アクティブ/アクティブクラスタリングの設定

トピック:

•

アクティブ/アクティブクラスタリング高可用性機能の設定

•

アクティブ/アクティブクラスタリング高可用性監視の設定

•

アクティブ/アクティブ DPI クラスタリング高可用性機能の設定

•

アクティブ/アクティブクラスタリングでの VPN と NAT の設定

アクティブ/アクティブクラスタリング高可用性機能の設定

アクティブ/アクティブクラスタリング高可用性では、フェイルオーバーと負荷分散のために最大 4 つの HA クラスタノードを設定できます。各ノードには、1 台の装置または HA ペアのいずれかを含めることができます。

アクティブ/アクティブクラスタリング高可用性機能を設定するには、以下の手順に従います。

マスタークラスタノードのプライマリ装置にログインし、「高可用性 > 設定」ページに移動します。「一般」タブが表示されます。

「モード」ドロップダウンメニューで「アクティブ/アクティブクラスタリング」を選択します。

「ステートフル同期を有効にする」オプションを選択します。

新しいファームウェアを装置にアップロードしたときにセカンダリのファームウェアと設定を自動的に作成するには、「ファームウェアの更新時にバックアップ設定を生成/上書きする」オプションを選択します。マスターノードによって新しいファームウェアがクラスタ内の他の装置に同期される際に、これらの装置がセカンダリ装置になります。

アクティブ/アクティブクラスタの情報を設定するには、「高可用性装置」タブを選択します。

各クラスタノード内の装置のシリアル番号をテーブルに入力します。

各仮想グループでクラスタノード 1 が保持する階級を、シリアル番号の右側にある「仮想グループ X 階級」フィールドに入力します。既定では、クラスタノード 1 がグループ 1 のオーナーとなり、また通常はグループ 2 のスタンバイとして位置づけられます。クラスタから装置を除外するには、「仮想グループ X 階級」で「なし」を選択します。

2 行目には、各仮想グループでクラスタノード 2 が保持する階級を、シリアル番号の右側にある「仮想グループ X 階級」フィールドに入力します。

「HA インターフェース」タブを選択します。「アクティブ/アクティブクラスタリンク」に使用するインターフェースを選択します。このインターフェースは、アクティブ/アクティブ処理中に 2 台の装置間でデータを転送するために使用されます。未定義かつ利用可能なインターフェースのみがリストに表示されます。

すべての高可用性設定が終了したら、「適用」を選択します。すべての設定がスタンバイ装置に同期され、スタンバイ装置が再起動します。

「高可用性 > 監視」ページに移動して、アクティブ/アクティブクラスタリング高可用性監視の設定の手順に従います。

「高可用性 > 詳細設定」ページに移動して、高可用性 > 詳細設定の手順に従います。

「ネットワーク > インターフェース」ページに移動して、必要なアクティブ/アクティブインターフェースが設定できたことを確認します。

「高可用性 > 状況」ページに移動して、アクティブ/アクティブクラスタリングの設定を確認します。

アクティブ/アクティブクラスタリング高可用性監視の設定

「高可用性 > 監視」ページでの設定タスクは、プライマリ装置で実行された後、セカンダリ装置に対して自動的に同期されます。これらの設定は、ページの上部で選択されているクラスタノード内の HA ペアのみに影響します。

固有の LAN 管理 IP アドレスを設定し、物理/論理インターフェース監視を設定するには、以下の手順に従います。

マスターノードの SonicOS 管理インターフェースに管理者としてログインします。

左側のナビゲーションペインで、「高可用性 > 監視」ページに移動します。

ページの右上にあるドロップダウンリストで、設定するノードを選択します。

X0 など、LAN 上のインターフェースの「設定」アイコンを選択します。

プライマリ装置およびセカンダリ装置で指定の HA インターフェース間のリンク検出を有効にするには、「物理リンク監視を有効にする」チェックボックスの選択を保持します。

