WatchGuard Cloud でクラウド管理の FireCluster を構成する前に、以下のことを確認してください。
WatchGuard Cloud のローカル管理の FireCluster に適用される要件については、ローカル管理の Firebox を WatchGuard Cloud に追加する と FireCluster を構成する前に を参照してください。
機能のサポートについて
FireCluster では、すべての Firebox 機能がサポートされているわけではありません。詳細については、クラウド管理の FireCluster でサポートされていない機能 を参照してください。
要件を確認する
クラウド管理の FireCluster を WatchGuard Cloud に追加する場合は、以下のオプションのいずれかを使用する必要があります。
- 方法 1 — 工場出荷時の既定設定の Firebox 2 台をクラウド管理の FireCluster として追加する。
- 方法 2 — ローカル管理のアクティブ/パッシブ FireCluster をクラウド管理に変更する。
クラウド管理の FireCluster は、アクティブ/パッシブ モードで動作します。アクティブ/アクティブのクラウド管理の FireCluster を追加することはできません。
このオプションの詳細については、クラウド管理の FireCluster を追加する を参照してください。
WatchGuard Cloud アカウントの要件
以下を必ず実行してください。
- WatchGuard Portal アカウントで両方の Firebox をアクティブ化します。
- Firebox の 1 つを Subscriber アカウントに割り当てます (Service Provider のみ)。2 番目の Firebox を追加する場合は、シリアル番号を指定することができます。詳細については、Firebox を割り当てる を参照してください。
ファームウェアの要件
クラウド管理の FireCluster には、以下のファームウェア要件があります。
- FireCluster の両方の Firebox で同じ Fireware ファームウェア バージョンが実行されている必要があります。ファームウェアのバージョンについては、デバイス設定ページについて を参照してください。
- 両方の Firebox で、Fireware v12.8.2 以降 (T30、T35、T50、M200、M300 Firebox の場合は v12.5.11 以降) が実行されている必要があります。
ライセンスおよびサブスクリプションの要件
クラウド管理の FireCluster には、以下のライセンス要件があります。
- 1 つのクラスタ メンバーのみの機能キーで登録サービスを有効化する必要があります。アクティブなクラスタ メンバーがいずれかのクラスタ メンバーの機能キーで有効な登録サービスを使用します。
- クラスタ メンバー 1 つのみに、Total Security Suite、Basic Security Suite、Standard Support のいずれかのライセンスが割り当てられている必要があります。
クラウド管理の FireCluster には、以下のサポート サブスクリプションに関する要件があります。
-
デバイスがクラスタ メンバーとして構成されている場合でも、サポート サブスクリプションは単一のデバイスに適用されます。各デバイスに対して、同じサポート レベルの有効なサポート登録を維持する必要があります。クラスタ メンバーのサポート サブスクリプションの有効期限が切れている場合は、そのデバイスのファームウェアをアップグレードすることができません。機能キーでは、サポートサブスクリプションは WatchGuard サポートの旧名称である、LiveSecurity Service によって識別されます。機能キーの詳細では、サポート登録の機能キー項目が次の形式で表示されます:機能:LIVESECURITY@MMM-DD-YYYY。
-
各クラスタ Firebox のサポート レベルは機能キーに表示されません。各メンバーのサポート レベルと登録の有効期限を確認するには、WatchGuard ウェブサイトのお客様アカウントの 製品を管理する ページにアクセスしてください。それぞれの FireCluster メンバーは、対応する Firebox のために購入されたサポート レベルを受けることができます。たとえば、FireCluster の 1 つのメンバーにしか Gold Support アップグレードがない場合は、他のクラスタ メンバーは、各自のサポート登録と関連づけられたレベルのサポートを受けることになります。サポート レベルについては、サポート レベルを比較する を参照してください。
クラウド管理の FireCluster には、以下の RMA サブスクリプションに関する要件があります。
-
両方の FireCluster メンバーを Premium 4-Hour RMA サブスクリプションにアップグレードするには、クラスタ メンバーごとにこのサブスクリプションを購入する必要があります。Premium 4-Hour RMA 登録の詳細については、WatchGuard Web サイトの RMA サービス FAQ を参照してください。
ライセンスのアクティブ化、更新、有効期限の詳細については、Firebox WatchGuard Cloud ライセンスについて を参照してください。
ハードウェアおよびケーブルの要件
以下の条件を確認してください。
- 同じモデル番号を持つ 2 つの有効な Firebox。
- 各 Firebox で、同じスロットに同じ数と種類のインターフェイス モジュールが設置されている必要があります。
- 少なくとも 1 つの未使用の Firebox インターフェイスを専用クラスタ インターフェイスとして使用する必要があります。バックアップ クラスタ インターフェイスを構成するには、追加の未使用 Firebox インターフェイスがある必要があります。
- クラスタ インターフェイスごとのイーサネット ケーブル。ストレート ケーブルまたはクロスオーバー ケーブルを使用して、一方のクラスタ メンバーのクラスタ インターフェイスを他方のクラスタ メンバーのクラスタ インターフェイスに接続することができます。
- 内部インターフェイス、ゲスト インターフェイス、または外部インターフェイスごとに 1 つのネットワーク スイッチが有効化されていること。
- 両方のデバイスのインターフェイスをネットワーク スイッチに接続するためのイーサネット ケーブル。
