InterSecVM/LB V2.0 for VMware
InterSecVM/LB V2.0 for Hyper-V
- 2 - 商標について
Linux は LinusTorvalds の米国およびその他の国における登録商標または商標です。
UNIXはThe OpenGroupの登録商標です。Microsoft、Windows、Windows Server 2003、Windows Server 2008、Hyper-Vは米国MicrosoftCorporationの米国およびその他の国における登録商標または商標です。 Intel、Pentium、Xeonは米国IntelCorporationの登録商標です。VMwareは米国およびその他の地域にお けるVMware, Incの登録商標または商標です。
AT は米国 International Business MachinesCorporation の米国およびその他の国における登録商標です。 Datalight は Datalight,Inc.の登録商標です。ROM-DOS は Datalight,Inc.の登録商標です。LSI および LSI ロゴ・デザインは LSI 社の商標または登録商標です。Adaptec とそのロゴは、米国 Adaptec, Inc.の
登録商標です。SCSISelect は米国 Adaptec, Inc.の商標です。Adobe、Adobe ロゴ、Acrobat は、
AdobeSystemsIncorporated(アドビシステムズ社)の登録商標または商標です。DLT と DLTtape は米
国QuantumCorporation の商標です。Linux®は LinusTorvalds 氏の日本およびその他の国における登
録商標または商標です。RedHat®および Red Hat Enterprise Linux は、米国 RedHat,Inc.の米国および その他、記載の会社名および商品名は各社の登録商標または商標です。
オペレーティングシステムの表記ついて
Windows Server 2008 R2 は、Windows Server®2008 R2 Standard operating system および Windows Server®2008 R2 Enterprise operating system の略称です。Windows Server 2008 は、Windows Server®2008 Standard operating system および Windows Server®2008 Enterprise operating system の略称です。Windows Server 2003 x64 Editions はWindows®Server2003 R2、Standard x64 Edition operating system および Windows Server®2003 R2,Enterprise x64 Edition operating system または、Windows Server®2003,Standard x64 Edition operating system および Windows Server®2003,Enterprise x64 Edition operating system の略称です。Windows Server2003 は Windows Server®2003 R2 Standard Editionoperating system お よ び Windows Server®2003 R2 Enterprise Edition operating system または、Windows Server®2003 Standard Edition operating system および Windows Server®2003 Enterprise Edition operating system の略称です。Windows2000 は Microsoft® Windows®2000 Server operating system お よ び Microsoft® Windows®2000 Advanced Server operating system 、 Microsoft® Windows®2000 Professional operating system の略称です。Windows7 は Microsoft® Windows®7 operating system の略称です。 Windows Vista は Microsoft ® Windows Vista®Business operating system の略称です。Windows XP x64Edition は、 Microsoft ® Windows® XP Professional x64 Edition operating system の略称です。
Windows XP は Microsoft® Windows® XP Home Edition operating system および Microsoft® Windows® XP Professional operating system の略称です。WindowsNT は Microsoft® Windows®NT Server network operating system version 3.51/4.0 および Microsoft® Windows NT Workstation operating system version 3.51/4.0 の略称です。 Red Hat Enterprise Linux 5 Server は、Red Hat Enterprise Linux 5 Server(x86)および Red Hat Enterprise Linux 5 Server(EMT64T)の総称です。 サンプルアプリケーションで使用している名称は、すべて架空のものです。実在する品名、団体名、個人名とは一切関 係ありません。本製品で使用しているソフトウェアの大部分は、BSD の著作と GNU のパブリックライセンスの条項 に基づいて自由に配布することができます。ただし、アプリケーションの中には、その所有者に所有権があり、再配布 に許可が必要なものがあります。 ご注意 (1)本書の内容の一部または全部を無断転載することは禁止されています。 (2)本書の内容に関しては将来予告なしに変更することがあります。 (3)弊社の許可なく複製・改変などを行うことはできません。 (4)本書は内容について万全を期して作成いたしましたが、万一ご丌審な点や誤り、記載もれなどお気づきのことがありましたら、お買 い求めの販売店にご連絡ください。 (5)運用した結果の影響については(4)項にかかわらず責任を負いかねますのでご了承ください。
はじめに
このたびは、NEC の InterSecVM/LB をお買い求めいただき、まことにありが とうございます。 本製品は、ネットワークに関する機能を、仮想環境において容易に構築し、効率 的に運用できる、NEC の仮想アプライアンス InterSecVM の 1 つです。 用途に適したチューニングにより、堅牢なセキュリティを実現しつつ、高速なネ ットワーク環境を提供いたします。また、セットアップのわずらわしさをまった く感じさせない専用のセットアッププログラムやマネージメントWeb アプリケ ーションは、お客様の一元管理の元でさらに細やかで高度なサービスを提供しま す。 本製品の持つ機能を最大限に引き出すためにも、ご使用になる前に本書をよくお 読みになり、InterSecVM/LBの取り扱いを十分にご理解ください。- 4 -
本書について
本書は、本製品を正しくセットアップし、使用できるようにするための基本的な設 定手順について記述しています。セットアップを行うときや日常使用する上で、わ からないことや具合の悪いことが起きたときは、取り扱い上の安全性を含めてご利 用ください。 本書は常に本製品のそばに置いていつでも見られるようにしてください。 本書では巻頭で示した安全にかかわる注意記号の他に3種類の記号を使用してい ます。これらの記号と意味をご理解になり、装置を正しくお取り扱いください。 装置の取り扱いや、ソフトウェアの操作で守らなければならない 事柄や特に注意をすべき点を示します。 装置やソフトウェアを操作する上で確認をしておく必要がある点 を示します。 知っておくと役に立つ情報や、便利なことなどを示します。本文中の記号について
本書は5つの章から構成されています。それぞれの章では次のような説明が記載されてい ます。
第1章
InterSecVMについて
InterSecVM/LBの特長やソフトウェアについて説明します。第2章 Management Console
InterSecVM/LBが提供するWebベースの運用管理ツールである「Management Console」の概要、利用手順について説明します。第3章 負荷分散
