Quantcast
Channel: VMware Communities : Blog List - All Communities
Viewing all articles
Browse latest Browse all 3135

NSX の分散ロードバランシング(DLB)を体験してみる。Part 5(ESXi から見た DLB Filter)

$
0
0

NSX の Distributed Load Balancing(DLB)を試してみます。


概要は Part 1 をどうぞ。

NSX の分散ロードバランシング(DLB)を体験してみる。Part 1(準備編)


前回の投稿はこちらです。

NSX の分散ロードバランシング(DLB)を体験してみる。Part 4(動作確認)

 

今回は、設定した DLB の vNIC でのフィルタを、ESXi に SSH ログインして見てみます。

win8-01a と web-02a が配置されている、ESXi「esx-02a」 に SSH ログインしています。

 

DVFilter の情報を表示できる summarize-dvfilterコマンドを、FW ルール適用の前後で実行してみました。

VIP 構成(FW ルール適用)前の状態。summarize-dvfilter コマンドの抜粋です。

web-02a と win8-01a の情報が表示されています。

nsx-dlb-p5-01.png

 

そして、VIP 構成(FW ルール適用)後の状態です。

DLR クライアントになる win8-01a に、フィルタが追加されています。

nsx-dlb-p5-02.png

 

vsipioctl コマンドで、追加されたフィルタのルール設定を確認してみます。

DNAT rulees に、 下記の設定のルールが追加されています。

  • out protocol: tcp(HTTP Service)
  • from addrset: ip-securitygroup-10
  • to ip: 172.16.10.9
  • port: 80(HTTP Service)
  • dnat addrset: ip-securitygroup-11
  • round-robin

nsx-dlb-p5-03.png

 

よい確認方法がまだ見つけられませんが、

このフィルタで指定されているオブジェクトの ID をもとに、NSX API でオブジェクト名を見てみました。

(当然ですが)NSX Firewall で指定したものと一致するようです。

※ラボの vCenter(vcsa-01a)から、NSX Manager(192.168.110.15) にアクセスして情報取得しています。


securitygroup-10 の name

curl -k -s -u 'admin:VMware1!' https://192.168.110.15/api/2.0/services/securitygroup/scope/globalroot-0 | xmllint --xpath '//securitygroup[objectId="securitygroup-10"]/name' - | more

 

securitygroup-11 の name

curl -k -s -u 'admin:VMware1!' https://192.168.110.15/api/2.0/services/securitygroup/scope/globalroot-0 | xmllint --xpath '//securitygroup[objectId="securitygroup-11"]/name' - | more

 

ip-securitygroup-~ というオブジェクトは、NSX Firewall で指定したセキュリティ グ ループと対応しているようです。

nsx-dlb-p5-04.png

 

serviceprofile-1 は、名前だけに絞らず見てみました。

curl -k -s -u 'admin:VMware1!' https://192.168.110.15/api/4.0/firewall/globalroot-0/config | xmllint --xpath '//*[objectId="serviceprofile-1"]' - | xmllint --format -

 

「serviceprofile-1」は、NSX Firewall で指定した Service Profile 「DLB-Service」です。

nsx-dlb-p5-05.png

 

NSX の DLB を設定してみたところ、既存のものを例に出すと

なんとなく vNIC レイヤで設定できる iptables DNAT ルールのような印象を受けました。

現状の DLB では SSL オフロードや URL Rewrite などができないそうですが、

DC 内の East-West 通信での利用を想定している機能のようなので、

シンプルなルール設定で利用するとよさそうに思いました。


以上、NSX の DLB を試してみる話でした。


Viewing all articles
Browse latest Browse all 3135

Trending Articles



<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>