewall デバイスの HA 専用ポートにネットワークケーブルを接続して、デバイス同士を接続します。

HA の要件も参照してください。

プライマリデバイスでの HA の構成

  1. プライマリデバイスの Web 管理コンソールにサインインして、「システムサービス > 冗長化 (HA)」に移動します。
  2. 初期のデバイスのロール」に対し「プライマリ (アクティブ-アクティブ)」を設定します。
  3. QuickHA モード」が選択されていることを確認します。
  4. (任意) ノード名を変更します。

    ノード名を使うと、デバイスが簡単に識別できます。

  5. ファイアウォールは自動的にパスフレーズを生成します。必要に応じて変更できます。

    クラスタ内の両方のデバイスが、同じパスフレーズを使用するようにしてください。パスフレーズは、専用 HA リンク上の通信の暗号化に使用する SSH 鍵を生成するために 1 回だけ使用されます。削除されます。

  6. 専用 HA リンク」の場合は、 「新しい項目の追加」をクリックし、インターフェースを選択します。

    専用 HA リンクは、HA デバイス間でデータj情報とハートビート情報を同期します。

    リンク冗長性には、最大 4 つのインターフェースが選択できます。バインドされていない物理インターフェースが選択できます。また、物理インターフェース、LAGインターフェース、VLANインターフェースを含む、既に設定した DMZ インターフェースを選択することもできます。

    バインドされていないインターフェイスを複数選択すると、ファイアウォールは自動的に QuickHA モードで LAG インターフェースを作成します。

    このインターフェースはファイアウォールによって名称変更され、リンクローカル範囲 169.254.192.0/24 から IPv4 アドレスが割り当てられます。インターフェースの 1 つの名前が「HA リンク」に変更されます。LAG インターフェースの 1 つの名前が「HA 冗長リンク」に変更されます。これは、「ネットワーク > インターフェース」で確認できます。

    警告

    既に使用されている DMZ ポート (物理、LAG、または VLAN) を選択した場合、ファイアウォールはその IP アドレスを上書きし、既存の設定から削除します。

  7. HA の開始」をクリックします。

補助デバイスでの HA の構成

  1. PortA から補助デバイスの Web 管理コンソールにサインインして、「ネットワーク > インターフェース」に移動します。
  2. PortA の IP アドレスが、プライマリデバイスの PortA と同じサブネットにあることを確認してください。

    この例では、PortA をピア管理ポートとして設定します。したがって、補助デバイスの PortA は、プライマリデバイスの PortA と同じサブネットにある必要があります。QuickHA がインストールされていないと動作しません。プライマリデバイスの /log/ syslog.log には次のエラーメッセージが表示されます。

    Validation Failed For Ha interface IP

    たとえば、プライマリデバイスの PortA が 192.168.3.254/24 の場合、補助デバイスの PortA に 192.168.3.253/24 は使用できますが、172.16.16.16/24 は使用できません。

  3. システムサービス > 冗長化 (HA)」に移動します。

  4. 初期のデバイスのロール」を「補助」に設定します。

    ヒント

    QuickHA は、補助デバイスの Web 管理コンソールへのアクセスに使用しているインターフェースに基づいて、ピア管理ポートを割り当てます。たとえば、PortA を使用している場合、両方のデバイスでこのインターフェースがピア管理ポートになります。

  5. HA 設定モード」を「QuickHA」に設定します。

  6. (任意) ノード名を入力します。
  7. プライマリデバイスで使用したものと同じパスフレーズを入力します。
  8. 専用 HA リンク」の場合は、 「新しい項目の追加」をクリックし、インターフェースを選択します。詳細は、ネットワーク要件を参照してください。
  9. HA の開始」をクリックします。

    高可用性のステータス」で進捗状況を確認できます。詳細は、QuickHA ステータスを参照してください。

    上書きされる設定に関するメッセージが表示されます。これは、プライマリデバイスから設定が同期されるためです。

(任意) プライマリでの詳細設定の構成

HA が確立されたら、プライマリデバイスで詳細設定を構成できます。次の手順を実行します。

  1. (任意) 監視対象ポートの選択: 物理インターフェースまたは LAG インターフェースを選択して、HA の状態を監視できます。VLAN を設定している場合は、バインドされていないインターフェースを選択することもできます。

    監視対象ポートが停止した場合、そのデバイスは利用不可と認識され、フェールオーバーが発生します。

  2. 次の「ピア管理設定」を入力して、補助デバイスの Web 管理コンソールにアクセスします。

    1. インターフェース
    2. IPv4 アドレスまたは IPv6 アドレス
  3. 優先プライマリデバイス」で、いずれかの HA デバイスを選択します。

    このデバイスは、フェールオーバーから復帰した際に、自動的にプライマリデバイスになります。詳細は、プライマリデバイスへのフェールバックを参照してください。

  4. キープアライブの要求間隔」をミリ秒単位で入力します。

    デバイスは、設定された間隔で専用リンクポートを介してピアデバイスにハートビートを送信します。ハートビートは、ピアデバイスが使用可能かどうかを判断するために使用されます。

    デフォルト: 250.

  5. キープアライブの試行」回数を指定します。

    デフォルト: 16.

    たとえば、キープアライブの要求間隔を 250ms に設定し、試行回数を 8 に設定した場合、250ms x 8 = 2 秒経過すると、ダウンしたとみなされます。

    スタンドアロン」モードおよび「障害」モードのデバイスには、キープアライブ間隔およびキープアライブ試行を設定できません。

  6. ホストの MAC アドレス、またはハイパーバイザーによって割り当てられた MAC アドレスを使用する: 以下を使用する場合は、このチェックボックスを選択します。

    • ホスト: HA にハードウェアアプライアンスを使用している場合は、物理 MAC アドレスを使用します。
    • ハイパーバイザーによって割り当てられたアドレス: 仮想アプライアンス用にハイパーバイザによって割り当てられた MAC アドレスを使用します。vSwitch の無差別モードをオンにする必要はありません。

      仮想アプライアンスの場合は、このオプションを選択することをお勧めします。

  7. HA の開始」をクリックします。

    プライマリデバイスがその構成を補助デバイスにプッシュします。