本記事について
本記事では、Fortinet 社のファイアウォール製品である FortiGate について、HA 構成時のバックアップ及びリストアの実施方法と動作仕様について説明します。
動作確認環境
本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。
- FortiGate-60F
- バージョン 7.4.3
FortiGate HA 構成でのバックアップとリストア
FortiGate で以下図のように HA を構成している場合を考えます。
この場合、FortiGate のコンフィグバックアップ及びリストアをどのように行えば良いのかについて説明します。
HA 構成時のコンフィグバックアップ方法
HA 構成時のコンフィグバックアップのためには、プライマリ機とセカンダリ機のそれぞれでコンフィグのバックアップを行ってください。
プライマリ機とセカンダリ機ではコンフィグの同期が行われていますが、同期の対象外となるコンフィグもあるため、それぞれでのバックアップが必要となります。
バックアップの方法はシングル構成の場合と同様です。詳しい方法はこちらの記事を参照してください。
なお、セカンダリ機の GUI にアクセスするためにはセカンダリ機の管理インターフェース宛に接続を行います。
HA 構成中に実施するリストアの動作仕様【要注意】
HA 構成時でもリストア自体の実施方法はシングル構成の場合と同じです。詳しい方法はこちらの記事を参照してください。
ただし、HA 構成中にリストアを実施するとプライマリ機とセカンダリ機の両方が同時にリストアされるため注意してください。
以下は、HA のプライマリ機でリストアを実行したときのセカンダリ機のコンソールログです。
Get config file from ha primary OK.
Check config file OK.
System is rebooting...
The system is going down NOW !!
Please stand by while rebooting the system.
Restarting system.
FortiGate-60F (20:56-03.17.2023)
Ver:05000030
Serial number: FGT60FTKxxxxxxxx
CPU: 1200MHz
Total RAM: 2 GB
Initializing boot device...
Initializing MAC... NP6XLITE#0
Please wait for OS to boot, or press any key to display configuration menu......
Booting OS...
Initializing firewall...
System is starting...
FortiGate-60F-02 login:ログの 1-4 行目でプライマリ機からコンフィグファイルを受け取り再起動が発生していることが分かります。
この逆に、セカンダリ機でリストアをした場合でもプライマリ機側ではセカンダリ機からコンフィグファイルを受け取り再起動が発生します。
このため、HA 構成中では片方の機器のみリストアすることはできず、片方の機器でリストアを実行すると2台の機器で同時にリストアが発生します。
機器交換で片系のみリストアし HA を再構成する場合の注意点
機器故障により機器交換する場合など、HA を構成する片機器のみを HA クラスタから切り離された状態でリストアし、その後 HA 構成に戻すことを考えます。
この場合論点になるのは、リストア後、HA を再構成したときにコンフィグがどうなるのかということです。
オーバーライドが有効な場合のプライマリ機の保守交換時は要注意
オーバーライドが有効な HA クラスタを考えます。ある時点②で両機器のバックアップを取得していて、時点③でプライマリ機が故障しました。その後時点④に至るまでにセカンダリ機のみの片系運用をしていてその間設定変更を実施しました。時点⑤で交換機が用意できたため、時点②のプライマリ機のバックアップを使用してリストアを行い、ネットワークに組み込みセカンダリ機と HA を構成しました。
HA 構成後の時点⑥でのコンフィグはどうなるかというと、新たに HA を構成したときに両機器間でコンフィグに差分がある場合プライマリ機のコンフィグが優先されるため、セカンダリ機のコンフィグは時点②のコンフィグに戻ってしまいます。
このようにコンフィグが巻き戻ってしまうことを回避する方法としては以下が考えられます。
- プライマリ機でリストア後、コンフィグ差分を反映させてから HA を構成する
- オーバーライドを無効化してから HA を構成し、コンフィグ同期後にオーバーライドを有効化する
- プライマリ機のプライオリティを下げてから HA を構成し、コンフィグ同期後にプライオリティを戻す
機器の保守交換をする際の手順を作成する際にはこの点注意してください。
以上です。
【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです
- 基礎知識
- HA (冗長構成) 設定
- FortiGate HA モードの Active-Passive と Active-Active の違いを解説します
- FortiGate HA(冗長構成)の概要と設定ガイド【詳しく解説】※note記事
- FortiGate HA 構成時のコンフィグ同期の仕様について解説します
- FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースを解説 [ha-direct 設定]
- FortiGate HA 構成時の仮想 MAC アドレスについて解説します
- FortiGate HA ハートビート送信間隔と障害判定しきい値の設定ガイド
- FortiGate HA 構成時のバックアップ及びリストア実施ガイド
- FortiGate HA 構成でのモニタインターフェースダウン時の通信断時間について解説
- FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】
- VDOM (バーチャルドメイン) 設定
- トランスペアレントモード設定
- システム系設定
- 管理者アカウント設定
- 時刻・NTP 設定
- ロギング・Syslog 送信設定
- SNMP 設定
- DHCP サーバ機能設定
- Proxy サーバ機能設定
- アラートメール送信
- ネットワーク系設定
- インターフェース設定
- ルーティング設定
- DNS 設定
- NAT 及び NAPT 設定
- ファイアウォール系設定
- アドレス設定
- サービス設定
- ファイアウォールポリシー設定
- ゾーンを使用したポリシー設定
- VPN 系設定
- Tips
Amazon アフィリエイトリンク
以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。
note メンバーシップへの参加もお待ちしています!
【アフィリエイト】おすすめ WordPress テーマ【SWELL】
当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。
また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。
技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。
レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。
コメント