バラクーダネットワークスジャパン株式会社 Barracuda Load Balancer ADC 日本語セットアップガイド 2015 年 1 月 ファームウェアバージョン 5.1.1.004 本文書の内容は予告なく変更される場合があります。 本文書の内容の無断転載はできません。 Copyright 2004-2015 Barracuda Networks, Inc. 更新履歴 年月日 版 内容 2011/06/28 5.0 Firmware 3.6.0.012 対応版 2011/11/11 5.1 P7 設置上の注意-ワンアーム構成のメリットを追記 P27 ブリッジ構成-注意事項を追加 P61 HA 構成-ブリッジ構成での注意点を追加 2012/07/24 5.2 オフィス住所変更 2012/08/15 6.0 Firmware 4.0.0.028 対応版 2012/10/24 6.2 HA 構成時の制限事項追加 2013/11/20 6.3 通信ポート情報追加 2014/11/7 6.4 Firmware5.1.1.004(ADC)対応版 2015/1/6 6.5 旧 LB からの設定の移行手順を追記 BNJ-SE_20100120-57 2 目次 はじめに ...............................................................................................................5 設置上の注意(必ずお読みください) ..................................................................6 スタートアップ ....................................................................................................7 電源投入 ............................................................................................................................................................................ 7 初期 IP アドレスの設定................................................................................................................................................. 8 管理画面(GUI)へのアクセス............................................................................................................................................ 9 システムのシャットダウン・リスタート・リロード........................................................................................................ 11 FW の設定変更 ................................................................................................................................................................ 12 エネルギー充填サービス(保守)の登録 ......................................................................................................................... 13 ファームウェアのアップデート ....................................................................................................................................... 14 時刻設定 .......................................................................................................................................................................... 15 ドメイン名の設定........................................................................................................................................................ 15 構成毎の設定 ...................................................................................................... 16 ルートパス構成(ツーアーム/NAT 構成) ....................................................................................................................... 16 IP アドレスの設定....................................................................................................................................................... 17 スタティックルートの設定.......................................................................................................................................... 18 負荷分散サービスの登録 ............................................................................................................................................. 19 実サーバ毎のポート・静的重み付け・ヘルスチェック設定......................................................................................... 23 接続テスト .................................................................................................................................................................. 23 DSR 構成 ......................................................................................................................................................................... 24 IP アドレスの設定....................................................................................................................................................... 25 スタティックルートの設定.......................................................................................................................................... 25 負荷分散サービスの登録 ............................................................................................................................................. 25 DSR の有効化 ............................................................................................................................................................. 