最もシンプルでわかりやすい2アーム構成で設定する機会があったので備忘録。
ロードバランサの上流側とサーバ側は別セグメントで構成し、サーバのデフォルトゲートウェイはロードバランサへ向ける構成。
ロードバランサの上流側にはFireWall機器があり、公開用のWebサーバIPをロードバランサのVirtualIPへNAT変換、各サーバへも直接接続できるようにGlobalIPをサーバに振ったLocalIPへNATさせます。
■機能のON
System > Setting > Configure modesで使用する機能をON。
・Use Source IP : ON
・Edge Configration : ON
・Use Subnet IP : ON
・Layer 3 Mode(IP Forwarding) : ON
・Path MTU Discovery : ON
※FastRampは効率化に有効らしいがRFC違反なのでOFF推奨とのこと
System > Setting > Configure Basic Features
・SSL Offloading : ON
・Load Balancing : ON
System > Setting > Configure Advanced Features
・IPv6 protocol translation : ON
(今回IPv6でリクエストを受け付け、Ipv4のサーバへ接続させる設定も試みたため)
■IP、I/F、VLANの設定
物理的には0/1に管理用サブネットを設定、1/1を上流側サブネット、1/2をサーバ側サブネットに接続しました。
[IP設定]
・NetscalerIPに機器管理用IPを設定
・TypeをSubnet IPにしてIF1/1用、I/F1/2のIPアドレスを設定
・TypeをVirtual IPにしてサーバ用のVirtual IPを設定
※0/1-0/2 はマネジメント用なので1/1~1/4までに設定することとのこと
[VLANs設定]
・1/1側はvlanIDを任意で割り当て、上記で設定したIPアドレスと紐付け、I/Fも同じ画面で紐付ける。タグはやりとりしないのでチェック無し。
・1/2側はvlanIDを割り当て、同じくIP、I/Fを紐付けタグにチェックを入れる。サーバはESXに収容されているのでESX側の仮想スイッチとトランクリンクを形成する。ESXの仮想スイッチではそれぞれのポート・グループに対してVLAN-IDを設定して該当するサーバを収容しています。
[Routes]
・デフォルトゲートウェイを上流のFireWall機器へ向けます。
■サーバの設定
Load Balancigで設定
[Servers]
・各サーバに割り当てているIPでオブジェクトを定義
[Service Group]
負荷分散の対象となるサーバやポート、ヘルスチェックの方法等を定義しグルーピングします。
たとえばWebサーバが3台構成だと、3台がセットになったサービスグループが出来上がるようなイメージ。
・Membersに先ほど定義したサーバを選択、ポートを入力しAdd
・Monitorsでは、デフォルトのものを利用せず特定のファイルをリクエストし返答が特定の文字だったらOKのように設定しました。
(MonitorsメニューでSpecial Patametersタブで設定)
・Advancedタブで「Use Source IP」にチェック。これをするとリクエスト元のIPがNetscalerでNATされずWebサーバへ届くのでアクセスログ等の管理がシンプルになります。
[Virtual Servers]
次いでクライアントからのリクエストを受け付けるVirtual Serverの設定
・Service Groupタブで先ほど設定したサービスグル―プと紐付け
・パーシステンスは最もシンプルなSOURCEIPを選択
・Advancedタブの「Profiles」で最適化されたTCPProfile等を設定
[ACL]
今回は各サービス毎にWebサーバ群を設定する必要があったため、各サービス別にVLANを分けました。
このため、各VLAN用にサブネットを分けて1/2インターフェースに割り当て、VLAN間の通信をさせないようACLを設定しました。
ACLはデフォルトですべて許可のようなのでDENYのACLを設定しました。
ちなみに今回は純粋なロードバランスでは無く、障害が発生した場合はスタンバイサーバに切り替える構成にしました。
この場合、バックアップ用のサービスグループ、Virtual Serverを別途定義し、アクティブなVirtual ServerのAdvancedタブで「Backup Virtual Server」のところでバックアップ用のVirtual Serverを指定します。
バックアップサーバはVIPは必要ないのでDirectory Addressableを外して直接接続で設定します。
Backup Virtual Serverで設定した場合、正常系が元に戻ると新しいセッションからは正常系へ自動的にフォールバックされます。
※ステータスメモ
■Virtual Servers
・State :DOWN ※サーバダウンではこれになる
・Effective State :UP
※backupサーバによりサービスが維持されている場合はEffective Stateが「UP」、両方機能しない場合はEffective Stateも「DOWN」
■Service Groups
・State
:ENABLED (サービスグループを有効)
:DISABLED (サービスグループを無効)
・Effective State
:DOWN (ヘルスチェックがダウンなのでダウン) ※サーバダウンではこれになる
:UP (ヘルスチェックがOKなのでアップ)
:OUTOFSERVICE (ヘルスチェックを無効にするとこれ)