ニフクラご利用者向け Pulse Virtual Traffic Manager …...本書はニフクラ環境においてL7LB Pulse Virtual Traffic Manager (略称：vTM、旧製品名：Brocade

ZNW17ISD-TCN026

ニフクラご利用者向け

Pulse Virtual Traffic Manager セットアップ手順書

図研ネットウエイブ株式会社

2018 年 2 月 ver.6.1

ZNW17ISD-TCN026

Copyright © Zuken NetWave, Inc. All right Reserved.

2

変更履歴

Ver.6.1 ・ニフクラへの名称変更

・“追加NIC”の説明追加

・vTMアイコン変更に伴う画像修正

・問い合わせに必要な情報を掲載

ZNW17ISD-TCN026


3

目次

1．本書の目的 .................................................................................................................................................. 6

2．ニフクラでの動作 ......................................................................................................................................... 7

１) ニフクラ内での動作 .................................................................................................................................. 7

２) 1 台構成の動作 ........................................................................................................................................ 8

３) 2 台(冗長)構成の動作 ................................................................................................................................ 8

４) ワンアーム構成 ........................................................................................................................................ 9

５) 追加NIC構成 .......................................................................................................................................... 9

６) トランスペアレント動作 ............................................................................................................................ 9

７) NAT 動作 ................................................................................................................................................ 9

3．設定の流れ ................................................................................................................................................ 11

１) 設定の流れ ............................................................................................................................................ 11

２) ライセンス申込み ................................................................................................................................... 11

３) マルチIP アドレス申し込み ...................................................................................................................... 12

4．仮想サーバーの作成 .................................................................................................................................... 13

１) イメージ選択 ......................................................................................................................................... 13

２) サーバータイプ選択 ................................................................................................................................ 13

３) サーバー設定 ......................................................................................................................................... 14

４) バックエンドノードの作成 ....................................................................................................................... 15

５) オープンポート ...................................................................................................................................... 16

5． Virtual Traffic Manager の初期設定 ............................................................................................................... 17

１) 管理画面へのアクセス ............................................................................................................................. 17

２) ネットワーク設定 ................................................................................................................................... 18

ZNW17ISD-TCN026


4

３) 表示ホスト名の変更 ................................................................................................................................ 19

４) UUID の変更 ......................................................................................................................................... 21

５) ログ設定 ............................................................................................................................................... 21

６) ライセンス設定 ...................................................................................................................................... 22

７) ライセンス期限切れ ................................................................................................................................ 23

6． Cluster（冗長化）設定 ................................................................................................................................ 25

１) Cluster 構成 .......................................................................................................................................... 25

２) Traffic IP Networkの設定........................................................................................................................ 28

３) Traffic IP Groupsの設定 ......................................................................................................................... 29

7． Virtual Traffic Manager の設定..................................................................................................................... 31

１) 負荷分散サービスの設定 .......................................................................................................................... 31

(a) サービス設定 ..................................................................................................................................... 31

(b) Virtual Server 設定 ............................................................................................................................. 34

(c) Pool 設定 .......................................................................................................................................... 42

２) SSL オフロード設定 ................................................................................................................................ 52

(a) サーバ証明書 ..................................................................................................................................... 52

(b) 中間CA 証明書 ................................................................................................................................... 56

(c) Pool の手動作成.................................................................................................................................. 56

(d) Virtual Server の手動作成 .................................................................................................................... 57

(e) SSL Decryption設定 .......................................................................................................................... 57

３) クライアント証明書の利用 ....................................................................................................................... 58

４) フォルトトレーランス設定 ....................................................................................................................... 60

５) コネクション解析 ................................................................................................................................... 62

ZNW17ISD-TCN026


5

６) SNMP 設定 ............................................................................................................................................ 63

8．よくある質問 ............................................................................................................................................. 66

１) アクティブ－スタンバイの手動切替え ......................................................................................................... 66

２) 通信断 .................................................................................................................................................. 66

３) DNS 解決エラー ..................................................................................................................................... 67

４) Cluster Error ......................................................................................................................................... 67

５) ノードフェイル ...................................................................................................................................... 67

６) SSL 暗号化スィートの設定 ....................................................................................................................... 68

７) SSL コネクションエラー .......................................................................................................................... 70

9．サポート ................................................................................................................................................... 71

１) サポート窓口 ......................................................................................................................................... 71

２) サポート範囲 ......................................................................................................................................... 71

３) 問い合わせ時に必要な情報 ....................................................................................................................... 72

４) サポート終了 ......................................................................................................................................... 73

５) サポートサイト ...................................................................................................................................... 73

補足1：Rule設定のサンプル ................................................................................................................................... 76

例1：Redirect ................................................................................................................................................... 76

例２：Change HTTP .......................................................................................................................................... 76

例３：Choose Pool ............................................................................................................................................. 77

例４：URL パスの否定条件 ................................................................................................................................... 77

例5：URL PathとRaw URL の違い ...................................................................................................................... 78

例6：リライト ................................................................................................................................................... 78

ZNW17ISD-TCN026


6

1．本書の目的

本書はニフクラ環境においてL7LB Pulse Virtual Traffic Manager (略称：vTM、旧製品名：Brocade Virtual Traffic Manager)

