動作確認環境
- PA-200
- Version 8.1.19
HA におけるスプリットブレインとは
Palo Alto ファイアウォールの HA では、HA1 リンク、および HA1 バックアップリンクを使用してハートビート及び Hello を送りあい、相互にピアの状態を確認しています。
ここで、HA1 リンクと HA1 バックアップリンクの両方に障害が発生した場合、ピアに障害が発生したと判断して自身を Active に昇格させます。これが HA ペアの両方のファイアウォールで行われるため、両方のファイアウォールが Active 状態になってしまいます。この状態をスプリットブレインと呼びます。
ハートビートバックアップでスプリットブレインを防止可能
HA1 と HA1バックアップの両方に障害が発生することに備えて、管理インターフェースをハートビートバックアップとして設定することができます。
この設定をしておくと、HA1 と HA1バックアップの両方に障害が発生した場合でも管理インターフェースを使用してハートビート及び Hello を送りあうことができ、スプリットブレインを防止できます。
ハートビートバックアップの有効化設定
GUI で設定する場合は、[Device → 高可用性] 画面の [選択設定] の中で行えます。
以下の選択設定画面の [ハートビート バックアップ] にチェックを入れることでハートビートバックアップを有効化できます。
CLI で設定する場合は以下の設定に該当します。
set deviceconfig high-availability group election-option heartbeat-backup <yes|no>
ハートビートバックアップの注意点
管理インターフェースの設定でアクセス許可 IP アドレスを設定している場合は、ピアの管理インターフェースの IP アドレスを許可 IP アドレスに追加しておく必要があります。
また、管理インターフェースでサービスとして Ping を許可するように設定する必要があります。
参考資料
How To Avoid HA Split-Brain due to Missed Heartbeats
Issue Palo Alto Networks uses a private heartbeat link to monitor the health and status of each node in a high availability cluster. Split-brain occurs when t
knowledgebase.paloaltonetworks.com
ハートビートバックアップは両方のデバイスで有効になっていますが、ステータスは表示されます
問題 高可用性のために構成された2つのデバイスでハートビートバックアップが有効になっていますが、WebGUI ダッシュボードのステータスが "down" と表示されています。 原因 この現象は、ピア IP が管理インターフェイスの許可一覧に含まれていない場合に表示さ
knowledgebase.paloaltonetworks.com
コメント