25 負荷分散の詳細設定 .................................................................................................................................................... 26 (参考)ループバックアドレスの変更 ........................................................................................................................ 26 ワンアーム構成 ................................................................................................................................................................ 30 IP アドレスの設定....................................................................................................................................................... 31 スタティックルートの設定.......................................................................................................................................... 31 負荷分散サービスの登録 ............................................................................................................................................. 31 負荷分散サービスの登録 ............................................................................................................................................. 31 負荷分散の詳細設定 .................................................................................................................................................... 31 接続テスト .................................................................................................................................................................. 31 その他の設定 ...................................................................................................... 32 BNJ-SE_20100120-57 3 一時的な実サーバの無効化とメンテナンスモード ........................................................................................................... 32 警告メールの設定 ............................................................................................................................................................ 33 設定のバックアップ ......................................................................................................................................................... 35 実サーバのメンテナンスポートの設定 ............................................................................................................................. 36 バックアップサーバ(最終転送サーバ)の設定............................................................................................................... 37 重み付けの設定 ................................................................................................................................................................ 38 コンテンツルーティングの設定 ....................................................................................................................................... 39 SSL Offload ..................................................................................................................................................................... 41 サポートトンネルの確立(保守用) ................................................................................................................................ 45 HA 構成 ............................................................................................................. 46 注意事項 .......................................................................................................................................................................... 47 クラスタ共有鍵の設定 ..................................................................................................................................................... 47 クラスタシステムへの参加 .............................................................................................................................................. 48 ステータスの確認 ............................................................................................................................................................ 48 負荷分散サービスの登録 .................................................................................................................................................. 