手順の概要¶
- お客さまのシステム構成と各手順書の想定構成を比較してください。条件が合致する場合に、参考として利用することを想定しています。
- 設定値等は、お客さまの環境に合わせて置き換える必要があります。
- 制約事項や通信への影響および各サービス・メニューの仕様を理解した上で、利用してください。
想定するシステム構成¶
- 構成図では、使用する各サービスを冗長構成(またはHAプランを選択)にしていますが、この限りではありません。冗長構成に関する注意は、本ページの 冗長構成に関する考慮事項 の章を確認してください。
- 構成図に登場する各サービスにおける想定する設定値については、本ページの 想定するシステムの設定 の章を確認してください。
- 上図内の "vserver" は、こちら のリンク先にて説明される Virtual Server を表します。
手順書のご利用にあたっての注意¶
次のようなケースでは、本手順書は使用できません。
ワンアーム構成の場合など、「想定するシステム構成」とお客さまの実際の構成が大きく異なる場合
SNATを使用している場合
ロードバランサー(vThunder ADC)の機能は、ロードバランサー(NetScaler VPX)が持つ機能と完全に同一ではありません。お客さまが現在お使いのロードバランサー(NetScaler VPX)の機能をご確認の上、ロードバランサー(vThunder ADC) で機能が充足しているかを判断してから実施してください。
ロードバランサー(vThunder ADC) と ロードバランサー(NetScaler VPX)機能比較表は こちら 参照してください。(機能比較表には、当社にて検証済みの機能のみを掲載しております。未検証の機能についてはこの限りではありません。)
製品が異なるためロードバランサー(NetScaler VPX)とは性能測定値に差異がありますため、あらかじめ了承してください。詳しくは ロードバランサー(NetScaler VPX)の性能測定値 を参照してください。
本手順を事前に検証する場合には、お客さまの検証環境など実際の通信に影響を及ぼさない環境で行ってください。本番環境での検証は推奨しません。また、当社にて移行に関する責任は負いません。お客さま自身で検証し、安全性を確認の上で利用してください。
ロードバランサー(vThunder ADC)はコンフィグレーションの変更が即時running-configへ反映される仕様です。また再起動時にはstartup-configを読み込みます。再起動時に同じ動作とする場合、running-configをstartup-configへ保存が必要です。(参考: コンフィグレーションの保存・リストア )
作業による通信への影響¶
本手順書における「移行作業」の実施に係る工程において、通信断が発生します。
当社による計測では、15分~20分程度 通信断が発生しました。
通信断の時間には作業時間が含まれているため、通信断の見積もりには作業時間も考慮してください。
冗長構成に関する考慮事項¶
冗長構成にしている場合、下記の前提で作業してください。
ロードバランサー(NetScaler VPX)を冗長化している場合は、両方のリソースに対して作業する必要があります。
ファイアウォール(vSRX)を冗長化している場合は、両方のリソースに対して作業する必要があります。
ファイアウォール(Managed Firewall)でHA構成を利用している場合は、設定変更作業をした内容が自動でActive/Standby機に同期されるため、両方のリソースでの作業は不要です。(参考:https://sdpf.ntt.com/faq/security-nw-52/)
ロードバランサー(vThunder ADC)を冗長化する場合は、両方のリソースに対して作業する必要があります。
移行にともなう環境遷移¶
移行にともない、下記の5段階にわけ環境を遷移させます。
移行前の状態
事前準備
移行作業-1 旧ロードバランサーのコンソールにてVRRP用設定の解除
警告
上記の工程を実施すると、通信断が開始します。
移行作業-2 新ロードバランサーのコンソールにてVRRP用通信設定を設定する。これにより移行が完了し、新ロードバランサーでの通信が開始。
事後作業
想定するシステムの設定¶
想定する設定(NetScaler VPX)¶
リソース |
設定項目 |
設定値 |
vLB-01 |
uplinkインターフェイス設定 (IP) |
192.168.1.249 |
uplinkインターフェイス設定 (仮想IP(VIP)) |
192.168.1.251 |
|
downlinkインターフェイス設定 (IP) |
192.168.2.249 |
|
downlinkインターフェイス設定 (仮想IP(VIP)) |
192.168.2.251 |
|
デフォルトゲートウェイ設定 |
192.168.1.254 |
|
Load Balancing設定1-1([Servers]-[IPaddress]) |
192.168.2.11 |
|
Load Balancing設定1-2([Servers]-[IPaddress]) |
192.168.2.12 |
|
Load Balancing設定2-1([Services]-[Existing Server]) |
192.168.2.11 |
|
Load Balancing設定2-2([Services]-[Protocol]) |
HTTP |
|
Load Balancing設定2-3([Services]-[Port]) |
80 |
|
Load Balancing設定3-1([Services]-[Existing Server]) |
192.168.2.12 |
|
Load Balancing設定3-2([Services]-[Protocol]) |
HTTP |
|
Load Balancing設定3-3([Services]-[Port]) |
80 |
|
vLB-02 |
uplinkインターフェイス設定 (IP) |
192.168.1.250 |
uplinkインターフェイス設定 (仮想IP(VIP)) |
192.168.1.251 |
|
downlinkインターフェイス設定 (IP) |
192.168.2.250 |
|
downlinkインターフェイス設定 (仮想IP(VIP)) |
192.168.2.251 |
|
デフォルトゲートウェイ設定 |
192.168.1.254 |
|
Load Balancing設定1-1([Servers]-[IPaddress]) |
192.168.2.11 |
|
Load Balancing設定1-2([Servers]-[IPaddress]) |
192.168.2.12 |
|
Load Balancing設定2-1([Services]-[Existing Server]) |
192.168.2.11 |