の構築を行うためのファーストステップガイドです。

配布及び内容の一部または全体の複製、ニフクラにてL7LB のサービスをご利用中以外のお客様のご利用は固くお断りしておりま

す。

本書の内容とメーカー提供のマニュアル、ソフトウェア内のヘルプの説明が異なる場合、メーカー提供のマニュアル、ソフトウェ

ア内のヘルプの内容が優先されます。

図研ネットウエイブがサポートを提供する範囲はPulse Virtual Traffic Manager の部分のみとなります。

図研ネットウエイブではニフクラ基盤と関連する機能の設定、対応、Google 等の検索エンジンで検索可能な一般的な Linux コマ

ンド操作、設定についてのサポート、対応は行っておりません。

ニフクラ様対応範囲、ニフクラ環境の設定につきましてはニフクラ様の FAQ をご確認いただき、ご質問はニフクラ問い合わせ窓

口にお送りください。

http://cloud.nifty.com/cs/catalog/cloud_faq/catalog_170112002889_1.htm

負荷分散サービス詳細な設定方法、本書掲載外の情報につきましては

・弊社サポートサイト

・メーカー提供のマニュアル

・管理画面から参照可能なヘルプ

にてご確認ください。

Virtual Traffic Manager の設定の説明、対応は有償サービスメニューになっております。設定に関して詳細なご説明をお求めの場

合は有償サービスメニューをご利用ください。

http://cloud.nifty.com/cs/catalog/cloud_faq/catalog_170112002889_1.htm

ZNW17ISD-TCN026


7

2．ニフクラでの動作

１) ニフクラ内での動作

負荷分散機能は全てのリージョン、ゾーンで、通常構成（共通グローバル、共通プライベート）、プライベートLAN に設定い

ただいくことができます。

追加NIC構成例

ZNW17ISD-TCN026


8

２) 1 台構成の動作

共通グローバル、共通プライベートのIP アドレスはDCHP で割り当てられます。

グローバル側に複数のIP アドレスを設定する場合はマルチIP アドレス環境への申込みとなります。

共通プライベートはDHCP です。

共通グローバルはDCHP です。

マルチIP 環境ではOS のインターフェース設定にてIP アドレスを設定します。

VIP はvTMのWebUI にて設定します。

３) 2 台(冗長)構成の動作

共通グローバルを利用した冗長構成では固定IP アドレスを設定します。ニフティクラウドのマルチIP アドレスへの申込みを

行います。

マルチIP アドレス環境ではグローバル側のIP アドレスをインターフェースに手動で設定します。

アクセスを受付するIP アドレスはvTMの設定（Traffic IP Groups の設定）でコントロールされます。

共通プライベートはDHCP です。

OS のインターフェース設定にてIP アドレスを設定します。VIP はvTMのWebUI で設定します。

ZNW17ISD-TCN026


9

４) ワンアーム構成

共通グローバルまたは共通プライベートのどちらか一方のネットワークインターフェースを使用した構成にも対応できます。

５) 追加NIC 構成

プライベートLAN のネットワークセグメントに対してNCI を追加することができます。

追加 NIC はニフクラメニュー、OS 側のインターフェース設定で行います。vTM は OS 側で認識、設定されたインターフェー

スを利用します。

利用できるNIC数はニフクラの制約、OS の制約となります。

６) トランスペアレント動作

ニフクラでの基本構成では、接続元からのアクセスを vTM が Proxy し、ノードに設定するバックエンドサーバにアクセスを

渡します。

ノードへのアクセスはvTMのIP アドレスとなります。

ニフクラ環境では共通グローバル、共通プライベートなどの2 つのネットワーク間にvTMを構成することでvTMをトランス

ペアレントで動作させることができます。

vTM をトランスペアレントで動作させることで、ノードへのアクセスがvTM のIP アドレスではなく、接続元のIP アドレス

に変わります。（※トランスペアレント動作でもMACアドレスはvTMのMACアドレスでのアクセスとなります）

トランスペアレントの動作では、ノードのデフォルトゲートウェイを vTM のプライベート側のネットワークインターフェー

スに向けていただく必要があります。

７) NAT 動作

ニフクラ環境では共通グローバル、共通プライベートなどの 2 つのネットワーク間に vTM を構成している際に、ノードから

ZNW17ISD-TCN026


10

の外部への通信をvTM経由で行うことができます。

その際、vTMにはオペレーティングシステム側の機能によるマスカレード設定を行います。

マスカレード設定によるNAT が動作することでvTMを経由してノードから外部への通信が行われます。

NAT動作ではノードのデフォルトゲートウェイにvTMのプライベート側のネットワークインターフェースのIPアドレスに設

定してください。

NAT 設定ではご利用状況が過多の場合に通信障害が発生することがございます。

事前にTCP のチューニング設定を実施ください。

チューニング項目、設定値につきましては弊社サポートサイト内の技術情報、「TCP パラメータのチューニング」にてご確認

ください。

※負荷分散設定におけるレスポンスはNAT が不要です。

ZNW17ISD-TCN026


11

3．設定の流れ

１) 設定の流れ

以下が設定フローのイメージになります。

2 台以上のクラスタを構成される場合、vTMへの設定はクラスタ構成後の設定を推奨しています。

Virtual Server、Pool のパラメータ設定、vTM自身の設定はノードで提供するアプリケーションの動作や接続元からのアクセ

スを考慮しながら実施しなければならないことがあります。

２) ライセンス申込み

ニフクラにてvTMのライセンスを申込みします。

ライセンスにはご利用のIP アドレス情報が必要となります。

2 台（冗長）構成でのご利用時にはvTMの仮想サーバー作成後にIP アドレスを変更します。

ライセンスの申込みはご利用のIP アドレスの情報を確認したうえで実施ください。

ZNW17ISD-TCN026


12

申込み方法はニフクラにお問合せください。

３) マルチ IP アドレス申し込み

2 台（冗長）構成でのご利用時にはニフクラマルチIP アドレス環境の申し込みを行います。

ニフクラマルチIP アドレス環境に申し込み後、ニフクラからお客様へネットワーク設定に関する情報がメールで通知されま

す。

メールに記載されている情報を基にvTMの仮想サーバーのネットワークインターフェースにスタティックのIPアドレスの設

定を行います。

申込み方法はニフクラにお問合せください。

ZNW17ISD-TCN026


13

4．仮想サーバーの作成

※ニフティクラウドコントロールパネル上の表記は「サーバー」です。

ニフクラのコントロールパネルのサーバーメニューからサーバー作成を行います。

ニフクラコントロールパネル上のコピー機能などを使用したサーバー作成で実施しますと通信障害や動作エラーが発生することが

あります。

設定の修正、変更に手間がかかるため、弊社ではサポートしておりません。冗長構成時など必要な仮想サーバーの台数分、コント

ロールパネルのサーバーメニューからサーバー作成を行ってください。

１) イメージ選択

イメージ選択にて、プルダウンからパブリックイメージを選択し、一覧からPulse vTM**を選択します。

２) サーバータイプ選択

ゾーンとサーバーのタイプを選択します。

vTMの要件はvCPU:1 以上、メモリ2GB以上です。

SSL 処理性能を求める場合、トラフィック量が多い場合はvCPU、メモリ量が多いタイプを選択します。

ZNW17ISD-TCN026


14

推奨スペックにつきましては、ニフクラ内の L7 ロードバランサー（vTM）仕様・機能の説明ページに推奨サーバーの参考資

料が掲載されております。

http://cloud.nifty.com/service/l7lb.htm

また、必要なスペックに関するご質問はニフティクラウドお問合せ窓口 (http://cloud.nifty.com/inquiry/) までお問合せ

ください。

３) サーバー設定

サーバー設定を行います。

サーバー名、料金プラン、SSHキー、ファイアウォール設定などを行います。

ファイアウォールの設定はサーバー作成後でも適用することができます。