48 フェールオーバトリガー .................................................................................................................................................. 49 トラブルシュート ............................................................................................... 50 ネットワーク接続テスト .................................................................................................................................................. 50 Ping ............................................................................................................................................................................ 50 Telnet.......................................................................................................................................................................... 50 Dig/nslookup .............................................................................................................................................................. 50 TCP dump .................................................................................................................................................................. 50 Traceroute .................................................................................................................................................................. 51 Wget Web Page .......................................................................................................................................................... 51 設定が反映されない場合の対処 ....................................................................................................................................... 51 工場出荷時状態に戻す ..................................................................................................................................................... 52 旧 Barracuda Load Balancer からの設定の移行 ................................................ 54 移行に関する注意点 ......................................................................................................................................................... 54 LB→ADC の移行手順 ...................................................................................................................................................... 54 FAQ ................................................................................................................... 56 参考資料: ......................................................................................................... 57 BNJ-SE_20100120-57 4 はじめに 本書は Barracuda Load Balancer ADC の管理を容易にすることを目的とし作成されております。本書は Barracuda Load Balancer ADC のすべての機能、設定を説明したものではございません。また、本書の内容は予告なく変更される場合があ りますので予めご了承ください。 本書で使用される用語一覧 用語 説明 BNJ Barracuda Networks Japan BLB Barracuda Load Balancer ADC GUI 管理者が使用する管理 Web インターフェース 仮想 IP 負荷分散サービスが使用する IP アドレス(VIP) VIP 仮想 IP と同じ意味 RIP 実サーバの IP アドレス 実サーバ BLB 配下で稼働するサービスを提供するサーバ群 HA High Availability、BLB の冗長構成 BNJ-SE_20100120-57 5 設置上の注意(必ずお読みください) <構成についての注意点> Load Balancerがバラクーダセントラルとアクセスできない(インターネットに接続できない)環境の場合、GUIの表 示速度が著しく遅くなります。製品の契約情報確認のため、バラクーダセントラルと通信を行います。インターネッ トへ接続できない環境の場合、接続タイムアウトするまで画面表示を待機しているため、表示に時間がかかります。 インターネットに接続できる環境をご用意頂きますようお願い申し上げます。 弊社製品はリモートアクセスによる障害解析が必須となります。導入製品に対し調査アクセスができない場合、問題 解決のお手伝いが出来ない、解決までに時間が必要になる、明確な回答が出来ないなどのご不自由をおかけする可能 性が御座います。詳しくは「サポートトンネルの確立(保守用)」をご参照ください。 HA構成時はスタンバイのロードバランサーはサービス用ポートにIPアドレスを持ちませんので、参照先DNSサーバや NTPサーバなどはマネジメントネットワークに位置するようにネットワーク設計を行なってください。 機器背面にあるマネジメントポートのネットワークセグメントはWAN、LANそれぞれのサービスポートと異なるネッ トワークにしてください。BLBに保持しているルーティングテーブル情報の整合性が合わず、正常にサービスが提供 できない可能性があります。 バラクーダセントラルおよびリモートアクセスによる障害解析の通信はマネジメントポート経由で行われます。マネ ジメントポート経由でもインターネット接続が可能となるよう設置ください。 BNJ-SE_20100120-57 6 スタートアップ Barracuda Load Balancer (以下BLB)を安定した場所か19インチラックへ、マウントしモニタ・PS2キーボード・電源ケ ーブル・ネットワークケーブルを接続してください。ネットワークケーブルは背面のマネジメントポートへ接続してくださ い。 Note: 先に、モニタ、キーボード類を接続してから機器を起動させてください。逆の場合、認識しないことがあります。 電源投入 本体前面右上の電源ボタンを押し電源を投入します。電源を投入し起動が完了するとログイン画面が表示されます。 全面LED: 赤LED(最も左) 使用しません(今後の機能追加用のため現在では使用しません) 黄LED(左から2番目) 使用しません(今後の機能追加用のため現在では使用しません) 緑1 LED(左から3番目) トラフィックの処理中に点灯 緑2 LED(左から4番目) Disk IOが発生した場合に点灯 緑3 LED(左から5番目) 電源投入中に点灯 BNJ-SE_20100120-57 7 初期IPアドレスの設定 起動が完了すると下の画面が表示されます。