Microsoft Word - LoadMaster_QuickStart(5.1)_JPN_revision1_reviewed.doc

ロードマスターシリーズ

ロードマスターシリーズ

ロードマスターシリーズ

ロードマスターシリーズ

バージョン

バージョン

バージョン

バージョン

5.

5.1

5.

5.

1

1

1

クイック

クイック

クイック

クイック·

·

·

·スタート

スタート

スタート·

スタート

·

·

·ガイド

ガイド

ガイド

ガイド

バージョン バージョン バージョン バージョン 1.01.01.01.0

初版（１．０） 2011 年 2 月 23 日 クイック クイック クイック クイック····スタートスタートスタートスタート····ガイドガイドガイド ...1 ガイド 1 初期設定を行うには ...3 2 ネットワークの考慮点 ...3 2.1 １アーム（One-Armed）トポロジー ...3 2.2 ２アーム（Two-Armed ）トポロジー ...4 2.3 リアルサーバのデフォルトゲートウェイ ...5 2.4 IPアドレスの管理 ...5 3 初期設定のためのロードマスターへの接続 ...7 3.1 シリアルポートよりターミナル·エミュレータを使用する場合 ...7 3.2 VGAモニターと USB 用キーボードを装置に直接接続する場合 ...7 3.3 PC（パソコン）よりブラウザーを使用する場合 ...8 4 コンソールを使った初期設定 ...9 4.1 HA設定：HA-2 セットアップ ... 17 5 Webを使った初期設定 ... 20 6 ウェブユーザインターフェース (WUI)... 23 6.1 初めての接続 ... 23 6.2 バーチャルサービスとリアルサーバの概念 ... 25 6.2.1 バーチャルサービス ... 25 6.2.2 リアルサーバ ... 26 6.2.3 ネットワークでのパケットの流れ ... 27 6.3 バーチャルサービス作成 ... 30 6.3.1 バーチャルサービスの作成 ... 30 6.3.2 リアルサーバの設定 ... 38 6.3.3 バーチャルサービスの状態確認 ... 39 6.3.4 バーチャルサービス／リアルサーバへのアクセス ... 39 7 透過、それとも非透過モード ... 41 7.1 ネットワーク構成 ... 41 7.2 透過モードの要求 ... 43 7.2.1 ネットワーク透過、SNAT、１アームネットワーク ... 44 7.2.2 非透過モード ... 45 8 ネットワーク透過設定 ... 46 8.1.1 ネットワーク透過 ... 46 8.1.2 非透過モード ... 49

1

初期設定

初期設定

初期設定

初期設定を

を

を

を行

行

行うには

行

うには

うには

うには

初期設定を実施するには下記の３つの方法があります。 • VGA モニターと USB キーボードを直接装置へ接続し、コンソール画面より行う。 • PC（パソコン）を装置のシリアルポートに接続し、VT-100 ターミナルエミュ レーターを使用してコンソール画面より行う。 • ブラウザーより装置のデフォルト IP アドレス“192.168.1.101”に HTTPS 接続 をして、ウェブユーザインターフェースを介して行う。 もしくは、SSH クライアントより接続してコンソール画面より行う。 この場合は、“192.168.1.0/24”のサブネットが必要です。

2

ネットワーク

ネットワーク

ネットワーク

ネットワークの

の

の

の考慮点

考慮点

考慮点

考慮点

ロードマスターをインストールする前に、どのようにロードマスターをネットワークに接 続するのかを考慮する必要があります。一般的に、ロードマスターを既存のネットワーク に接続する形態として１アームと２アームの２つの形態があります。

2.1

１

１

１アーム

１

アーム

アーム

アーム（

（One-Armed）

（

（

）

）

）トポロジー

トポロジー

トポロジー

トポロジー

このネットワーク形態は、下記の場合に採用されます。
ほとんどのユーザがロードマスターとアプリ用サーバが接続されているネット ワーク外に存在する。
アプリ用サーバからインターネット接続時に S-NAT の必要がない。
ダイレクトサーバリターン（DSR）を利用する必要がある。
バーチャルサービスとアプリ用サーバが同じネットワーク内に存在する。 この形態は、ひとつのイーサポートが受信/送信の両方のトラフィックのために使用され ます。

図―１：1 アーム HA 構成図 注意：冗長構成（HA）の場合は、必ず、ロードマスターのイーサポート 1 同士をスト レート、もしくはクロスケーブルで接続します。相手の稼動状態を監視するためのバック アップポートとして使用されます。

2.2

２

２

２アーム

２

アーム

アーム

アーム（

（Two-Armed ）

（

（

）

）トポロジー

）

トポロジー

トポロジー

トポロジー

このネットワーク形態は、下記の場合に採用されます。
ほとんどのユーザが、ロードマスターとアプリ用サーバが接続されているネッ トワーク内に存在する。
アプリ用サーバからインターネット接続時に S-NAT を必要とする。
この形態は、１つのイーサポートがネットワーク側に接続され、もう１つの イーサポートがアプリサーバ群を接続するために使用されます。

図―２：2 アーム HA 構成図

2.3

リアル

リアル

リアル

リアルサーバ

サーバ

サーバ

サーバの

の

の

のデフォルトゲートウェイ

デフォルトゲートウェイ

デフォルトゲートウェイ

デフォルトゲートウェイ

もう１つの大事な考慮点は、ロードマスターをネットワークに接続する場合のリアルサー バ（RS）のデフォルトゲートウェイの設定です。２アーム形態でロードマスターを設置 する場合、リアルサーバはロードマスターをデフォルトゲートウェイとして設定します。 しかし、１アーム形態の場合、クライアントの IP アドレスをサーバのアクセスログに記 録するかどうかで、設定が変わってきます。もし、クライアントの IP アドレスをアクセ スログに記録する場合は、バーチャルサービス（VS）を透過モード（ネットワーク·トラ ンスペアレンシー）にし、リアルサーバのデフォルトゲートウェイをロードマスターに設 定する必要があります。 クライアントの IP アドレスをアクセスログへ記録する必要がなければ、非透過モードと し、デフォルトゲートウェイの設定を変更する必要はありません。 詳細は、この”クイック・スタート・ガイド”の第７章を参照してください。

2.4

IP

アドレス

アドレス

アドレス

アドレスの

の

の

の管理

管理

管理

管理

ロードマスターを単一構成（非 HA）で設置する場合は、使用する各イーサポートに１つ の特定 IP アドレスが必要です。 ２台のロードマスターを冗長構成（HA）で設置する場合は、３つ（２アームの場合は６ つ）の特定 IP アドレスが必要になります。それぞれのロードマスターのイーサポートに 割当てる IP アドレスが２つ、両方のロードマスターで共用するシェア IP アドレスが１つ です。これらの IP アドレスは、ロードマスターを管理するためのもので、その他に、 バーチャルサービス用（クラスター、もしくは VIP）の IP アドレスが必要です。バーチャ ルサービス用 IP アドレスは、初期設定が終了した後、各バーチャルサービスを作成する