スクリプトは「使用しない」を選択します。

PVLAN のみでご利用の場合は、グローバルのIP アドレスを「利用しない」に変更してください。

http://cloud.nifty.com/service/l7lb.htm

http://cloud.nifty.com/inquiry/

ZNW17ISD-TCN026


15

確認画面にて「作成する」をクリック後、サーバーの作成が開始されます。

作成が完了すると、サーバーメニュー内の一覧にてステータスがオンラインの表示に変わり、IP アドレスが付与されます。

４) バックエンドノードの作成

バックエンドノードのサーバータイプはvTMを作成したサーバータイプ以上のタイプを選択してください。

vTMは受け取ったトラフィックを全てバックエンドノードに渡します。

デフォルト設定ではvTMはトラフィックをノードに渡す時点で帯域の制限は行っていません。

ノードを1 台で設定する場合、複数のポートを使い分け、複数のノードを設定する場合は特にノードの性能不足によるレスポ

ZNW17ISD-TCN026


16

ンス問題が発生しないよう、ノード側のサイジング、チューニングを実施ください。

５) オープンポート

vTMを起動させると必要な通信ポートはオープンした状態となります。

必要な通信ポートへのアクセスが出来ない場合、vTM自身のエラー、フェイルオーバーなどが発生し、動作に支障をきたすこ

とがあります。

TCP/22 SSH

TCP/53、UDP/53 DNS

TCP/443

TCP/9060、UDP/9060 Java ※利用時

TCP/9070 REST API ※17.2 から有効

TCP/9080、UDP/9080 Cluster 監視用

TCP/9090 管理画面アクセス、コンフィグ同期

UDP/9090 ハートビート

UDP ランダムポートコンフィグ同期

ICMP

このほかに負荷分散サービスを設定するポートがオープンした状態となります。

デフォルトではvTMが持つ全てのインターフェースで上記の通信が必要となります。

ニフクラではオペレレーティングシステム上の設定等により上記以外のポート番号がオープンした状態となることがあります。

ZNW17ISD-TCN026


17

5． Virtual Traffic Manager の初期設定

１) 管理画面へのアクセス

管理画面へのアクセスは https://<グローバルIP＞:9090 でアクセスすることができます。

デフォルトのID、パスワードは

ID:admin ／Password:admin

です。

adminのパスワードは必ず変更したうえでご利用ください。

【adminパスワード変更方法】

管理画面にログインし、System＞Usersメニューにアクセスします。

Local Usersのadminを選択し、Password の項目で新しいパスワードを設定します。

設定後、Apply Changesの Update をクリックします。

ZNW17ISD-TCN026


18

尚、adminアカウントは削除できません。

SSH 等のリモートアクセスの方法についてはニフクラのマニュアル、FAQ でご確認ください。

ご不明な場合はニフクラ問い合わせ窓口まで問い合わせください。

２) ネットワーク設定

vTMの仮想サーバーを作成するインターフェースはDHCP で設定されています。

マルチIP アドレス環境の設定、NTP、iptables の設定は必要に応じて、お客様自身で設定を行います。

Cluster 設定、VIP (Traffic IP Address) の設定を利用するにはニフティクラウドマルチIP アドレス環境の申し込みを行い

ます。ニフクラマルチIP アドレス環境に申し込み後、ニフクラからお客様へネットワーク設定に関する情報がメールで通知

されます。

通知されたメールの内容を基に、他の設定を実施する前に仮想サーバーのインターフェースの設定を変更し、IP アドレスを設

定します。

IP アドレスの設定はお客様自身にて実施いただく作業となります。

設定方法につきましては、ニフクラのサポート窓口にお問合せください。

ネットワーク設定が正しく行われてない場合、ネットワーク動作やCluster 構成時に不具合が生じます。

設定後、ニフティクラウド外から設定した固定IP アドレスに対してPing やSSH でアクセスを確認します。

また仮想サーバーのリブートを行うなど、再起動時でもネットワーク設定が正しく読み込まれるかをご確認いただくことをお

勧めします。

■ネットワークエラーについて

以下のようなネットワークエラーについてはニフクラの窓口まで問い合わせください。

・インターフェースに設定されたIP アドレスと確認コマンド実行時の結果が異なる

ZNW17ISD-TCN026


19

・仮想サーバーを作成されたゾーンの割当てと異なるマルチIPアドレスの設定を行った

・再起動するとインターフェースが起動しない

・ファイアウォールで制限をしていないにも関わらず、外部からのPing がエラーとなる

・追加NICの動作、認識上の不具合

３) 表示ホスト名の変更

vTMを起動しますと、ホスト名は localhost.localdomainで起動します。

vTMに設定されるホスト名を変更し、DNS でホスト名が解決できるようにします。

DNS でホスト名が解決できない場合は、クラスタ構成実施時にエラーが発生することがあります。

オペデーティングシステム上のホスト名、DNS 設定に関係するファイルを全て修正し、Traffic Manager が認識／表示するホ

スト名を変更します。

■vTMの認識／表示するホスト名の変更方法

SSH、またはコントロールパネルからのアクセスでvTMの仮想サーバーにログインします。

コマンド操作にて

# /usr/local/zeus/zxtm/configure

を実行します。

表示メッセージに合わせて以下のように入力します。

# /usr/local/zeus/zxtm/configure

1. Quit (default)

2. Perform the post-install configuration again

3. Clear all configuration

H. Help

Choose option [1]: 2 を入力します。

ZNW17ISD-TCN026


20

1. Keep the current traffic manager name (default)

2. Specify a new resolvable hostname

3. Use an IP address instead of a hostname

Choose option [1]: 2 を入力します。

※IP アドレスで表示させたい場合は“3”を選択します。

Please enter the new name for the traffic manager

[localhost.localdomain]: ホスト名を入力します。

'123.xyz.com (入力したホスト名)' is not resolvable. Are you sure you want to use this as the traffic manager name?

[y/N]:

Y を入力します。

Enter the license key filename, or leave blank for developer mode:

Enter を入力します(正規ライセンスをインポートしたのちは表示しません)

Choose a UNIX user for the zxtm process to run as [nobody]:

Enter を入力します

Choose a UNIX group for the zxtm process to run as [nobody]:


Would you like to restrict vTM Traffic Manager management to one IP? Y/N [N]:


Would you like vTM Traffic Manager to start at boot time? Y/N [Y]:


You are currently in a SteelApp Traffic Manager cluster containing the following machines:

123.xyz.com (ホスト名が表示します)

Would you like to join a new cluster? Y/N [N]:


Would you like to register this vTM with a Services Director? Y/N [N]:


（このメッセージはver.10.4r1 以降で表示します）

実施後、/usr/local/zeus/zxtm/log/statd に移動します。

設定したホスト名でフォルダが作成されていることを確認し、localhost.localdomain 名の古いフォルダを削除します。

ZNW17ISD-TCN026


21

・管理画面ログイン時のホスト名

・Traffic Manager アイコンのホスト名

・右上のホスト名

これらの表示名称が変わります。

４) UUID の変更

仮想サーバーのIP アドレスをDHCP からIP アドレスを固定IP に変更された場合は、必ずUUID の再生成を実行してくださ

い。

プライベートLAN を設定される場合もUUID を再生成してください。

UUID の情報は、Systems＞Traffic Managers＞Manage [ホスト名]メニューの一番下の項目にあります。

項目の Regenerate ボタンをクリックし、ご利用する全てのTraffic Manager にて同じUUID が利用されないようにします。

この操作はCluster を構成する前に実施してください。

５) ログ設定

17.2 の vTM のパブリックイメージには初期設定でオペデーティングシステムの /etc/logrotate.d 配下にイベントログ、

認証のログ、操作ログ、管理画面へのアクセスログなどをローテートする設定をしています。

【ファイル】

stm-errorlog stm-auditlog stm-adminaccess stm-adminerror の4 ファイル

【設定内容】

サイズ：100MB、10 世代

ZNW17ISD-TCN026


22

圧縮あり

Virtual Server のロギングはデフォルトで無効です。

Virtual Server の設定を実施したのち、リクエストロギングを有効にすることでログファイルが作成されます。

Virtual Server のログはお客様自身でローテートを設定してください。

vTMは空き容量が不足しますと動作、処理に影響が出ることがございます。

ログファイルが肥大化し、空き容量が不足しないようローテートを設定してください。

設定されている複数のVirtual Server にてリクエストロギングを設定されますと自身への負荷となることがあります。

DISK I/Oによる負荷、DISK へのログ書き込み遅延などが発生することがあります。

６) ライセンス設定

vTMの動作には1台毎にライセンスファイルが必要となります。

ライセンスには稼働するvTM のIP アドレス情報が必要です。ライセンス申込時に申請されたIP アドレスへはvTM機器外か

ら通信が出来るインターフェースに設定されていなければなりません。

ループバックインターフェースに設定されたIP アドレスはライセンス申請に利用できません。

vTMのIP アドレスが変わると利用中のライセンスは無効になります。

ご利用の仮想サーバーのIP アドレスの変更が生じた場合はライセンスの変更をニフティクラウドの窓口にご連絡ください。

Cluster 構成ではマルチIP アドレスでのご利用となります。

マルチIP アドレス環境では仮想サーバー作成直後のIP アドレスから変更されたIP アドレスとなります。

ライセンス申し込み時にはニフティ様から通知されたマルチ設定環境の内容をご確認のうえ、お申込みくいださい。

■ライセンスインポート方法

ZNW17ISD-TCN026


23

System＞License メニューにアクセスします。

Key Fileのファイルを選択をクリックし、ライセンスファイルを選択します。ライセンスファイル選択後、Install key をクリ

ックします。

ライセンスは動的に切替わります。

vTMの再起動、サービスのリスタートは発生いたしません。

７) ライセンス期限切れ

ニフクラでは年1回、毎年2～3月頃にライセンスを更新する必要があります。

ライセンスを更新しない場合、3月31 日でご利用帯域のライセンスが使用できなくなります。

ライセンスの期限が切れますと、Developer モードでの運用（帯域1Mbps）に切り替わります。

新しいライセンスは毎年2 月を目途にニフクラからご利用中のお客様に対して送付されます。

新しいライセンスは自動適用されませんのでお客様ご自身で適用いただく必要があります。

Alerting のEvent Type にてLicense Key Problem を設定し、メール通知やSNMP Trap を設定いただきますと、期限切れ

の90 日前、60 日前、30日前、15 日前、7 日前にアラートを送信することができます。

ZNW17ISD-TCN026


24

ZNW17ISD-TCN026


25

6． Cluster（冗長化）設定

Cluster 構成ではアクティブースタンバイ構成となります。アクティブーアクティブの構成には制約があります。

■アクティブ－アクティブ時の制約

・Cluster を構成するvTMが4 台以上

・HTTPS（SSL オフロードまたはHTTPS の負荷分散）のみ

・ノード側の設定追加

このため、日本国内では通常サポート外としております。

ホスト名、DNS 設定、マルチIP アドレス環境の設定のほかにNTP に関する設定を実施しますとCluster 構成を行う準備が完了と

なります。

１) Cluster 構成

管理画面右上のWizardsメニューから Join a Cluster を選択します。

“Join a Cluster” のデフォルト操作ではCluster 構成を行うと操作側マシンの設定が相手側によって上書きされます。Service

等の設定はCluster を構成後に実施してください。

ZNW17ISD-TCN026


26

1. Getting Started にてSelect existing cluster を選択し Next をクリックします。

2. Cluster selection

Cluster を構成する相手を選択し、Next をクリックします。

3. Authentication

Certificateにチェックを入れ、相手のadminパスワードを設定します。

設定後 Next をクリックします

ZNW17ISD-TCN026


27

4. Additional Settings

接続方法を選択します。

Yes, and allow it to host Traffic IPs immediately

→ Activeとして接続します

この設定を選択しますと、Passive（Standby）側のコンフィグが上書きされます

Yes, but make it a passive machine

→ Passive（Standby)として接続します

No, do not add it to any Traffic IP groups