InterSecVM/LBがサポートする負荷分散機能について説明します。第4章 システムのセットアップ
負荷分散の機能を使用するための設定手順について説明します。第5章 運用と保守
ネットワーク設定やメンテナンスなど、運用や保守で必要となる操作手順につい て説明します。本書の構成について
- 6 -
目次
1 章 InterSecVM について ... 8 1.1. InterSecVM とは ... 9 1.2. 機能と特徴 ... 10 2 章 Management Console ... 13 2.1. Management Console とは ... 14 2.2. セキュリティモード ... 15 2.3. ManagementConsole へのアクセス ... 16 2.4. 初期ログイン ... 17 3 章 負荷分散 ... 20 3.1. 負荷分散とは ... 21 3.2. 負荷分散先サーバの決定方式 ... 22 3.3. 振り分け先分散ノードの決定タイミング ... 25 3.3.1. L4 負荷分散 ... 26 3.3.1.1. ダイレクトレスポンス方式(MAT) ... 27 3.3.1.2. NAT(オプション) ... 28 3.3.2. L7 負荷分散 ... 29 3.4. 負荷分散先の固定化 ... 31 3.4.1. L4 負荷分散での固定化方式 ... 33 3.4.1.1. クライアント個別 ... 34 3.4.1.2. クライアント IP ... 36 3.4.2. L7 負荷分散での固定化方式 ... 38 3.4.2.1. URL ... 39 3.4.2.2. i-mode HTML ... 41 3.4.2.3. クライアントタイプ ... 43 3.4.2.4. Cookie(オプション) ... 45 3.5. SSL アクセラレータ(オプション) ... 47 3.6. 負荷分散方式の選択基準 ... 48 4 章 システムのセットアップ ... 50 4.1. ライセンスの登録 ... 51 4.2. 二重化構成の設定 ... 52 4.2.1. 二重化の仕組み ... 53 4.2.2. コーディネータの設置 ... 55 4.2.3. LB 基本設定 ... 56 4.2.4. バックアップコーディネータの設置 ... 58 4.2.5. 死活監視間隔の設定 ... 59 4.3. 負荷分散の設定 ... 61 4.3.1. 負荷分散グループの追加 ... 62 4.3.1.1. 簡易設定 ... 63 4.3.1.2. 詳細設定 ... 64 4.3.2. 負荷分散グループの設定変更 ... 67 4.3.3. 分散ノードの追加/変更/削除 ... 69 4.3.4. 負荷分散グループの削除 ... 71 5 章 運用と保守 ... 725.1. 分散ノードの運用と保守 ... 73 5.1.1. 分散ノードのヘルスチェック ... 73 5.1.1.1. ヘルスチェック監視間隔の設定 ... 74 5.1.1.2. ヘルスチェックの設定 ... 76 5.1.2. 分散ノードの待機系機能の利用 ... 78 5.1.3. 分散ノードの切り離し/復旧 ... 80 5.1.4. 分散ノードの状態の確認 ... 82 5.2. システム ... 84 5.2.1. システムの停止/再起動 ... 84 5.3. 管理者用アカウント ... 85 5.3.1. 管理者アカウントの設定変更 ... 85 5.4. サービス ... 87 5.4.1. サービスの起動/停止 ... 88 5.5. 時刻の設定 ... 90 5.5.1. 時刻の設定(手動) ... 90 5.5.2. 時刻の設定(NTP) ... 91 5.6. ネットワークの設定 ... 93 5.6.1. ネットワークの基本設定 ... 94 5.6.2. IP アドレスの設定 ... 96 5.6.2.1. ネットワークインタフェース(LAN)毎の設定 ... 97 5.6.2.2. エイリアスの追加 ... 100 5.7. IPv6 アドレスの利用 ... 103 5.7.1. IPv6 有効化の設定 ... 103 5.7.2. IPv6 対応機能 ... 104
- 8 -
1章
InterSecVMについて
本製品の特長や導入の際に知っておいていただきたい事柄について説明します。
InterSecVM/LB
InterSecVM について
テムのセットアップ
1
1
1.1. InterSecVM とは
InterSecVM は、各サーバ機能とオペレーティング システムを仮想マシンの形式に事前に 構成して提供する仮想アプライアンスです。仮想アプライアンスを VMware vSphere Server や Hyper-V の仮想環境上に1つの仮想マシンとしてインポートすることで利用で きるようになります。 仮想アプライアンスとしてお客様の運用目的に特化した設計を行っております。必要のな いサービス/機能を省くことでセキュリティホールの可能性を低減するなど、インターネッ トおよびイントラネットの構築時に丌可欠なセキュリティについて考慮された、インター ネットセキュリティ製品です。 ● 高い拡張性 専用の仮想アプライアンスとして、機能ごとに単体ユニットで動作させているために 用途に応じた機能拡張が容易に可能です。また、複数ユニットで冗長化構成にするこ とによりシステムを拡張していくことができます。 ● コストパフォーマンスの向上 運用目的への最適なチューニングが行われているため、単機能の動作において高い性 能を確保できます。また、単機能動作に必要なモジュールのみ提供しているため、余 剰がなく低コスト化が実現されています。また、仮想環境のハードウェア性能を向上 させることで、負荷増大にも柔軟に対応可能です。 ● 管理の容易性 Web ベースの運用管理ツールから、環境設定や運用時における管理情報など、単機能 が動作するために必要な設定のみを入力します。導入・運用管理が容易に行えます。- 10 - LB300g 動的切り離し 動的追加 二重化時のフェイルオーバ クライアントからのリクエストを ルールに従って最適に分散 マルチプラットフォームに対応 -Express5800/MW300g,500g -Express5800/CS300g,500g -Express5800/VC300g -Linux - Windows 2000, 2003 - Solaris8 (SPARC版) iモードからのアクセスで サーバを固定化 クライアントへのダイレクトレスポンス CPU負荷状態の通知 負荷分散機能概要図 待機系 メールサーバ 電子メールによる異常通報 : サーバダウン,ファイルオーバー発生など 電子メールによる異常通報:サーバダウン,フェイルオーバ発生など Virtual Machine Virtual Machine InterSecVM/LB OS ロードバランサ Virtual Machine Virtual Machine InterSecVM/LB OS ロードバランサ Virtual Machine Virtual Machine InterSecVM/LB OS ロードバランサ Virtual Machine Virtual Machine InterSecVM/LB OS ロードバランサ InterSecVM/LB クライアントからのリクエストを ルールに従って最適に分散 二重化時のフェイルオーバ Virtual Machine Virtual Machine InterSecVM/MW OS メール/ DNS・ DHCP Virtual Machine Virtual Machine InterSecVM/MW OS メール/ DNS・ DHCP Virtual Machine Virtual Machine InterSecVM/CS OS プロキシ/ Web フィルタリング Virtual Machine Virtual Machine InterSecVM/CS OS プロキシ/ Web フィルタリング マルチプラットフォームに対応 -Express5800 InterSec -InterSecVM -Linux 負荷分散機能概要 LB300g 動的切り離し 動的追加 二重化時のフェイルオーバ クライアントからのリクエストを ルールに従って最適に分散 マルチプラットフォームに対応 -Express5800/MW300g,500g -Express5800/CS300g,500g -Express5800/VC300g -Linux - Windows 2000, 2003 - Solaris8 (SPARC版) iモードからのアクセスで サーバを固定化 クライアントへのダイレクトレスポンス CPU負荷状態の通知 負荷分散機能概要図 待機系 メールサーバ 電子メールによる異常通報 : サーバダウン,ファイルオーバー発生など 