FireCluster は、以下を除くすべての Firebox および XTM デバイス上で完全にサポートされています。
- Firebox T10、T15、NV5 デバイスでは、FireCluster はサポートされていません。
- VMware ESXi 環境で、FireboxV および XTMv デバイスはアクティブ/パッシブ FireCluster のみサポートします。
- Firebox Cloud では、FireCluster はサポートされていません。
- FireCluster は Hyper-V ではサポートされていません。
FireCluster として 2 つのワイヤレス Firebox を構成する際に、その構成は次の要件を満たす必要があります:
- Firebox T10-W および T15-W ワイヤレス モデルでは、FireCluster がサポートされていません。
- ワイヤレス インターフェイスをプライマリ クラスタ インターフェイスまたはバックアップ クラスタ インターフェイスとして使用することはできません。
- クラスタ インターフェイスの IP アドレスが、ワイヤレス ネットワークにブリッジされているインターフェイスにある場合は、ワイヤレス接続を使用してデバイスを管理することはできません。
一部の Firebox モデルは、ユーザーが設置できるインターフェイス モジュールをサポートしています。これらのモデルに設置されるインターフェイス モジュールの数には相違がある可能性があるため、これらのモデルには追加の FireCluster 構成要件があります。
- FireCluster の両方のメンバーが同じ Firebox モデルで、同じスロットに同じ数と種類のインターフェイス モジュールが設置されている必要があります。両方の Firebox のハードウェア構成が正確に一致していないと、クラスタは形成されません。
- 内蔵インターフェイスをプライマリ クラスタ インターフェイスとして選択する必要があります。この構成では、2 つのメンバーの内蔵インターフェイスを直接接続します。クラスタが最初に形成される際に、そのインターフェイスを通じてメンバーの検出が行われます。
管理の要件
FireCluster へのローカル管理アクセス権が備わっていることを確認する必要があります。
ネットワーク要件
両方の Firebox がネットワークに接続されており、信頼性の高いインターネット アクセスが可能になっている必要があります。
クラスタ メンバー間のネットワーク レイテンシーは 100 ミリ秒未満である必要があります。
FireCluster では、ブリッジ モードはサポートされていません。
ワイヤレスの要件
FireCluster では、Firebox T10-W または T15-W ワイヤレス モデルはサポートされていません。
仮想マシン (VM) の要件
VMware 環境の FireCluster は、すべての要件が満たされていないと想定通りに機能しません。詳細については、次を参照してください:VMware ESXi 上で FireCluster を構成する。
FireCluster は Hyper-V ではサポートされていません。
クラスタによって保護されているすべてのクライアントは、両方のクラスタ メンバーと通信できる必要があります。VMware は、クラスタ メンバーと同じ ESXi ホスト上のクライアントからのトラフィックを、異なる ESXi ホスト上の別のクラスタ メンバーに送信することはありません。詳細については、VMware ESXi 上で FireCluster を構成する を参照してください。
外部インターフェイスの構成を確認する
各外部インターフェイスに静的 IP アドレスが割り当てられている、あるいは PPPoE または DHCP が使用できるように構成されている必要があります。
外部インターフェイスを構成する方法の詳細については、Firebox 外部ネットワークを構成する を参照してください。
ネットワーク ルーターとスイッチの構成を確認する
アクティブな各トラフィック インターフェイスの場合、1 つのネットワーク スイッチまたは VLAN を持つ必要があります。
プライマリおよびバックアップ クラスタ インターフェイスは、異なる未使用のサブネットに配置されている必要があります。ローカルまたは VPN サブネットと重複しないサブネットを使用するように確認してください。IP アドレスとルーティング可能な IP アドレスの競合を避けるために、リンクローカル アドレスとも呼ばれる自動プライベート IP アドレス指定 (APIA) サブネット (サブネット マスクが 255.255.0.0 の 169.254.0.1 〜 169.254.255.254) を使用することが勧められます。
クラスタ インターフェイスの各メンバー間でスイッチを使用することは勧められません。クラスタ インターフェイスの各メンバー間でスイッチを使用する場合は、そのクラスタ インターフェイスは異なる VLAN でお互いに論理的に分離されている必要があります。
クラスタ インターフェイスの構成を計画する
FireCluster を構成する前に、FireCluster に使用する IP アドレスと Firebox インターフェイスについて計画を立てることが勧められます。FireCluster を構成する際には、以下の FireCluster インターフェイスの IP アドレスとインターフェイス番号を指定する必要があります。
クラスタ インターフェイス
クラスタ メンバー間の通信のための専用インターフェイス。クラスタ メンバーでは、このインターフェイスを使用してハートビート パケットが交換され、接続およびセッション情報が同期されます。このインターフェイスは、通常のネットワーク トラフィックには使用されません。クラスタ ハードウェアを設定する際に、各 Firebox のクラスタ インターフェイスを相互に接続することが勧められます。クラスタ インターフェイス間にスイッチを使用することは勧められません。
バックアップ クラスタ インターフェイス (任意)
クラスタ メンバー間の通信のための冗長専用インターフェイス。クラスタ インターフェイス間でスイッチを使用する場合にのみ、バックアップ クラスタ インターフェイスを使用することが勧められます。
通信インターフェイス
両方のクラスタ メンバーから Dimension または Syslog サーバーにログ メッセージを送信し、バックアップ クラスタ マスターを管理するために使用されるインターフェイス。ヒント!
