高可用性を実現しよう
なんとなくポリシーの設定の方法が分かったので、次にHA(高可用性)を構成してみることにした。WSMのヘルプ(HTML形式で提供されており、Webブラウザで表示する)を見ながら、作業を進める。まずプライマリ機となるFireboxを決め、WSMのポリシーマネージャを開く。次に「ネットワーク」-「高可用性」を選択すると、ダイアログボックスが開くので、ここで、「高可用性を有効にする」にチェックすればよいだけのようだ。
左上の高可用性を有効にするをチェックするだけ。ちなみに、監視対象のインターフェイスで指定した回線に通信障害が発生すると、フェールオーバするので、ここは基本的に使用中のポートをすべてチェックしておく |
ちなみに、このダイアログの「HAインターフェイス」に指定されたポートで2台のFireboxを直結することになる。ポリシーマネージャの構成ファイルをFireboxに保存すれば、プライマリー機の準備は完了だ。
セカンダリ機の準備はさらに簡単で、いったん電源を切り、マシン前面の▼ボタンを押しながら電源投入するだけだ。これにより、Fireboxは各種設定がクリア(ライセンス情報などはクリアされない)されたセーフモードで立ち上がる。後は、先に指定したポート(今回はポート7)をクロスのUTPケーブルでつなぎ、2台のFireboxを直結すればよい。
WSMでプライマリ機のシステムマネージャを開き、「ツール」-「高可用性」-「構成の同期」を選択すると、プライマリ機の各種設定がセカンダリ機に反映され、晴れてVRRPベースのHA構成で動き出す。このようすは、システムマネージャでも「高可用性は有効です-プライマリFireboxを使用」といった項目が表示され、どちらの機材がアクティブになっているかも確認できる。
HA構成で動いていることが確認できる。ちなみに、Peer status is standbyは、セカンダリ機の準備が整っていることを表わしている |
実際には同期が完了し、セカンダリ機の準備が整うまでに少し時間(といっても1分以内)かかる。試しに、プライマリー機のポート0(External)に刺さっているケーブルを抜くと、即座にセカンダリ機にフェールオーバする。この際、システムマネージャの画面では、「高可用性は有効です-セカンダリ Firebox を使用」と表示が切り替わり、フェールオーバしたことが確認できる。
プライマリ機のポート0にケーブルを挿し、元の状態にしても、自動的にフェールバックしない。これはFireboxの仕様であり、ポートやケーブルの接触不良などが原因の場合に、
繰り返し発生しないように
配慮してのことだろう。なお、フェールバックの操作は、「システムマネージャ」から「ツール」-「高可用性」-「フェールオーバ」の強制実行を選択することでネットワーク越しにできるので、手間はかからない。
ここまでのところで、今回の週アスPLUSのシステムのためのファイアウォールとして動かすための方法は習得できた。あとは、具体的なポリシーを設定していけば完了だ。残念ながらセキュリティ上の理由から、このあたりの設定はお見せすることはできないが、Fireboxの先進的な機能やGUIは、ご理解いただけたのではないだろうか。
さて、第3回は今回われわれは使わなかったものの、Fireboxが持つユニークで魅力的な機能や、リリースが迫っているFirewareのメジャーバージョンアップである「Fireware XTM」について、Mr. Fireboxとも呼べるウォッチガード・テクノロジー・ジャパンのセールスエンジニア尾澤優樹氏にお話しを聞きながら、紹介していきたいと思っているので、乞うご期待。
この連載の記事
-
第3回
デジタル
あれこれ欲張る管理者、WGのエンジニアと語る -
第1回
デジタル
下心を隠す管理者、INTEROP TOKYOで赤箱と出会う - この連載の一覧へ