外部ロード バランサを構成して、Manager クラスタ内の NSX Manager にトラフィックを分散させることができます。
NSX Manager クラスタに外部のロード バランサは必要ありません。NSX Manager 仮想 IP (VIP) は、マネージャ ノードで障害が発生した場合に回復性を提供しますが、次の制限があります。
- VIP は、NSX Manager 間でロード バランシングを行いません。
- VIP を使用するには、すべての NSX Manager が同じサブネットに属している必要があります。
- マネージャ ノードで障害が発生した場合、VIP のリカバリに 1 ~ 3 分ほどかかります。
外部ロード バランサには、次のようなメリットがあります。
- NSX Manager 間のロード バランシング。
- 複数の NSX Manager を異なるサブネットに配置できます。
- マネージャ ノードで障害が発生した場合の迅速なリカバリ。
NSX Manager 仮想 IP アドレスでは外部ロード バランサは機能しません。外部ロード バランサを使用している場合は、NSX Manager VIP を構成しないでください。
NSX Manager にアクセスするときの認証方法
NSX Manager では、次の認証方法がサポートされています。認証方法の詳細については、『
NSX API ガイド』を参照してください。
- HTTP 基本認証
- セッションベースの認証
- X.509 証明書とプリンシパル ID を使用した認証
- VMware Cloud on AWSでの認証
セッションベースの認証方法(ブラウザから NSX Manager にアクセスする場合)では、送信元 IP のパーシステンスが必要です(クライアントからの要求はすべて同じ NSX Manager に送信される必要があります)。その他の方法では、送信元 IP のパーシステンスは必要ありません(クライアントからの要求を別の NSX Manager に送信できます)。
推奨
- すべての認証方法を処理するように構成された送信元仮想 IP アドレスのパーシステンスを使用して、ロード バランサに単一の仮想 IP アドレスを作成します。
- アプリケーションまたはスクリプトで NSX Manager に対して大量の要求を生成する可能性がある場合は、これらのアプリケーションまたはスクリプトに、送信元仮想 IP アドレスのパーシステンスを使用しない 2 つ 目の仮想 IP アドレスを作成します。ブラウザから NSX Manager にアクセスする場合にのみ、最初の仮想 IP アドレスを使用します。
仮想 IP アドレスには次の構成が必要です。
- タイプ:Layer4-TCP
- ポート:443
- プール:NSX Manager プール
- パーシステンス:最初の仮想 IP アドレスの送信元仮想 IP アドレスのパーシステンス。2 番目の仮想 IP アドレスには「なし」を設定します(存在する場合)。
外部ロード バランサの構成例:
NSX Manager の証明書
クライアントは、FQDN 名(nsx.mycompany.com など)を使用して NSX Manager にアクセスします。この FQDN は、ロード バランサの仮想 IP アドレスに解決されます。証明書の不一致を回避するには、各 NSX Manager で仮想 IP アドレスの FQDN 名に有効な証明書が必要です。そのため、独自の名前(nsxmgr1.mycompany.com など)と仮想 IP アドレスの FQDN に対して有効な SAN 証明書を使用して、各 NSX Manager を構成する必要があります。
NSX Manager の健全性のモニタリング
ロード バランサは、各 NSX Manager が次の API で実行されていることを確認できます。
GET /api/v1/reverse-proxy/node/health
要求ヘッダー:
- ヘッダー 1
- 名前:Content-Type
- 値:application/json
- ヘッダー 2
- 名前:Accept
- 値:application/json
NSX Manager が実行中であることを示す応答は次のようになります。
"healthy" : true
応答の形式は “healthy”<space>:<space>true
です。