このリストには、クラウド管理の FireCluster のサンプル IP アドレスが一覧されます。
| クラウド管理の FireCluster の IP アドレス | |||
|---|---|---|---|
| Firebox インターフェイス | Member1 IP アドレス | Member2 IP アドレス | |
| クラスタ インターフェイス | 0 | 169.254.0.1/30 | 169.254.0.2/30 |
| バックアップ クラスタ インターフェイス | 1 | 169.254.1.1/30 | 169.254.1.2/30 |
| 通信インターフェイス | 2 | 10.10.2.3/24 | 10.10.2.4/24 |
クラスタ インターフェイスのベストプラクティス
以下のクラスタ インターフェイス IP アドレスのベスト プラクティスに従ってください。
- ネットワークで使用されていない IP アドレスを使用します。ルーティング可能な IP アドレスとの競合を避けるため、専用プライベート サブネットの APIPA アドレスか IP アドレスを入力することが勧められます。
- 両方のクラスタ メンバーのインターフェイス IP アドレスが、同じサブネットに配置されている必要があります。
- VLAN 専用に使用されるインターフェイスをクラスタ専用のインターフェイスとして選択しないでください。
- クラスタ IP を、Firebox のインターフェイスの既定 IP アドレスに設定しないでください。既定では、Firebox で、インターフェイス IP アドレスに 10.0.x.0/24 サブネットが使用されます。そのため、クラスタ IP アドレスには 10.0.x.0/24 アドレスを使用しないことが勧められます。工場出荷時の既定のインターフェイス IP アドレスのいずれかが使用されるようにクラスタ インターフェイスを構成すると、フェールオーバー時に競合が発生し、フェールオーバーが失敗する可能性があります。
- VPN を含め、ネットワークでクラスタ IP アドレスを他の目的で使用しないでください。
以下のクラスタ インターフェイスのベストプラクティスに従ってください。
-
Firebox のネットワーク インターフェイス カード (NIC) 障害に対して最適な耐障害性を実現するには、プライマリ クラスタ インターフェイスに eth0 を割り当てることが勧められます。Firebox NIC に障害が発生した場合は、Firebox で論理インターフェイス番号が自動的に再割り当てられます。Firebox により、インターフェイスが検出された順序で eth ラベルが割り当てられます。その結果、論理インターフェイス番号が左に移動して表示されます。ラベルの再割り当てにより、FireCluster の動作とバックアップ クラスタ インターフェイスの構成に影響が出る可能性があります。
たとえば、プライマリ クラスタ インターフェイスで eth0 を使用していれば、eth0 以外の NIC に障害が発生した場合も、インターフェイス ラベルは eth0 のままとなるため、FireCluster は期待通りに動作を続けます。物理的に eth0 の右側にはインターフェイスが存在しないため、Firebox で eth0 の論理インターフェイス ラベルが再割り当てされることはありません。この構成により、eth0 以外のインターフェイスの NIC に障害が発生した場合に FireCluster が保護されます。FireCluster の動作に影響が出るのは、eth0 に障害が発生した場合のみです。
プライマリ クラスタ インターフェイスとして eth4 を使用している場合に、eth3 に障害が発生すると、Firebox で論理ラベル eth3 が再割り当てされます。インターフェイス eth4 が eth3 となります。これにより、FireCluster の動作が中断されます。これは、Firebox の FireCluster 構成設定では eth4 がプライマリ クラスタ インターフェイスとして割り当てられているためです。
- クラスタ インターフェイスの各メンバー間でスイッチを使用することは勧められません。クラスタ インターフェイスの各メンバー間でスイッチを使用する場合は、そのクラスタ インターフェイスは異なる VLAN でお互いに論理的に分離されている必要があります。
- Firebox M5600 FireCluster の場合は、インターフェイス 32 をプライマリ クラスタ インターフェイスとして選択することを推奨します。詳細については、モジュラー インターフェイスでの FireCluster について を参照してください。
バックアップ クラスタ インターフェイスのベストプラクティス
クラスタ インターフェイス間の接続の種類によって、バックアップ クラスタ インターフェイスが推奨されるかどうかが決まります。
