FortiGate HA モードの Active-Passive と Active-Active の違いを解説します

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate の HA (冗長構成) のモードについて、Active-Passive と Active-Active の違いを解説します。

一般的な企業ネットワークにおいて FortiGate で HA を構成する場合はほとんどのケースで Active-Passive モードで構成することになりますが、Active-Active モードとの違いや Active-Passive を採用する理由などを聞かれた場合に困る人も多いのではないかと思います。そのような人に参考になる情報を以下にまとめています。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

• FortiGate-60F
  • バージョン 7.4.4

Active-Passive と Active-Active の動作の違い

以下の図では Active-Passive と Active-Active それぞれの場合の通信経路を示しています。

• Active-Passive の場合
  • FortiGate HA クラスタに着信するすべてのサービス通信を Primary 機で着信します
  • 着信したサービス通信はそのまますべて Primary 機で処理されて Primary 機から発信されます
  • 正常時は Secondary 機はサービス通信に対して処理を行いません
  • Primary 機で障害が発生するとフェイルオーバが発生して Secondary 機が新 Primary 機に切り替わりサービス通信に対する処理を開始します
• Active-Active の場合
  • FortiGate HA クラスタに着信するすべてのサービス通信を Primary 機で着信します
  • Primary 機は着信したサービス通信を HA クラスタ内の各機器に振り分けます
    • Secondary 機に振り分ける通信パケットについては Secondary 機のインターフェースの実 MAC アドレス宛に Primary 機から送信されます
    • Secondary 機は Primary 機から振り分けられたサービス通信を処理します
  • Primary 機で処理されたサービス通信は Primary 機から、Secondary 機で処理されたサービス通信については Secondary 機から直接宛先に発信されます
  • Primary 機に障害が発生した場合はフェイルオーバが発生し Secondary 機が新 Primary 機となります

HA の Active-Passive と Active-Active の比較

FortiGate の HA モードである Active-Passive と Active-Active を各観点で比較した結果を以下表にまとめます。

HA 基本設定項目の比較

以下は GUI の HA 設定画面ですが、GUI で設定できる基本項目については Active-Passive でも Active-Active でも全く同じです。

Active-Active での負荷分散対象と負荷分散メソッド

負荷分散については Active-Active モードを採用した場合に追加的に考慮が必要な内容になります。

負荷分散対象の通信と対象外通信

Active-Active モードでは負荷分散が行われますが、すべての通信が負荷分散されるわけではなく、特定の通信のみが負荷分散されます。

デフォルト設定では、以下タイプのプロキシベースのセキュリティプロファイルが適用される通信について負荷分散が行われます。

一方、以下プロファイル・プロトコルについては負荷分散対象外であり常に Primary 機で処理されます。

また、オプションですべての TCP セッションを負荷分散させることもできます。これを有効化するための設定コマンドは以下です。デフォルトでは無効になっています。

config system ha
    set load-balance-all enable
end

すべての TCP セッションを負荷分散するとオーバーヘッドが増加し、パフォーマンスが低下する可能性があるため注意してください。

ソフトウェアスイッチについては Active-Active HA による負荷分散がサポートされていないため注意してください。

SSL ディープインスペクションが有効になっている HTTPS セッションについては負荷分散が行われないため注意してください。

負荷分散メソッド

負荷分散メソッドは負荷分散対象のセッションを各機器に割り振る際にどの機器に割り振るかを決定するためのルールです。FortiGate では「負荷分散スケジュール」と呼ばれています。

負荷分散スケジュールの設定コマンドは以下です。

config system ha
    set schedule <値>
end

設定値としては以下があります。デフォルトはround-robin（ラウンドロビン方式）です。

• none
  • 負荷分散しません
• leastconnection
  • コネクション数が最も少ない機器に割り振ります
• round-robin
  • 一定の順番で割り振ります（ラウンドロビン方式）
• weight-round-robin
  • 機器ごとの重みづけに基づいて一定の順番で割り振ります
• random
  • ランダムに割り振ります
• ip
  • 送信元IPと宛先IPに基づいて割り振ります
• ipport
  • 送信元IP・ポートと宛先IP・ポートに基づいて割り振ります

Active-Active モードのメリットとは

Active-Active モードでは HA クラスタ内で負荷分散を行うため、2台構成の HA の場合シングル構成の2倍のトラフィックを処理できるようになると考えるかもしれませんが、これは間違いです。

