このセクションでは、NSX Advanced Load Balancer と VMware Cloud (VMC) on AWS の統合の詳細について説明します。NSX Advanced Load Balancer は、VMC でユーザー管理ソリューションとして展開されます。
NSX Advanced Load Balancer は、VMware Cloud on AWS に Orchestrator なしモードでインストールされます。
VMC への SE の展開は、手動で行います。SE が NSX Advanced Load Balancer Controller と統合されると、仮想サービスの配置とスケーリングを NSX Advanced Load Balancer Controller から一元的に処理できます。
次の図は、VMC を使用した一般的な NSX Advanced Load Balancer の展開を示しています。
上記の図の観測結果は、次に示すようになります。
NSX Advanced Load Balancer SE の場合
NSX Advanced Load Balancer SE は VMC に仮想マシンとして展開されます。
SE は論理ネットワークに接続されています。論理ネットワークには、次の 2 つのタイプがあります。
ルーティング ネットワーク:IPsec VPN 経由
拡張ネットワーク:L2 VPN 経由
SE は、管理ネットワークを介して Controller に接続します。これは、SE 仮想マシンの vNIC0 への論理ネットワーク接続です。
NSX Advanced Load Balancer Controller の場合
NSX Advanced Load Balancer Controller クラスタは VMC 環境専用であるか、ローカル vCenter Server のロード バランシングに使用されます。
VMC 上のリソースの金銭的コストとその短期の性質を考慮して、NSX Advanced Load Balancer Controller クラスタを VMC 環境の外部に展開することをお勧めします。ただし、これに限定されるものではありません。
次の図は、VMC インフラストラクチャ上の NSX Advanced Load Balancer Controller クラスタと SE の展開を示しています。
高可用性
高可用性で現在サポートされているオプションは次のとおりです(推奨順)。
DFW 除外リスト内の SE を含む N+M(分散ファイアウォール除外リストの詳細については、「分散ファイアウォール除外リストの管理」を参照してください)。
アクティブまたは分散ファイアウォール除外リスト内の SE を含むアクティブ(分散ファイアウォール除外リストの詳細については、「分散ファイアウォール除外リストの管理」を参照してください)。
アクティブまたは MAC マスカレードが無効になっているスタンバイ。これには SNAT が必要です。また、デフォルト ゲートウェイ モードはサポートされていません。
構成
SE 仮想マシンは手動で作成する必要があります。VMC で自動化がないのは、[email protected] ユーザーが vCenter Server API の読み取りまたは書き込みに必要なすべての権限を持っているのではないためであり、ESX 管理プレーンにアクセスできないためです。オンプレミス vCenter Server での NSX Advanced Load Balancer 自動展開には、ESX 管理プレーンへのアクセスが必要です。
このセクションでは、次の内容について説明します。
SE イメージのダウンロード
コンテンツ ライブラリへの SE イメージのアップロード
SE 仮想マシンの展開
SE イメージのダウンロード
ユーザー インターフェイスに管理者ユーザーとしてログインします。
の順に移動します。クラウドのダウンロード アイコンを使用して、SE OVA イメージをダウンロードします。[デフォルト クラウド] を使用するか、新しい [Orchestrator なし] クラウドを作成します。
コンテンツ ライブラリへの SE イメージのアップロード
ダウンロードした .OVA ファイルは SE 仮想マシンの作成に直接使用されますが、新しい仮想マシンを作成するたびに、イメージを vCenter Server にアップロードする必要があります。展開を高速化するために、SE イメージは VMC のコンテンツ ライブラリにアップロードされ、複数回使用できます。
SE イメージをコンテンツ ライブラリにアップロードするための手順は、次のとおりです。
vCenter Server にログインし、新しいコンテンツ ライブラリを作成するオプションを選択します。名前を指定し、目的の vCenter Server を選択します。
ライブラリ コンテンツのストレージの場所を選択します。
[アクション] ドロップダウン メニューをクリックし、vSphere Client で使用可能な [アイテムのインポート] オプションを選択し、次のように .ovf および .vmdk ファイルをアップロードします。
SE 仮想マシンの展開
前提条件
SE 仮想マシンの展開には、次のデータが必要です。
NSX Advanced Load Balancer Controller IP アドレス
認証トークンとクラウド UUID( の順に移動し、必要なクラウドを選択して、クラウド UUID と認証トークンを生成するキー アイコンをクリックします)。
管理 IP アドレス、サブネット、およびサブネット マスク。これは、管理論理ネットワークで DHCP が無効な場合にのみ必要です。
仮想マシンの作成
vSphere Client にログインし、[テンプレート] オプションを選択し、次に示すように [このテンプレートから仮想マシンを新規作成] をクリックして新しい仮想マシンを作成します。
次に示すように、仮想マシンの場所を選択します。
オプションの手順:[ワークロード] の下に新規フォルダを作成して、すべての SE を配置します。
[コンピューティング リソースの選択] オプションをクリックして、展開のリソース プールを選択します。
[ストレージの選択] オプションをクリックして、必要なデータ ストアを選択します。
[ネットワークの選択] オプションをクリックして、必要なネットワークを構成します。
管理ネットワーク ラベル (vNIC0) は、管理論理ネットワークにマッピングされます。残りのネットワーク ラベル(データ ネットワーク 1 ~ 9)は、必要に応じて、仮想サービスのフロントエンド ネットワークまたはサーバのバックエンド論理ネットワークのいずれかに接続されます。必要でない場合は切断されたままです。
vApp プロパティを作成するには、[テンプレートのカスタマイズ] オプションを選択します。NSX Advanced Load Balancer Controller IP アドレスの詳細、クラスタ UUID、および「前提条件」セクションに記載されている認証トークンを指定します。