電子メールによる異常通報:サーバダウン,フェイルオーバ発生など Virtual Machine Virtual Machine InterSecVM/LB OS ロードバランサ Virtual Machine Virtual Machine InterSecVM/LB OS ロードバランサ Virtual Machine Virtual Machine InterSecVM/LB OS ロードバランサ Virtual Machine Virtual Machine InterSecVM/LB OS ロードバランサ InterSecVM/LB クライアントからのリクエストを ルールに従って最適に分散 二重化時のフェイルオーバ Virtual Machine Virtual Machine InterSecVM/MW OS メール/ DNS・ DHCP Virtual Machine Virtual Machine InterSecVM/MW OS メール/ DNS・ DHCP Virtual Machine Virtual Machine InterSecVM/CS OS プロキシ/ Web フィルタリング Virtual Machine Virtual Machine InterSecVM/CS OS プロキシ/ Web フィルタリング マルチプラットフォームに対応 -Express5800 InterSec -InterSecVM -Linux 負荷分散機能概要
1.2. 機能と特徴
本製品は、複数サーバへの負荷分散を目的とした仮想アプライアンスです。本製品のロー ドバランシング用ソフトウェア(コーディネータ)は、仮想アプライアンスとして負荷分 散機能の性能と信頼性を重視して開発されています。負荷分散対象サーバ(分散ノード) の状態監視機能により、個々のサーバの状態に応じたきめ細かな負荷分散制御を実現しま す。 ,2008InterSecVM/LB では次の機能を提供します ネットワーク負荷の分散機能 分散ルールに応じて、分散ノードへのトラフィック(要求)を分散させます。 - Round Robin (ラウンドロビン) 分散ノードはすべて対等として扱われ、クライアントからの要求を分散ノードに順 番に割り当てます。 - Least Connection (最尐コネクション) 接続された要求数(TCPコネクション数)の最も尐ない分散ノードに、次のクライア ントからの要求を割り当てます。 - 分散ノードの固定化 クライアントのIPアドレスにより、分散先の分散ノードを固定します。 静的重み付けの分散機能 分散ノードの諸元(メモリ搭載量、動作AP数など)を考慮した各分散ノードへの重み 付けにより分散させます。 CPU負荷に応じた分散機能 分散ノードのCPU負荷状況に応じて、トラフィック(要求)を最適サーバへ分散させます。 - Weighted Round Robin(CPU負荷に応じたラウンドロビン)
クライアントからの要求をCPU負荷が最も尐ない分散ノードに順番に割り当てま す。
- Weighted Least Connection (CPU負荷と最尐コネクション)
分散ノードごとにCPU負荷とコネクション数を元に計算を行い、計算結果が最小の 分散ノードに分散を行います。 クライアントへのダイレクトレスポンス 分散ノードからのレスポンス(応答)はコーディネータを経由しません。直接クライアン トに返すことによりスループット(処理応答時間)を向上させます。ただし、iモード、 URL、クライアントタイプ、cookie(オプション)による分散ノードの固定化(Webサ ーバ固定化)を利用する場合やNAT負荷分散を利用する場合のレスポンスはLBを経由 します。 分散ノードの動的追加・切り離し 分散ノードの追加、停止→再開、切り離しはシステムを停止させずに行うことができま す。システムを停止させることなくメンテナンスが行えるため、クライアントからの要 求にいつでも対応できます。 分散ノードを常に監視しているため、Webサーバ等に障害が起こった場合は、自動的に 分散対象から切り離します。またWebサーバが復旧した場合は、自動的に分散ノードと して追加します。コーディネータ側での分散ノードの登録、削除手続きは丌要です。 分散ノードの待機 特定の分散ノードを待機状態(分散対象にはならない)とし、その他の分散ノードがダウ
- 12 - 二重化 二重化システムにすることで、本製品の障害発生時に、スタンバイ側に負荷分散制御 を引き継ぐことができます。コーディネータ復旧後は、自動的にフェイルバックを行 いますので、フェイルバックのためのオペレーションは丌要です。本製品のフェイル オーバクラスタ構成は、最大2台です。 監視/通報機能 プロセス異常やファイル異常を監視しその自動復旧を行うことができます。また、そ の異常内容やフェイルオーバ発生等をE-Mailで通報することができます。 セッション維持機能 以下の設定で個々のセッション維持を設定できます。 - TCP無通信タイムアウト時間 - TCP-FINコネクション情報保持時間 モニタおよび統計情報の表示機能 本装置の状態や接続数、負荷分散データ量をWebブラウザで表示・確認できます。 分散先の固定化機能 分散先を固定化する2つのタイプの機能をサポートしています。詳細は3章を参照して ください。 - 分散ノード固定化機能(L4負荷分散) 時間指定による、クライアント(IPアドレスで区別)ごとの分散ノード固定化 - Webサーバ固定化機能(L7負荷分散) Webサーバに特化した、iモード、URL、クライアントタイプ、cookie(オプショ ン)による固定化 クライアントのIPアドレス通知機能 HTTPリクエストヘッダにクライアントのIPアドレスを「X-Forwarded-For」ヘッダと して付加します。これによりクライアントのIPアドレスを分散ノードに通知できます。 *「Webサーバ固定化機能(L7負荷分散)」利用時に有効になります。 L4負荷分散利用時は、クライアントのIPアドレスは直接分散ノードに通知されます。 *現状Cookie固定化利用時はHTTPリクエストヘッダに「X-Forwarded-For」ヘッダを 付加しません。 分散ノードモジュールが対応しているOS
分散ノードとして、Windows Server 2003、Windows Server 2008、Linux(RedHat など)のサーバが利用可能です。
2章
Management Console
この章では、Webベースの運用管理ツールである「Management Console」の概 要、利用手順について説明します。InterSecVM/LB
Management Console
2
2
4
4
- 14 -
2.1. Management Console とは
ネットワーク上のクライアントマシンから Webブラウザを介してInterSecVM/LBのさ まざまな設定の変更や状態の確認ができます。このWebベースの運用管理ツールのこと を「Management Console」と呼びます。 Management Consoleの各画面の説明についてはヘルプを参照ください。2.2. セキュリティモード
Management Consoleでは日常的な運用管理のセキュリティを確保するため、3つのセキ ュリティモードをサポートしています。 レベル2(パスワード + SSL) パスワード認証に加えて、パスワードや設定情報をSSLで暗号化して送受 信します。自己署名証明書を用いていますので、ブラウザでアクセスする 際に警告ダイアログボックが表示されますが、[はい]などをクリックし てください。 レベル1(パスワード) パスワード認証による利用者チェックを行います。ただし、パスワードや 設定情報は暗号化せずに送受信します。 レベル0(なし) パスワード認証も暗号化も無しでManagement Consoleを使用すること ができます。 危険ですので、このモードはデモや評価の場合のみにご使用ください。 セキュリティモードは初期設定「レベル2」となっています。セキュリティレベ ルを変更する場合は、システム管理者用Management Console画面の [Management Console]アイコンをクリックして設定を変更してください。ま た、同画面で操作可能ホストを設定することにより、さらに高いレベルのセキュ リティを保つことができます。- 16 -
2.3. ManagementConsole へのアクセス
Management Consoleへのアクセス手順は、セキュリティモードによって異なっています。 クライアント側のWebブラウザを起動し、下記のURLにアクセスしてください。 セキュリティモード URL レベル2 https://<アドレス>:50453/ レベル1 http://<アドレス>:50090/ レベル0 ※ <アドレス>の部分には、InterSecVM/LBに割り当てたIPアドレスまたはFQDNを指定 してください。 Management Console へのアクセスには、プロキシを経由させないで ください。 レベル 2 では、HTTPS プロトコル、ポート番号 50453 を使用します。 セキュリティの観点において、レベル0はデモや評価の場合にのみご使用く ださい。2.4. 初期ログイン
