FireCluster 管理 IP アドレスについて
FireCluster の構成では、すべてのクラスタ メンバーは有効な各インターフェイスで同じ IP アドレスを共有します。インターフェイス IP アドレスを使用して WatchGuard System Manager 内のクラスタに接続すると、自動的にクラスタ マスタに接続され、すべてのクラスタ メンバーのステータスを確認することができます。
復元など、一部の管理機能では、特定のクラスタ メンバーに接続する必要があります。これを実行するには、各クラスタ メンバーに割り当てる固有の IP アドレスである FireCluster 管理 IP アドレスを使用します。クラスタ マスタはまた、デバイスのステータスとアクション アグリゲーションについてバックアップ マスタと通信するために、バックアップ マスタの管理 IP アドレスを使用します。たとえば、Firebox System Manager で FireCluster に接続した場合、クラスタ マスタはバックアップ マスタの管理 IP アドレスを使用してバックアップ マスタからステータス情報を要求します。その後、クラスタ マスタはその情報を Firebox System Manager に送信するので、両方のクラスタ メンバーのステータスが表示されます。
クラスタ メンバーは、クラスタに接続されていない場合でも、バックアップ マスターを管理するのに管理 IP アドレスを使用します。そのため、両方のクラスタ メンバーの管理インターフェイスが常に同じスイッチに接続されていることが重要です。
FireCluster を構成するとき、 FireCluster 管理 IP アドレスに関連する設定を構成します:
管理 IP アドレス用インターフェイス (クラスタ用に 1 つ)
まず、FireCluster 管理 IP アドレスを割り当てるインターフェイスを選択する必要があります。このグローバル設定は、すべてのクラスタ メンバーに適用されます。有効な物理的、ブリッジ、 VLAN 、またはリンクアグリゲーション インターフェイス、または PPPoE を使用する外部インターフェイスを選択することができます。管理コンピュータを通常接続するインターフェイスを選択することをお勧めします。
個々のクラスタ メンバーに IPv6 を使用して接続したい場合、有効な IPv6 を持つインターフェイスを選択する必要があります。
IPv4 管理アドレス(各クラスタ メンバーに 1 つずつ)
クラスタ メンバーごとに、選択された 管理 IP アドレス用インターフェイス 上で使用する FireCluster の管理 IP アドレスを構成します。
インターフェイスの主要な IP アドレスと同じサブネット上の 2 つの未使用の IPv4 アドレスを使用することを推奨します。この手順は、IP アドレスがルータブルであることを確認するために行います。
たとえば、管理 IP アドレス用インターフェイス として信頼済みインターフェイスを選択する場合、FireCluster の管理 IP アドレスとして使用するために信頼済みサブネットから 2 つの未使用のIPアドレスを選択します。管理 IP アドレス用インターフェイス として外部インターフェイスを選択する場合は、 FireCluster 管理機能専用に使用できる外部インターフェイスのIPアドレスとして同じサブネット上にある未使用の外部IPアドレスを2 つ選択して下さい。
管理 IP アドレスは、FireCluster がログ メッセージを送信する送信先となる WatchGuard Log Server または syslog サーバーと同じサブネット上にある必要があります。
FireCluster メンバーの 管理 IPアドレスを 管理 IP アドレス用インターフェイス のIPアドレスとして同じサブネット上にない IPv4 アドレスに設定する場合、管理ソフトウェアが FireCluster メンバーと通信することを可能にし FireCluster メンバーが相互に通信できるようにするルートをネットワーク構成が含むことを確実にしてください。
IPv6 管理アドレス(各クラスタ メンバーにつき1 つずつ)
管理 IP アドレス用インターフェイス として選択したインターフェイスが有効な IPv6 を持つ場合、IPv6 の管理 IP アドレスを構成することができます。IPv6 の管理 IP アドレスを構成する場合、それは未使用のIPアドレスでなければなりません。管理 IP アドレス用インターフェイス に割り当てられた IPv6 のIPアドレスと同じ接頭辞の 2 つの IPv6 アドレスを使用することを推奨します。この手順は、IP アドレスがルータブルであることを確認するために行います。
各メンバーに IPv6 管理アドレスを構成する場合:
- クラスタ マスタは、バックアップ マスタと通信するためにバックアップ マスタの IPv6 管理アドレスを使用します。
- 各メンバーの IPv4 管理アドレスはオプションです
FireCluster 管理 IP アドレスをバックアップ マスタに直接接続するために使用する場合、Policy Manager で構成変更を保存することはできません。
管理 IP アドレス用インターフェイスを使用して、バックアップ イメージを復元する
FireCluster バックアップ イメージを復元する場合、FireCluster 管理 IP アドレスを使用してクラスタ メンバーに直接接続する必要があります。クラスタ メンバーに接続するためにこの IP アドレスを使用する際、2 つの追加のコマンドを ツール メニューの Firebox System Manager で利用することができます。クラスタ > 停止 および クラスタ > 参加。クラスタにバックアップ イメージを復元する時に、これらのコマンドを使用できます。
詳細については、FireCluster バックアップ イメージを復元する を参照してください。
管理 IP アドレス用インターフェイスを使用して、外部ロケーションからアップグレードする
WatchGuard System Manager ソフトウェアは、クラスタの各メンバーの OS をアップグレードするときに FireCluster 管理 IP アドレスを使用します。離れた場所から OS をアップグレードする場合、以下のことを確認します。
- 管理 IP アドレス用インターフェイス は、外部インターフェイスに設定されます。
- 各クラスタ メンバーの 管理 IP アドレスは公開 IP アドレスでありルーティング可能です。
詳細については、FireCluster の Fireware OS をアップグレードする を参照してください。
管理 IP アドレスと WatchGuard ポリシー
WatchGuard ポリシー (policy type WG-Firebox-Mgmt) はデバイスへの管理接続を制御します。既定では、WatchGuard ポリシーでは Any-Trusted または Any-Optional エイリアスからの管理接続が許可されます。FireCluster の管理インターフェースを信頼済み、またはオプショナル インターフェイスに設定する場合、管理インターフェース IP アドレスは自動的に Any-Trusted、または Any-Optional エイリアスに含まれるので、正常な動作のために FireCluster 管理接続用 WatchGuard ポリシーを修正する必要はありません。
FireCluster 管理 IP アドレスを追加するために、WatchGuard ポリシーを編集する必要がある状況が2つあります。
- 特定の IP アドレスへの管理アクセスを制限する場合
特定の IP アドレスへの管理アクセスを制限する場合、From セクションから信頼済みまたはオプションのエイリアスを削除するために WatchGuard ポリシーを編集することができ、デバイスを管理したい IP アドレスまたはエイリアスのみを追加することができます。これを行う場合、WatchGuard ポリシーの送信元 セクションにも FireCluster 管理 IP アドレスを追加することが重要です。
- 外部インターフェイスに FireCluster 管理インターフェイスを設定する場合
FireCluster の管理インターフェイスとして外部インターフェイスを選択した場合、 FireCluster 管理 IP アドレスまたは外部のエイリアスのいずれかを WatchGuard ポリシーの From セクションへ追加する必要があります。特定の管理 IP アドレスを追加すると、Any-External エイリアスを追加する場合よりも、構成が安全になります。
WatchGuard ポリシーの詳細については、次を参照してください: リモート ロケーションから Firebox を管理する。