SE SNAT の使用

一部の展開では、アプリケーションに基づいて差分処理を行うために、送信元 IP アドレスに基づいてトラフィックを識別する必要があります。たとえば、DMZ 展開では、ファイアウォール、セキュリティ、可視性、およびその他のタイプのソリューションがあり、アプリケーションにトラフィックを渡す前にクライアントの検証が必要になる場合があります。このような展開では、送信元 IP アドレスを使用してクライアントを検証します。

1 つの SE で複数の VIP をホストできるため、SE とバックエンド サーバの間にあるファイアウォールは、トラフィックが属する仮想サービスに関係なく、通常、同じ SE インターフェイス IP からのすべてのトラフィックを認識します。一方、VS SNAT ごとの場合、ファイアウォールは、送信元のアプリケーションに基づいてトラフィックをフィルタリングするために使用できる送信元 IP アドレスを認識します（ファイアウォールは、管理者によって確立された VS-SNAT-IP マッピングを認識しているため）。

次の例では、SNAT を使用して VIP のトラフィックのアプリケーション タイプを識別します。メール サーバ宛てのトラフィックはスパム フィルタとアンチウイルス チェックを通過する必要があり、DocShare サーバ宛てのトラフィックはアンチウイルスおよびマルウェア フィルタ チェックを実行する必要があります。

（トポロジの表現は、物理的ではなく論理的です。たとえば、メール サーバと DocShare サーバの両方を同じホスト上で実行し、同じプールに配置することができます。たとえば、メール サーバや DocShare サーバのセットは、単一セグメントを介してネットワークの残りの部分に物理的に接続する必要はありません。）

SE ごとに 1 つの SNAT アドレス

仮想サービスが SNAT を使用する場合、仮想サービスの構成には、仮想サービスが使用できる各 SE の一意の SNAT アドレスが含まれている必要があります。たとえば、仮想サービス プールの SE グループを最大 4 つの SE にスケール アウトできる場合、仮想サービス構成内の SNAT リストには 4 つの一意の SNAT アドレスが含まれている必要があります。

サーバには元のクライアントの送信元 IP アドレスが必要です

デフォルトでは、NSX Advanced Load Balancer サービス エンジン (SE) は、クライアントの送信元アドレスの送信元ネットワーク アドレス変換 (SNAT) を実行します。つまり、アプリケーション サーバは、NSX Advanced Load Balancer SE の IP アドレスをトラフィックの送信元 IP アドレスとして表示します。

HTTP トラフィックの場合は、元のクライアント IP アドレスをクライアント要求の HTTP ヘッダーに挿入する X-Forwarded-For ヘッダーを有効にすることを検討してください。

DNS や Syslog などのステートレス UDP プロトコルの場合、TCP/UDP ネットワーク プロファイルを設定して送信元 NAT を無効にすることができます。

SNAT とは別に、サービス エンジンの IP アドレスを参照するデフォルト ゲートウェイを使用してアプリケーション サーバを構成し、すべてのトラフィックが SE を介してクライアントにルーティングされるようにすることができます。この詳細については、「デフォルト ゲートウェイ（NSX Advanced Load Balancer SE での IP ルーティング）」を参照してください。