Fortinet [LAB] #10: HA Active/Active: Triển khai High Availability ở chế độ Active/Active với 2 node.

Chào các bạn! Trong bài viết này, mình sẽ hướng dẫn triển khai High Availability ở chế độ Active/Active với 2 node.

---

Mục Lục​

1. Mô Hình​

2. Triển khai High Availability Active-Active​

3. Triển khai High Availability Active-Passive​

4. Triển khai High Availability Active-Active với cụm 3 node​

---

Lý thuyết
High Availability (HA) là một đặc tính của hệ thống nhằm đảm bảo khả năng hoạt động liên tục trong thời gian dài mà không bị gián đoạn, ngay cả khi có sự cố xảy ra với một phần của hệ thống. Mục tiêu của HA là giảm thiểu thời gian chết (downtime) và đảm bảo tính liên tục của dịch vụ.
Các thành phần chính của một hệ thống HA:

• Redundancy (Dự phòng): Sử dụng nhiều thành phần thực hiện cùng một chức năng để đảm bảo nếu một thành phần gặp sự cố, những thành phần khác vẫn có thể đảm nhận công việc.
• Failover (Chuyển đổi dự phòng): Cơ chế tự động phát hiện lỗi và chuyển đổi từ thành phần bị lỗi sang thành phần dự phòng.
• Load Balancing (Cân bằng tải): Phân phối tải công việc giữa các server để tối ưu hóa hiệu suất và đảm bảo không có server nào bị quá tải.
• Health Monitoring (Giám sát sức khỏe): Theo dõi liên tục trạng thái của các thành phần trong hệ thống để phát hiện sớm các vấn đề tiềm ẩn.

Trong kiến trúc HA, có hai mô hình chính:

1. Active/Passive: Một node chính (active) xử lý tất cả các yêu cầu, trong khi node phụ (passive) ở trạng thái chờ. Khi node active gặp sự cố, node passive sẽ được kích hoạt để tiếp quản công việc.
2. Active/Active: Cả hai (hoặc nhiều) node đều hoạt động đồng thời và xử lý các yêu cầu. Mô hình này cung cấp không chỉ tính sẵn sàng cao mà còn cải thiện hiệu suất thông qua cân bằng tải.

Yêu cầu để cấu hình HA:

• Hai thiết bị FortiGate cần cùng model (ví dụ cùng là FG-100F) và cùng phiên bản firmware, lisence.
• Số lượng cổng vật lý, tên interface và thứ tự cấu hình cần giống nhau để đảm bảo đồng bộ.
• Nên sử dụng ít nhất 2 cổng vật lý riêng biệt (ví dụ: port5, port6) để làm heartbeat interfaces. Cổng heartbeat được dùng để trao đổi trạng thái và đồng bộ cấu hình, nên không dùng chung với traffic (LAN/WAN).
• Cùng tên group name và mật khẩu khi cấu hình.

Cơ chế chọn Primary:

• Monitored Interfaces: Thiết bị có ít giao diện bị lỗi nhất sẽ được chọn làm primary.
• Uptime: Thời gian hoạt động HA lâu hơn (HA uptime) sẽ được chọn làm primary
• Priority: Thông số khi mình cấu hình HA, cao hơn sẽ được chọn làm primary.
• Serial Number: Thiết bị có số SN cao hơn sẽ được chọn làm primary.

Khi HA override setting tắt

Khi HA override setting bật


Mục tiêu: Bài lab này nhằm mục đích triển khai một hệ thống HA (High Availability) ở chế độ Active/Active với 2 node để đạt được các mục tiêu sau:

1. Xây dựng hệ thống có tính sẵn sàng cao, giảm thiểu thời gian chết (downtime) khi có sự cố xảy ra
2. Phân phối tải công việc giữa hai node để tối ưu hiệu suất
3. Đảm bảo tính liên tục của dịch vụ thông qua cơ chế failover tự động
4. Hiểu rõ cách thức hoạt động và các thành phần của một hệ thống HA Active/Active
5. Thực hành cấu hình và quản lý hệ thống HA

1. Mô Hình​

2. Triển Khai High Availability Active-Active​

Truy cập vào System > HA, sau đó cấu hình như sau:

