適用対象: クラウド管理の Firebox
WatchGuard Cloud でクラウド管理の FireCluster を構成する前に、以下のことを確認してください。
機能のサポートを確認する
FireCluster では、すべての Firebox 機能がサポートされているわけではありません。詳細については、次を参照してください:クラウド管理の FireCluster でサポートされていない機能。
要件を確認する
クラウド管理の FireCluster を WatchGuard Cloud に追加するには、以下のオプションのいずれかを使用することができます。
- 工場出荷時の既定設定の Firebox 2 台をクラウド管理の FireCluster として追加する。
- ローカル管理のアクティブ/パッシブ FireCluster をクラウド管理に変更する。
クラウド管理の FireCluster は、アクティブ/パッシブ モードで動作します。アクティブ/アクティブのクラウド管理の FireCluster を追加することはできません。
WatchGuard Cloud アカウントの要件
以下を必ず実行してください。
- WatchGuard アカウントで両方の Firebox をアクティブ化します。詳細については、次を参照してください:WatchGuard Firebox をアクティブ化する。
- Firebox の 1 つを Subscriber アカウントに割り当てます (Service Provider のみ)。2 番目の Firebox を追加する場合は、シリアル番号を指定することができます。詳細については、次を参照してください:Firebox を割り当てる。
ファームウェアの要件
クラウド管理の FireCluster には、以下のファームウェア要件があります。
- FireCluster の両方の Firebox で同じ Fireware ファームウェア バージョンが実行されている必要があります。ファームウェアのバージョンについては、次を参照してください:WatchGuard Cloud でデバイス設定を構成する。
- 両方の Firebox が Fireware v12.8.2 以降を実行している必要があります。
ライセンスおよびサブスクリプションの要件
クラウド管理の FireCluster には、以下のライセンス要件があります。
- 1 つのクラスタ メンバーのみの機能キーで登録サービスを有効化する必要があります。アクティブなクラスタ メンバーがいずれかのクラスタ メンバーの機能キーで有効な登録サービスを使用します。
- クラスタ メンバーのいずれかに Total Security Suite または Basic Security Suite のライセンスが必要です。もう一方のクラスタ メンバーには最低でも Standard Support ライセンスが必要です。
- サービス プロバイダとパートナーの場合は、FireCluster で Not for Resale (NFR) Firebox を、もう 1 つの NFR または NFR 以外の Firebox を使用できます。NFR デバイスでの高可用性 SKU のアクティベーションには、アカウント内に高可用性 SKU とまだペアリングされていない同じモデルの別の NFR 以外のデバイスが必要となることに注意してください。
クラウド管理の FireCluster には、以下のライセンス サブスクリプションに関する要件があります。
- デバイスがクラスタ メンバーとして構成されている場合でも、サポート サブスクリプションは単一のデバイスに適用されます。クラスタにある各デバイスには有効なサポート サブスクリプションが必要です。クラスタ メンバーのサポート サブスクリプションの有効期限が切れている場合は、そのデバイスのファームウェアをアップグレードすることができません。
- 各メンバーのサポート レベルと登録の有効期限を確認するには、WatchGuard ウェブサイトのお客様アカウントの 製品を管理する ページにアクセスしてください。
クラウド管理の FireCluster には、以下の RMA サブスクリプションに関する要件があります。
-
両方の FireCluster メンバーを Premium 4-Hour RMA サブスクリプションにアップグレードするには、クラスタ メンバーごとにこのサブスクリプションを購入する必要があります。Premium 4-Hour RMA 登録の詳細については、WatchGuard Web サイトの RMA サービス FAQ を参照してください。
ライセンスのアクティブ化、更新、有効期限の詳細については、次を参照してください:Firebox WatchGuard Cloud ライセンスについて。
ハードウェアおよびケーブルの要件
以下の条件を確認してください。
- 同じモデル番号を持つ 2 つの有効な Firebox。
- FireCluster へのローカル管理アクセス。
- 各 Firebox で、同じスロットに同じ数と種類のネットワーク インターフェイスとインターフェイス モジュールが設置されている必要があります。
- 少なくとも 1 つの未使用の Firebox インターフェイスを専用クラスタ インターフェイスとして使用する必要があります。バックアップ クラスタ インターフェイスを構成するには、追加の未使用 Firebox インターフェイスがある必要があります。
- クラスタ インターフェイスごとのイーサネット ケーブル。ストレート ケーブルまたはクロスオーバー ケーブルを使用して、一方のクラスタ メンバーのクラスタ インターフェイスを他方のクラスタ メンバーのクラスタ インターフェイスに接続することができます。
