ニフティクラウドご利用者向け‚¢クセスを受付するip...

ZNW17ISD-TCN026

ニフティクラウドご利用者向け

Pulse Virtual Traffic Manager セットアップ手順書

図研ネットウエイブ株式会社

2017年 8月 ver.6.0

ZNW17ISD-TCN026

Copyright © Zuken NetWave, Inc. All right Reserved.

2

目次

1．本書の目的 .................................................................................................................................................. 5

2．ニフティクラウドでの動作 ............................................................................................................................. 6

１) ニフティクラウド内での動作 ...................................................................................................................... 6

２) 1台構成の動作 ........................................................................................................................................ 6

３) 2台(冗長)構成の動作 ................................................................................................................................ 7

４) ワンアーム構成 ........................................................................................................................................ 7

５) トランスペアレント動作 ............................................................................................................................ 7

６) NAT動作 ................................................................................................................................................ 8

3．設定の流れ .................................................................................................................................................. 9

１) 設定の流れ .............................................................................................................................................. 9

２) ライセンス申込み ..................................................................................................................................... 9

３) マルチ IPアドレス申し込み ...................................................................................................................... 10

4．仮想サーバーの作成 .................................................................................................................................... 11

１) イメージ選択 ......................................................................................................................................... 11

２) サーバータイプ選択 ................................................................................................................................ 11

３) サーバー設定 ......................................................................................................................................... 12

４) バックエンドノードの作成 ....................................................................................................................... 13

５) オープンポート ...................................................................................................................................... 14

5． Virtual Traffic Managerの初期設定 ............................................................................................................... 15

１) 管理画面へのアクセス ............................................................................................................................. 15

２) ネットワーク設定 ................................................................................................................................... 16

３) 表示ホスト名の変更 ................................................................................................................................ 17

ZNW17ISD-TCN026


3

４) UUIDの変更 ......................................................................................................................................... 19

５) ログ設定 ............................................................................................................................................... 19

６) ライセンス設定 ...................................................................................................................................... 20

７) ライセンス期限切れ ................................................................................................................................ 21

6． Cluster（冗長化）設定 ................................................................................................................................ 23

１) Cluster構成 .......................................................................................................................................... 23

２) Traffic IP Networkの設定........................................................................................................................ 26

３) Traffic IP Groupsの設定 ......................................................................................................................... 27

7． Virtual Traffic Managerの設定..................................................................................................................... 29

１) 負荷分散サービスの設定 .......................................................................................................................... 29

(a) サービス設定 ..................................................................................................................................... 29

(b) Virtual Server設定 ............................................................................................................................. 32

(c) Pool設定 .......................................................................................................................................... 40

２) SSLオフロード設定 ................................................................................................................................ 50

(a) サーバ証明書 ..................................................................................................................................... 50

(b) 中間CA証明書 ................................................................................................................................... 54

(c) Poolの手動作成.................................................................................................................................. 54

(d) Virtual Serverの手動作成 .................................................................................................................... 55

(e) SSL Decryption設定 .......................................................................................................................... 55

３) クライアント証明書の利用 ....................................................................................................................... 56

４) フォルトトレーランス設定 ....................................................................................................................... 58

５) コネクション解析 ................................................................................................................................... 60

６) SNMP設定 ............................................................................................................................................ 61

ZNW17ISD-TCN026


4

8．よくある質問 ............................................................................................................................................. 64

１) アクティブ－スタンバイの手動切替え ......................................................................................................... 64

２) 通信断 .................................................................................................................................................. 64

３) DNS解決エラー ..................................................................................................................................... 65

４) Cluster Error ......................................................................................................................................... 65

５) ノードフェイル ...................................................................................................................................... 65

６) SSL暗号化スィートの設定 ....................................................................................................................... 66

７) SSLコネクションエラー .......................................................................................................................... 68

9．サポート ................................................................................................................................................... 69

１) サポート窓口 ......................................................................................................................................... 69

２) サポート範囲 ......................................................................................................................................... 69

３) サポート終了 ......................................................................................................................................... 70

４) サポートサイト ...................................................................................................................................... 70

補足1：Rule設定のサンプル ................................................................................................................................... 73

例1：Redirect ................................................................................................................................................... 73

例２：Change HTTP .......................................................................................................................................... 73

例３：Choose Pool ............................................................................................................................................. 74

例４：URLパスの否定条件 ................................................................................................................................... 74

例5：URL PathとRaw URLの違い ...................................................................................................................... 75

例6：リライト ................................................................................................................................................... 75

ZNW17ISD-TCN026


5

1．本書の目的

本書はニフティクラウド環境においてL7LB Pulse Virtual Traffic Manager (略称：vTM、旧製品名：Brocade Virtual Traffic