上で記載している通り負荷分散される通信は一部に限られることと、Active-Active モードでも HA クラスタへのすべての通信はまず Primary 機で着信して Primary 機がクラスタメンバにセッションを割り振るという処理を行う必要があり Primary 機の処理能力がボトルネックになる可能性があるということがあるためです。

Active-Active モードはプロキシベースのセキュリティプロファイルを使用している場合にメリットがあるといわれています。

プロキシベースのセキュリティプロファイルの処理は CPU と メモリを多く消費するためスループット低下の原因になりますが、Active-Active モードで負荷分散をすることでその負荷の高い処理をクラスタメンバーに分散させることができます。これによりスループットが向上する可能性があるといわれています。

ただし「可能性がある」という表現のため実際の効果を確認するためには検証が必要かもしれません。

一般的な企業ネットワークであれば複雑性が増す割にあまりメリットの無い Active-Active モードを採用するよりも対象ネットワークの状況に合わせて適切なスペックの機種を選定して HA は Active-Passive モードとした方が運用コストまで含めると良いのではないかという気がします。

参考資料

【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

• 基礎知識
  • FortiGate の設計構築を初めて行う人へ基礎知識を共有します
  • FortiGate メーカー公式マニュアル利用ガイド
  • FortiGate コンフィグの仕組みと CLI 設定変更ガイド
  • 初期設定
    • FortiGate 初期設定を CLI で実施するためのマニュアル
    • FortiGate デフォルトで存在する不要な設定の削除マニュアル
  • 基本操作
    • FortiGate のコンフィグ初期化及びローカルログ削除マニュアル
    • FortiGate コンフィグのバックアップ及びリストア実施マニュアル
    • FortiGate CLI でのコンフィグバックアップ・リストア実行ガイド
    • FortiGate コンフィグのリビジョン管理と設定リストア実行ガイド
    • FortiGate Ping を打ち続けたりソースアドレスを指定したりする方法
  • バージョンアップ
    • 【詳解】FortiGate OS バージョンアップマニュアル
    • FortiGate CLI でのバージョンアップ実施ガイド
    • FortiGate バージョン変更後に Fatal error: Loading FOS fails! となり起動できない場合の対処方法
    • FortiGate HA 構成でのバージョンアップ実施ガイド【動作仕様と断時間】 ※note記事
• HA (冗長構成) 設定
  • FortiGate HA モードの Active-Passive と Active-Active の違いを解説します
  • FortiGate HA(冗長構成)の概要と設定ガイド【詳しく解説】※note記事
  • FortiGate HA 構成時のコンフィグ同期の仕様について解説します
  • FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースを解説 [ha-direct 設定]
  • FortiGate HA 構成時の仮想 MAC アドレスについて解説します
  • FortiGate HA ハートビート送信間隔と障害判定しきい値の設定ガイド
  • FortiGate HA 構成時のバックアップ及びリストア実施ガイド
  • FortiGate HA 構成でのモニタインターフェースダウン時の通信断時間について解説
  • FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】
  • FortiGate で override が無効なのにフェイルバックが発生する理由 ※note記事
• VDOM (バーチャルドメイン) 設定
  • FortiGate マルチ VDOM 基本設定ガイド [初心者向けに詳しく説明]
• トランスペアレントモード設定
  • FortiGate トランスペアレントモード基本設定ガイド【L2動作モード】
  • FortiGate トランスペアレントモードで HA 構成時の管理用 IP アドレス設定について解説
  • FortiGate トランスペアレント HA での切り替わり時の GARP 送信の仕様について解説
• システム系設定
  • 管理者アカウント設定
    • FortiGate 管理者アカウントの設定変更及び新規作成ガイド
  • 時刻・NTP 設定
    • FortiGate タイムゾーン、NTP同期、NTPサーバ設定ガイド
  • ロギング・Syslog 送信設定
    • FortiGate メモリロギングと Syslog サーバへのログ送信設定ガイド
    • FortiGate 暗黙の拒否ポリシーのログ及びセッション開始時のログの保存方法
  • SNMP 設定
    • FortiGate SNMP 監視のための設定ガイド [v1,v2c,v3]
    • FortiGate から SNMP Trap が送信されないときの確認ポイント ※note記事
