posted

0 Comments

こんにちは。VMwareの高田です。

今回は、NSX 6.2 ロードバランサの機能強化についてご紹介します。

Edge ロードバランサの機能拡張

まず、NSX Edgeのロードバランサ機能がより使いやすくなるように拡張されました。機能拡張は3つあります。

    1. 仮想IPアドレス(VIP)のサポート最大数が、64から1024に大幅に拡張されました。この値は、各Edge Service Gateway毎の最大値、かつ超特大(X-Large)をデプロイした場合の最大値です。 
    2. VIPとポートの範囲の組み合わせがサポートされました。NSX 6.2以前は、IPアドレスとポートの組み合わせでVIPが提供されていましたが、VIPのIPとポートの範囲を指定できるようになり、ポート範囲の指定が必要なアプリケーションにも利用できるようになりました。
      nsx-vip
    3. ロードバランサの健全性監視で、最新の健全性チェックとステータス変更の追跡、障害理由の表示が可能になりました。NSX6.2以前は、現在の状態として宛先サーバがUPなのかDOWNしか見えなかったのですが、NSX6.2ではステータス変更の時刻、DOWNの場合はその情報、例えばTCPハンドシェイクの失敗、SSLハンドシェイクの失敗、HTTPリクエストの失敗、ホストへのルートがない、などが表示され、より障害解決の時間短縮を図ることができます。
      NSX_LB_HC

サードパーティ製ロードバランサとの連携

NSXの以前のバージョンでも、サードパーティ製ロードバランサと連携していましたが、6.2以降では更に連携を強化しています。例えばF5社のサポート済みの構成については、すでにデザインガイドが提供されており、VMwareではこちらで、F5社のほうではこちらで提供しております。今後、このガイドが更新され、新しい構成のパターンをサポート予定です。
既存でお使いのロードバランサを、NSX環境でも使いたいというご要望に合わせた対応です。

分散ロードバランサ(テックプレビュー機能)

VMwareコミュニティのNSXグループに、テックプレビュー機能としてNSX 分散ロードバランサの情報が公開されています。すでにNSX Edge上のロードバランサで仮想マシンへのNorth-Southトラフィックを処理に利用されているケースも増えていますが、分散ロードバランサは仮想マシン間のEast-Westトラフィックを処理するためのものです。分散ファイアウォール同様に各ESXiホスト上で機能します。

分散ロードバランサがない場合に、East-Westの仮想マシン間を処理する場合は、NSX環境上のどこかのESXiホストで動作しているEdgeによってロードバランスされる、次の図のような流れになります。

non_DLB

分散ロードバランスを使うと、分散ファイアウォール同様に各ESXiホスト上でロードバランス処理が行われます。

DLB

では、この図を元に設定手順をご紹介します。

  1. 新しい分散ロードバランササービスを作成します。
    1. vSphere Web Clientから [Networking & Security] – [サービス定義] – [サービス]タブ – [+(新規サービス定義)] で、任意の名前を入力し、デプロイ メカニズムで [ホストベースのvNIC] を選択します。
      Create_New_service-1
    2. サービスカテゴリで、[ロードバランサ] を選択します。
      Create_New_service-2
    3. Service Managerの構成で、任意の名前を入力します。他の項目は、デフォルトのまま(ブランク)にしておきます。Create_New_service-3
  2. 分散ロードバランサの機能を提供するクラスタを指定します。
    1. 前のステップで作成した分散ロードバランサ サービスを選択し、[設定の編集] で編集します。左に表示される [サービス インスタンス] をクリックし、[NSX DLB-GlobalInstance] を選択します。そして、[管理]タブ – [デプロイ] – [+(作成)] をクリックします。
      DLB_SP_SG
    2. クラスタの追加で、サービスを提供したいクラスタを選択します。選択できるクラスタは現在1つのみです。
      DLB_Cluster
  3. 新規サービスプロファイルを作成します。
    1. 上記のサービスインスタンスで、[関連オブジェクト]タブ – [+(作成)] をクリックします。
    2. 任意のプロファイル名を入力します。
      DLB_SP
  4. 分散ロードバランサのVIPを設定します。
    1. 2つのSecurity Groupを作成します。まず、分散ロードバランサのVIPへ通信する送信元となる仮想マシンのグループです。作成は、[Networking & Security] – [Service Composer] – [Security Group]タブ –  [新規Security Group] をクリックし、そのグループに入れたい仮想マシンを選択します。作成すると、そのSecurity Groupに所属する仮想マシンが表示されます。下記の例は、Security Group “SG_Web”に仮想マシン、sv1とsv2が含まれていることを指しています。
      DLB_SC_Web
    2. 同様に、VIPを経由し実際のトラフィックを処理する仮想マシンのSecurity Groupを作成します。この例では、”SG_App”で仮想マシン、sv3とsv4が含まれています。
      DLB_SC_App
    3. [Networking & Security] – [サービス定義] – [サービス]タブ で、1. で作成済みの分散ロードバランサ サービスを選択し、[NSX DLB-GlobalInstance] を選択します。そして、[関連オブジェクト]タブ で、2. で作成済みのサービス プロファイルを選択し、 [適用されたオブジェクト]タブ を選択後、[適用されたオブジェクトの変更] をクリックします。
      DLB_SP_SG
    4. 1.で作成したSecurity Groupを適用します。この例では”SG_Web”を選択します。
      DLB_Obj_SG

      DLB_SP_Web

    5. [設定]タブで、[発行] をクリックします。
      DLB_SP_publish
  5. VIPを設定します。
    [Networking & Security] – [ファイアウォール] – [構成]タブ – [パートナー セキュリティ サービス] で、任意のセクションにルールを追加します。この例では、ソースが”SG_Web”、ターゲットが”SG_App”、サービスは”HTTP”、操作でバランス、リダイレクト先として作成済みのサービスプロファイル、方向が”送信”、VIPとして”10.0.2.10”を設定した例です。ルール追加後は [変更の発行] で設定を有効にします。
    DLB_VIP

動作の確認方法や、デモなどが記載された資料はこちらで公開しています。

注意事項として、テックプレビュー版の機能のため、実環境でのご使用は正式リリースまで避けてください。また、ロードバランス手法はラウンドロビンによるもののみ、Edge上のロードバランサはレイヤ4やレイヤ7で動作しますが、現時点の分散ロードバランサはレイヤ4 の機能です。

今回、シリーズでNSX 6.2をご紹介してきましたが、ご紹介した機能以外にも拡張された機能があります。詳しくは、NSX 6.2 リリースノートをご参照ください。