IPアドレスの設定を行います。 Barracuda Balancer 440 – firmware v5.x.xxx http://www.barracudanetworks.com Login: admin barracuda login: _ Password: admin 上記ログイン名でログインすると下記画面が表示されIP アドレスの設定が行えます。 ファームウェア 3.1以降 [TCP/IP Configuration]または[Change] を選択すると画面が下記のように変わります。 ここで設定する IP アドレスは BLB、背面のマネジメントポートの IP アドレスとなります。 マネジメントポートのネットワークセグメントはサービスポートのネットワークセグメントと異なるセグメントを割り当て てください。 各項目を入力し最後に[Save]して終了します。 キーボードとモニターを使用するのはここまでです。次からは Web ブラウザを使用して設定を行います。 BNJ-SE_20100120-57 8 管理画面(GUI)へのアクセス BLBの管理は全てこれから説明するWeb GUIから行います。 BLBにアクセス可能なPCからWebブラウザを開きURLに先ほど設定したIPアドレスに8000番ポートでアクセスします。 例) http://192.168.200.200:8000/ アクセスに成功すると下記ログイン画面が表示されます。下記の初期ユーザ名でログインしてください。 ユーザ名:admin パスワード:admin BNJ-SE_20100120-57 9 ログインに成功すると下記のようなステータス画面が表示されます。ここから各種設定を行います。 ステータス画面 BNJ-SE_20100120-57 10 システムのシャットダウン・リスタート・リロード システムをシャットダウン・リスタート・リロードするには [基本設定] – [管理] のページに移動し、一番下のボタンを使います。 BNJ-SE_20100120-57 11 FW の設定変更 BLB では一部外部との通信を必要とする機能があります。そのため BLB を FW の内側に設置する場合下記のポートを FW 側 で許可していただけますようお願いいたします。 ポート 方向 プロトコル 詳細 22 Out TCP リモートサポートで使用(こちらのポートが空いてないとリモートサ ポートできません) 。 80/TCP/Out も必要です。 25 Out TCP Email and email (警告メールなど) 53 Out TCP/UDP DNS(Domain Name Server) 80 Out TCP ファームウェア・IPS 定義ファイルのアップデート用(Proxy 可) リモートサポート時(Proxy 不可) 443 Out TCP ファームウェアアップデート用 123 Out UDP NTP(Network Time Protocol) 8000 Out TCP Web GUI 用 ポート指定などを実施されたい場合、以下のリンクの[Barracuda Central servers currently utilize the following IP address ranges]の項目をご覧ください。 http://www.barracuda.com/kb?id=50160000000Hb4J BNJ-SE_20100120-57 12 エネルギー充填サービス(保守)の登録 BLB を使用するにあたりファームウェアのアップデート、ソフトウェアメンテナンスのサービスを受けるにはエネルギー充 填サービスに登録する必要があります。 ここでは登録方法について説明します。 [基本設定] – [ステータス] のページに移動し、サービスステータスの項目から「製品登録するにはここをクリック」のところをクリックすると登録用 の Web サイトに移動します。登録サイトから必要事項を記入し「Activation」を行ってください。手順は以上です。数分す るとステータス画面のサービスステータスに日付が表示されると完了です(デモ機の場合はデモユニットとなります)。 *「製品登録するにはここをクリック」はBLBがインターネットに接続できる場合のみ表示されます。サービスステータ スがエラーコード-9になっている場合、BLBがインターネットに接続できないことを示します。 BNJ-SE_20100120-57 13 ファームウェアのアップデート ここではファームウェアのアップデート方法について説明します。 *ファームウェアのアップデートを行うにはシステムの再起動が必要です。 *ファームウェアのアップデートを行うにはBLBがインターネットに接続できる必要があります。 BNJでは常に最新ファームウェアでお使いいただくことをお勧しております。 [高度な設定] – [ファームウェア更新] のページに移動します。ここでは現在使用中のファームウェア、バラクーダセントラルからダウンロード可能なファームウ ェア、1つ前に使用していたファームウェアが確認できます。ファームウェアを最新にアップデートするには利用可能な最新 バージョンの項の[今すぐダウンロード] をクリックし、ファームウェアのダウンロードを開始します。ダウンロードが完了 すると[今すぐ適応] ボタンが表示されますので適応をクリックするとシステムの再起動が始まり、再起動が完了すると新し いファームウェアの適応が完了します。 BNJ-SE_20100120-57 14 時刻設定 ログなどに使用される時刻の設定を行います。 [基本設定] – [管理] – [時間] からデフォルトでアメリカになっているタイムゾーンを[アジア- Japan – Tokyo] に変更します。最後に必ず[保存] を行 ってください。* 時刻設定を変更すると再起動がかかりますのでご注意ください。 ドメイン名の設定 デフォルトで使用するホスト名、ドメイン名の設定を行います。 [基本設定] – [IP 設定] – [ドメイン設定] ホスト名、ドメイン名を必ず設定してください。レポートメールの送信元ドメインとしても利用されます。 BNJ-SE_20100120-57 15 構成毎の設定 ルートパス構成(ツーアーム/NAT 構成) ルートパス構成はロードバランサーの構成において最も一般的な構成になります。この構成はロードバランサーを挟んで WAN 側のネットワークと LAN 側のネットワークが別のセグメントとなる構成です。ロードバランサー配下の実サーバのデ フォルトルート(ゲートウェイ)はロードバランサーの LAN 側 IP アドレスとなります。 この章ではルートパス構成の設定について説明します。 ルートパス構成で使用するために BLB の LAN ポートを実サーバが接続されるスイッチへ接続します。 BNJ-SE_20100120-57 16 IPアドレスの設定 まずは IP の設定を行います。 [ネットワーク] – [インターフェース] のページに移動します。 [カスタム仮想インターフェースの追加]より LAN 側ポートに必要な項目を入力します。 WAN 側の IP 設定はサービス作成時に自動で作成されます。明示的に設定することも可能です。 ルートパス構成では必ず WAN 側と LAN 側は別のネットワークセグメントを指定してください。 必要事項を入力し、最後に[保存] します。 保存が完了すると下記の図の通り、[設定済みインターフェース]に設定した内容が表示されます。 BNJ-SE_20100120-57 17 スタティックルートの設定 スタティックルートの設定を行います。 [ネットワーク] – [ルート] のページに移動します。 [スタティックルートの追加]より必要な項目を入力します。 必要事項を入力し、最後に[保存] します。 保存が完了すると下記の図の通り、[設定済みルート]に設定した内容が表示されます。 * WAN ポートにデフォルトルートを設定することを推奨します。 設定がない場合は、マネジメントポートのデフォルトゲートウェイが使用されます。 BNJ-SE_20100120-57 18 負荷分散サービスの登録 ここでは負荷分散サービスの登録について説明します。 新たに負荷分散サービスを登録するには [基本設定] – [サービス] のページに移動します。[サービスの追加] をクリックすると負荷分散サービス登録画面が表示されます。 BNJ-SE_20100120-57 19 設定項目一覧 サービス設定 名前 管理用に使用する名前 グループ グループ名を設定 サービス 有効化を選択 サービスタイプの設定 -レイヤ4-TCP -TCPプロキシ -セキュアTCPプロキシ -HTTP タイプ -HTTPS -インスタントSSL -FTP -FTP SSL -レイヤ7-RDP -レイヤ4-UDP -UDPプロキシ IPアドレス、ポート サービスに使用される仮想IP(VIP)、ポート番号 インターフェース 仮想IPが割り当てられる物理ポート 自動復旧(オートリカバリ) 復旧した実サーバを自動的にサービスに復帰させる設定 負荷分散 新規セッションの分散方法の設定 分散方式 -重み付けラウンドロビン -重み付け最少コネクション (L7の場合、最小リクエスト) セッション維持時間 セッションを維持する時間(秒) セッション維持ネットマスク このネットマスク内にあるシステムの後続する接続は、同一の実サーバにアクセスします BNJ-SE_20100120-57 20 【基本的な設定項目】 基本的には下記 3 つの項目を設定してください。 