Barracuda WAFのHAを試して見た

2016.09.23

はじめに

Barracuda WAFを使って、HAクラスタを組んでみました。
クラスタを組むことで以下のように冗長化することができます。

構成図

事前準備

セキュリティグループ

クラスタ間で必要な通信が出来るようにします。
セキュリティグループBarracuda-WAF-HAを設定する場合、以下のように設定します。

タイプ プロトコル ポート範囲 送信元
カスタム UDP ルール UDP 32576 Barracuda-WAF-HA
カスタム TCP ルール TCP 32575 Barracuda-WAF-HA
カスタム TCP ルール TCP 8002 Barracuda-WAF-HA

ファームウェアアップデート

クラスタに参加するWAFのファームウェアバージョンは一致している必要があります。
高度な設定 > ファームウェア更新 > ダウンロード可能なファームウェア > 最新バージョン > 今すぐダウンロード を選択します。

1

ダウンロードが完了したら、[今すぐ適用]を選択します。

2

ファームウェアアップデートには再起動が必要です。

3

ホスト名の変更

基本設定 > IP設定 > ドメイン設定 > デフォルトホスト名を変更します。
クラスタ内でユニークになるようにします。

4

タイムゾーン、時刻を揃える

基本設定 > 管理 > 時間 > タイムゾーンにて、アジア:Japan -Tokyoを選択します。
タイムゾーンの変更には、再起動が必要です。

6

クラスター内で同じ時刻が表示されることを確認します。
NTPサーバに同期出来ていれば、同じ時刻が表示されるはずです。

7

Tips 必須の設定であるシステム連絡先メールアドレスが空の場合、タイムゾーンを設定出来ません。
以下の警告が表示される場合は、適当なメールアドレスを設定します。

5

実行中のプロセスがないことを確認

高度な設定 > タスク管理 を確認し、実行中のプロセスが存在しないことを確認します。

8

HA設定

高度な設定 > HA(高可用性)を開きます。

共有鍵のセット

クラスターに参加するWAFは同じ共有鍵を持つ必要があります。
クラスタ共有秘密鍵に文字列を入力します。
英数字、ピリオド、ハイフン、アンダースコアが使えます。

9

クラスタへ参加

クラスタに参加すると、設定内容が上書きされます。
以下作業は、ホストbarracuda1-1cで行いました。
ピアIPアドレスにbarracuda1-1aを指定しクラスタに参加すると、その設定に同期します。

10

設定が失われる旨が表示されます。
既存環境でクラスタ追加を行う場合は、注意が必要です。

11

クラスタシステムを確認し、リストにお互いのIPアドレスがあること、ステータスGreenであることを確認します。

12

設定の同期

WAFクラスターはActive,Activeとして動作します。
いずれかのインスタンスで行った設定はクラスター内で同期されます。

おわりに

WAFに問題が発生した場合、サービス断につながる恐れがあります。
Barracuda WAFでは、HAクラスタを組むことで冗長化することが出来ます。
保護対象についても、ELBを経由することで冗長化できます。

参考