→ 管理画面への統合はできますがVIP に対するActive-Standby の構成にはなりません

選択後、Next をクリックします

ZNW17ISD-TCN026


28

5. Summaryにて、Finish をクリックします。

管理画面上にCluster 構成されたvTMが構成台数分表示します。

Cluster 構成では、負荷分散設定など、サービスに関する設定はアクティブ側、スタンバイ（Passive）側どちらから設定し

ても相手に反映されます。

２) Traffic IP Network の設定

Services＞Traffic IP Groups＞Traffic IP networks＞Network Settings をクリックします。

Add network: VIP のネットワークアドレス

Default Interface: VIP を設定するインターフェース

を設定します。

設定後、Apply Changesの Update をクリックします。

ZNW17ISD-TCN026


29

Traffic IP Networksの設定は、VIP を利用する各セグメント、インターフェース毎に設定してください。

３) Traffic IP Groups の設定

Services＞Traffic IP Groups メニューのCreate a new Traffic IP Group にて設定します。

Name：設定名称

Passiveの選択：Passive(スタンバイマシン)を指定

※複数のTraffic IP Groups を設定する場合は全てのTraffic IP Groups にて同じ設定にします。

※Passiveを選択しない場合、複数のTraffic IP Address を利用する際に関連するTraffic Manager が固定されな

いことがあります。

IP Addresses：VIP とするIP Address

IP mode (※利用ライセンスによって表示が異なります)

選択肢がある場合、Raise each address on a single machine (Single-Hosted mode) を選択

を設定します。

Create Traffic IP Groups をクリックします。設定後はTraffic IP Groups に追加されます。

Traffic IP Groupsで設定したIP Addressでサービスにアクセスできるようになります。

グローバル側、プライベート側にそれぞれTraffic IP Groupsを構成する場合は、Passive に設定するvTMを同じマシンにし

ZNW17ISD-TCN026


30

てください。

Traffic IP Groups毎に異なるマシンをPassive に設定しますと通信に影響が出る場合があります。

■アクティブ側の確認方法

Cluster 構成では以下の方法でアクティブ側のvTMを確認することができます。

管理画面での確認 VIP のIP アドレスを使用し管理画面にアクセスします。

表示したマシンがアクティブになります。

OS(Linux コマンド) “ip addr show” コマンドで VIP がセカンダリで表示するマシンがアクティブになりま

す。

zcli(vTM CLI) zcli モードで “show trafficip“を実施し、”IPs Raised:” で表示したマシンがアクティブ

になります。

アクティブの確認方法例

secondary の表記があるマシンがアクティブになります。

■zcli モードの利用方法

SSH 等でログイン後、/usr/local/zeus/zxtm/bin/zcli を実行します。zcli モードはexitで終了します。

ZNW17ISD-TCN026


31

7． Virtual Traffic Manager の設定

１) 負荷分散サービスの設定

(a) サービス設定

Service作成とは負荷分散サービスの作成を意味します。

負荷分散サービスは Pools、Virtual Server と手動で設定する方法がありますが、ここでは、ウィザードを利用した設定

方法を紹介します。

ウィザードの利用は管理画面右上のWizardsからManage a new Service をクリックします。

1．Manage a new Service で Next をクリックします。

ZNW17ISD-TCN026


32

2．Specify the service

①Name（名前）、②Protocol（プロトコル）、➂Port（ポート番号）

を入力します。

完了後、Next をクリックします。

ここで入力した名前は管理画面上のServicesで表示する名称になります。

Nameに2 バイト文字を使用することは推奨しておりません。2バイト文字のご利用は障害時の調査に支障をきたすこと

があります。

日本語で設定を分かりやすく管理されたい場合はVirtual Server、Poolsの各設定のNotesの項目に記載してください。

3. Specify the back-end nodes

バックのノードの

ZNW17ISD-TCN026


33

①Hostname（ホスト名またはIP アドレス）、②Port（ポート番号）

を入力し、”Add Node”をクリックします。

Nodesの項目に入力したノードが追加されます。全てのノードを設定後、Next をクリックします。

4.Summary

設定内容を確認します。問題がなければ Finish をクリックします。

管理画面のServicesの項目に追加されます。

ここまでの設定で負荷分散の基本動作を確認することができます。

クライアントからTraffic Manager のインターフェースに設定したIP アドレスやTraffic IP Groups に設定したIP アド

レスにアクセスして確認します。

Virtual Server の設定では同じIP アドレスに同じポート番号を割り当てるとエラーになります。

vTM 内でオペレーティングシステム上の FTP や postfix など、他のサーバ機能を設定している場合は、Virtual Server

で同一のService（ポート番号）が設定できません。

※Wizardsで設定されたServices のデフォルト

－Virtual Server

Listening on：All IP addresses

ZNW17ISD-TCN026


34

－Pool

Load Balancing：Round Robin

Health Monitoring：Ping

passive_monitoring：Yes

Session Persistence(セッション維持方式)：None

SSH やProxyサーバなどのVirtual Server を設定する場合はProtocol に Generic Server First や Generic Client

