このセクションでは、NSX Advanced Load Balancer OpenStack クラウドの作成に関連する高度な設定オプションについて説明します。
高度な設定オプションには、次の図に示すように、NSX Advanced Load Balancer クラウド エディタ ウィザードの [OpenStack] タブからアクセスできます。
Security-Groups
デフォルト値は
Trueです。
セキュリティ グループ Neutron 拡張機能は、入力方向と出力方向の両方で許可されるルールの指定をサポートします。NSX Advanced Load Balancer は、この拡張機能を使用して、NSX Advanced Load Balancer サービス エンジン (SE) ごとに 1 つのサービス グループを作成します。このサービス グループは、すべての出力方向とセキュア シェル (SSH) と ICMP (Internet Control Message Protocol) の入力方向で作成されます。仮想サービス (VS) が作成され、この SE に配置されると、対応するサービス ポートがサービス グループに追加されます。同様に、仮想サービスが SE から配置解除されると、対応するサービス ポートがサービス グループから削除されます(同じ SE の他の VS で使用されなくなった場合)。True に設定すると、セキュリティ グループ拡張機能が使用されます。基盤となるネットワーク プラグインでこの機能がサポートされていない場合、他の手段で同様の効果を得ることができない限り、仮想 IP (VIP) アドレス トラフィックは機能しません。基盤となるネットワークでポートのセキュリティ フィルタ ルールをオフにできる場合は、このオプションをオフにすることが可能です。
この例は、サービス ポート「80」が配置された仮想サービスを持つ SE のセキュリティ グループを示しています。
[root@sivacos ~(keystone_admin)]# neutron security-group-list | 5544b75d-2a57-4f56-b1d0-ef68242293ba | avi-se-30af06c4-09c6-4c94-92be-f39d4dfddf91 | egress, IPv4 | | | | egress, IPv6 | | | | ingress, IPv4,22/tcp, remote_ip_prefix: 0.0.0.0/0 | | | | ingress, IPv4,80/tcp, remote_ip_prefix: 0.0.0.0/0 | | | | ingress, IPv4,icmp, remote_ip_prefix: 0.0.0.0/0 |
Anti-Affinity
デフォルト値は
Trueです。
コンピューティングは nova-scheduler サービスを使用して、さまざまな基準とフィルタに基づいて仮想マシン (VM) を起動するホストを決定します。このようなフィルタの 1 つである ServerGroupAntiAffinityFilter は、非アフィニティ グループ内の各インスタンスが、グループの異なるホスト上にあることを確認します。NSX Advanced Load Balancer は、SE グループごとに 1 つの非アフィニティ グループを使用するため、SE グループ内の各 SE を異なるホストに配置できます。これにより、ホスト障害が発生した場合の SE の分離が向上します。このオプションを False に設定すると、非アフィニティ フィルタは使用されません。nova-compute にコンピューティング ノードが 1 つしかない場合は、このオプションをオフにできます。
この例では、2 台の SE 仮想マシンを持つテナント内の非アフィニティ グループ (serviceenginegroup-37dac996-7c88-4761-a920-6dc9d265c786) を示します。
root@node-17:~# nova server-group-list
+--------------------------------------+-------------------------+
| ID | Name
| Project ID | User ID
| Policies | Members
| Metadata |
+--------------------------------------+-------------------------+
| c605a898-86fa-457f-80c8-f1db21dfb68a | avi-aasg-serviceenginegroup-37dac996-7c88-4761-a920-6dc9d265c786
| fefb594ef03e4670beaffe3305440e24 | aba3667db25e44afb5aff73f3f363027
| [u'anti-affinity'] | [u'd7509390-6afe-4865-ade2-231e9a664421', u'1867c24e-8495-4cbf-80d0-06a2328656c6'] | {} |
+--------------------------------------+-------------------------+
root@node-17:~# nova list | egrep "d7509390|1867c24e"| d7509390-6afe-4865-ade2-231e9a664421 | cc_os-se-ozmkj
| ACTIVE | - | Running | avimgmt=10.10.44.231 |
| 1867c24e-8495-4cbf-80d0-06a2328656c6 | cc_os-se-xmrzn
| ACTIVE | - | Running | network-80.21=10.80.21.13;avimgmt=10.10.44.230
External-Networks
デフォルト値は
Falseです。
True に設定すると、このオプションを使用して、NSX Advanced Load Balancer 管理、VIP、またはデータ ネットワークに「external」とマークされた OpenStack ネットワークを選択できます。
Map-admin-to-cloudadmin
デフォルト値は False です。