ときに指定します。 冗長構成で設置し、リアルサーバのデフォルトゲートウェイとして、ロードマスターを指 定しなければならない時は、リアルサーバが接続されているイーサポートのシェア IP ア ドレスを指定してください。 次の表１と表２は、２アーム形態の単一構成、冗長構成でのそれぞれの各イーサポートに 割当てる IP アドレスの例を示しています。 ネットワーク側（eth0）が ”192.168.0.0/24”のサブネットで、ファーム側（eth1） が”10.0.0.0/8”のサブネットの例です。 ネットワークセグメント ネットワークセグメントネットワークセグメント ネットワークセグメント インターインターインターインター フェース フェース フェース フェース サブネットサブネットサブネットサブネット IP IP IP IP アドレスアドレスアドレスアドレス

Network side eth0 192.168.0.0/24 192.168.0.10 Farm side eth1 10.0.0.0/24 10.0.0.10 表 1: 単一構成の IP アドレス例 ネットワークセグメント ネットワークセグメントネットワークセグメント ネットワークセグメント インターインターインターインター フェース フェース フェース フェース サブネットサブネットサブネットサブネット IP IP IP IP アドレアドレアドレアドレスススス

Network side eth0 192.168.0.0/24 _{シェア: 192.168.0.10} HA-1 : 192.168.0.11 HA-2 : 192.168.0.12 Farm side eth1 10.0.0.0/8 _{シェア: 10.0.0.10}

HA-1 : 10.0.0.11 HA-2 : 10.0.0.12 表 2: 冗長構成の IP アドレス例 繰り返しますが、シェア IP アドレスはロードマスターの管理専用の IP アドレスです （ネットワーク形態、もしくは透過モードによっては、リアルサーバのデフォルトゲート ウェイの IP アドレスとして使用されます）。バーチャルサービス（クラスター、VIP）用 の IP アドレスは、バーチャルサービスを作成するときに指定します。

3

初期設定

初期設定

初期設定

初期設定の

の

のための

の

ためのロードマスター

ための

ための

ロードマスター

ロードマスターへの

ロードマスター

への

への

への接続

接続

接続

接続

初期設定を行うために、ロードマスターは次の３つの方法を提供しています。 ・ シリアルポートよりターミナル·エミュレータを使用する場合 ・ VGA モニターと USB 用キーボードを装置に直接接続する場合 ・ PC（パソコン）よりブラウザーを使用する場合

3.1

シリアルポート

シリアルポート

シリアルポート

シリアルポートより

より

より

よりターミナル

ターミナル

ターミナル

_{ターミナル ·}

·

·

·

エミュレータ

エミュレータ

エミュレータ

エミュレータを

を

を

を使用

使用する

使用

使用

する

する

する場

場

場合

場

合

合

合

コンピューター（パソコン）とロードマスターのCOMポートを、付属のシリアル ケーブル（Null）で接続して、ターミナル·エミュレータから設定を行います。 ターミナル·エミュレータは、WindowsのHyperターミナルやFreewareの“Tera Term Pro”などを使用し、通信速度115,200 bps、8ビットデータ長、パリティーなし、 ストップビット１で設定を行ってください。システムが正しく起動するとログイン 画面が表示されますので、ユーザ名‘bal’、パスワード‘1fourall’と入力します。 入力が正しいと、下記のようにアクセスコードが表示されます。

3.2

VGA

モニター

モニター

モニター

モニターと

と

と

と

USB

用

用

用

用キーボード

キーボード

キーボード

キーボードを

を装置

を

を

装置

装置

装置に

に

に

に 直接接続

直接接続

直接接続する

直接接続

する

する場合

する

場合

場合

場合

ロードマスターと通信を行うために、VGAモニターとUSBキーボードを用意します。 それらを装置の各ポートに接続します。装置が正しく起動すると、ログイン画面が 表示されますので、ユーザ名‘bal’、パスワード‘1fourall’と入力します。入力 が正しいと、下記のようにアクセスコードが表示されます。

3.3

PC

（

（パソコン

（

（

パソコン

パソコン）

パソコン

）

）

）より

より

より

よりブラウザー

ブラウザーを

ブラウザー

ブラウザー

を

を使用

を

使用

使用する

使用

する

する

する場合

場合

場合

場合

ロードマスターは、デフォルトとしてイーサポート０に”192.168.1.101”のIPア ドレスがアサインされて起動します。ロードマスターをこのIPアドレスで通信でき るネットワークに接続することで、設定の全てをWUIより行えます。このような環 境がない場合には、独自のLAN”192.168.1.0/24”を構築して設定を行うことができ ます。イーサポート０をネットワークに接続して、PCのブラウザーより ‘https://192.168.1.101’にアクセスします。証明書の署名者が見つからないメッ セージが表示されますが、承諾することで下記のWUIホームページが表示されます。

4

コンソール

コンソール

コンソールを

コンソール

を

を使

を

使った

使

使

った

った

った初期設定

初期設定

初期設定

初期設定

HA HAHA

HA構成構成の構成構成のの場合の場合場合場合のののの注意注意：注意注意：：：もしもしもしもし HAHAHAHA構成構成（構成構成（HA1 & HA2（（HA1 & HA2HA1 & HA2HA1 & HA2））））ででででロードマスターロードマスターロードマスターロードマスターをを購入をを購入購入購入したしたしたした場合場合場合場合はははは、、、、 HA HAHA HA1111のののの設定設定設定設定ををを終了を終了し終了終了ししたしたたた後後後後、、、、HHAHHAA2A222のののの設定設定設定設定をを行をを行行行ってってってってくださいくださいくださいください。。。。 1. 装置の電源を投入します。正常に立ち上がり、下記のようにコンソールに ログイン画面が表示されます。 2. ログイン • ユーザ名‘bal’を入力します。 • パスワード‘1fourall’を入力します。 3. ライセンスキー入力画面 • 正しくログインが行われると、下図のようにライセンスキーの入力が求 められます。 • KEMPテクノロジー社より発行されたライセンスキーを入力します。もし HA構成の場合は、必ずHA1の初期設定を全て終了して、SSHクライアン ト、もしくはブラウザーから管理用接続が出来ることを確認後、HA２の 初期設定を行ってください。ライセンスキーは、間違わないように入力 してください。 間違ったキーを入力するとエラーが表示され受け付けられませんので、 再度正しいキーを入力してください。

4. 正しいライセンスキーが入力されると、下記のように“Quick setup”画面が 表示されます。

5. Network Side Interface Address

所定のネットワークに属する任意の IP アドレスとネットマスク（CIDR フォーマット）をイーサポート０用に入力します。ここでは、入力例とし て ”192.168.0.11/24”を使用しています。既に他の IP アドレスが登録され ている場合は、任意の IP アドレスに変更します。

6. Netmask

イーサポート０のネットマスクを入力します。この画面は、IP アドレスの後 にネットマスクのビット数をつけて入力した場合には表示されません。オク テット·フォーマットの”255.255.255.0”か、CIDR フォーマットの”/24”のど ちらかの形式で入力します。

7. Network Side Shared IP Address

もし、HA 構成のライセンスキーを入力した場合は、下記のようにネット ワーク側のシェア IP アドレスの入力が求められます。この例で

は、”192.168.0.10”を入力します。

HA構成の場合、管理用リモートアクセス（https、もしくは SSH）は、この ネットワーク側シェア IP アドレスでアクセスします。そうでない場合、設 定/変更できる項目が制限されます。