「プライマリ IP アドレス」フィールドにプライマリ装置の一意の LAN 管理 IP アドレスを入力します。

「セカンダリ IP アドレス」フィールドにセカンダリ装置の一意の LAN 管理 IP アドレスを入力します。

「プライマリ/セカンダリ IP アドレスでの管理を許可する」チェックボックスをオンにします。あるインターフェースに対してこのオプションを有効にすると、「高可用性 > 監視」ページの監視設定テーブルにある、そのインターフェースの「管理」列に、緑色のアイコンが表示されます。このオプションが有効な場合、1 つのインターフェースに対してのみ管理が許可されます。

「論理/精査 IP アドレス」フィールドに、接続を監視する LAN ネットワーク上のダウンストリーム機器の IP アドレスを入力します。通常、これはダウンストリームのルータまたはサーバになります(WAN 側でのプローブ処理が望ましい場合は、アップストリームの機器を使用してください)。プライマリおよびセカンダリ装置から、この監視対象 IP アドレスに対して定期的に Ping が実行されます。両方が送信先への Ping に成功した場合は、フェイルオーバーは発生しません。両方が送信先への Ping に失敗した場合は、ファイアウォールではなく送信先に問題があると見なされ、フェイルオーバーは発生しません。しかし、一方の装置が送信先への Ping に成功し、もう一方の装置が失敗した場合は、送信先への Ping に成功した装置へのフェイルオーバーが実行されます。

論理監視が正しく機能できるように、「プライマリ IP アドレス」および「セカンダリ IP アドレス」のフィールドに、X0 などの LAN インターフェース (WAN でのプローブ処理の場合は X1 などの WAN インターフェース) 上の個別の IP アドレスを設定する必要があります。

「OK」を選択します。

他のインターフェースにも監視を設定するには、この手順を繰り返します。

選択されているクラスタノードに対するすべての高可用性監視設定が終了したら、「適用」を選択します。さらに、別のクラスタノードを選択し、設定の手順を繰り返してから、「適用」を選択します。

設定の確認方法の詳細については、アクティブ/アクティブクラスタリング設定の確認を参照してください。

アクティブ/アクティブ DPI クラスタリング高可用性機能の設定

アクティブ/アクティブ DPI クラスタリング高可用性では、フェイルオーバーと負荷分散のために最大 4 つの HA クラスタノードを設定できます。負荷分散では、各ノードによってネットワークトラフィックに対する精密パケット検査 (DPI) セキュリティサービスのアプリケーションの負荷が分散されます。

クラスタリンクと制御リンクについては、クラスタノード 1 の各装置は、ピアノード (クラスタノード 2) の各装置に接続します。ベストプラクティスとしては、各ノードの各装置の同じインターフェースのセットを使用してください(例えば、ある装置の X8 をピア装置の X8 に接続し、X9、X10 についても使用する場合は同様にします。ただし、使用するポートに制限はありません)。

図 59. アクティブ/アクティブ DPI クラスタリング高可用性機能

アクティブ/アクティブ DPI クラスタリング高可用性機能を設定するには、以下の手順に従います。

マスタークラスタノードのプライマリ装置にログインし、「高可用性 > 設定」ページに移動します。「一般」タブが表示されます。

「装置の物理的な接続」の説明どおりにアクティブ/アクティブ DPI インターフェースに物理的に接続している場合は、SonicOS 管理インターフェースでアクティブ/アクティブ DPI を設定する準備ができています。

「モード」ドロップダウンメニューで「アクティブ/アクティブ DPI クラスタリング」を選択します。

アクティブ/アクティブ DPI クラスタリングでは「ステートフル同期を有効にする」オプションが自動的に有効になります。

新しいファームウェアを装置にアップロードしたときにセカンダリのファームウェアと設定を自動的に作成するには、「ファームウェアの更新時にバックアップ設定を生成/上書きする」チェックボックスをオンにします。マスターノードによって新しいファームウェアがクラスタ内の他の装置に同期される際に、これらの装置にセカンダリが作成されます。