|
Load Balancing設定2-2([Services]-[Protocol]) |
HTTP |
|
Load Balancing設定2-3([Services]-[Port]) |
80 |
|
Load Balancing設定3-1([Services]-[Existing Server]) |
192.168.2.12 |
|
Load Balancing設定3-2([Services]-[Protocol]) |
HTTP |
|
Load Balancing設定3-3([Services]-[Port]) |
80 |
想定する設定(Managed Firewall)¶
設定項目 |
設定区分 |
設定値 |
Interface設定 |
Port4 |
192.168.1.254/24 |
Port5 |
192.168.0.254/24 |
|
Routing設定 |
ID |
1 |
Destination IP |
172.16.100.0 |
|
Subnet Mask |
255.255.255.0 |
|
Gateway |
192.168.1.251 |
|
Interface |
Port4 |
|
Destination NAT設定 |
NAT Name |
D-nat_01 |
External IP Address |
192.168.0.254 |
|
Mapped IP Address |
172.16.100.100 |
|
External Interface |
port5 |
|
Firewall Policy設定 |
Source |
Port5 - all |
Destination |
Port4 - D-nat_01(NAT Object) |
|
Service |
HTTP |
|
Action |
ACCEPT |
|
Log |
ALL |
想定する設定(vSRX)[冗長構成(VRRP)におけるリソース個別設定]¶
リソース |
設定区分 |
設定値 |
vSRX #1 (Active) |
interfaces設定1(ge-0/0/0) |
inet address 192.168.1.252/24 vrrp-group 1 virtual-address 192.168.1.254 |
inet address 192.168.1.252/24 vrrp-group 1 priority 200 |
||
inet address 192.168.1.252/24 vrrp-group 1 accept-data |
||
interfaces設定2(ge-0/0/1) |
inet address 192.168.0.252/24 vrrp-group 1 virtual-address 192.168.0.254 |
|
inet address 192.168.0.252/24 vrrp-group 1 priority 200 |
||
inet address 192.168.0.252/24 vrrp-group 1 accept-data |
||
vSRX #2 (Standby) |
interfaces設定1(ge-0/0/0) |
inet address 192.168.1.253/24 vrrp-group 1 virtual-address 192.168.1.254 |
inet address 192.168.1.253/24 vrrp-group 1 priority 150 |
||
inet address 192.168.1.253/24 vrrp-group 1 accept-data |
||
interfaces設定2(ge-0/0/1) |
inet address 192.168.0.253/24 vrrp-group 1 virtual-address 192.168.0.254 |
|
inet address 192.168.0.253/24 vrrp-group 1 priority 150 |
||
inet address 192.168.0.253/24 vrrp-group 1 accept-data |
想定する設定(vSRX)[冗長構成(VRRP)におけるリソース共通設定]¶
設定項目 |
設定区分 |
設定値 |
zones設定 |
Trust |
interfaces ge-0/0/0.0 |
host-inbound-traffic system-services all |
||
host-inbound-traffic protocols all |
||
Untrust |
interfaces ge-0/0/1.0 |
|
host-inbound-traffic system-services all |
||
host-inbound-traffic protocols all |
||
NAT設定(destination) |
pool |
HTTP_NAT address 172.16.100.100/32 |
rule-set 1 |
rule 1 match destination-address 192.168.0.254/32 |
|
rule 1 match destination-port 80 |
||
rule 1 match protocol tcp |
||
address-book設定 |
― |
global address WEB_ADDRESS 172.16.100.0/24 |
applications設定 |
application |
HTTP protocol tcp |
HTTP destination-port 80 |
||
application-set |
WEB-SERVICE application HTTP |
|
policies設定 |
通信方向(from-zone untrust to-zone trust) |
policy WEB_ACCESS match source-address any |
policy WEB_ACCESS match destination-address WEB_ADDRESS |
||
policy WEB_ACCESS match application WEB-SERVICE |
||
policy WEB_ACCESS then permit |
||
policy ALL-DENY match source-address any |
||
policy ALL-DENY match destination-address any |
||
policy ALL-DENY match application any |
||
policy ALL-DENY then deny |
||
routing-options設定 |
- |
static route 172.16.100.0/24 next-hop 192.168.1.251 |