第9章 ネットワーク環境の決定と設定
9.1 ネットワーク環境の決定
9.1.1 管理 LAN のネットワークの設計
管理LANには、管理対象機器(サーバ機器、ストレージ機器およびネットワーク機器)のほかに、管理サーバと管理クライアントが接続 されます。
管理LANは複数に分けることができます。この機能を使用することで、管理LANを通じた物理L-Serverのテナント間の通信を遮断でき ます。
マルチテナント機能を利用する場合、各テナント専用に管理LANを用意し、ネットワークプールにテナント専用の管理LANを設定して ください。
これにより、ネットワークのセキュリティを強化できます。
9.1.1.1 設計するために必要な情報
管理LANを設計するために、事前に明確にしておくべき情報を以下に示します。
・ テナント数
・ 管理LANで使用するVLAN IDの数
各機器によってVLAN IDの最大数が異なるため、管理LANと業務LANの両方に接続する機器については、最大数を超えないよ うに決定します。
・ 管理LANで使用するVLAN IDの範囲
各機器によってVLAN IDの使用可能範囲が異なるため、管理LANと業務LANの両方に接続する機器については、使用範囲が 重複しないように決定します。
・ 管理LANのIPアドレスの範囲
管理LANを複数サブネットで運用している場合、管理サーバから管理対象機器および管理クライアントへの通信が必要なため、
管理LAN間でサブネットが重複しないように決定します。
・ 管理経路の冗長構成の有無
9.1.1.2 サーバの管理 LAN について
使用するサーバのNICを決定します。
・ 管理LANに割り当てるNIC
管理サーバと管理対象サーバが使用するNICの数は、以下のとおりです。
非冗長構成の場合: 1つ 冗長構成の場合: 2つ
なお、HBA address rename使用時は、冗長構成、非冗長構成にかかわらず、2つのNICが必要です。
詳細は、「9.1.1.5 HBA address rename使用時に必要なネットワーク構成」を参照してください。
管理対象サーバがPRIMERGYシリーズの場合
- 非冗長構成の場合 NIC1(Index1)
- 冗長構成またはHBA address renameを使用する場合 NIC1(Index1)とNIC2(Index2)
管理対象サーバが使用する上記のNICはデフォルトの値であり、管理対象サーバの登録時に変更できます。
詳細は、「操作ガイド インフラ管理者編 (リソース管理) CE」の「5.4 ブレードサーバを利用する場合」または「5.5 ラックマウント型サー バとタワー型サーバを利用する場合」を参照してください。
管理対象サーバがPRIMEQUESTの場合
- 非冗長構成の場合
パーティションに割り当てられているGSPBで番号が1番小さいNIC (注)
- 冗長構成の場合
パーティションに割り当てられているGSPBのオンボードLANの番号が1番小さいNICと2番目に小さいNIC (注)
注) PRIMEQUEST 2000シリーズの場合、GSPBをIOUに読み替えてください。また、Extended Partitionの場合、IOUのGbEを割り
当ててください。
管理対象サーバがラックマウント型サーバまたはタワー型サーバの場合
ラックマウント型サーバまたはタワー型サーバの背面に並んでいるNICの並びや枚数を確認し、管理LANとして指定するNICの番 号(1,2,...(1から始まる連番))を決定します。
- 非冗長構成の場合 NIC番号が1のNIC
- 冗長構成の場合 NIC番号が1と2のNIC
運用環境に応じて、以下の設定を決定します。
・ 管理LANの冗長設定の有無
管理LANの冗長化は以下のように行ってください。
- 物理L-Serverは、Intel PROSet、GLSまたはLinux bondingなどを利用してください。
- VMホストは、サーバ仮想化ソフトウェアに従ってください。
・ LANスイッチブレードのネットワーク設定
参照
管理LANを複数サブネットで運用している場合、「導入ガイド CE」の「2.1.1 マネージャーのインストール【Windowsマネージャー】」また
は「2.1.2 マネージャーのインストール【Linuxマネージャー】」を参照してDHCPサーバを導入してください。
注意
・ 管理サーバが管理LANで使用できるIPアドレスは1つだけです。
・ マネージャーインストール時に設定したネットワークアドレスが管理LANネットワークリソースとして登録されています。
・ 管理LANのネットワークリソースの仕様変更で、本製品の、管理対象外の機器のIPアドレスを割当て対象外にするIPアドレスに登 録してください。
登録しない場合、本製品の、管理対象外の機器のIPアドレスと重複することがあります。
