Fortigate HA機器 片系異常時にやること

メーカー製品

先日、HAを組んでいたFortigateのPrimary機が故障して、Standby機に切り替わった。

HW故障だったので、保守に入っていれば、機器交換で「ハイ、オワリ」だけど、その前に本当にHW故障なのか?とか、交換機機でサービスLANに接続する前に色々と見ておきたい。

アルとオモイマス!

でも、調べて出てくるものと出てこないものがあるので、少しだけまとめてみた。

Standy側へのCLI操作切替

  1. management-ipを付与している場合は、そちらへSSHすればOK
  2. VIPしか無い場合は、VIPへSSH後、idを「?」で出力させて、idを入力するだけでOK
fortigate-1 # execute ha manage        <-「?」を押す
<id>    please input peer box index.
<1>     Subsidary unit FG3H0ETB1111111111

fortigate-1 # execute ha manage 1
fortigate-2 login: admin
Password: ********
Welcome !
 
fortigate-2 $  

OSのバージョンによっては、executeコマンド内で、下記のようにログインユーザー名を入力しないといけないものもある。

fortigate-1 # execute ha manage 1 admin

片系だけのreboot

切り替わりが発生したが、元のPrimary機にログインできるし、異常がわからないので、念のため再起動したい場合、再起動コマンドって両系同時に落ちないよね??

ログインしてるノードのみの再起動です。

fortigate-1 # execute reboot

本記事を書いた時は、HDDでI/Oエラーが出てたましたが、再起動コマンドを実行したら起動すらしなくなりましたorz

ログ確認

機器を交換したあと、FGCPで組んでるHA用のインターフェースを接続して、サービス用LANを接続する前にステータスやログなどを確認したい場合、普段ならGUIからぱっと見れますが、サービス用LANを挿していないため、SSHでのアクセスができない。Active機になってる機器から上述のようにStandby機(slave)へ移動し、コマンドで確認することは可能。だけど、ちょっと面倒。

とりあえずシステムイベントだけ見たければ

fortigate-1 # execute log filter reset       <- 過去フィルタをクリア
fortigate-1 # execute log filter category    <- 「?」を入力しカテゴリ一覧を出す
Available categories:
 0: traffic
 1: event
 2: utm-virus
 :(省略)
fortigate-1 # execute log filter category 1       <- システムイベントを出力
fortigate-1 # execute log filter view-lines 100   <- 表示させる行数を指定(100行)
fortigate-1 # execute log display

機器交換をした保守作業員の方は、サービスLAN接続する前に機器の正常性を確認しようとしませんでした。(ソ〇トバ〇ク コマ・・・ほんと終わってるベンダー)

復旧時のHA構成

上記で保守ベンダーのグチっぽいことを書いてますが、overrideの設定をdisableにしていれば、変に切り替わることも無いので、事前にCHKするという習慣が無いのかもしれません。・・・・

いや、ありえんだろ!!

本題ですが、overrideの設定はenableにしていると、プライオリティ値の高いメンバーがHAクラスタ構成上で復旧した場合に、自動で切り替わる(切り戻る?)設定のことです。私はオススメしません。

  • pingロス発生
  • 変な状態で起動してるのをFGCPが把握できないケース
  • FGCPで不具合があって、Active/Standbyを毎秒レベルで切り替えて、実害になる

などが考えられるので、いつもdisableにしてます。設定の確認方法は下記です。

fortigate-1 # show system ha 
config system ha
    : (省略)
    set override disable
    set priority 100
    : (省略)
end

コメント