アクティブ/アクティブクラスタの情報を設定するには、「高可用性装置」タブを選択します。

設定されているセカンダリ装置がこの装置のクラスタノードの一部である場合は、タブの上部にある HA セカンダリのオプションで「内部」を選択します。設定されているセカンダリ装置が別のクラスタノードの一部である場合は、「外部」を選択します。

各クラスタノード内の装置のシリアル番号をテーブルに入力します。

2 行目には、各仮想グループでクラスタノード 2 が保持する階級を、シリアル番号の右側にある「仮想グループ X 階級」フィールドに入力します。

「HA インターフェース」タブを選択します。「HA 制御インターフェース」でインターフェースを選択します。インターフェースが既に設定済みであることが装置によって検出されている場合、このオプションはグレーアウトされています。

「アクティブ/アクティブ DPI インターフェース」でインターフェースを選択します。インターフェースが既に設定済みであることが装置によって検出されている場合、このオプションはグレーアウトされています。

「アクティブ/アクティブ DPI インターフェース」を選択します。このインターフェースを使用して、アクティブ/アクティブ DPI 処理中に 2 台の装置間でデータを転送します。未定義かつ利用可能なインターフェースのみがリストに表示されます。

「アクティブ/アクティブクラスタリンク」インターフェースを選択します。

すべての高可用性設定が終了したら、「適用」を選択します。すべての設定がスタンバイ装置に同期され、スタンバイ装置が再起動します。

「高可用性 > 監視」ページに移動して、アクティブ/アクティブクラスタリング高可用性監視の設定の手順に従います。

「高可用性 > 詳細設定」ページに移動して、高可用性 > 詳細設定の手順に従います。

「ネットワーク > インターフェース」ページに移動して、必要なアクティブ/アクティブインターフェースが設定できたことを確認します。

「高可用性 > 状況」ページに移動して、アクティブ/アクティブクラスタリングの設定を確認します。

アクティブ/アクティブクラスタリングでの VPN と NAT の設定

アクティブ/アクティブクラスタリング環境で以下の機能を設定する際には、追加の考慮事項を検討する必要があります。

•

アクティブ/アクティブクラスタリングでの VPN の設定

•

アクティブ/アクティブクラスタリングでの NAT ポリシーの設定

アクティブ/アクティブクラスタリングでの VPN の設定

VPN ポリシー設定では、アクティブ/アクティブクラスタリングモードでの実行時に仮想グループとの関連付けを必要とします。VPN ポリシーウィンドウでは、「ネットワーク」と「詳細設定」の両方のタブに、この関連付けを作成するために新しい設定オプションがあります。

「ネットワーク」タブでは、仮想グループアドレスオブジェクトが「ローカルネットワークをリストより選択」オプションに用意されています。これらの仮想グループアドレスオブジェクトは、仮想 IP アドレスの追加時に SonicOS によって作成され、仮想 IP の削除時に削除されます。

リモートネットワークの VPN ポリシーを作成する場合も、仮想グループアドレスオブジェクトを使用できます。例として、下の図に「Active-Active-Lan-Host-1」という個別名を持つものを示します。

「詳細設定」タブでは、「VPN ポリシーグループ」設定の仮想グループ番号を選択できます。既定では仮想グループ 1 になっています。

アクティブ/アクティブクラスタリングでの NAT ポリシーの設定

アクティブ/アクティブクラスタリングモードで動作する場合、NAT ポリシー設定には、仮想グループの設定が含まれます。既定の NAT ポリシーは、仮想 IP アドレスの追加時に SonicOS によって作成され、仮想 IP の削除時に削除されます。個別 NAT ポリシーを作成する際には、仮想グループを指定することも、「すべて」を選択することもできます。次の図に、インターフェース X1 の仮想グループ 2 に対して自動的に作成された NAT ポリシーを示します。

次の図に、個別 NAT ポリシーを作成する際に「NAT ポリシーの追加」ウィンドウに表示される「仮想グループ」オプションの選択肢を示します。