8. Farm Side Interface Address

２アームのネットワーク形態で設置を行う場合、サーバファーム側のイーサ ポートの IP アドレスを入力します。この例では、２アームのネットワーク 形態での設置ですので、”198.168.1.11/24”と入力します。もし、１アーム で設置する場合、この IP アドレスの入力は不要です。空白のままで OK を押 します。

9. Farm Side Shared IP Address

もし、HA 構成のライセンスキーを入力した場合は、ファーム側のシェア IP アドレスの入力も求められます。この例では、”192.168.1.10”を入力します。 単一構成のライセンスキーを入力した場合は、この画面は表示されません。

10. Load Master Hostname

11. HA Partner Hostname HAペアの相手（HA-2）のホスト名を入力します。必ず上記のホスト名とは異 なるユニークな名前を入力してください。 . 12. DNS サーバの設定 ネットワーク側で使用されている DNS サーバを最低１つ入力します。複数 指定する場合は、スペースで区切って入力します。3 つまで入力可能です。

13. Domain List DNSサーバを入力後、ドメインのリストの入力が求められます。サーチする ネットワークのドメイン名を入力します。6 つまで入力可能です。 14. Default Gateway ネットワーク側で使用されているデフォルトゲートウェイの IP アドレスを 入力します。

15. Quick Setupの終了

初期設定で必要なパラメータを全て入力し終えると、入力した設定を有効に するかどうかの確認（“You want to activate the changes now”）が求められ ます。”Yes”を選択すると、下記のようにコンソールのメインメニューが表 示されます。

もし、設定に間違いがあり変更したい場合は、メニュー１の”Quick Setup”を 選択し、再度、前述の一連の操作を行ってください。変更の必要がない場合 は、次の設定に移ります。

16. Local Administration – Set Password

リモートからSSH接続、もしくはHTTPSプロトコルを使用して設定用ユー ティリティへのアクセスを可能とするために、 の変更が必要です。

•

“ Local Administration”を選択し、OK を押します。

•

現在のパスワードを問われますので、‘1fourall’と入力します。次に新 しいパスワードを入力します。パスワードは、半角文字で 8 文字から 16 文字までの範囲で指定できます。使用できる文字は英字（大文字、小文 字）、数字、英数字以外の記号文字で、これらの文字を任意に組合わせ て指定できます。ロードマスターは指定された文字列の強度を自動的に 計算して、パスワードの強度が弱い場合はメッセージを表示します。メ ッセージが表示されたら文字種類を変更するか桁数を増やしてパスワー ドの強度を高めて下さい。 パスワード指定例 ・英小文字のみ： 9文字以上 ancdefghi ・英小文字と数字の混在 ： 8文字以上 1abcdefg ・英大文字と英小文の混在： 8文字以上 Abcdefgh ・英小文字、記号、数字の混在： 8 文字以上 ab!12345 ・数字のみ： 13文字以上 0123456789012

17. 新しい設定を有効にするためにロードマスターを再起動します。

•

メインメニュー画面に戻るために、“q Exit Configuration”を選択し OK

を押します。

• ““Reboot““RebootRebootReboot””””を選択し、OK を押します。

注：HA 構成の場合は、必ず NTP サーバの設定を行って時間、日付が正しい ことを確認してください。NTP の設定が間違っていて、HA 同士が別々の時 間で稼動すると問題を引き起こすことがあります。

NTPサーバの設定は、メニューの 7. Utilities -> 3. Network Time Protocol Host から設定します。時間の確認は、メニューの 3. Local Administration -> 2. Set Date/Timeから行えます。

4.1

HA

設定

設定：

設定

設定

：

：

：HA-2

セットアップ

セットアップ

セットアップ

セットアップ

もし、単一構成でロードマスターを設置する場合は、ここのセクションをスキップ して、次の“WUI 設定”に進んでください。 HA２ユニットの電源を投入する前に、イーサポート０をスイッチに接続しておい てください。既に設定してある共通の情報を HA１ユニットから取り込むために必 要です。このケーブルの接続に問題があると、HA1 からの設定情報の取り込みが失 敗して HA2 のセットアップが成功しませんので注意してください。又、２アーム でのネットワーク構成の場合は、イーサポート１もファーム側のスイッチへ接続し なければなりません。 １アームでのネットワーク構成の場合は、HA 構成の２台のユニットのイーサポー ト１同士をストレート、もしくはクロスケーブルで接続する必要があります。これ は、設定情報の同期と相手の状態を監視するために必要です。又、設定が終了して、 ロードマスターを再起動した後に、ウェブ·ユーザ·インターフェース（WUI）から “System Configuration”サブメニュー下の”Interfaces”１“を開き、“Use for HA

checks”にチェックマークがあることを確認してください。もし、チェックマーク がない場合は、チェックマークを付けてください。その他のイーサポート１への設 定は一切不要です。

2アームでは、２台のユニットのイーサポート１同士をケーブルで接続する必要は ありませんが、ネットワークを介して HA 同士が同期を取りますので、同じくイー サポート１の“Use for HA checks”にチェックマークがあるのを確認してください。

18. ケーブルの接続が終了したら、HA2 ユニットの電源を投入し HA1 で行った ように HA2 用ライセンスキーを入力します。正しいキーが入力されたら、 下記のようにイーサネットポート０用 IP アドレスの入力画面が表示されま す。HA2 用 IP アドレスを入力します。 19. HA1で入力したのと同じネットマスクを入力します。 20. 下図のように、パートナーの IP アドレスの入力が求められますので、HA１ のイーサポート０の IP アドレスを入力します

21. HA2は、HA1 より共通の設定情報を取り込みます。この処理は１分以下で終 了し、下記の取り込みの成功メッセージが表示されます。

これで両方のユニットの初期設定が正常に完了しました。ここから先は、ウェブユーザイ ンターフェス（WUI）を使ってバーチャルサービスなどの設定を行います。WUI の使用方 法を説明している章を参照して下さい。

5 Web

を

を

を

を使

使

使

使った

った

った

った初期設定

初期設定

初期設定

初期設定

ロードマスターにデフォルトでアサインされている IP アドレスである 192.168.1.101 に、 ブラウザーより HTTPS プロトコルを使ってアクセスします。 https://192.168.1.101 下図のように、ライセンスキーの投入を促すページが表示されます。 ライセンスキーが正しく入力されてシステムで受け付けられると、下図のようなログイン 画面が表示されますので、ユーザ名 ‘‘‘‘bal’’’’ 、そしてそのデフォルトのパスワード ‘ ‘‘ ‘1fourall’’’’を入力します。

ログイン情報が正しく入力されると、下図のようにパスワード変更を促す画面が表示され ます。パスワードは、半角文字で 8 文字から 16 文字までの範囲で指定できます。使用で きる文字は英字（大文字、小文字）、数字、英数字以外の記号文字で、これらの文字を任 意に組合わせて指定できます。ロードマスターは指定された文字列の強度を自動的に計算 して、パスワードの強度が弱い場合はメッセージを表示します。メッセージが表示された ら文字種類を変更するか桁数を増やしてパスワードの強度を高めて下さい。 パスワード指定例 ・英小文字のみ： 9文字以上 ancdefghi ・英小文字と数字の混在： 8文字以上 1abcdefg ・英大文字と英小文の混在： 8文字以上 Abcdefgh ・英小文字、記号、数字の混在： 8文字以上 ab!12345 ・数字のみ： 13文字以上 0123456789012