- 内部インターフェイス、ゲスト インターフェイス、または外部インターフェイスごとに 1 つのネットワーク スイッチが有効化されていること。
- 両方のデバイスのインターフェイスをネットワーク スイッチに接続するためのイーサネット ケーブル。
- 一部の Firebox モデルは、ユーザーが設置できるインターフェイス モジュールをサポートしています。これらのモデルに設置されるインターフェイス モジュールの数には相違がある可能性があるため、これらのモデルには追加の FireCluster 構成要件があります。
- FireCluster の両方のメンバーが同じ Firebox モデルで、同じスロットに同じ数と種類のインターフェイス モジュールが設置されている必要があります。両方の Firebox のハードウェア構成が正確に一致していないと、クラスタは形成されません。
- 内蔵インターフェイスをプライマリ クラスタ インターフェイスとして選択する必要があります。この構成では、2 つのメンバーの内蔵インターフェイスを直接接続します。クラスタが最初に形成される際に、そのインターフェイスを通じてメンバーの検出が行われます。
- M5600 では、内蔵されている唯一のインターフェイスは 32 です
- M470、M570、M590、M670、M690、M4600、T80、および T85 では、8 つの内蔵インターフェイスはインターフェイス 0 〜 7 となります。
FireCluster は、以下を除くすべての Firebox デバイス上で完全にサポートされています。
- Firebox T15 および NV5 デバイスは、FireCluster をサポートしていません。
- VMware ESXi 環境で、FireboxV デバイスはアクティブ/パッシブ FireCluster のみサポートします。
- FireCluster は Hyper-V 環境ではサポートされていません。
- Firebox Cloud では、FireCluster はサポートされていません。
FireCluster として 2 つのワイヤレス Firebox を構成する際に、その構成は次の要件を満たす必要があります:
- Firebox T15-W ワイヤレス モデルは FireCluster をサポートしていません。
- ワイヤレス インターフェイスをプライマリ クラスタ インターフェイスまたはバックアップ クラスタ インターフェイスとして使用することはできません。
- クラスタ インターフェイスの IP アドレスが、ワイヤレス ネットワークにブリッジされているインターフェイスにある場合は、ワイヤレス接続を使用してデバイスを管理することはできません。
ネットワーク要件
両方の Firebox がネットワークに接続されており、信頼性の高いインターネット アクセスが可能になっている必要があります。
- クラスタ メンバー間のネットワーク レイテンシーは 100 ミリ秒未満である必要があります。
- FireCluster では、ブリッジ モードはサポートされていません。
仮想マシン (VM) の要件
VMware 環境の FireCluster は、すべての要件が満たされていないと想定通りに機能しません。詳細については、次を参照してください:VMware ESXi 上で FireCluster を構成する。
- FireCluster は Hyper-V ではサポートされていません。
- クラスタによって保護されているすべてのクライアントは、両方のクラスタ メンバーと通信できる必要があります。VMware は、クラスタ メンバーと同じ ESXi ホスト上のクライアントからのトラフィックを、異なる ESXi ホスト上の別のクラスタ メンバーに送信することはありません。詳細については、次を参照してください:VMware ESXi 上で FireCluster を構成する。
外部インターフェイスの構成を確認する
各外部インターフェイスに静的 IP アドレスが割り当てられている、あるいは PPPoE または DHCP が使用できるように構成されている必要があります。外部インターフェイスを構成する方法の詳細については、次を参照してください:Firebox 外部ネットワークを構成する。
ネットワーク ルーターとスイッチの構成を確認する
アクティブな各トラフィック インターフェイスの場合、1 つのネットワーク スイッチまたは VLAN を持つ必要があります。
プライマリおよびバックアップ クラスタ インターフェイスは、異なる未使用のサブネットに配置されている必要があります。ローカルまたは VPN サブネットと重複しないサブネットを使用するように確認してください。IP アドレスとルーティング可能な IP アドレスの競合を避けるために、リンクローカル アドレスとも呼ばれる自動プライベート IP アドレス指定 (APIPA) サブネット (サブネット (169.254.0.1/16 〜 169.254.255.254/16) を使用することが勧められます。
クラスタ インターフェイスの各メンバー間でスイッチを使用することは勧められません。クラスタ インターフェイスの各メンバー間でスイッチを使用する場合は、そのクラスタ インターフェイスは異なる VLAN でお互いに論理的に分離されている必要があります。
クラスタ インターフェイスの構成を計画する
FireCluster を構成する前に、FireCluster に使用する IP アドレスと Firebox インターフェイスについて計画を立てることが勧められます。FireCluster を構成する際には、以下の FireCluster インターフェイスの IP アドレスとインターフェイス番号を指定する必要があります。
クラスタ インターフェイス