Manager) の構築を行うためのファーストステップガイドです。

配布及び内容の一部または全体の複製、ニフティクラウドにてL7LBのサービスをご利用中以外のお客様のご利用は固くお断りし

ております。

本書の内容とメーカー提供のマニュアル、ソフトウェア内のヘルプの説明が異なる場合、メーカー提供のマニュアル、ソフトウェ

ア内のヘルプの内容が優先されます。

図研ネットウエイブがサポートを提供する範囲はPulse Virtual Traffic Managerの部分のみとなります。

図研ネットウエイブではニフティクラウド基盤と関連する機能の設定、対応、Google 等の検索エンジンで検索可能な一般的な

Linuxコマンド操作、設定についてのサポート、対応は行っておりません。

ニフティクラウド様対応範囲につきましてはニフティクラウド様のFAQをご確認ください。

http://cloud.nifty.com/cs/catalog/cloud_faq/catalog_170112002889_1.htm

ニフティクラウド環境の設定につきましてはニフティクラウド様のFAQついてもご確認ください。

ご質問はニフティクラウド問い合わせ窓口にお送りください。

負荷分散サービス詳細な設定方法、本書掲載外の情報につきましては

・弊社サポートサイト

・メーカー提供のマニュアル

・管理画面から参照可能なヘルプ

にてご確認ください。

Virtual Traffic Managerの設定の説明、対応は有償サービスメニューになっております。設定に関して詳細なご説明をお求めの場

合は有償サービスメニューをご利用ください。

http://cloud.nifty.com/cs/catalog/cloud_faq/catalog_170112002889_1.htm

ZNW17ISD-TCN026


6

2．ニフティクラウドでの動作

１) ニフティクラウド内での動作

負荷分散機能は全てのリージョン、ゾーンで、通常構成（共通グローバル、共通プライベート）、プライベートLANに設定い

ただいくことができます。

２) 1台構成の動作

共通グローバル、共通プライベートの IPアドレスはDCHPで割り当てられます。

グローバル側に複数の IPアドレスを設定する場合はマルチ IPアドレス環境への申込みとなります。

ZNW17ISD-TCN026


7

３) 2台(冗長)構成の動作

共通グローバルを利用した冗長構成では固定 IPアドレスを設定します。ニフティクラウドのマルチ IPアドレスへの申込みを

行います。

マルチ IPアドレス環境ではグローバル側の IPアドレスをインターフェースに手動で設定します。

アクセスを受付する IPアドレスはvTMの設定（Traffic IP Groupsの設定）でコントロールされます。

４) ワンアーム構成

共通グローバルまたは共通プライベートのどちらか一方のネットワークインターフェースを使用した構成にも対応できます。

５) トランスペアレント動作

ニフティクラウドでの基本構成では、接続元からのアクセスを vTMが Proxyし、ノードに設定するバックエンドサーバにア

クセスを渡します。

ノードへのアクセスはvTMの IPアドレスとなります。

ニフティクラウド環境では共通グローバル、共通プライベートなどの2つのネットワーク間にvTMを構成することでvTMを

トランスペアレントで動作させることができます。

vTMをトランスペアレントで動作させることで、ノードへのアクセスがvTMの IPアドレスではなく、接続元の IPアドレス

に変わります。（※トランスペアレント動作でもMACアドレスはvTMのMACアドレスでのアクセスとなります）

トランスペアレントの動作では、ノードのデフォルトゲートウェイを vTM のプライベート側のネットワークインターフェー

スに向けていただく必要があります。

ZNW17ISD-TCN026


8

６) NAT動作

ニフティクラウド環境では共通グローバル、共通プライベートなどの 2つのネットワーク間に vTMを構成している際に、ノ

ードからの外部への通信をvTM経由で行うことができます。

その際、vTMにはオペレーティングシステム側の機能によるマスカレード設定を行います。

マスカレード設定によるNATが動作することでvTMを経由してノードから外部への通信が行われます。

NAT動作ではノードのデフォルトゲートウェイにvTMのプライベート側のネットワークインターフェースのIPアドレスに設

定してください。

NAT設定ではご利用状況が過多の場合に通信障害が発生することがございます。

事前にTCPのチューニング設定を実施ください。

チューニング項目、設定値につきましては弊社サポートサイト内の技術情報、「TCP パラメータのチューニング」にてご確認

ください。

※負荷分散設定におけるレスポンスはNATが不要です。

ZNW17ISD-TCN026


9

3．設定の流れ

１) 設定の流れ

以下が設定フローのイメージになります。

2台以上のクラスタを構成される場合、vTMへの設定はクラスタ構成後の設定を推奨しています。

Virtual Server、Poolのパラメータ設定、vTM自身の設定はノードで提供するアプリケーションの動作や接続元からのアクセ

スを考慮しながら実施しなければならないことがあります。

２) ライセンス申込み

ニフティクラウドにてvTMのライセンスを申込みします。

ライセンスにはご利用の IPアドレス情報が必要となります。

2台（冗長）構成でのご利用時にはvTMの仮想サーバー作成後に IPアドレスを変更します。

ライセンスの申込みはご利用の IPアドレスの情報を確認したうえで実施ください。

ZNW17ISD-TCN026


10

申込み方法はニフティクラウドにお問合せください。

３) マルチ IPアドレス申し込み

2台（冗長）構成でのご利用時にはニフティクラウドマルチ IPアドレス環境の申し込みを行います。

ニフティクラウドマルチ IPアドレス環境に申し込み後、ニフティクラウドからお客様へネットワーク設定に関する情報がメ

ールで通知されます。

メールに記載されている情報を基にvTMの仮想サーバーのネットワークインターフェースにスタティックのIPアドレスの設

定を行います。

申込み方法はニフティクラウドにお問合せください。

ZNW17ISD-TCN026


11

4．仮想サーバーの作成

※ニフティクラウドコントロールパネル上の表記は「サーバー」です。

ニフティクラウドのコントロールパネルのサーバーメニューからサーバー作成を行います。

ニフティクラウドコントロールパネル上のコピー機能などを使用したサーバー作成で実施しますと通信障害や動作エラーが発生す

ることがあります。

設定の修正、変更に手間がかかるため、弊社ではサポートしておりません。冗長構成時など必要な仮想サーバーの台数分、コント

ロールパネルのサーバーメニューからサーバー作成を行ってください。

１) イメージ選択

イメージ選択にて、プルダウンからパブリックイメージを選択し、一覧からPulse vTM**を選択します。

２) サーバータイプ選択

ゾーンとサーバーのタイプを選択します。

vTMの要件はvCPU:1以上、メモリ2GB以上です。

SSL処理性能を求める場合、トラフィック量が多い場合はvCPU、メモリ量が多いタイプを選択します。

ZNW17ISD-TCN026


12

推奨スペックにつきましては、ニフティクラウド内の L7ロードバランサー（vTM）仕様・機能の説明ページに推奨サーバー

の参考資料が掲載されております。

http://cloud.nifty.com/service/l7lb.htm

また、必要なスペックに関するご質問はニフティクラウドお問合せ窓口 (http://cloud.nifty.com/inquiry/) までお問合せ

ください。

３) サーバー設定

サーバー設定を行います。

サーバー名、料金プラン、SSHキー、ファイアウォール設定などを行います。

ファイアウォールの設定はサーバー作成後でも適用することができます。

スクリプトは「使用しない」を選択します。

PVLANのみでご利用の場合は、グローバルの IPアドレスを「利用しない」に変更してください。

http://cloud.nifty.com/service/l7lb.htm

http://cloud.nifty.com/inquiry/

ZNW17ISD-TCN026


13

確認画面にて「作成する」をクリック後、サーバーの作成が開始されます。

作成が完了すると、サーバーメニュー内の一覧にてステータスがオンラインの表示に変わり、IPアドレスが付与されます。

４) バックエンドノードの作成

バックエンドノードのサーバータイプはvTMを作成したサーバータイプ以上のタイプを選択してください。

vTMは受け取ったトラフィックを全てバックエンドノードに渡します。

デフォルト設定ではvTMはトラフィックをノードに渡す時点で帯域の制限は行っていません。

ノードを1台で設定する場合、複数のポートを使い分け、複数のノードを設定する場合は特にノードの性能不足によるレスポ

ZNW17ISD-TCN026


14

ンス問題が発生しないよう、ノード側のサイジング、チューニングを実施ください。

５) オープンポート

vTMを起動させると必要な通信ポートはオープンした状態となります。

必要な通信ポートへのアクセスが出来ない場合、vTM自身のエラー、フェイルオーバーなどが発生し、動作に支障をきたすこ

とがあります。

TCP/22 SSH

TCP/53、UDP/53 DNS

TCP/443

TCP/9060、UDP/9060 Java ※利用時

TCP/9070 REST API ※17.2から有効

TCP/9080、UDP/9080 Cluster監視用

TCP/9090 管理画面アクセス、コンフィグ同期

UDP/9090 ハートビート

UDPランダムポートコンフィグ同期

ICMP

このほかに負荷分散サービスを設定するポートがオープンした状態となります。

デフォルトではvTMが持つ全てのインターフェースで上記の通信が必要となります。

ニフティクラウドではオペレレーティングシステム上の設定等により上記以外のポート番号がオープンした状態となることが

あります。

ZNW17ISD-TCN026


15

5． Virtual Traffic Managerの初期設定

１) 管理画面へのアクセス

管理画面へのアクセスは https://<グローバル IP＞:9090 でアクセスすることができます。

デフォルトの ID、パスワードは

ID:admin ／Password:admin

です。

adminのパスワードは必ず変更したうえでご利用ください。

【adminパスワード変更方法】

管理画面にログインし、System＞Usersメニューにアクセスします。

Local Usersのadminを選択し、Passwordの項目で新しいパスワードを設定します。

設定後、Apply ChangesのUpdateをクリックします。

ZNW17ISD-TCN026


16

尚、adminアカウントは削除できません。

SSH等のリモートアクセスの方法についてはニフティクラウドのマニュアル、FAQでご確認ください。

ご不明な場合はニフティクラウド問い合わせ窓口まで問い合わせください。

２) ネットワーク設定

vTMの仮想サーバーを作成するインターフェースはDHCPで設定されています。

マルチ IPアドレス環境の設定、NTP、iptablesの設定は必要に応じて、お客様自身で設定を行います。

Cluster設定、VIP (Traffic IP Address) の設定を利用するにはニフティクラウドマルチ IPアドレス環境の申し込みを行い

ます。ニフティクラウドマルチ IPアドレス環境に申し込み後、ニフティクラウドからお客様へネットワーク設定に関する情

報がメールで通知されます。

通知されたメールの内容を基に、他の設定を実施する前に仮想サーバーのインターフェースの設定を変更し、IPアドレスを設

定します。

IPアドレスの設定はお客様自身にて実施いただく作業となります。

設定方法につきましては、ニフティクラウドのサポート窓口にお問合せください。

ネットワーク設定が正しく行われてない場合、ネットワーク動作やCluster構成時に不具合が生じます。

設定後、ニフティクラウド外から設定した固定 IPアドレスに対してPingやSSHでアクセスを確認します。

また仮想サーバーのリブートを行うなど、再起動時でもネットワーク設定が正しく読み込まれるかをご確認いただくことをお

勧めします。

■ネットワークエラーについて

以下のようなネットワークエラーについてはニフティクラウドの窓口まで問い合わせください。

・インターフェースに設定された IPアドレスと確認コマンド実行時の結果が異なる

ZNW17ISD-TCN026


17

・仮想サーバーを作成されたゾーンの割当てと異なるマルチ IPアドレスの設定を行った

・再起動するとインターフェースが起動しない

・ファイアウォールで制限をしていないにも関わらず、外部からのPingがエラーとなる

３) 表示ホスト名の変更

vTMを起動しますと、ホスト名は localhost.localdomainで起動します。

vTMに設定されるホスト名を変更し、DNSでホスト名が解決できるようにします。

DNSでホスト名が解決できない場合は、クラスタ構成実施時にエラーが発生することがあります。

オペデーティングシステム上のホスト名、DNS設定に関係するファイルを全て修正し、Traffic Managerが認識／表示するホ

スト名を変更します。

■vTMの認識／表示するホスト名の変更方法

SSH、またはコントロールパネルからのアクセスでvTMの仮想サーバーにログインします。

コマンド操作にて

# /usr/local/zeus/zxtm/configure

を実行します。

表示メッセージに合わせて以下のように入力します。

# /usr/local/zeus/zxtm/configure

1. Quit (default)

2. Perform the post-install configuration again

3. Clear all configuration

H. Help

Choose option [1]: 2 を入力します。

1. Keep the current traffic manager name (default)

ZNW17ISD-TCN026


18

2. Specify a new resolvable hostname

3. Use an IP address instead of a hostname

Choose option [1]: 2 を入力します。

Please enter the new name for the traffic manager

[localhost.localdomain]: ホスト名を入力します。

'123.xyz.com (入力したホスト名)' is not resolvable. Are you sure you want to use this as the traffic manager name?

