ネットワーク環境を決定する場合、実際にユーザーに提供する仮想システムを考慮して、物理的なネットワーク機器構成を設計する必要があります。
本製品のネットワーク
本製品には、以下の3つのネットワークがあります。
管理LANのネットワーク
管理LANとは、管理サーバが管理対象サーバのエージェントや各管理対象装置(ネットワーク機器やストレージ装置)と通信し、導入、運用および保守作業を行うために使用するネットワークです。
業務LANのネットワーク
業務LANとは、管理対象サーバと管理対象ネットワーク機器(ファイアーウォール、L2スイッチ)がサービスを提供するためにイントラネットやインターネットなど内外のネットワークと接続するためのネットワークです。
iSCSI LANのネットワーク
iSCSI LANとは、管理対象のサーバとストレージ装置が通信するためのネットワークです。
運用時のセキュリティを確保するために、それぞれのネットワークは物理的に分けて構築することをお勧めします。
本製品で扱えるネットワークのサブネットマスクの最大値は255.255.255.255(32bit mask)です。また、最小値は255.255.0.0(16bit mask)です。ただし、255.255.255.254は扱えません。
参考
管理LANとiSCSI LANについては、運用のためにインフラ管理者だけが意識するネットワークです。
図4.1 ネットワーク環境例
管理LANには、管理対象機器(サーバ機器、ストレージ機器およびネットワーク機器)のほかに、管理サーバと管理クライアントが接続されます。
管理LANは複数に分けることができます。この機能を使用することで、管理LANを通じた物理L-Serverのテナント間の通信を遮断できます。
マルチテナント機能を利用する場合、各テナント専用に管理LANを用意し、ネットワークプールにテナント専用の管理LANを設定してください。
これにより、ネットワークのセキュリティを強化できます。
設計するために必要な情報
管理LANを設計するために、事前に明確にしておくべき情報を以下に示します。
テナント数を見積もります。
管理LANで使用するVLAN IDの数を決定します。
各機器によってVLAN IDの最大数が異なるため、管理LANと業務LANの両方に接続する機器については、最大数を超えないように決定します。
管理LANで使用するVLAN IDの範囲を決定します。
各機器によってVLAN IDの使用可能範囲が異なるため、管理LANと業務LANの両方に接続する機器については、使用範囲が重複しないように決定します。
管理LANのIPアドレスの範囲を決定します。
管理経路の冗長構成の有無を決定します。
サーバの管理LANについて
使用するサーバのNICを決定します。
管理LANに割り当てるNICを決定します。
管理サーバと管理対象サーバが使用するNICの数は、以下のとおりです。
非冗長構成の場合: 1つ
冗長構成の場合: 2つ
なお、HBA address rename使用時は、冗長構成、非冗長構成にかかわらず、2つのNICが必要です。
詳細は、「HBA address rename使用時に必要なネットワーク構成」を参照してください。
管理対象サーバがPRIMERGYシリーズの場合
非冗長構成の場合
NIC1(Index1)
冗長構成またはHBA address renameを使用する場合
NIC1(Index1)とNIC2(Index2)
管理対象サーバが使用する上記のNICはデフォルトの値であり、管理対象サーバの登録時に変更できます。
詳細は、「操作ガイド インフラ管理者編 (リソース管理) CE」の「2.4 ブレードサーバを利用する場合」または「2.5 ラックマウント型サーバとタワー型サーバを利用する場合」を参照してください。
管理対象サーバがPRIMEQUESTの場合
非冗長構成の場合
パーティションに割り当てられているGSPBで番号が1番小さいNIC
冗長構成またはHBA address renameを使用する場合
パーティションに割り当てられているGSPBで番号が1番小さいNICと2番目に小さいNIC
管理対象サーバがラックマウント型サーバまたはタワー型サーバの場合
ラックマウント型サーバまたはタワー型サーバの背面に並んでいるNICの並びや枚数を確認し、管理LANとして指定するNICの番号(1,2,...(1から始まる連番))を決定します。