First を選択します。

詳しくはユーザマニュアル、サポートサイト内の技術情報を参照してください。

(b) Virtual Server 設定

ウィザードで作成したVirtual Server の設定を調整します。

Services＞Virtual Servers＞Virtual Server 名をクリックします。

① Listenの設定

Basic Settingsの項目にあるListen onではトラフィックを取得するIP アドレスを設定します。

All IP Address Traffic Manger に設定されている全てのIP アドレスでアクセスする

ことができます

Traffic IP Groups Traffic IP Groups に設定されたIP アドレス（Traffic IP Address）で

のみアクセスすることができます

Domain names and IP Address… 特定のインターフェースに設定されている複数の IP アドレスから１

つを指定してアクセスする場合に選択します

Virtual Server の設定では、同じListen Onの設定で同じポート番号を指定することが出来ません。

ZNW17ISD-TCN026


35

例えば、

Traffic Manager のIP アドレス：192.168.0.101

Traffic IP Groups のIP アドレス：192.168.0.201

となっている場合、

既に192.168.0.101 にてHTTP（80）のVirtual Server を設定している場合、All IP Address の設定にて同

じHTTP(80)のVirtual Server を設定することはできません。その場合はListen on をTraffic IP Groupsに変

更し 192.168.0.201 を設定しているTraffic IP Groups を選択します。

② X-Forwarded-For 設定

X-Forwarded-For をヘッダーに挿入するには、Services＞Virtual Server＞Virtual Server 名＞Protocol

Settings＞HTTP-Specific Settingsにアクセスします。

add_x_forwarded_for の設定をYesにします。

③ Timeout設定

Virtual Server にて設定するtimeout設定は接続端末ーvTM間のタイムアウト設定です。

ZNW17ISD-TCN026


36

Services>Virtual Servers＞Virtual Server 名＞Protocol Settings>Timeout settings メニューで設定します。

Connect_timeout 新しいコネクションからのデータを待つ時間を設定します

Keepalive_timeout HTTP の場合に表示します。

アイドル状態のkeepalive のタイムアウトを設定します

timeout 既存コネクションがデータを受信しない場合に接続を閉じる時間を設定します

これらの値はノードで動作するアプリケーション、接続元などシステム設計等を踏まえて調整を実施します。

④ Request logging

Request Logging のメニューでVirtual Server へのアクセスをロギングすることができます。

Services＞Virtual Server＞Virtual Server 名＞Request Logging のメニューにてRequest Logging to File の

log!enabled をYes に設定します。

ZNW17ISD-TCN026


37

この設定によりTraffic Manager 内にはVirtual Server のアクセスログが保存されますが、ファイルのローテー

ト、アーカイブは行われません。

お客様自身でローテート、アーカイブを設定いただく必要があります。

ログローテート、アーカイブ設定はオペレーティングシステム側の設定です。弊社のサポート範囲ではございま

せん。

※log!format の設定にてカスタムマクロを設定しますと毎日ログファイルを作成するローテートを設定す

ることができますが、アーカイブは実施されません。

設定されている複数のVirtual Server 全てでRequest Logging を有効にしますと、DISK I/O 負荷となり、動

作に影響が出ることがあります。

この図の例では、1台のvTM上に3 つのVirtual Server を設定しています。

Virtual Server はそれぞれ2 台のノードが構成されているPool に関連付けされています。

ZNW17ISD-TCN026


38

全てのVirtual Server にてRequest Logging をYes にすると、vTM上にログが保存されます。

ノード側でもアクセスログを取得しているとすると、ノード 1 台相当のログに対して 6 倍の記録が vTM 上で行

われます。

vTMが6 倍の負荷を処理できる能力（性能）がない場合、ログの書き込み遅延等が発生します。

この問題はご利用環境に依存しますので、弊社では設定を無効にするという案内となり他の対応は出来ません。

ご利用環境に依存する質問につきましては弊社では回答の提示ができません。ニフクラの問合せ窓口にご質問を

お送りください。

⑤ ソーリーページ

vTMではノードがダウンしPoolが動作しない場合にソーリーページを表示させることができます。

ソーリーページの設定は Services＞Virtual Servers＞Virtual Server 名＞Protocol Settings＞Connection