[y/N]:

Yを入力します。

Enter the license key filename, or leave blank for developer mode:

Enterを入力します(正規ライセンスをインポートしたのちは表示しません)

Choose a UNIX user for the zxtm process to run as [nobody]:

Enterを入力します

Choose a UNIX group for the zxtm process to run as [nobody]:


Would you like to restrict vTM Traffic Manager management to one IP? Y/N [N]:


Would you like vTM Traffic Manager to start at boot time? Y/N [Y]:


You are currently in a SteelApp Traffic Manager cluster containing the following machines:

123.xyz.com (ホスト名が表示します)

Would you like to join a new cluster? Y/N [N]:


Would you like to register this vTM with a Services Director? Y/N [N]:


（このメッセージはver.10.4r1以降で表示します）

実施後、/usr/local/zeus/zxtm/log/statd に移動します。

設定したホスト名でフォルダが作成されていることを確認し、localhost.localdomain名の古いフォルダを削除します。

・管理画面ログイン時のホスト名

ZNW17ISD-TCN026


19

・Traffic Managerアイコンのホスト名

・右上のホスト名

これらの表示名称が変わります。

４) UUIDの変更

仮想サーバーの IPアドレスをDHCPから IPアドレスを固定 IPに変更された場合は、必ずUUIDの再生成を実行してくださ

い。

プライベートLANを設定される場合もUUIDを再生成してください。

UUIDの情報は、Systems＞Traffic Managers＞Manage [ホスト名]メニューの一番下の項目にあります。

項目のRegenerateボタンをクリックし、ご利用する全てのTraffic Managerにて同じUUIDが利用されないようにします。

この操作はClusterを構成する前に実施してください。

５) ログ設定

17.2の vTMのパブリックイメージには初期設定でオペデーティングシステムの /etc/logrotate.d 配下にイベントログ、

認証のログ、操作ログ、管理画面へのアクセスログなどをローテートする設定をしています。

【ファイル】

stm-errorlog stm-auditlog stm-adminaccess stm-adminerrorの4ファイル

【設定内容】

サイズ：100MB、10世代

圧縮あり

ZNW17ISD-TCN026


20

Virtual Serverのロギングはデフォルトで無効です。

Virtual Serverの設定を実施したのち、リクエストロギングを有効にすることでログファイルが作成されます。

Virtual Serverのログはお客様自身でローテートを設定してください。

vTMは空き容量が不足しますと動作、処理に影響が出ることがございます。

ログファイルが肥大化し、空き容量が不足しないようローテートを設定してください。

設定されている複数のVirtual Serverにてリクエストロギングを設定されますと自身への負荷となることがあります。

DISK I/Oによる負荷、DISKへのログ書き込み遅延などが発生することがあります。

６) ライセンス設定

vTMの動作には1台毎にライセンスファイルが必要となります。

ライセンスには稼働するvTMのIPアドレス情報が必要です。ライセンス申込時に申請された IPアドレスへはvTM機器外か

ら通信が出来るインターフェースに設定されていなければなりません。

ループバックインターフェースに設定された IPアドレスはライセンス申請に利用できません。

vTMの IPアドレスが変わると利用中のライセンスは無効になります。

ご利用の仮想サーバーの IPアドレスの変更が生じた場合はライセンスの変更をニフティクラウドの窓口にご連絡ください。

Cluster構成ではマルチ IPアドレスでのご利用となります。

マルチ IPアドレス環境では仮想サーバー作成直後の IPアドレスから変更された IPアドレスとなります。

ライセンス申し込み時にはニフティ様から通知されたマルチ設定環境の内容をご確認のうえ、お申込みくいださい。

■ライセンスインポート方法

System＞Licenseメニューにアクセスします。

ZNW17ISD-TCN026


21

Key Fileのファイルを選択をクリックし、ライセンスファイルを選択します。ライセンスファイル選択後、Install keyをクリ

ックします。

ライセンスは動的に切替わります。

vTMの再起動、サービスのリスタートは発生いたしません。

７) ライセンス期限切れ

ニフティクラウドでは年1回、毎年2～3月頃にライセンスを更新する必要があります。

ライセンスを更新しない場合、3月31日でご利用帯域のライセンスが使用できなくなります。

ライセンスの期限が切れますと、Developerモードでの運用（帯域1Mbps）に切り替わります。

新しいライセンスは毎年2月を目途にニフティクラウドからご利用中のお客様に対して送付されます。

新しいライセンスは自動適用されませんのでお客様ご自身で適用いただく必要があります。

AlertingのEvent TypeにてLicense Key Problem を設定し、メール通知やSNMP Trapを設定いただきますと、期限切れ

の90日前、60日前、30日前、15日前、7日前にアラートを送信することができます。

ZNW17ISD-TCN026


22

ZNW17ISD-TCN026


23

6． Cluster（冗長化）設定

Cluster構成ではアクティブースタンバイ構成となります。アクティブーアクティブの構成には制約があります。

■アクティブ－アクティブ時の制約

・Clusterを構成するvTMが4台以上

・HTTPS（SSLオフロードまたはHTTPSの負荷分散）のみ

・ノード側の設定追加

このため、日本国内では通常サポート外としております。

ホスト名、DNS設定、マルチ IPアドレス環境の設定のほかにNTPに関する設定を実施しますとCluster構成を行う準備が完了と

なります。

１) Cluster構成

管理画面右上のWizardsメニューから Join a Cluster を選択します。

“Join a Cluster” のデフォルト操作ではCluster構成を行うと操作側マシンの設定が相手側によって上書きされます。Service

等の設定はClusterを構成後に実施してください。

ZNW17ISD-TCN026


24

1. Getting Started にてSelect existing clusterを選択しNextをクリックします。

2. Cluster selection

Clusterを構成する相手を選択し、Nextをクリックします。

3. Authentication

Certificateにチェックを入れ、相手のadminパスワードを設定します。

設定後Nextをクリックします

ZNW17ISD-TCN026


25

4. Additional Settings

接続方法を選択します。

Yes, and allow it to host Traffic IPs immediately

→ Activeとして接続します

この設定を選択しますと、Passive（Standby）側のコンフィグが上書きされます

Yes, but make it a passive machine

→ Passive（Standby)として接続します

No, do not add it to any Traffic IP groups

→ 管理画面への統合はできますがVIPに対するActive-Standbyの構成にはなりません

選択後、Nextをクリックします

ZNW17ISD-TCN026


26

5. Summaryにて、Finishをクリックします。

管理画面上にCluster構成されたvTMが構成台数分表示します。

Cluster 構成では、負荷分散設定など、サービスに関する設定はアクティブ側、スタンバイ（Passive）側どちらから設定し

ても相手に反映されます。

２) Traffic IP Networkの設定

Services＞Traffic IP Groups＞Traffic IP networks＞Network Settingsをクリックします。

Add network: VIPのネットワークアドレス

Default Interface: VIPを設定するインターフェース

を設定します。

設定後、Apply ChangesのUpdateをクリックします。

ZNW17ISD-TCN026


27

Traffic IP Networksの設定は、VIPを利用する各セグメント、インターフェース毎に設定してください。

３) Traffic IP Groupsの設定

Services＞Traffic IP Groups メニューのCreate a new Traffic IP Group にて設定します。

Name：設定名称

Passiveの選択：Passive(スタンバイマシン)を指定

※複数のTraffic IP Groupsを設定する場合は全てのTraffic IP Groupsにて同じ設定にします。

※Passiveを選択しない場合、複数のTraffic IP Addressを利用する際に関連するTraffic Managerが固定されな

いことがあります。

IP Addresses：VIPとする IP Address

IP mode (※利用ライセンスによって表示が異なります)