1.負荷分散方式 新規コネクションが発生した場合の負荷分散の方式を決定します。 - 重み付けラウンドロビン 新規コネクションを実サーバに対して順番に割り振る方式 - 重み付け最少コネクション (L7 の場合重み付け最小リクエスト) 新規コネクション(リクエスト)をコネクション(リクエスト)数が少ない実サーバへ割り振る方式 2.サービスモニター 実サーバの生死を確認する方法を決定します。ここで設定した同じ負荷分散サービス内のすべての実サーバで共通のヘルス チェックを行うことになります。Barracuda Load Balancer では豊富な選択肢をご用意しておりますので、ここでは一部の 内容のみ説明します。 - デフォルト 負荷分散サービスに対してポートが指定されている場合にはポートが開いているかをチェックします。またポ ートが ALL で指定されている場合には Ping でのチェックを行います。最も基本的なチェック方式になります。 - HTTP HTTP の get リクエストを用いてヘルスチェックを行います。BLB は実サーバに対し HTTP の get リクエス トを出しレスポンスを確認します。実サーバごとにテスト対象の URL を変更したい場合は次項:実サーバご との・・・を参照ください。 設定例) 実サーバが http://www.test.com の URL で Web サービスを提供しており、この URL への get リ クエストに対する応答 html データ内に Hello の単語を含んでいる場合 テスト対象:http://www.test.com テスト内容:Hello BLB は http://www.test.com に対してリクエストを出し、応答に Hello が含まれている場合実サー バは正常と判断します。 - 常にパス いかなる場合においても実サーバは正常とみなします。 BNJ-SE_20100120-57 21 3.セッション維持 BLB が提供している負荷分散サービスに対して 2 回目以降の接続を1回目の接続先実サーバと同じサーバへ割り振りセッシ ョンを維持するための設定になります。 - セッション維持(秒) セッションを維持する時間になります。ここで設定した時間内に再度セッションが発生した場合にセッションを 維持します。 - サービスのセッション維持タイプ セッション維持の方式を設定します。 レイヤー4 – クライアントソース IP 接続にきたクライアントのソース IP が同じ場合にセッションを維持します。 レイヤー7 – HTTP クッキー 接続にきたクライアントのクッキーを確認し、クッキーの内容に基づきセッションを維持します。 (DSR 構成 では使用できません) - L4 セッション維持ネットマスク このネットマスク内にあるシステムの後続する接続は、同一の実サーバにアクセスします。 - L7 クッキー セッション維持にクッキーを用いる場合は、この項目を空欄にすると BLB がクッキーを挿入します。サーバ側 で挿入されるクッキーを用いてセッション維持を行う場合にはサーバ側で挿入されるクッキー名をここに入力し ます。 BNJ-SE_20100120-57 22 実サーバ毎のポート・静的重み付け・ヘルスチェック設定 ここでは実サーバ毎のポート・静的重み付け・ヘルスチェック方式の設定について説明します。 [基本設定] – [サービス] のページに移動し、[サーバの追加] ボタンをクリックすると下記の設定ウィンドウがポップアップします。ここから実サー バ側で使用するポートや重み、ヘルスチェック方式を実サーバごとに変更できます。 接続テスト 最後に接続テストを行います。設定した VIP 宛にクライアントから接続しサービスに接続できるかを確認します。 BNJ-SE_20100120-57 23 DSR 構成 この構成は一つのセグメントセグメントで構成されるワンアーム型の構成になります。構成はDSR構成(ダイレクトサーバ リターン)と呼ばれ、実サーバが接続されているスイッチへロードバランサーが1本だけ接続する構成です。パケットの流 れは クライアント → LB → 実サーバ → クライアント の順でパケットがやりとりされます。注意点は実サーバからの応答パケットが実サーバから直接クライアントに返る点です。 ダイレクトにサーバから応答が返るため使用可能なサービスはL4サービスのみとなります。また、SSLオフロード機能も使 用できません。 この章では DSR 構成の設定について説明します。 *Loop Backアダプタの追加など、実サーバに対し設定変更が必要です。また、本章にて設定参考情報を記載しております が、この設定で弊社が動作を保証するものではありません。また他の動作に影響を与える可能性がございますのでご理解の 上、お客様の責任で設定してください。なお、ロードバランサー以外の設定に関して弊社ではご質問をお受けできません。 各ベンダーにお問い合わせください。 BNJ-SE_20100120-57 24 IPアドレスの設定 DSR 構成の IP アドレス構成について説明します。DSR 構成では WAN ポートのみスイッチに接続しますので WAN 側の IP のみ設定してください。 設定方法については、ルートパス構成の内容を参考ください。 スタティックルートの設定 ルートパス構成の内容を参考ください。 負荷分散サービスの登録 DSRの有効化 [基本設定] – [サービス] のページに移動します。[設定済みサーバ]内の対象となる実サーバの[編集]をクリックします。 [サーバ編集]内の[ダイレクトサーバリターン]を[使用可能]に変更します。 BNJ-SE_20100120-57 25 負荷分散の詳細設定 負荷分散の詳細設定についてはルートパスの項を参照ください。ただし、DSR 構成の場合は L4 サービスのみの使用となり、 SSL offload の機能は使用できませんのでご注意ください。 (参考)ループバックアドレスの変更 本章にて設定参考情報を記載しておりますが、この設定で弊社が動作を保証するものではありません。また他の動作に影響 を与える可能性がございますのでご理解の上、お客様の責任で設定してください。なお、ロードバランサー以外の設定に関 して弊社ではご質問をお受けできません。各ベンダーにお問い合わせください。 DSR を構成するためには実サーバ側でも設定が必要となります。実サーバ側で設定するのはループバックアドレスの設定変 更です。主な OS のループバックアドレスの変更方法について説明します。 【Linux】 まずは ifconfig –a でループバックアドレスのデバイス名を確認します。 [root@s2 ~]# ifconfig -a eth0 Link encap:Ethernet HWaddr 00:30:18:A6:4F:C9 inet addr:192.168.10.11 Bcast:192.168.10.255 Mask:255.255.255.0 ・・・ lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host・・・ BNJ-SE_20100120-57 26 127.0.0.1 の IP が表示されているデバイスがループバックデバイスです。 このデバイスに負荷分散サービスで使用する仮想 IP のエイリアスを追加します。 追加すべき設定ファイルは OS により多少異なりますが、 /etc/sysconfig/network-scripts/ifcfg-lo:0 のようなファイルになります。Ifcfg-lo のファイルがあらかじめ存在していると思いますので cp コマンドでコピーす るとよいでしょう。例として仮想 IP を 192.168.0.100 の場合の設定ファイルを記載します。 [root@s2 ~]# vi /etc/sysconfig/network-scripts/ifcfg-lo:0 DEVICE=lo:0 IPADDR=192.168.0.100 NETMASK=255.255.255.255 NETWORK=192.168.0.100 BROADCAST=192.168.0.100 ONBOOT=yes 最後にネットワークを再起動して設定完了です。 #service network restart 最後に実サーバが VIP 宛ての ARP に応答しないように設定します。 /etc/sysctl.conf に以下記述を追記します。 net.ipv4.conf.all.arp_ignore = 1 net.ipv4.conf.eth0.arp_ignore = 1 net.ipv4.conf.all.arp_announce = 2 net.ipv4.conf.eth0.arp_announce = 2 追記したら実サーバを再起動します。 これでDSRの設定は完了です。最後に接続テストを行ってください。 BNJ-SE_20100120-57 27 【Windows】 DSR を行う場合各サーバにループバック設定を行わなければなりませんが、Windows の場合デフォルトで loopback アダプタがインストールされていませんのでまずは loopback adapter をインストールする必要があります。手順は 以下の通りです。 [デバイス マネージャー] を起動します。 コンピューター名の上で右クリックをし、[レガシ ハードウェアの追加] を選択します。 ウィザードに従い設定作業を行います。 [インストール方法の選択]は[一覧から選択したハードウェアをインストールする]を選択します。 [共通ハードウェアの種類]は[ネットワーク アダプター]を選択します。 [製造元] ボックスの一覧で、[Microsoft] をクリックします。 [ネットワーク アダプタ] ボックスの一覧で、[Microsoft Loopback Adapter] をクリックし、[次へ] をクリック します。 [完了] をクリックします。 次に loopback adapter の TCP/IP 設定を開いてください。ここで IP アドレスには VIP、サブネットマスクにはそのネ ットワークのサブネットを入れ、その他は空欄にしてください。設定例は以下の通りです。 BNJ-SE_20100120-57 28 【コマンドプロンプト(Windows2008 以降の場合) 】 ループバックアダプタの設定までは、前記述と同様です。 追加で以下の設定が必要です。 「スタート」ボタンから、 「すべてのプログラム」>「アクセサリ」>「コマンドプロンプト」を管理者権限で実行しま す。 コマンドプロンプトで、以下のコマンドを入力します C:¥>netsh interface ipv4 set interface "物理インターフェース" weakhostreceive=enabled <エンターキー> C:¥>netsh interface ipv4 set interface "ループバックアダプタ" weakhostreceive=enabled <エンターキー> C:¥>netsh interface ipv4 set interface "ループバックアダプタ" weakhostsend=enabled <エンターキー> 例:物理インターフェースが「ローカル エリア接続」、 ループバックアダプタが「ローカル エリア接続 2」の場合、 C:¥>netsh interface ipv4 set interface "ローカル エリア接続" weakhostreceive=enabled <エンターキー> C:¥>netsh interface ipv4 set interface "ローカル エリア接続 2" weakhostreceive=enabled C:¥>netsh interface ipv4 set interface "ローカル エリア接続 2" weakhostsend=enabled BNJ-SE_20100120-57 <エンターキー> <エンターキー> 29 ワンアーム構成 この構成は一つのセグメントセグメントで構成されるワンアーム型の構成になります。実サーバが接続されているスイッチ へロードバランサーが1本だけ接続する構成です。 また、ネットワーク構成を大きく変えることなく導入することが可能です。クライアントIPはNATされ、サーバへの通信は Barracuda Load BalancerのIPとなります。 この章ではワンアーム構成の設定について説明します。 BNJ-SE_20100120-57 30 IPアドレスの設定 ワンアーム構成の IP アドレス構成について説明します。ワンアーム構成では WAN ポートのみスイッチに接続しますので WAN 側の IP のみ設定してください。 設定方法については、ルートパス構成の内容を参考ください。 スタティックルートの設定 ルートパス構成の内容を参考ください。 負荷分散サービスの登録 次に負荷分散サービスの登録について説明します。登録についてはルートパス構成の時と同じです。但し、サービスは TCP プロキシ、UDP プロキシ、またはその他 L7 サービスを指定ください。 これ以降の設定はルートパス構成の場合と同じになるため、ルートパス構成の内容を参考にしてください。 負荷分散サービスの登録 ルートパス構成の内容を参考ください。 負荷分散の詳細設定 ルートパス構成の内容を参考ください。 接続テスト ルートパス構成の内容を参考ください。 BNJ-SE_20100120-57 31 その他の設定 一時的な実サーバの無効化とメンテナンスモード BLB では実サーバのメンテナンス時など一時的に実サーバを無効化することができます。 [基本設定] – [動作状態] のページに移動します。 無効化:無効化したい実サーバの「無効」ボタンをクリックすると実サーバが直ちに無効化され新しいセッションは割り当 てられません。 無効化される以前に実サーバがコネクションを持っている場合も、強制的切断されます。 メンテナンス:メンテナンスしたい実サーバの「メンテナンス」ボタンをクリックすると実サーバがメンテナンスモードに 入ります。 新しいセッションは割り当てられません。無効化される以前に実サーバがコネクションを持っている場合は、コネクシ ョンのセッション維持時間が切れるまでコネクションは継続されます。 BNJ-SE_20100120-57 32 警告メールの設定 ここでは実サーバが障害に陥った場合に管理者に警告メールを送信する設定について説明します。 [基本設定] – [管理] のページへ移動します。ページ下方にあるメール通知の項に管理者のメールアドレス・SMTP を入力し[保存] します。 *警告メールは 10 分間隔で送信されます。この設定は変更できません。 BNJ-SE_20100120-57 33 次に実サーバの台数が何台以下になった時、管理者に通知するかを設定します。 [基本設定] – [サービス] のページに移動します。 左側の一覧より登録されているサービスをクリックします。 [最小サーバ数]に台数を設定します。 BNJ-SE_20100120-57 34 設定のバックアップ ここでは設定内容のバックアップについて説明します。BLBでは手動でのバックアップとスケジュールによる自動バックア ップを行うことができます。バックアップを行うには [高度な設定] – [バックアップ] のページに移動します。手動でバックアップを行うには手動バックアップの項の[今すぐバックアップ]をクリックします。 また、自動バックアップを使用してスケジュールに基づきバックアップすることも可能です。 BNJ-SE_20100120-57 35 実サーバのメンテナンスポートの設定 実サーバを WAN 側から ssh などで直接メンテナンスしたい場合、メンテナンス用にポートを開く必要があります。設定例 を記載します。 設定例) 実際の Web サービス用 仮想 IP ポート 実サーバ 172.16.0.55 80 172.16.1.221:80 172.16.25.12:80 メンテナンス用 1 172.16.0.56 5000 172.16.1.221:21 メンテナンス用 2 172.16.0.57 5001 17.16.25.12:21 上記のような設定を行うことで、ftp などでメンテナンスを行うことができます。 BNJ-SE_20100120-57 36 バックアップサーバ(最終転送サーバ)の設定 BLB では 1 つの負荷分散サービス内の実サーバすべてが障害と検知した時に、最後にトラフィックを転送するサーバを指定 できます。このサーバのことをバックアップサーバ(最終転送サーバ)と言います。一般的にこのサーバには「メンテナン ス中」などの Web ページだけを表示させるサーバを指定します。このサーバは負荷分散サービスごとに指定できます。 [基本設定] – [サービス] のページに移動します。最終転送サーバとしたい対象サーバの[編集] をクリックします。サービス詳細のウィンドウが開き ますので、バックアップサーバに有効にします。 BNJ-SE_20100120-57 37 重み付けの設定 BLB では各サーバに重みを設定しトラフィックの割り当てに重みを設定することができます。この項では重み付けの設定に ついて説明します。 実サーバごとの詳細設定で重みを変更できます。重みは大きいほど優先度が高くなります。 例えば実サーバ 1 を重み 100、実サーバ 2 を重み 50 とした場合、実サーバ 1 は実サーバ 2 の 2 倍トラフィックが割り当て られます(重み付けラウンドロビンの時)。 また、重みを 0 とした場合は全くトラフィックが割り当てられなくなります。2 台の実サーバで片方を重み 100、片方を 0 とした場合では重み 100 の実サーバが障害になった場合でも重み 0 の実サーバにはトラフィックは割り当てられません。障 害時のみ特定の実サーバにトラフィックを割り当てたい場合はバックアップサーバの設定を使用してください。 BNJ-SE_20100120-57 38 コンテンツルーティングの設定 コンテンツルーティングは URL、Header 情報、接続元 IP によって、ロードバランサーが実サーバの接続先を決定します。 コンテンツルーティングは、クッキーによるセッション維持を行った HTTP/HTTPS の通信である必要があります。 BNJ-SE_20100120-57 39 [基本設定]—[サービス]画面に移動します。 対象サービス配下の[コンテンツルールの追加]ボタンを押します。 ポップアップが表示されますので、必要な項目を設定します。 最後に、この条件の際に接続するサーバを登録します。 