システムセットアップ後、初めてManagement Consoleへログインする場合の手順を説明し ます。 (1) 管理クライアントのWebブラウザから以下のURLに接続します クライアントPC上でWebブラウザ(Webブラウザは、Internet Explorer 6.0 SP2以上) を起動します。Webブラウザの設定では、プロキシを経由しないで接続してください。 もしくは https://本システムに割り当てた FQDN:50453/ https://本システムに割り当てた IP アドレス:50453/ セキュリティモードの初期設定はレベル2となっていますので、レベル2の URL にアクセスします。- 18 -
管理コンソールにログインするManagement Console のURLにアクセスすると「セキュ リティの警告」画面が表示されます。
Internet Explorer 6.0 の場合は、[はい(Y) ]をクリックしてください。
Internet Explorer 7.0の場合は、[このサイトの閲覧を続行する(推奨されません) ]をク リックしてください。 (2) 管理コンソールのログイン画面が表示されます。“システム管理者ログイン” をクリッ クしてください。 InterSecVM では、暗号化を目的に、SSL を利用しているため、証明書は独自 に生成しています。ログインにおいて警告が表示されますが、セキュリティに おいて問題はありません。
ユーザ名に「admin」、パスワードには、初期セットアップ時に指定した管理者パス ワードを入力してください。管理者用のトップページが表示されます。 (3) 管理者用のトップページが表示されます。 Webブラウザに表示された画面から各種シ ステムの設定ができます。 システム管理者用トップページ ブラウザ上から設定した項目(アイコン)をクリックすると、 それぞれの設定画面に移動することができます。
- 20 -
3章
負荷分散
この章では、InterSecVM/LBがサポートする負荷分散機能の詳細について説明し ます。InterSecVM/LB
負荷分散
3
3
4
4
3.1. 負荷分散とは
負荷分散の基本は、クライアントからの要求を複数の分散ノードに割り振る機能となりま す。 クライアントからはInterSecVM/LB の仮想 IP アドレスのサーバが処理を実行しているよ うに見えます。InterSecVM/LB が複数の分散ノードに処理を割り振ることにより、過負 荷等による応答遅延等を防ぐことができるようになります。 InterSecVM/LB インターネット 分散ノードA 分散ノードB 分散ノードC クライアント クライアントからの要求を、複数の 分散ノードに割り振る 仮想IP アドレス IP アドレス A IP アドレス B IP アドレス C- 22 -
3.2. 負荷分散先サーバの決定方式
クライアントからの要求を受け付けた時に、どの分散ノードに割り振るかを決定する方式 として下記が利用できます。 負荷分散方式 説明 ラウンドロビン (rr) クライアントからの要求を、分散ノードに順番に(A→B →C→A…のように)割り当てます。 最尐コネクション (lc) クライアントからの要求を、接続数(TCP コネクション 数)の最も尐ない分散ノードに割り当てます。 静的重み付けラウンドロビン (wrr) 各分散ノード毎に静的な重み付けを行ったラウンドロ ビン(rr)を行います。 動的重み付けラウンドロビン (wrrc) 各分散ノードの CPU 負荷に応じた重み付けを行ったラ ウンドロビン(rr)を行います。 静的重み付け最尐コネクション (wlc) 分散ノードごとに以下の値を計算し、この値が最小の分 散ノードに分散を行います。 (分散されているコネクション数/総コネクション数) /分散ノードに設定されている重み 動的重み付け最尐コネクション (wlcc) 各分散ノードの CPU 負荷に応じた重み付けを行った最 尐コネクション(lc)を行います。 InterSecVM/LB インターネット 分散ノードA 分散ノードB 分散ノードC クライアント 分散先サーバの決定方式 仮想IP アドレス IP アドレス A IP アドレス B IP アドレス CCPU負荷による重み付けのルールは以下のようになっています。 ※CPU負荷による動的重み付け使用の際は以下のように算出されます。 (CPU100%時の重み付けは「1」です) 重み付け = 初期重み付け × (1-CPU負荷率) 例:CPUクロック 1GHzの分散ノード 初期重み付け→ 1000(MHz) / 100 = 10 CPU負荷率80%→ 10 × (1-0.8) = 2 CPU負荷率20%→ 10 × (1-0.2) = 8
- 24 - InterSecVM/LB インターネット 分散ノードA 分散ノードB 分散ノードC クライアント 仮想IP アドレス 分散ノードモジュール 分散ノードモジュール 分散ノードモジュール CPU 負荷に応じた重み付け を行う場合は、分散ノードに 分散ノードモジュールのイ ンストールが必要です。 分散ノードのCPU 負荷情報 CPU 負荷に応じた重み付けを行う場合、各分散ノードに分散ノードモジュ ールのインストールが必要になります。 分散ノードモジュールをインストールしていない場合は、分散ノードステー タスが「Disable」となり、重み付け「1」の状態で分散ノードを決定します。 分散ノードモジュールのインストール手順については、「分散ノード用ユーザ ーズガイド」をご参照ください。
3.3. 振り分け先分散ノードの決定タイミング
クライアントからの要求をどの分散ノードに振り分けるか決定するタイミングは、通信の どのレベルで割り振りを行うかにより、下記の2つの方式にわけられます。 L4負荷分散 L4(トランスポート層)レベルとして、TCPコネクション確立要求タイミン グで振り分けを行います。 L7負荷分散 L7(アプリケーション層)レベルとして、HTTP要求受信タイミングで振り 分けを行います。 通常はL4 負荷分散を使用してください。 後述(「3.4. 負荷分散先の固定化」)する HTTP に特化した固定化を行いたい場 合にL7 負荷分散を使用してください。- 26 -
3.3.1. L4 負荷分散
TCP/UDP レベルで負荷分散を行います。 TCP コネクション要求受付時に、分散先の分散ノードを決定します。 L4 負荷分散では、クライアントと InterSecVM/LB と分散ノード間のアドレス変換方式と して、下記の2つが利用できます。 ダイレクトレスポンス方式 (MAT:MAC Address Translation)応答性能を重視した、MAC アドレスベースのアド レス変換を行う方式です。
NAT(Network Address Translation) IP アドレスベースのアドレス変換を行う方式です。
クライアント InterSecVM/LB 分散ノードA TCP コネクション要求受付時に分散先 の分散ノードを決定 TCPコネクション確立要求 TCPコネクション確立要求 TCPコネクション確立応答 TCPコネクション確立応答 HTTP要求 HTTP要求 HTTP応答 HTTP応答 ・ ダイレクトレスポンス方式では、分散ノードへの設定が必要です。 ・ ダイレクトレスポンス方式の応答はInterSecVM/LB を経由せず、クライア ントへ直接送信されます。(※上記の図はNAT 方式のイメージです)
3.3.1.1. ダイレクトレスポンス方式(MAT)
クライアントからの要求を、MAC アドレスを変換して分散ノードに転送する方式です。 分散ノードからのレスポンスは IntersecVM/LB を経由せず、直接クライアントに送信さ れますので効率的な負荷分散を行うことができます。(※上記の例ではクライアントのセグ メントが異なっており、クライアントからLB へのパケットや分散ノードからのレスポン スパケットはルータ経由となるため、MAC アドレスは実際には図の通りとはなりません が、ここでは説明用に簡略化しています) クライアント InterSecVM/LB 分散ノード IP:192.168.1.50MAC:xxxxxxxxxx50 仮想IP:10.1.1.100 IP:10.1.1.1 MAC:xxxxxxxxxx01
