FortiGate HA(High Availability)は、ネットワークの冗長性を高め、システムの可用性を向上させるための仕組みです。本記事では、「Fortigate HA設定手順」に関心を持っている方に向けて、設定の概要から実際の構成例、GUIを使った設定方法まで、わかりやすく解説していきます。
HA構成におけるIPアドレスの設定ポイントや、ha-directの役割とその設定、管理インターフェースの具体的な設定方法も含めて、初めての方でも理解しやすい内容にまとめました。また、active-active構成の特徴や、同期されない設定の確認方法、トラブル発生時の対処法も取り上げ、実用的な内容を網羅しています。
さらに、設定時に役立つ構成図の基本的な考え方や、切り替えコマンドの使い方も紹介します。これらの情報を活用することで、FortiGate HAの安定した運用を目指し、ネットワークの可用性を高めることができるでしょう。
FortiGate HAの設定手順でつまずかないために、ぜひ最後までお読みいただき、正確かつ効率的な設定を行ってください。
- Fortigate HAの基本的な設定手順と構成例
- GUIを使ったFortigate HA設定方法とポイント
- HA構成時のIPアドレスや管理インターフェースの設定方法
- active-active構成の特徴やトラブル時の対処法
Fortigate HA設定手順の基本
- 設定の概要と構成例
- GUIを使った設定方法
- IPアドレスの設定ポイント
- 構成図の基本的な考え方
- 同期されない設定の確認方法
設定の概要と構成例
FortiGate HA(High Availability)は、ネットワークの冗長性を高め、システムの可用性を向上させるための仕組みです。HA構成を行うことで、ハードウェアの障害やシステムのダウンタイムを最小限に抑え、ネットワークの安定運用を実現することが可能です。FortiGateのHAでは、主に「Active-Passive」と「Active-Active」の2つの構成が利用されます。
まず、HA設定の概要として、同じモデルのFortiGateデバイスを複数用意し、1台をマスター(Primary)、他をスレーブ(Secondary)として構成します。マスターが障害を検知した際には、自動的にスレーブが切り替わり、業務を継続します。このように、HA構成によってシステムの継続性が担保されるため、ネットワークのダウンタイムを大幅に減らすことができます。
構成例としては、2台のFortiGateをペアで設定し、必要に応じて3台以上の構成を取ることも可能です。また、HAの通信には専用のインターフェースが使用されるため、通常の通信とは分離されます。これにより、HA間の同期が確実に行われ、同期エラーを減らすことができます。
実際にHAを設定する際には、いくつかのステップが必要です。まず、HAのモード(Active-PassiveまたはActive-Active)を決定し、次にHAに必要な各種設定(IPアドレスの指定、同期インターフェースの設定、管理インターフェースの設定など)を行います。最後に、設定が完了したら、同期を確認し、正常に動作しているかの確認を行うことが重要です。
GUIを使った設定方法
FortiGateのHA設定は、GUI(Graphical User Interface)を利用することで直感的かつ簡単に行うことができます。CLI(Command Line Interface)を使用する場合に比べ、GUIを使うことで初めてHAを構築する方でも操作しやすい点がメリットです。
GUIでの設定方法は、まずFortiGateの管理画面にログインし、システムメニューから「HA」オプションを選択します。ここで、HAのモードを選択することが可能です。多くの場合、冗長性を重視した「Active-Passive」モードが選択されますが、パフォーマンスを向上させたい場合は「Active-Active」モードを選択します。
次に、HAクラスタに参加するデバイスのグループ名やHAの優先度、モニタリングするインターフェースなどを設定します。この際、マスターとスレーブのデバイスの設定が正確に一致することが重要です。また、GUIではHAの同期インターフェース(通常「ha1」や「ha2」と呼ばれる専用のポート)を選択し、同期の優先順位を設定することができます。
設定が完了したら、「設定の保存」を行い、HAの動作状況を確認します。GUIでは、HAのステータスや同期状態をリアルタイムで確認することができるため、問題が発生した場合でも迅速に対応することができます。また、GUI上から手動でフェイルオーバー(マスターとスレーブの切り替え)を行うことも可能です。
IPアドレスの設定ポイント
FortiGate HAを設定する際のIPアドレスの設定は、クラスタ全体の動作や管理に影響を及ぼすため、非常に重要なポイントとなります。HA構成では通常、物理インターフェースごとにIPアドレスを設定し、クラスタ全体を1つのデバイスのように動作させます。しかし、どのインターフェースにどのIPアドレスを割り当てるかを考える必要があります。
まず、マスターとスレーブのFortiGate間で通信するためのHA専用インターフェースには、物理的に直接接続したポートを用意し、プライベートなIPアドレスを設定することが推奨されます。これにより、HAの通信が通常のデータ通信と干渉せず、同期やフェイルオーバーが安定して行われます。