BNJ-SE_20100120-57 40 SSL Offload *DSR 構成では SSL Offload の機能は使用できません。 この項では SSL Offload について説明します。BLB では実サーバ側の SSL 暗号化、復号化の負荷を軽減するため SSL Offload の機能を持っています。 [基本設定] – [証明書管理] のページへ移動します。SSL Offload で使用する証明書は BLB にインストールする必要があります。使用できる証明書は VeriSign, Global Sign, セコムトラストなどの第 3 者認証機関から発行された証明書(それぞれのベンダーの)、自己認証局 により発行した証明書、BLB 上で作成できる自己証明書となります。 新規に証明書を生成する場合:手順1から順に 自己証明書を生成する場合:手順 1 と手順2を実施した後、手順7に飛んでください サーバにある証明書をインポートして、エクスポートする場合:手順5から順に 1. 秘密鍵とCSRの生成(自己証明書もこれで制作します) GUI画面面から 基本設定>証明書 に移動し [証明書の作成] ボタンをクリックします。 2. 秘密鍵、CSR の必要項目を入力 以下のポップアップウィンドウに必要事項を入力 (自己証明書の場合、失効期限を選択してください。自己証明書の場合、このステップで終了です。 ) BNJ-SE_20100120-57 41 3. CSR をダウンロード 保存されている証明書から CSR をダウンロードします 機種によってはブラウザに表示示される場合があります。その場合テキストエディタにペーストし保存してください。 4. 証明書発行申請 CSR 情報を元に証明書の発行を依頼します。 申請が認証されますと、発行元よりSSLサーバ証明書が発行されます。合わせて、発行元の中間証明書、ルート証明書も ダウンロードします。証明書はテキスト形式のものをご利用用ください。バイナリー形式の証明書には対応しておりません。 5. 証明書のインポート GUI画面面から 基本設定>証明書 に移動します。 証明書のアップロードの項目より必要な項目を入力します。 PKCS形式の場合 6. アップロードの完了 以下の画面面出れば完了です。 [アップロードされた証明書]の配下にアップロードした証明書が追加されます。 BNJ-SE_20100120-57 42 証明書がアップロードできない場合の確認点 証明書はテキスト形式ですか? -メモ帳等で閲覧できるか確認してください。 文文字コード、改行行コードを確認してください。 -文文字コード:UTF-8 改行行コード:LF 中間証明書とルート証明書の順番は正しいですか? -先に中間証明書を指定、次にルート証明書を指定 ブラウザの種別は何ですか? -Firefox で試してみてください 秘密鍵:パスフレーズは埋め込まれているか? 秘密鍵はパスワード(パスフレーズ)を解除する必要があります。 パスワードがかかっているかどうか確認す る場合は、サーバ上で次のコマンドにて確認可能です。 [確認コマンド] # openssl rsa -text -noout -in [KeyFile] このコマンドを実行した際、パスワード入力が促されると以下のコマンドで、解除する必要があります。 [解除コマンド] # cp [KeyFile] [KeyFile].org (元ファイルのバックアップ) # openssl rsa -in [KeyFile] -out [Output_KeyFile] 現在のパスワード入力を求められますので、入力します。 再度 Output_KeyFile を確認コマンドでパスワー ド入力が促されないことを確認してください。 BNJ-SE_20100120-57 43 7. 次にサービスタブに移り SSL 用のサービスを設定します。 サービスの設定方法の概要についてはルートパス構成の内容を参考ください。 アクセステスト) SSL ポートを 443 で指定している場合は https://192.168.0.185 にアクセスします。 SSL ポートが 443 ではない場合は https://192.168.0.185:SSLport でアクセスします。 うまくアクセスできない場合は、[基本設定] – [管理] からリロード(一番下)を行ってみてください。 BNJ-SE_20100120-57 44 サポートトンネルの確立(保守用) 機器に問題が発生した場合 弊社サポート窓口にお問い合わせいただきます。お問い合わせいただいた際には我々のサポート スタッフが御社の BLB にリモートログインさせていただき状況の確認、障害の改善などのトラブルシュートを行わせていた だきます。その際にサポートスタッフがリモートログイン するにはサポートトンネルを確立していただく必要があ ります。本項ではサポートトンネルを確立する手順につい て説明します。 [高度な設定] – [トラブルシューティング] のページに移動します。診断サポートの[バラクーダセン トラルへの接続の確立] ボタンをクリックしてください。ボタンをクリックすると新しいウィンドウがポップアップし接続 に成功すると下のような画面が表示されます。 *サポートトンネルの接続を確立するには BLB がインターネットへの接続できる環境で、FW で内側から外側へのポート 80、22 の接続を許可している必要があります。 最新の通信先については以下のリンクをご参照ください。 http://www.barracuda.com/kb?id=50160000000Hb4J BNJ-SE_20100120-57 45 HA 構成 本項ではBLBのHA構成について説明します。上記の構成がルートパス構成におけるHAの構成例となります。BLBをHA構成 した場合2台のBLBはアクティブ/スタンバイとして動作します。ロートバランサの上下に配置されたスイッチがニ重化され、 スイッチ間でTrunk構成となるのは単一障害点をなくすためです。 BNJ-SE_20100120-57 46 注意事項 HA 構成を行う前に、これから HA 構成にする 2 台の BLB のファームウェアを必ず同じにしてください。タイムゾーンも同 じにしてください。また 2 台の BLB のモデルも同じである必要があります。(モデル 240 には HA 機能はありません。 ) アクティブ/スタンバイ機は相互にマネジメントポート経由で通信が可能であることが必要となります。 クラスタ共有鍵の設定 HA 構成では筐体間でデータをやりとりするために共有鍵(パスワード)を使用します。ここでは共有鍵の設定について説明 します。 [高度な設定] – [高可用性] のページに移動し、 [高可用性を有効]を[はい]にしてから、クラスタ共有秘密鍵を入力します。この値は Active 側、Standby 側の両方で同じものを設定してください。クラスタグループ ID も同様に同じものを設定してください。 フェイルバック動作を自動で行う場合は[フェイルバック]を[自動]、手動での切り戻しを実施する場合は[手動]を選択します。 また、LAN ポートリンクダウン時にフェールオーバを発生させるため、[モニタリング]の対象とするポートにチェックを行 います。(最低 1 ポート以上を指定する必要があります) BNJ-SE_20100120-57 47 クラスタシステムへの参加 いよいよ HA 構成です。かならずクラスタ参加前にステータスがグリーンになっているのを確認してください。クラスタシ ステムへの参加は Standby としたい BLB から Active 側の BLB の IP アドレスを[ピア管理 IP アドレス]に入力し[クラスタ に参加] ボタンをおしてください。 ステータスの確認 HA 構成が完了するとクラスタシステムの表示にプライマリ側の BLB が追加されます。 HA 構成が完了するには数分かかります。数分後に[高可用性]を再度クリックしてください。 (構築中、場合によりプライマリ、セカンダリが逆に表示されることがありますが、構築完了後、正常に戻ります。) 正常なに完了すると、下記のように表示されます。 負荷分散サービスの登録 ここからは1台構成の場合と同じく順次 負荷分散サービスの登録や設定を実施していただいてかまいません。設定は自動的 にスタンバイ側へも反映されます。 BNJ-SE_20100120-57 48 フェールオーバトリガー BLB の HA 構成のフェールオーバが起こるトリガーについてです。管理(MGT)セグメントでコンフィグデータのやりとり を行い、さらに VRRP の一部機能を活用した独自の方式で死活監視を行っております。このため、管理セグメントは死活監 視通信が行えるよう、通信経路を確保してください。また WAN、LAN リンクについては指定リンクのチェックを行います。 BNJ-SE_20100120-57 49 トラブルシュート BLB では障害が発生した場合いくつかの方法でトラブルシュートを行うことができます。この章ではトラブルシュートにつ いて説明します。 ネットワーク接続テスト これから説明するコマンドを実行するには [高度な設定] – [トラブルシューティング] のページに移動してください。[ネットワーク接続テスト]の項目からいくつかのコマンドを実行することができます。 Ping BLB 上で Ping を実行することで対象機器とのネットワークの疎通確認を行うことができます。 