IP:10.1.1.11 MAC:xxxxxxxxxx11 ループバックIP:10.1.1.100 要求元MAC:xxxxxxxxxx50 要求元IP:192.168.1.50 送信先MAC:xxxxxxxxxx01 送信先IP:10.1.1.100 要求元MAC:xxxxxxxxxx01 要求元IP:192.168.1.50 送信先MAC:xxxxxxxxxx11 送信先IP:10.1.1.100 要求元MAC:xxxxxxxxxx11 要求元IP:10.1.1.100 送信先MAC:xxxxxxxxxx50 送信先IP:192.168.1.50 MAC の変換 レスポンスはInterSecVM/LB を経由せず、クライアントへ直接送信 InterSecVM/LB と分散ノードは同一セグメントで、 分散ノードに分散ノードエージェントの導入、または IPTABLES(Linux)やルー プバックアダプタ(Windows)の設定が必要となります。 ダイレクトレスポンス方式(MAT)を利用するには、下記が必要となります。 ・InterSecVM/LB と分散ノードは同一セグメントに配置 ・分散ノードに、ループバックアダプタ(Windows)または IPTABLES(Linux)の 設定が必要(※Linux の場合、分散ノードモジュールの導入により IPTABLES の設定が丌要となります) 分散ノードモジュールのインストール手順については、「分散ノード用ユーザー ズガイド」をご参照ください。
- 28 -
3.3.1.2. NAT(オプション)
クライアントからの要求を、IP アドレスを変換して分散ノードに転送する方式です。 分散ノードからのレスポンスはIntersecVM/LB を経由してクライアントに送信されます。
クライアント InterSecVM/LB 分散ノード
IP:192.168.1.50 仮想IP:10.1.1.100 IP:10.1.1.1 IP:172.168.1.11 要求元IP:192.168.1.50 送信先IP:10.1.1.100 要求元IP:192.168.1.50 送信先IP:172.168.1.11 IP アドレスの変換 InterSecVM/LB と分散ノードは別セグメントでも対応可能ですが、 分散ノードのデフォルトゲートウェイにInterSecVM/LB の設定が必要となります。 要求元IP:10.1.1.100 送信先IP:192.168.1.50 要求元IP:172.168.1.11 送信先IP:192.168.1.50 NAT を利用するには、下記が必要となります。 ・分散ノードからのレスポンスがInterSecVM/LB を経由するよう、分散ノード のデフォルトゲートウェイとしてInterSecVM/LB を設定。(LB を二重化する 場合、デフォルトゲートウェイアドレス用に新規に割り当てた仮想IP を付不 した空の分散グループの作成が必要です) また、InterSecVM/LB と分散ノードが別セグメントの場合、経路上のルータ に経路情報の登録が必要な場合があります。 ・クライアントと分散ノードは異なるセグメントに配置(同一セグメントの場合、 本方式は利用できません)
3.3.2. L7 負荷分散
Web(HTTP)のレベルで負荷分散を行います。 HTTP 要求受付時に、分散先の分散ノードを決定します。 HTTP 要求の内容まで確認することができますので「3.4. 負荷分散先の固定化」におい て、HTTP の内容(URL や Cookie 等)を利用して負荷分散先の固定化を行うことができま す。 クライアント InterSecVM/LB 分散ノードA HTTP 要求受付時に分散先の分散ノー ドを決定 TCPコネクション確立要求 TCPコネクション確立要求 TCPコネクション確立応答 TCPコネクション確立応答 HTTP要求 HTTP要求 HTTP応答 HTTP応答 ・通常はL4 負荷分散を使用してください。 後述(「3.4. 負荷分散先の固定化」)する HTTP に特化した固定化を行いたい 場合にL7 負荷分散を使用してください。- 30 -
L7 負荷分散では、InterSecVM/LB がプロキシのように動作してクライアントからの要求 を分散ノードに転送します。
クライアント InterSecVM/LB 分散ノード
IP:192.168.1.50 仮想IP:10.1.1.100 IP:10.1.1.1 IP:10.1.1.11 要求元IP:192.168.1.50 送信先IP:10.1.1.100 要求元IP:10.1.1.1 送信先IP:10.1.1.11 InterSecVM/LB と分散ノードは別セグメントでも利用可能 要求元IP:10.1.1.100 送信先IP:192.168.1.50 要求元IP:10.1.1.11 送信先IP:10.1.1.1
3.4. 負荷分散先の固定化
クライアントからの要求は、HTTP リクエスト単位で分散ノードに割り振られます。 このため、複数の連続したクライアントからの要求を同一の分散ノードで処理する必要が ある場合、クライアントからの連続した要求を同じ分散ノードに割り当てる必要がありま す。(例えば、販売サイト等でログイン認証した後、購入受付するような処理で、ログイン 要求は分散ノードA、購入受付は別の分散ノード B に割り振られると、どのユーザに対す る処理かわからなくなり正しく処理できないため、全て分散ノードA に要求を割り振る必 要がある場合などが考えられます) InterSecVM/LB インターネット 分散ノードA 分散ノードB 分散ノードC クライアントA クライアントからの連続した 要求(①②…)を同一の分散ノ ードに割り当てる 仮想IP アドレス クライアントB ①ユーザログイン要求 ②購入要求 :- 32 - クライアント InterSecVM/LB 分散ノードA 固定化時間経過 分散ノードB 固定化により、同じ分散ノー ドに割り当てる 同じクライアント(要求元 IP アドレス)から固定 化時間要求がない場合は、分散先サーバの決定方 式に従って、別の分散ノードに割り振る 固定化時間について 負荷分散の固定化を行うと、複数の要求を同一の分散ノードに割り振りますが、 各要求間の間隔がある一定時間を超えると、「3.3. 振り分け先分散ノードの決 定タイミング」に従って新しい分散ノードに割り当てられます。 この一定時間を固定化時間と呼びます。
3.4.1. L4 負荷分散での固定化方式
クライアントのIP アドレスにより、分散先ノードの固定化を行うことができます。 固定化の方式として下記が利用できます。 クライント個別 要求元クライアント(IP アドレス)単位に、分散ノードの固定化を行 います。分散ノードの決定は負荷分散方式に従います。 クライアントIP クライアント個別の固定化に加えて、更にクライアントの IP アドレ スにより分散先ノードを限定することができます。 各分散ノードで受け付けるクライアントのIP アドレスを指定(個別と 範囲指定があります)します。- 34 -
3.4.1.1. クライアント個別
要求元クライアント(IP アドレス)単位に、分散ノードの固定化を行います。分散ノード の決定は「3.2. 負荷分散先サーバの決定方式」に従います。 固定化の判定は下記のように行います。 InterSecVM/LB インターネット 分散ノードA 分散ノードB 分散ノードC クライアントA 仮想IP アドレス クライアントB IP アドレス 1 IP アドレス 2 クライアントのIP アドレス を元に固定化を行う 要求元IP で固定化済み? 固定化済みの分散ノードにアクセス 新たに分散先ノードを決定し固定化 start end yes noInterSecVM/LB 分散ノードA 分散ノードB 分散ノードC クライアントA クライアントB IP アドレス 1 IP アドレス 2 要求元がプロキシのIP アド レスとなるため、クライアン トA と B の要求が同じ分散 ノードに割り振られる。 プロキシ インターネット 仮想IP アドレス IP アドレス 3 プロキシサーバ等、送信元IP アドレスを集約するような装置をご利用の場 合、送信元 IP アドレスが装置の IP アドレスに集約され、分散先の固定が 偏る可能性があります。
- 36 -
3.4.1.2. クライアント IP
クライアント個別の固定化に加えて、更にクライアントの IP アドレスにより分散ノード を限定することができます。 各分散ノードに、要求を受け付けるクライアントのIP アドレスを指定(個別と範囲指定が あります)します。 何れの分散ノードにも登録されていないクライアントの IP アドレスのアクセスがあった 場合、分散グループ全体で分散され、何れかで固定化されます。 InterSecVM/LB 分散ノードA 分散ノードB 分散ノードC クライアントA クライアントB IP アドレス 1 IP アドレス 2 クライアントB は、常に分 散ノードC に割り当てる IP アドレス 1 IP アドレス 2 仮想IP アドレス インターネット 各分散ノードが処理を受け持つ、ク ライアントのIP アドレスを登録 クライアントA は、分散ノ ードA と B に負荷分散先サ ーバの決定方式に従って固 定化を行う固定化の判定は下記のように行います。 要求元IP で固定化済み? 固定化済みの分散ノード にアクセス 要求元 IP が登録されて いる分散ノードから、分 散先を決定し固定化 start end yes no 登録あり? yes no 要求元IP アドレスが、分 散ノードに登録されてい るか検索 全ての分散ノードから、 分散先を決定し固定化 プロキシサーバ等、送信元IP アドレスを集約するような装置をご利用の場 合、送信元 IP アドレスが装置の IP アドレスに集約され、分散先の固定が 偏る可能性があります。