新しいパスワードを要求するログイン画面が表示されますので、再ログインしてください。

再ログイン後、新しいネットワークの設定を行うことが可能です。メニューの System Configuration -> Interfaces の eth0 を選択し、新しいネットワークの情報を入力します。 ネットワーク情報を変更した場合、システムをリブートする必要があります。

6

ウェブ

ウェブ

ウェブ

ウェブユーザ

ユーザ

ユーザ

ユーザインターフェース

インターフェース

インターフェース

インターフェース

(WUI)

WUI ユーティリティは、SSL とアクセス管理リストを使ったブラウザーベースの安全なリ アルタイム·インターフェースです。この安全なインターフェースは、ロードマスターが 搭載している OpenSSL とアパッチ Web サーバによって提供されます。WUI は、下記の理 由により、ロードマスターの設定、及び変更を行うための推奨される方法です。 • より直感的で簡単に使用できるので習得の時間が短い。 • 入力項目が直ぐにチェックされ、間違いがレポートされるので、設定エラーを 最小限にできる。 • 設定ファイルの再読み込みや、プロセスの再スタートなしで、入力したほとん どの設定や変更が直ぐに適用される。又、それらの設定、変更は設定ファイル へ永続的に保存される。 • 使い慣れたブラウザーからのアクセスなので、SSH クライアントを使ってコン ソールへアクセスするより容易である。

6.1

初

初

初

初めての

めての

めての

めての接続

接続

接続

接続

ロードマスターのソフトウェアーには、安全な SSL 接続を介して WUI ユーティリ ティより設定を行うための、アパッチ Web サーバのライセンスが含まれています。 WUI ユーティリティでは、バーチャルサービス、リアルサーバ、コンテントルール、 及びシステムパラメータなど、ほとんど全ての設定が行えます。又、WUI ユーティ リティは、ネットワークトラフィックの監視、接続状況、システムリソース、及び 稼動時のエラーなどをセーブしているメッセージログの表示も行えます。 WUI ユーティリティは、ネットスケープのナビゲーターVersion4.7 以降、もしくは マイクロソフトのインターネットエクスプローラーVersion5 以降を使用する必要が あります。

WUI ユーティリティ

ユーティリティ

ユーティリティへの

ユーティリティ

への

へのアクセス

への

アクセス

アクセス

アクセス手順

手順

手順：

手順

：

：

：

1. ロードマスターにアサインされている IP アドレスに、ブラウザーより HTTPS プロトコ ルでアクセスします。 https://<IP https://<IP https://<IP

https://<IP address of your LoadMaster> Note: Note: Note: Note: IP アドレスには、通常ネットワーク側（イーサポート０）にアサインされた IP アドレスを指定します。 HA 構成の場合は、ネットワーク側のシェア IP アドレスを指定します。個別の IP ア ドレスでも接続できますが、設定/変更できる項目が制限されます。

2. ブラウザーより初めてこの WUI ユーティリティにアクセスした際、ブラウザーは下記 のような、SSL 証明書が認定を受けた証明機関より発行されたものでない警告を表示 します。ロードマスターは、セットアップ時、独自の SSL 用証明書を発行しますので、 問題のない一般的な警告です。 “続行しますか？”の問いに対して“はい”を選択します。 3. 次に、ユーザ名とパスワードの入力画面が表示されます。ユーザ名として‘bal’、そ して初期設定で変更したパスワードを入力します。正しく入力されると、WUI ユー ティリティのページが表示されます。

4. 下記のように、WUI ユーティリティのメインページが表示され、ロードマスターの設 定とモニター機能を使用できます。現在の全ての設定内容やバーチャルサービス毎の 各リアルサーバの状況、及びシステムの統計情報を確認できます。

6.2

バーチャルサービス

バーチャルサービス

バーチャルサービス

バーチャルサービスと

と

と

とリアル

リアルサーバ

リアル

リアル

サーバ

サーバ

サーバの

の

の

の概念

概念

概念

概念

6.2.1

バーチャルサービス

バーチャルサービス

バーチャルサービス

バーチャルサービス

バーチャルサービスは、ロードマスターの主要メカニズムでトラフィックの管理と 追跡を行います。ロードマスターが管理する各サイトに対して、それに付随する バーチャルサービスを最低１つ定義します。１つのバーチャルサービスは、１つの バーチャル IP アドレスと１つ、もしくはのバーチャルポートのコンビネーション で構成されます。バーチャル IP アドレスは、クライアントに公開される IP アドレ スで、サイトのドメインとホスト名として DNS に登録されるものです。バーチャ ルポートは、クライアントプログラムで指定される TCP,もしくは UDP ポート番号 です。例えば、KEMP テクノロジー社の www.kemptechnologies.comwww.kemptechnologies.comwww.kemptechnologies.comwww.kemptechnologies.com は、DNS サー バにて IP アドレス 216.239.138.211 に変換されます。そして、ポート８０（通常 の HTTP 用ポート）を介してアクセスされます。よって、KEMP テクノロジー社の ウェブサイトのバーチャルサービスは、216.239.138.211:80 ということになりま す。 バーチャルサービスは、各サイトへのトラフィックの流れを管理するための多くの 機能を持ちます。全てのバーチャルサービスは、単一の IP アドレスとポートのコ ンビネーションで表わされ、通常いくつかのリアルサーバを持っています。どの機 能を選択したとしても、バーチャルサービスを介した TCP もしくは UDP の全ての トラフィックは追跡されます。デフォルトとして、ロードマスターは下記の機能を

バーチャルサービスとして提供します。 • バーチャルサービスに属する全てのリアルサーバの可用性の確認（ヘル スチェック） • リアルサーバへのトラフィック負荷分散 • バーチャルサービスの IP アドレスから、リアルサーバの IP アドレスへの 変換 • バーチャルサービスの TCP/UDP ポートから、リアルサーバのポートへの 変換 バーチャルサービス作成時、IP アドレスとポート変換はデフォルトで動作します。 更に、バーチャルサービスは追加的な下記のようなトラフィック管理が働くように 設定が可能です。 • コンテンツによるトラフィックの分配－コンテンツスイッチ • ソースパスに沿ったレスポンスのリターン バーチャルサービスは、サイトに接続するための IP アドレス、ポートのペアと、 実際のサービスを提供するホストの IP アドレス、ポートのペアとの関連を定義し ます。基本的には、１つのバーチャル IP アドレスとポートには、最低でも１つ、 又は、そのサイトの様々なコンテンツを提供するための複数のリアルサーバが関連 付けされます。 バーチャルサービスは、設定によりいずれのポートへの接続も許 可できる反面、特定ポートへの接続の制限も行えます。システムは、バーチャル IP アドレスとポート番号を基に、入ってくるトラフィックがリアルサーバへの分配を 許されているかどうかの判定を行います。