次に、各デバイスには「管理用IPアドレス」を設定する必要があります。これは、各FortiGateに対して直接管理アクセスを行うためのものです。クラスタ全体に対して管理する「クラスタIPアドレス」とは別に、個々のデバイスを識別するIPを持つことで、個別に設定確認やトラブルシューティングが容易にできます。
また、HA構成で重要なのは「仮想IPアドレス(Virtual IP)」の設定です。このアドレスはクラスタが1つのデバイスとして動作する際に利用され、HAで動作しているデバイスがマスターからスレーブに切り替わった場合でも、クライアントからの通信はこの仮想IPアドレスを通して行われるため、通信の途切れを防ぎます。
最後に注意点として、デバイス間のIPアドレスの重複はHA構成全体に悪影響を及ぼしますので、設定の際には他のネットワーク機器とのアドレス競合が起こらないよう、適切に設計することが重要です。
構成図の基本的な考え方
FortiGate HAを効果的に運用するためには、事前に構成図を作成し、ネットワーク全体の設計を明確にしておくことが大切です。構成図を作成することで、HAの動作や障害時の挙動を事前にイメージしやすくなり、設定ミスの防止にもつながります。
構成図には、マスターとスレーブのFortiGateがどのように接続されているか、各インターフェースの用途(内部ネットワーク、外部ネットワーク、HA用など)、およびIPアドレスの割り当てを明示します。また、HA通信のための専用インターフェースや、各デバイスへの管理用インターフェースも構成図に示しておくと、HA構成の理解が深まります。
構成図を作成する際のポイントとして、まずはネットワークの冗長性を最大限に活かせるように、ケーブル接続やネットワークスイッチの配置を検討する必要があります。HA専用の通信経路を確保し、通常の通信経路と分けて記載することで、フェイルオーバー時に発生する通信の流れを明確にしておくと良いでしょう。
次に、構成図にはHAのフェイルオーバーシナリオも含めておくと、障害発生時の対策をすぐに行うことができます。マスターがダウンした場合、スレーブにどのように切り替わるか、その際のネットワークの経路変更がどのように行われるかを視覚的に示すことで、迅速な対応が可能です。
構成図をもとに実際の設定を進めることで、見落としやミスを減らすことができるため、FortiGate HAを導入する際には、まずこの構成図をしっかりと作り込むことが成功への第一歩となります。
同期されない設定の確認方法
FortiGate HA構成において、同期されない設定を確認することは非常に重要です。これは、マスターとスレーブのFortiGate間で一部の設定が正常に同期されていないと、予期せぬ動作や障害が発生する可能性があるためです。ここでは、同期されない設定の確認方法と注意点について説明します。
まず、FortiGateのHA構成では、基本的な設定やポリシー、オブジェクトなどの情報はマスターからスレーブに自動的に同期されます。しかし、同期対象外の設定も存在します。例えば、個々のデバイスに固有の情報である「インターフェースのIPアドレス」や「管理者アカウントのパスワード」などは同期されません。これらの設定は手動で管理する必要があります。
同期されない設定を確認する方法として、FortiGateのGUIまたはCLIを使用することができます。GUIの場合は、管理画面にログインし、「HA」メニューから「同期ステータス」を確認できます。同期の状態が「正常」でない場合や、エラーが報告されている場合は、詳細を確認して必要な対応を行います。
CLIを使う場合は、「diagnose sys ha status」コマンドを実行します。これにより、HAのステータスや同期の状況が確認できます。特に、「Not Sync」や「Out-of-Sync」といった表示が出ている場合、その部分の設定がマスターとスレーブで不一致であることを示しています。どの項目が同期されていないかを特定し、手動で設定を合わせる必要があります。
また、同期されない設定を防ぐために事前に気をつけるポイントとして、以下の点を挙げられます。まず、HAの構成変更を行う際には、全てのFortiGateデバイスのファームウェアバージョンが一致しているかを確認することが重要です。バージョンが異なると同期エラーが発生する可能性があります。また、設定の変更を行った後は必ず「HA同期」を実行して、同期が確実に完了しているかを確認することが大切です。
さらに、同期されない設定の確認は定期的に行うことが推奨されます。定期的なチェックにより、予期しない設定の不一致や同期エラーを早期に発見し、ネットワークトラブルの防止につなげることができます。
Fortigate HA設定手順の詳細と管理
- ha-directの役割と設定
- 管理インターフェースの設定方法
- active-active構成の特徴と設定
- 切り替えコマンドの使い方
- トラブル発生時の対処法
ha-directの役割と設定
FortiGate HAの「ha-direct」機能は、クラスタ内の各デバイスに対して、個別に管理アクセスを行うための機能です。通常のHA構成では、クラスタ全体にアクセスするとマスターにのみ接続されます。しかし、ha-directを有効にすると、スレーブデバイスにも直接アクセスできるようになり、デバッグやトラブルシューティングを行う際に非常に便利です。
