FireCluster について
WatchGuard Firebox の高可用性 (HA) ソリューションである FireCluster を構成すると、ネットワークのパフォーマンスとスケーラビリティを向上させることができます。
FireCluster には、2 つの Firebox がクラスタ メンバーとして構成されています。一方のクラスタ メンバーの機能が停止した場合でも、もう一方のクラスタ メンバーに引き継がれるようになっています。
一部のデバイス モデルでは FireCluster はサポートされていません。詳細については、FireCluster 用にサポートされているモデル を参照してください。
FireCluster の種類について
FireCluster は、2 種類のクラスタ構成をサポートしています。
アクティブ/パッシブ クラスタ
アクティブ/パッシブ クラスタでは、1 つのクラスタ メンバーがアクティブで、別のクラスタ メンバーがパッシブです。アクティブ クラスタ メンバーは、フェールオーバー イベントが発生しない限り、すべてのネットワーク トラフィックを処理します。パッシブ クラスタ メンバーは、アクティブにアクティブ デバイスのステータスを監視します。アクティブ デバイスが失敗すると、失敗したデバイスに割り当てられている接続をパッシブ デバイスが引き継ぎます。
アクティブ/パッシブ クラスタを構成する方法のデモについては、FireCluster ビデオ チュートリアル(14 分)を参照してください。
アクティブ/アクティブ クラスタ
アクティブ/アクティブ クラスタでは、クラスタのメンバーは、クラスタを通過するトラフィックを共有します。クラスタ内のアクティブ Firebox の間に接続を分散するには、FireCluster を ラウンド ロビン アルゴリズムまたは 最小接続アルゴリズム を使用するように構成します。クラスタ内の 1 つのメンバーが失敗すると、失敗したメンバーに割り当てられている接続を他のクラスタ メンバーが引き継ぎます。
そのメンバーに障害が発生しない限り、同じクラスタ メンバーで応答トラフィックが処理されます。たとえば、クラスタ メンバー 1 にはローカル ネットワークのユーザー コンピュータからの送信パケットが割り当てられます。そして、クラスタ メンバー 1 で応答トラフィックも処理されます。このようなパケット フローになるのは、Firebox はレイヤー 3 セッションでネットワーク トラフィックが追跡および制御されるステートフル ファイアウォールであるためです。メンバー 1 に障害が発生しない限り、クラスタ メンバー 2 では応答パケットは処理されません。
アクティブ/パッシブ クラスタとアクティブ/アクティブ クラスタの両方で、いずれかのクラスタ メンバーのトラフィック インターフェイスのトラフィックすべてが両方のクラスタ メンバーに配信されます。このようになるのは、クラスタ メンバーで同じ仮想 MAC アドレス (VMAC) が共有されているためです 。
フェールオーバー
クラスタ メンバーの機能が停止した場合、クラスタはシームレスにフェールオーバーし、以下の項目を保持します。
- パケット フィルタ接続
- BOVPN トンネル
- ユーザー セッション
- Access Portal ユーザー セッション
フェールオーバー イベントが発生すると、これらの接続が切断されることがあります。
- プロキシ接続
- Mobile VPN 接続
- Access Portal を通じて開始された RDP および SSH 接続
Mobile VPN ユーザーは、フェールオーバー後、手動で VPN 接続を再起動する必要があります。
FireCluster フェールオーバーについての詳細については、次を参照してください: FireCluster フェールオーバーについて。
クラスタのロール
各 Firebox のクラスタでのロールを理解しておくことは重要です。
クラスタ マスタ
このクラスタ メンバーは、クラスタ メンバーにネットワーク トラフィックを割り当てて、WatchGuard System Manager、SNMP、DHCP、ARP、ルーティング プロトコルおよび IKE などの外部システムからのすべての要求に応答します。クラスタ構成を構成または変更する場合、クラスタ構成をクラスタ マスタに保存します。クラス マスタとして任意のデバイスを設定できます。クラスタ内の電源をオンにする最初のデバイスはクラスタ マスタになります。
バックアップ マスタ
このクラスタのメンバーは、すべての必要な情報をクラスタ マスタに同期させます。これにより、クラスタ マスタが失敗した場合、このメンバーはクラスタ マスタになることができます。バックアップ クラスタ マスタは、アクティブまたはパッシブのいずれかにすることができます。
アクティブ メンバー
トラフィックのフローをアクティブに処理するクラスタ メンバーのいずれかとすることができます。アクティブ/アクティブ クラスタでは、両方のデバイスがアクティブです。アクティブ/パッシブ クラスタでは、クラスタ マスタのみがアクティブです。
パッシブ メンバー
アクティブ デバイスがフェールオーバーしない限り、ネットワーク トラフィックを処理しないアクティブ/アクティブ クラスタ内の Firebox。アクティブ/パッシブ クラスタでは、パッシブ メンバーはバックアップ クラスタ マスタになります。
要件
サポートされている Firebox 機能
FireCluster が有効になっている場合、 Firebox は次をサポートし続けます:
- 外部インターフェイス、信頼済みインターフェイスおよびオプショナル インターフェイス上のセカンダリ ネットワーク
- 複数 WAN 接続
(制限 — Link Monitor ホストへの接続失敗によって引き起こされたマルチ WAN フェールオーバーは FireCluster フェイルオーバーをトリガしません。FireCluster フェールオーバーは、物理インターフェイスがダウンしたり、応答しない場合にだけ発生します。) - VLAN
- 動的ルート
FireCluster でサポートされていない機能については、次を参照してください: FireCluster でサポートされていない機能。
FireCluster を構成する
FireCluster を構成するには、次を参照してください:FireCluster を構成する。
FireCluster ステータス
FireCluster を構成すると、以下を利用してクラスタに接続した際にクラスタのステータスが表示されるようになります。
- WatchGuard System Manager
- Firebox System Manager — デバイス ステータス を参照してください。
- Fireware Web UI システム ステータス > FireCluster の順に選択します。Firebox に Fireware v12.3 以降が搭載されている必要があります。
Policy Manager でクラスタを構成した後、Fireware Web UI を使用して接続することができます。クラスタを監視し、ポリシーやその他の構成設定を更新するために Web UI を使用することができますが、FireCluster 設定を変更するために Web UI を使用することはできません。
クラスタとして構成されたデバイスに Fireware Web UI を使用して接続する場合、クラスタ メンバーの役割を理解することが重要です。
クラスタ マスタ
クラスタ マスタは、クラスタ メンバーにネットワーク トラフィックを割り当て、WatchGuard System Manager、SNMP、DHCP、ARP、ルーティング プロトコル、および IKE などの外的システムからのすべての要求に応答します。FireCluster の構成を構成または変更すると、その構成はクラスタ マスタに保存されます。どのクラスタメンバーでもクラスタ マスタになることができます。クラスタ内の電源をオンにする最初のデバイスはクラスタ マスタになります。
バックアップ マスタ
マスタに障害が起きた場合にクラスタ マスタになることができるように、バックアップ マスタは必要なすべての情報をクラスタ マスタに同期させます。Fireware Web UI を使用してバックアップ マスタに構成変更を保存することはできません。
WatchGuard Cloud の FireCluster
WatchGuard Cloud では、ローカル管理の FireCluster を追加したり、システム アクション (アップグレード、再起動、フェールオーバー) を開始したり、ログ メッセージを表示したりすることができます。詳細については、WatchGuard Cloud の FireCluster について を参照してください。
関連情報:
FireCluster (ビデオ)