FortiGate HA 構成でのバージョンアップ実施ガイド【動作仕様と断時間】

本記事について

本記事では Fortinet 社のファイアウォール製品である FortiGate に関して、HA (冗長構成) におけるバージョンアップ実施方法、バージョンアップ時の動作仕様、バージョンアップ時の断時間について説明します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

• FortiGate-60F

  • バージョン 7.2.x

  • バージョン 7.4.x

ご案内

本記事はメンバーシップの特典コンテンツに含まれています。
メンバーシップに参加いただくと他の限定記事も閲覧できるためお得です。

HA におけるバージョンアップ方法と動作

シングル構成の FortiGate におけるバージョンアップ方法についてはこちらの記事で説明しているように簡単な手順で実施することができますが、HA 構成においてはどのようにバージョンアップを実施すれば良いのか気になる人は多いのではないでしょうか。

さらに、HA 構成の場合はサービス断時間を最小化しつつのバージョンアップ実施を求められることが考えられるため、バージョンアップ時にどの程度の断時間が発生するのかも気になるポイントです。

HA におけるバージョンアップは、Administration Guide にも記載されているように、シングル構成の FortiGate と同じ方法で実施することができます。

バージョンアップ時の動作順序は以下のようになります。なお、バージョンアップ前の Primary を1号機、Secondary を2号機とします。
※Priority は1号機の方が大きいとします

1. 1号機(Primary) にてシングル構成の場合と同じように GUI からアップグレードを実行する。

2. 1号機(Primary) から 2号機(Secondary) にファームウェアが転送される。

3. まず2号機(Secondary) にてバージョンアップが実施される。

4. 2号機(Secondary) のバージョンアップ完了後、2号機が新たに Primary となる。

5. 1号機にてバージョンアップが実施される。

6. 1号機のバージョンアップ完了後、次の何れかの動作となる。

   1. オーバーライドが有効の場合、1号機が Primary に切り戻り2号機は Secondary となる。

   2. オーバーライドが無効の場合、1号機は Secondary として HA クラスタに復帰する。ただし、2号機の再起動から5分以内に1号機のバージョンアップが完了した場合は1号機が Primary に切り戻り、2号機は Secondary となる。

HA での実際のバージョンアップ動作

以下では HA 構成でバージョンアップした場合の実際の動作について説明します。