パブリッククラウド上でPRIMECLUSTERを使用する場合、スプリットブレインの解決のためにクラスタノードとAPIエンドポイントとの接続性を確保する必要があります。APIエンドポイントはインターネット上にあるため、インターネットとの接続が必要です。APIエンドポイントを使用して、クラスタノードの電源の制御を行います。
PRIMECLUSTERは、クラスタノードとAPIエンドポイントとの接続性を確保するためのアーキテクチャパターンを提供しています。クラスタシステムの円滑な設計のために、これらのアーキテクチャパターンから適したものを選択してください。
クラスタノードとAPIエンドポイントとの接続性確保のためのアーキテクチャパターンと各パターンに適したシーンを以下に示します。
アーキテクチャパターン | 適用シーン | ポイント |
|---|---|---|
ルーターによる接続性確保 | 低い運用コストでセキュアにバックエンドサーバの接続性を確保したい場合 | ニフクラのルーターが提供しているNAT機能を使用するため、ユーザによる運用管理が不要です。 |
NATサーバによる接続性確保 | ルーター機能を使用せずにセキュアにバックエンドサーバの接続性を確保したい場合 | NATサーバは、ユーザによる構築・運用管理が必要です。 以下のように、ルーター機能ではできない構成の場合は、NATサーバによる接続性確保を利用します。 ・DNATとSNATで異なるグローバルIPを使用するなど、複数のグローバルIPをサーバに直接割り当てることなく使用したい場合 ・“図8.1 すでにルーターを使用している環境でプライベートLAN1だけをインターネットに接続したい場合”のように、すでにルーターを使用している環境でインターネットに接続したい場合 |
グローバルIPアドレスによる接続性確保 | 低い運用コストでフロントエンドサーバの接続性を確保したい場合 | グローバルネットワークからサーバへのアクセスを許可するため、IP許可制限やファイアウォールのルールを厳重に定める必要があります。 ルーターが不要のためシステムコンポーネントの数が少なくなり、アーキテクチャがシンプルになります。 |
図8.1 すでにルーターを使用している環境でプライベートLAN1だけをインターネットに接続したい場合
ルーターによるアーキテクチャパターンは、インターネットからのアクセスを遮断し、かつ、クラスタノードとAPIエンドポイントとの接続性を確保できます。
バックエンドサーバのクラスタノードは、プライベートLANに配置します。このサーバにはグローバルIPアドレスを付与しないため、インターネットとの直接の接続性はありません。
PRIMECLUSTERの強制停止を実現するAPIエンドポイントはインターネット越しに存在するため、エンドポイントとの接続性はルーターを使用してください。
参照
ルーターのNAT機能の詳細については、ニフクラの公式ドキュメントを参照してください。
図8.2 ルーターによる接続性確保
NATサーバによるアーキテクチャパターンは、インターネットからのアクセスを遮断し、かつ、クラスタノードとAPIエンドポイントとの接続性を確保できます。
このアーキテクチャパターンは、ルーターによるアーキテクチャパターンと比較すると、コンポーネントの配置がルーターからNATサーバに代わるのみで、他の配置は同一です。
図8.3 NATサーバによる接続性確保
ルーターやNATサーバによるアーキテクチャパターンと比較すると、シンプルになります。
ただし、インターネットからクラスタノードへのアクセスが可能なため、IP許可制限やファイアウォールのルールを厳重に定める必要があります。
本アーキテクチャパターンを使用する場合、クラスタノードにグローバルIPアドレスを付与するのみの設定となります。
図8.4 グローバルIPによる接続性確保