クラスタ メンバー間が直接ケーブルで接続されている FireCluster
冗長性が制限されるため、この種類の構成にはバックアップ クラスタ インターフェイスは勧められません。
プライマリ クラスタ インターフェイス間のケーブルに障害が発生した場合にのみ、FireCluster でバックアップ クラスタ インターフェイスが使用されます。Firebox のいずれかの NIC に障害が発生した場合は、バックアップ クラスタ インターフェイスからは冗長性が得られません。これは、このページの前のセクションに説明されているように、Firebox で論理インターフェイス ラベルが自動的に再割り当てられるためです。
クラスタ メンバー間にスイッチが配置されている FireCluster
これは勧められる構成ではありませんが、この構成では、FireCluster メンバーがスイッチによって物理的に分離されています。クラスタ インターフェイス間にスイッチを配置する場合は、バックアップ クラスタ インターフェイスを構成することが勧められます。FireCluster では、以下のイベント発生時にバックアップ クラスタ インターフェイスが使用されます。
- スイッチとクラスタ インターフェイス間のケーブルに障害が発生した場合
- スイッチ インターフェイスに障害が発生した場合
- ネットワークの問題により、スイッチが使用できなくなった場合
Firebox のいずれかの NIC に障害が発生した場合は、バックアップ クラスタ インターフェイスからは冗長性が得られません。これは、Firebox で論理インターフェイス ラベルが自動的に再割り当てされるためです。たとえば、プライマリ クラスタ インターフェイスに eth3 が指定され、バックアップ クラスタ インターフェイスに eth4 が指定されているとします。eth3 に障害が発生すると、Firebox で論理ラベル eth3 が再割り当てされます。そうすると、eth4 というラベルのインターフェイスに、eth3 というラベルが付けられます。FireCluster 構成設定では eth3 がプライマリ クラスタ インターフェイスとして指定され、eth4 がバックアップ クラスタ インターフェイスとして指定されているため、インターフェイス ラベルの再割り当てにより、FireCluster の動作が中断されます。
最良の結果を得るために、プライマリ クラスタ インターフェイスには eth0 を使用してください。
ネットワークで使用されていない IP アドレスを使用します。ルーティング可能な IP アドレスとの競合を避けるため、専用プライベート サブネットの APIPA アドレスか IP アドレスを入力することが勧められます。バックアップ クラスタ インターフェイスの IP アドレスは、同じサブネットに割り当てられている必要があります。バックアップ クラスタ インターフェイスの IP アドレスは、プライマリ クラスタ インターフェイスの IP アドレスとは異なるサブネットに割り当てられている必要があります。
以下のクラスタ インターフェイスと IP アドレスのベスト プラクティスに従ってください。
- プライマリおよびバックアップ クラスタ インターフェイスは異なるサブネットになければなりません。
- Firebox のインターフェイスの既定の IP アドレスのいずれにも、バックアップ クラスタ IP アドレスを設定しないでください。既定では、Firebox で、インターフェイス IP アドレスに 10.0.x.0/24 サブネットが使用されます。そのため、バックアップ クラスタ IP アドレスには 10.0.x.0/24 アドレスを使用しないことが勧められます。工場出荷時の既定のインターフェイス IP アドレスのいずれかが使用されるようにバックアップ クラスタ インターフェイスを構成すると、フェールオーバー時に競合が発生し、フェールオーバーが失敗する可能性があります。VPN を含め、ネットワークでバックアップ クラスタ IP アドレスを他の目的で使用しないでください。
通信インターフェイスのベストプラクティス
Dimension または Syslog サーバーと同じサブネットに割り当てられている IP アドレスを使用します。通信インターフェイス IP アドレスも、内部ネットワークと同じサブネットに割り当てられている必要があります。
WatchGuard Cloud では、WatchGuard Cloud の通常のデータ保持期間よりも長くログ メッセージを保持するため、Dimension または syslog サーバーにログ メッセージを送信するように、クラウド管理の FireCluster を構成することができます。
次のステップ
すべての要件を確認したら、次を行うことができます:クラウド管理の FireCluster を追加する。