9.1.1 管理LANのネットワークの設計

管理LANには、管理対象機器(サーバ機器、ストレージ機器およびネットワーク機器)のほかに、管理サーバと管理クライアントが接続されます。

管理LANは複数に分けることができます。この機能を使用することで、管理LANを通じた物理L-Serverのテナント間の通信を遮断できます。

マルチテナント機能を利用する場合、各テナント専用に管理LANを用意し、ネットワークプールにテナント専用の管理LANを設定してください。

これにより、ネットワークのセキュリティを強化できます。

9.1.1.1 設計するために必要な情報

管理LANを設計するために、事前に明確にしておくべき情報を以下に示します。

テナント数
管理LANで使用するVLAN IDの数
各機器によってVLAN IDの最大数が異なるため、管理LANと業務LANの両方に接続する機器については、最大数を超えないように決定します。
管理LANで使用するVLAN IDの範囲
各機器によってVLAN IDの使用可能範囲が異なるため、管理LANと業務LANの両方に接続する機器については、使用範囲が重複しないように決定します。
管理LANのIPアドレスの範囲
管理経路の冗長構成の有無

9.1.1.2 サーバの管理LANについて

使用するサーバのNICを決定します。

管理LANに割り当てるNIC
管理サーバと管理対象サーバが使用するNICの数は、以下のとおりです。
非冗長構成の場合: 1つ
冗長構成の場合: 2つ
なお、HBA address rename使用時は、冗長構成、非冗長構成にかかわらず、2つのNICが必要です。
詳細は、「9.1.1.5 HBA address rename使用時に必要なネットワーク構成」を参照してください。
管理対象サーバがPRIMERGYシリーズの場合
- 非冗長構成の場合
  NIC1(Index1)
- 冗長構成またはHBA address renameを使用する場合
  NIC1(Index1)とNIC2(Index2)
管理対象サーバが使用する上記のNICはデフォルトの値であり、管理対象サーバの登録時に変更できます。
詳細は、「操作ガイドインフラ管理者編 (リソース管理) CE」の「5.4 ブレードサーバを利用する場合」または「5.5 ラックマウント型サーバとタワー型サーバを利用する場合」を参照してください。
管理対象サーバがPRIMEQUESTの場合
- 非冗長構成の場合
  パーティションに割り当てられているGSPBで番号が1番小さいNIC
- 冗長構成またはHBA address renameを使用する場合
  パーティションに割り当てられているGSPBで番号が1番小さいNICと2番目に小さいNIC
管理対象サーバがラックマウント型サーバまたはタワー型サーバの場合
ラックマウント型サーバまたはタワー型サーバの背面に並んでいるNICの並びや枚数を確認し、管理LANとして指定するNICの番号(1,2,...(1から始まる連番))を決定します。
- 非冗長構成の場合
  NIC番号が1のNIC
- 冗長構成の場合
  NIC番号が1と2のNIC

運用環境に応じて、以下の設定を決定します。

管理LANの冗長設定の有無
管理LANの冗長化は以下のように行ってください。
- 物理L-Serverは、Intel PROSet、PRIMECLUSTER GLSまたはLinux bondingなどを利用してください。
- VMホストは、サーバ仮想化ソフトウェアに従ってください。
LANスイッチブレードのネットワーク設定

9.1.1.3 ネットワーク機器の管理LANについて

使用するネットワーク機器(ファイアーウォール、サーバロードバランサー、L2スイッチおよびL3スイッチ)のLANポートを決定します。

図9.2 管理LANの接続例

参照

管理LANを複数サブネットで運用している場合、「導入ガイド CE」の「2.1.2 インストール【Windowsマネージャー】」または「2.1.3 インストール【Linuxマネージャー】」を参照してDHCPサーバを導入してください。