ha-directの役割は、主に以下の点にあります。まず、スレーブデバイスの状態を個別に監視できるため、問題が発生した際にそのデバイスの状況を詳しく確認することができます。また、ファームウェアのアップグレードや設定の検証時に、マスター以外のデバイスの状況を把握できるため、HA構成全体の管理が容易になります。
ha-directの設定方法は簡単です。CLIを使用する場合、「config system ha」コマンドでHA設定モードに入り、「set ha-direct enable」と設定します。このコマンドにより、各デバイスの個別管理アクセスが可能になります。設定後は「end」コマンドで設定を保存し、変更を適用してください。
また、ha-directを有効にすると、個別にアクセスするための専用の管理IPアドレスを設定することもできます。この際、「ha-mgmt-interface」を指定し、そのインターフェースに対応するIPアドレスを設定する必要があります。これにより、通常のネットワーク通信とは別に、管理専用の通信が可能になります。
ha-directの設定には注意点もあります。特に、ネットワークのセキュリティポリシーに基づいて管理インターフェースのアクセス制限を適切に行うことが大切です。アクセス可能なIPアドレスの範囲やプロトコルを制限することで、意図しないアクセスを防ぐことができます。
管理インターフェースの設定方法
FortiGateの管理インターフェースは、デバイスの設定やモニタリングを行うための重要なインターフェースです。HA構成においても、個々のデバイスを管理するためのインターフェースを適切に設定しておく必要があります。これにより、GUIやCLIを通じて設定の確認・変更を行うことが容易になります。
管理インターフェースの設定方法として、まずはFortiGateのGUIまたはCLIにアクセスします。GUIの場合、管理画面で「ネットワーク」メニューから「インターフェース」へ進み、管理用のインターフェースを選択します。ここで、IPアドレス、サブネットマスク、デフォルトゲートウェイ、アクセス許可するサービス(HTTPS、SSHなど)を設定します。これらの設定により、外部からの管理アクセスを安全かつ確実に行うことができます。
CLIを使用する場合は、「config system interface」コマンドで設定モードに入り、管理用インターフェースを選択します。その後、「set ip <IPアドレス> <サブネットマスク>」でIPアドレスを設定し、「set allowaccess https ssh」などで許可するプロトコルを指定します。最後に「end」コマンドで設定を保存します。
管理インターフェースの設定では、セキュリティを考慮してアクセス制限を行うことが重要です。例えば、特定のIPアドレスレンジからのみアクセスを許可する「trusted host」の設定を行うことで、管理者以外のアクセスを遮断することができます。また、HTTPSやSSHを使用して暗号化された通信で管理を行うことで、セキュリティを向上させることができます。
さらに、HA構成の場合、マスターとスレーブデバイスそれぞれに個別の管理IPアドレスを割り当てることが望ましいです。これにより、障害発生時やHA構成の切り替えが発生した際にも、管理アクセスを維持することが可能となり、迅速なトラブルシューティングが行えます。
active-active構成の特徴と設定
FortiGateのHA構成には、「Active-Passive」と「Active-Active」の2つのモードがあります。そのうち、Active-Active構成は、クラスタ内のすべてのFortiGateデバイスが同時にトラフィックを処理するモードで、負荷分散を実現することが可能です。このため、トラフィックのスループットが向上し、複数のデバイスに処理を分散できるのが特徴です。
Active-Active構成のメリットとしては、ネットワーク負荷のバランスを取りやすく、トラフィックが急増した場合でもスケールアウトによって対応できる点があります。各デバイスがトラフィックの一部を処理するため、一部のデバイスにトラフィックが集中することなく安定した通信が行えます。ただし、設定が複雑になりがちで、通常のActive-Passive構成よりも細かいチューニングが必要になる場合があります。
Active-Active構成の設定は、FortiGateのGUIまたはCLIで行います。まず、HAの設定を行う際に、モードとして「Active-Active」を選択します。GUIの場合、「システム」メニューから「HA」を選び、モードを「Active-Active」に設定します。続いて、トラフィックの負荷分散方法を指定します。「セッションのベース」や「トラフィックのタイプ別」など、環境に応じて最適な分散方式を選ぶことが重要です。
また、CLIで設定する場合は「config system ha」コマンドでHAの設定モードに入り、「set mode a-a」を指定します。次に、負荷分散の方式を「set load-balance」が含まれるコマンドで設定します。負荷分散の設定は、トラフィックの種類や規模によって最適な方法が異なるため、事前に十分な検討とテストが必要です。
