Loading...

ナレッジセンター


High Availability(HA)構成の概要
技術的な記事 ID:  KB80748
最終更新:  2014/02/14

概要

問題の詳細

McAfee Web Gateway(MWG)バージョン7.xのHA構成はDirectorノードとScanningノードに役割が分かれています。
冗長化機能としてはDirector Node間でActive-Passive型のFailoverを行います。Directorノードは必ず一つだけがActive Directorとなり、同時に2つ以上のノードがActiveになることはありません。
つまりこれはActive-Active型のHA構成は組めないということを意味します。これはMWGの仕様です。
また、スキャン処理の負荷分散に関してはScanning ノード間で行います。DirectorノードはScanningノードを兼ねます。

Active DirectorはVirtual IPアドレスに送信されたトラフィックに対し、クライアントからのトラフィックを受け付けます。
これを自身(Scanning node)とその他のMWG(Scanning node)にカーネルレベルでリダイレクトすることでロードバランスを実現しています。
クラスタの各ノードはManagement IPを使ってIPプロトコル253番でハートビートを送信し、それぞれの動作状態を確認しています。
トラフィックの分散は接続数をベースに独自のアルゴリズムで計算されています。

HA構成

もしActiveなDirectorが停止した場合、他に使用可能なDirector(Priority>0)が存在する場合は、そのノードがVirtualIPを引き継ぎ、トラフィックを処理するようになります。
停止したDirectorが復旧した場合は、そのDirectorが再びActive Directorとなります。
もし各ノードでプライオリティを同じに設定している場合は、Network上に最初にあらわれたノードがActive Directorとなります。

上記の動作とは別にProxyHA、Transparent RouterモードでHAを構成している場合VRRPを利用してネットワークの冗長性を確保します。

次セクションでは、HA構成を設定する項目、HA構成、VRRPのステータスを確認するコマンドを簡単にご案内します。
(障害などによる詳細なトラブルシューティング時にはこれら以外のコマンドの実施を指示される場合があります)

解決策

・HA構成を設定する項目

Configuration -> Proxyies(HTTP(S),FTP,ICAPand IM)

Network Setup
Proxy HAにチェックを入れます。

Port Redirects
Proxy portと同じポート番号をSourceとDestinationに設定します。

  • Original destination port: 9090
  • Destination Proxy port: 9090

Director Priority
ノードのプライオリティを入力します。
0を設定した場合、そのノードはScanning Nodeになります。
0より大きい数を設定した場合、そのノードはDirector Nodeとなり、複数のDirectorが存在する場合はより数字の大きい方が優先してActive Directorとして選出されます。

Management IP
ローカルノードのNICに設定されたIPアドレスを入力します。このIPアドレスを持つインタフェースからハートビートが送受信されます。

Virtual IPs
クラスタとして構成する仮想IPアドレスを設定します。クラスタに参加する全てのノードで同じIPにする必要があります。

Virtual router ID
VRRPで利用するVRIDを入力します。全てのノードで同じIDにする必要があります。

・HAステータス確認コマンド

HA状態の確認

mfend-lb –s

出力例

device: mwgappl113
statechange:
         ip: 172.16.247.113
        ip6: ::
  protocols: 00000001
        mac: b8ac6f1298ff
      state: NETWORK
      stats: 0 0 0 0 0
statusvalid: 1
       type: director

     device: __SELF__
statechange:
         ip: 0.0.0.0
        ip6: ::
  protocols: 00000001
        mac: b8ac6f1298ff
      state: OK
      stats: 0 0 0 0 0
statusvalid: 1
       type: scanning

     device: mwgappl114
statechange: 1298958338 (Tue Mar  1 05:45:38 2011)
         ip: 172.16.247.114
        ip6: ::
  protocols: 00000001
        mac: a4badb46efd8
      state: REDUNDANT
      stats: 0 0 0 0 0
statusvalid: 1
       type: redundant

     device: mwgappl114
statechange: 1298958338 (Tue Mar  1 05:45:38 2011)
         ip: 172.16.247.114
        ip6: ::
  protocols: 00000001
        mac: a4badb46efd8
      state: OK
      stats: 0 0 0 0 0
statusvalid: 1
       type: scanning

scanning動作の確認

mwg-mon -c

出力例

current state: ok
port 9090 reachable

VRRPの到達確認

tcpdump -np vrrp

出力例

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
05:50:39.119772 IP 172.16.247.113 > 224.0.0.18: VRRPv2, Advertisement, vrid 40, prio 60,
authtype none, intvl 1s, length 20

※本記事作成時のMain Release Version: 7.1.0.6.0(12651)

以前のドキュメント ID

WG12031901

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.