- 38 -
3.4.2. L7 負荷分散での固定化方式
HTTP の内容を解析して、分散ノードの固定化を行うことができます。 固定化の方式として下記が利用できます。URL 分散ノード(Web サーバ)において、受け付ける URL のパターン を設定することにより分散先を固定化することができます。URL パターンの指定には、URL、ディレクトリ、拡張子の 3 つの種類が あります。 i-mode HTML i モード端末からのリクエストを、最初のリクエストで分散したノ ードに固定化する機能です。 クライアントタイプ 要求元のクライアントが i モード端末かそれ以外(一般の PC など) かにより分散先を固定化する機能です。
Cookie(オプション) 分散先サーバがCookie を使用している場合、Cookie 情報から要求 元のクライアントと分散先を固定化する機能です。
3.4.2.1. URL
クライアント(要求元 IP により判定)と、アクセスを行う URL のパターン(URL、ディレク トリ、拡張子)の組み合わせで分散ノードの固定化を行います。 同じURL へのアクセスでも、要求元 IP が異なれば別の固定化が行われます。 例えば、上図においてクライアント A から http://host/abc/のアクセスが、分散ノード A に固定化されている状態で、別のクライアント(要求元 IP が異なる)から http://host/abc の アクセスがあれば、新規のアクセスとして「3.2. 負荷分散先サーバの決定方式」に従っ て、負荷分散ノードが決定されます。 URL での固定化を行う場合、各分散ノードに、要求を受け付ける URL のパターンを指定 します。 各分散ノードに登録されていないURL パターンのアクセスがあった場合、URL パターン 登録なしの分散ノードに固定化します。URL パターンの登録がない分散ノードが存在しな い場合は、InterSecVM/LB がエラーページを返送します。 InterSecVM/LB 分散ノードA 分散ノードB 分散ノードC クライアントA http://host/abc/ http://host/xyz/ http://host/xyz/ へ の ア ク セ ス は分散ノードC に割り当てる http://host/abc/ http://host/xyz/ 仮想IP アドレス インターネット 各分散ノードが処理を受け持つ、 URL のパターンを登録 http://host/abc/ へ の ア ク セ スは、分散ノードA と B に 負荷分散先サーバの決定方 式に従って固定化を行う- 40 - 固定化の判定は下記のように行います。 固定化済みの分散 ノードにアクセス URL が登録されて いる分散ノードか ら、分散先を決定し 固定化 start end 登録あり? yes no URL が、各分散ノードの 登録パターンと一致する か検索 yes no 要求元IP と URL で固定化済み? URL 登録なしノードあり? URL 登録なし分散 ノードから、分散先 を決定(固定化な し) yes no エラーページを返 送
URL 固定化は、クライアント(要求元 IP)と URL の組み合わせで行われますが、 固定化時間は要求元IP 毎に管理しています。このため、あるクライアント(要 求元 IP)に対して、URL-A、URL-B で固定化している場合、どちらか一方の URL(URL-A)にアクセスがあれば、他方(URL-B)に関しても固定化時間が延長 されます。 プロキシサーバ等、送信元IP アドレスを集約するような装置をご利用の場合、 送信元IP アドレスが装置の IP アドレスに集約され、分散先の固定が偏る可能 性があります。
3.4.2.2. i-mode HTML
i モード端末からのリクエストを、最初のリクエストで分散したノードに固定化する機能 です。固定化は InterSecVM/LB がレスポンスにタグ情報を付加し、付加したタグ情報を 元に行います。 InterSecVM/LB インターネット 分散ノードA 分散ノードB 分散ノードC i-mode端末A 仮想IP アドレス i-mode端末B InterSecVM/LB が追加する タグ情報を元に固定化 InterSecVM/LB i-mode端末 分散ノード 最初のリクエスト (タグ情報なし) いずれかの分散ノード に割り当て レスポンスにタグ情報を付加 2回目以降のリクエスト (タグ情報あり) タグ情報を元に固定化- 42 - 固定化の判定は下記のように行います。 タグ情報あり? 固定化済みの分散ノードにアクセス 新たに分散先ノードを決定し固定化 (レスポンスにタグ情報を付加) start end yes no i-mode HTML で固定化を行う場合、固定化時間は無効となります。 リクエスト間が、固定化時間以上あいた場合でもタグ情報を元に固定化を行い ます。
3.4.2.3. クライアントタイプ
HTTP リクエストに含まれる「User-Agent:」から端末種別(i-mode 端末 or PC 端末)を判 定し、端末種別ごとに割り当てる分散ノードを限定します。 i-mode 端末の固定化は「3.4.2.2. i-mode HTML」に従って行います。 PC 端末の固定化は、要求元 IP アドレスに従って行います。 InterSecVM/LB 分散ノードA 分散ノードB 分散ノードC PC端末A PC 端末からのアクセスは要 求元IP アドレスで固定化 i-mode 端末 PC 端末 仮想IP アドレス インターネット 各分散ノードが処理を受け持つ、 クライアントタイプを設定 i-mode 端末からのアクセス は「3.4.2.2. i-mode HTML」 に従って固定化 i-mode端末A 「User-Agent:」を参照し、i-mode 端末とPC 端末を判定- 44 - 固定化の判定は下記のように行います。 i-mode 端末用分散ノードから 「3.4.2.2. i-mode HTML」に従 って固定化 start end i-mode 端末 User-Agent 指定? PC 端末 要求元IP で固定化済み? yes no 固定化済みの分散ノード にアクセス PC 端末用分散ノードか ら分散先を決定し固定化 プロキシサーバ等、送信元IP アドレスを集約するような装置をご利用の場合、 送信元IP アドレスが装置の IP アドレスに集約され、分散先の固定が偏る可能 性があります。
3.4.2.4. Cookie(オプション)
InterSecVM/LB がレスポンスに追加する Cookie 情報を元に固定化を行います。 InterSecVM/LB インターネット 分散ノードA 分散ノードB 分散ノードC 仮想IP アドレス InterSecVM/LB が追加する cookie 情報を元に固定化 クライアントA クライアントB InterSecVM/LB 分散ノード 最初のリクエスト (固定化用 Cookie なし) いずれかの分散ノードに割り当て 分散ノードの応答にてCookie が返さ れる レ ス ポ ン ス に 固 定 化 用 Cookie を追加 2回目以降のリクエスト (固定化用 Cookie あり) 固定化用Cookie を元に固定化 PC端末A分散ノードが Cookie を返した場合に、InterSecVM/LB が固定化用の Cookie を追加します。
分散ノードがCookie を返さない場合は、要求元 IP アドレスで固定化を行いま す。
- 46 - 固定化の判定は下記のように行います。 固定化用Cookie あり? Cookie 固定化済みの分 散ノードにアクセス start end yes no yes no 要求元IP 固定化済み? 要求元 IP で固定化済み の分散ノードにアクセス 新たに分散先ノードを決 定し、要求元IP で固定化 yes no レスポンスにCookie あり? Cookie で固定化 Cookie 固定化時間 Cookie での固定化を利用する場合、固定化時間に加えて Cookie 固定化時間の 設定を行うことができます。 固定化時間は、分散ノードがCookie を返さない場合に、要求元 IP によって固 定化を行う時間となります。