確認して [完了] をクリックします。
展開した仮想マシンの電源をオンにします。
追加情報
新しく展開された SE を確認するには、ユーザー インターフェイスで タブに移動します。
SE 仮想マシンがオンに切り替わっていても、NSX Advanced Load Balancer Controller に接続されていない場合は、VMC コンソールの [コンピューティング ゲートウェイ] オプションで構成されているファイアウォール ポートを確認します。このオプションは、SE から NSX Advanced Load Balancer Controller への管理トラフィックを許可するために使用されます。
必要なポートとプロトコルの詳細については、「NSX Advanced Load Balancer で管理目的の通信に使用されるプロトコルとポート」を参照してください。
SE は、NSX Advanced Load Balancer Controller への TCP 接続を開くため、ファイアウォール ルールは送信トラフィックを許可する必要があります。ファイアウォールはステートフルであるため、リバース トラフィックは自動的に許可されます。
パブリック IP アドレスを使用して NSX Advanced Load Balancer Controller にアクセスする場合(たとえば、AWS 上の別の VPC に展開されている場合、または NSX Advanced Load Balancer SaaS サービスが使用される場合)は、NAT ルールを追加してインターネット経由の SE トラフィックを許可します。
クラウド構成での VMC 展開の有効化
NSX Advanced Load Balancer バージョン 20.1.5 以降では、クラウド構成で、クラウドが VMC ベースの展開で構成されていることを示す新しいノブ vmc_deployment が提供されます。このノブは、展開が VMC ベースの場合に設定する必要があります。
NSX Advanced Load Balancer バージョン 20.1.5 以降では、vmc_deployment が設定されている場合、TCP ネットワーク プロファイルを構成する必要はありません。
[admin:Avi-Controller]: > configure cloud Default-Cloud [admin:Avi-Controller]: cloud> vmc_deployment [admin:Avi-Controller]: cloud> save
TCP ネットワーク プロファイル
Avi Vantage バージョン 20.1.5 より前は、TCP ネットワーク プロファイルを構成する必要があります。
AWS インフラストラクチャ内で大量の Out-of-Order パケットが発生するため、reorder_threshold 値が 8 に設定された仮想サービスに適用される TCP プロファイルを変更することをお勧めします。この変更されたプロファイルは、Out-of-Order パケットに役立ち、アプリケーションのパフォーマンスを向上させる可能性があります。
次の例は、仮想サービスで使用される新しい TCP プロファイルの作成を示しています。
[admin:avicontroller]: > configure networkprofile vmc-tcp-proxy [admin:avicontroller]: networkprofile> profile tcp_proxy_profile [admin:avicontroller]: networkprofile:profile:tcp_proxy_profile> no automatic [admin:avicontroller]: networkprofile:profile:tcp_proxy_profile> reorder_threshold 8 [admin:avicontroller]: networkprofile:profile:tcp_proxy_profile> save [admin:avicontroller]: networkprofile> save +----------------------------------------+-----------------------------------------------------+ | Field | Value | +----------------------------------------+-----------------------------------------------------+ | uuid | networkprofile-07ad8f8c-9960-4535-a14c-9065062a58bb | | name | vmc-tcp-proxy | | profile | | | type | PROTOCOL_TYPE_TCP_PROXY | | tcp_proxy_profile | | | automatic | False | | ignore_time_wait | False | | time_wait_delay | 2000 milliseconds | | max_retransmissions | 8 | | max_syn_retransmissions | 8 | | receive_window | 64 kb | | nagles_algorithm | False | | ip_dscp | 0 | | idle_connection_type | KEEP_ALIVE | | idle_connection_timeout | 600 sec | | use_interface_mtu | True | | cc_algo | CC_ALGO_NEW_RENO | | aggressive_congestion_avoidance | False | | reorder_threshold | 8 | | slow_start_scaling_factor | 1 | | congestion_recovery_scaling_factor | 2 | | reassembly_queue_size | 0 | | keepalive_in_halfclose_state | True | | auto_window_growth | True | | connection_mirror | False | | tenant_ref | admin | +----------------------------------------+-----------------------------------------------------+ [admin:avicontroller]: >
