FortiGateのロードバランスについて

FortiGate（フォーティゲート）は、Fortinet社が提供するUTM（統合脅威管理）機能を備えたセキュリティアプライアンスです。

その中に「ロードバランス（Load Balancing）」機能があり、これを活用することでネットワークの可用性やスループットを向上させることができます。

以下では、FortiGateにおけるロードバランスの仕組み、用途、設定の流れ、注意点までを詳しく解説します。

FortiGateのロードバランスとは？

FortiGateのロードバランス機能は、L4（レイヤー4）とL7（レイヤー7）の両方に対応しており、トラフィックを複数のサーバやWAN回線に分散させることで、以下のような目的を達成できます。

• トラフィックの分散による負荷軽減
• サービスの冗長化・可用性向上
• 複数WAN回線の活用（WAN Load Balancing）
• アプリケーションごとの振り分け制御

FortiGateではこの機能を「Server Load Balance (SLB)」および「WAN Load Balance (SD-WAN)」の2つの形で提供しています。

サーバロードバランス（Server Load Balancing）

主な用途

• Webサーバやアプリケーションサーバなどの複数バックエンドサーバへのトラフィック分散
• 一般的な例：1つのFQDN（例：www.example.com）にアクセスが来たとき、3台のWebサーバに均等に処理を割り振る

対応プロトコル

• TCP
• HTTP/HTTPS（SSLオフロード含む）
• UDP など

負荷分散アルゴリズム

FortiGateでは以下のような方式で負荷分散が可能です。

SSLオフロード

• FortiGateはHTTPSトラフィックの終端処理（SSLオフロード）が可能
• クライアントとの通信を暗号化し、内部のサーバとは平文通信にすることで負荷を軽減

ヘルスチェック（監視機能）

• FortiGateは定期的にバックエンドサーバの状態を監視し、異常があればトラフィックを他の正常なサーバに振り分けます
• HTTP応答コードやポート応答などを用いたチェックが可能

WANロードバランス（SD-WAN）

主な用途

• 複数のインターネット回線を束ねて使う
• 回線障害時のフェイルオーバーやスループットの最大化

特徴

• アプリケーションベースのルーティング：TeamsやZoomのトラフィックは安定した回線へ、Webは安価な回線へ、など細かな制御が可能
• 動的な経路選定：パケットロスや遅延、帯域などをもとに、リアルタイムで最適なWANを選択

スキームの例

• 回線A（光）と回線B（LTE）を持ち、普段はAを使うが、Aに障害があったらBに自動切り替え
• 複数回線に同時にトラフィックを流し、より高い通信速度を得る（アクティブ-アクティブ）

設定方法の概要

サーバロードバランス（SLB）

1. 仮想サーバの作成
   • 仮想IPとポートを指定（例：80, 443）
2. リアルサーバの定義
   • バックエンドにある複数の実サーバのIPとポートを登録
3. 監視プロファイルの作成
   • HTTP/ICMP/TCPなどでサーバの正常性をチェック
4. ファイアウォールポリシーの設定
   • 外部からのトラフィックが仮想サーバへ届くように設定

SD-WAN（WANロードバランス）

1. インターフェースのメンバー化
   • 使用する複数のWAN回線をSD-WANゾーンに追加
2. パフォーマンスSLA設定
   • 遅延、ジッタ、パケットロスなどのしきい値を設定
3. ルール（Policy）の設定
   • アプリケーションや宛先によって使用するWANを定義
4. 静的または動的ルーティングの設定
   • 必要に応じてBGPや静的ルートとの連携も可能

注意点

• FortiGateのモデルによっては、ロードバランス機能の利用にライセンス制限や機能制限がある場合があります。
• SSLオフロードを使う場合、証明書管理が重要になります（Let’s Encryptやインポート証明書の扱いなど）。
• ロードバランスの設定を誤ると、セッション維持ができずログインエラーやタイムアウトが起こることがあります。
• Webアプリケーションによっては、ステートフル通信を前提とするため、適切なセッション維持設定（Persistence）が必須です。

FortiGateロードバランスのメリットまとめ

以上、FortiGateのロードバランスについてでした。

最後までお読みいただき、ありがとうございました。