HA モードとデバイスの役割
2 台の Sophos Firewall デバイスを使用して、高可用性 (HA) クラスタを構成できます。
この 2 台のデバイスはハートビート接続され、プライマリデバイスから補助デバイスに構成とセッションの詳細が同期されます。
HA クラスタ
HA クラスタは 1 台のプライマリデバイスと 1 台の補助デバイスで構成されます。ネットワークは複数の HA クラスタで構成できます。各クラスタには ID を割り当てることができます。ファイアウォールはこの ID を使用して、インターフェイスの仮想 MAC アドレスを生成します。
注
ネットワークで複数の HA クラスタが構成されている場合は、仮想 MAC アドレスの競合を防ぐために、各クラスタに異なる ID を割り当てます。
HA モード
この動画では、HA モードとセットアップの前提条件について説明します。
アクティブ-パッシブ
アクティブ-パッシブ HA では、プライマリデバイスですべてのトラフィックが処理され、補助デバイスは予備デバイスとして待機します。プライマリデバイスが利用不可能になると、HA フェールオーバーが発生し、補助デバイスですべてのトラフィックの処理が開始されます。
アクティブ-パッシブ HA を選択すると、ネットワークの耐障害性を保証できます。
アクティブ-アクティブ
アクティブ-アクティブ HA では、プライマリデバイスと補助デバイスが負荷を分担し、トラフィックを処理します。プライマリデバイスですべてのネットワークトラフィックを受信し、トラフィックの負荷を補助デバイスに分散します。プライマリデバイスが利用不可能になると、HA フェールオーバーが発生し、プライマリデバイスが復旧するまで、補助デバイスですべてのトラフィックの処理が開始されます。
アクティブ-アクティブ HA を選択すると、スループットとネットワークの耐障害性を確実に高めることができます。
注
一部のサービスは負荷分散されません。詳細は、負荷分散を参照してください。
デバイスの役割
プライマリ
プライマリデバイスはアクティブデバイスであり、アクティブ-パッシブ、アクティブ-アクティブのいずれの HA モードでも、すべてのトラフィックを受信します。
情報が同期および共有される仕組み
-
ファイアウォール設定:補助デバイスでは、プライマリデバイスから次の情報を同期します。
-
ルール、ポリシー、設定、CLI コマンド、監視対象のポート設定などのファイアウォール設定。
専用 HA リンクと管理ポートは同期されません。
-
保護されたストレージのマスターキーと Web 管理コンソールの認証情報。詳細は、冗長化 (HA)を参照してください。
-
-
アクティブなセッション:アクティブなセッションのステータスと詳細。アクティブ-アクティブ HA では、両方のデバイスでこの情報がピアと共有されます。
- ハートビートパケット:両方のデバイスで、キープアライブ ハートビート パケット経由でステータスがピアと共有されます。
トラフィックの処理方法
- 応答側インターフェイスの仮想 MAC アドレスで ARP 要求に応答するのはプライマリデバイスだけです。詳細は、HA トラフィックフローを参照してください。
-
すべてのトラフィックはプライマリデバイスに送信されます。
- アクティブ-パッシブ HA では、プライマリデバイスがアクティブで、すべてのトラフィックが処理されます。
- アクティブ-アクティブ HA では、プライマリデバイスが負荷分散を実行します。両方のデバイスがアクティブで、負荷分散の決定に基づいてトラフィックが処理されます。詳細は、負荷分散を参照してください。
補助
補助デバイスでは、プライマリデバイスからの情報を同期します。
- フェールオーバー:アクティブ-パッシブおよびアクティブ-アクティブ HA では、プライマリデバイスが故障した場合、補助デバイスが処理を引き継ぎます。その後、補助デバイスがプライマリデバイスに切り替わります。
- 負荷分散:アクティブ-アクティブ HA では、補助デバイスとプライマリデバイスでトラフィックが処理されます。要求と応答のトラフィックがプライマリデバイスに送信されます。プライマリデバイスは負荷分散の決定を行い、接続を補助デバイスに転送します。
- 管理者は、管理者 IP アドレスを使用して、補助デバイスの Web 管理コンソールにアクセスできます。
- アクティブ-パッシブ HA では、ライブユーザー、DHCP リース、IPsec ライブ接続の詳細は、補助デバイスの Web 管理コンソールに表示されません。
初期のデバイスのロール
HA を構成するときには、デバイスのプライマリまたは補助の役割を選択します。これらは初期の役割です。フェールオーバー時には役割が切り替わり、補助デバイスがプライマリデバイスになります。
プライマリデバイスがフェールオーバー後に復旧すると、そのデバイスが補助デバイスになります。プライマリデバイスとして引き継がせる場合は、このデバイスの「システムサービス」 > 「高可用性」を選択し、「優先プライマリデバイス」でデバイスを選択します。
注
アクティブ-パッシブ HA モードでは、「初期デバイスの役割」で、必ずライセンスを所有するデバイスを「プライマリ (アクティブ-パッシブ)」として選択してください。詳細は、登録とライセンスを参照してください。