6.2.2

リアル

リアル

リアル

リアルサーバ

サーバ

サーバ

サーバ

１つのリアルサーバは、システムとして認知できる物理的なサーバとして、１つの IPアドレスとポート番号のコンビネーションをもつホストです。単一の物理的サー バは、いくつものリアルサーバとしてサービスを提供可能です。複数のバーチャル サービスが、同じリアルサーバをそのメンバーとして重複して指定することができ ます。この場合、ある特定のリアルサーバの属性を設定、もしくは変更すると、こ のリアルサーバをメンバーとしてもつバーチャルサービスは、この設定、もしくは 変更の影響を受けます。 通常、リアルサーバはバーチャルサービスよりも安全な所に位置します。これは、 多くの場合、リアルサーバにルーティング不可能な IP アドレス（RFC1918）を指 定することで可能にしています。

アドレスとポート番号のコンビネーションを指定したとします。このバーチャル サービス配下に、１つ、もしくはそれ以上のリアルサーバを設定します。この例で は 10.0.0.12:80, 10.0.0.13:80 及び 10.0.0.14:8080 の３つのサーバが設定されてお り、バーチャルサービスは、192.168.1.10:80 で受けたパケットをこれらの３つの うちの１つのサーバにフォワードするために、そのサーバの IP アドレストとポー ト番号へ変換します。

External

Clients

Real Servers

Internet

192.168.1.1 10.0.0.12 10.0.0.13 10.0.0.14 eth0 10.0.0.1 eth1 192.168.1.5 Internal Clients Internal Clients Virtual Service 192.168.1.10

6.2.3

ネットワーク

ネットワーク

ネットワーク

ネットワークでの

での

での

でのパケット

パケットの

パケット

パケット

の

の

の流

流

流

流れ

れ

れ

れ

上記のバーチャルサービスとリアルサーバの図を基に、ロードマスターを介したパ ケットの流れの詳細を説明します。パケットの流れは、エンドユーザにとってトラ ンスペアレントである必要があります。全てのパケットは、内部のリアルサーバに 向かうようにロードマスターによりルート変更されます。ロードマスターで使用す る機能により例外もありますが、下記はロードマスターを介した場合の共通した一 般的なトラフィックの流れです。 クライアントよりパケットが最初に送信される時、その行き先はロードマスターに 設定されているバーチャルサービスの IP アドレスで、ソース IP アドレスはクライ アントの IP アドレスです。ロードマスターは、このパケットを受け取り、行き先 IP アドレスを負荷分散のアルゴリズムにより選択されたリアルサーバの IP アドレ スへ変換します。行き先 IP アドレス、及びソース IP アドレスは、リアルサーバが レスポンスを返した時、元のクライアント IP アドレスへ再変換するためにリザー

ブされます。 ソース IP アドレスに関しては、ロードマスターがバーチャルサービスを設定する 時に選択できる２つのオプションがあります。 デフォルトのオプションは、ソース IP アドレスをバーチャルサービスの IP アドレ スに変換する非透過モードです。他のオプションは、クライアント IP アドレスを そのままソース IP アドレスに使用して、リアルサーバに通過させる透過モードで す。 これらのパケットの流れを下記の図に示します。 • 1-アームネットワーク形態 – 非透過モード 192.168.1.31 192.168.1.32 192.168.1.33

Clients

LoadMaster

Real Servers

Internet

SRC: 192.168.1.50:80 DEST: 192.168.1.31:80 SRC: 70.119.66.60:4003 DEST: 192.168.1.50:80 Virtual Service 192.168.1.50:80

• 1-アームネットワーク形態 – 透過モード 192.168.1.31 192.168.1.32 192.168.1.33

Clients

LoadMaster

Real Servers

Internet

SRC: 70.119.66.60:4005 DEST: 192.168.1.31:80 SRC: 70.119.66.60:4003 DEST: 192.168.1.50:80 Virtual Service 192.168.1.50:80 • 2-アームネットワーク形態 – 非透過モード

External

Clients

Internet

192.168.1.1 10.0.0.12 10.0.0.13 10.0.0.14 eth1 10.0.0.1 eth0 192.168.1.5 Internal Clients Internal Clients Virtual Service 192.168.1.50 SRC: 192.168.1.50:8330 DEST: 10.0.0.12:80 SRC: 70.119.66.60:4003 DEST: 192.168.1.50:80

• 2-アームネットワーク形態 – 透過モード

External

Clients

Internet

192.168.1.1 10.0.0.12 10.0.0.13 10.0.0.14 eth1 10.0.0.1 eth0 192.168.1.5 Internal Clients Internal Clients Virtual Service 192.168.1.50 SRC: 70.119.66.60:8330 DEST: 10.0.0.12:80 SRC: 70.119.66.60:4003 DEST: 192.168.1.50:80

6.3

バーチャルサービス

バーチャルサービス

バーチャルサービス

バーチャルサービス作成

作成

作成

作成

6.3.1

バーチャルサービス

バーチャルサービス

バーチャルサービス

バーチャルサービスの

の

の

の作成

作成

作成

作成

バーチャルサービス·サブメニュー下の“Add New”をクリックし、特定の IP アド レスとポート番号、及びプロトコルを入力します。ポート番号は、サービスリスト として一般的な番号を使用します。特定の IP アドレスとは、クライアントが使う サ ー ビ ス を DNS が 変 換 し た も の で す 。 例 え ば 、 弊 社 の ウ ェ ブ サ イ ト “www.kemptechnologies.com”が DNS サーバにより変換された IP アドレスです。 1. 1.1.

1. メインメニューの“Virtual Service”を選択し、 “> Add New” をクリックし ます。

2. “Please Specify the Parameters for the Virtual Service” 画面で、バーチャル IP アドレス、ポート番号を入力し、特定のプロトコルを選択します。各フィー ルドの説明を以下に示します。

3. “Add this Virtual Service”ボタンをクリックします。

4. 入力が正しいと下図の “Virtual Service Properties” 画面が表示されます。 パラメータ パラメータ パラメータ パラメータ 解説解説解説解説 デ フォデ フォデ フォデ フォ ルト ルト ルト ルト Virtual Address DNSが解決するサービスの IP アドレス 空白 Port Virtual Addressが使用するポート番号. 80 Protocol Virtual Addressが使用するプロトコル tcp

5. この “Virtual Service Properties” 画面で、下記の特性を指定します。

Basic Properties （

（

（

（基本特性

基本特性

基本特性

基本特性）

）

）

）

パラメータ パラメータ パラメータ パラメータ 解説解説解説解説 デフォルトデフォルトデフォルトデフォルト Active or Deactivate Service このバーチャルサービスを有効、もし くは無効にする。 有効

