ロードバランサ設定の確認とユーザーインターフェイスを使用したトラブルシューティング

ロードバランサ設定は vSphere Web Client を使用して確認できます。ユーザーインターフェイスを使用して、ロードバランサをトラブルシューティングできます。

何が正しい動作かを理解し、問題を定義したら、次のようにユーザーインターフェイスを使用して構成を確認します。

問題

ロードバランサを期待どおりに実行できない。

前提条件

次の情報を書き留めます。

仮想サーバの IP アドレス、プロトコル、およびポート。
バックエンドアプリケーションサーバの IP アドレスおよびポート。
目的としていたトポロジ（インラインまたはワンアーム）詳細については、『NSX 管理ガイド』にある論理ロードバランサのトピックを参照してください。
トレースルートを確認し、他のネットワーク接続ツールを使用して、パケットが正しい場所 (Edge Services Gateway) に向かっていることを確認します。
アップストリームファイアウォールがトラフィックを正しく許可していることを確認します。
直面している問題を定義します。たとえば、仮想サーバの DNS レコードは正しいがコンテンツが返されない、または誤ったコンテンツが返されるなどです。

解決方法

ロードバランサでサポートする必要のあるプロトコル (TCP、UDP、HTTP、HTTPs)、ポート、セッション維持要件、およびプールメンバーに関する次のアプリケーション要件を確認します。
- ロードバランサとファイアウォールは有効になっているか。Edge Services Gateway に正しいルートが設定されているか。
- 仮想サーバが待機する必要のある IP アドレス、ポート、およびプロトコルはどれか。
- SSL オフロードが使用されているか。バックエンドサーバとの通信の際に SSL を使用する必要があるか。
- アプリケーションルールを使用しているか。
- トポロジは何か。NSX ロードバランサは、クライアントとサーバからのすべてのトラフィックを解析する必要があります。
- NSX ロードバランサはインラインかどうか、またはクライアントソースアドレスが変換されているか（リターントラフィックがロードバランサに確実に戻るため）。
NSX Edge に移動して、ロードバランシングを有効にし、トラフィックの送信を許可するために必要な構成を確認します。次にそれを示します。
1. ロードバランサが [接続中 (Up)] としてリストされていることを確認します。
2. ファイアウォールが [有効 (Enabled)] になっていることを確認します。アクセラレーション対応の仮想サーバでは、ファイアウォールを有効にする必要があります。アクセラレーション非対応の TCP と L7 HTTP/HTTPS VIP には、トラフィックを許可するポリシーが必要です。ファイアウォールフィルタは、アクセラレーション対応の仮想サーバに影響しません。
3. 仮想サーバに対して NAT ルールが作成されていることを確認します。[NAT] タブで、[内部ルールを非表示にする (Hide internal rules)] または [内部ルールを表示 (Unhide internal rules)] リンクをクリックして確認します。
  
  注：ロードバランシングを有効にし、サービスを設定しても、NAT ルールを設定していない場合は、自動ルール設定が有効でなかったことを意味します。
4. 自動ルール設定は変更できます。詳細については、『NSX 管理ガイド』にある自動ルール設定の変更に関するトピックを参照してください。NSX Edge Services Gateway をデプロイする際は、自動ルールを設定するオプションを選択できます。Edge Services Gateway のデプロイ時にこのオプションを選択しなかった場合でも、ロードバランサを正しく動作させるにはこれを有効にする必要があります。ユーザーインターフェイスからプールメンバーのステータスを確認します。
5. ルーティングを確認します。また、Edge Services Gateway にクライアントシステムとバックエンドサーバへのデフォルトルートまたはスタティックルートがあることを確認します。サーバへのルートがないと、健全性チェックに合格しません。動的ルーティングプロトコルを使用している場合は、CLI が必要になることがあります。詳細については、NSX のルーティング CLIを参照してください。
1. デフォルトルートを確認します。
2. 接続ルートを確認します。これらは、Edge Services Gateway がサブネット内にインターフェイスを持つルートです。多くの場合、アプリケーションサーバはこれらのサーバに接続されます。
3. [ルーティング (Routing)] タブ > [スタティックルート (Static Routes)] でスタティックルートを確認します。
仮想サーバの IP アドレス、ポート、およびプロトコルを確認します。
1. NSX Edge をダブルクリックして、[管理 (Manage)] > [設定 (Settings)]> [インターフェイス (Interfaces)] の順に移動します。仮想サーバの IP アドレスがインターフェイスに追加されたことを確認します。
2. 仮想サーバに、アプリケーションをサポートするための適切な IP アドレス、ポート、およびプロトコルが設定されていることを確認します。
1. 仮想サーバで使用されるアプリケーションプロファイルを確認します。
2. 仮想サーバの IP アドレス、プロトコル、およびポートを確認します。仮想サーバのプロトコル（HTTP または HTTPS）を書き留めます。
3. アプリケーションプロファイルが、サポートされるパーシステンス方法、タイプ（プロトコル）、および SSL（必要な場合）に合致していることを確認します。SSL を使用する場合は、正しい名前と有効期限の証明書を使用していることを確認します。
4. 接続先クライアントに対して正しい証明書が使用されていることを確認します。
5. クライアント証明書が必要かどうかを確認します。ただし、クライアントは設定されていません。さらに、暗号化範囲が狭い暗号リストを選択していないかどうかを確認します（たとえば、古いブラウザを使用しているクライアントがいる場合）。
6. バックエンドサーバに SSL が必要かどうかを確認します。
次のように、プールのステータスと構成を確認します。
1. プールのステータスを確認します。トラフィックへ対応するには少なくとも 1 メンバーが稼動している必要がありますが、すべてのトラフィックに対応するには、1 メンバーでは足りない場合があります。稼動しているプールメンバーがいない、または少数のみの場合は、次の手順の説明に従って問題を修正してください。
2. トポロジが正しいことを確認します。SNAT クライアントのトラフィックはプール設定で制御されます。すべてのトラフィックを確認できるようにロードバランサ機能をホストする Edge Services Gateway を配置しないと、トラフィックの制御に失敗します。クライアントソースの IP アドレスを維持する場合は、[透過的 (Transparent)] モードを選択します。詳細については、『NSX 管理ガイド』を参照してください。
アプリケーションルールを使用している場合は、ルールを確認します。必要に応じてルールを削除しながら、トラフィックフローに問題があるか確認します。
1. ルールの順序を変更して、これがトラフィックフローを中断するロジックの原因かどうかを確認します。アプリケーションルールの追加方法と、アプリケーションルールの例については、『NSX 管理ガイド』にあるアプリケーションルールの追加に関するトピックを参照してください。

次のタスク

問題が見つからない場合は、CLI（コマンドラインインターフェイス）を使用して状態を確認する場合もあります。詳細については、CLI を使用したロードバランサのトラブルシューティングを参照してください。