サーバー負荷分散を構成する

Firebox T10 または Firebox T15 モデルでは、サーバー負荷分散はサポートされていません。

サーバー負荷分散機能は、複数のサーバーが存在する高トラフィック ネットワークで、スケーラビリティおよびパフォーマンスを向上できるように設計されています。サーバー負荷分散を使用すると、Firebox で、各ファイアウォール ポリシーの構成に対して最高 10 台のサーバーで起動するセッション数を制御することができます。Firebox では、各サーバーにおける使用中のセッション数に基づいて負荷が制御されます。Firebox では、各サーバーで使用される帯域幅は測定または比較されません。

サーバー負荷分散を SNAT アクションとして構成します。Firebox により、異なる 2 つのアルゴリズムを使用してサーバー間の接続が分散されます。

サーバー負荷分散を構成する場合は、次のことを認識しておく必要があります。

  • 静的 NAT を適用できるポリシーの場合は、どのポリシーでもサーバー負荷分散を構成できます。
  • ポリシーにサーバー負荷分散を適用した場合は、その同じポリシーに SD-WAN ルーティング、ポリシー ベースのルーティング、または他の NAT ルールを設定することはできません。
  • アクティブ/パッシブ FireCluster 構成のサーバー負荷分散を使用する場合、フェールオーバー イベントが発生したとき、クラスタ メンバー間でリアルタイム同期は実行されません。パッシブ バックアップ マスターがアクティブ クラスタ マスターになると、どのサーバーが利用可能であるかを確認するため、サーバー負荷分散リストにあるすべてのサーバーに対して接続を送信します。その後、使用可能なすべてのサーバーにサーバー負荷分散アルゴリズムが適用されます。
  • RDP サーバーのグループへの接続にサーバー負荷分散を使用する場合は、各 RDP サーバーにファイアウォールを構成して、Firebox からの ICMP 要求を許可する必要があります。
  • Firebox の外部インターフェイスまたはオプショナル インターフェイスに送信されるトラフィックのサーバー負荷分散 SNAT アクションを構成することができます。

サーバー プローブ

サーバー負荷分散 SNAT アクションに構成されているサーバーの可用性を監視するために、Firebox から各サーバーにプローブ パケットが 10 秒ごとに送信されます。TCP ポリシーの場合、プローブは SYN です。RDP または UDP ポリシーの場合、プローブは ICMP パケットです。

Firebox がプローブに対する応答を受信した場合、応答したサーバーはアクティブ (アップ) とみなされ、トラフィックを受信できるようになります。応答を受信しなかった場合、Firebox は 10 秒間待機した後、そのサーバーに別のプローブ パケットを送信します。サーバーが 2 回目のプローブに応答しない場合、またはそれが TCP リセットで応答した場合、そのデバイスは非アクティブ (ダウン) とみなされ、Firebox からそのサーバーに負荷分散されたトラフィックは送信されません。サーバーから Firebox に ACK パケットが送り返された場合、Firebox は直ちにそのサーバーをアクティブと見なします。

Firebox は、サーバーのステータスがアクティブか非アクティブであるかにかかわらず、すべての負荷分散されたサーバーにプローブ パケットを積極的に送信し続けます。Firebox がサーバー負荷分散用に構成されているポリシーで処理されたトラフィックを受信すると、ポリシーは負荷分散されたサーバーのうち、アクティブなサーバーにトラフィックを送信します。

サーバー負荷分散の設定

方法

サーバー負荷分散を構成する場合は、使用するアルゴリズム手法を選択する必要があります。

ラウンドロビン

このオプションを選択すると、Firebox により、ポリシーで指定されているサーバーの受信セッションが順番に (ラウンド ロビンで) 割り振られます。最初の接続は、ポリシーで指定された 1 番目のサーバーに送信されます。次の接続はポリシーの 2 番目のサーバーに送信、などとなります。

最少接続

このオプションを選択すると、Firebox により、Firebox へのオープンな接続数がその時点で最も少ないリストのサーバーに新しい各セッションが送信されます。Firebox は、他のインターフェイスでサーバーが開いた接続数までは把握することができません。

