手順の概要

本手順書は、ロードバランサー(NetScaler VPX)メニューから Managed Load Balancer メニューに移行するための標準手順書です。
(移行パターン3. ワンアーム構成 / SNATあり の場合のための手順書です)

  • お客さまのシステム構成と各手順書の想定構成を比較していただき、条件が合致すると判断できる場合に、参考としてご利用いただくことを想定しております。
  • 設定値等は、お客さまの環境に合わせて置き換えていただく必要があります。
  • 制約事項や通信への影響および各サービス・メニューの仕様をご理解いただいた上でご利用いただくようお願いします。


想定するシステム構成

この構成は、SNAT機能を使用するワンアーム構成で、複数のWebサーバー(webSV#1 または webSV#2)への通信をロードバランサーによって負荷分散していることを想定しています。
  • 構成図では、使用する各サービスを冗長構成(またはHAプランを選択)にしていますが、この限りではございません。冗長構成に関する注意は、本ページの「冗長構成に関する考慮事項」の章をご確認ください。
  • 構成図に登場する各サービスにおける想定する設定値については、本ページの「想定するシステムの設定」の章をご確認ください。

ManagedLB
  • 上図内の "vserver" は、こちら のリンク先にて説明される Virtual Server を表します。

手順書のご利用にあたっての注意

  • 次のようなケースでは、本手順書は使用できません。

    • ツーアーム構成の場合など、「想定するシステム構成」とお客さまの実際の構成が大きく異なる場合

  • Managed Load Balancerの機能は、ロードバランサー(NetScaler VPX)が持つ機能と完全に同一ではありません。お客さまが現在お使いのロードバランサー(NetScaler VPX)の機能をご確認の上、Managed Load Balancerで機能が充足しているかを判断してから実施するようお願いします。
    Managed Load Balancer と ロードバランサー(NetScaler VPX)の機能比較表は こちら をご覧ください。(機能比較表には、当社にて検証済みの機能のみを掲載しております。未検証の機能についてはこの限りではありません。)
  • 本手順を事前に検証する場合には、お客さまの検証環境など実際の通信に影響を及ぼさない環境で行ってください。本番環境での検証は推奨いたしかねます。また、当社にて移行に関する責任は負いかねます。お客さまご自身で検証をするなど、安全性を確認の上ご利用いただくようお願いします。


作業による通信への影響

本手順書における「移行作業」の実施に係る工程において、通信断が発生します。

  • 当社による計測では、1秒程度 通信断が発生しました。


冗長構成に関する考慮事項

冗長構成にしている場合、下記の前提で作業していただくようお願いします。

  • ロードバランサー(NetScaler VPX)を冗長化している場合は、両方のリソースに対して作業する必要があります。

  • ファイアウォール(vSRX)を冗長化している場合は、両方のリソースに対して作業する必要があります。

  • ファイアウォール(Managed Firewall)でHA構成を利用している場合は、設定変更作業をした内容が自動でActive/Standby機に同期されるため、両方のリソースでの作業は不要です。(参考:https://sdpf.ntt.com/faq/security-nw-52/

  • Managed Load BalancerにてHAプランを利用している場合は自動的に冗長化の設定が行われるため、両方のリソースでの作業は不要です。


移行にともなう環境遷移

移行にともない、下記の5段階にわけ環境を遷移させます。

  • 移行前の状態

ManagedLB

  • 事前準備

下記図に該当する手順は、こちら のリンク先になります。
ManagedLB

  • 移行作業-1 新ロードバランサーの構築とインターフェイスの接続

下記図に該当する手順は、こちら のリンク先になります。
ManagedLB

  • 移行作業-2 ファイアウォールにて経路(スタティックルート)の切り替えを実施

下記図に該当する手順は、こちら のリンク先になります。
ManagedLB

  • 事後作業

下記図に該当する手順は、こちら のリンク先になります。
ManagedLB


想定するシステムの設定

想定する設定(NetScaler VPX)

リソース

設定項目

設定値

vLB-01

インタフェース設定 (IP)

192.168.1.249

インタフェース設定 (仮想IP(VIP))

192.168.1.251

デフォルトゲートウェイ設定

192.168.1.254

Load Balancing設定1-1([Servers]-[IPaddress])

192.168.2.11

Load Balancing設定1-2([Servers]-[IPaddress])

192.168.2.12

Load Balancing設定2-1([Services]-[Existing Server])

192.168.2.11

Load Balancing設定2-2([Services]-[Protocol])