非冗長構成の場合
NIC番号が1のNIC
冗長構成の場合
NIC番号が1と2のNIC
運用環境に応じて、以下の設定を決定します。
管理LANの冗長設定の有無を決定します。
管理LANの冗長化は以下のように行ってください。
物理L-Serverは、Intel PROSet、PRIMECLUSTER GLSまたはLinux bondingなどを利用してください。
VMホストは、サーバ仮想化ソフトウェアに従ってください。
LANスイッチブレードのネットワーク設定を決定します。
ネットワーク機器の管理LANについて
使用するネットワーク機器(ファイアーウォール、L2スイッチおよびL3スイッチ)のLANポートを決定します。
図4.2 管理LANの接続例
参照
管理LANを複数サブネットで運用している場合、「インストールガイド CE」の「2.1.2 インストール【Windows】」または「2.1.3 インストール【Linux】」を参照してDHCPサーバを導入してください。
注意
マネージャーと管理対象サーバ間にDHCPサーバを配置しないでください。
管理サーバが管理LANで使用できるIPアドレスは1つだけです。
マネージャーインストール時に設定したネットワークアドレスが管理LANネットワークリソースとして登録されています。
管理LANのネットワークリソースの仕様変更で、本製品の、管理対象外の機器のIPアドレスを割当て対象外にするIPアドレスに登録してください。
登録しない場合、本製品の、管理対象外の機器のIPアドレスと重複することがあります。
ブレードサーバについて、マネジメントブレードをLANスイッチブレードに接続した場合、LANスイッチブレード故障時にマネジメントブレードにアクセスできなくなるため、マネジメントブレードはLANスイッチブレードに接続せずにシャーシの外の管理LAN用のスイッチに直接接続することをお勧めします。
HBA address renameでI/O仮想化を行う場合、管理LANに10Gbpsの拡張NICを指定すると、バックアップ・リストア、クローニングを利用できません。
管理LAN上にDHCPサーバとPXEサーバを配置しないでください。
管理LANに使用するNICには複数のIPアドレスを設定しないでください。
クローニングで、複数台のサーバに同じクローニングイメージを配付する場合、管理LANのスイッチにIGMP snooping機能の設定が必要になることがあります。IGMP snooping機能を設定しなかった際は、以下の場合、転送性能が低下することがあります。
同一ネットワーク内に速度の異なるポートがある場合
同時にイメージ操作を実行している場合
LANスイッチブレードがPRIMERGY BX900/BX400シリーズであり、かつIBPモードで動作している場合、ServiceLANとServiceVLANのグループ定義内では管理LANを使用しないでください。
通信の安全性
仮想L-Serverと管理サーバ(マネージャー)が通信する場合、以下の構成にしてセキュリティを高めることをお勧めします。
仮想L-Serverが接続する業務LANと、管理LANの間にファイアーウォールを配置する
「付録A ポート一覧」に従って、管理LANにファイアーウォールを設置したり、OSのファイアーウォールを設定したりすることで、安全に運用できます。
本製品のマネージャーとエージェントは、マネージャーからエージェントに対してHTTPS通信を利用してアクセスします。
図4.3 ネットワーク構成例
HBA address rename使用時に必要なネットワーク構成
HBA address renameを使用した管理対象サーバを起動するときは、本製品のマネージャーとの通信が必要です。本製品のマネージャーが停止した場合でも、管理対象サーバが起動できるように、以下のどちらかの構成にしてください。
本製品のマネージャーをクラスタ構成とし、管理LANをPRIMECLUSTER GLSまたはIntel PROSetの伝送路二重化機能を利用して冗長化した構成
詳細は、「インストールガイド CE」の「付録B マネージャーのクラスタ運用設定・削除」を参照してください。
HBA address rename設定サービスを配置する構成