発信元 IP アドレス

必要に応じて、サーバー負荷分散アクションに発信元 IP アドレスを構成することができます。サーバー負荷分散アクションに発信元 IP アドレスが構成されていない場合は、Firebox ではこれらのデバイスに送信されたトラフィックの 送信元 (または発信元 IP アドレス) が変更されません。トラフィックが Firebox から直接送信される一方で、サーバー負荷分散構成の一部である各デバイスは、ネットワーク トラフィックの元の発信元 IP アドレスを認識します。

サーバー負荷分散 SNAT アクションを追加する際に、アクションの発信元 IP アドレスを指定することができます。そうすると、サーバー負荷分散 SNAT アクションのパラメータと一致するトラフィックが Firebox のトラフィックを管理するポリシーを通過する際に、発信元 IP アドレスが指定された IP アドレスに変更されます。サーバー負荷分散アクションにおけるすべてのサーバーに同じ発信元 IP アドレスが使用されます。

スティッキー接続

SNAT アクションのパラメータを定義すると、スティッキー接続 (Sticky Connection) が常に有効となります。固定接続とは、ある一定の期間、継続的に同じサーバーを使用する接続のことです。接続を固定すると、発信元 IP アドレスと宛先 IP アドレス ペア間のすべてのパケットは、指定されている期間、同じサーバーに送信されます。既定では、Firebox は 8 時間の既定スティッキー接続設定を使用します。異なる期間に設定を変更することができます。同じクライアントから新しい接続が受信されると、接続の有効期限が延長されます。

サーバーの重み付け

サーバー負荷分散アクションにサーバーをいくつでも追加できます。負荷分散メンバーの設定を構成する際に、最も強いサーバーに最も高い負荷がかかるように、各サーバーに重み付けをすることもできます。重み付けとは、Firebox がサーバーに送信する負荷の割合を指しています。既定では、各サーバーの重み付けは 1 です。あるサーバーに重み付け 2 を割り当てた場合、Firebox がこのサーバーに送信するセッションの数は、重み付けが 1 のサーバーと比較して倍になります。

ポート アドレス変換

負荷分散メンバーの設定を構成する際に、ポート アドレス変換 (PAT) を有効にすることができます。PAT を有効にすると、パケットの宛先を変更して、別の内部ホストと別のポートを指定することができます。

サーバー負荷分散 SNATアクションを追加する

サーバー負荷分散を使用するようにポリシーを構成する前に、Fireware Web UI で、SNAT アクションにサーバー負荷分散の詳細を定義する必要があります。

  1. ファイアウォール > SNAT の順に選択します。
    SNAT ページが表示されます。
  2. 追加 をクリックします。
    SNAT を追加する ページが表示されます。

Screen shot of the Add SNAT page

  1. 名前 テキスト ボックスに、この SNAT アクションの名前を入力します。
  2. (任意) 説明 テキスト ボックスに、この SNAT アクションの説明を入力します。
  3. サーバー負荷分散 を選択します。
  4. 外部 IP アドレス ドロップダウン リストから、このサーバー負荷分散アクションで使用する外部 IP アドレスまたはエイリアスを選択します。

例えば、Firebox がこのアクションのサーバー負荷分散を 1 つのみの外部 IP アドレスで受信されたパケットに適用するようにすることができます。または、Any-External エイリアスを選択すると、Firebox はすべての外部 IP アドレスで受信されたパケットにサーバー負荷分散を適用します。

  1. このサーバー負荷分散アクションの発信元 IP アドレスを指定するには、発信元 IP の設定 チェックボックスを選択します。横のテキスト ボックスに、発信元 IP アドレスを入力します。
  2. 方法 ドロップダウン リストから、サーバー負荷分散に使用するアルゴリズムを ラウンド ロビン または 最少接続 から選択します。
  3. 追加 をクリックして、アクションに対する内部サーバーの IP アドレスを追加します。
    メンバーを追加する ダイアログ ボックスが表示されます。

Screen shot of the Add Member dialog box

  1. 内部 IP アドレス テキスト ボックスに、追加するサーバーの IP アドレスを入力します。
  2. 重み付け テキスト ボックスに、負荷分散をするサーバーの重み付けを入力または選択します。
  3. ポート アドレス トランザクション (PAT) を有効にするには、内部ポートを異なるポートに設定する チェックボックスを選択します。そばのテキスト ボックスに、ポート番号を入力または選択します。

