この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
Barracuda WAFを使って、HAクラスタを組んでみました。
クラスタを組むことで以下のように冗長化することができます。
事前準備
セキュリティグループ
クラスタ間で必要な通信が出来るようにします。
セキュリティグループBarracuda-WAF-HAを設定する場合、以下のように設定します。
| タイプ | プロトコル | ポート範囲 | 送信元 |
| カスタム UDP ルール | UDP | 32576 | Barracuda-WAF-HA |
| カスタム TCP ルール | TCP | 32575 | Barracuda-WAF-HA |
| カスタム TCP ルール | TCP | 8002 | Barracuda-WAF-HA |
ファームウェアアップデート
クラスタに参加するWAFのファームウェアバージョンは一致している必要があります。
高度な設定 > ファームウェア更新 > ダウンロード可能なファームウェア > 最新バージョン > 今すぐダウンロード を選択します。
ダウンロードが完了したら、[今すぐ適用]を選択します。
ファームウェアアップデートには再起動が必要です。
ホスト名の変更
基本設定 > IP設定 > ドメイン設定 > デフォルトホスト名を変更します。
クラスタ内でユニークになるようにします。
タイムゾーン、時刻を揃える
基本設定 > 管理 > 時間 > タイムゾーンにて、アジア:Japan -Tokyoを選択します。
タイムゾーンの変更には、再起動が必要です。
クラスター内で同じ時刻が表示されることを確認します。
NTPサーバに同期出来ていれば、同じ時刻が表示されるはずです。
Tips
必須の設定であるシステム連絡先メールアドレスが空の場合、タイムゾーンを設定出来ません。
以下の警告が表示される場合は、適当なメールアドレスを設定します。
実行中のプロセスがないことを確認
高度な設定 > タスク管理 を確認し、実行中のプロセスが存在しないことを確認します。
HA設定
高度な設定 > HA(高可用性)を開きます。
共有鍵のセット
クラスターに参加するWAFは同じ共有鍵を持つ必要があります。
クラスタ共有秘密鍵に文字列を入力します。
英数字、ピリオド、ハイフン、アンダースコアが使えます。
クラスタへ参加
クラスタに参加すると、設定内容が上書きされます。
以下作業は、ホストbarracuda1-1cで行いました。
ピアIPアドレスにbarracuda1-1aを指定しクラスタに参加すると、その設定に同期します。
設定が失われる旨が表示されます。
既存環境でクラスタ追加を行う場合は、注意が必要です。
クラスタシステムを確認し、リストにお互いのIPアドレスがあること、ステータスGreenであることを確認します。
設定の同期
WAFクラスターはActive,Activeとして動作します。
いずれかのインスタンスで行った設定はクラスター内で同期されます。
おわりに
WAFに問題が発生した場合、サービス断につながる恐れがあります。
Barracuda WAFでは、HAクラスタを組むことで冗長化することが出来ます。
保護対象についても、ELBを経由することで冗長化できます。
5