す。 り可変 Port Range VS がサービスを受け付けるポート番号 が複数で 尚且つ 連続 番号であ るなら ば、このパラメターに最老番のポート 番号を入力します。 Extra Ports VS がサービスを受け付けるポート番号 が複数で尚且つ非連続番号であるなら ば、このパラメターに追加のポート番 号を入力します。 Force L7 このバーチャルサービスをレイヤー７ で稼動するように強制します。このパ ラメータは、レイヤー４でバーチャル サービスを設定した時のみ表示されま す。 チェックマーク 無し L7 Transparency レイヤー７での透過モードの設定を行 います。“Force 7”や、パーシステン スをクッキー等の L7 用に設定した時に のみ表示されます。（注：レイヤー４ では表示されません。） チェックマーク 有り Allow Server Initiating Protocols MTA (SMTP), SSH など、RS から TCP 接 続後にアプリケーションレイヤ（L7） でロードマスターにセッションを張る プロトコルでは、このパラメータをオ ンにする必要があります。（注：L4 モードでは現れません。又、必要では ありません。） チェックマーク 無し Real Server Check Protocol リアルサーバの正常性をチェックする ためのプロトコルを選択します。TCP を 選 択 し た 場 合 は 、 単 に 接 続 性 を チェックします。 ポートにより可 変（ポート 80 な ら HTTP） Service Nickname (optional) このバーチャルサービスの識別用ニッ クネームを作成します。 なし Persistence Options パーシステンス方法を選択します。選 択したら、必要に応じてタイムアウト の値を変 更しま す。 選択でき るオプ ションを下記の NoteNoteNoteNote----1111に示します。

なし（無効）

Scheduling Method

リアルサーバへの負荷分散方法を選択 します。選択できるオプションを下記 の NoteNoteNote----2Note に示します。

Round robin Idle Connection Timeout L7 用 VS 毎のセッションのアイドルタ イムアウト設定用です。‘0’に設定さ れている場合は、システムの設定値に ０

従います。 Use Address for SNAT 2 アーム構成時に RS より外部へのアク セスを可能にする SNAT がオンになって いる場合、このパラメータをオンにす ることで、VIP アドレスがソース IP ア ドレスとして使用されます。 無効 Note Note Note Note----111:::: 1 パーシステンスを有効にするとクライアントと特定のリアルサーバ間の接続 を持続させます。言い換えれば、同じクライアントからの接続は、特定のリ アルサーバへのみ接続されます。タイムアウト値は、接続情報をどれだけの 期間保持するかを指定するものです。パーシステンスのタイプは、プルダウ ンリストから選択できます。 オプションには、下記のものがあります。 SRC IP Address SRC IP Address SRC IP Address SRC IP Address （（（（ソースソースソースソース IPIPIPIPアドレスアドレス）アドレスアドレス）） ） サービスリクエストを行うクライアントの IP アドレスをパーシステ ンスのキーとして使用します。 ネットマスクは、ロードマスターがその IP アドレスをどれだけの IP アドレス範囲で接続を持続させるかの判断に使用します。 ＜例＞: ネットマスクを 255.255.255.255255.255.255.255255.255.255.255255.255.255.255 (デフォルト値) に設定した場合、 全ての IP アドレスがパーシステンスの対象となります。例えば、 200.190.125.67 200.190.125.67 200.190.125.67 200.190.125.67 の IP アドレスを持ったクライアントがリアルサーバ に接続した場合、この特定 IP アドレスをパーシステンスの対象 IP ア ドレスとします。このクライアントが、接続を終了したとします。あ る一定時間を過ぎて（タイムアウト時間内）、このクライアントが前 と違う IP アドレスアドレスアドレスアドレス 200.190.125.44200.190.125.44200.190.125.44200.190.125.44で接続を再開しても、同じリア ルサーバへの接続を行う必要性はないと判断します。 しかしながら、もしネットマスクを 255.255.255.0255.255.255.0255.255.255.0255.255.255.0に設定したとす ると、200.190.125.X200.190.125.X200.190.125.X200.190.125.X の IP アドレスを持ったクライアントグループ の接続は、タイムアウト時間内は全て同じリアルサーバへ接続されま す。 Server Cookie Server Cookie Server Cookie Server Cookie （（（（サーバサーバサーバサーバクッキークッキークッキー）クッキー）） ） ロードマスターは、HTTP ヘッダー内に含まれるクッキーの特定の値 をチェックします。同じクッキーと判断されると、前回と同じリアル サーバへ接続されます。このクッキーは、リアルサーバで生成されな ければなりません。 Super HTTP Super HTTP Super HTTP Super HTTP（（スーパー（（スーパースーパーHTTPスーパーHTTPHTTP）HTTP）） ） スーパーHTTP オプションは、HTTP リクエストの中の“User-Agent” フィールドをハッシュ化した値を使用します。HTTP リクエスト内に 同じ値が含まれているならば、前回接続したリアルサーバへと接続し

サーバで使用する文字列が含まれていた場合は、“Autorization” フィールドも含めてハッシュ化します。このオプションは、MS Exchange サーバの CAS サービス用バーチャルサービスを作成する時 に推奨します。 Server Cookie Server Cookie Server Cookie

Server Cookie or Source IPor Source IP or Source IPor Source IP （（サーバ（（サーバサーバクッキーサーバクッキークッキー、クッキー、または、、またはまたはまたはソースソースソース IPソースIPIPIPアドレアドレアドレアドレ ス ス ス ス）））） 最初にサーバクッキーでのパーシステンスを試みますが、何らかの理 由で失敗した場合は、クライアントの IP アドレスを使ってパーシス テンスを試みます。 Active Cookie Active Cookie Active Cookie Active Cookie（（アクティブクッキー（（アクティブクッキーアクティブクッキー）アクティブクッキー）） ） パーシステンスを可能にするためにロードマスターが自動的に特殊な クッキーをセットします。 Active Cookie Active Cookie Active Cookie

Active Cookie or Source IPor Source IPor Source IPor Source IP（（アクティブクッキー（（アクティブクッキーアクティブクッキー、アクティブクッキー、または、、またはまたはソースまたはソースソースソース IPIPIPIPアアアア ドレス ドレス ドレス ドレス）））） 最初にアクティブクッキーでのパーシステンスを試みますが、何らか の理由で失敗した場合、クライアントの IP アドレスを使ってパーシ ステンスを試みます。

Hash all Coo Hash all Coo Hash all Coo

Hash all Cookiekiekie kie （（ハッシュクッキー（（ハッシュクッキーハッシュクッキー）ハッシュクッキー）） ）

クッキーをハッシュ値で判断しパーシステンスを行います。同じクッ キーセットを持つリクエストは、同じリアルサーバへ接続されます。 Hash all Cookies

Hash all Cookies Hash all Cookies

Hash all Cookies or Source IPor Source IPor Source IPor Source IP （（（（ハッシュクッキーハッシュクッキーハッシュクッキーハッシュクッキー、、または、、またはまたは IPまたはIPIPIPアドレアドレアドレアドレ ス ス ス ス）））） 最初にクッキーセットのハッシュ値でパーシステンスを試みます。も し何らかの理由で失敗した場合は、クライアントの IP アドレスを 使ってパーシステンスを試みます。 URL Hash URL Hash URL Hash

URL Hash （（（（URLURLURLURLハッシュハッシュハッシュハッシュ））））

URLをハッシュ値に変換してパーシステンスを行います。同じ URL のリクエストは、同じリアルサーバへ接続されます。

HTTP HTTP HTTP

HTTP Host HeaderHost HeaderHost HeaderHost Header （（（（HTTPHTTPHTTPHTTPホストヘッダーホストヘッダーホストヘッダーホストヘッダー））））