選択肢がある場合、Raise each address on a single machine (Single-Hosted mode) を選択

を設定します。

Create Traffic IP Groupsをクリックします。設定後はTraffic IP Groupsに追加されます。

Traffic IP Groupsで設定した IP Addressでサービスにアクセスできるようになります。

グローバル側、プライベート側にそれぞれTraffic IP Groupsを構成する場合は、Passiveに設定するvTMを同じマシンにし

ZNW17ISD-TCN026


28

てください。

Traffic IP Groups毎に異なるマシンをPassiveに設定しますと通信に影響が出る場合があります。

■アクティブ側の確認方法

Cluster構成では以下の方法でアクティブ側のvTMを確認することができます。

管理画面での確認 VIPの IPアドレスを使用し管理画面にアクセスします。

表示したマシンがアクティブになります。

OS(Linuxコマンド) “ip addr show” コマンドで VIP がセカンダリで表示するマシンがアクティブになりま

す。

zcli(vTM CLI) zcliモードで “show trafficip“を実施し、”IPs Raised:” で表示したマシンがアクティブ

になります。

アクティブの確認方法例

secondary の表記があるマシンがアクティブになります。

■zcliモードの利用方法

SSH等でログイン後、/usr/local/zeus/zxtm/bin/zcli を実行します。zcliモードはexitで終了します。

ZNW17ISD-TCN026


29

7． Virtual Traffic Managerの設定

１) 負荷分散サービスの設定

(a) サービス設定

Service作成とは負荷分散サービスの作成を意味します。

負荷分散サービスは Pools、Virtual Serverと手動で設定する方法がありますが、ここでは、ウィザードを利用した設定

方法を紹介します。

ウィザードの利用は管理画面右上のWizardsからManage a new Serviceをクリックします。

1．Manage a new Serviceで Nextをクリックします。

ZNW17ISD-TCN026


30

2．Specify the service

①Name（名前）、②Protocol（プロトコル）、➂Port（ポート番号）

を入力します。

完了後、Nextをクリックします。

ここで入力した名前は管理画面上のServicesで表示する名称になります。

Nameに2バイト文字を使用することは推奨しておりません。2バイト文字のご利用は障害時の調査に支障をきたすこと

があります。

日本語で設定を分かりやすく管理されたい場合はVirtual Server、Poolsの各設定のNotesの項目に記載してください。

3. Specify the back-end nodes

バックのノードの

ZNW17ISD-TCN026


31

①Hostname（ホスト名または IPアドレス）、②Port（ポート番号）

を入力し、”Add Node”をクリックします。

Nodesの項目に入力したノードが追加されます。全てのノードを設定後、Next をクリックします。

4.Summary

設定内容を確認します。問題がなければ Finish をクリックします。

管理画面のServicesの項目に追加されます。

ここまでの設定で負荷分散の基本動作を確認することができます。

クライアントからTraffic Managerのインターフェースに設定した IPアドレスやTraffic IP Groupsに設定した IPアド

レスにアクセスして確認します。

Virtual Serverの設定では同じ IPアドレスに同じポート番号を割り当てるとエラーになります。

vTM 内でオペレーティングシステム上の FTP や postfix など、他のサーバ機能を設定している場合は、Virtual Server

で同一のService（ポート番号）が設定できません。

※Wizardsで設定されたServicesのデフォルト

－Virtual Server

Listening on：All IP addresses

ZNW17ISD-TCN026


32

－Pool

Load Balancing：Round Robin

Health Monitoring：Ping

passive_monitoring：Yes

Session Persistence(セッション維持方式)：None

SSHやProxyサーバなどのVirtual Serverを設定する場合はProtocolに Generic Server First や Generic Client

First を選択します。

詳しくはユーザマニュアル、サポートサイト内の技術情報を参照してください。

(b) Virtual Server設定

ウィザードで作成したVirtual Serverの設定を調整します。

Services＞Virtual Servers＞Virtual Server名をクリックします。

① Listenの設定

Basic Settingsの項目にあるListen onではトラフィックを取得する IPアドレスを設定します。

All IP Address Traffic Mangerに設定されている全ての IPアドレスでアクセスする

ことができます

Traffic IP Groups Traffic IP Groupsに設定された IPアドレス（Traffic IP Address）で

のみアクセスすることができます

Domain names and IP Address… 特定のインターフェースに設定されている複数の IP アドレスから１

つを指定してアクセスする場合に選択します

Virtual Serverの設定では、同じListen Onの設定で同じポート番号を指定することが出来ません。

ZNW17ISD-TCN026


33

例えば、

Traffic Managerの IPアドレス：192.168.0.101

Traffic IP Groupsの IPアドレス：192.168.0.201

となっている場合、

既に192.168.0.101にてHTTP（80）のVirtual Serverを設定している場合、All IP Addressの設定にて同

じHTTP(80)のVirtual Serverを設定することはできません。その場合はListen onをTraffic IP Groupsに変

更し 192.168.0.201を設定しているTraffic IP Groupsを選択します。

② X-Forwarded-For設定

X-Forwarded-For をヘッダーに挿入するには、Services＞Virtual Server＞Virtual Server 名＞Protocol

Settings＞HTTP-Specific Settingsにアクセスします。

add_x_forwarded_for の設定をYesにします。

③ Timeout設定

Virtual Serverにて設定する timeout設定は接続端末ーvTM間のタイムアウト設定です。

ZNW17ISD-TCN026


34

Services>Virtual Servers＞Virtual Server名＞Protocol Settings>Timeout settingsメニューで設定します。

Connect_timeout 新しいコネクションからのデータを待つ時間を設定します

Keepalive_timeout HTTPの場合に表示します。

アイドル状態のkeepaliveのタイムアウトを設定します

timeout 既存コネクションがデータを受信しない場合に接続を閉じる時間を設定します

これらの値はノードで動作するアプリケーション、接続元などシステム設計等を踏まえて調整を実施します。

④ Request logging

Request Logging のメニューでVirtual Serverへのアクセスをロギングすることができます。

Services＞Virtual Server＞Virtual Server名＞Request LoggingのメニューにてRequest Logging to Fileの

log!enabledをYesに設定します。

ZNW17ISD-TCN026


35

この設定によりTraffic Manager内にはVirtual Serverのアクセスログが保存されますが、ファイルのローテー

ト、アーカイブは行われません。

お客様自身でローテート、アーカイブを設定いただく必要があります。

ログローテート、アーカイブ設定はオペレーティングシステム側の設定です。弊社のサポート範囲ではございま

せん。

※log!format の設定にてカスタムマクロを設定しますと毎日ログファイルを作成するローテートを設定す

ることができますが、アーカイブは実施されません。

設定されている複数のVirtual Server全てでRequest Loggingを有効にしますと、DISK I/O負荷となり、動

作に影響が出ることがあります。

この図の例では、1台のvTM上に3つのVirtual Serverを設定しています。

Virtual Serverはそれぞれ2台のノードが構成されているPoolに関連付けされています。

ZNW17ISD-TCN026


36

全てのVirtual ServerにてRequest LoggingをYesにすると、vTM上にログが保存されます。

ノード側でもアクセスログを取得しているとすると、ノード 1台相当のログに対して 6倍の記録が vTM上で行

われます。

vTMが6倍の負荷を処理できる能力（性能）がない場合、ログの書き込み遅延等が発生します。

この問題はご利用環境に依存しますので、弊社では設定を無効にするという案内以外の対応は出来ません。

ご利用環境に依存する質問につきましては弊社では回答の提示ができません。ニフティクラウドの問合せ窓口に

ご質問をお送りください。

⑤ ソーリーページ

vTMではノードがダウンしPoolが動作しない場合にソーリーページを表示させることができます。

ソーリーページの設定は Services＞Virtual Servers＞Virtual Server 名＞Protocol Settings＞Connection

