WatchGuard Cloud の FireCluster について

適用対象： クラウド管理の Firebox 本トピックは、WatchGuard Cloud で構成する Firebox に適用されます。, ローカル管理の Firebox 本トピックは、Policy Manager または Fireware Web UI で構成する Firebox に適用されます。

FireCluster を構成することで、ネットワークのパフォーマンスとスケーラビリティを向上させることができます。FireCluster は、WatchGuard Firebox の高可用性 (HA) ソリューションです。

WatchGuard Cloud でアクティブ/パッシブ FireCluster を追加する方法のクイック スタートの手順については、次を参照してください：クイック スタート — クラウド管理の FireCluster を設定する。

• FireCluster には、2 つの Firebox がクラスタ メンバーとして構成されています。
• アクティブ クラスタ メンバーの機能が停止した場合でも、接続がパッシブ クラスタ メンバーに引き継がれます。

FireCluster を WatchGuard Cloud に追加する際に、FireCluster の管理方法を選択する必要があります。

• クラウド管理 — このオプションを選択すると、すべての FireCluster 構成管理、監視、レポートに WatchGuard Cloud を使用することになります。
• ローカル管理 — このオプションを選択すると、FireCluster の監視とレポートに WatchGuard Cloud を使用することができます。また、WatchGuard Cloud から、FireCluster をアップグレード、フェールオーバー、再起動することが可能となります。FireCluster 構成を管理するには、WatchGuard System Manager、Fireware Web UI、CLI のいずれかを使用する必要があります。

このトピックでは、以下の項目について説明します。

• 要件
• クラスタの種類
• フェールオーバー
• メンバー ロール
• サポートされている Firebox 機能
• FireCluster を追加する方法
• FireCluster を管理および監視する方法

要件

クラウド管理の FireCluster を追加する前に、要件を理解して、構成の準備を整えてください。FireCluster の要件については、次を参照してください：WatchGuard Cloud でクラウド管理の FireCluster を構成する前の考慮事項。

最も重要な要件は以下の通りです：

• 同じモデル番号を持つアクティブ化された Firebox が 2 つあることを確認してください。
• 各 Firebox の同じスロットに同じ数のネットワーク インターフェイスとインターフェイス モジュールの種類があることを確認してください。
• 各 Firebox に、同じバージョンの Fireware がインストールされていることを確認します。

クラスタの種類

WatchGuard Cloud で、以下を追加することができます。

• アクティブ/パッシブ モードのクラウド管理の FireCluster
• アクティブ/パッシブまたはアクティブ/アクティブ モードのローカル管理の FireCluster

アクティブ/パッシブ クラスタでは、1 つのクラスタ メンバーがアクティブで、別のクラスタ メンバーがパッシブです。アクティブ クラスタ メンバーにより、すべてのネットワーク トラフィックが処理されます。パッシブ クラスタ メンバーでは、アクティブ クラスタ メンバーのステータスが積極的に監視されます。いずれかのクラスタ メンバーのトラフィック インターフェイスのトラフィックすべてが、両方のクラスタ メンバーに配信されます。このようになるのは、クラスタ メンバーで同じ仮想 MAC アドレス (VMAC) が共有されているためです 。

アクティブ クラスタ メンバーの機能が停止すると、障害が発生したクラスタ メンバーに割り当てられていた接続がパッシブ クラスタ メンバーに引き継がれます。そして、パッシブ クラスタ メンバーがアクティブ クラスタ メンバーとなります。このプロセスは、フェールオーバー と呼ばれるものです。

クラウド管理の FireCluster ではすべて、アクティブ/パッシブ モードが使用されます。アクティブ/アクティブ モードが使用されるようにクラウド管理の FireCluster を構成することはできません。ローカル管理の FireCluster のアクティブ/アクティブ モードについては、次を参照してください：FireCluster について。

FireCluster とリンク集約について

このセクションで説明されている一部の機能は、WatchGuard Cloud ベータ プログラムの参加者のみが利用できます。このトピックで説明した機能がご利用の WatchGuard Cloud にない場合は、それはベータのみの機能となります。

また、リンク集約の構成を通じて FireCluster のパフォーマンスを向上させ、完全な冗長性を実現することもできます。この方法では、物理的なインターフェイスのグループを単一の論理インターフェイスとして機能させることができます。

詳細は リンク 集約について および以下を参照してください：WatchGuard Cloud で FireCluster のリンク集約を構成する。

すべての LAG インターフェイスに障害が発生すると FireCluster フェールオーバーがトリガーされます。一部の LAG インターフェイスにのみ障害が発生した場合は FireCluster フェールオーバーはトリガーされません。