Telnet BLB 上で Telnet コマンドを実行できます。実サーバのポートの接続できるかを確認しることができます。 例)80 ポートの接続できるかを確認する場合は入力欄に下記を入力します。 <IP アドレス> 80 Dig/nslookup Dig もしくは nslookup コマンドを BLB 上で実行することができます。BLB が DNS を使い名前解決ができているかを確認 できます。 TCP dump TCP dump を実行できます。パケットの受信状況などを確認できます。 例)特定のアドレス宛てのパケットを確認する 特定のポート宛のパケットを確認する BNJ-SE_20100120-57 -nX host <IP アドレス> -nX port <ポート番号> 50 Traceroute BLB 上で Traceroute を実行することができます。対象までのネットワーク経路の確認ができます。 Wget Web Page BLB 上で Wget を実行することができます。対象の WEB ページをゲットすることができます。 設定が反映されない場合の対処 設定保存したはずの設定が反映されない場合、[基本設定] – [管理] の画面から画面 1 番下の[リロード]を行ってみてくだ さい。設定内容が再読み込みされます。 BNJ-SE_20100120-57 51 工場出荷時状態に戻す BLB は場合によって工場出荷時の状態に戻すことができます。ただし、この作業を行うと設定内容、ファームウェア、定義 ファイルの情報などすべての情報が失われます。この作業を行う前にはサポート窓口へお問い合わせください。 この作業を行う前に設定のバックアップをあらかじめ取得することをお勧めします。バックアップについては[設定のバック アップ]の項を参照ください。工場出荷時状態にするにはシステムを再起動してください。起動中の下記画面で[Recovery] を選択します(下記画面は起動時に 3 秒程度しか表示されません) 。 [Recovery]を選択すると Barracuda はリカバリモードで起動します。起動が完了すると下記の画面になります。 BNJ-SE_20100120-57 52 1.) Barracuda Repair(no data lost):各パーティションのファイルシステムを修復します。 2.) Full Barracuda Recovery (all data lost) :工場出荷時に戻す(すべての設定、データが失われます) 。 3,) Enable remote administration (reverse tunnel) リカバリモードからサポートトンネルをつなぎます。 4.) Diagnostic memory test :メモリーチェックを行います。 5.) Exit :リカバリモードを終了します。 工場出荷時状態に戻すには[2.) Full Barracuda Recovery] を選択します。リカバリが完了したら[5.) Exit] を選択して終了 してください。 以上で作業は完了です。これですべての設定、データは削除されました。再度設定などを行う場合にはファームウェアも初 期状態に戻るためを必ずアップデートしてください。 BNJ-SE_20100120-57 53 旧 Barracuda Load Balancer からの設定の移行 この章では、販売が終了した旧機器からの設定の移行方法について解説致します。 移行に関する注意点 ADC ではブリッジモードをサポートしておりません。 必ず旧機器にて事前に最新版のファームウェアにアップデート後移行を行ってください。 LB の WAN ポート→ADC の ge-1-1、LB の LAN ポート→ADC の ge-1-2 に対応しています。 通常のバックアップのリストアと同様に以下の設定は移行されません。 ・ 基本設定→IP 設定 ・ システムパスワード ・ 高度な設定→クラスタ設定 ・ 高度な設定→外観 またネットワークが移行されないためスタティックルートについても移行されません。 ADC では管理ポートの IP 設定が必須となります。 GUI アクセスは管理ポートのみ可能で、管理ポートからバラクーダセントラルへ通信可能である必要が御座います。 また、ge-1-1、ge-1-2 と違うセグメントである必要が有ります。 管理ポート用のセグメントを用意できない場合はテクニカルサポートへご相談ください。 LB→ADC の移行手順 1. 旧機器でコンフィグのバックアップを取得します。 2. 旧機器をネットワークから切り離します。 3. 本手順書の「初期 IP アドレスの設定」~「ドメイン名の設定」までの手順を行います。 注意:ここで設定する IP アドレスは管理ポートの IP のアドレスとなり、 旧機器の WANIP とは異なります。旧機器 の管理ポートを使用していなかった場合はインターネットに接続可能な新規セグメントの IP アドレスをご用意くださ い。 4. 「高度な設定」→「バックアップ」→「バックアップのリストア」よりコンフィグをリストアします。 5. 新機器で「基本設定」→「管理」よりタイムゾーンの設定、管理者パスワードの設定を行います。 6. 旧機器で WANIP に設定していた IP アドレスで「ネットワーク」→「インターフェース」→「カスタム仮想インター フェースの追加」より ge-1-1 にカスタム仮想インターフェースを作成します。 注意:WAN 側にカスタム仮想インターフェースない状態でコンフィグを移行するため VIP が所属するネットワーク が無く、サービスの VIP のネットマスクが 255.255.255.255 になります。 カスタム仮想インターフェースを作成 後 VIP のネットマスクを適切に訂正してください。 7. 旧機器の WAN 側のデフォルトルート及びスタティックルートを「ネットワーク」→「ルート」よりインターフェース 「ge-1-1」に追加します。 BNJ-SE_20100120-57 54 以下の手順はワンアーム構成の場合は必要ございません。 8. 旧機器で LAN の IP に設定していた IP アドレスで「ネットワーク」→「インターフェース」→「カスタム仮想インタ ーフェースの追加」より ge-1-2 にカスタム仮想インターフェースを作成します。 9. ルーティング設定がある場合は「ネットワーク」→「ルート」よりインターフェース「ge-1-2」に追加します。 BNJ-SE_20100120-57 55 FAQ この章では、お客様から問い合わせの多い項目について、解説いたします。 Q1. 設定によって、機器がリロード、リブートする項目はありますか? A1. 以下の項目が該当します。いずれも 1-5 分程度停止します。 リロード: ドメイン変更 ・ クラスタキー変更 ・ IP アドレス変更、追加 リブート: タイムゾーン ・ ファーム更新 ・ コンフィグリストア Q2.SSL 証明書のアップロードが出来ません。気をつける点はありますか? A2.以下の点にご注意ください。 文字コード:UTF-8 改行コード:LF 秘密鍵:パスフレーズは埋め込まれているか? 推奨ブラウザ:Firefox シリ ーズ Q3.冗長構成の際、Active からスタンバイへの切替時間はどの程度かかりますか? A3.ルートパス、DSR、ワンアーム構成の場合:約 5 秒程度 ブリッジ構成の場合:約 30 秒程度 で切替わります。 但し、環境により、ARP テーブルの更新などで実際には、より多くの時間がかかる可能性もございます。 Q4.ルートパス構成で配下に複数のネットワークを接続し、バランスすることは出来ますか? A4.可能です。VLAN、カスタム仮想インターフェースを作成し、実サーバのデフォルトゲートウエイに追加したカスタム 仮想インターフェースを指定することで設定可能です。 VLAN 設定は[ネットワーク]−[VLAN]、バーチャルインターフェースの追加は、[ネットワーク]−[インターフェース]か ら設定が可能です。 Q5.Web GUI の表示が非常に遅いのですが。 A5.Load Balancer がバラクーダセントラルとアクセスできない(インターネットに接続できない)環境の場合、GUI の表 示速度が著しく遅くなります。製品の契約情報確認のため、バラクーダセントラルと通信を行います。インターネットへ接 続できない環境の場合、接続タイムアウトするまで画面表示を待機しているため、表示に時間がかかります。インターネッ トに接続できる環境をご用意頂く以外の方法では、解消されません。 BNJ-SE_20100120-57 56 参考資料: バラクーダネットワークスのサポートページから、ナレッジベースソリューションの観閲やマニュアルをダウンロードする ことが可能です。Barracuda Web Filter の最新の情報についてはサポートセンターをご利用ください。 http://www.barracudanetworks.com/ns/support/ バラクーダネットワークスジャパン株式会社 http://www.barracuda.co.jp お問い合わせ先: 〒141-0031 東京都品川区西五反田 8-13-16 西五反田 8 丁目ビル 5 階 E-mail: jpinfo@barracuda.com BNJ-SE_20100120-57 57
© Copyright 2024 Paperzz