皆様こんにちは！ネットワールドSEの相浦です。

AWSにおけるサーバ負荷分散は、様々な機能があり複雑で難しいと感じたことはありませんか？今回は、AWS上のサーバ負荷分散としてFortiADCを使用するというソリューションの第一歩として、FortiADCをAWS上にデプロイするためのガイドをお届けします。

VPCを作成し、ネットワークの構築をしてからFortiADCを立てるところまで、図解付きでのガイドとなっております。

以下、デプロイガイドとなります。画面を並べて実際にAWS上で操作しながら構築を進めていただけたらと思います！

免責事項

本書は、株式会社ネットワールド（以下弊社）が作成・管理します。
本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
本書の利用は、利用者様の責任において行われるとものとします。
本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いかねます。

1. はじめに

Amazon Elastic Compute Cloud (以下Amazon EC2) は、Amazon Web Services (以下AWS) クラウドでスケーラブルなコンピューティング能力を提供します。Amazon EC2 を使用すると、ハードウェアに先行投資する必要がなくなるため、アプリケーションの開発とデプロイを迅速化できます。Amazon EC2 を使用して、仮想サーバの起動、セキュリティとネットワークの設定、ストレージの管理を行うことができます。

このガイドでは、FortiADCをAWS EC2にデプロイする方法を説明します。

ご注意ください：AWSリージョンについて

本手順書は特定のAWSリージョンを基準に記載しております。AWSのサービスはリージョンにより、可用性や機能が変わることがあります。そのため、他のリージョンで本手順を適用する際には、AWS公式ドキュメントや該当リージョンのサービスページで確認をお願いします。

リージョンの選択や設定は、ご自身の責任と判断にてお願いいたします。

2. 構成図

本デプロイガイドの構成図です。

3. ライセンス

FortiADC-VMをAWSのAmazon EC2にデプロイには、次の2つのライセンスタイプが提供されています。

Bring Your Own License (BYOL) — 既にFortiADCのライセンスをお持ちの場合、それを使用してデプロイできます。
オンデマンド — AWS Marketplaceを通じて時間単位で課金されるライセンスです。FortiADCのフルライセンスインスタンス、すべてのFortiGuardサービス、およびテクニカルサポートが含まれています。

Bring Your Own License (BYOL)ライセンスタイプはデプロイ後、15日間の無償ライセンスが利用可能です。但し、制限事項としてHAが構成できません。評価ライセンスを取得しBring Your Own License (BYOL)タイプに適用するとHA構成の利用および60日間の評価を行うことができます。ご利用希望の際は以下URLよりお問い合わせください。

ネットワールドFortinetお問い合わせフォーム https://www.networld.co.jp/forms/product/fortinet.html

本ガイドではBring Your Own License (BYOL)ライセンスタイプを利用してデプロイします。

4. FortiADCを導入する前に

FortiADCをデプロイする前にAWS上の基本設定を行います。

VPCの作成
サブネットの作成
インターネットゲートウェイの作成
デフォルトルートテーブルの作成
セキュリティグループの作成

以下順を追って作成します。

4.1. VPCの作成

VPCを作成し、利用するIPv4アドレス範囲を指定します。

まずVPCを作成するリージョンを決めます。本例では[ロンドン]です。

[VPC]>[VPCを作成]をクリックします。

以下設定を入力します。

作成するリソース：VPCのみ
名前タグ – オプション：FortiADC-VPC
IPv4 CIDR ブロック IPv4：CIDR の手動入力
IPv4 CIDR：10.1.0.0/16

