FortiGateのHA構成で、ケーブル抜去時に意図しないフェイルオーバーが発生する原因を解説。Active選出ロジック、ageリセットの影響、override設定、監視ポート設定の見直しといった具体的な対策を検証結果ベースで紹介する。

FortiGateのHA(High Availability)構成では、障害時に自動で切り替わることで可用性を確保できる。一方で、計画作業中のケーブル抜去やポートメンテナンス時に、想定外のフェイルオーバーが発生するケースがある。

本記事では、HA構成においてケーブル抜去時にフェイルオーバーが発生した原因と、その対策を整理する。特に、監視ポートのリンク状態HAのageoverride設定 の関係を理解したい場合に参考になる内容である。

目次 [ close ]
  1. FortiGate HAでケーブル抜去時にフェイルオーバーが発生した事象
  2. 原因はHAのActive選出ロジックにある
    1. 監視ポート抜去でageがリセットされる点に注意
  3. FortiGate HAでフェイルオーバーを防ぐ対策
    1. 1. override設定を有効化する
    2. 2. 抜去予定ポートを事前に監視対象から外す
  4. 検証結果:対策適用後はHA切り替わりなし
  5. FortiGate HA運用で押さえるべきポイント
  6. まとめ

FortiGate HAでケーブル抜去時にフェイルオーバーが発生した事象

HA構成のファイアウォールで、切り替わりを防ぐことを前提に内部ポートのケーブル抜去試験を実施した。しかし、監視対象として設定されていたポートを抜去したタイミングで、Standby機へActiveが切り替わる事象が発生した。

物理的には単純なケーブル抜去であっても、HAの監視条件に含まれているポートである場合、装置側は単なるリンクダウンではなく、HA状態の再評価を伴うイベントとして扱う。その結果、意図しないフェイルオーバーにつながることがある。

原因はHAのActive選出ロジックにある

FortiGateのHAでは、Active装置の選出に複数の判定要素が関わる。今回の事象では、次の優先順位がポイントとなった。

  • 監視ポートのリンクアップ数
  • HAの稼働時間(age)
  • プライオリティ

今回のケースでは、監視対象ポートを抜去したことでリンクアップ数が変化し、両装置の監視ポート数が同一となった。その時点で次の判定要素としてHAのageが比較され、結果としてもう一方の装置がActiveとして再選出された。

監視ポート抜去でageがリセットされる点に注意

重要なのは、監視ポートを抜去した際にHA内部のage情報がリセットされる仕様である。この挙動により、リンクアップ数が同一になった場合、ageの大きい装置が優先されやすくなる。

そのため、運用担当者が「リンク本数が同じになるだけなのでActiveは維持されるだろう」と想定していても、実際にはageの比較で切り替わる可能性がある。ケーブル抜去試験や計画停止時には、この仕様を前提に設計・検証する必要がある。

FortiGate HAでフェイルオーバーを防ぐ対策

今回の検証で有効だった対策は、主に2つである。

1. override設定を有効化する

FortiGateで set override enable を設定すると、HAの選出優先順位を変更できる。これにより、判定順序は以下のようになる。

  • 監視ポートのリンクアップ数
  • プライオリティ
  • HAの稼働時間(age)

この設定を有効にすると、監視ポート数が同一になった場合でも、ageより先にプライオリティが評価される。その結果、優先度の高い装置をActiveのまま維持しやすくなる。

特に、計画作業中に一時的なリンクダウンが発生し得る環境では、override設定の有無がHAの安定性に大きく影響する。

2. 抜去予定ポートを事前に監視対象から外す

もう1つの有効な対策は、作業対象となるポートを事前にHAの監視ポート設定から削除することである。

あらかじめ監視対象から外しておけば、リンクダウンがHA判定に影響しなくなるため、想定外の切り替わりを回避しやすい。特に、計画的なケーブル抜去や保守作業では、この方法がシンプルで実運用に適している。

一時的なメンテナンスのために抜去することが明確なポートであれば、事前に監視条件から除外する設計を検討すべきである。

検証結果:対策適用後はHA切り替わりなし

override設定の有効化、または抜去対象ポートの監視設定見直しを行った状態で再度試験を実施したところ、ケーブル抜去時にHAの切り替わりは発生しなかった。

この結果から、今回のフェイルオーバーは機器異常ではなく、HAの選出ロジックおよび監視ポート設定に起因する仕様上の挙動であったと判断できる。

FortiGate HA運用で押さえるべきポイント

FortiGateのHA構成では、単に冗長化を組んだだけでは安定運用は実現しない。特に次のポイントは事前に確認しておきたい。

  • HAのActive選出ロジックを理解しているか
  • 監視ポートダウン時の挙動を把握しているか
  • override設定の有無を確認しているか
  • 保守対象ポートが監視設定に含まれていないか

HAは障害時の自動切り替えを実現する仕組みである一方、判定条件を誤って理解すると、計画作業中に不要なフェイルオーバーを引き起こす可能性がある。運用前の検証と設定見直しが非常に重要である。

まとめ

FortiGateのHA構成でケーブル抜去時にフェイルオーバーが発生する主な原因は、監視ポートのリンクアップ数HAのageプライオリティ の評価順にある。

監視ポートを抜去するとageがリセットされるため、リンク数が同一になった際に意図しない装置がActiveとして再選出されることがある。

対策としては、override設定を有効化すること、そして抜去予定ポートを事前に監視対象から外すことが有効である。FortiGate HAを安定運用するためには、障害対策だけでなく、計画作業時の挙動まで含めて設計しておくことが重要である。