URL内のホスト値でパーシステンスを行います。同じホストへのリク エストは、同じリアルサーバへ接続されます。

Hash of HTTP Hash of HTTP Hash of HTTP

Hash of HTTP Query ItemQuery ItemQuery ItemQuery Item（（（（HTTPHTTPHTTPHTTPクエリーハッシュクエリーハッシュクエリーハッシュクエリーハッシュ））） ）

URL内のクエリーキー値をハッシュ値に変換してパーシステンスを行 います。同じクエリーキー値のリクエストは、同じリアルサーバへ接 続されます。

SSL Session ID SSL Session ID SSL Session ID

SSL Session ID (Deprecated)(Deprecated)(Deprecated) (Deprecated) （（SSL（（SSLSSLSSLセッション IDセッションセッションセッションIDIDID））））

SSL接続時に、SSL セッション ID でパーシステンスを行います。こ のオプションは、SSL アクセラレーションを作動させた場合は無効と なります。 Note Note Note Note----2:2:2:2: 負荷分散方法 Round Robin Round Robin Round Robin Round Robin （（（（ラウンドロビラウンドロビラウンドロビラウンドロビンンンン）））） ラウンドロビンは、セッションをリアルサーバへ順番に分配します。 例えば、最初のセッションは、リアルサーバ１へ、そして次のセッ ションはリアルサーバ２へ分配します。全てのリアルサーバに対して 同じ負荷配分が行われます。

Weighted Round Robin （（（重（重重重みみみみ付付け付付けけけラウンドロビンラウンドロビンラウンドロビンラウンドロビン））））

この方法では、どのリアルサーバへセッションをアサインするかを、 各サーバに与えられた重量により判断します。設定された重量が重い ほど、分配されるセッション数が多くなります。 Least Connection （（（（最小接続最小接続最小接続最小接続）））） この方法では、接続数が少ないリアルサーバへセッションが分配され ます。

Weighted Least Connection （（（重（重重重みみみみ付付け付付けけけ最小接続最小接続最小接続最小接続））））

各リアルサーバに設定された重量を基に最小接続数が算出されます。 算出された値によりリアルサーバへセッションが分配されます。 Fixed Weighting （（固定重（（固定重固定重み固定重みみ）み）） ） 一番重量の大きい稼動中のリアルサーバへ、常にセッションが分配さ れます。各リアルサーバの重量値は異なっていなければなりません。 Resource base(ptive) （（アダプティブ（（アダプティブアダプティブ）アダプティブ））） この方法では、リアルサーバへエージェントをインストールし、その エージェントの測定値によりセッションの分配を行います。この方法 では、負荷分配をリアルタイムに均等に行うことが可能です。

SSL Properties （

（

（

（

SSL

特性

特性

特性

特性）

）

）

）

Parameters Parameters Parameters

Parameters DesDesDesDescriptioncriptioncription cription DefaultDefault DefaultDefault SSL Acceleration ロードマスターが、SSL プロトコルの最終地 点となります。リアルサーバの暗号化、復号 化をロードマスターが代行することにより SSL通信の速度向上が可能となります。 無効 このオプションは、HTTP 用バーチャルサー

に変換します。よってリアルサーバとの通信 は SSL 通信となり、リアルサーバには SSL 証明書のインストールが必要です。 Certificate “Add New”：新しい SSL 証明書をインス トールする時にクリックします。

“Add 3rd _{Party Cert}”：新しいインターミ

ディエート証明書（ルーツ証明書）をインス トールする時にクリックします。 注：このパラメータは、“SSL Acceleration” をオンにした時のみ表示されます。 なし Rewrite Rules RS からのリダイレクトを行う URL ロケー ションが違うプロトコル（HTTP/HTTPS）を 一つに統一要求する必要がある場合は、この プルダウンリストで選択します。 None

Advanced Properties （

（

（

（アドバンスド

アドバンスド

アドバンスド

アドバンスド特性

特性

特性

特性）

）

）

）

Parameters Parameters Parameters

Parameters DescriptionDescriptionDescriptionDescription DefaultDefault DefaultDefault Content Switching コンテントスイッチを使用できるようにしま_す。 無効 HTTP Header Modifications HTTPヘッダールールを変更できます。 無効 Enable Caching RS のコンテンツのキャッシングを可能にし ます。 無効 Enable Compression クライアントとの通信パケット圧縮を可能に します。 無効 Detect Malicious Requests RS への悪意のあるリクエストをブロックし ます。 無効 Add Header to Request 任意の HTTP ヘッダーを RS へのリクエスト内 に挿入します。 無効 Not Available Server （ 使 用 可 能 サーバなし） リアルサーバが全て使用不可能な場合のバッ クアップサーバの設定を行います。IP アドレ スだけが指定可能です。 なし Not Available Redirection Handling （ N/A リ ダ イ レクト処理） コンテンツが無効な場合のリダイレクト処理 を設定します。HTTP から HTTPS への強制 は 、 エ ラ ー コ ー ド 302 を 選 択 し、’https://<host+domain>%s’をリダイレク なし

ト URL に指定します。 Default Gateway システムに設定してあるデフォルトゲート ウェイ以外のデフォルトゲートウェイを指定 できます。 なし

6.3.2

リアル

リアル

リアル

リアルサーバ

サーバ

サーバ

サーバの

の

の設定

の

設定

設定

設定

1. バーチャルサービス特性画面で、下の方に位置する Real Servers for this Real Servers for this Real Servers for this Real Servers for this Virtual Service

Virtual Service Virtual Service

Virtual Service 下の“Add New …”“Add New …”“Add New …”“Add New …” ボタンをクリックします。もしくは、メイ ンメニューの Virtual ServicesVirtual ServicesVirtual ServicesVirtual Services オプション下の“>“>“>View/Modify Services“>View/Modify ServicesView/Modify Services”””” View/Modify Services を選 択し、リアルサーバを設定する Virtual Service の“Modify”“Modify”“Modify”“Modify” ボタンをクリック します。バーチャルサービス特性画面の下の方に位置する Real SeReal SeReal Server for Real Server for rver for rver for this Virtual Service

this Virtual Service this Virtual Service

this Virtual Service 下の“Add New”“Add New”“Add New” “Add New” ボタンをクリックします。

2. リアルサーバの IP アドレスを入力します。また、必要ならば、ポート番号 を変更します。

3. もし、ネットワーク形態が１アームで、ダイレクト·サーバ·リターン （DSR）を使用するならば、“Forwarding method”“Forwarding method”“Forwarding method”“Forwarding method”を“DirectreturnDirectreturnDirectreturnDirectreturn”” にしま”” す。それ以外は“natnatnatnat”””” のままにしてください。

4. もし、負荷分散方式を重み付けとする場合は、“Weight”“Weight”“Weight”“Weight” の値をデフォルト 値の“1000”を他の値へ変更してください。関連する重み付け負荷分散方式

には“Weighted Round Robin”, “Weighted Least Connection”、もしくは “ Fixed Weight”のオプションがあります。