ポートを持たないトラフィック (TCP または UDP 以外のトラフィック) を許可するポリシーのサーバー負荷分散 SNAT アクションを使用する場合は、内部ポート設定はトラフィックに使用されません。

  1. OK をクリックします。
    サーバー負荷分散メンバー リストにサーバーが表示されます。

Screen shot of the Add SNAT page

  1. このアクションに別のサーバーを追加するには、追加 をクリックして、ステップ 10〜14 を繰り返します。
  2. 内部サーバーのスティッキー接続を設定するには、スティッキー接続を有効にする チェックボックスを選択します。スティッキー接続を有効にする テキスト ボックスとドロップダウン リストで、スティッキー接続の期間を指定します。
  3. 保存 をクリックします。

Policy Manager で、サーバー負荷分散 SNAT アクションを作成してポリシーに追加するか、またはポリシー構成内からサーバー負荷分散 SNAT アクションを作成することができます。

  1. セットアップ > アクション > SNAT の順に選択します。

    SNAT ダイアログ ボックスが表示されます。
  2. 追加 をクリックします。
    SNAT を追加する ダイアログ ボックスが表示されます。

Screen shot of the Add SNAT dialog box

  1. SNAT 名 テキスト ボックスに、この SNAT アクションの名前を入力します。
  2. (任意) 説明 テキスト ボックスに、この SNAT アクションの説明を入力します。

  3. サーバー負荷分散 を選択します。

  4. 追加 をクリックします。

    サーバー負荷分散 NAT を追加する ダイアログ ボックスが表示されます。

Screen shot of the Add Server Load Balancing NAT dialog box

  1. 外部 IP アドレス ドロップダウン リストから、このサーバー負荷分散アクションで使用する外部 IP アドレスまたはエイリアスを選択します。

例えば、Firebox がこのアクションのサーバー負荷分散を 1 つのみの外部 IP アドレスで受信されたパケットに適用するようにすることができます。または、Any-External エイリアスを選択すると、Firebox はすべての外部 IP アドレスで受信されたパケットにサーバー負荷分散を適用します。

  1. このサーバー負荷分散アクションの発信元 IP アドレスを指定するには、発信元 IP の設定 チェックボックスを選択します。横のテキスト ボックスに、発信元 IP アドレスを入力します。
  2. 方法 ドロップダウン リストから、サーバー負荷分散に使用するアルゴリズムを ラウンド ロビン または 最少接続 から選択します。
  3. 追加 をクリックして、アクションに対する内部サーバーの IP アドレスを追加します。
    サーバーの追加のダイアログ ボックスが表示されます。

Screen shot of the Add Server dialog box  

  1. IP アドレス テキスト ボックスに、追加するサーバーの IP アドレスを入力します。
  2. 重み付け テキスト ボックスに、負荷分散をするサーバーの重み付けを入力または選択します。
  3. ポート アドレス トランザクション (PAT) を有効にするには、内部ポートを異なるポートに設定する チェックボックスを選択します。そばのテキスト ボックスに、ポート番号を入力または選択します。

ポートを持たないトラフィック (TCP または UDP 以外のトラフィック) を許可するポリシーのサーバー負荷分散 SNAT アクションを使用する場合は、内部ポート設定はトラフィックに使用されません。

  1. OK をクリックします。
    サーバーリストにサーバーが表示されます。

Screen shot of the Add Server Load Balancing NAT dialog box

  1. このアクションに別のサーバーを追加するには、追加 をクリックして、ステップ 10〜14 を繰り返します。
  2. 内部サーバーのスティッキー接続を設定するには、スティッキー接続を有効にする チェックボックスを選択します。スティッキー接続を有効にする テキスト ボックスとドロップダウン リストで、スティッキー接続の期間を指定します。
  3. OK をクリックします。