Error Settingsメニューのerror_fileの項目で設定します。

Protocol Default Traffic Manager内に持つデフォルトのページ（Service Unavailable）

を表示させます

ファイル名 Catalogs＞Extra Filesでアップロードされたカスタマイズページを表示

させます

Protocol Default

(Headers Only）

内部サーバエラー、HTTP ERROR 500を表示させます

Close Connection ・このページは表示できません

・ERR_EMPTY_RESPONSE

・接続がリセットされました

などが表示します

ZNW17ISD-TCN026


37

ソーリーページによるメッセージはHTTP以外でも表示させることができます。

カスタマイズページのファイルを Catalogs＞Extra Files＞Miscellaneous Files メニューからファイルをアッ

プロードします。

カスタマイズページには JPG 等のファイルを設定することができますが、ページファイル内に画像ファイルを

Base64フォーマットで記述しなければなりません。

⑥ Rule作成

Ruleはトラフィック処理ルールを設定するメニューです。

STM1000以上のライセンスではTraffic Scriptという条件分岐などの構文で指定するなど条件の複雑なルールを

設定することができます。

TrafficScriptで利用可能な項目はTraffic Scriptガイドに記載されています。

TrafficScript の記述方法について、サンプルは弊社サポートサイト内に掲載していますが、条件文等の記述方法

はサポート対象外となっています。

Virtual ServerへのRuleの反映は3つの方法があります。

Request Rules リクエストがPoolsに送信される前にルールを適用

Response Rules ノードがリクエストに応答した後、ルールを適用

ZNW17ISD-TCN026


38

Transaction Completion Rules トランザクションの完了時にルールを適用

1つのVirtual Serverに設定されたRuleが複数ある場合、上から順番にチェックを行い、ルールを適用します。

但し、以下のRuleが適用された場合は、以降のRule適用を行いません。

・Drop Connections

・HTTP redirect

・Change HTTP site

・Choose Pool

設定されたRuleの順番は、Rule名称の左側をドラッグすることで上下に移動させ適用順番を変更することがで

きます。

【Ruleの設定方法】

ここではRuleBuilderを使用した設定を説明します。

Catalogs＞Rule メニューのCreate new ruleにてName:を指定し、Create Rule をクリックします。

STM1000シリーズ以上のライセンスを利用している場合は、Use RuleBuilderを選択します。

RuleはCondition（条件）とAction（実行）で構成されます。

Conditions、Actionsともに右側のメニューから項目を選択します。選択した項目に対して、値を設定します。

ZNW17ISD-TCN026


39

Rule設定のサンプルは弊社サポートサイト内に掲載しています。

「【Rule】」というキーワードで検索することができます。

また本ドキュメントの補足1にサンプルを掲載しています。

ニフティクラウド上のvTMパブリックイメージには、あらかじめRuleのサンプルを設定しています。ご活用く

ださい。

⑦ Rule適用方法

作成したRuleをVirtual Serverに割当てします。

Services＞Virtual Server＞Virtual Server名＞Rulesにアクセスします。

Request RulesまたはResponse RuleでAdd ruleのリストからRuleを選択し Add Rule をクリックします。

ZNW17ISD-TCN026


40

⑧ アクセス上限

17.2からVirtual Serverへのアクセス数の上限を設定できるようになりました。

設定はServices＞Virtual Servers＞Virtual Server名＞Protocol Settings＞TCP Connection Settingsメニュ

ーのmax_concurrent_connectionsの項目で設定します。

0（ゼロ）以外の値を設定することで接続数の上限となります。

(c) Pool設定

ウィザードで作成したPools の設定を調整します。

Services＞Pools＞Pool名をクリックします。

① IPトランスペアレント

トランスペアレントは2つ以上のインターフェースを持つvTM上で設定することができます。

複数の IPアドレス設定やVLANにも対応します。

トランスペアレントの設定はServices＞Pools＞Pool名＞IP Transparencyメニューで設定します。

トランスペアレント設定は初期値がNoになっています。

ZNW17ISD-TCN026


41

トランスペアレントをYesに変更した場合、Poolに設定されているノードのデフォルトゲートウェイに vTMの

インスターフェースの IPアドレスを指定してください。

インターフェースに向けない場合はアクセスがエラーとなります。

Cluster構成ではTraffic IP Groupsを作成し、Traffic IP Groupsに設定したTraffic IP Addressをノードのゲー

トウェイに指定します。

またServices＞Traffic IP Groups＞Basic Settingsにてkeeptogetherの設定をYesに設定します。

【ご注意】

FTPの設定ではトランスペアレントを設定することはできません。

② Load Balancing

Load Balancingの設定はデフォルトでラウンドロビンに設定されます。

Weighted Round Robinを選択された場合、Some algorithms require a weighting for each node in the pool.

の項目で重み付けを設定することができます。

例えば、1対4で設定された場合、172.16.0.111が1回リクエスト受けるのに対して172.16.0.112が4回リ

ZNW17ISD-TCN026


42

クエストを受けるという設定になります。

Session Persistence を設定されている場合、Round Robin を設定されても、リクエストを処理するノードは

Session Persistenceの設定、処理に基づき選択されます。

■Load Balancing Algorithm

Round Robin 交互にノードにトラフィックを渡します

Weighted Round Robin 重み付けに従ってノードにトラフィックを渡します

Perceptive 現在のコネクション数とレスポンス時間を組み合わせ、トラフィッ

クの最適な分布を予測します

Least Connections 最小セッション数を持つノードにトラフィックを渡します

Weighted Least Connections 現在接続中のセッション数を重み付けで割り算し、一番小さい値を

持つノードにトラフィックを渡します

Fastest Response Time 直近の数リクエストの応答時間が早いノードを選択しトラフィック

を渡します

Random Node ランダムにノードを選択しトラフィックを渡します

■Priority Listの設定

本書ではファーストステップを目的としているため、Priority Listの設定に関する記載は省略させていただきます。

Priority Listの動作、設定につきましては弊社サポートサイト内の技術情報を参照してください。

ZNW17ISD-TCN026


43

③ Session Persistence

vTMのSession Persistenceではアクセス数で保持量を管理します。

保持時間によるセッション管理ではございませんのでご注意ください。

セッション保持を時間管理で行いたい場合はScriptベースの設定を行う必要があり、STM600シリーズでは設定

できません。

CookieベースのSession PersistenceはTraffic Manager内にセッション維持情報を保持しません。

保持されたセッション情報はTraffic Managerのリスタート、再起動などで消去されます。

Session Persistenceの保持量はキャッシュ設定で設定します。

設定はSystem＞Global settings＞Cache Settingの項目になります。

Cache Settingsの設定を変更するとリスタートを求められます。

※値を0(ゼロ)に設定することはできません。

※vTM内に保存されているセッション保持情報を完全にクリア（削除）するにはTraffic Managerの停止が伴い

ます。

Session Persistenceを設定するには、Services＞Pools＞Pool名＞Session Persistenceのメニューで設定しま

ZNW17ISD-TCN026


44

す。

新規に設定する場合、Choose Session Persistence Classの項目で、Manage Session Persistence Classes を