Error Settings メニューのerror_fileの項目で設定します。

Protocol Default Traffic Manager 内に持つデフォルトのページ（Service Unavailable）

を表示させます

ファイル名 Catalogs＞Extra Files でアップロードされたカスタマイズページを表示

させます

Protocol Default

(Headers Only）

内部サーバエラー、HTTP ERROR 500 を表示させます

Close Connection ・このページは表示できません

・ERR_EMPTY_RESPONSE

・接続がリセットされました

などが表示します

ZNW17ISD-TCN026


39

ソーリーページによるメッセージはHTTP 以外でも表示させることができます。

カスタマイズページのファイルを Catalogs＞Extra Files＞Miscellaneous Files メニューからファイルをアッ

プロードします。

カスタマイズページには JPG 等のファイルを設定することができますが、ページファイル内に画像ファイルを

Base64 フォーマットで記述しなければなりません。

⑥ Rule作成

Ruleはトラフィック処理ルールを設定するメニューです。

STM1000以上のライセンスではTraffic Scriptという条件分岐などの構文で指定するなど条件の複雑なルールを

設定することができます。

TrafficScriptで利用可能な項目はTraffic Scriptガイドに記載されています。

TrafficScript の記述方法について、サンプルは弊社サポートサイト内に掲載していますが、条件文等の記述方法

はサポート対象外となっています。

Virtual Server へのRule の反映は3 つの方法があります。

Request Rules リクエストがPoolsに送信される前にルールを適用

Response Rules ノードがリクエストに応答した後、ルールを適用

ZNW17ISD-TCN026


40

Transaction Completion Rules トランザクションの完了時にルールを適用

1 つのVirtual Server に設定されたRuleが複数ある場合、上から順番にチェックを行い、ルールを適用します。

但し、以下のRule が適用された場合は、以降のRule 適用を行いません。

・Drop Connections

・HTTP redirect

・Change HTTP site

・Choose Pool

設定された Rule の順番は、Rule 名称の左側をドラッグすることで上下に移動させ適用順番を変更することがで

きます。

【Rule の設定方法】

ここではRuleBuilder を使用した設定を説明します。

Catalogs＞Rule メニューのCreate new rule にてName:を指定し、Create Rule をクリックします。

STM1000 シリーズ以上のライセンスを利用している場合は、Use RuleBuilder を選択します。

RuleはCondition（条件）とAction（実行）で構成されます。

Conditions、Actions ともに右側のメニューから項目を選択します。選択した項目に対して、値を設定します。

ZNW17ISD-TCN026


41

Rule設定のサンプルは弊社サポートサイト内に掲載しています。

「【Rule】」というキーワードで検索することができます。

また本ドキュメントの補足1 にサンプルを掲載しています。

ニフクラ上のvTM パブリックイメージには、あらかじめRule のサンプルを設定しています。ご活用ください。

⑦ Rule適用方法

作成したRuleをVirtual Server に割当てします。

Services＞Virtual Server＞Virtual Server 名＞Rules にアクセスします。

Request RulesまたはResponse RuleでAdd ruleのリストからRuleを選択し Add Rule をクリックします。

ZNW17ISD-TCN026


42

⑧ アクセス上限

17.2 からVirtual Server へのアクセス数の上限を設定できるようになりました。

設定はServices＞Virtual Servers＞Virtual Server 名＞Protocol Settings＞TCP Connection Settings メニュ

ーのmax_concurrent_connections の項目で設定します。

0（ゼロ）以外の値を設定することで接続数の上限となります。

(c) Pool 設定

ウィザードで作成したPools の設定を調整します。

Services＞Pools＞Pool 名をクリックします。

① IP トランスペアレント

トランスペアレントは2 つ以上のインターフェースを持つvTM上で設定することができます。

複数のIP アドレス設定やVLAN にも対応します。

トランスペアレントの設定はServices＞Pools＞Pool 名＞IP Transparency メニューで設定します。

トランスペアレント設定は初期値がNo になっています。

ZNW17ISD-TCN026


43

トランスペアレントを Yes に変更した場合、Pool に設定されているノードのデフォルトゲートウェイに vTM の

インスターフェースのIP アドレスを指定してください。

インターフェースに向けない場合はアクセスがエラーとなります。

Cluster 構成ではTraffic IP Groupsを作成し、Traffic IP Groups に設定したTraffic IP Address をノードのゲー

トウェイに指定します。

またServices＞Traffic IP Groups＞Basic Settings にてkeeptogether の設定をYes に設定します。

【ご注意】

FTP の設定ではトランスペアレントを設定することはできません。

② Load Balancing

Load Balancing の設定はデフォルトでラウンドロビンに設定されます。

Weighted Round Robinを選択された場合、Some algorithms require a weighting for each node in the pool.

の項目で重み付けを設定することができます。

例えば、1 対4 で設定された場合、172.16.0.111 が1 回リクエスト受けるのに対して172.16.0.112 が4 回リ

ZNW17ISD-TCN026


44

クエストを受けるという設定になります。

Session Persistence を設定されている場合、Round Robin を設定されても、リクエストを処理するノードは

Session Persistence の設定、処理に基づき選択されます。

■Load Balancing Algorithm

Round Robin 交互にノードにトラフィックを渡します

Weighted Round Robin 重み付けに従ってノードにトラフィックを渡します

Perceptive 現在のコネクション数とレスポンス時間を組み合わせ、トラフィッ

クの最適な分布を予測します

Least Connections 最小セッション数を持つノードにトラフィックを渡します

Weighted Least Connections 現在接続中のセッション数を重み付けで割り算し、一番小さい値を

持つノードにトラフィックを渡します

Fastest Response Time 直近の数リクエストの応答時間が早いノードを選択しトラフィック

を渡します

Random Node ランダムにノードを選択しトラフィックを渡します

■Priority Listの設定

本書ではファーストステップを目的としているため、Priority Listの設定に関する記載は省略させていただきます。

Priority Listの動作、設定につきましては弊社サポートサイト内の技術情報を参照してください。

ZNW17ISD-TCN026


45

③ Session Persistence

vTMのSession Persistence ではアクセス数で保持量を管理します。

保持時間によるセッション管理ではございませんのでご注意ください。

セッション保持を時間管理で行いたい場合はScript ベースの設定を行う必要があり、STM600 シリーズでは設定

できません。

CookieベースのSession Persistence はTraffic Manager 内にセッション維持情報を保持しません。

保持されたセッション情報はTraffic Manager のリスタート、再起動などで消去されます。

Session Persistence の保持量はキャッシュ設定で設定します。

設定はSystem＞Global settings＞Cache Setting の項目になります。

Cache Settings の設定を変更するとリスタートを求められます。

※値を0(ゼロ)に設定することはできません。

※vTM内に保存されているセッション保持情報を完全にクリア（削除）するにはTraffic Manager の停止が伴い

ます。

Session Persistence を設定するには、Services＞Pools＞Pool 名＞Session Persistence のメニューで設定しま

ZNW17ISD-TCN026


46

す。

新規に設定する場合、Choose Session Persistence Class の項目で、Manage Session Persistence Classes を