※以降記載のない項目はデフォルト設定とします

[VPCを作成]をクリックします。

VPCが作成されたことを確認します。

4.2. サブネットの作成

サブネットを作成し、利用するセグメントを作成します。

[VPC] > [サブネット] > [サブネットを作成]をクリックします。

作成したVPCを選択します。

VPC ID > FortiADC-VPC

以下設定を入力後、[サブネットの作成]をクリックします。

サブネット名：10_1_1_0
IPv4 サブネット CIDR ブロック：10.1.1.0/24

サブネットが作成されたことを確認します。

4.3. インターネットゲートウェイの作成

インターネットへの出口となるインターネットゲートウェイを作成し、VPCへアタッチします。

[VPC] > [インターネットゲートウェイ] > [インターネットゲートウェイの作成]をクリックします。

以下設定を入力し、[インターネットゲートウェイの作成]をクリックします。

名前タグ：internet_gateway

VPC にアタッチして、VPC がインターネットと通信できるようにします。

作成した[internet_gateway]の[アクション]メニューから[VPCにアタッチ]をクリックします。

アタッチするVPCを確認し、[インターネットゲートウェイのアタッチ]をクリックします。

VPCにインターネットゲートウェイがアタッチされたことを確認します。

4.4. ルートテーブルの作成

ルートテーブルを作成し、実際のネットワークに従ってサブネットの関連付けを構成します。 [ルートテーブル]> [ルートテーブルを作成]をクリックします。

以下設定を入力し、[ルートテーブルを作成]をクリックします。

名前-オプション： FortiADC-VPC-Route-Table
VPC ： FortiADC-VPC

ルートテーブルが作成されたことを確認します。

[ルートテーブル]>[サブネットの関連付け]タブで、[サブネットの関連付けを編集]をクリックします。

サブネット [10_1_1_0]を選択し、[関連付けを保存]をクリックします。

続いて、ルートテーブルにデフォルトゲートウェイを追加します。

[ルートテーブル]>[作成したルートテーブル]>[ルート]から[ルートを編集]をクリックします。

[ルートを追加]をクリックします。

以下の設定を選択し、[変更を保存]をクリックします。

送信先：0.0.0.0/0
ターゲット：インターネットゲートウェイ
ターゲット：4-3 で作成したインターネットゲートウェイ

インターネットゲートウェイが追加されたことを確認します。

4.5. セキュリティグループの作成

セキュリティグループを作成し、FortiADC-VMの「インバウンドルール」と「アウトバウンドルール」を設定します。

[EC2]>[セキュリティグループ]>[セキュリティグループを作成]をクリックします。

以下設定を入力し、インバウンドルールの[ルールを追加]をクリックします。

セキュリティグループ名：Security_Group_Allow_All
説明：all allow
VPC：FortiADC-VPC

以下を入力し、[ルールを保存]をクリックします。

タイプ：すべてのトラフィック
ソース：Anywhere-IPv4

参考）マイIPを指定するとインスタンスへのアクセスは本項目設定時点での、自身のグローバルIPからのみに制限されます。

参考）マイIP（現時点で利用している自身のGlobal IPが自動入力されます）セキュリティグループのルールは適切に設定してください。

アウトバウンドルールはデフォルトのまま[セキュリティグループの作成]をクリックします。セキュリティグループのルールは適切に設定してください。

セキュリティグループが追加されたことを確認します。

5. FortiADC-VMの展開

FortiADC-VMをAWSのAmazon EC2にデプロイします。今回はBring Your Own License (BYOL)ライセンスタイプのインスタンスをデプロイします。

5.1. インスタンスの起動

[EC2]>[インスタンスの起動] をクリックします。

5.2. FortiADC のAmazonマシンイメージ(AMI)選択

仮想マシン名を指定し「アプリケーションおよびOSイメージ（Amazonマシンイメージ）で[FortiADC]を検索します。

名前とタグ FortiADC
アプリケーションおよびOSイメージ（Amazonマシンイメージ） FortiADC

[AWS Marketplace AMI(x)]タブをクリックします

Fortinet FortiADC-VM Application Delivery Controller (BYOL)の[選択]をクリックします。

[インスタンス起動時に購読]をクリックします。

5.3. リージョンと EC2 インスタンスタイプの選択

デプロイするリージョンを確認します。

インスタンス数、EC2 インスタンスタイプ等を選択します。

インスタンス数１
インスタンスタイプ m4.xlarge（自動でメーカ推奨インスタンスタイプが指定されます。）

メモリ 4G以上のメモリをお勧めします

vCPU 利用するライセンスに合わせてインスタンスを選択します。FortiADC-VMはVM01、VM02、VM04、VM08、VM16、VM32が提供されています。数値は利用可能なvCPU数です。例:FortiADC-VM04 4vCPU利用可能ライセンス

5.4. 新しいキーペアの作成とダウンロード

新しいキーペアを作成してダウンロードします。キーペアを作成すると、SSH経由でコマンドラインインターフェイスにアクセスできます。

[新しいキーペアの作成]に記載されている手順を使用します。

以下設定を行い、[キーペアの作成]をクリックします。

キーペア名：FortiADC-keypair
キーペアのタイプ：RSA
プライベートキーファイル形式：.ppk

※putty のみ接続可能であることを確認しています。（2024/4 現在）

5.5. ネットワーク設定

インスタンスのネットワーク設定を構成します。 [編集]をクリックします。

VPC fortinetADC-VPC
サブネット 10_1_1_0
パブリック IP の自動割り当て有効化
プライマリIP 10.1.1.253

5.6. セキュリティ設定

新しいセキュリティグループを作成することも、既存のセキュリティグループから選択することもできます。今回は4-5で作成したセキュリティグループを選択します。

以下の選択をします。

ファイアウォール（セキュリティグループ）既存のセキュリティグループを選択する
共通のセキュリティグループを Security_Group_Allow_All ※4-5で作成したセキュリティグループ

