このセクションでは、クライアント IP アドレス保持の構成と範囲について説明します。
デフォルトでは、NSX Advanced Load Balancer サービス エンジン (SE) は、バックエンド サーバ宛てのトラフィックの送信元 NAT (SNAT) を実行します。SNAT により、アプリケーション サーバは SE インターフェイスの IP アドレスを認識し、元のクライアントの IP アドレスを認識しません。クライアントの IP アドレスを保持することは、サーバがセキュリティおよびアクセス制御ポリシーを適用する必要がある場合など、多くの場合に望ましい機能です。NSX Advanced Load Balancer でこの問題を解決するには、次の 2 つの方法があります。
- X-Forwarded-For ヘッダーの挿入:
-
HTTP(S) アプリケーション プロファイルのみに制限されています。
- プロキシ プロトコルのサポート:
-
L4 アプリケーション プロファイルの TCP トラフィックのみに制限されています。
上記の両方では、バックエンド サーバがそれぞれの機能をサポートできる必要があります。
もう 1 つの方法は、SE がクライアント IP アドレスを、SE からバックエンド サーバへのロード バランシングされた接続の送信元 IP アドレスとして使用することです。クライアント IP アドレスの保持と呼ばれるこの機能は、アプリケーション プロファイルでオン/オフに設定できる NSX Advanced Load Balancer のデフォルト ゲートウェイ機能およびプロパティの 1 つのコンポーネントです。
[サービス エンジンを使用した IP ルーティングの有効化] オプションは、[クライアント IP アドレスの保持] を選択するために必須ではありません。
![](images/GUID-93A8B45A-139C-4CB0-938D-A55AAFB92B41-low.png)
[IP ルーティングの有効化] の詳細については、「ネットワーク サービス構成」を参照してください。
クライアント IP アドレスの保持の範囲
Legacy HA モードでは、フローティング インターフェイス IP アドレスを構成して、サーバのデフォルト ゲートウェイとして設定することで、
Preserve-Client-IP
機能を使用するためのリターン トラフィックを引き付けます。NSX-T オーバーレイのクライアント IP アドレスの保持展開の場合、プール サーバではデフォルト ゲートウェイを更新する必要がありません。
Elastic HA モードでは、クライアント IP アドレスの保持は、バックエンド サーバからの応答がサービス エンジンを通過することが想定されない一方向トラフィックに対してのみサポートされます。
他の機能との相互排他
クライアント IP アドレスの保持は、仮想サービスの SNAT と相互に排他的です。
HTTP(s) アプリケーション プロファイルで接続多重化を有効にすることは、[クライアント IP アドレスの保持] オプションの選択と互換性がありません。
NSX Advanced Load Balancer は、次の場合に常にバックエンド接続の NAT を実行します。
クライアントとサーバの IP アドレスが同じサブネットにある場合。
バックエンド サーバが SE に直接接続されているネットワーク上にない場合、つまり 1 ホップ以上離れている場合。
使用事例の例
![](images/GUID-1DA285C2-B36A-4EC9-B5D6-8CB39D0BBFB8-high.png)
SE グループで仮想サービスを作成するために使用されるアプリケーション プロファイルでクライアント IP アドレスの保持を有効にする前に、SE グループで IP ルーティングを有効にします。
また、
ネクストホップをフロントエンド フローティング IP アドレスとして使用して、フロントエンド サーバ上のバックエンド サーバ ネットワークへのスタティック ルートを構成します。
バックエンド サーバのデフォルト ゲートウェイを SE として構成します。
SE のデフォルト ゲートウェイをフロントエンド ルーターとして構成します。
クライアント IP アドレスの保持の構成
10.10.10.0/24 ネットワーク(常に直接接続ネットワーク)のバックエンド サーバと 10.10.40.0/24 ネットワークのフロントエンド ルーターを使用した、二本柱のシンプルなセットアップを検討してください。この機能を構成する手順は次のとおりです。
詳細モード ウィザードを使用して仮想サービスを作成します。
で、クライアント IP アドレスを保持するようにアプリケーション プロファイルを構成します。![](images/GUID-1F4E2308-35FA-4CC7-818F-F8101C34937A-low.jpg)
選択したアプリケーション プロファイルで仮想サービスを有効にする前に、この構成を行う必要があります。クライアント IP アドレスを保持するようにアプリケーション プロファイルを構成すると、このアプリケーション プロファイルを使用するすべての仮想サービスのクライアント IP アドレスが保持されます。
: > configure applicationprofile System-HTTP : applicationprofile> preserve_client_ip Overwriting the previously entered value for preserve_client_ip : applicationprofile> save
NSX-T オーバーレイ クラウドでのクライアント IP アドレスの保持の展開については、『VMware NSX Advanced Load Balancer インストール ガイド』の「NSX-T オーバーレイのクライアント IP の保持」セクションを参照してください。