Contents

関連トピック

FireCluster フェイルオーバーについて

FireCluster フェイルオーバー プロセスは、アクティブ/アクティブ クラスタまたはアクティブ/パッシブ クラスタの両方の場合で同じです。両方のタイプのクラスタにおいて、各クラスタ メンバーは常に状況およびセッション情報を保持します。フェールオーバーが発生すると、失敗したデバイスからのパケット フィルタ接続、ブランチ オフィス VPN トンネル、ユーザー セッションはクラスタ内の他のデバイスへ自動的にフェールオーバーします。

一方の Firebox がクラスタ マスタになり、他方のデバイスがバックアップ マスタになります。バックアップ マスタは、接続とセッション情報をクラスタ マスタと同期させるためにプライマリ クラスタ インターフェイスを使用します。プライマリ クラスタ インターフェイスが失敗したまたは切断された場合、バックアップ マスタはバックアップ クラスタ インターフェイスを使用してクラスタ マスタと通信します。また、クラスタ マスタはプライマリ クラスタ インターフェイスと バックアップ クラスタ インターフェイスの両方を使用して、1 秒毎に 1 回ハートビート パケットをバックアップ マスタに送信します。常にプライマリ クラスタ インターフェイスおよびバックアップ クラスタ インターフェイスの両方を構成することをお勧めします。

フェールオーバーをトリガするイベント

クラスタのフェールオーバーをトリガできるイベントには、次の 3 つの種類があります。

クラスタ マスターの健全性指数がバックアップ マスターの健全性指数よりも低い

各クラスタ メンバーが、デバイスの総合的な健全性を示す計算済の健全性指数を持っています。クラスタ マスターの健全性指数がバックアップ マスターの健全性指数よりも低い場合、クラスタ マスターのフェールオーバーがトリガされます。

クラスタの健全性指標の詳細については、次を参照してください:クラスタの状態を監視する

クラスタ マスタから喪失ハートビート

このクラスタ マスターは、プライマリ クラスタ インターフェイスとバックアップ クラスタ インターフェイスでハートビート パケットを 1 秒に 1 回送信します。バックアップ マスターが 3 つの連続するハートビートを受信しなかった場合、クラスタ マスターのフェールオーバーがトリガされます。喪失ハートビートのデフォルトの最大値は、3 です。FireCluster の詳細設定のフェールオーバーでは、喪失ハートビートのしきい値を増加させることができます。

喪失ハートビートのしきい値の詳細については、次を参照してください:FireCluster の詳細設定を構成する

クラスタが フェールオーバー マスタコマンドを受信

Firebox システム管理で、ツール > クラスタ > マスタのフェールオーバー の順に選択すると、強制的にクラスタ マスタからバックアップ マスタにフェイルオーバーさせることができます。

このコマンドの詳細については、次を参照してください:クラスタ マスタのフェールオーバーを強制する

フェールオーバーが発生すると、どうなるか

クラスタ マスタのフェールオーバーが発生すると、バックアップ マスタがクラスタ マスタになります。次に、元のクラスタ マスタが、バックアップ マスタとしてクラスタを再結合します。フェールオーバーが発生すると、クラスタではパケット フィルタ接続、ブランチ オフィス VPN トンネル、ユーザー セッションが維持されます。この動作は、アクティブ/アクティブ FireCluster またはアクティブ/パッシブ FireCluster で同じです。

アクティブ/アクティブ クラスタでバックアップ マスタが失敗すると、クラスタ マスターは、すべてのパケット フィルタ接続、ブランチ オフィス VPN トンネル、ユーザー セッションを維持します。このリストの説明に従い、プロキシ接続と Mobile VPN 接続を遮断できます。アクティブ/パッシブ クラスタでバックアップ マスタが失敗すると、バックアップ マスタにトラフィックが割り当てられていないため、接続もセッションも遮断されません。

接続/セッションの種類 フェールオーバー イベントの影響
パケット フィルタ接続 他のクラスタ メンバーに接続がフェールオーバーします。
ブランチ オフィス VPN トンネル 他のクラスタ メンバーにトンネルがフェールオーバーします。
ユーザー セッション 他のクラスタ メンバーにセッションがフェールオーバーします。
プロキシ接続 失敗したデバイス (マスタまたはバックアップ マスタ) に割り当てられている接続を再起動する必要があります。他のデバイスに割り当てられている接続は遮断されません。
Mobile VPN with IPSec クラスタ マスタがフェールオーバーすると、すべてのセッションを再起動する必要があります。
バックアップ マスタがフェールオーバーすると、バックアップ マスタに割り当てられているセッションのみを再起動する必要があります。
クラスタ マスタに割り当てられているセッションは遮断されません。
Mobile VPN with SSL いずれかのデバイスがフェールオーバーすると、すべてのセッションを再起動する必要があります。
Mobile VPN with L2TP アクティブ/アクティブ クラスタの場合も含めて、すべての L2TP セッションがクラスタ マスタに割り当てられます。
クラスタ マスタがフェールオーバーすると、すべてのセッションを再起動する必要があります。
バックアップ マスタが失敗しても、L2TP セッションは遮断されません。