・ ブレードサーバについて、マネジメントブレードをLANスイッチブレードに接続した場合、LANスイッチブレード故障時にマネジメ ントブレードにアクセスできなくなるため、マネジメントブレードはLANスイッチブレードに接続せずにシャーシの外の管理LAN用 のスイッチに直接接続することをお勧めします。
・ HBA address renameでI/O仮想化を行う場合、管理LANに10Gbpsの拡張NICを指定すると、バックアップ・リストア、クローニングを
利用できません。
・ 管理サーバ上に、DHCPサーバやPXEサーバの機能を持ったほかの製品やサービスを配置しないでください。
ただし、同一ネットワーク上には配置できます。その場合、本製品の管理対象サーバをほかのDHCPサーバの管理対象外にして ください。
・ 管理LANに使用するNICには複数のIPアドレスを設定しないでください。
・ クローニングで、複数台のサーバに同じクローニングイメージを配付する場合、管理LANのスイッチにIGMP snooping機能の設定 が必要になることがあります。IGMP snooping機能を設定しなかった際は、以下の場合、転送性能が低下することがあります。
- 同一ネットワーク内に速度の異なるポートがある場合
- 同時にイメージ操作を実行している場合
・ LANスイッチブレードがPRIMERGY BX900/BX400シリーズであり、かつIBPモードで動作している場合、ServiceLANとServiceVLAN のグループ定義内では管理LANを使用しないでください。
9.1.1.3 ネットワーク機器の管理 LAN について
使用するネットワーク機器(ファイアーウォール、サーバロードバランサー、L2スイッチ、イーサネット・ファブリックスイッチおよびL3スイッ チ)のLANポートを決定します。
図9.2 管理LANの接続例
注) L2スイッチまたはイーサネット・ファブリックスイッチです。
9.1.1.4 通信の安全性
仮想L-Serverと管理サーバ(マネージャー)が通信する場合、以下の構成にしてセキュリティを高めることをお勧めします。
・ 仮想L-Serverが接続する業務LANと、管理LANの間にファイアーウォールを配置する
「付録A ポート一覧」に従って、管理LANにファイアーウォールを設置したり、OSのファイアーウォールを設定したりすることで、安全に 運用できます。
本製品のマネージャーとエージェントは、マネージャーからエージェントに対してHTTPS通信を利用してアクセスします。
図9.3 ネットワーク構成例
注) L2スイッチまたはイーサネット・ファブリックスイッチです。
9.1.1.5 HBA address rename 使用時に必要なネットワーク構成
HBA address renameを使用した管理対象サーバを起動するときは、本製品のマネージャーとの通信が必要です。本製品のマネー
ジャーが停止した場合でも、管理対象サーバが起動できるように、以下の構成にしてください。
・ HBA address rename設定サービスを配置する構成
ここでは、HBA address rename設定サービスを配置する場合のネットワーク構成の設計について説明します。
HBA address rename設定サービスについては、「導入ガイド CE」の「第6章 HBA address rename設定サービスの設定」を参照してくだ さい。
・ 本サービスは管理サーバと同一管理LANに1つだけ動作します。2つ以上起動しないでください。
・ 本サービスはNIC2(Index2)を利用します。
管理対象サーバのNIC2を管理LANに接続してください。
NIC2はデフォルトの値であり、管理対象サーバの登録時に変更できます。
詳細は、「操作ガイドインフラ管理者編 (リソース管理) CE」の「5.4 ブレードサーバを利用する場合」を参照してください。
・ 本サービスは管理サーバから定期的に管理対象サーバ情報を確保し、この情報を元に動作します。したがって、常時電源をON にできるサーバに配置します。
・ 本サービスと管理サーバ間のスイッチ間結線は二重化してください。
注意
HBA address rename設定サービスはSystemcastWizardやほかのDHCPサービス、PXEサービスと同じサーバ上で同時起動できませ ん。
本サービスの構成例は以下のとおりです。
図9.4 HBA address rename設定サービスを起動させる構成例(PRIMERGY BX600の場合)
・ 管理LANのスイッチ間は、リンクアグリゲーションで冗長化します。
・ NIC2(Index2)を管理LANに接続します(デフォルトの場合)。
・ 管理LANのネットワークに別のサーバを接続し、HBA address rename設定サービスを動作させます。
・ HBA address rename設定サービスを動作させたサーバまたはパソコンは、管理対象サーバ運用時には常に電源をONにしておき
ます。