    サーバーがアクションの SNAT メンバーリストに追加されます。

Screen shot of the Add SNAT dialog box

  1. OK をクリックします。

    SNAT アクションが追加されます。
  2. OK をクリックします。

サーバー負荷分散 SNAT アクションをポリシーに追加します。

サーバー負荷分散 SNAT アクションが定義されると、1 つまたは複数のポリシーで使用することができるようになります。

  1. ファイアウォール > ファイアウォール ポリシー の順に選択します。
  2. ポリシーを選択します
    または、新しいポリシーを追加します。
  3. アクション ドロップダウン リストから、ポリシーの編集 を選択します。
  4. 送信元 セクションで、追加 をクリックします。
    メンバーを追加する ダイアログ ボックスが表示されます。
  5. メンバーの種類 ドロップダウン リストから、サーバー負荷分散 を選択します。
    サーバー負荷分散アクションのリストが表示されます。

Screen shot of the Add Member dialog box

  1. サーバー負荷分散アクションを選択します。OK をクリックします。
    サーバー負荷分散アクションが、ポリシーの 送信先 セクションに追加されます。
  2. 保存 をクリックします。
  1. ポリシーを編集するには、ポリシーをダブルクリックします。
    または、新しいポリシーを追加します。
  2. 送信元 セクションで、追加 をクリックします。
    アドレスを追加する ダイアログ ボックスが表示されます。
  3. SNAT を追加する をクリックします。
    SNAT ダイアログ ボックスが表示されます。すべての構成された静的 NAT およびサーバー負荷分散アクションがリストに表示されます。

Screen shot of the SNAT dialog box

  1. 構成されたサーバー負荷分散アクションを選択します。OK をクリックします。
    または、新しいサーバー負荷分散アクションを定義するには、追加 をクリックして、前の手順のステップに従ってください。
    選択されたサーバー負荷分散アクションが アドレスを追加する ダイアログ ボックスに表示されます。

Screen shot of the Add Address dialog box

  1. OK をクリックして、アドレスを追加する ダイアログ ボックスを閉じます。
  2. OK をクリックし、ポリシー プロパティ ダイアログ ボックスを閉じます。

サーバー負荷分散 SNAT アクションを編集または削除する

SNAT アクション リストで SNAT アクションを編集することができます。

  1. ファイアウォール > SNAT の順に選択します。
    SNAT ページが表示されます。
  2. SNAT アクションを選択します。
  3. 編集 をクリックします。
    SNAT の編集 ページが表示されます。
  4. SNAT アクションを変更します。
    SNAT アクションを編集すると、その SNAT アクションを使用するポリシーすべてに変更が適用されます。
  5. 保存 をクリックします。
  1. セットアップ > アクション > SNAT の順に選択します。
    SNAT ダイアログ ボックスが表示されます。
  2. SNAT アクションを選択します。
  3. 編集 をクリックします。
    SNAT の編集 ページが表示されます。
  4. SNAT アクションを変更します。
    SNAT アクションを編集すると、その SNAT アクションを使用するポリシーすべてに変更が適用されます。
  5. OK をクリックします。

また、ポリシーを編集する際に、Policy Manager で SNAT アクションを編集することができます。

  1. ポリシーを編集するには、ポリシーをダブルクリックします。
    ポリシー プロパティの編集 ダイアログ ボックスが ポリシー タブが選択された状態で表示されます。
  2. 送信先 セクションで、編集する SNAT アクションを選択します。
  3. 編集 をクリックします。
    SNAT の編集 ダイアログ ボックスが表示されます。
  4. SNAT アクションを変更します。
    ポリシーから SNAT アクションを編集すると、その SNAT アクションを使用するすべてのポリシーに変更が適用されます。
  5. OK をクリックします。

ポリシーで使用されていない SNAT アクションは削除することができます。

  1. ファイアウォール > SNAT の順に選択します。
    SNAT ページが表示されます
  2. SNAT アクションを選択します。
  3. 削除 をクリックします。
    確認ダイアログ ボックスが表示されます。
  4. OK をクリックして、SNAT アクションを削除することを確認します。
  1. セットアップ > アクション > SNAT の順に選択します。
    SNAT ダイアログ ボックスが表示されます。
  2. SNAT アクションを選択します。
  3. 削除 をクリックします。
    確認ダイアログ ボックスが表示されます。
  4. はい をクリックして、SNAT アクションを削除することを確認します。
  5. OK をクリックします。

関連情報:

静的 NAT (SNAT) を構成する