先日、HAを組んでいたFortigateのPrimary機が故障して、Standby機に切り替わった。
HW故障だったので、保守に入っていれば、機器交換で「ハイ、オワリ」だけど、その前に本当にHW故障なのか?とか、交換機機でサービスLANに接続する前に色々と見ておきたい。
アルとオモイマス!
でも、調べて出てくるものと出てこないものがあるので、少しだけまとめてみた。
Standy側へのCLI操作切替
- management-ipを付与している場合は、そちらへSSHすればOK
- VIPしか無い場合は、VIPへSSH後、idを「?」で出力させて、idを入力するだけでOK
fortigate-1 # execute ha manage <-「?」を押す
<id> please input peer box index.
<1> Subsidary unit FG3H0ETB1111111111
fortigate-1 # execute ha manage 1
fortigate-2 login: admin
Password: ********
Welcome !
fortigate-2 $ OSのバージョンによっては、executeコマンド内で、下記のようにログインユーザー名を入力しないといけないものもある。
fortigate-1 # execute ha manage 1 admin片系だけのreboot
切り替わりが発生したが、元のPrimary機にログインできるし、異常がわからないので、念のため再起動したい場合、再起動コマンドって両系同時に落ちないよね??
ログインしてるノードのみの再起動です。
fortigate-1 # execute rebootログ確認
機器を交換したあと、FGCPで組んでるHA用のインターフェースを接続して、サービス用LANを接続する前にステータスやログなどを確認したい場合、普段ならGUIからぱっと見れますが、サービス用LANを挿していないため、SSHでのアクセスができない。Active機になってる機器から上述のようにStandby機(slave)へ移動し、コマンドで確認することは可能。だけど、ちょっと面倒。
とりあえずシステムイベントだけ見たければ
fortigate-1 # execute log filter reset <- 過去フィルタをクリア
fortigate-1 # execute log filter category <- 「?」を入力しカテゴリ一覧を出す
Available categories:
0: traffic
1: event
2: utm-virus
:(省略)
fortigate-1 # execute log filter category 1 <- システムイベントを出力
fortigate-1 # execute log filter view-lines 100 <- 表示させる行数を指定(100行)
fortigate-1 # execute log display
復旧時のHA構成
上記で保守ベンダーのグチっぽいことを書いてますが、overrideの設定をdisableにしていれば、変に切り替わることも無いので、事前にCHKするという習慣が無いのかもしれません。・・・・
いや、ありえんだろ!!
本題ですが、overrideの設定はenableにしていると、プライオリティ値の高いメンバーがHAクラスタ構成上で復旧した場合に、自動で切り替わる(切り戻る?)設定のことです。私はオススメしません。
- pingロス発生
- 変な状態で起動してるのをFGCPが把握できないケース
- FGCPで不具合があって、Active/Standbyを毎秒レベルで切り替えて、実害になる
などが考えられるので、いつもdisableにしてます。設定の確認方法は下記です。
fortigate-1 # show system ha
config system ha
: (省略)
set override disable
set priority 100
: (省略)
end
コメント