VMware ESXi 上で FireCluster を構成する

2 つの FireboxV 仮想マシンをアクティブ/パッシブ FireCluster として構成することができます。クラスタ化したい FireboxV デバイスを構成する前に、ハイパーバイザー上で仮想ネットワークのセットアップを完了しておくことをお勧めします。

このトピックには、要件 についての説明および計画と構成の手順が示されています。

  1. 構成を計画する
  2. ネットワーク スイッチを構成する
  3. クラスタを構成する
  4. 2 台の FireboxV 仮想マシンを配備および配布する
  5. 2 台目のデバイスの機能キーを取得する
  6. FireCluster の設定を構成する
  7. クラスタを作成する

要件

以下のアイテムがあることを確認します。

  • 同じモデルの 2 つの WatchGuard FireboxV 仮想マシン
  • 各デバイス上の同じバージョンの Fireware
  • 各仮想マシンの機能キー
  • クラスタ インターフェイスごとに構成された 1 つの vSphere アドレス
  • アクティブな各トラフィック インターフェイスの 1 つの vSwitch
  • FireCluster の構成を編集するための WatchGuard System Manager

FireCluster、ネットワーク、ESXi の構成がすべての要件を満たしていることを確認する必要があります。VMware 環境の FireCluster は、これらの要件が満たされていないと期待される通りに機能しません。

FireCluster の要件

アクティブ/アクティブ FireCluster は、VMware ESXi ではサポートされていません。アクティブ/パッシブ FireCluster を構成する必要があります。

ネットワーク要件

ネットワークと ESXi の構成が要件を満たしていることを確認してください。

ネットワーク要件

  • 各インターフェイス タイプは、両方のクラスタ メンバー間で同じブロードキャスト ドメインに存在している必要があります。
    バックアップ マスターにより Gratuitous ARP (GARP) がブロードキャストされ、クラスタ フェールオーバーが発生した場合はこれがクラスタ マスターとなります。このブロードキャストを受信するには、他のクラスタ メンバーも同じブロードキャスト ドメインに存在している必要があります。

  • クラスタによって保護されているすべてのクライアントは、両方のクラスタ メンバーと通信できる必要があります。
    つまり、FireboxV 宛てのすべてのパケットが、両方のクラスタ メンバーに正常に配信されるようになっていることを確認する必要があります。VMware は、クラスタ メンバーと同じ ESXi ホスト上のクライアントからのトラフィックを、異なる ESXi ホスト上の別のクラスタ メンバーに送信することはありません。これらのクライアントは、アクティブなクラスタ メンバーと同じ ESXi ホスト上にない限り、クラスタを通過するトラフィックを渡すことができません。パッシブなクラスタ メンバーと同じ ESXi ホスト上のクライアントは、クラスタ経由でトラフィックを渡すことができません。この現象は、ESXi ホストでは、クラスタ メンバーで共有されている仮想 MAC (VMAC) アドレスがその ESXi ホストにのみ存在していると認識されるためです。その結果、ESXi ホストからは、クラスタを通過しようとするトラフィックが、他の ESXi ホスト上のアクティブなクラスタ メンバーに転送されません。

ESXi 要件

  • GARP は vSwitch で有効化されている必要があります。
    クラスタ フェールオーバーが発生した後に、新しいクラスタ マスターから GARP が送信されます。vSwitch では GARP の情報が使用され、クラスタ フェールオーバー後にトラフィックがどのようにルーティングされるかが学習されます。
  • すべての FireboxV インターフェイスで、VMWare の 偽装転送 設定を 許可 として構成する必要があります。これが既定の設定です。
  • 外部インターフェイスの vSwitch が MAC アドレスの変更を許可するように構成されている。
  • FireCluster 管理インターフェイスの vSwitch で無差別モードが有効にされている。
  • 各クラスタ インターフェイスに接続する vSwitch がこの目的専用になっている。

ハードウェアとソフトウェアのリダンダンシーを追加する場合は、以下を構成することができます。

  • 複数の物理スイッチ経由で vSwitch に接続された 2 つの ESXi ホスト
  • それぞれ異なる ESXi ホストに構成された FireCluster マスターおよびバックアップ メンバー

この構成により、ソフトウェアまたはハードウェアに障害が発生した場合に FireCluster がフェールオーバーされるため、リダンダンシーが追加されます。

構成を計画する

FireCluster を有効にする前に、vSwitch、ネットワーク インターフェイス、使用するネットワーク アドレスを確認しておくことをお勧めします。FireCluster では、外部インターフェイスは静的 IP アドレスを使用している必要があります。明確なプランを作成することで、インターフェイス IP アドレスを構成し各インターフェイスの必要に応じて vSwitch を構成する際に役に立ちます。たとえば、次のようなリストを作成できます。

