NSX Advanced Load Balancer には、クライアントの送信元を識別するための位置情報データベースが含まれています。

これは、MaxMind IP-Country および IP-ASN データに基づく固定データベースです。データベースはコントローラに保持され、コントローラのアップグレード時にデータベースの更新が組み込まれます。

使用方法

位置情報データは、次のような多くの場所で使用されます。

  • クライアント ログ

  • 許可リストや拒否リストなどのポリシー

  • クライアント情報

  • セキュリティ ページの DDoS 攻撃

  • キャッシュ、圧縮、ログ作成の資格などの Tier-2 オブジェクト



注:

クライアント IP アドレスにはオプション Use_True_Client_IP が適用されます。クライアント IP アドレスは、レイヤー 3 ヘッダーの送信元 IP アドレス、またはユーザー定義の HTTP ヘッダーから取得された IP アドレスと等しい場合があります。

Geo DB 実装の一部として、System-GeoDB 内にはさまざまなファイルがあります。よりきめ細かい制御のために、HTTP ポリシー、ネットワーク ポリシーなどで Geo DB を使用できます。たとえば、リージョンでは、国レベルだけでなく都市レベルになります。

/var/lib/avi/geo_db/admin にあるファイル オブジェクトは次のとおりです。

ファイル オブジェクト

説明

バージョン

System-LocationDB-File

リージョン、都市、緯度、経度

IPv4

System-CountryDB-File

国、大陸コード、名前

IPv4

System_ISPDB-File

AS 番号、名前、ISP、組織名

IPv4

System-LocationDB_v6-File

IPv6

System-CountryDB_v6-File

IPv6

System-ISPDB_v6-File

IPv6
これらの Geo DB ファイルでは、サポートされている各列ヘッダーは、ポリシーでさらに使用できる GeoMappingAttribute の値として定義されます。

以下は System-CountryDB-File のスニペットです。



国コードは ATTRIBUTE_COUNTRY_CODE として定義されます。同様に、System_ISPDB-File の ISP 名は ATTRIBUTE_ISP_NAME などとして参照できます。これらは、次のようにポリシーでさらに使用できます。



これは、HTTP セキュリティ ポリシーの例です。

カスタム Geo DB ファイル

上記のファイルに加えて、カスタム Geo DB ファイルはプライベート IP アドレスまたはその他の使用事例でサポートされます。カスタム Geo DB ファイルは、次のいずれかの形式/構文に従う必要があります。

  • IP/prefix;ISP Name;Country Code;AS Number;Region Name;Custom 1;Custom 2​10.120.145.150/32;MYISP;US;100;Bangalore;user1;IT​

  • IP/prefix;Custom 1;5.5.5.10/24;SomeData

  • IP/prefix;Custom 1;Custom 2;Custom 3;Custom 4;Custom 5;Custom 6;Custom 7;Custom 8;Custom 9​10.120.145.150/32;Large;Number;Of;Custom;Columns;And;We;Support;It

カスタム ファイルは、任意のアプリケーション コマンドを使用して /var/lib/avi/other_files/<username> の場所にアップロードできます。curl コマンドの例を次に示します。

curl -k --user <username> --location 'https://<controller-IP>/api/fileobject/upload' --header 'X-Avi-Version: 21.1.1' -F type=GEO_DB -F compressed=true -F 'file=@<path of the file>'
注:

  • 引数 -F type=GEO_DB は、ファイル タイプを指定する必須フィールドです。

  • gzip を使用してファイルを圧縮した(したがって、拡張子が .csv.gz である)場合は、追加の引数 -F compressed=true が必要です。ファイルが圧縮されていない場合(たとえば、extension .csv)、引数 -F compressed=true を省略する必要があります。

ユーザー定義マッピング

グループ化機能は、複数の Geo 値を 1 つの結果にマッピングします。この機能を使用して、同様のエンティティを 1 つのバケットにグループ化して、ポリシーまたは DataScript で参照できます。

アジア太平洋地域のすべての国をマッピングし、セキュリティ ポリシーの「APAC マッピング」への照合や通商禁止国のグループ化などを行うことができます。



HTTP セキュリティ ポリシーの [一致] オプションの CLI の例を次に示します。