ロード バランサ設定は vSphere Web Client を使用して確認できます。ユーザー インターフェイスを使用して、ロード バランサをトラブルシューティングできます。

問題

ロード バランサを期待どおりに実行できない。

解決方法

何が正しい動作かを理解し、問題を定義したら、次のようにユーザー インターフェイスを使用して設定を確認します。

前提条件

次の情報を書き留めます。
  • 仮想サーバの IP アドレス、プロトコル、およびポート。
  • バックエンド アプリケーション サーバの IP アドレスおよびポート。
  • 目的としていたトポロジ(インラインまたはワンアーム)詳細については、『NSX 管理ガイド』にある論理ロード バランサのトピックを参照してください。
  • トレース ルートを確認し、他のネットワーク接続ツールを使用して、パケットが正しい場所 (Edge Services Gateway) に向かっていることを確認します。
  • アップストリーム ファイアウォールがトラフィックを正しく許可していることを確認します。
  • 直面している問題を定義します。たとえば、仮想サーバの DNS レコードは正しいがコンテンツが返されない、または誤ったコンテンツが返されるなどです。

手順

  1. ロード バランサでサポートする必要のあるプロトコル (TCP、UDP、HTTP、HTTPs)、ポート、セッション維持要件、およびプール メンバーに関する次のアプリケーション要件を確認します。
    • ロード バランサとファイアウォールは有効になっているか。Edge Services Gateway に正しいルートが設定されているか。
    • 仮想サーバが待機する必要のある IP アドレス、ポート、およびプロトコルはどれか。
    • SSL オフロードが使用されているか。バックエンド サーバとの通信の際に SSL を使用する必要があるか。
    • アプリケーション ルールを使用しているか。
    • トポロジは何か。NSX ロード バランサは、クライアントとサーバからのすべてのトラフィックを解析する必要があります。
    • NSX ロード バランサはインラインかどうか、またはクライアント ソース アドレスが変換されているか(リターン トラフィックがロード バランサに確実に戻るため)。
  2. NSX Edge に移動して、ロード バランシングを有効にし、トラフィックの送信を許可するために必要な設定を確認します。次にそれを示します。
    1. ロード バランサが [接続中 (Up)] としてリストされていることを確認します。

    2. ファイアウォールが [有効 (Enabled)] になっていることを確認します。アクセラレーション対応の仮想サーバでは、ファイアウォールを有効にする必要があります。アクセラレーション非対応の TCP と L7 HTTP/HTTPS VIP には、トラフィックを許可するポリシーが必要です。ファイアウォール フィルタは、アクセラレーション対応の仮想サーバに影響しません。

    3. 仮想サーバに対して NAT ルールが作成されていることを確認します。[NAT] タブで、[内部ルールを非表示にする (Hide internal rules)] または [内部ルールを表示 (Unhide internal rules)] リンクをクリックして確認します。
      注: ロード バランシングを有効にし、サービスを設定しても、NAT ルールを設定していない場合は、自動ルール設定が有効でなかったことを意味します。
    4. 自動ルール設定は変更できます。詳細については、『NSX 管理ガイド』にある自動ルール設定の変更に関するトピックを参照してください。NSX Edge Services Gateway をデプロイする際は、自動ルールを設定するオプションを選択できます。Edge Services Gateway のデプロイ時にこのオプションを選択しなかった場合でも、ロード バランサを正しく動作させるにはこれを有効にする必要があります。ユーザー インターフェイスからプール メンバーのステータスを確認します。

    5. ルーティングを確認します。また、Edge Services Gateway にクライアント システムとバックエンド サーバへのデフォルト ルートまたはスタティック ルートがあることを確認します。サーバへのルートがないと、健全性チェックに合格しません。動的ルーティング プロトコルを使用している場合は、CLI が必要になることがあります。詳細については、NSX のルーティング CLIを参照してください。
    1. デフォルト ルートを確認します。

    2. 接続ルートを確認します。これらは、Edge Services Gateway がサブネット内にインターフェイスを持つルートです。多くの場合、アプリケーション サーバはこれらのサーバに接続されます。

    3. [ルーティング (Routing)] タブ > [スタティック ルート (Static Routes)] でスタティック ルートを確認します。
  3. 仮想サーバの IP アドレス、ポート、およびプロトコルを確認します。
    1. NSX Edge をダブルクリックして、[管理 (Manage)] > [設定 (Settings)]> [インターフェイス (Interfaces)] の順に移動します。仮想サーバの IP アドレスがインターフェイスに追加されたことを確認します。

    2. 仮想サーバに、アプリケーションをサポートするための適切な IP アドレス、ポート、およびプロトコルが設定されていることを確認します。
    1. 仮想サーバで使用されるアプリケーション プロファイルを確認します。

    2. 仮想サーバの IP アドレス、プロトコル、およびポートを確認します。仮想サーバのプロトコル(HTTP または HTTPS)を書き留めます。

    3. アプリケーション プロファイルが、サポートされるパーシステンス方法、タイプ(プロトコル)、および SSL(必要な場合)に合致していることを確認します。SSL を使用する場合は、正しい名前と有効期限の証明書を使用していることを確認します。

    4. 接続先クライアントに対して正しい証明書が使用されていることを確認します。

    5. クライアント証明書が必要かどうかを確認します。ただし、クライアントは設定されていません。さらに、暗号化範囲が狭い暗号リストを選択していないかどうかを確認します(たとえば、古いブラウザを使用しているクライアントがいる場合)。

    6. バックエンド サーバに SSL が必要かどうかを確認します。

  4. 次のように、プールのステータスと設定を確認します。
    1. プールのステータスを確認します。トラフィックへ対応するには少なくとも 1 メンバーが稼動している必要がありますが、すべてのトラフィックに対応するには、1 メンバーでは足りない場合があります。稼動しているプール メンバーがいない、または少数のみの場合は、次の手順の説明に従って問題を修正してください。

    2. トポロジが正しいことを確認します。SNAT クライアントのトラフィックはプール設定で制御されます。すべてのトラフィックを確認できるようにロード バランサ機能をホストする Edge Services Gateway を配置しないと、トラフィックの制御に失敗します。クライアント ソースの IP アドレスを維持する場合は、[透過的 (Transparent)] モードを選択します。詳細については、『NSX 管理ガイド』を参照してください。

  5. アプリケーション ルールを使用している場合は、ルールを確認します。必要に応じてルールを削除しながら、トラフィック フローに問題があるか確認します。
    1. ルールの順序を変更して、これがトラフィック フローを中断するロジックの原因かどうかを確認します。アプリケーション ルールの追加方法と、アプリケーション ルールの例については、『NSX 管理ガイド』にあるアプリケーション ルールの追加に関するトピックを参照してください。

次のタスク

問題が見つからない場合は、CLI(コマンド ライン インターフェイス)を使用して状態を確認する場合もあります。詳細については、CLI を使用したロード バランサのトラブルシューティングを参照してください。