Cookie 固定化時間は、分散ノードが Cookie を返した場合に、Cookie によって 固定化を行う時間となります。 最初のリクエストは、固定化用Cookie がないため要求元 IP によって固定化が 行われます。このため、プロキシサーバ等、送信元 IP アドレスを集約するよ うな装置をご利用の場合、送信元IP アドレスが装置の IP アドレスに集約され、 分散先の固定が偏る可能性があります。分散ノードが Cookie を返さない場合 は固定化が丌要であれば、固定化時間を0 と設定することで、分散先の偏りを なくすことができます。 Cookie 固定化時の固定化時間は、Cookie 固定化時間に設定します。
3.5. SSL アクセラレータ(オプション)
HTTPS(SSL)による暗号化通信を使用している場合、通信の内容がわからないためL7負荷 分散による固定化を行うことができません。 SSLアクセラレータ(オプション)を使用することにより、クライアントとInterSecVM/LB間 はHTTPS(SSL)にてセキュアな通信を、InterSecVM/LBで復号化を行いInterSecVM/LBと 分散ノード間はHTTP通信とすることで、URLやcookieによるL7負荷分散を行うことがで きるようになります。 InterSecVM/LB インターネット 分散ノードA 分散ノードB 分散ノードC クライアント LB にて復号化を行い、L7 負荷分散 LB と分散ノード間は HTTP 通信 SSL アクセラレータ HTTPS HTTP HTTPS(SSL)による セキュアな通信 L7 負荷分散 SSL アクセラレータ経由で利用可能な最大同時接続数はシステム全体で 4096 と なります。- 48 -
3.6. 負荷分散方式の選択基準
負荷分散方式や変換方式の選択については、下記を基準として判断してください。 ・負荷分散方式(L4 or L7) URLやCookie等、HTTPレベルでの負荷分散が必要な場合、およびSSLアクセラレータ を利用する場合はL7、それ以外はL4を選択してください。(分散ノード側でSSLの復号化 を行う場合はL4を選択してください) ・L4時の変換方式(MAT or NAT) LBの仮想IPと分散ノードを同一セグメント上に設置する場合はMATを、 LBの仮想IPと分散ノードが別セグメント上の場合はNAT(オプション)を選択してくださ い。 性能面を考慮し、LBと分散ノードを同一セグメント上に設置しMATを使用することを推 奨します。・要件による選択基準 下記表中「○」が対応、「-」が非対応となります。必要な要件について、対応している 固定化方式を選択してください。複数の固定化で対応できる場合は、負荷分散性能が高 い(最大同時接続数の多い)、あるいは「○」の要件数が多い固定化方式を選択して下さ い。 【L4負荷分散の場合】 変換方式および 固定化方式 要 件 L4 備考 MAT NAT(オプション) しない する しない する クライ アント 個別 クライ アント IP クライ アント 個別 クライ アント IP 最大同時接続数 約650万 複数の分散グループ合計で約650万。 MATの場合、下りがLBを経由しない ため高性能が期待できる。 LBの仮想IPと分散ノード を別セグメントに設置 - - - ○ ○ ○ クライアントIPアドレス による固定化を行う - ○ ○ - ○ ○ クライアントIPアドレス による静的固定化を行う - - ○ - - ○ 【L7負荷分散の場合】 固定化方式 要 件 L7 備考 URL i-mode HTML クライア ントタイ プ cookie(オ プション) SSLアクセ ラレータ (オプショ ン) 最大同時接続数 28,000 ※1 4,096 ※2 ※1 分散グループ1つあたり8,000ま で。複数の分散グループ合計で 28,000まで。 ※2 SSLアクセラレータ経由全体で 4,096まで。 クライアントIPアドレス による固定化を行う ○ ※3 - ○ ○ ←L7設定 による ※3 URL固定化方式の固定化条件に一 致しない場合、固定化は行われませ ん。 HTTPリクエストのURL 情報による固定化を行う ○ - - - ←L7設定 による iモードに固有の情報を付 加する固定化を行う - ○ - - ←L7設定 による iモード端末とそれ以外を 区別する固定化を行う - - ○ - ←L7設定 による cookieを使用した固定化 ←L7設定
- 50 -
4章
システムのセットアップ
初期セットアップが完了した後に、負荷分散機能を使用するための設定を行う必要があり ます。基本的に下記の順番で設定を行なってください。 ライセンスの登録 二重化構成の設定 負荷分散の設定InterSecVM/LB
システムのセットアップ
テムのセットアップ
4
4
4.1. ライセンスの登録
初期セットアップ時に、本製品の製品ライセンスの登録を行わなかった場合に、製品ラ イセンスの登録を行う手順について説明します。 オプションライセンスの設定手順に関しては「オプションライセンスセットアップ手順 説明書」を参照ください。 Management Consoleにログイン後、下記の操作を行なってください。 「オプションライセンス管理登録」画面が表示されます。 ライセンス番号を入力し、[認証送信]ボタン押下します。 認証処理失敗のダイアログボックスが表示された場合は、ライセンス番号を確認し、再度 ライセンス登録を行なってください。 各項目については「InterSecVM/LBのヘルプ」を参照ください。 システム→ ■その他の[ライセンス管理]ボタン押下→ ■製品ライセンス管理の[インストール]ボタン押下- 52 -
4.2. 二重化構成の設定
InterSecVM/LBを2台使用し、アクティブ・スタンバイの二重化構成とすることができ ます。 InterSecVM/LBではアクティブ側をコーディネータ、スタンバイ側をバックアップコー ディネータと呼びます。 InterSecVM/LBを二重化構成とするための設定手順について説明します。二重化構成の 設定は下記手順で行なってください。 コーディネータ側 バックアップコーディネータ側 1 コーディネータの設置 2 LB基本設定 3 バックアップコーディネータの設置 4 LB基本設定 5 死活監視間隔の設定 InterSecVM/LB アクティブ インターネット 分散ノードA 分散ノードB 分散ノードC クライアント InterSecVM/LB スタンバイ 二重化構成で、アクティブ側異常発 生時自動的にフェイルオーバ 二重化構成を使用しない場合は本設定を行う必要はありませんが、同一セグメン ト上にコーディネータとして使用するInterSecVM/LB を2台以上配置する場合 は、「4.2.3. LB 基本設定」でプロセス通信ポートの値がネットワーク上でユニー クとなるよう設定を行なってください。 フェイルオーバ、フェイルバック時、コネクション情報は引き継がれません。 クライアントからの接続は一旦切断されますのでご注意ください。4.2.1. 二重化の仕組み
・コーディネータとバックアップコーディネータの相互接続 コーディネータとバックアップコーディネータは、特定のポートのUDP通信により自動 的に二重化の相手先のInterSecVM/LBを認識します。(この特定のポートは、次に説明 する死活監視や設定情報の同期、分散ノードモジュールとの通信のためにも使用されま す) ・フェイルオーバ、フェイルバック コーディネータとバックアップコーディネータは定期的な死活監視の通信により、相手 の正常動作を確認します。 死活監視の通信に失敗した場合、自動的にフェイルオーバしバックアップコーディネー タがコーディネータとして動作します。 死活監視の通信が復旧した時に、自動的にフェイルバックします。 フェイルオーバおよびフェイルバック時、負荷分散を行なっているInterSecVM/LBの仮 想IPアドレス(クライアント側からアクセスするIPアドレス)も自動的に移動します。 InterSecVM/LB コーディネータ 死活監視により正常動作を確認し、問題があれば自 動的にフェイルオーバし、バックアップコーディネ ータがコーディネータとして動作する。 InterSecVM/LB バックアップコーディネータ 負 荷 分 散 設定情報 負 荷 分 散 設定情報 設定情報の同期 フェイルオーバ、フェイルバックは自動的に行われます。 手動でフェイルオーバ、フェイルバックを行うことはできません。 相互接続を行う特定のポートは、「4.2.3. LB 基本設定」のプロセス通信ポー トの値となります。このため、同一セグメント上に複数のInterSecVM/LB をコーディネータとして設置する場合は、それぞれユニークな値となるよう 設定を変更する必要があります。- 54 - ・負荷分散設定情報の同期 コーディネータ側に設定した負荷分散の設定情報は、自動的にバックアップコーディネ ータ側に同期します。 負荷分散設定情報の変更は、コーディネータとして動作しているInterSecVM/LBに接続 して行なってください。(バックアップコーディネータとして動作している InterSecVM/LBでは、負荷分散情報の変更は行えません) TCPコネクション情報や固定化状態の情報は同期しません。 フェイルオーバ、フェイルバック時はクライアントからの接続は一旦切断されま すのでご注意ください。 コーディネータとバックアップコーディネータで同期する負荷分散設定情報は、 Management Console の LoadBalancer から設定した情報のみとなります。 サービスやシステムの設定(ネットワーク設定等)は同期しませんのでご注意く ださい。