5. リアルサーバの入力を有効にするために “Add This Real Server”“Add This Real Server”“Add This Real Server” “Add This Real Server” ボタンをク リックします。

上記１－５の手順に従い、全てのリアルサーバを設定してください。

注：ローカルのサブネット上に存在しないリモートサーバをリアルサーバ （RS）として登録する場合は、“System Configuration”－＞“Miscellaneous Options”－＞“Network Options”下にある“Enable Non-Local Real Servers”を ‘Yes’にした後、このリアルサーバ追加画面に新たに表示される“Allow Remote Addresses”をオンにします。バーチャルサービス（VS）は、非透過 モードでなければこのパラメータは表示されません。

6.3.3

バーチャルサービス

バーチャルサービス

バーチャルサービス

バーチャルサービスの

の

の

の状態確認

状態確認

状態確認

状態確認

バーチャルサービスにリアルサーバの登録を終えたら、“Virtual ServiceVirtual ServiceVirtual ServiceVirtual Service”メニュー の“View/Modify Services”より状態を確認します。下図のように Status が Up に なっていれば、バーチャルサービス経由でリアルサーバへのアクセスが可能です。

6.3.4

バーチャル

バーチャル

バーチャルサービス

バーチャル

サービス

サービス／

サービス

／

／

／リアル

リアルサーバ

リアル

リアル

サーバ

サーバ

サーバへの

への

への

へのアクセス

アクセス

アクセス

アクセス

ブラウザーを開いて、作成したバーチャルサービスへアクセスを試みます。 例えば下図のように、リアルサーバから応答があれば設定は完了です。

7

透過

透過

透過

透過、

、

、

、それとも

それとも非

それとも

それとも

非

非

非透過

透過

透過モード

透過

モード

モード

モード

7.1

ネットワーク

ネットワーク

ネットワーク

ネットワーク構成

構成

構成

構成

ロードバランサーを実際のプロダクション環境に展開する場合、多種多様なネット ワーク構成に絡んだ問題が発生する場合があります。その中でも、一番厄介なのは リアルサーバそのものに影響するものです。このセクションでは、最も共通した問 題を解決する手がかりとなる事項とロードマスターの設置方法の手助けとなるオプ ションについて説明します。 これらの問題の中で、共通した、且つ、把握することが難しいのがレイヤー７の透 過に絡んだ問題です。このセクションでは、ネットワークの透過に焦点を当てて、 どのように設定を行うかを説明すると共に関係するコンセプトについて説明します。

ネットワーク

ネットワーク

ネットワーク

ネットワーク透過

透過

透過

透過の

の

の

の実装

実装

実装

実装

ネットワーク透過の全ての問題は、単一の質問に集約できると言っても過言ではあ りません。それは； サーバのアクセスログに、クライアントの IP アドレスが必要ですか？ もしその答えが“はい”ならば、ネットワーク透過の設定が必要で、ネットワーク の構成をそれに合ったものにしなければなりません。 もしその答えが“いいえ”なら、ネットワークの設定がより柔軟に行えます。 以下は、ネットワーク透過、非透過モードの長所、短所を述べたものです。 透過 透過 透過 透過モードモードモードモード 非非透過非非透過透過モード透過モードモード モード 長所 • クライアント·ソース IP アドレス をそのまま保てる • レイヤー４と７の両方で使用でき る • リアルサーバのあるサブネットより サービスへのアクセスが可能 • デフォルト·ゲートウェイの変更が 不要 短所 • リアルサーバのあるサブネットか ら、サービスへのアクセスができ ない • デフォルト·ゲートウェイは、ロー ドマスターでなければならない • クライアント·ソース IP アドレスを そのまま保てない • レイヤー７でのみ有効 ロードマスターを介してリアルサーバがどのようにトラフィックをクライアントに 正しく戻すかは、透過、非透過モードで異なります。ロードマスターに入ってきた トラフィックが同じルートを通って如何にクライアントに戻すかは、ロードバラン サーの基本的な必須機能です（ダイレクト·サーバ·リターンは、唯一の例外です）。

レイヤー

レイヤー

レイヤー

レイヤー４

４

４

４と

と

とレイヤー

と

レイヤー

レイヤー

レイヤー７

７

７

７

ロードマスターの処理は、レイヤー４とレイヤー７では異なります。レイヤー４と レイヤー７を OSI モデルで見てみましょう。レイヤー４は、 TCP/UDP ポートが絡 むだけですが、レイヤー７は、HTTP プロトコルで使用されるクッキー、SSL アク セラレーション、コンテントスイッチなどのアプリケーションスイッチとしての要 素が絡みます。 レイヤー４として作成された全てのバーチャルサービスは、透過モードのネット ワークとしてのみ動作します。レイヤー４の意味は何でしょうか？それは、セッ ションの維持にクッキーを使って行ったり、 コンテントスイッチ、もしくはコン テントスイッチのルール、及び SSL アクセラレーションなどが絡まない負荷分散 のトラフィックです。レイヤー４では、ソース IP アドレスを使ったセッション維 持のみが行えます。

バーチャルサービスが、レイヤー４なのかレイヤー７かは Virtual ServicesVirtual ServicesVirtual ServicesVirtual Services サブメ ニュー下の““““View/Modify ServicesView/Modify ServicesView/Modify ServicesView/Modify Services”””” を選択してバーチャルサービス·リストを表示さ せると、下記のように“Layer”“Layer”“Layer”“Layer”欄で識別可能です。

もし、現在のモードを変更したければ、下記のように各バーチャルサービスの属性 画面の Basic PropertiesBasic PropertiesBasic PropertiesBasic Properties にある“Force L7”“Force L7”“Force L7”“Force L7” を使用します。もし、このパラメータが 表示されている場合、そのバーチャルサービスは現在レイヤー４として稼動してい ることになります。そして、ネットワークは透過モードです。もし、バーチャル サービスが何らかのクッキーを使用したセッション維持、SSL アクセラレーション、 もしくはコンテントスイッチを使用していると、自動的にレイヤー７となり、この “Force L7” “Force L7” “Force L7” “Force L7” のパラメータは表示されません。

7.2

透過

透過

透過

透過モード

モード

モード

モードの

の

の要求

の

要求

要求

要求

ネットワークを透過モードにする場合は、バーチャルサービスに属するリアルサー バのゲートウェイの設定をロードマスターとしなければなりません。これは、ネッ トワーク形態が１アームであろうが２アームであろうが変わりません。ロードマス ターがデフォルトゲートウェイでなければ、サーバがクライアントへのレスポンス を返すときにロードマスターへのパスが保障されずに、ロードバランサーとしての 働きが出来ません。 ネットワークを透過モードとして働かせるためには、更にクライアントがリアル サーバの接続されているサブネット以外からアクセスする必要があります。これ は、 上記で述べたようにトラフィックの出と入りがロードマスターを通過する必 要があるからです。もし、クライアントがリアルサーバと同じサブネット上に存 在し、ネットワークが透過モードとなっていると、リアルサーバからの返りのパ ケットはロードマスターを介さずクライアントに直接戻ってしまいます。クライ アントはバーチャルサービスからのレスポンスを待っているにもかかわらず、リ アルサーバからのパケットが返ってくるので、結果としてそのパケットは無視さ