クラスタ メンバー間の通信のための専用インターフェイス。クラスタ メンバーでは、このインターフェイスを使用してハートビート パケットが交換され、接続およびセッション情報が同期されます。このインターフェイスは、通常のネットワーク トラフィックには使用されません。クラスタ ハードウェアを設定する際に、各 Firebox のクラスタ インターフェイスを相互に接続することが勧められます。クラスタ インターフェイス間にスイッチを使用することは勧められません。
バックアップ クラスタ インターフェイス (任意)
クラスタ メンバー間の通信のための冗長専用インターフェイス。クラスタ インターフェイス間でスイッチを使用する場合にのみ、バックアップ クラスタ インターフェイスを使用することが勧められます。
通信インターフェイス
両方のクラスタ メンバーから Dimension または Syslog サーバーにログ メッセージを送信し、バックアップ クラスタ マスターを管理するために使用されるインターフェイス。ローカル管理の FireCluster の場合は、このインターフェイスは、Fireware Web UI と WatchGuard System Manager における管理 IP アドレスのインターフェイスと呼ばれます。
このリストには、クラウド管理の FireCluster のサンプル IP アドレスが一覧されます。
| クラウド管理の FireCluster の IP アドレス | |||
|---|---|---|---|
| Firebox インターフェイス | Member1 IP アドレス | Member2 IP アドレス | |
| クラスタ インターフェイス | 0 | 169.254.0.1/30 | 169.254.0.2/30 |
| バックアップ クラスタ インターフェイス | 1 | 169.254.1.1/30 | 169.254.1.2/30 |
| 通信インターフェイス | 2 | 10.10.2.3/24 | 10.10.2.4/24 |
クラスタ インターフェイスのベストプラクティス
以下のクラスタ インターフェイス IP アドレスのベスト プラクティスに従ってください。
- ネットワークで使用されていない IP アドレスを使用します。ルーティング可能な IP アドレスとの競合を回避するため、APIPA アドレスまたは専用のプライベート サブネットの IP アドレスを使用することが勧められます。
- 両方のクラスタ メンバーのインターフェイス IP アドレスが、同じサブネットに配置されている必要があります。
- VLAN 専用に使用されるインターフェイスをクラスタ専用のインターフェイスとして選択しないでください。
- クラスタ IP を、Firebox のインターフェイスの既定 IP アドレスに設定しないでください。既定では、Firebox で、インターフェイス IP アドレスに 10.0.x.0/24 サブネットが使用されます。そのため、クラスタ IP アドレスには 10.0.x.0/24 アドレスを使用しないことが勧められます。工場出荷時の既定のインターフェイス IP アドレスのいずれかが使用されるようにクラスタ インターフェイスを構成すると、クラスタ形成時に競合が発生し、フェールオーバーが失敗する可能性があります。
- VPN を含め、ネットワークでクラスタ IP アドレスを他の目的で使用しないでください。
以下のクラスタ インターフェイスのベストプラクティスに従ってください。
-
Firebox のネットワーク インターフェイス カード (NIC) 障害に対して最適な耐障害性を実現するには、プライマリ クラスタ インターフェイスに eth0 を割り当てることが勧められます。Firebox NIC に障害が発生した場合は、Firebox で論理インターフェイス番号が自動的に再割り当てられます。Firebox により、インターフェイスが検出された順序で eth ラベルが割り当てられます。その結果、論理インターフェイス番号が左に移動して表示されます。ラベルの再割り当てにより、FireCluster の動作とバックアップ クラスタ インターフェイスの構成に影響が出る可能性があります。
たとえば、プライマリ クラスタ インターフェイスで eth0 を使用していれば、eth0 以外の NIC に障害が発生した場合も、インターフェイス ラベルは eth0 のままとなるため、FireCluster は期待通りに動作を続けます。物理的に eth0 の左側にはインターフェイスが存在しないため、Firebox で eth0 の論理インターフェイス ラベルが再割り当てされることはありません。この構成により、eth0 以外のインターフェイスの NIC に障害が発生した場合に FireCluster が保護されます。FireCluster の動作に影響が出るのは、eth0 に障害が発生した場合のみです。
プライマリ クラスタ インターフェイスとして eth4 を使用している場合に、eth3 に障害が発生すると、Firebox で論理ラベル eth3 が再割り当てされます。インターフェイス eth4 が eth3 となります。これにより、FireCluster の動作が中断されます。これは、Firebox の FireCluster 構成設定では eth4 がプライマリ クラスタ インターフェイスとして割り当てられているためです。
- クラスタ インターフェイスの各メンバー間でスイッチを使用することは勧められません。クラスタ インターフェイスの各メンバー間でスイッチを使用する場合は、そのクラスタ インターフェイスは異なる VLAN でお互いに論理的に分離されている必要があります。
- Firebox 内蔵インターフェイスをプライマリ クラスタ インターフェイスとして選択する必要があります。詳細については、次を参照してください:モジュラー インターフェイスでの FireCluster について。