4.2.2. コーディネータの設置
InterSecVM/LBの初期セットアップ時に、運用形態をコーディネータとして設定を行なっ てください。 初期セットアップ後に、コーディネータをバックアップコーディネータ、あるい はバックアップコーディネータをコーディネータに変更することもできます。 Management Console から システム→ ■その他の[LB 基本設定]ボタン押下→ ■サーバ種別から、「コーディネータ」あるいは「バックアップコーディネー タ」をチェックし[設定]ボタンを押下してください。- 56 -
4.2.3. LB 基本設定
コーディネータとバックアップコーディネータの相互接続を行うUDP/TCPポート番号を 設定します。 Management Consoleにログイン後、下記の操作を行なってください。 「LB基本設定」画面が表示されます。 ■プロセス通信ポートのLoadBalancerに使用するポート番号(デフォルト値はVMware版 が55002、Hyper-V版が60002)を入力し、[設定]ボタンを押下します。 各項目については「InterSecVM/LBのヘルプ」を参照ください。 InterSecVM/LB コーディネータ 相互通信を行うUDP/TCP ポート番号を設定 InterSecVM/LB バックアップコーディネータ システム→ ■その他の[LB 基本設定]ボタン押下プ ロ セ ス 通 信 ポ ー ト に 設 定 し た ポ ー ト を 使 用 し て 、 同 一 セ グ メ ン ト 上 の InterSecVM/LB を検出し、自動的に相互接続します。 このため、同一セグメント上に同じプロセス通信ポートを持つコーディネータが 複数存在する場合正常に動作しませんので、コーディネータ毎にユニークな値と なるよう設定を行なってください。 また、新規にバックアップコーディネータとしてInterSecVM/LB を設置する場 合、初期設定完了後、プロセス間通信ポートの初期値(VMware 版:55002、 Hyper-V 版:60002)で自動的に相互接続し、負荷分散設定情報の同期を行いま す。このため、同じプロセス通信ポートが設定されているコーディネータが同一 セグメント上に存在すると、そのコーディネータと接続します。このため、同一 セグメント上に複数のコーディネータを設置する場合は、バックアップコーディ ネータが対応するコーディネータと確実に接続できるよう、事前にコーディネー タのプロセス間通信ポートを適切な値に設定変更しておくことを推奨します。
- 58 -
4.2.4. バックアップコーディネータの設置
InterSecVM/LBの初期セットアップ時に、運用形態をバックアップコーディネータとして 設定を行なってください。 バックアップコーディネータの設置後、「4.2.3. LB 基本設定」を参照し、プロセス通信ポ ートを対応するコーディネータと同じ値に設定してください。 初期セットアップ後に、コーディネータをバックアップコーディネータ、あるい はバックアップコーディネータをコーディネータに変更することもできます。 Management Console から システム→ ■その他の[LB 基本設定]ボタン押下→ ■サーバ種別から、「コーディネータ」あるいは「バックアップコーディネー タ」をチェックし[設定]ボタンを押下してください。4.2.5. 死活監視間隔の設定
コーディネータとバックアップコーディネータ間の相互の正常動作確認を行う死活監視間 隔等の設定変更を行うことができます。通常はデフォルト値のままご使用ください。 Management Consoleにログイン後、下記の操作を行なってください。 「LoadBalancer基本設定」画面が表示されます。 ヘルスチェック(LoadBalancer)の間隔と回数を設定し、[設定]ボタンを押下します。 各項目については「InterSecVM/LBのヘルプ」を参照ください。 InterSecVM/LB コーディネータ 死活監視間隔等の設定 InterSecVM/LB バックアップコーディネータ LoadBalancer→ LoadBalancer システム情報画面から[設定]ボタン押下- 60 - 間隔は死活監視を行う間隔で1~300秒で指定します。 回数はコーディネータダウンを判定するまでの死活監視の施行回数で、連続して何回死活 監視に失敗した場合にフェイルオーバするかを、1~10で設定します。 コーディネータ 死活監視 異常発生 復旧 コーディネータとして動作 フェイルオーバ バックアップコーディネータ として動作 フェイルバック コーディネータとして動作 連続して指定回数死活 監視に失敗 フェイルオーバする 間隔 バックアップコーディネータ 死活監視復旧 設定情報の同期を行い フェイルバックする フェイルオーバ、フェイルバックは自動的に行われます。 手動でフェイルオーバ、フェイルバックを行うことはできません。
4.3. 負荷分散の設定
InterSecVM/LBは、クライアント側に公開する仮想IPアドレス(仮想サーバ)単位に負荷分 散グループを作成し情報を管理します。 負荷分散グループは最大128グループ作成できます。 負荷分散グループ毎に、仮想IPアドレス(1つ)と負荷分散を行うポート番号、分散方式(L4 or L7、固定化方式等)、分散ノード(最大128台)の情報を登録します。 負荷分散の設定は基本的に下記手順で行なってください。 1 負荷分散グループの追加 2 負荷分散グループの設定変更(必要に応じて) 3 分散ノードの追加/変更/削除 4 負荷分散グループの削除(負荷分散グループが丌要になった場合) 分散ノード 分散ノード 分散ノード InterSecVM/LB 負荷分散グループ 負荷分散グループ ・・・ 分散先ノード 最大128 グループ 1 グループ最大 128 台 分散先ノード クライアント 仮想IPアドレス 分散方式 仮想IPアドレス 分散方式- 62 -
4.3.1. 負荷分散グループの追加
InterSecVM/LBに仮想サーバとして分散グループの追加を行います。 下記の2パターンで設定ができます。 ①簡易設定 分散方式をL4分散とし設定可能な内容を限定、設定を簡易にした設定方式です。 ②詳細設定 全ての負荷分散方式を詳細に設定可能な設定方式です。4.3.1.1. 簡易設定
L4 負荷分散で、ダイレクトレスポンス方式(MAT)、クライアント個別に限定した、負荷分 散グループを作成します。分散方式は初期値「ラウンドロビン」に設定されます。 Management Consoleにログイン後、下記の操作を行なってください。 「グループ簡易設定」画面が表示されます。 負荷分散グループに関する設定を行い[設定]ボタンを押下します。 各項目については「InterSecVM/LBのヘルプ」を参照ください。 LoadBalancer→ [グループ追加設定]ボタン押下→ グループ簡易設定のリンクをクリック 負荷分散グループに設定する仮想IP アドレスは LAN カード 1 枚目(VMware 版 はeth0、Hyper-V 版は seth0)のネットワークに属するアドレスとなるよう設定 してください。 負荷分散グループに設定する仮想 IP アドレスは、負荷分散グループ追加時に LAN カード 1 枚目にエイリアスとして自動的に追加設定されます。このため負 荷分散グループで使用する仮想IP アドレスを手動で登録しないでください。 グループ簡易設定では、分散ノード自動認識が有効になり、分散ノードモジュー ルを組み込んだ分散ノードが自動的に本グループに登録されます。 環境構築が終わった後、運用時には自動認識が丌要であれば[使用しない]に変更 してください。- 64 -
4.3.1.2. 詳細設定
InterSecVM/LB で利用可能な全ての負荷分散方式を設定することができます。 ①負荷分散グループ追加手順 Management Consoleにログイン後、下記の操作を行なってください。 LoadBalancer→ [グループ追加設定]ボタン押下→ グループ詳細設定のリンクをクリック「グループ詳細設定」画面が表示されます。
