新登場 TR7 ZeroLeak:ビジュアル分離 — ユーザーに届くのはピクセルだけ、データは届かない
攻撃を受けていますか? サポート パートナーポータル
無料ライブデモ
DE DeutschEN EnglishES EspañolFR FrançaisJA 日本語PT PortuguêsTR Türkçe
機能

VIPとIPシナリオ

VIPをIPアドレスとしてだけでなく、インターフェースタイプ、VLAN、クラスターロール、トランジションメソッドとともに管理。

TR7 ADC VIPとIPシナリオは、アプリケーショントラフィックの実際のエントリポイントであるVIPを、フラットなIPリストとしてではなく、ネットワークトポロジーの一部として扱います。7つのインターフェースタイプがサポートされています:Ethernet、VLAN、Bond、LACP、V-ETH、V-ETH(peer)、Bridge。同一の物理インターフェース上に複数のVLAN、複数のサブネット、多くのVIPを定義できます。 すべてのVIPは単一ノードではなく、クラスターモデルに属します。VIPの所有権はMASTERとBACKUPのスロットを通じて管理されます;Active-Active設定では、一部のVIPが1つのノードでアクティブで、他のものがピアノードで動作できます。フェイルオーバー中、gratuitous ARPがネットワーク側のスイッチMACテーブルを即座に更新します。 TR7はVIPトランジション動作をクラシックなVRRPだけに委ねません。各VIPについて、オペレーターは4つのトランジションメソッドから選択できます:VRRPのみ、TR7リンクチェック、TR7ゲートウェイチェック、またはTR7リンクとゲートウェイチェック — これによりインターフェースリンク状態、ゲートウェイ到達可能性、またはその両方をフェイルオーバー決定に考慮できます。 結果として:TR7 ADCはVIP管理 — TR7ネットワークモデル、デュアルスタックアドレッシング、クラスター全体のVIP所有権、インターフェースレベルのトランジション制御、Active-Active分散を含む — を単一の管理サーフェスに統合します。

7
サポートされるインターフェースタイプ:Ethernet、VLAN、Bond、LACP、V-ETH、V-ETH(peer)、Bridge
2
インターフェースごとのVRRPスロット:MASTER + BACKUP — Active-Active分散の基盤
4
clusterIpMethodオプション:vrrp / link / gw / link+gw

VIPは単なるIPアドレスではありません — 正しいインターフェース、正しいクラスターロール、正しいフェイルオーバーロジックで機能する必要があります。

本番トラフィックは通常DNSから始まりますが、最終的にIPアドレスに流れます。VIP管理が「アドレスにバインドする」だけとして扱われると、実際のネットワークトポロジーが考慮されません。VLAN、LACP、Bridge、V-ETH、V-ETH(peer)、namespace、IPv6、クラスターフェイルオーバー動作が一緒に考慮されないと、VIPは動作しているように見えても、トラフィックが期待されるパスで到着しない場合があります。

マルチVLAN環境では問題がより明確になります。オペレーターはまずネットワーク側でVLANを作成し、次にBondまたはBridgeの関係を調整し、最後にADC側でVIPを定義します。これらのピースが独立して管理される場合、誤ったVLANタグ、MTUの不一致、誤った親インターフェースの選択、またはゲートウェイチェックの欠如がすべて「VIPは稼働しているがトラフィックなし」という典型的な状況につながります。

クラシックなVIPトランジションアプローチも一部のシナリオでは不十分です。ノードは正常に見え、VRRPピアは通信を継続しているかもしれませんが、関連するリンクがダウンしていたり、ゲートウェイが到達不能になっているかもしれません。その状態でデバイスがVIPを保持し続けると、アップストリームに到達できないノードにトラフィックが流れ、サービス停止が発生します。

正しいモデルはVIPを物理デバイスではなくクラスターにバインドします。インターフェースタイプ、親インターフェースの関係、VLANまたはBond構造、IPv4/IPv6アドレス、MASTER/BACKUPロール、トランジションメソッドはすべて同一の設定モデルで一緒に定義される必要があります。