注意

マネージャーと管理対象サーバ間にDHCPサーバを配置しないでください。
管理サーバが管理LANで使用できるIPアドレスは1つだけです。
マネージャーインストール時に設定したネットワークアドレスが管理LANネットワークリソースとして登録されています。
管理LANのネットワークリソースの仕様変更で、本製品の、管理対象外の機器のIPアドレスを割当て対象外にするIPアドレスに登録してください。
登録しない場合、本製品の、管理対象外の機器のIPアドレスと重複することがあります。
ブレードサーバについて、マネジメントブレードをLANスイッチブレードに接続した場合、LANスイッチブレード故障時にマネジメントブレードにアクセスできなくなるため、マネジメントブレードはLANスイッチブレードに接続せずにシャーシの外の管理LAN用のスイッチに直接接続することをお勧めします。
HBA address renameでI/O仮想化を行う場合、管理LANに10Gbpsの拡張NICを指定すると、バックアップ・リストア、クローニングを利用できません。
管理LAN上にDHCPサーバとPXEサーバを配置しないでください。
管理LANに使用するNICには複数のIPアドレスを設定しないでください。
クローニングで、複数台のサーバに同じクローニングイメージを配付する場合、管理LANのスイッチにIGMP snooping機能の設定が必要になることがあります。IGMP snooping機能を設定しなかった際は、以下の場合、転送性能が低下することがあります。
- 同一ネットワーク内に速度の異なるポートがある場合
- 同時にイメージ操作を実行している場合
LANスイッチブレードがPRIMERGY BX900/BX400シリーズであり、かつIBPモードで動作している場合、ServiceLANとServiceVLANのグループ定義内では管理LANを使用しないでください。

9.1.1.4 通信の安全性

仮想L-Serverと管理サーバ(マネージャー)が通信する場合、以下の構成にしてセキュリティを高めることをお勧めします。

仮想L-Serverが接続する業務LANと、管理LANの間にファイアーウォールを配置する

「付録A ポート一覧」に従って、管理LANにファイアーウォールを設置したり、OSのファイアーウォールを設定したりすることで、安全に運用できます。

本製品のマネージャーとエージェントは、マネージャーからエージェントに対してHTTPS通信を利用してアクセスします。

図9.3 ネットワーク構成例

9.1.1.5 HBA address rename使用時に必要なネットワーク構成

HBA address renameを使用した管理対象サーバを起動するときは、本製品のマネージャーとの通信が必要です。本製品のマネージャーが停止した場合でも、管理対象サーバが起動できるように、以下の構成にしてください。

HBA address rename設定サービスを配置する構成

ここでは、HBA address rename設定サービスを配置する場合のネットワーク構成の設計について説明します。
HBA address rename設定サービスについては、「導入ガイド CE」の「第10章 HBA address rename設定サービスの設定」を参照してください。

本サービスは管理サーバと同一管理LANに1つだけ動作します。2つ以上起動しないでください。
本サービスはNIC2(Index2)を利用します。
管理対象サーバのNIC2を管理LANに接続してください。
NIC2はデフォルトの値であり、管理対象サーバの登録時に変更できます。
詳細は、「操作ガイドインフラ管理者編 (リソース管理) CE」の「5.4 ブレードサーバを利用する場合」を参照してください。
本サービスは管理サーバから定期的に管理対象サーバ情報を確保し、この情報を元に動作します。したがって、常時電源をONにできるサーバに配置します。
本サービスと管理サーバ間のスイッチ間結線は二重化してください。

注意

HBA address rename設定サービスはSystemcastWizardやほかのDHCPサービス、PXEサービスと同じサーバ上で同時起動できません。

本サービスの構成例は以下のとおりです。

図9.4 HBA address rename設定サービスを起動させる構成例(PRIMERGY BX600の場合)

管理LANのスイッチ間は、リンクアグリゲーションで冗長化します。
NIC2(Index2)を管理LANに接続します(デフォルトの場合)。
管理LANのネットワークに別のサーバを接続し、HBA address rename設定サービスを動作させます。
HBA address rename設定サービスを動作させたサーバまたはパソコンは、管理対象サーバ運用時には常に電源をONにしておきます。