FireCluster オプション vSwitch 名 FireboxV または XTMv
インターフェイス番号		 IP アドレス
プライマリ クラスタ インターフェイス HA-net 9 問

メンバー 1: 10.10.5.1/24

メンバー 2: 10.10.5.2/24
管理 IP アドレス用インターフェイス 信頼済み-net 1

メンバー 1: 10.10.1.2/24

メンバー 2: 10.10.1.3/24
外部インターフェイス 外部-net 0 203.0.113.2 /24
信頼済みインターフェイス 信頼済み-net 1 10.10.1.1/24

ネットワーク スイッチを構成する

有効にする各インターフェイスに vSwitch を構成する必要があります。これは、FireCluster を有効にする前に行っておくことをお勧めします。FireCluster を有効化するには、まず 要件 セクションに記載されている要件を満たすようにスイッチが構成されていることを確認する必要があります。

スイッチの構成に関する詳細は、次を参照してください: VMware ESXi 上でリソースを構成する

クラスタを構成する

ネットワークを計画し、vSwitch 構成した後、FireboV 仮想マシンをセットアップし、FireCluster を有効にすることができます。

2 台の FireboxV 仮想マシンを配備および配布する

2 台の新しい FireboxV 仮想マシンをもつ FireCluster を作成するには、前セクションの手順に従って、2 台の FireboxV デバイスを配備してアクティブ化します。既存の FireboxV 仮想マシンで FireCluster を有効にする場合、もう 1 台の FireboxV 仮想マシン配備してアクティブ化します。詳細については、VMware ESXi 上に FireboxV または XTMv を配備する を参照してください。

それぞれの FireboxV 仮想マシンに同じリソース(ネットワーク アダプタ、仮想 CPU、メモリ)を割り当てます。詳細については、VMware ESXi 上でリソースを構成する を参照してください。

2 台目のデバイスの機能キーを取得する

2 台目のデバイスから機能キーをテキスト ファイルにコピーして、FireCluster の構成に追加します。

Policy Manager を使用して機能キーをコピーするには、以下の手順を実行します:

  1. WatchGuard System Manager で、クラスタの 2 台目のデバイスになる仮想マシンに接続します。
  2. ツール > Policy Manager の順に選択します。
  3. 設定 > 機能キー > 詳細 の順に選択します。
  4. 機能キーの詳細をテキスト ファイルにコピーします。

FireCluster の設定を構成する

FireboxV で FireCluster の設定を構成する手順は他の Firebox と同じですが、仮想 FireCluster に アクティブ/パッシブ を選択する必要があります。

FireCluster Setup Wizard の実行後、クラスタの構成を各仮想マシンに保存します。仮想マシンを再起動するときにクラスタが作成されます。

FireCluster を構成するには、以下の手順を実行します:

  1. WatchGuard System Manager で、クラスタに使用したい構成がある FireboxV または XTMv マシンに接続します。
  2. ツール > Policy Manager の順に選択します。
  3. FireCluster > 設定 の順に選択します。
    FireCluster Setup Wizard を起動する。
  4. 次へ をクリックします。
  5. アクティブ/パッシブ クラスタ を有選択します。
    アクティブ/アクティブ クラスタ オプションは選択可能ですが、FireboxV ではサポートされません。
  6. クラスタ ID を選択します。
    同じレイヤ 2 ブロードキャスト ドメインで 2 つ以上のクラスタを設定する場合、クラスタ ID によりクラスタが一意に識別されます。クラスタが 1 つしかない場合、既定値の 1 を使用できます。
  7. 次へ をクリックします。
  8. プライマリ クラスタ インターフェイスを選択します。
    専用の vSwitch に接続するインターフェイスを選択します。クラスタ インターフェイスは、クラスタ メンバー間の通信専用に使用され、他のネットワーク トラフィックに使用されません。
  9. (任意)バックアップ クラスタ インターフェイスを選択します。
    バックアップ クラスタ インターフェイスを選択する場合、2つ目の専用の vSwitch に接続するインターフェイスを選択します。
  10. 管理 IP アドレス用インターフェイス を選択します。
    メンテナンス処理用に直接 FireCluster メンバー デバイスに接続するためにこのインターフェイスを使用できます。クラスタ マスタはまた、デバイスのステータスとアクション アグリゲーションについてバックアップ マスタと通信するために、バックアップ マスタの管理 IP アドレスを使用します。これは、専用インターフェイスではありません。このインターフェイスは他のネットワーク トラフィックのためにも使用されます。管理 IP アドレス用インターフェイスとして VLAN インターフェイスを選択することはできません。管理コンピュータを通常接続するインターフェイスを選択することをお勧めします。