クリックします。

Create new Session Persistence class メニューでNameを設定し Create Class をクリックます。

Typeから設定するPersistenceを選択します。

STM600シリーズのライセンスでは、選択できるTypeが少なくなります。

■Persistenceタイプ

ZNW17ISD-TCN026


45

IP-based persistence 同じ送信元アドレスから同じ実サーバにリクエストします。

subnet prefix lengthを設定することでセッション維持情報を保持

する IPアドレスを制限させることができます

Universal session persistence

（STM1000以上）

Traffic Script の設定で提供されるデータを使ってセッションを識

別します

Named Node session persistence

（STM1000以上）

Traffic Script の設定で提供されるノードでセッションを識別しま

す

Transparent session affinity クッキー情報を使ってセッションを識別します。

vTM側には情報を保持しません。

Cookieとしてクライアント側で保持します

Monitor application cookies ... アプリケーションクッキーを監視しセッションを識別します。

vTM側には情報を保持しません。

Cookieとしてクライアント側で保持します

J2EE session persistence JavaのJSESSIONID cookieとURLを使用してセッションを識別

します

ASP and ASP.NET session persistence cookie、もしくは URLに埋め込まれているaspの識別子を使用し

てセッションを識別します

X-Zeus-Backend cookies X-Zeus-Backend クッキー情報とノード名でセッションを識別し

ます

SSL Session ID persistence SSLパススルーで選択可能です。

SSL時は IP-based PersistenceとTransparent session affinity

を選択できます

ZNW17ISD-TCN026


46

④ Timeout

Pools側で設定するタイムアウトはvTM－ノード間のタイムアウトの設定です。

Services＞Pools＞Pool名＞Protocol Settings のメニューで設定します。

■Timeoutに関連する設定

TCP Pool Settings>

max_connect_time

Passive Monitoringが有効のときに機能します。

設定時間内にコネクションが確立しなかった場合にリクエストは

失敗したとみなされ、他のノードに接続が切り替えられます

TCP Pool Settings>

max_reply_time

設定時間内にノードからのレスポンスが受信できない場合、リクエ

ストは失敗したとみなされます

TCP Connection Limits and Queueing＞

queue_timeout

ノードに接続できない場合に、リクエストはキューに入りますが

queue_timeoutに設定された時間を超えてキューイングされてい

るコネクションは破棄され、エラー応答を送信します

max_reply_time の設定はHealth Monitoringの設定と関連します。

Health Monitoring の設定値より max_reply_time の値が大きい時、ノードからの応答を待っている間に、

Health Monitoringのタイムアウトによってノードがフェイルと判断されてしまうことがあります。

そのため、

Monitors（ノードのヘルスチェック）> max_reply_time（ノードからの応答を待つ時間）

ZNW17ISD-TCN026


47

（Monitorsのフェイル検知のほうが長い）

または

Monitors（ノードのヘルスチェック）＝ max_reply_time（ノードからの応答を待つ時間）

（Monitorsのフェイル検知と同じくらい）

といったように検知に差がでないように調整します。

設定項目に関する説明はユーザマニュアル、HELP、サポートサイト内の技術情報にてご確認ください。

⑤ Health monitoring

Health monitoring にはPassive MonitoringとActive Monitoringの２つがあります。

Passive Monitoringはリクエストをノードに送信するたびにヘルスチェックを実行します。

Active Monitoringは一定時間毎にヘルスチェックを実行します。

デフォルトの設定はYesです。

・ノードとのコネクションが確立されない

・データ書き込みが完了する前にコネクション断となる

・max_reply_timeの設定時間内にノードからのレスポンスの最初のデータが受信されない

といった状況でノードフェイルを判断します。

Passive Monitoringが無効（Noの設定）では、Active MonitoringとしてMonitorsに設定されている内容で定

期的にノードをチェックします。

MonitorsのTypeには

delay (sec) ヘルスチェックの実施間隔を設定します

timeout (sec) 応答を待つ時間のタイムアウトを設定します

ZNW17ISD-TCN026


48

failures (回) フェイルを検知するヘルスチェックの失敗回数を設定します

の設定があります。

これらの値を調整することでMonitorsの設定によるノードフェイルの検知のタイミングが変わります。

例えば、

delayを【5】秒、timeoutを【10】秒、failuresを【3】回と設定した場合、

TCP ConnectのMonitorではノードとして設定されているポート番号に対して接続が確立できない場合に

ノードフェイルを判断します。

TCPポートに接続が出来ない場合、すぐに結果が得られますので timeoutの時間を待つことはありません。

よって、Monitorsによるチェック開始から10秒でノードフェイルを検知します。

Simple HTTPの場合、HTTPサーバからの応答待ちが発生する状況では40秒でノードフェイルを検知します。

【TCP Connect】

1回目のチェック／接続NG

↓ Delay 5sec


↓ Delay 5sec


||

ノードフェイル検知

【Simple HTTP】

1回目のチェック／応答待ちタイムアウト 10sec

↓ Delay 5sec


↓ Delay 5sec


||

ノードフェイル検知

「④Timeout」にてHealth Monitoringとmax_reply_timeの設定の関連を示しています。

HTTP による Monitors を設定している場合でも、HTTP サーバのノードからのレスポンスに時間を要する時に

max_reply_timeの設定時間よりもHTTPのMonitorsのタイムアウト値が小さいために先にHealth Monitor

ZNW17ISD-TCN026


49

がノードをフェイルと判断してしまうことがあります。

システムの構成によってmax_reply_timeとMonitorsのDelay、Timeout設定の調整が必要となります。

Health Monitoringでは

・Passive MonitoringとMonitorsの２つの設定

・ Monitorsだけの設定

のいずれかを設定してください。

ノードフェイルから復帰した場合でも復帰状態を検知できず、ステータスがフェイルのままとなってしまうこと

があります。

⑥ ノードの復帰判断

何かしらの理由でノードのサービスがダウンするなどでフェイルと検知されたノードに対して、vTMは復帰を確

認するためのヘルスチェックを実施します。

ノードの復帰が確認されるとvTMはノードのステータスをファイルからWORK（復帰）に変更します。

ノードの復帰の確認はPassive Monitoring とActive Monitoringで異なる動作をします。

Poolに2つのノードが設定されている場合、

Passive Monitoringではアクセスが生じると

・1台目はすぐにチェックされ、WORK（復帰）します。

・2台目へのチェックはnode_fail_timeの設定時間経過後となります。

※node_fail_timeの設定はServices＞Pools＞Pool名＞Protocol Settings＞TCP Pool Settingsに項目がありま

す。

Active Monitoringではアクセスが生じなくとも定期的にチェックされる為、1台目、2台目ともにすぐにWORK

（復帰）となります。

ZNW17ISD-TCN026


50

２) SSLオフロード設定

SSLオフロードの負荷分散を設定する場合は、SSLサーバ証明書等の必要な設定後、Wizards機能を使わずに負荷分散の設定

を行います。

(a) サーバ証明書

テスト済みのSSLサーバ証明書 ※2017年7月時点

・サイバートラストSure Server/Sure Server EV

・GMO Global Sign企業認証SSL

・シマンテックセキュア・サーバ ID

・GeoTrust トゥルービジネス ID

・Let’s Encrypt

マルチドメイン、ワイルドカード証明書の利用も可能です。

SSLサーバ証明書は

・vTM内部でCSRを作成し、外部のSSLサーバ証明書発行機関にて発行いただく

・既存または外部で発行済みのSSLサーバ証明書をvTMにインポートする

という2つの方法で設定することができます。

① CSR作成

Catalogs＞SSL> SSL Server Certificates catalog メニューの Create new SSL certificate にて Create

Self-Signed Certificate / Certificate Signing Requestをクリックします。

項目に情報を設定します。

ZNW17ISD-TCN026


51

Subject Alternative Name(s) についてはサーバ証明書発行機関にお問合せください。

Organizational Unit (OU)は“(optional)”となっていますが登録いただくことをお勧めします。

Stateは“(required for US only)”となっていますが都道府県名を入力してください。入力がされていないとSSL

サーバ証明書発行機関において受付されないことがあります。

項目への入力後、Create Certificateをクリックします。

次画面にてCertificate signingのExport CSR / Sign Certificateをクリックします。

Certificate Signing Request (CSR)の内容を全てコピーし、SSLサーバ証明書発行機関に証明書発行を申込みし

ます。

ZNW17ISD-TCN026


52

-----BEGIN NEW CERTIFICATE REQUEST----- から

-----END NEW CERTIFICATE REQUEST----- までが

CSRの内容となります。

② CSRから作成されたSSLサーバ証明書の適用

Catalogs＞SSL> SSL Server Certificates catalogメニューにてCSRを作成された際の設定をEditします。

Certificate signingの項目のExport CSR / Sign Certificateをクリックします。

Replace certificateの項目に証明書発行機関から発行されたSSLサーバ証明書をテキストエディタ等で開き、内

容をコピー&ペーストし、Update Certificateをクリックします。

③ 日本語 JPドメイン用のCSR作成について

日本語 JPドメインの設定はPunycode表記で設定します。

④ インポート用秘密鍵ファイルの変換

既存または外部のSSLサーバ証明書をインポートするにはSSLサーバ証明書のほかに秘密鍵が必要です。

サーバ証明書に対応する秘密鍵がない場合、インポートはできません。

また秘密鍵はそのままインポートできない場合があります。その場合はopensslコマンドを利用し秘密鍵をイン

ポートできる形式に変換します。

vTMでは opensslコマンドを利用することができますので、vTM内に秘密鍵をアップロードし、変換すること

ができます。

■変換方法1

# openssl rsa -in <秘密鍵ファイル> -out <出⼒ファイル>

出力されたファイルを取り出します。

ZNW17ISD-TCN026


53

■変換方法2

# openssl rsa -in <秘密鍵ファイル>

表示された内容のうち、

-----BEGIN RSA PRIVATE KEY----- から

-----END RSA PRIVATE KEY----- までを

コピーしテキストファイル等に保存します。

⑤ 既存、外部のSSLサーバ証明書のインポート

Catalogs＞SSL> SSL Server Certificates catalogメニューの Import SSL certificateにて Import Certificate

をクリックします。

Certificate file に証明書ファイル、Private key file に秘密鍵ファイルを選択し、Name を設定して、Import

Certificateをクリックします。

NameはvTMに既に設定されているSSLサーバ証明書と異なる名称を設定してください。

SSL Server Certificates catalogにインポートされた証明書の設定が追加されます。

ZNW17ISD-TCN026


54

(b) 中間CA証明書

Catalogs＞SSL> SSL Server Certificates catalogメニューにて、SSLサーバ証明書の設定をEditします。

Certificate signingの項目にてUpdate / Add Intermediate Certificateをクリックします。

Certificate fileにてインポートする中間CA証明書のファイルを選択します。

upload Intermediate Certificate をクリックします。

中間CA証明書の設定は SSLサーバ証明書の設定に追加されます。インポートした SSLサーバ証明書以外には適用され

ません。サーバ証明書の設定毎に中間CA証明書を設定してください。

(c) Poolの手動作成

Services＞PoolsメニューにてCreate a new Poolの項目で作成します。

Pool Name 設定名称を入力します。

既に登録されている名称と同じ名称はご利用できません。

Nodes Nodeを設定します。

ホスト名：ポート番号または IPアドレス：ポート番号で入力します。

複数のノードを登録する場合は、カンマで区切ります

Monitors Health MonitorのMonitorを選択します。

ZNW17ISD-TCN026


55

入力後、Create Poolをクリックします。

必要に応じてPool内の他のパラメータ、Protocol SettingsやSession Persistenceなどを設定します。

新規にPoolを作成せずに既に登録されているPools設定をご利用いただくこともできます。

(d) Virtual Serverの手動作成

Services＞Virtual ServersのCreate a new Virtual Serverの項目で作成します。

Virtual Server Name 設定名称を入力します。

既に登録されている名称と同じ名称はご利用できません。

Protocol HTTP、SMTPなどSSLの状態でない方を選択します。

Port 443や465などSSLポートを指定します

Default Traffic Pool Poolを選択します

Create Virtual Serverをクリックします。

作成直後のVirtual serverの設定はEnabledがNoとなり、無効状態となります。

SSL Decryptionの設定後、EnabledをYesに変更し、有効にしていただく必要があります。

(e) SSL Decryption設定

Services＞Virtual Servers＞Virtual Server名＞SSL DecryptionをEditします。

ZNW17ISD-TCN026


56

certificate のDefault CertificatesにてvTM内に設定されているSSLサーバ証明書を選択します。

alt_certificatesの項目にて、異なる鍵タイプのサーバ証明書を追加設定することができます。

例）Default Certificates：【RSA】、alt_certificates：【ECDSA】

証明書の選択後、ssl_decryptをYesに変更し、Apply ChangesのUpdateをクリックし設定を保存します。

３) クライアント証明書の利用

SSLオフロードの設定にはSSLクライアント証明書を使った認証を設定することができます。

弊社では

・サイバートラストデバイス ID

・自己証明書

でテストを行っております。

Catalogs＞SSL＞Certificate Authorities and Certificate Revocation Lists Catalogメニューにて外部機器にて作成した