デフォルトでは、NSX Advanced Load Balancer 管理テナントは、OpenStack 管理テナントにマッピングされます。True に設定すると、NSX Advanced Load Balancer 管理テナントは、NSX Advanced Load Balancer クラウドで構成された admin_tenant にマッピングされます。これにより、ロード バランサ関連の操作が、OpenStack の対応するテナントに直接マッピングされます。
Neutron-rbac
デフォルト値は True です。
デフォルトでは、NSX Advanced Load Balancer は Neutron ロールベースのアクセス制御 (RBAC) ルールを参照して、テナントのネットワークの「使用可能な」リストを取得します。通常このリストには、テナントのネットワーク、「すべて」で広く共有されているテナント以外のネットワーク、および RBAC を使用するテナントと明示的に共有されている非テナント ネットワークが含まれます。このフラグはプロバイダ モードの SE 構成で役立ちます。False に設定すると、RBAC 共有ネットワークは「使用可能」リストに含まれません。
OpenStack でのマルチキューの構成
CLI を使用して NSX Advanced Load Balancer Cloud でマルチキュー プロパティを構成する手順を次に示します(例のクラウド名は Default-Cloud です)。
SE グループ のパラメータ max_queues_per_vnic は、起動プロパティです。このフラグは、サービス エンジン グループの起動プロパティであり、有効か無効かを示します。各サービス エンジン グループのすべてのサービス エンジンを再起動する必要があります。
[admin:avi-controller]: > configure cloud Default-Cloud [admin:avi-controller]: cloud> openstack_configuration [admin:avi-controller]: cloud:openstack_configuration> custom_se_image_properties New object being created [admin:avi-controller]: cloud:openstack_configuration:custom_se_image_properties> name hw_vif_multiqueue_enabled [admin:avi-controller]: cloud:openstack_configuration:custom_se_image_properties> value true [admin:avi-controller]: cloud:openstack_configuration:custom_se_image_properties> save [admin:avi-controller]: cloud:openstack_configuration> save [admin:avi-controller]: cloud> save
構成を削除するには、次の手順を実行します。
[admin:avi-controller]: > configure cloud Default-Cloud [admin:avi-controller]: cloud> openstack_configuration [admin:avi-controller]: cloud:openstack_configuration> no custom_se_image_properties name hw_vif_multiqueue_enabled Removed custom_se_image_properties with name=hw_vif_multiqueue_enabled +-------------------------+-------------------------------+ | Field | Value | +-------------------------+-------------------------------+ | username | admin | | password | | | admin_tenant | admin | | mgmt_network_name | public | | privilege | WRITE_ACCESS | | use_keystone_auth | True | | region | RegionOne | | hypervisor | KVM | | tenant_se | True | | import_keystone_tenants | True | | anti_affinity | True | | security_groups | True | | allowed_address_pairs | True | | free_floatingips | False | | img_format | OS_IMG_FMT_AUTO | | use_admin_url | True | | role_mapping[1] | | | os_role | * | | avi_role | Tenant-Admin | | use_internal_endpoints | False | | config_drive | True | | auth_url | http://10.79.170.82:5000/v2.0 | | insecure | False | | external_networks | True | | neutron_rbac | True | | map_admin_to_cloudadmin | False | | contrail_plugin | False | | contrail_endpoint | http://10.79.170.82:8082 | | name_owner | True | | contrail_disable_policy | False | +-------------------------+-------------------------------+ [admin:avi-controller]: cloud:openstack_configuration> save [admin:avi-controller]: cloud> save</code></pre>