FireCluster のフェールオーバーとサーバー負荷分散

サーバー負荷分散を使用して内部サーバー間の接続を分散する場合、フェールオーバー イベントが発生した時に、リアルタイム同期は実行されません。フェールオーバーした後には、新しいクラスタ マスタが、どのサーバーが利用可能であるかを発見するためにサーバーの負荷分散のリストにあるすべてのサーバーに接続を送信します。その後、使用可能なすべてのサーバーにサーバー負荷分散アルゴリズムが適用されます。

サーバの負荷分散の詳細については、次を参照してください:サーバー負荷分散を構成する

FireCluster のフェールオーバーと動的ルーティング

FireCluster で動的ルーティングを有効にした場合、クラスタ マスタのみが動的ルーティングのドメインに直接参加します。クラスタ マスタは、動的ルーターの情報を他のクラスタ メンバーに同期化します。フェールオーバーが発生すると、新しいクラスタ マスタは以前に学習した動的ルートを使用します。新しいクラスタ マスタは続いて動的ルーティングのドメインに参加し、構成済み動的ルーティング プロトコルを使用してすべての宛先ネットワークへの最新のルートを検出します。新しいクラスタ マスタが更新済みの動的ルートを検出すると、古い動的ルートは消去され、新しいルートに置き換えられます。

新しいクラスタ マスタと接続されたすべてのルーターが共通のルータで合意するまでにかかる時間 (収束時間) は、動的ルーティング プロトコルによって異なります。

RIPv1 および RIPv2 の場合

ピア RIP ルーターは、フェールオーバー中に接続が中断されない場合でも、FireCluster のフェールオーバーを検出しません。

OSPFv2

ピア ルーターは FireCluster のフェールオーバー イベントを検出します。OSPF の収束時間は 10 秒から 40 秒です。新しいクラスタ マスタは更新済み動的ルートが検出されるまでに以前のクラスタ マスタから同期化した既知の動的ルートをのセットを使用するため、収束時間が短くなることがあります。

BGPv4

ピア ルーターは FireCluster のフェールオーバー イベントを検出します。BGP の収束時間は 1 分から 3 分です。新しいクラスタ マスタは更新済み動的ルートが検出されるまでに以前のクラスタ マスタから同期化した既知の動的ルートをのセットを使用するため、収束時間が短くなることがあります。

フェールオーバー中にクラスタを監視する

Firebox System Manager の フロント パネル タブで、メンバー名の後に各デバイスのロールが表示されます。クラスタ マスタのフェールオーバー中に フロント パネル タブを参照すると、クラスタ マスタのロールがあるデバイスから別のデバイスに移動することが確認できます。フェールオーバー中に、以下のことを確認できます。

  • 古いバックアップ マスタのロールは バックアップ マスタ から マスタ に変わります。
  • 古いクラスタ マスタのロールは 非アクティブ に変わり、デバイスの再起動時に アイドル に変わります。
  • デバイスが再起動した後、古いクラスタ マスタのロールはバックアップ マスタ に変わります。

詳細については、次を参照してください:FireCluster メンバーを監視および制御する

FireCluster フェールオーバーと登録サービス

FireCluster でライセンス付与された登録サービスを有効にした場合、そのサービスは、FireCluster メンバーに必要な登録サービスを購入してある限りはフェールオーバー後も引き続き稼働します。アクティブ/アクティブ FireCluster に対する要件は、アクティブ/パッシブ FireCluster に対するものとは異なります。

  • アクティブ/アクティブ — 両方のクラスタ メンバーの機能キーに同じ登録サービスを有効にしていることが必要です。各クラスタ メンバーは、独自の機能キーにサービスを適用します。
  • アクティブ/パッシブ — 1つのみのクラスタ メンバーの機能キーに登録サービスを有効にすることが必要です。アクティブなクラスタ メンバーがいずれかのクラスタ メンバーの機能キーで有効な登録サービスを使用します。

機能キーと FireCluster の詳細については、機能キーと FireCluster について を参照してください。

関連情報

FireCluster

FireCluster を構成する

フィードバックの送信     サポートのリクエスト     全製品ドキュメント     技術検索

© 2018 WatchGuard Technologies, Inc. All rights reserved.W WatchGuard、WatchGuard ロゴ、WatchGuard Dimension、Firebox、Core、Fireware および LiveSecurity は、米国および他の国における WatchGuard Technologies の登録商標または商標です.