ここでは、HBA address rename設定サービスを配置する場合のネットワーク構成の設計について説明します。
HBA address rename設定サービスについては、「8.2.1 HBA address rename設定サービスの設定」を参照してください。
本サービスは管理サーバと同一管理LANに1つだけ動作します。2つ以上起動しないでください。
本サービスはNIC2(Index2)を利用します。
管理対象サーバのNIC2を管理LANに接続してください。
NIC2はデフォルトの値であり、管理対象サーバの登録時に変更できます。
詳細は、「操作ガイド インフラ管理者編 (リソース管理) CE」の「2.4 ブレードサーバを利用する場合」を参照してください。
本サービスは管理サーバから定期的に管理対象サーバ情報を確保し、この情報を元に動作します。したがって、常時電源をONにできるサーバに配置します。
本サービスと管理サーバ間のスイッチ間結線は二重化してください。
【Linux】
本サービスが管理サーバと通信するネットワークインターフェースは、eth0を利用します。
eth0のNICを管理LANに接続してください。
注意
HBA address rename設定サービスはSystemcastWizardやほかのDHCPサービス、PXEサービスと同じサーバ上で同時起動できません。
本サービスの構成例は以下のとおりです。
図4.4 HBA address rename設定サービスを起動させる構成例(PRIMERGY BX600の場合)
管理LANのスイッチ間は、リンクアグリゲーションで冗長化します。
NIC2(Index2)を管理LANに接続します(デフォルトの場合)。
管理LANのネットワークに別のサーバを接続し、HBA address rename設定サービスを動作させます。
HBA address rename設定サービスを動作させたサーバまたはパソコンは、管理対象サーバ運用時には常に電源をONにしておきます。
ユーザーに提供する仮想システムを設計します。
設計するために必要な情報
仮想システムを設計するために、事前に明確にしておく情報を以下に示します。
必要なリソースを決定します。
ファイアーウォールの有無を決定します。
仮想システム単位にセキュリティを確保する必要がある場合、ファイアーウォールを配備します。
また、DMZとイントラネットを設けるような階層構成の場合についても、ファイアーウォールを配備します。
サーバの種類(物理L-Server、仮想L-Server)を決定します。
iSCSIの有無を決定します。(ストレージ)
通信経路構成について決定します。
基本的に通信経路については冗長構成を採用します。
想定する通信性能(スループット)を決定します。
1つのシステムに対して想定している通信性能を決定します。
図4.5 仮想システムの基本の構成要素例
図4.6 仮想システムの全体構成要素例(仮想システムの基本の構成要素の集合体)
業務LANには、管理対象機器(サーバ機器とネットワーク機器)が接続されます。
iSCSI LANには、管理対象機器(サーバ機器とストレージ機器)が接続されます。
なお、iSCSI LANについては、iSCSIに対応したストレージ機器と物理L-Serverの配備対象になるサーバ機器を接続する場合に設計が必要です。
業務LANを設計するために必要な情報
業務LANを設計するために、事前に明確にしておく情報を以下に示します。
必要な機器(サーバ機器とネットワーク機器)の台数を見積もります。
仮想システムの設計結果で必要な機器を決定します。
必要な台数は、以下から見積もります。
仮想システムの設計で想定される性能要件
管理LANの設計で予定しているテナント数
利用予定の機器の仕様
機器に必要な仕様(提供機能を含む)を見積もります。
業務LANで使用するVLAN IDの数を決定します。
各機器によってVLAN IDの最大数が異なるため、管理LANと業務LANの両方に接続する機器については、最大数を超えないように決定します。
業務LANで使用するVLAN IDの範囲を決定します。
各機器によってVLAN IDの使用可能範囲が異なるため、管理LANと業務LANの両方に接続する機器については、使用範囲が重複しないように決定します。
業務LANのIPアドレスの範囲を決定します。
通信経路の冗長構成の有無を決定します。
