HA の概要
- 2 台の Palo Alto ファイアウォールを HA ペアとして設定することができる
- HA ではペアのファイアウォールに障害が発生した場合に代替のファイアウォールを使用できるようにすることで、ダウンタイムを最小限に抑えることができる
- HA ペアのファイアウォールでは、HA ポートを使用することにより設定情報を同期することができる
- ただし一部設定(管理インターフェース、管理者プロファイル、HA 設定)やログデータはペア間で同期されない
- HA ペアの一方のファイアウォールで障害発生時、もう一方のファイアウォールがトラフィック転送タスクを引き継ぐ。このイベントをフェイルオーバーと呼ぶ
- フェイルオーバーのトリガーは以下の通り
- リンクモニタリング: モニタ対象のインターフェースの1つ以上に障害が発生したとき
- パスモニタリング: モニタ対象の宛先に到達できないとき
- ハートビートポーリング及び Hello メッセージ: ピアのファイアウォールがハートビートポーリングに応答しないとき
- パケットヘルスモニタリング: 重要なチップやソフトウェアコンポーネントが故障したとき
HA を構成するための前提
HA を構成する機器の中で以下が同一である必要があります。
- 機器の型番
- OS バージョン
- ライセンス
- マルチ仮想システム機能の有効/無効
HA モード
HA ペアは以下の 2 つのモードのうち何れか 1 つに設定できる。
- アクティブ/パッシブ
- 一方のファイアウォールがトラフィックをアクティブに管理し、もう一方は同期を取って障害発生時にアクティブ状態に移行できるよう備える
- アクティブ/アクティブ
- ペアのファイアウォールが両方アクティブな状態でトラフィックを処理する
- セッションテーブルとルーティングテーブルを互いに同期する
一般的にはアクティブ/パッシブモードが使用されることがほとんどで、アクティブ/アクティブを選択する場合はより高度な設計が必要になります。
HA リンクとバックアップリンク
- HA ペアのファイアウォールでは、HA リンクを使用してデータ同期と状態管理を行う
- Palo Alto ファイアウォールの型番によっては、HA リンク専用の HA ポート(コントロールリンク(HA1)とデータリンク(HA2))があるが、これが無い型番では通常のポートを HA ポートとして使用する必要がある
HA リンクの種類は以下の通り。
- HA1 リンク(コントロールリンク)
- Hello、ハートビート、HA 状態、ルーティング用管理プレーンの動機、User-ID などの情報交換に使用される
- HA ペアはこのリンクを使用して設定変更の同期を行う
- HA1 リンクはレイヤ3 リンクのため IP アドレスが必要
- HA ピア間のハートビート交換には ICMP が使用される
- HA2 リンク(データリンク)
- セッションテーブルの転送、IPsec SA、ARP テーブルの同期に使用される
- このリンクを介した通信の方向は常にアクティブ側からパッシブ側への方向のみとなる
- HA2 リンクはレイヤ2 リンク
- 高スペック型番では HA2 ポートとして高速シャーシインターコネクト(HSCI)ポートがあり、専用ケーブルで接続する
- HA1 バックアップリンク
- HA1 リンクのバックアップ用のリンク
- HA1 リンクと IP アドレスの重複はできない
- HA2 バックアップリンクとは異なる物理ポートを使用する必要がある
- HA2 バックアップリンク
- HA2 リンクのバックアップ用のリンク
- HA1 バックアップリンクとは異なる物理ポートを使用する必要がある
- HA3 リンク(パケット転送リンク)
- アクティブ/アクティブモードでのみ必要なリンク
- セッションセットアップ、非対称トラフィックフロー時にパケットをピアに転送のために使用される
- HA3 リンクはレイヤ2 リンク
上記内容から、アクティブ/パッシブモードでは HA1、HA2、HA1/HA2のバックアップの 4 リンク(4 ポート)を使用することになります。(バックアップリンクは使用しないことも可能)
デバイスの優先度とプリエンプション
HA ペアのファイアウォールのうちどちらがアクティブになるのかはデバイスの優先度(priority)によって決まります。優先度がより高い方がアクティブに選出されます。priority の値がより小さい方が優先度が高いという意味です。
プリエンプションという設定があり、デフォルトでは無効になっています。これを有効にすると、優先度がより高いファイアウォールが障害から復旧した際に、そのファイアウォールが自動でアクティブに切り替わります(フェイルオーバーの発生)。
