ここでは、システムに必要なネットワーク構成の事前準備について説明します。
ネットワーク構成の決定については、「ServerView Resource Coordinator VE 導入ガイド」の「3.2.1 ネットワークの構成」を参照してください。
運用時のセキュリティを確保するために、以下のネットワークは物理的に分けて構築する必要があります。
管理LAN
マネージャーと以下の装置の間で通信を行い、導入や保守などの管理作業を行います。
通信には、iRMCやMB(マネジメントブレード)を利用します。
管理対象サーバ(VMホスト、物理L-Server)
VM管理製品
ストレージ管理製品
管理LANの冗長化は以下のように行ってください。
物理L-Serverは、Intel PROSetまたはPRIMECLUSTER GLSを利用してください。
VMホストは、サーバ仮想化ソフトウェア製品に従ってください。
マルチテナント機能を利用する場合、各テナント専用に管理LANを用意し、ネットワークプールにテナント専用の管理LANを設定してください。
これにより、ネットワークのセキュリティを強化できます。
管理LANは複数に分けることができます。この機能を使用することで、管理LANを通じた物理L-Serverの、テナント間の通信を遮断できます。
図3.1 管理LANのネットワーク構成
ネットワーク構成の決定
物理L-Serverの配備対象になるサーバと管理サーバをL3スイッチで接続します。
各テナントの管理LANで使用するVLAN IDとネットワークアドレスを決定します。
決定したVLAN IDとネットワークアドレスを管理LAN用のネットワークリソース作成時に入力します。詳細は「5.3.4 ネットワークリソース」を参照してください。
ユーザーによる事前設定
LANスイッチブレードの設定
LANスイッチブレードの外部ポートのVLAN IDを設定します。必要に応じてトランクリンクを設定します。
L3スイッチの設定
LANスイッチブレードと接続するポートのVLAN IDを設定します。必要に応じてトランクリンクを設定します。
各テナントの管理LANと管理サーバのネットワークが通信できるようにするため、L3スイッチのルーティング設定を行います。
管理サーバ側から物理L-Serverの配備対象になるサーバに対して、以下のようなマルチキャストルーティングを設定します。
225.1.0.1 - 225.1.0.8 |
以下の機能を利用する場合、異なるサブネットに属する管理対象サーバからのDHCP要求をマネージャーが受け付けられるように、DHCPリレーエージェント設定を行ってください。
管理対象サーバのバックアップ・リストア
クローニングマスタの採取・配付
HBA address renameによるSANブート
HBA address rename設定サービスを利用する場合、異なるサブネットに属する管理対象サーバからのDHCP要求をHBA address rename設定サービスが受け付けられるように、DHCPリレーエージェント設定を行ってください。
必要に応じて以下のL3スイッチの設定を行います。
物理L-Serverの配備対象サーバと管理サーバ間の通信を許可
例
192.168.10.0/24(管理サーバ)と192.168.2.0/24(VLAN2)
192.168.10.0/24(管理サーバ)と192.168.3.0/24(VLAN3)
192.168.10.0/24(管理サーバ)と192.168.4.0/24(VLAN4)
テナントの管理LAN間の通信を遮断
例
192.168.2.0/24(VLAN2)と192.168.3.0/24(VLAN3)
192.168.2.0/24(VLAN2)と192.168.4.0/24(VLAN4)
192.168.3.0/24(VLAN3)と192.168.4.0/24(VLAN4)
本製品での設定の自動化範囲
物理L-ServerとLANスイッチブレード間のポートVLANの設定は、L-Server配備時に自動的に行われます。
仮想L-Serverと物理L-Serverを混在する場合、以下のような構成になります。
VMホストと管理サーバを同一のネットワークで接続(VMホスト1)
VMホストと管理サーバをL3スイッチ経由で接続(VMホスト2)
図3.2 仮想L-Serverと物理L-Serverの混在環境でのネットワーク構成
なお、この環境では、物理L-Serverだけの環境に加えて、以下の設定がL3スイッチに必要です。
テナントAの管理LANと、VMホスト1の間の相互の通信を遮断する設定
VMホスト2の管理LANと、VMホスト1の間の相互の通信を遮断する設定
テナントCの管理LANと、VMホスト1の間の相互の通信を遮断する設定
注意
マネージャーと管理対象サーバ間にDHCPサーバを配置しないでください。
管理サーバが管理LANで使用可能なIPアドレスは1つだけです。
参照