TR7 VIPとIPシナリオはこのニーズを満たします:VIPをネットワークトポロジー、クラスター所有権、リンク/ゲートウェイ認識とともに管理可能にします。

私たちのアプローチ

TR7はVIP管理をインターフェースモデル、VIP通信ペアリング、MASTER/BACKUP分散、マルチレイヤーインターフェース構成の上に構築します。

7つのインターフェースタイプが単一ネットワークモデルで管理される

Ethernet、VLAN、Bond、LACP、V-ETH、V-ETH(peer)、Bridgeインターフェースはすべて同一の設定アプローチで定義されます。各タイプに関連するオプションのみが表示されるため、オペレーターが誤ったフィールドに誤ったネットワークパラメーターを記述することはできません。

VIP所有権はVIP通信ペアリングを通じて決定される

各インターフェースにVIP通信ペアが定義され、クラスターノードがそれらのアドレスを通じてマッチします。VIPは単一ノードに固定されず、アクティブクラスターロールを保持するノードで所有されます。

MASTERとBACKUPのVIPリストは別々に管理される

VIPはマスターリストとバックアップリストに分離されます。Active-Activeデプロイメントでは1つのノードがマスターVIPリストを保持し、ピアがバックアップリストを保持します。ノードが障害を起こすと、すべてのVIPが正常なノードに集約されます。

VLAN、Bond、Bridgeレイヤーを重ね合わせ可能

親インターフェースの関係、Bondメンバー、Bridgeメンバー、バーチャルインターフェースの関連付けはすべて同一ツリーで定義されます。Bond上のVLAN、Bridge内のV-ETH、またはnamespaceに接続されたV-ETH(peer)などの実際のトポロジーはすべて単一モデルで表現されます。

機能

VIPとIPシナリオは物理および仮想ネットワーク構造をクラスター対応のVIP管理と組み合わせます。

7つのインターフェースタイプが物理および仮想ネットワークトポロジーをサポート

TR7はEthernet、VLAN、Bond、LACP、V-ETH、V-ETH(peer)、Bridgeインターフェースタイプをサポートします。物理インターフェース、VLANサブインターフェース、Bond、LACP、Bridge、バーチャルEthernet、バーチャルEthernetペアはすべて同一のネットワークモデルに含めることができます。これによりADCは単なるIP割り当て層ではなく、ネットワークトポロジーを認識した管理ポイントになります。オペレーターはTR7インターフェースから本番環境の実際のネットワークレイアウトを管理します。

IPv4とIPv6 VIPが同一のサービスモデルで定義される

TR7はVIP管理においてIPv4とIPv6アドレスファミリーを一緒に処理します。同一のサービスまたはインターフェースに対してv4とv6アドレスを並行して実行できます。ゲートウェイヘルスチェックもアドレスファミリーごとに分離できます。これによりIPv6の採用は別のプロジェクトではなく、既存のVIPモデルの自然な拡張として扱われます。

VLANベースのVIPがマルチテナントとマルチサブネットの分離を可能にする

VLANインターフェースは親のEthernet、Bond、またはLACPインターフェースで定義できます。各VLANは独自のサブネットと独自のVIPセットを持てます。これはサービスプロバイダー、マルチテナント、セグメンテーション主導のアーキテクチャに特に有用です。異なる顧客またはセキュリティゾーンが同一の物理リンク上で分離されます。

BondとLACPが本番ネットワークに冗長性と容量を提供

BondとLACPインターフェースは複数の物理ポートを単一の論理インターフェースとして動作させます。Bondはactive-backupモードなどの冗長性シナリオをカバーし、LACPは802.3adリンクアグリゲーションをカバーします。これらの論理インターフェース上に配置された本番VIPは単一ポートまたは単一リンクの障害に対してより回復力を持ちます。VLANレイヤーもBondまたはLACPの上で実行でき、柔軟なトポロジー設計が可能です。