フェイルオーバー発生条件の詳細
- ハートビートポーリングと Hello メッセージ
- 設定された Hello 間隔(デフォルト 8000ミリ秒)で Hello メッセージがピアに送信される
- ハートビートは ICMP ping の一種で、ピアの ping 応答でピアの状態を確認する
- ハートビートの間隔はデフォルトで 1000 ミリ秒で、連続 3 回失敗した場合にフェイルオーバーが発生する
- リンクモニタリング
- ファイアウォールが監視する物理インターフェースのグループを指定する
- グループ内の各リンク状態(up/down)を監視する
- フェイルオーバー発生の条件を Any(いずれかのリンクが down) か All(すべてのリンクが down) から指定可能
- インターフェースグループを複数作成することもでき、グループ間で Any/All の条件を設定可能
- パスモニタリング
- ファイアウォールが監視する宛先 IP アドレスグループを指定する
- ICMP ping を使用して、デフォルトでは 200 ミリ秒間隔で監視を行う
- 10 回連続で ping が失敗した場合、IP は到達不能とみなされる
- フェイルオーバー発生の条件を Any(いずれかの宛先に到達不要) か All(すべての宛先に到達不能) から指定可能
- 宛先 IP アドレスグループを複数作成することもでき、グループ間で Any/All の条件を設定可能
HA タイマー
Palo Alto ファイアウォールの HA では様々なタイマーがあり、フェイルオーバー発生時の切替わり時間に影響します。
- Monitor Fail Hold Up Time
- パスモニタまたはリンクモニタの障害発生後にファイアウォールがアクティブのままでいる時間
- デフォルトでは 0 ミリ秒
- Additional Master Hold Up Time
- Monitor Fail Hold Up Time に追加的に加算される待機時間
- デフォルトでは 500 ミリ秒
- Preemption Hold Time
- プリエンプション発生時にパッシブのファイアウォールがアクティブとして引き継ぐまでに待機する時間
- デフォルトでは 1 分
- Promotion Hold Time
- パッシブのファイアウォールが HA ピアとの通信が失われた後でアクティブとして引き継ぐまでに待機する時間
- デフォルトでは 2000 ミリ秒
設定不可能な HA タイマー
- フェイルオーバー後の 1 分間のモニタホールドタイマー
- アクティブ/パッシブの HA ペアでフェイルオーバーが発生後、1分間はモニタインタフェースのいずれかがダウンしてもフェイルオーバーが発生しません。インターフェースのダウン前に発生していたフェイルオーバーから 1 分経過後にフェイルオーバーが発生します
- このタイマーは設定変更できません
参考資料
【PDF】PAN-OS® 管理者ガイド Version 10.0 (EoL)
How to Recover HA Pair Member from the Suspended State
Before making the node functional, consider the following recommendations : Investigate and the fix the issue of the interface and/or path monitoring f
knowledgebase.paloaltonetworks.com
HA ノードは、プリエンプション ループ Suspended 状態にいつ行きますか。
問題: HA ノードは「中断」状態は、プリエンプト ・ ループに移動します。 ノードは、次のセットアップ構成で優先権による中断状態に移動できます。 個々 のノードは、優先度の値と優先順位を付ける個々 のノードを提唱するプリエンプションで構成されます。
knowledgebase.paloaltonetworks.com
HA フェイルオーバー・ホールド・タイマ
問題 HA アクティブ/パッシブクラスタ内のいずれかのデバイスのフェイルオーバー後、1分間監視インタフェースのいずれかがダウンしても、新しくアクティブになったデバイスはダウンしません。 解決方法 フェイルオーバー後の1分間の「モニタホールドタイマ」は、不要なフラップのフェイルオーバーを防止するための事前設定
knowledgebase.paloaltonetworks.com
コメント