マネージャーがWindowsで、管理LANを複数サブネットで運用している場合、「4.1.2 インストール【Windows】」を参照してDHCPサーバを導入してください。
注意
マネージャーがLinuxの場合、DHCPサーバは導入できません。
マネージャーインストール時に設定したネットワークアドレスが管理LANネットワークリソースとして登録されています。
管理LANネットワークリソースの設定変更で、本製品の、管理対象外の機器のIPアドレスを割当て対象外とするIPアドレスに登録してください。登録しない場合、本製品の、管理対象外の機器のIPアドレスと重複することがあります。
業務LAN
一般ユーザーが業務用のアプリケーションなどを利用する場合に接続するネットワークです。
独立した業務を行うL-Serverが相互に接続することがないように、本製品では以下のネットワークのVLAN IDが自動で設定されます。
LANスイッチブレードの内部ポートのVLAN ID(ブレードサーバの場合)
外部ポートのVLAN IDは事前に設定する必要があります。
仮想スイッチのVLAN ID(仮想L-Serverの場合)
iSCSI LAN
iSCSI LANはiSCSIに対応したストレージ装置と物理L-Serverの配備対象になるサーバを接続するネットワークです。iSCSI LANは管理LANや業務LANから独立したLANです。
ネットワーク構成の決定
iSCSI LANに利用するサーバ側のNICを決定します。シングルパス構成とマルチパス構成のどちらも利用できます。
ここで決定したNICの情報は、iSCSIブートのネットワーク定義ファイルに記述します。iSCSIのネットワーク定義については、「5.2.5 ネットワークリソース」を参照してください。
それぞれのテナントのiSCSI LANで使用するVLAN IDとネットワークアドレスを決定します。
ここで決定したVLAN IDとネットワークアドレスは、iSCSI LAN用のネットワークリソース作成時に入力します。詳細は、「5.3.4 ネットワークリソース」を参照してください。
ETERNUSストレージまたはNetAppストレージと、LANスイッチブレードの間に、外部スイッチを接続できます。
ETERNUSストレージでマルチテナント機能を利用する場合、ETERNUSストレージのポートをテナントごとに割り当てる必要があります。システム構成については、「図F.2 VIOMによるI/O仮想化を利用して、ETERNUS-iSCSIストレージ環境でL-Serverを構築する場合のシステム構成例」を参照してください。
NetAppストレージでマルチテナント機能を利用する場合のシステム構成については、「図F.3 VIOMによるI/O仮想化を利用して、NetApp-iSCSIストレージ環境でL-Serverを構築する場合のシステム構成例」を参照してください。
サーバ側のNICで利用するIQNを決定します。
ストレージのポートで利用するネットワークアドレスを決定します。
ストレージのポートで利用するIQNを決定します。
iSCSI通信での認証の有無、認証を行う場合は認証情報を決定します。
ユーザーによる事前設定
LANスイッチブレードの設定
LANスイッチブレードの外部ポートのVLAN ID設定を行います。必要に応じてトランクリンクの設定を行います。
外部スイッチの設定
LANスイッチブレードと接続するポートのVLAN ID設定を行います。必要に応じてトランクリンクの設定を行います。
ストレージの設定
iSCSI接続用のポートに以下の項目を設定します。
IPアドレス
サブネットマスク
デフォルトゲートウェイ
CHAP認証
相互CHAP認証
iSCSI接続用のポートと通信できるホスト情報
本製品での設定の自動化範囲
物理L-ServerとLANスイッチブレード間のポートVLANの設定
L-Server配備時に自動的に行います。
iSCSI LANに使用するサーバ側のNICのBIOS設定
L-Server配備時に以下の設定を自動的に行います。
IPアドレス
サブネットマスク
デフォルトゲートウェイ
CHAP認証
相互CHAP認証
NICと通信できるストレージ情報
iSCSIで使用するNICのブート設定
通信の安全性
「ServerView Resource Coordinator VE 導入ガイド」の「付録C ポート一覧」に従って、管理LANにファイアーウォールを設置したり、OSのファイアーウォールを設定したりすることで、より安全に運用できます。
本製品のマネージャーとエージェントは、マネージャーからエージェントに対してHTTPS通信を利用してアクセスします。
HTTPS通信では、通信データの暗号化と相互認証のために証明書を利用しています。
詳細は、「ServerView Resource Coordinator VE 導入ガイド」の「付録E HTTPS通信」を参照してください。
ネットワーク構成例は以下のとおりです。
図3.3 ネットワーク構成例