NSX の Distributed Load Balancing(DLB)を試してみます。
NSX の分散ロードバランシング(DLB)を体験してみる。Part 4(動作確認)
今回は、設定した DLB の vNIC でのフィルタを、ESXi に SSH ログインして見てみます。
win8-01a と web-02a が配置されている、ESXi「esx-02a」 に SSH ログインしています。
DVFilter の情報を表示できる summarize-dvfilterコマンドを、FW ルール適用の前後で実行してみました。
VIP 構成(FW ルール適用)前の状態。summarize-dvfilter コマンドの抜粋です。
web-02a と win8-01a の情報が表示されています。
そして、VIP 構成(FW ルール適用)後の状態です。
DLR クライアントになる win8-01a に、フィルタが追加されています。
vsipioctl コマンドで、追加されたフィルタのルール設定を確認してみます。
DNAT rulees に、 下記の設定のルールが追加されています。
- out protocol: tcp(HTTP Service)
- from addrset: ip-securitygroup-10
- to ip: 172.16.10.9
- port: 80(HTTP Service)
- dnat addrset: ip-securitygroup-11
- round-robin
よい確認方法がまだ見つけられませんが、
このフィルタで指定されているオブジェクトの ID をもとに、NSX API でオブジェクト名を見てみました。
(当然ですが)NSX Firewall で指定したものと一致するようです。
※ラボの vCenter(vcsa-01a)から、NSX Manager(192.168.110.15) にアクセスして情報取得しています。
securitygroup-10 の name
curl -k -s -u 'admin:VMware1!' https://192.168.110.15/api/2.0/services/securitygroup/scope/globalroot-0 | xmllint --xpath '//securitygroup[objectId="securitygroup-10"]/name' - | more
securitygroup-11 の name
curl -k -s -u 'admin:VMware1!' https://192.168.110.15/api/2.0/services/securitygroup/scope/globalroot-0 | xmllint --xpath '//securitygroup[objectId="securitygroup-11"]/name' - | more
ip-securitygroup-~ というオブジェクトは、NSX Firewall で指定したセキュリティ グ ループと対応しているようです。
serviceprofile-1 は、名前だけに絞らず見てみました。
curl -k -s -u 'admin:VMware1!' https://192.168.110.15/api/4.0/firewall/globalroot-0/config | xmllint --xpath '//*[objectId="serviceprofile-1"]' - | xmllint --format -
「serviceprofile-1」は、NSX Firewall で指定した Service Profile 「DLB-Service」です。
NSX の DLB を設定してみたところ、既存のものを例に出すと
なんとなく vNIC レイヤで設定できる iptables DNAT ルールのような印象を受けました。
現状の DLB では SSL オフロードや URL Rewrite などができないそうですが、
DC 内の East-West 通信での利用を想定している機能のようなので、
シンプルなルール設定で利用するとよさそうに思いました。
以上、NSX の DLB を試してみる話でした。