注意点として、Active-Active構成は負荷分散のメリットがある一方で、スレーブデバイスが処理するセッション数やパフォーマンスの管理が難しい場合があります。そのため、各デバイスのリソース使用状況を監視し、必要に応じて設定を調整することが推奨されます。
切り替えコマンドの使い方
FortiGateのHA構成において、マスターからスレーブへ、またはその逆に切り替えを行う際に使用するのが「切り替えコマンド(フェイルオーバーコマンド)」です。HA構成では、通常は自動的にフェイルオーバーが行われますが、運用やトラブルシューティングの際に手動で切り替えることが必要な場合もあります。
切り替えコマンドの使い方として、まずはCLIを利用して手動でフェイルオーバーを行う方法を覚えておくと良いでしょう。HAのフェイルオーバーを実行するには、「execute ha manage <デバイスID>」コマンドを使用して、切り替え先のデバイスにログインします。次に、「diagnose sys ha reset-uptime」を実行することで、そのデバイスの稼働時間をリセットし、マスターの優先順位が変更され、HAの切り替えが実行されます。
また、デバイスの優先度を明示的に変更する場合は、「config system ha」モードで「set priority <値>」を設定します。優先度の値が高いデバイスがマスターとして動作するため、この値を調整することで、手動でのフェイルオーバーを管理することができます。
手動での切り替えを行う際の注意点として、切り替え中にセッションが一時的に中断される可能性があります。特にリアルタイム通信を行っている場合は、切り替え作業のタイミングに注意し、業務への影響を最小限に抑えることが大切です。
加えて、切り替えコマンドを利用したフェイルオーバーは、通常の運用中に頻繁に行うものではなく、主にトラブルシューティングや構成の変更が必要な場合に使用されます。そのため、コマンドの実行手順や影響範囲を事前に十分に理解しておくことが重要です。
トラブル発生時の対処法
FortiGate HA構成を使用している場合、トラブルが発生するとネットワーク全体に影響を及ぼす可能性があります。そのため、迅速かつ正確に対処するための手順や知識を持っておくことが重要です。ここでは、一般的なトラブルの対処法とその際に考慮すべき点について説明します。
まず、トラブルが発生した場合、最初に確認すべきはHAのステータスです。GUIから「システム」→「HAステータス」を確認し、マスターとスレーブの状態や同期状況を把握します。正常な状態であれば、マスターとスレーブが「Active」または「Standby」として表示され、同期状態も「正常」になっているはずです。もし、いずれかのデバイスが「Out-of-Sync」や「Fault」と表示されている場合は、何らかのエラーが発生している可能性があります。
次に、CLIでの確認も非常に有効です。「diagnose sys ha status」コマンドを実行することで、HAの詳細なステータスが表示され、どの部分にエラーがあるのか、同期の不具合があるかを把握することができます。特に「Not Sync」や「Failed」などのエラーメッセージが表示された場合は、具体的な問題箇所を探り、対処を行う必要があります。
トラブルの対処法としては、まずHA構成のケーブル接続を確認することが重要です。HA専用の通信経路が確立されていない場合、デバイス間での通信が行われず、同期エラーが発生する可能性があります。また、物理的な接続が問題ない場合、各デバイスのファームウェアバージョンを確認し、一致しているかどうかを確かめます。異なるバージョンが動作していると、設定の同期やHAの正常な動作に問題が生じることがあります。
さらに、トラブルが解消しない場合は、手動でフェイルオーバーを試すことが考えられます。「execute ha failover set」コマンドを使用して、マスターとスレーブの役割を手動で切り替えることで、障害箇所を特定しやすくなり、一時的にサービスの安定性を確保できることがあります。ただし、フェイルオーバー時には一時的に通信が途切れる可能性があるため、事前に業務への影響を十分に考慮する必要があります。
最後に、トラブル発生時の対応をスムーズに行うためには、日頃からHA構成のログやステータスを監視することが重要です。定期的なチェックとログの保存により、トラブルの発生傾向や問題箇所を事前に把握することができ、トラブル時に迅速な対応が可能となります。
Fortigate HA設定手順の解説のまとめ
記事のポイントをまとめます。
- FortiGate HAはネットワークの冗長性を向上させる仕組み
- Active-PassiveとActive-Activeの2つのHAモードがある
- GUIを使えば直感的にHAの設定ができる
- HA専用のインターフェースでデバイス間の通信を行う
- マスターとスレーブ間の同期は自動で行われる
- IPアドレスは専用のHA用と管理用で設定が必要
- 仮想IPアドレスでクラスタ全体の通信を統一する
- 構成図を作成し、HAの設計を明確にすることが重要
- ha-direct機能で各デバイスに個別アクセスが可能
- 管理インターフェース設定はセキュリティに注意する
- Active-Active構成でトラフィック負荷を分散できる
- 同期されない設定は手動で確認・管理が必要
- トラブル時はまずHAステータスを確認する
- CLIコマンドで手動でフェイルオーバーが可能
- 定期的な監視とログの保存で安定運用を保つ