CAファイルとCRLファイルをインポートすることができます。

ZNW17ISD-TCN026


57

クライアント証明書による認証設定は、Services＞Virtual Servers＞Virtual Server名＞SSL Decryptionの設定で行い

ます。

アクセスが発生した際にクライアント証明書を要求するために、request_client_certをRequire a client certificateに

変更し、認証対象のドメインを指定するためにclient_casにてインポートしているCAの設定を選択します。

Certificate AuthorityにてCA設定にチェックがない場合、クライアント証明書の有無しかチェックしません。

クライアント証明書がサイトと異なるコモンネームのものでも認証がOKとなりSSLサイトへのアクセスができてしまい

ます。

また複数のCAの設定がインポートされていてもチェックされているCAのドメインのみが認証OKとなります。

ZNW17ISD-TCN026


58

４) フォルトトレーランス設定

vTMは1台構成でもゲートウェイ側、ノード側へのPing送信による自身の死活監視を行っています。

Cluster構成では構成されるvTM間で相互にチェックを行います。

また 2台以上の vTMにてClusterを構成した場合、フェイルオーバーからの復帰後、自動でフェイルオーバー発生前にアク

ティブだったマシンに戻すフェイルバックが設定されています。

フォルトトレーランスの設定はSystem＞Fault Tolerance＞Generalのメニューで設定します。

flipper!autofailback フェイルオーバー後の自動切り戻しを設定します

flipper!autofailback_delay 自動切り戻しの時間を設定します。0(ゼロ)を設定するとvTM復帰後、すぐに切り戻しが行

われます

flipper!autofailbackの設定がNoのときは手動による切り戻しが可能です。

手動操作による切り戻しがされるまで、管理画面上には警告メッセージが表示します。

ZNW17ISD-TCN026


59

<ホスト名＞ has recovered from a failure and can take back its Traffic IPs というメッセージになります。

この警告はDiagnose＞Cluster Diagnosisメニューにも表示されます。

（右上のCluster ErrorをクリックするとCluster Diagnosisのメニューにジャンプします）

画面内のReactivate this traffic manager をクリックするとActiveだった側のマシンに切り戻すことができます。

flipper!monitor_interval ・flipper!frontend_check_addrs へのPing

・ノードへのPing

・vTMハートビートの送信

のタイミング（間隔）を設定します。単位は“ミリ秒”です

flipper!monitor_timeout vTMのフェイルを検知するタイムアウト時間を設定します。単位は“秒”です

flipper!frontend_check_addrs ノード以外への死活監視先を設定します。

%gateway%はデフォルトゲートウェイです

flipper!monitor_interval で Pingが送信されるノードは全てのPoolsに設定されているノードから vTMがランダムに決め

ます。Ping送信先のノードがダウンしている場合は、他のノードに送信先を切り替えます。

ZNW17ISD-TCN026


60

全てのノードがダウンし、タイムアウト時間が経過するとvTMはフェイル検知され、フェイルオーバーされます。

Health Monitorではない、vTMからノードへの死活監視のPingは停止させることができません。

vTM間のハートビートは相互に行われます。ライセンス申込み時の IPアドレスが設定されているインターフェースにてハー

トビート通信ができないとフェイルとなります。

５) コネクション解析

vTMを通過するコネクションの情報はConnection Analytics機能で詳細を確認することができます。

Services＞Virtual Servers＞Virtual Server名＞Connection Analyticsメニューにて recent_conns!save_allの設定をYes

にします。

vTMを通過するコネクションが記録され、Activity＞Connectionsメニューにて確認することができます。

STM600シリーズのライセンスではConnectionsメニューにはコネクションの一覧が表示します。

STM1000シリーズ以上のライセンスでは個々のコネクションの詳細を確認することができます。

ZNW17ISD-TCN026


61

６) SNMP設定

snmpの設定はSystem＞SNMPメニューで設定します。この設定はSNMP Trapの設定とは異なります。

SNMP Settingsにて snmp!enabledをYesに設定することで外部からvTMのOIDをGETすることができます。

「Get SNMP MIB (SMIv2, for SNMPv2c and SNMPv3 clients)」からvTMのプライベートMIBファイルを取得することが

できます。

ZNW17ISD-TCN026


62

vTMのSNMP設定はオペレーティングシステム上のSNMPの設定、OIDの取得を行いません。

vTM側のSNMP設定を無効にしている場合はオペレーティングシステム上のSNMPの設定、Zabbix等のエージェントにて

vTMのOIDは取得できないことがあります。

vTMのOIDにはCPUやメモリの値を取得するものが含まれています。弊社ではvTM側のSNMPのご利用を推奨しており、

オペレーティングシステム側のSNMPの設定、Zabbix等のエージェントでのvTMのOID取得に関するサポート対応は実施

しておりません。

SNMP Trapの設定はSystem＞AlertingメニューのManage Actionsをクリックします。

SNMP Trap (SNMP Trap action) をEditし、設定します。

ZNW17ISD-TCN026


63

SNMP Trapを送信する項目はSystem＞AlertingメニューのEvent Typeで設定します。

選択されたEvent TypeにActionsとしてSNMP Trapを割当てすることでSNMP Trapが送信されます。

ZNW17ISD-TCN026


64

8．よくある質問

１) アクティブ－スタンバイの手動切替え

冗長構成されたvTMのアクティブースタンバイを手動で切り替えるには、Traffic IP Groupsのメニューで設定します。

管理画面からServices＞Traffic IP Groups＞Traffic IP Groups名のEditをクリックします。

Traffic Managersの項目で、Standby側に設定したいTraffic ManagerのPassiveの項目にチェックを入れます。

Active側に設定したいTraffic ManagerにはPassiveにチェックをしません。

Apply ChangesのUpdateをクリックし設定を反映させます。

PassiveにチェックがついているマシンがStandbyマシンとして動作します。

フェイルオーバー時を含め、アクティブースタンバイが切り替わる際にコネクション、セッションは引き継がれません。通信

断が発生します。

vTM内にキャッシュされているSession Persistenceの情報はClusterを構成するvTM間で同期している為、切り替わり後

も同じノードに接続することができます。

２) 通信断

フェイルオーバー発生時、コネクション、セッションは引き継がれません。

また異なる鍵タイプ、暗号化スィートへの切替え時などSSL設定を変更された場合も通信断は発生します。

ZNW17ISD-TCN026


65

３) DNS解決エラー

vTMではDNS参照による名前解決が必要となります。

名前解決ができない場合、Cluster Errorとなり、エラーが記録されます。

/etc/resolv.confに名前解決ができるDNSサーバが設定されていない場合、Join a Cluster実施時にエラーとなります。

また vTM 自身のホスト名が解決できない場合、イベントログに Hostename ***** dose not resolve to any of our

specified IP Address と記録されます。

４) Cluster Error

管理画面右上に表示するCluster Error、Cluster WarningはvTMの設定・動作に問題が発生した際に表示します。

文字をクリックするとエラー詳細を確認することができます。

このCluster という表示は冗長構成でのClusterという意味ではありません。

構成するマシンという意味になり、vTMが1台でもClusterの表示になります。

５) ノードフェイル

vTMがノードフェイルを検知すると、イベントログに nodefailが記録されます。

ノードフェイルはPoolに設定されたHealth Monitoringの設定、vTMの死活監視で検知されます。

vTMのイベントログにはノードのフェイルを検知したことだけが記録されます

メッセージ例

Monitor Full HTTP: Monitor has detected a failure in node '172.16.0.127:80': Read failed: Connection refused

Pool default-web, Node 172.16.0.127:80: Node 172.16.0.127 has failed - A monitor has detected a failure