管理 IP アドレス用インターフェイスとして構成するインターフェイスの vSwitch で無差別モードが有効になっていることを確認します。

  1. 次へ をクリックします。
  2. 構成ウィザードでプロンプトが表示されたら、各デバイスに対して以下の FireCluster のメンバー プロパティを追加します。

機能キー

各 Firebox で、機能キーをを追加して、デバイスのシリアル番号を取得し、すべての機能を有効にします。最初のクラスタ メンバーでは、ウィザードが構成ファイルにある機能キーを自動的に使用します。

メンバー名

FireCluster 構成内の各 Firebox を識別する名前。

プライマリ クラスタ インターフェイスの IP アドレス

プライマリ クラスタ インターフェイスを介してクラスタ メンバーが相互に通信するのに使用する IP アドレス。各クラスタ メンバーのプライマリ クラスタ インターフェイスの IP アドレスは、同じサブネット上の IPv4 である必要があります。

両方のデバイスが同時に起動する場合、プライマリ クラスタ インターフェイスに割り当てる最大 IP アドレスを持つクラスタ メンバーがマスタになります。

バックアップ クラスタ インターフェイスの IP アドレス

(任意)バックアップ クラスタ インターフェイスを介してクラスタ メンバーが相互に通信するのに使用する IP アドレス。各クラスタ メンバーのバックアップ クラスタ インターフェイスの IP アドレスは、同じサブネット上の IPv4 である必要があります。

プライマリまたはバックアップ クラスタの IP アドレスは、デバイス上のインターフェイスの既定の IP アドレスに設定しないでください。インターフェイスの IP アドレスのデフォルト値は、10.0.0.1~10.0.17.1 の範囲内です。プライマリおよびバックアップ クラスタの IP アドレスは、Mobile VPN の仮想 IP アドレスやリモート Branch Office ネットワークで使用される IP アドレスなど、ネットワーク上の他の IP アドレスなどに使用することはできません。

管理 IP アドレス

クラスタの一部として構成されている各 Firebox への接続に使用できる固有の IP アドレス。各クラスタ メンバーごとに異なる管理 IP アドレスを指定する必要があります。管理 IP アドレス用インターフェイスとして選択したインターフェイスで IPv6 が有効な場合、IPv6 の管理 IP アドレスをオプションで構成することができます。

IPv4 の管理 IP アドレスは、未使用の IP アドレスをどれでも指定できます。管理 IP アドレス用インターフェイスとして選択したインターフェイスとして、同じサブネット上の IP アドレスを使用することを推奨します。これは、アドレスがルーティングに対応していることを確実にするためです。管理 IP アドレスは、FireCluster がログ メッセージを送信する WatchGuard Log Server または syslog サーバーと同じサブネット上にある必要があります。

IPv6 の管理 IP アドレスは、未使用の IP アドレスでなければなりません。管理 IP アドレス用インターフェイスとして選択したインターフェイスに割り当てられる IPv6 アドレスと同じプレフィックスを持つ IPv6 アドレスを使用することを推奨します。これは IPv6 アドレスをルーティング可能にするためです。

  1. FireCluster Setup Wizard の最終画面には、構成概要を表示できます。構成概要には、選択したオプションおよびリンク ステータスを監視されたインターフェイスが含まれています。
  2. 完了 をクリックします。
    FireCluster 構成 ダイアログ ボックスが表示されます。

クラスタを作成する

クラスタを作成するには、各 FireboxV 仮想マシンに構成ファイルを保存します。

  1. Policy Manager で、ファイル > 保存 > Firebox へ の順に選択し、最初の FireboxV または XTMv 仮想マシンに構成ファイルを保存します。
  2. Policy Manager で、ファイル > 保存 > Firebox へ の順に選択し、2 台目の FireboxV 仮想マシンの IP アドレスを指定します。
    構成を保存する IP アドレスが構成ファイル内に存在しない場合、Policy Manager により警告が表示されます。
  3. はい をクリックしてファイルを保存することを確認します。

クラスタは自動的に作成されます。クラスタが作成されたことを確認するには、WatchGuard System Manager のクラスタに接続し、ステータスを定期的に更新します。数分経ってもクラスタが自動的に作成されない場合は、各仮想マシンを再起動またはパワーサイクル(電源の入れ直し)して、クラスタの自動作成トリガーしてください。

関連情報:

FireCluster について

FireboxV および XTMv の概要

アクティブ/パッシブ クラスタ ID および仮想 MAC アドレス