5.7. ストレージ

ルートボリュームは少なくとも1Gのサイズを使用することをお勧めします。

参考）FortiADC-VM仮想ハードディスクのサイズを変更する場合、展開後にインスタンス起動後に次のコマンドを実行します。

＃ execute formatlogdisk

5.8. インスタンス起動

設定を確認しましたら、[インスタンスを起動]をクリックします。 [すべてのインスタンスを表示]をクリックします。

5.9. インスタンスの状態確認

[EC2]>[インスタンス] ページに移動し、インスタンスの状態を確認します。

インスタンス実行中
ステータスチェック 2/2のチェックに合格しました

5.10. 管理画面へのアクセス（ブラウザアクセス）

インターネット経由でFortiADC-VMにアクセスできることを確認します。

HTTPS を使用して Web UI に接続できます。デフォルトの管理者パスワードは AWS インスタンス ID です。

アクセス先 https://パブリックIPv4アドレス
ログインＩＤ admin
パスワードインスタンス ID

Change Your Password が表示される場合はパスワードを変更して、再ログインします。

FortiADC Setup は[Later]をクリックします。 [Cancel]をクリックします。 Language をEnglishから Japanese に変更し、[Save]をクリックします。ブラウザを更新すると、日本語表記になることが確認できます。

5.11. 管理画面へのアクセス（SSHアクセス）

SSH接続を使用してコマンドラインインターフェイス(CLI)に接続します。

※puttyでの接続のみ確認済みのため、その手順を記載します。（2024/4 現在）

puttyを起動します。 FortiADCに割り当てられた[パブリックIPv4アドレス] を指定します。

Host Name(or IP address) パブリックIPv4アドレス
Port 22

[Connection]>[SSH]>[Auth]>[Credentials to authenticate with]をクリックし、 [Private key file for authentication] に[Browse..]より [5-4]で作成、ダウンロードしたppkファイルを指定し、[Open]をクリックします。

[Private key file for authentication] [5-4 新しいキーペアの作成とダウンロード]でダウンロードした ppkファイル

[login as:]プロンプトが表示されたら、[admin] を入力しエンターします。指定したprivate keyを読み込みログインします。 [hostname] # というプロンプトが表示されたらログイン完了です。

[login as:] admin

6. FortiADC-VMインターフェイス作成

FortiADCで利用する Port1はデプロイ時に自動生成されます。Port2以降のインターフェイスを利用するには、サブネットの追加、ネットワークインターフェイスの作成およびFortiADC-VMへのアタッチが必要になります。

6.1. サブネットの追加

[VPC]>[サブネット]に移動し、[サブネットを作成]をクリックします。負荷分散対象サーバを配置するセグメントを作成します。

VPC IP FortiADC-VPC

以下の設定行い、[サブネットの作成]をクリックします。

サブネット名 10_1_2_0
IPv4 サブネットCIDR ブロック 10.1.2.0/24

6.2. ネットワークインターフェイスの作成

[EC2]>[ネットワークインターフェイス]に移動し、[ネットワークインターフェイスの作成]をクリックします。サブネットとセキュリティグループを選択して、プライベートIPを設定します。以下設定を行い[ネットワークインターフェイスの作成]をクリックします。

Description -オプション NI_10_1_2_0
サブネット [5-1]で作成したサブネットを指定
プライベートIPv4アドレスカスタム
IPアドレス 10.1.2.253

セキュリティグループ Security_Group_Allow_All

6.3. インターフェイスのアタッチ

FortiADC-VMインスタンスにインターフェイスを接続します。

作成した[ネットワークインターフェイス]選択し、[アクション]>[アタッチ]を選択します。以下を選択し、[アタッチ]をクリックします。

VPC FortiADC-VPC
インターフェイス FortiADC

6.4. FortiADC-VMの再起動

FortiADC-VMを再起動します。その後、新しいインターフェイスをスタティック設定とします。

[admin]>[システム]>[再起動]

[OK]をクリックします。

ログイン後、[ネットワーク]>[インターフェース]にport2が表示されたことを確認します。右側の鉛筆マークをクリックしてIPアドレスを変更します。

以下の設定し、[保存]をクリックします。

アクセス許可必要な箇所を選択します。
IPv4アドレス/マスク 10.1.2.253/24

7. ライセンスの適用

評価ライセンスファイルを適用します。適用方法は製品ライセンスファイル、評価ライセンスファイルいずれも同一手順です。ご利用の際は3章を参考にネットワールド「Fortinetお問い合わせフォーム」へお問い合わせください。

ブラウザを起動しhttpsアクセスで管理画面にアクセスします。ログイン画面の右上に[バージョン表記]※今回はv7.2.0 Build 0210の[右プルダウン]メニューより[ライセンスをアップグレード]を選択します。

事前に用意したライセンスファイルを[Choose File]より指定します。ライセンスファイルの拡張子は.licです。ライセンスファイルを指定後、↑マークをクリックしFortiADCライセンスファイルをアップロードします。

ライセンスファイル適用時にFortiADCは自動で再起動します。

ログイン画面が表示されましたら、再度ログインします。

ログイン後、[ダッシュボード]>][Main]>[ライセンス]>[詳細]をクリックします。

ログイン後、[ダッシュボード]>][Main]>[ライセンス]>[詳細]をクリックします。 [Valid: License has been successfully authenticated with registration servers.] と表示されていれば適用完了です。評価、製品ライセンスはインターネット上のFortiGuardライセンスと通信し認証を行います。そのためインターネットの状況によっては、ステータス変更に時間がかかることがあります。