ZNW17ISD-TCN026


66

ノードフェイルの原因の多くは

・時間内にコネクション確立ができない

・ノードのアプリケーションからの応答が得られない

などのタイムアウトといったものです。

これらの原因はvTM側ではなく、基盤上の負荷の影響、ネットワーク疎通の問題やノード側の応答遅延となります。

弊社サポートセンターに原因の質問をいただいても、vTMのイベントログからはノード側の原因を調べることはできません。

６) SSL暗号化スィートの設定

vTMではvTM全体またはVirtual Server毎に利用するSSL暗号化スィートを指定することができます。

vTM全体で設定する場合は

System＞Global Settings＞SSL Configurationメニュー

Virtual Server毎に設定する場合は

Services＞Virtual Servers＞Virtual Server名＞SSL Decryptionメニュー

で設定します。vTM全体の設定よりもVirtual server個別の設定が優先されます。

vTM全体の設定

System＞Global Settings＞SSL Configuration

ssl!ssl3_ciphers

Virtual Server毎の設定

Services＞Virtual Servers＞Virtual Server名＞SSL Decryption

ssl_ciphers

項目はデフォルトで空欄です。空欄の状態ではデフォルトで有効となる暗号化スィート全てが利用可能です。

デフォルトで有効となる暗号化スィートはHELPから確認することができます。

管理画面からSystem＞Global Settings＞SSL Configurationメニューを開き、HELPをクリックします。

ZNW17ISD-TCN026


67

別ウィンドウが開きます。

ssl!ssl3_ciphers の項目にて対応する暗号化スィートを確認することができきます。リストの上位から順番に優先利用されま

す。

SSLオフロードで利用する特定の暗号化スィートを指定するには ssl!ssl3_ciphersの項目またはssl_ciphersの項目に設定し

ます。

複数の暗号化スィートはカンマ区切りで指定します。

優先される順番は先頭からの順になります。

暗号化スィートは SSL/TLS バージョン毎に指定することはできませんが、指定する暗号化スィートによって利用できる

SSL/TSLバージョンが異なります。

ZNW17ISD-TCN026


68

暗号化スィート毎に対応するSSL/TLSバージョンに関する情報は弊社サポートサイト内の技術情報に掲載しております。

７) SSLコネクションエラー

SSLコネクションエラーはSSL/TLSバージョン、ネゴシエーションに利用する暗号化スィートのミスマッチで発生します。

vTMは設定された通りのSSL接続となります。

SSLコネクションエラー発生時には必ず汎用的なツールである、IE、Firefox、Chrome等の複数のウェブブラウザ、openssl

コマンドで再現性をご確認ください。

汎用的ツールでSSLコネクションエラーが発生しない場合、vTMのSSL設定が接続元の設定とミスマッチしているか、接続

元のアプリケーションに起因する問題が考えられます。

汎用的なツールでSSLコネクションエラーが発生しない場合の解析への協力はサポート範囲ではございません。システムの構

築担当、開発担当の各会社様にてご対応ください。

ZNW17ISD-TCN026


69

9．サポート

１) サポート窓口

ニフティクラウド環境でご利用のvTMに関する問合せは、原則ニフティクラウドの問合せ窓口にお問合せください。


ご連絡いただきましたご質問に対する回答期限のご要望には応じておりません。

２) サポート範囲

ニフティクラウドの問合せ窓口を通じ、弊社が対応するサポートはシステムが稼働開始された後のPOSTサポートです。

ニフティクラウド上のvTMイメージは、

・ニフティクラウドのパブリックイメージとして公開されているCentOS

・vTMソフトウェア

で構成されています。

弊社が対応する範囲は vTM のソフトウェア部分となります。オペレーティングシステムに関する操作、設定、エラー、脆弱

性情報等のご質問には対応しておりません。

お客様が個別にRedHatや他のLinuxOS上にvTMのソフトウェアをインストールいただいくことも可能です。

ソフトウェアは弊社サポートサイト上から入手することができます。

サポート期限内のバージョンのご利用且つ、システム要件を満たす環境において、ニフティクラウド環境における vTM のソ

フトウェアのサポートは提供されます。

※システム要件は利用バージョンによって異なります。詳しくは弊社サポートサイト内のFAQをご確認ください。

vTMの仮想サーバー内に他のアプリケーションをインストール、設定されている場合、アプリケーションとの切り分けはお客


ZNW17ISD-TCN026


70

様ご自身で実施してください。

vTM設定方法の説明、コンフィグの正当性確認などは全て有償での対応をさせていただいております。

初めて構築されるお客様に対しては、弊社にて導入前のご相談への対応、勉強会、レクチャを実施しております。

詳しくはニフティクラウドの営業までお尋ねください。

３) サポート終了

提供中のvTMの各バージョンにはメーカーサポートの期日があります。

ver.9.9/9.9r1/9.9r2 2018年1月5日

ver.10.4/10.4r1 2019年3月28日

ver.17.2 2020年5月21日

上記バージョン以下のバージョンは既にメーカーサポートが終了しています。

サポート終了後のバージョンに対してメーカーの解析は実施されません。

サポート終了後は弊社のノウハウ、ナレッジの範囲にて対応させていただきます。

４) サポートサイト

弊社ではvTMご利用のお客様向けにサポートサイトを開設しております。

サポートサイト http://www.znw.co.jp/support

Virtual Traffic Manager サポートサイトをクリックします。

https://www.znw.co.jp/support

ZNW17ISD-TCN026


71

ログイン画面が表示します。

サポートサイトへのログインには IDとパスワードが必要となります。

IDとパスワードは以下のURLからお申込み/お問合せください。

https://www.znw.co.jp/contact

お問合せ内容/ご依頼内容の欄にニフティ IDをご記入してください。

サポートサイトへのログイン ID、パスワードをご要望ください。

サポートサイトのパスワードは定期的に変更しております。上記 URL でお申込みいただきましたお客様に対しては変更前の

事前通知を行っております。

https://www.znw.co.jp/contact

ZNW17ISD-TCN026


72

右上の「検索はこちらに入力」に検索キーワードを入力しますと掲載内容を検索することができます。

複数のキーワードをスペースで区切って入力しますとAND条件で検索することができます。

【設定】、【Rule】、【zcli】、【TrafficScript】などタイトルの先頭に区別する文字を設定しています。

こちらの文字列で検索いただくことも可能です。

サポートサイトはニフティクラウドにて弊社が提供するソリューションサービスをご利用いただいているお客様向けのサイト

です。

正規ライセンスをご利用中でないお客様に対しては内容の開示、掲載ドキュメントの提供は行っておりません。

ZNW17ISD-TCN026


73

補足1：Rule設定のサンプル

RuleBuilderの設定方法の情報です。

例1：Redirect

Redirectは vTMへのアクセスを自動的に他のサイトに転送します。

この例では http://www.123.com/hogehogeへのアクセスを http://www.domain1.jpへ転送します。

例２：Change HTTP

Change HTTPの設定では、パスを変えずに、ドメイン部分を変更します。

この設定では http://www.123.com/hogehoge にアクセスがあると http://www.domain1.jp/hogehoge に転送され

ます。転送先指定にパス部分の /hogehogeを指定しません。

ZNW17ISD-TCN026


74

例３：Choose Pool

Choose Poolの設定は動作において、Poolの選択を行います。

Rule設定においてPoolを選択することでVirtual Serverに設定されたPool設定を変更することができます。

この設定は1つ IPアドレスに紐づく1つのVirtual Server設定にて複数のFQDNの指定を処理する場合に利用します。

HOSTヘッダーの条件毎にアクセス先ノードを設定したPoolを切り替えることができます。

Choose PoolはHOSTヘッダーとの組合せ以外にも利用することができます。

URL Pathと組合せた場合、Choose Poolで指定されたPoolのノード上のURL Pathにアクセスします。

例４：URLパスの否定条件

URL Pathが /info、/faq /access /support /registration /products /member と構成され、/info、/access以外へのアクセ

ス時にはHTTPSサイトに切替えします。

ZNW17ISD-TCN026


75

Conditionsの設定は Anyではなく、Allに設定します。

is not equal to で/infoとイコールでない、/accessとイコールでないという2つの条件を全て満たす場合にアクションを実行させ

ます。

例5：URL PathとRaw URLの違い

URL Pathの設定では /hogehoge や /hogehoge/index.php と設定します。

Raw URLでは /hogehoge/board.cgi?action=guestbook と設定します。

URL上のパラメータまで設定するにはRaw URLを利用します。

例6：リライト

Rewrite URL Pathの設定ではパスの指定の仕方によって表示が変わります。

Actions設定にRewrite URL Pathを設定する際にpatternを /test とし、Replacementを /info2とした場合

ZNW17ISD-TCN026


76

ブラウザからのhttp://*****/test にアクセスしますと http://*****/info2 に変わります

Actions設定にRewrite URL Pathを設定する際にpatternを /test/ とし、Replacementを /info2とした場合

ブラウザからのhttp://*****/test/ にアクセスしますと URL表記は変わらずに /info2 の内容が表示します

ニフティクラウドご利用者向け‚¢クセスを受付するip...

Documents