仮想サービスを作成するときに、[手順 4:詳細] は仮想サービスの詳細およびオプションの構成を提供します。

手順

  1. [パフォーマンス制限設定][パフォーマンスの制限] をクリックし、仮想サービスのパフォーマンス制限を定義します。適用される制限は、この仮想サービスのみに限定され、すべてのクライアントの集計に基づいています。『VMware NSX Advanced Load Balancer モニタリングおよび運用性ガイド』の「レート シェーピングとスロットル オプション」を参照してください。

    アプリケーション プロファイルの [DDoS] タブを使用して、クライアントごとの制限を構成します。クライアントごとの制限を増やすには、ポリシーまたは DataScript を使用します。

  2. この仮想サービスへの受信接続を制限するには、[新しい TCP 接続のレート制限数] および [新しい HTTP 要求のレート制限数] を使用します。次のフィールドを構成します。
    オプション 説明

    [しきい値]

    構成された期間にこの仮想サービス用に作成されたすべてのクライアントから許可される新しい接続、要求、またはパケットの最大しきい値(1 ~ 1000000000 の範囲)を設定します。

    [期間]

    しきい値が有効な時間(1 ~ 1000000000 の範囲)を秒単位で入力します。しきい値を永続的に有効にするには、0 と入力します。

    [アクション]

    [アクション] を選択します。NSX Advanced Load Balancer は、レート制限時にこのアクションを実行します。
  3. [最大スループット] を使用して、各 SE の仮想サービスの最大帯域幅を Mbps 単位で入力します。
  4. [最大同時接続数] を使用して同時に開いている接続の最大数を指定します。この数を超える接続試行は、同時接続の合計数がしきい値を下回るまでリセット (TCP) またはドロップ (UDP) されます。
  5. [サービス品質] セクションで、次のように構成します。
    オプション 説明

    [重み]

    帯域幅は、SE のハイパーバイザーを介した 1 秒あたりのパケット数、ホスト サーバの物理インターフェイスの飽和状態、または同様のネットワーク制限です。NSX Advanced Load Balancer は、割り当てる重みに応じて、この仮想サービスが転送するトラフィックに帯域幅割り当てを提供します。

    重みが高くなると、同じサービス エンジンを共有している他の仮想サービスよりもトラフィックの優先順位が高くなります。

    この設定は、ネットワーク輻輳が発生している場合にのみ適用され、サービス エンジンから送信されたパケットにのみ適用されます。

    [公平性]

    公平性は、サービス エンジンでネットワーク輻輳が発生したときに各仮想サービスがトラフィックを送信できるようにするために、NSX Advanced Load Balancer が使用するアルゴリズムを決定します。

    [スループットの公平性] アルゴリズムは、これを実現するために仮想サービスに定義された重みを考慮します。

    [スループットと遅延の公平性] は、同じタスクを実行するためのより徹底したアルゴリズムです。仮想サービスの数が多い場合は、サービス エンジンでの CPU の使用量が増えます。

    このオプションは、遅延の影響を受けやすいプロトコルにのみ推奨されます。
  6. [その他の設定] で次のように構成します。
    1. [自動ゲートウェイ] を有効にして、クライアントへの応答トラフィックを NSX Advanced Load Balancer のデフォルト ゲートウェイに静的に送信するのではなく、接続の送信元の MAC アドレスに戻します。NSX Advanced Load Balancer に誤ったデフォルト ゲートウェイがある場合、ゲートウェイが構成されていない場合、または複数のゲートウェイがある場合でも、クライアントが開始したリターン トラフィックは正しくフローします。NSX Advanced Load Balancer デフォルト ゲートウェイは、管理トラフィックと送信開始トラフィックに引き続き使用されます。
    2. [VIP を SNAT として使用] を有効にして、健全性をモニタリングし、SE インターフェイスの IP アドレスではなく、バックエンド サーバにトラフィックを送信します。このオプションを有効にすると、仮想サービスをアクティブ-アクティブ HA モードで構成できません。たとえば、ファイアウォールがクライアントをサービス(AWS など)から分離する環境では、この機能は送信元サーバへのトラフィックに一貫した送信元 IP アドレスを提供します。パケット キャプチャ中に、VIP でフィルタリングし、NSX Advanced Load Balancer の両側でトラフィックをキャプチャできるため、無関係なトラフィックを排除できます。
    3. [BGP 経由の VIP のアドバタイズ] を選択し、vrf コンテキストで BGP 構成を使用して、[ルート ヘルス インジェクション] を有効にします。
    4. [BGP 経由の SNAT のアドバタイズ] を選択し、vrf コンテキストの BGP 構成を使用して送信元ネットワーク アドレス変換 (NAT) フローティング IP アドレスに対して [ルート ヘルス インジェクション] を有効にします。
    5. サーバへのアップストリーム接続用のネットワーク アドレス変換 (NAT) フローティング送信元 IP アドレスを [SNAT IP アドレス] として入力します。
    6. [トラフィック クローン プロファイル] で、トラフィックのクローンを作成するためのサーバ ネットワークまたはサーバのリストを入力します。
    7. クライアント HTTP 要求の Host ヘッダー名がこのフィールドと同じでない場合、または IP アドレスの場合、NSX Advanced Load Balancer は要求をサーバに送信する前に Host ヘッダーをこの名前に変換します。サーバが変換された名前または独自の IP アドレスを持つリダイレクトを発行すると、リダイレクトの Location ヘッダーはクライアントの元の要求されたホスト名に置き換えられます。[ホスト名の変換]は、HTML ページ内に組み込まれている可能性のある Cookie ドメインまたは絶対リンクを書き換えません。このオプションは、HTTP 仮想サービスにのみ適用されます。この機能は、HTTP 要求および応答ポリシーを使用して手動で作成できます。
    8. 必要な [サービス エンジン グループ] を選択します。特定のサービス エンジン グループに仮想サービスを配置するのは、本番環境とテスト環境の分離など、リソース予約とデータ プレーンの隔離を保証するためです。このフィールドは、構成されたロールまたはテナント オプションに基づいて非表示になる場合があります。
    9. 仮想サービスがダウンしているときに、サービス エンジンが「RST (TCP)」または「ICMP ポートにアクセスできません (UDP)」で VIP およびサービス ポートへのリクエストに応答できるようにするには、[VS 停止時にリスニング ポートを削除] を有効にします。「VS 停止時にリスニング ポートを削除」を参照してください。
    10. GCP などの環境でネットワーク自体が ECMP でフロー ハッシュを実行する場合は、[ECMP のスケール アウト] を選択します。仮想サービスのサービス エンジン間でのフロー再配分を無効にします。
  7. マーカーを使用して仮想サービスの [ロールベースのアクセス コントロール (RBAC)] を構成します。『VMware NSX Advanced Load Balancer 管理ガイド』の「きめ細かいロールベースのアクセス コントロール」を参照してください。
    1. [追加] をクリックします。
    2. [キー] と対応する [値] を入力します。
  8. [保存] をクリックして仮想サービスの構成を完了します。