FortiGateのHAマスター選出順序

先日FortiGateで初めてHAを組んでみたのだが、
まぁマスターの選出方法の分かりづらいこと・・・。

そして思ったようにフェイルオーバーできなかったり・・・。

そんなこんなで意外と手間取ったのでマスター選出順序をメモしておく。


HAマスターの選出順序


FortiGateは結構使いやすいと思っていたのだが、
HAに関しては少々分かりづらかった。

まずはデフォルト動作としての選出順序から。

 ①リンクアップしているモニタポートの多い機器
②HAアップタイムの長い機器
③HAプライオリティの高い機器(数値が大きい=プライオリティが高い)
④シリアル番号の大きい機器
※override無効時(デフォルト時)の動作


これを見ていると、①はまぁ良いとして、問題は②③である。
デフォルトではプライオリティ値よりアップタイムが優先されてしまう。
これではマスターが再起動したらフェイルバックできないではないか!

※モニタポートがリンクダウンするとHAアップタイムは一度リセットされるらしいが、
 ちょっとこれは未確認なので、今度改めて確認するとしよう。

一応HAアップタイムの差が5分以内であれば、
②は無視されて③の比較に移行するようではあるが、
再起動に5分以上かかるといった落ちはないだろうな?

ということで、デフォルトのまま使うのは微妙なので②③の順序を入れ替えたい。
下記コマンドを設定することにより、
アップタイムよりプライオリティを優先させることが可能となる。

 # config system ha
# set override enable ・・・デフォルトはdisable
# end


これでアップタイムより先にプライオリティを比較してくれるので、
マスター機への自動フェイルバックが可能になる。
基本は"set override enable"にしておいた方が無難な気がする。


手動でフェイルオーバーさせる


自動フェイルバックが可能になったところで、
今度は手動でフェイルオーバーさせてみたい。

単純に考えるとマスター側のモニタポートのケーブルを抜線すれば良さそうだが、
それではフェイルオーバーさせる為だけにオンサイトしないといけなくなる。

リモートでフェイルオーバーさせたいことも多々あるので、
できれば切り替えコマンドなるものが存在していると嬉しい。

調べてみたら以下のような感じになっていた。


■set override disable (デフォルト)時
マスター側で下記コマンドを実施することにより、
HAアップタイムがリセットされるので、②の比較によりフェイルオーバー可能。

 # diagnose sys ha reset-uptime


ただし、アップタイムに5分以上の差がなければ無意味であり、
"set override enable"の時はプライオリティ値が優先されるのでそもそも無意味。

実施する場合は、アップタイムを確認すれば良いのであるが、
5分ほど置いてからコマンド実行すればより確実だろう。


■set override enable (プライオリティ優先)時
特にフェイルオーバーさせるコマンドはない。
特にフェイルオーバーさせるコマンドはない。
特にフェイルオーバーさせるコマンドはない。

衝撃の事実。

それでもなんとかフェイルオーバーさせたい場合はやり方は2つ。

 ・頑張ってオンサイトし、モニタポートのケーブルを抜線
・マスターのプライオリティ値をスレーブより低く設定し直す


うーん・・・イケてないね!

最近の新しいバージョンのOSであればコマンドで切り替え可能なのだろうか?
何はともあれ、フェイルオーバーさせるコマンドの実装を待つしかない。


以上。



FortiGate完全攻略


人気記事