  • DHCP サーバ機能設定
    • FortiGate DHCP サーバ機能設定ガイド
    • FortiGate での DHCP リレー設定ガイド
  • Proxy サーバ機能設定
    • FortiGate を Proxy サーバとして使用するための設定ガイド
  • アラートメール送信
    • FortiGate 設定変更発生時のアラートメール送信設定ガイド
• ネットワーク系設定
  • インターフェース設定
    • FortiGate インターフェース基本設定ガイド
    • FortiGate タグVLAN (VLANインターフェース) 設定ガイド
    • FortiGate VLANスイッチを使用したタグVLAN通信設定ガイド
    • FortiGate リンクアグリゲーションによるリンク冗長化設定ガイド
    • FortiGate で PPPoE 接続するための設定ガイド
  • ルーティング設定
    • FortiGate スタティックルート設定ガイド
    • FortiGate リンクモニタによる経路監視と自動経路切替の設定ガイド
    • FortiGate ポリシールート設定ガイド [送信元や宛先でルートを変更]
    • BGP
      • FortiGate BGP 基本設定ガイド AS,Neighbor,Network
      • FortiGate BGPルートのLocal-Preference,MED,AS-Path設定方法
      • FortiGate BGP でデフォルトルートを広報するための設定方法
      • FortiGate BGP ルートフィルタ設定ガイド【Distribute list in,out】
  • DNS 設定
    • FortiGate DNS ルックアップ用 DNS サーバと DNS サーバ機能の設定ガイド
  • NAT 及び NAPT 設定
    • FortiGate 送信元アドレス変換 (送信元 NAT,NAPT) 設定ガイド
    • FortiGate 宛先NAT,NAPT,ポートフォワーディング設定ガイド
    • FortiGate でのヘアピン NAT 設定ガイド
    • FortiGate セントラル NAT による送信元 NAT・宛先 NAT 設定ガイド
• ファイアウォール系設定
  • アドレス設定
    • FortiGate アドレスオブジェクト設定ガイド
  • サービス設定
    • FortiGate サービスオブジェクト設定ガイド
  • ファイアウォールポリシー設定
    • FortiGate ファイアウォールポリシー設定ガイド
    • FortiGate MAC アドレスフィルタリング設定ガイド
    • FortiGate ローカルインポリシーで管理アクセスを制限する方法
  • ゾーンを使用したポリシー設定
    • FortiGate ゾーンを使用したファイアウォールポリシー設定ガイド
• VPN 系設定
  • SSL-VPN 設定
    • FortiGate SSL-VPN 設定ガイド(AD 認証編)-テレワーク環境構築にも
    • FortiGate SSL-VPN 設定ガイド (Azure AD 認証編)
    • FortiGate クライアント証明書認証による SSL-VPN 設定ガイド
    • FortiGate SSL-VPN Email によるワンタイムパスワード設定ガイド
    • FortiClient VPN をインターネット非接続環境で使用する方法
  • IPsec VPN 設定
    • FortiGate 拠点間 IPsec VPN 接続設定ガイド
• Tips
  • FortiGate CLI の状態確認コマンドと情報取得コマンド一覧
  • FortiGate 設計構築時に役立つ Tips

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

monofive RJ45-USB Cisco互換コンソールケーブル コネクタ保護カバー付き FTDIチップ MF-CBRJ45USB

Amazonで詳しくみる

エレコム CAT6中継コネクタ LD-RJ45JJ6Y2

Amazonで詳しくみる

エレコム CAT6 GigabitやわらかLANケーブル (ブルー)

Amazonで詳しくみる

サンワサプライ(Sanwa Supply) RJ-45プラグSOS ADT-RJ45SOS-10

Amazonで詳しくみる

バッファロー BUFFALO 有線LANアダプター LUA4-U3-AGTE-NBK ブラック Giga USB3.0対応 簡易パッケージ

Amazonで詳しくみる

【整備済み品】HP ノートパソコン 830G5/13.3型フルHD/Win 11/MS Office H&B 2019/第7世代i5-7200U 2.50GHz/メモリ 16GB/SSD 512GB/指紋リーダー/USB 3.0/WEBカメラ/初期設定済

Amazonで詳しくみる

【アフィリエイト】ブログ始めるならおすすめ

当サイト利用中レンタルサーバ【エックスサーバ】

安定性に定評があります

詳しくみる

当サイト利用中 WordPress テーマ 【SWELL】

シンプル・高機能・高速です

詳しくみる