QuickHA モードを使用して、アクティブ-アクティブの HA を設定する
QuickHA を使用してアクティブ-アクティブ HA クラスタ内のファイアウォールを設定する際は、ファイアウォールが HA 要件を満たしていることを確認します。
前提条件
両方の Sophos Firewall デバイスの HA 専用ポートにネットワークケーブルを接続して、デバイス同士を接続します。
HA の要件も参照してください。
プライマリデバイスでの HA の構成
- プライマリデバイスの Web 管理コンソールにサインインして、「システムサービス > 冗長化 (HA)」に移動します。
- 「初期のデバイスのロール」に対し「プライマリ (アクティブ-アクティブ)」を設定します。
- 「QuickHA モード」が選択されていることを確認します。
-
(任意) ノード名を変更します。
ノード名を使うと、デバイスが簡単に識別できます。
-
ファイアウォールは自動的にパスフレーズを生成します。必要に応じて変更できます。
注
クラスタ内の両方のデバイスが、同じパスフレーズを使用するようにしてください。パスフレーズは、専用 HA リンク上の通信の暗号化に使用する SSH 鍵を生成するために 1 回だけ使用されます。削除されます。
-
「専用 HA リンク」の場合は、 「新しい項目の追加」をクリックし、インターフェースを選択します。
専用 HA リンクは、HA デバイス間でデータj情報とハートビート情報を同期します。
リンク冗長性には、最大 4 つのインターフェースが選択できます。バインドされていない物理インターフェースが選択できます。また、物理インターフェース、LAGインターフェース、VLANインターフェースを含む、既に設定した DMZ インターフェースを選択することもできます。
バインドされていないインターフェイスを複数選択すると、ファイアウォールは自動的に QuickHA モードで LAG インターフェースを作成します。
このインターフェースはファイアウォールによって名称変更され、リンクローカル範囲
169.254.192.0/24
から IPv4 アドレスが割り当てられます。インターフェースの 1 つの名前が「HA リンク」に変更されます。LAG インターフェースの 1 つの名前が「HA 冗長リンク」に変更されます。これは、「ネットワーク > インターフェース」で確認できます。警告
既に使用されている DMZ ポート (物理、LAG、または VLAN) を選択した場合、ファイアウォールはその IP アドレスを上書きし、既存の設定から削除します。
-
「HA の開始」をクリックします。
補助デバイスでの HA の構成
- PortA から補助デバイスの Web 管理コンソールにサインインして、「ネットワーク > インターフェース」に移動します。
-
PortA の IP アドレスが、プライマリデバイスの PortA と同じサブネットにあることを確認してください。
注
この例では、PortA をピア管理ポートとして設定します。したがって、補助デバイスの PortA は、プライマリデバイスの PortA と同じサブネットにある必要があります。QuickHA がインストールされていないと動作しません。プライマリデバイスの /log/ syslog.log には次のエラーメッセージが表示されます。
Validation Failed For Ha interface IP
たとえば、プライマリデバイスの PortA が 192.168.3.254/24 の場合、補助デバイスの PortA に 192.168.3.253/24 は使用できますが、172.16.16.16/24 は使用できません。
-
「システムサービス > 冗長化 (HA)」に移動します。
-
「初期のデバイスのロール」を「補助」に設定します。
ヒント
QuickHA は、補助デバイスの Web 管理コンソールへのアクセスに使用しているインターフェースに基づいて、ピア管理ポートを割り当てます。たとえば、PortA を使用している場合、両方のデバイスでこのインターフェースがピア管理ポートになります。
-
「HA 設定モード」を「QuickHA」に設定します。
- (任意) ノード名を入力します。
- プライマリデバイスで使用したものと同じパスフレーズを入力します。
- 「専用 HA リンク」の場合は、 「新しい項目の追加」をクリックし、インターフェースを選択します。詳細は、ネットワーク要件を参照してください。
-
「HA の開始」をクリックします。
「高可用性のステータス」で進捗状況を確認できます。詳細は、QuickHA ステータスを参照してください。
上書きされる設定に関するメッセージが表示されます。これは、プライマリデバイスから設定が同期されるためです。
(任意) プライマリでの詳細設定の構成
HA が確立されたら、プライマリデバイスで詳細設定を構成できます。次の手順を実行します。
-
(任意) 監視対象ポートの選択: 物理インターフェースまたは LAG インターフェースを選択して、HA の状態を監視できます。VLAN を設定している場合は、バインドされていないインターフェースを選択することもできます。
監視対象ポートが停止した場合、そのデバイスは利用不可と認識され、フェールオーバーが発生します。
-
次の「ピア管理設定」を入力して、補助デバイスの Web 管理コンソールにアクセスします。
- インターフェース
- IPv4 アドレスまたは IPv6 アドレス
-
「優先プライマリデバイス」で、いずれかの HA デバイスを選択します。
このデバイスは、フェールオーバーから復帰した際に、自動的にプライマリデバイスになります。詳細は、プライマリデバイスへのフェールバックを参照してください。
-
「キープアライブの要求間隔」をミリ秒単位で入力します。
デバイスは、設定された間隔で専用リンクポートを介してピアデバイスにハートビートを送信します。ハートビートは、ピアデバイスが使用可能かどうかを判断するために使用されます。
デフォルト: 250.
-
「キープアライブの試行」回数を指定します。
デフォルト: 16.
たとえば、キープアライブの要求間隔を 250ms に設定し、試行回数を 8 に設定した場合、250ms x 8 = 2 秒経過すると、ダウンしたとみなされます。
注
「スタンドアロン」モードおよび「障害」モードのデバイスには、キープアライブ間隔およびキープアライブ試行を設定できません。
-
ホストの MAC アドレス、またはハイパーバイザーによって割り当てられた MAC アドレスを使用する: 以下を使用する場合は、このチェックボックスを選択します。
- ホスト: HA にハードウェアアプライアンスを使用している場合は、物理 MAC アドレスを使用します。
-
ハイパーバイザーによって割り当てられたアドレス: 仮想アプライアンス用にハイパーバイザによって割り当てられた MAC アドレスを使用します。vSwitch の無差別モードをオンにする必要はありません。
仮想アプライアンスの場合は、このオプションを選択することをお勧めします。
-
「HA の開始」をクリックします。
プライマリデバイスがその構成を補助デバイスにプッシュします。