• Mode: Chọn chế độ Active-Active hoặc Active-Passive.
• Device priority: Thiết lập chỉ số ưu tiên cao hơn giá trị mặc định (ví dụ: 250). Thiết bị có chỉ số ưu tiên cao nhất sẽ giữ vai trò Master (Primary). Nếu Master gặp sự cố, thiết bị có chỉ số ưu tiên cao kế tiếp sẽ tự động đảm nhận vai trò này.
• Group name: Đặt tên cho nhóm Cluster.
• Password: Nhập mật khẩu xác thực, dùng để các thành viên trong Cluster kết nối với nhau. Lưu ý, các giá trị Group name và Password phải giống nhau trên tất cả các thiết bị trong Cluster.
• Session pickup: Khi bật tùy chọn này, nếu thiết bị Primary gặp sự cố, thiết bị Secondary có thể tiếp tục xử lý các phiên kết nối đang diễn ra (hữu ích để giảm downtime) mà không cần thiết lập lại phiên.
• Monitor interfaces: Những cổng được giám sát liên tục để phát hiện lỗi. Nếu một trong các cổng này gặp sự cố, thiết bị có thể bị coi là lỗi và failover sẽ xảy ra.
• Heartbeat interfaces: Chọn các cổng dùng để kết nối HA (trong ví dụ là port 5 và port 6). Hai cổng này sẽ trao đổi các bản tin Heartbeat để kiểm tra trạng thái hoạt động của các thiết bị và đồng bộ cấu hình giữa các thành viên. Nên chọn ít nhất 2 cổng để làm dự phòng nếu có 1 cổng bị lỗi.
• Heartbeat Interface Priority: Ưu tiên sử dụng port nào làm heartbeat chính. Giá trị càng thấp càng ưu tiên (giống như cost). Thiết lập chỉ số ưu tiên cho cả hai cổng là 50. Chỉ số này không quá quan trọng, bạn có thể tùy chọn ưu tiên cổng nào để truyền các gói tin Heartbeat.
• Management Interface Reservation: Tùy chọn này cho phép xác định một cổng cụ thể dùng làm cổng quản trị. Nếu không bật, bạn chỉ có thể truy cập vào IP của thiết bị Primary sau khi cấu hình xong. Ngược lại, nếu bật tính năng này và chọn cổng MGMT, bạn sẽ có thể truy cập IP quản trị trên cả hai thiết bị.

Tiếp tục cấu hình bên Secondary Firewall với Device priority thấp hơn Primary Firewall là được.

Trên Primary Firewall: (Sẽ hiển thị HA: Primary để phân biệt)


Trên Secondary Firewall:


Lúc này hai firewall đã được cấu hình xong và khi cấu hình ở một firewall thì sẽ tự đồng bộ ở firewall còn lại.
Mình sẽ cấu hình IP ở các interface của Primary Firewall

Trước khi cấu hình trên Primary Firewall (các interface trên Secondary Firewall):


Sau khi cấu hình trên Primary Firewall thì trên Secondary Firewall đã tự đồng bộ:


Thử ngược lại với Secondary Firewall trước thì kết quả cũng tương tự

Thử đang ping tới internet nhưng xóa một interface trên mô hình để kiểm tra HA:

Thấy được gói tin vẫn gửi đi bình thường không có tình trạng bị mất gói tin.

3. Triển khai High Availability Active-Passive​

Cũng với mô hình đó, ta chuyển sang chế độ Active-Passive bằng cách nhấn vào HA đã tạo và sửa Mode lại thành Active-Passive thì cũng sẽ tự động đồng bộ ở firewall còn lại. Hoặc ta tạo lại từ đầu.

Các thông số của Active-Passive cũng giống như Active-Active ở trên nhưng có thêm một điểm khác là:

• Unicast Heartbeat: là cơ chế gửi các gói heartbeat giữa các thiết bị trong cụm HA thông qua giao tiếp unicast thay vì broadcast hoặc multicast mặc định. Theo dõi trạng thái của thiết bị HA, thiết bị chính và phụ liên tục gửi gói heartbeat cho nhau để kiểm tra trạng thái sống/chết của đối tác.

Còn về chức năng tự đồng bộ và hoạt động cũng khá giống nhau chỉ khác nhau về mode.

4. Triển khai High Availability Active-Active với cụm 3 node​

Kết luận​

Qua bài lab này, chúng ta đã thành công trong việc:

1. Triển khai hệ thống HA hoàn chỉnh ở cả 2 mode với 2 node và mode Active-Active với 3 node đảm bảo tính sẵn sàng cao của dịch vụ.
2. Thực hành cấu hình chi tiết cho từng thành phần của hệ thống, giúp củng cố kiến thức thực tế.
3. Kiểm nghiệm tính năng failover - đảm bảo dịch vụ vẫn hoạt động ngay cả khi một node gặp sự cố.

Hệ thống HA đã xây dựng mang lại nhiều lợi ích:

• Tính sẵn sàng cao: Dịch vụ luôn hoạt động ngay cả khi có node bị lỗi
• Hiệu suất tốt hơn: Tải được phân phối đều giữa các node (đối với A-A)
• Khả năng mở rộng: Dễ dàng thêm node mới khi nhu cầu tăng (đối với A-A)
• Bảo trì dễ dàng: Có thể bảo trì từng node mà không ảnh hưởng đến dịch vụ

Lưu ý: khi sử dụng mode A-A là phải quản lý được công suất của cả 2 thiết bị để khi 1 thiết bị có lỗi thì thiết bị còn lại vẫn còn hoạt động bình thường mà không quá tải.
Bài lab này cung cấp nền tảng kiến thức vững chắc để triển khai các hệ thống HA phức tạp hơn trong môi trường sản xuất thực tế.