動作確認環境
- PA-200
- Version 8.1.19
HA での設定変更とコンフィグの同期
HA 構成の Palo Alto ファイアウォールの設定変更をする際、以下のような疑問を持つかもしれません。
- 設定変更したらコンフィグはピアに同期される?どのタイミングで同期される?
- 設定変更したらコンフィグ同期実行コマンドは必要?
答えは以下です。
- デフォルトでは、設定変更後ピアへのコンフィグ同期は自動で行われる
- コミットを実行後のタイミングでピアにコンフィグが同期される
- ただし、HA の設定次第なので設定値を要確認
設定の同期を有効化する設定
Palo Alto ファイアウォールの HA 設定において、「設定の同期化の有効化」という設定項目があります。
GUI だと [Device → 高可用性] 画面の [セットアップ] で設定変更が可能です。
CLI だと以下の設定コマンドに該当します。
set deviceconfig high-availability group configuration-synchronization enabled<yes|no>
「設定の同期化の有効化」が有効になっている場合、設定変更後の自動コンフィグ同期が実施されます。無効になっている場合、自動コンフィグ同期は実施されません。
HA ピアの同期タスク
「設定の同期化の有効化」が有効化されている場合の話です。
以下は、Active 機で設定変更(コミット)を実施した後の、Passive 機のタスクマネージャー画面です。
「HA ピアの同期」というタスクが実行されていることが分かります。
「HA ピアの同期」は Active 機でコミットが完了した後に発生します。「HA ピアの同期」の所要時間としてはコミットを実行するのと同等の時間が必要になる点を留意してください。
手動でコンフィグ同期を実行するコマンド
オペレーショナルモードで以下のコマンドを実行することで、手動でピアへのコンフィグ同期を実行できます。
> request high-availability sync-to-remote running-config
admin@PA-200-A(active)> request high-availability sync-to-remote running-config
Executing this command will overwrite the candidate configuration on the peer and
trigger a commit on the peer. Do you want to continue(y/n)? (y or n)
HA synchronization job has been queued on peer. Please check job status on peer.【結論】設定変更前に「設定の同期化の有効化」設定を確認しよう
HA で設定変更時に自動でコンフィグが同期されるかどうかは、「設定の同期化の有効化」の設定状況によります。
そのため、設定変更を行う前に当該設定がどうなっているのか確認しましょう。
コメント