Bridge、V-ETH、V-ETH(peer)が仮想ネットワーク統合をカバー

BridgeはVMまたはコンテナベースのネットワークバックプレーンでのLayer 2ブリッジング動作に使用できます。V-ETHは仮想化環境のためのMACレベルのバーチャルEthernetインターフェースを提供します。V-ETH(peer)はnamespaceとコンテナ分離のためのバーチャルEthernetペアを作成します。このサポートによりTR7は物理アプライアンスだけでなく、仮想およびオンプレミスクラウドアーキテクチャでも柔軟に動作します。

VIP通信モデルがVIPを個々のノードから切り離す

VIPは単一ノード上のローカルIPリストとしてではなく、クラスター所有のサービスアドレスとして管理されます。VIP通信ペアとVIPオブジェクトはインターフェースごとに定義されます。フェイルオーバーが発生すると、VIPの所有権はピアノードに移動できます。このモデルはメンテナンスと障害シナリオの両方でサービスアドレスを保持します。

VIPトランジションメソッドは4つの決定モデルから選択される

TR7はVIPごとに4つのトランジションメソッドを提供します:VRRPのみ、TR7リンクチェック、TR7ゲートウェイチェック、TR7リンクとゲートウェイチェック。VRRPのみはクラシックなプロトコル動作を使用し、TR7リンクチェックは物理インターフェースキャリア状態を監視し、TR7ゲートウェイチェックはアップストリームの到達可能性をテストし、TR7リンクとゲートウェイチェックは両方のシグナルを一緒に評価します。重要なVIPはデバイスの生存状態だけでなく、実際のネットワーク到達可能性に基づいて移動できます。標準デプロイメントでは通常カスタム監視スクリプトを必要とするこの動作が、TR7インターフェースからのポリシー選択として提供されます。

Active-Active VIP分散が両ノードにライブトラフィックを担わせる

マスターVIPリストとバックアップVIPリストは別々に維持されます。Active-Active設定では1つのVIPグループが1つのノードでアクティブで、別のグループがピアでアクティブです。ノードがダウンすると、正常なノードが両方のVIPセットの所有権を取得します。これにより両デバイスがアイドルのスタンバイではなく、アクティブなトラフィックソースとして機能します。

運用の深度

VIP管理はインターフェース階層、VRRPスロット、ユニキャスト通信、namespace、ゾーン、ゲートウェイチェックとともに計画されます。

01

インターフェース階層

VLAN、Bond、LACP、Bridge、V-ETH、V-ETH(peer)の関係は親インターフェースとメンバーインターフェースフィールドで定義されます。これによりBond上のVLAN、Bridge内のV-ETH、namespaceに接続されたV-ETH(peer)などの構成を正確にモデリングできます。運用チームはネットワーク構造をバラバラではなく依存関係とともに管理します。

02

VRRPスロットの分離

インターフェースごとに2つのVRRPスロット — MASTERとBACKUP — を生成できます。Active-Activeデプロイメントでは、この分離がVIP分散の基盤となります。virtual_router_id値は自動的に割り当てられ、同一サブネット内での衝突リスクが軽減されます。

03

ユニキャストVRRP動作

TR7はVRRPピア通信にユニキャストアプローチを使用できます。これによりマルチキャストトラフィックがフィルタリングされるモダンなデータセンターネットワークでより予測可能な動作が提供されます。ピアノード通信はunicast_src_ipとunicast_peerフィールドで明示的に定義されます。

04

ゲートウェイモニターチェック

インターフェースごとにヘルスチェックでゲートウェイの到達可能性を監視できます。IPv4とIPv6ファミリーは独立してチェックできます。ゲートウェイアクセスが失われ、トランジションメソッドがTR7ゲートウェイチェックまたはTR7リンクとゲートウェイチェックの場合、フェイルオーバー決定はこのシグナルを考慮します。

05

NamespaceとZone認識

VIPはnamespaceとzoneコンテキストと関連付けることができます。これによりマルチテナントまたはマルチゾーンデプロイメントでVIPの所有権がより明確に定義されます。テナントまたはゾーンごとに別々のネットワーク分離と別々のVIP管理を設定できます。