- M5600 では、内蔵されている唯一のインターフェイスは 32 です
- M470、M570、M590、M670、M690、M4600、T80、および T85 では、8 つの内蔵インターフェイスはインターフェイス 0 〜 7 となります。
バックアップ クラスタ インターフェイスのベストプラクティス
クラスタ インターフェイス間の接続の種類によって、バックアップ クラスタ インターフェイスが推奨されるかどうかが決まります。
クラスタ メンバー間が直接ケーブルで接続されている FireCluster
冗長性が制限されるため、この種類の構成にはバックアップ クラスタ インターフェイスは勧められません。
プライマリ クラスタ インターフェイス間のケーブルに障害が発生した場合にのみ、FireCluster でバックアップ クラスタ インターフェイスが使用されます。Firebox のいずれかの NIC に障害が発生した場合は、バックアップ クラスタ インターフェイスからは冗長性が得られません。これは、このページの前のセクションに説明されているように、Firebox で論理インターフェイス ラベルが自動的に再割り当てられるためです。
クラスタ メンバー間にスイッチが配置されている FireCluster
これは勧められる構成ではありませんが、この構成では、FireCluster メンバーがスイッチによって物理的に分離されています。クラスタ インターフェイス間にスイッチを配置する場合は、バックアップ クラスタ インターフェイスを構成することが勧められます。FireCluster では、以下のイベント発生時にバックアップ クラスタ インターフェイスが使用されます。
- スイッチとクラスタ インターフェイス間のケーブルに障害が発生した場合
- スイッチ インターフェイスに障害が発生した場合
- ネットワークの問題により、スイッチが使用できなくなった場合
Firebox のいずれかの NIC に障害が発生した場合は、バックアップ クラスタ インターフェイスからは冗長性が得られません。これは、Firebox で論理インターフェイス ラベルが自動的に再割り当てされるためです。たとえば、プライマリ クラスタ インターフェイスに eth3 が指定され、バックアップ クラスタ インターフェイスに eth4 が指定されているとします。eth3 に障害が発生すると、Firebox で論理ラベル eth3 が再割り当てされます。そうすると、eth4 というラベルのインターフェイスに、eth3 というラベルが付けられます。FireCluster 構成設定では eth3 がプライマリ クラスタ インターフェイスとして指定され、eth4 がバックアップ クラスタ インターフェイスとして指定されているため、インターフェイス ラベルの再割り当てにより、FireCluster の動作が中断されます。
最良の結果を得るために、プライマリ クラスタ インターフェイスには eth0 を使用してください。
ネットワークで使用されていない IP アドレスを使用します。ルーティング可能な IP アドレスとの競合を回避するため、APIPA アドレスまたは専用のプライベート サブネットの IP アドレスを使用することが勧められます。バックアップ クラスタ インターフェイスの IP アドレスは、同じサブネットに割り当てられている必要があります。バックアップ クラスタ インターフェイスの IP アドレスは、プライマリ クラスタ インターフェイスの IP アドレスとは異なるサブネットに割り当てられている必要があります。
以下のクラスタ インターフェイスと IP アドレスのベスト プラクティスに従ってください。
- プライマリおよびバックアップ クラスタ インターフェイスは異なるサブネットになければなりません。
- Firebox のインターフェイスの既定の IP アドレスのいずれにも、バックアップ クラスタ IP アドレスを設定しないでください。既定では、Firebox で、インターフェイス IP アドレスに 10.0.x.0/24 サブネットが使用されます。そのため、バックアップ クラスタ IP アドレスには 10.0.x.0/24 アドレスを使用しないことが勧められます。工場出荷時の既定のインターフェイス IP アドレスのいずれかが使用されるようにバックアップのクラスタ インターフェイスを構成すると、クラスタ形成時に競合が発生し、フェールオーバーが失敗する可能性があります。VPN を含め、ネットワークでバックアップ クラスタ IP アドレスを他の目的で使用しないでください。
通信インターフェイスのベストプラクティス
Dimension または Syslog サーバーと同じサブネットに割り当てられている IP アドレスを使用します。通信インターフェイス IP アドレスも、内部ネットワークと同じサブネットに割り当てられている必要があります。
WatchGuard Cloud では、WatchGuard Cloud の通常のデータ保持期間よりも長くログ メッセージを保持するため、Dimension または syslog サーバーにログ メッセージを送信するように、クラウド管理の FireCluster を構成することができます。
IP アドレスと RADIUS 認証
FireCluster の構成後、ネットワーク上のユーザーからの RADIUS 認証要求は、FireCluster 管理 IP アドレスまたは Firebox インターフェイス IP アドレスのいずれかからも送信される可能性があります。これは、ルーティング テーブルがどの IP アドレスを使用するかを判断する際に、異なる要素を使用するために発生します。
次のステップ
すべての要件を確認したら、次を行うことができます:クラウド管理の FireCluster を追加する。