トポロジ

この図には、単純なクラウド管理の FireCluster 構成の接続が示されています。

下図には、クラウド管理の FireCluster 構成と複数の内部ネットワークの接続が示されています。

フェール オーバー

クラスタ メンバーの機能が停止すると、クラスタでフェールオーバーが発生し、以下が維持されます。

• パケット フィルタ接続
• BOVPN トンネル
• ユーザー セッション

フェールオーバーが発生すると、以下の接続が切断される場合があります。

• プロキシ接続
• Mobile VPN 接続

Mobile VPN ユーザーは、フェールオーバー後、手動で VPN 接続を再起動する必要があります。

イベントによっては、FireCluster が自動的にフェールオーバーされます。クラウド管理の FireCluster の自動フェールオーバーについては、次を参照してください：FireCluster フェールオーバーについて。

WatchGuard Cloud では、FireCluster を手動で強制的にフェールオーバーさせることができます。手動のフェールオーバーの詳細については、次を参照してください：WatchGuard Cloud で FireCluster をフェールオーバーさせる。

メンバー ロール

各 Firebox のクラスタでのロールを理解しておくことは重要です。

クラスタ マスタ

このクラスタ メンバーは、クラスタ メンバーにネットワーク トラフィックを割り当てて、WatchGuard Cloud、SNMP、DHCP、ARP、ルーティング プロトコルおよび IKE などの外部システムからのすべての要求に応答します。クラスタ構成を構成または変更する場合、クラスタ構成をクラスタ マスタに保存します。クラス マスタとして任意のデバイスを設定できます。クラスタ内の電源をオンにする最初のデバイスはクラスタ マスタになります。

バックアップ マスタ

このクラスタのメンバーは、すべての必要な情報をクラスタ マスタに同期させます。これにより、クラスタ マスタが失敗した場合、このメンバーはクラスタ マスタになることができます。アクティブ/パッシブ クラスタでは、バックアップ クラスタ マスタがパッシブとなります。

アクティブ メンバー

トラフィックのフローをアクティブに処理するクラスタ メンバーのいずれかとすることができます。アクティブ/パッシブ クラスタでは、クラスタ マスタのみがアクティブなデバイスとなります。

パッシブ メンバー

アクティブ デバイスがフェールオーバーしない限り、ネットワーク トラフィックを処理しないアクティブ/アクティブ クラスタ内の Firebox。アクティブ/パッシブ クラスタでは、パッシブ メンバーがバックアップ クラスタ マスタとなります。

サポートされている Firebox 機能

FireCluster が有効化されていれば、 Firebox では引き続き以下がサポートされます。

• 内部、外部、およびゲスト インターフェイスのセカンダリ ネットワーク
• VLAN
• リンク集約 — リンク集約メンバー インターフェイスに障害が発生すると FireCluster フェールオーバーがトリガーされます。一部のリンク集約メンバー インターフェイスにのみ障害が発生した場合は FireCluster フェールオーバーはトリガーされません。
• 複数 WAN 接続 — FireCluster では、Link Monitor の障害のために複数 WAN フェールオーバーが発生した場合は、フェールオーバーはトリガーされません。FireCluster では、物理インターフェイスがダウンした際、または応答しなくなった際に、フェールオーバーがトリガーされます。

クラウド管理の FireCluster でサポートされていない機能については、次を参照してください：クラウド管理の FireCluster でサポートされていない機能。

FireCluster を追加する

クラウド管理またはローカル管理の FireCluster を WatchGuard Cloud に追加することができます。可視性のために、ローカル管理の FireCluster を WatchGuard Cloud に追加した後で、管理の種類をクラウド管理に変更することができます。

詳細については、次を参照してください：

• クラウド管理の FireCluster を追加する
• ローカル管理の FireCluster を WatchGuard Cloud に追加する
• FireCluster の管理の種類を変更する

FireCluster を管理および監視する

クラウド管理の FireCluster とローカル管理の FireCluster の両方で、WatchGuard Cloud を使用して以下を実行することができます。

• WatchGuard Cloud で FireCluster をアップグレードする
• クラスタ メンバーを WatchGuard Cloud で再起動する
• WatchGuard Cloud で FireCluster をフェールオーバーさせる
• FireCluster を監視する
• FireCluster をトラブルシューティングする
• WatchGuard Cloud で FireCluster のログ記録を管理する
• FireCluster の管理の種類を変更する
• WatchGuard Cloud から FireCluster を削除する

クラウド管理のクラスタの場合は、以下を行うこともできます。

• FireCluster 設定を編集する
• クラウド管理の FireCluster メンバーの RMA 代替を構成する