Настройка высокой доступности (HA) FortiGate — руководство

FortiGate HA (высокая доступность) запускает два и более устройства как кластер, чтобы сервис продолжался без перебоев при отказе одного устройства. Протокол FGCP синхронизирует конфигурацию и сессии; при отказе резервное устройство берёт нагрузку на себя.

Что такое HA и какие есть режимы?

HA (высокая доступность) — подход кластеризации, запускающий несколько FortiGate как один логический межсетевой экран; есть два основных режима: active-passive (failover) и active-active (распределение нагрузки).

В режиме active-passive одно устройство является основным и обрабатывает трафик, а другое ждёт как резервное в синхронизированном состоянии. При отказе основного резервное берёт нагрузку за секунды. Этот режим — самый распространённый выбор за предсказуемость и простоту.

В режиме active-active члены кластера распределяют, в частности, нагрузку сканирования UTM для повышения пропускной способности. Управление трафиком сложнее и подходит не для каждого сценария.

Перед построением HA на обоих устройствах должна быть завершена базовая настройка; см. наше руководство по установке и первичной настройке FortiGate.

Кластеризация FGCP и синхронизация

FGCP (FortiGate Clustering Protocol) синхронизирует конфигурацию и таблицу сессий между членами кластера, выбирает основное устройство и отслеживает состояние через heartbeat.

При формировании кластера FGCP определяет основное устройство по приоритету, серийному номеру и настройкам override. Изменения конфигурации автоматически копируются на другого члена, поэтому оба устройства несут одинаковые правила.

Если включена синхронизация сессий, существующие сессии сохраняются при failover, и пользователи продолжают работу без разрыва. Интерфейсы heartbeat позволяют членам непрерывно проверять живучесть друг друга; рекомендуется не менее двух каналов heartbeat.

Построение кластера HA

Настройка HA выполняется приведением двух идентичных устройств к одной прошивке, заданием режима HA и имени группы, определением интерфейсов heartbeat и физическим соединением устройств.

Убедитесь, что оба устройства одной модели и одной версии FortiOS. В разделе System > HA выберите режим (active-passive), задайте имя и пароль группы, настройте интерфейсы heartbeat и приоритет.

Соедините интерфейсы heartbeat напрямую (или через выделенный коммутатор). При сохранении конфигурации FGCP автоматически объединяет устройства в кластер и запускает синхронизацию.

• Приведите оба устройства к одной версии прошивки.
• Задайте режим HA, имя и пароль группы.
• Определите не менее двух интерфейсов heartbeat.
• Задайте приоритет и при необходимости значения override.
• Проверьте синхронизацию и состояние кластера.

Failover, мониторинг и link monitoring

Failover — переход на резервное устройство при отказе основного или отслеживаемого канала; с link monitoring состояние критических интерфейсов также используется как триггер failover.

Не только отказ устройства, но и потеря отслеживаемого канала WAN/LAN может вызвать failover. Определите отслеживаемые интерфейсы (link monitoring), чтобы кластер переключался на здорового члена при падении критического аплинка.

Проверьте время и поведение failover в тестовой среде. При включённом override предпочтительное устройство снова становится основным после восстановления; используйте это при намеренном поведении preempt, но оно может вызывать лишние failover.

Чтобы оценить тесты failover и влияние на производительность, см. наше руководство по оптимизации производительности и лучшим практикам.

Лучшие практики HA

Лучшие практики — использовать идентичное оборудование/прошивку, строить резервные каналы heartbeat, тестировать сценарии failover и непрерывно отслеживать состояние кластера.

Всегда держите членов кластера на одной модели и версии прошивки; несоответствия вызывают ошибки синхронизации. Используйте не менее двух каналов heartbeat, чтобы избежать единой точки отказа.

Для централизованного мониторинга состояния кластера и событий failover см. нашу статью о журналировании и мониторинге с FortiAnalyzer, а для общей архитектуры — наше руководство о том, что такое FortiGate.

Часто задаваемые вопросы

В чём разница между active-passive и active-active?

В active-passive одно устройство обрабатывает трафик, другое ждёт как резерв и берёт нагрузку при отказе. В active-active нагрузка сканирования распределяется между членами для большей пропускной способности, но управление сложнее.

Должны ли два устройства быть идентичными для HA?

Да. Для здорового кластера FGCP устройства должны быть одной модели, одной версии прошивки и иметь совместимые лицензии. Различия вызывают проблемы синхронизации и failover.

Что такое интерфейс heartbeat?

Heartbeat — выделенный канал, по которому члены кластера отслеживают живучесть друг друга и несут синхронизацию конфигурации/сессий. Рекомендуется не менее двух heartbeat во избежание единой точки отказа.

Разрываются ли сессии при failover?

При включённой синхронизации сессий существующие сессии в основном сохраняются, и пользователи часто не замечают перерыва. Если синхронизация выключена, сессии может потребоваться установить заново.

Для чего нужен link monitoring?

Если отслеживаемый критический интерфейс (например, WAN-аплинк) падает, link monitoring инициирует failover на здорового члена, защищая от отказов каналов, а не только устройств.

Стоит ли использовать override?

Override заставляет предпочтительное устройство снова стать основным после восстановления. Это полезно, когда конкретное устройство должно оставаться основным, но может вызывать лишние failover и требует осторожности.

Заключение

FortiGate HA сохраняет критические сервисы сетевой безопасности работающими даже при отказе одного устройства. При идентичном оборудовании, резервных heartbeat, синхронизации сессий и протестированных сценариях failover кластер обеспечивает настоящую отказоустойчивость.

Чтобы спроектировать архитектуру высокой доступности и провести тесты failover, обратитесь к сетевой команде Sora Yazılım.