FortiGate FAQ - HA (冗長化)

HA構成時にプライマリ機器の選択条件を教えてください
ID
 : 
FG-41-0022
公開日
 : 
2019/04/01
更新日
 : 
2023/02/07
OS Ver
 : 
5.6, 6.0, 6.2, 6.4, 7.0, 7.2
FortiGateの冗長化構成には、多くの場合、FGCP(FortiGate Clustering Protocol)が利用されます。WebUIで行うHA設定では、このFGCPの設定を行います。
FGCPでは、以下の順番でプライマリ機器を選択します。

  1. 接続しているモニタインタフェースの数が大きい
  2. HA機能のAge(HA構成後の経過時間)が長い
  3. プライオリティが大きい
  4. 機器のシリアル番号が大きい

但し、HAオーバーライドを有効にしている場合は、2.HA機能のAgeが長い と 3.プライオリティが大きい の評価順番が変わります。また、Ageは300秒(デフォルト時)以内の誤差の場合は、同じ値として判断します。


・HAオーバーライドの確認
 HAオーバーライドの設定は、以下何れかのコマンドで確認することが出来ます。
FGT60EXXXXXXXXXX # get system ha | grep override override : disable <- この表示例では、disable(無効)
FGT60EXXXXXXXXXX # config system ha FGT60EXXXXXXXXXX (ha) # show full-configuration | grep override set override disable <- この表示例では、disable(無効) FGT60EXXXXXXXXXX (ha) # end

 オーバーライドの値を変更する場合は、set override の値を enable または disable に変更します。
 オーバーライドを有効にする場合は、以下設定を行います。
FGT60EXXXXXXXXXX # config system ha FGT60EXXXXXXXXXX (ha) # set override enable FGT60EXXXXXXXXXX (ha) # end

 同様に、オーバーライドを無効にする場合は、以下設定を行います。
FGT60EXXXXXXXXXX # config system ha FGT60EXXXXXXXXXX (ha) # set override disable FGT60EXXXXXXXXXX (ha) # end


・Age判断で、同じ値と判断する時間差の確認
 Age判断で、同じ値と判断する時間(秒)は、以下何れかのコマンドで確認することが出来ます。
FGT60EXXXXXXXXXX # get system ha | grep ha-uptime-diff-margin ha-uptime-diff-margin: 300 <- この表示例では、300秒
FGT60EXXXXXXXXXX # config system ha FGT60EXXXXXXXXXX (ha) # show full-configuration | grep ha-uptime-diff-margin set ha-uptime-diff-margin 300 <- この表示例では、300秒 FGT60EXXXXXXXXXX (ha) # end

 値を変更する場合は、以下設定を行います。
FGT60EXXXXXXXXXX # config system ha FGT60EXXXXXXXXXX (ha) # set ha-uptime-diff-margin 180 <- この設定例では、180秒 FGT60EXXXXXXXXXX (ha) # end


・Ageの強制リセット
 HAオーバーライド無効時に、何等かの理由でプライマリ機器を変更する場合は、Ageを強制リセットすることで系を切り替えることが出来ます。
 Ageの強制リセットは、以下、diagnose sys ha reset-uptime コマンドで行います。
FGT60EXXXXXXXXXX # diagnose sys ha reset-uptime