HTTP

Load Balancing設定2-3([Services]-[Port])

80

Load Balancing設定3-1([Services]-[Existing Server])

192.168.2.12

Load Balancing設定3-2([Services]-[Protocol])

HTTP

Load Balancing設定3-3([Services]-[Port])

80

vLB-02

インタフェース設定 (IP)

192.168.1.250

インタフェース設定 (仮想IP(VIP))

192.168.1.251

デフォルトゲートウェイ設定

192.168.1.254

Load Balancing設定1-1([Servers]-[IPaddress])

192.168.2.11

Load Balancing設定1-2([Servers]-[IPaddress])

192.168.2.12

Load Balancing設定2-1([Services]-[Existing Server])

192.168.2.11

Load Balancing設定2-2([Services]-[Protocol])

HTTP

Load Balancing設定2-3([Services]-[Port])

80

Load Balancing設定3-1([Services]-[Existing Server])

192.168.2.12

Load Balancing設定3-2([Services]-[Protocol])

HTTP

Load Balancing設定3-3([Services]-[Port])

80


想定する設定(Managed Firewall)

設定項目

設定区分

設定値

Interface設定

Port4

192.168.1.254/24

Port5

192.168.0.254/24

Routing設定

ID

1

Destination IP

172.16.100.0

Subnet Mask

255.255.255.0

Gateway

192.168.1.251

Interface

Port4

Destination NAT設定

External IP Address

192.168.0.254

Mapped IP Address

172.16.100.100

Address Object

Address Name

vserver

Type

Subnet

IP Address

172.16.100.0

Subnet Mask

255.255.255.0

Interface

Port4

Firewall Policy設定

Source

Port5-all

Destination

Port4-vserver

Service

HTTP

Action

ACCEPT

NAT

enable

Log

ALL


想定する設定(vSRX)[冗長構成(VRRP)におけるリソース個別設定]

リソース

設定区分

設定値

vSRX #1 (Active)

interfaces設定1(ge-0/0/0)

inet address 192.168.1.252/24 vrrp-group 1 virtual-address 192.168.1.254

inet address 192.168.1.252/24 vrrp-group 1 priority 200

inet address 192.168.1.252/24 vrrp-group 1 accept-data

interfaces設定2(ge-0/0/1)

inet address 192.168.0.252/24 vrrp-group 1 virtual-address 192.168.0.254

inet address 192.168.0.252/24 vrrp-group 1 priority 150

inet address 192.168.0.252/24 vrrp-group 1 accept-data

vSRX #2 (Standby)

interfaces設定1(ge-0/0/0)

inet address 192.168.1.253/24 vrrp-group 1 virtual-address 192.168.1.254

inet address 192.168.1.253/24 vrrp-group 1 priority 200

inet address 192.168.1.253/24 vrrp-group 1 accept-data

interfaces設定2(ge-0/0/1)

inet address 192.168.0.253/24 vrrp-group 1 virtual-address 192.168.0.254

inet address 192.168.0.253/24 vrrp-group 1 priority 150

inet address 192.168.0.253/24 vrrp-group 1 accept-data


想定する設定(vSRX)[冗長構成(VRRP)におけるリソース共通設定]

設定項目

設定区分

設定値

zones設定

Trust

interfaces ge-0/0/0.0

host-inbound-traffic system-services all

host-inbound-traffic protocols all

Untrust

interfaces ge-0/0/1.0

host-inbound-traffic system-services all

host-inbound-traffic protocols all

filter設定(ge-0/0/1)

許可(from)

destination-address 192.168.0.254/32

protocol tcp

destination-port http

拒否

上記の許可定義(from)以外

NAT設定(destination)

pool

HTTP_NAT address 172.16.100.100/32

rule-set 1

rule 1 match destination-address 192.168.0.254/32

rule 1 match destination-port 80

rule 1 match protocol tcp

address-book設定

global address WEB_ADDRESS 172.16.100.0/24

applications設定

application

HTTP protocol tcp

HTTP destination-port 80

application-set

WEB-SERVICE application HTTP

policies設定

通信方向(from-zone untrust to-zone trust)

policy WEB_ACCESS match source-address any

policy WEB_ACCESS match destination-address WEB_ADDRESS

policy WEB_ACCESS match application WEB-SERVICE

policy WEB_ACCESS then permit

policy ALL-DENY match source-address any

policy ALL-DENY match destination-address any

policy ALL-DENY match application any

policy ALL-DENY then deny

routing-options設定

static route 172.16.100.0/24 next-hop 192.168.1.251