仮想システムの設計結果で通信経路の冗長構成の有無は決定します。
使用するLANポートまたはNICを決定します。
以下のどれかを利用するように決定します。
ネットワーク機器の場合、管理LANに割り当てたLANポート以外
サーバ機器の場合、管理LANに割り当てたNIC以外
ラックマウント型サーバまたはタワー型サーバを物理L-Serverとして使用する場合、以下の情報を決定します。
ラックマウント型サーバまたはタワー型サーバのNIC番号
ラックマウント型サーバまたはタワー型サーバの背面に並んでいるNICの並びや枚数を確認し、物理L-Server作成時に指定するNICの番号(1,2,...(1から始まる連番))を決定します。
なお、管理LANでは、番号が小さいNICを利用(管理LANが非冗長構成の場合は"1"、管理LANが冗長構成の場合は"1~2")するため、それ以降のNICを利用してください。
参考
管理対象サーバがブレードサーバの場合、同じシャーシ内で搭載されているLANスイッチブレードのモデルによっては、使用できないNICがあります。
このとき、管理対象サーバにLANスイッチブレードと拡張NICを追加して追加したNICを使用するか、管理LANのNICを業務と共有して使用します。
管理LANのNICを共有する場合、管理対象サーバの業務LANは、すべてタグVLANを設定します。
なお、使用できないNICは、搭載されるLANスイッチブレードとブレードサーバの組合せに依存します。詳細は、LANスイッチブレードとブレードサーバのマニュアルを参照してください。
iSCSI LANを設計するために必要な情報
iSCSI LANを設計するために、事前に明確にしておく情報を以下に示します。
iSCSI LANに利用するサーバ側のNICを決定します。
シングルパス構成とマルチパス構成のどちらも利用できます。
それぞれのテナントのiSCSI LANで使用するVLAN IDとネットワークアドレスを決定します。
ETERNUSストレージまたはNetAppストレージと、LANスイッチブレードの間に、外部スイッチを接続するかを決定します。
ETERNUSストレージまたはNetAppストレージでマルチテナント機能の利用有無を決定します。
サーバ側のNICで利用するIQNを決定します。
ストレージのポートで利用するネットワークアドレスを決定します。
ストレージのポートで利用するIQNを決定します。
iSCSI通信での認証の有無、認証を行う場合は認証情報を決定します。
設計した仮想システムの要件を実現するために、業務LANとiSCSI LANで必要な機器を明確にすることで、物理ネットワーク構成が確定します。
以下に仮想システムと物理ネットワーク構成の対応イメージの例を示します。
図4.7 仮想システムと物理ネットワーク構成の対応イメージ例
仮想システムをテナント単位に何個用意し、テナントを何個用意するのか決定することで、必要な機器の台数が決定し、全体構成も明確になります。
以下に物理システムの全体構成例を示します。
図4.8 物理ネットワークの全体構成例
決定した物理システムと本製品で管理するリソースの関係について説明します。
本製品では、仮想システムをユーザーに提供すると共に、仮想システムを運用することになります。そのため、物理システムと仮想システムを構成するリソースの関係を理解しておく必要があります。
なお、物理機器を仮想システムでどのように利用するかによって、物理機器とリソースは、"1対1"または"1対n"の関係になります。
以下に「図4.8 物理ネットワークの全体構成例」を例にした、物理ネットワークとリソースの関係を示します。
図4.9 物理ネットワークとリソースの関係
以下に、1つの仮想システム(L-Platform)に対して物理機器とリソースを割り当てた場合のイメージ例を示します。
イメージ例では、ファイアーウォール機器とL2スイッチに対しては1対1でリソースを割り当て、サーバ機器とストレージ機器に対しては1対nでリソースを割り当てています。
なお、本製品ではL2スイッチをネットワークデバイスとしてリソース管理しますが、仮想システムに割り当てるときにはネットワークリソースを構成する要素の1つとして含まれるため、仮想システムにはL2スイッチのネットワークデバイスは現れません。
図4.10 仮想システムとリソースの割当て例