06

Gratuitous ARP更新

VIPのフェイルオーバーが発生すると、gratuitous ARPがネットワーク側のスイッチMACテーブルを更新するために送信されます。これにより新しくアクティブになったノードへのL2レベルのトラフィックリダイレクトが加速されます。同一サブネット内のVIPトランジション中のサービス中断時間を削減するのに役立ちます。

使用場面

マルチVLANテレコムおよびサービスプロバイダーアーキテクチャ

テレコムチームはトランクポートに多くのVLANを定義し、各顧客またはサービスセグメントに別々のVIPセットを実行できます。単一の物理リンク上で複数のサブネットと複数の顧客分離が管理されます。

LACP上の本番VIP冗長性

運用チームは複数の物理ポートを単一のLACPインターフェースに集約し、本番VIPをその論理インターフェースに配置できます。リンク障害や容量ニーズに対してサービス継続性が強化されます。

Active-Activeノード間のVIP分散

大規模デプロイメントでは、一部のVIPが1つのノードでアクティブで、他のものがピアで動作できます。両デバイスがライブトラフィックを担い、1つのノードが障害を起こすと正常なノードがフルVIPセットの所有権を取得します。

Namespaceベースのテナントネットワーク分離

マルチテナント環境では各テナントを独自のnamespace内に配置できます。VIPはそのnamespaceに属するものとして定義され、テナントトラフィックはネットワークプレーンで分離されます。

参照元

この機能を扱う記事、分析、ガイド。

1

よくある質問

TR7はどのインターフェースタイプをサポートしますか?
TR7は7つのインターフェースタイプをサポートします:Ethernet、VLAN、Bond、LACP、V-ETH、V-ETH(peer)、Bridge。各タイプは独自の設定オプションで定義され、Bond上のVLAN、Bond上のLACP、またはBridge内のV-ETHなどのレイヤード構成はすべてモデリングできます。
clusterIpMethodとは何で、どのオプションがありますか?
clusterIpMethodは各VIPのフェイルオーバー決定を駆動するシグナルを決定します。4つのオプションがあります:vrrp(クラシックなVRRPプロトコルのみ)、link(物理インターフェースキャリア状態)、gw(ゲートウェイ到達可能性)、link+gw(両方のシグナルを一緒に)。これにより重要なVIPはデバイスの生存状態だけでなく、実際のネットワーク到達可能性に基づいて移動できます。
Active-Active VIP分散はどのように機能しますか?
インターフェースごとに2つのVRRPスロット — MASTERとBACKUP — が定義されます。Active-Active設定では1つのノードがマスターVIPリストを所有し、ピアがバックアップリストを所有します。ノードが障害を起こすと、正常なノードが両方のVIPセットを引き継ぎます。このモデルにより両デバイスが常時ライブトラフィックを担います。
IPv4とIPv6 VIPは同時に実行できますか?
はい。TR7はIPv4とIPv6アドレスファミリーを同一のVIP管理モデルで一緒に処理します。同一のインターフェースまたはサービスでv4とv6アドレスを並行して実行できます。ゲートウェイヘルスチェックもアドレスファミリーごとに分離できます。
VIPフェイルオーバー中にネットワークトラフィックはどのようにリダイレクトされますか?
フェイルオーバー中、TR7はgratuitous ARPを送信してネットワーク側のスイッチMACテーブルを更新します。これにより新しくアクティブになったノードへのL2レベルのトラフィックリダイレクトが迅速に行われます。同一サブネット内のVIPトランジションで特にサービス中断時間を削減します。
ユニキャストVRRPはいつ使用すべきですか?
モダンなデータセンターネットワークでは、マルチキャストトラフィックはしばしばフィルタリングされるかサポートされません。TR7はunicast_src_ipとunicast_peerフィールドを通じてVRRPピア通信のためのユニキャストベースアプローチをサポートします。これによりマルチキャスト制限のある環境でクラスターノード間のより予測可能な通信が提供されます。

VIP管理をネットワークトポロジーに統合

7つのインターフェースタイプ、4つのフェイルオーバーメソッド、クラスター全体のVIP所有権。お客様の環境でライブセットアップをご案内します。