クリックします。

Create new Session Persistence class メニューでNameを設定し Create Class をクリックます。

Typeから設定するPersistence を選択します。

STM600 シリーズのライセンスでは、選択できるType が少なくなります。

■Persistence タイプ

ZNW17ISD-TCN026


47

IP-based persistence 同じ送信元アドレスから同じ実サーバにリクエストします。

subnet prefix lengthを設定することでセッション維持情報を保持

するIP アドレスを制限させることができます

Universal session persistence

（STM1000 以上）

Traffic Script の設定で提供されるデータを使ってセッションを識

別します

Named Node session persistence

（STM1000 以上）

Traffic Script の設定で提供されるノードでセッションを識別しま

す

Transparent session affinity クッキー情報を使ってセッションを識別します。

vTM 側には情報を保持しません。

Cookie としてクライアント側で保持します

Monitor application cookies ... アプリケーションクッキーを監視しセッションを識別します。

vTM 側には情報を保持しません。

Cookie としてクライアント側で保持します

J2EE session persistence JavaのJSESSIONID cookieとURLを使用してセッションを識別

します

ASP and ASP.NET session persistence cookie、もしくは URL に埋め込まれているasp の識別子を使用し

てセッションを識別します

X-Zeus-Backend cookies X-Zeus-Backend クッキー情報とノード名でセッションを識別し

ます

SSL Session ID persistence SSL パススルーで選択可能です。

SSL 時はIP-based Persistence とTransparent session affinity

を選択できます

ZNW17ISD-TCN026


48

④ Timeout

Pools側で設定するタイムアウトはvTM－ノード間のタイムアウトの設定です。

Services＞Pools＞Pool 名＞Protocol Settings のメニューで設定します。

■Timeoutに関連する設定

TCP Pool Settings>

max_connect_time

Passive Monitoring が有効のときに機能します。

設定時間内にコネクションが確立しなかった場合にリクエストは

失敗したとみなされ、他のノードに接続が切り替えられます

TCP Pool Settings>

max_reply_time

設定時間内にノードからのレスポンスが受信できない場合、リクエ

ストは失敗したとみなされます

TCP Connection Limits and Queueing＞

queue_timeout

ノードに接続できない場合に、リクエストはキューに入りますが

queue_timeout に設定された時間を超えてキューイングされてい

るコネクションは破棄され、エラー応答を送信します

max_reply_time の設定はHealth Monitoring の設定と関連します。

Health Monitoring の設定値より max_reply_time の値が大きい時、ノードからの応答を待っている間に、

Health Monitoring のタイムアウトによってノードがフェイルと判断されてしまうことがあります。

そのため、

Monitors（ノードのヘルスチェック）> max_reply_time（ノードからの応答を待つ時間）

（Monitorsのフェイル検知のほうが長い）

ZNW17ISD-TCN026


49

または

Monitors（ノードのヘルスチェック）＝ max_reply_time（ノードからの応答を待つ時間）

（Monitorsのフェイル検知と同じくらい）

といったように検知に差がでないように調整します。

設定項目に関する説明はユーザマニュアル、HELP、サポートサイト内の技術情報にてご確認ください。

⑤ Health monitoring

Health monitoring にはPassive Monitoring とActive Monitoring の２つがあります。

Passive Monitoring はリクエストをノードに送信するたびにヘルスチェックを実行します。

Active Monitoring は一定時間毎にヘルスチェックを実行します。

デフォルトの設定はYesです。

・ノードとのコネクションが確立されない

・データ書き込みが完了する前にコネクション断となる

・max_reply_time の設定時間内にノードからのレスポンスの最初のデータが受信されない

といった状況でノードフェイルを判断します。

Passive Monitoring が無効（Noの設定）では、Active Monitoring としてMonitorsに設定されている内容で定

期的にノードをチェックします。

MonitorsのType には

delay (sec) ヘルスチェックの実施間隔を設定します

timeout (sec) 応答を待つ時間のタイムアウトを設定します

failures (回) フェイルを検知するヘルスチェックの失敗回数を設定します

ZNW17ISD-TCN026


50

の設定があります。

これらの値を調整することでMonitorsの設定によるノードフェイルの検知のタイミングが変わります。

例えば、

delayを【5】秒、timeoutを【10】秒、failures を【3】回と設定した場合、

TCP Connect の Monitor ではノードとして設定されているポート番号に対して接続が確立できない場合に

ノードフェイルを判断します。

TCP ポートに接続が出来ない場合、すぐに結果が得られますのでtimeoutの時間を待つことはありません。

よって、Monitors によるチェック開始から10 秒でノードフェイルを検知します。

Simple HTTP の場合、HTTP サーバからの応答待ちが発生する状況では40 秒でノードフェイルを検知します。

【TCP Connect】

1 回目のチェック／接続NG

↓ Delay 5sec


↓ Delay 5sec


||

ノードフェイル検知

【Simple HTTP】

1 回目のチェック／応答待ちタイムアウト 10sec

↓ Delay 5sec


↓ Delay 5sec


||

ノードフェイル検知

「④Timeout」にてHealth Monitoring とmax_reply_time の設定の関連を示しています。

HTTP による Monitors を設定している場合でも、HTTP サーバのノードからのレスポンスに時間を要する時に

max_reply_time の設定時間よりも HTTP の Monitors のタイムアウト値が小さいために先に Health Monitor

がノードをフェイルと判断してしまうことがあります。

ZNW17ISD-TCN026


51

システムの構成によってmax_reply_timeとMonitors のDelay、Timeout設定の調整が必要となります。

Health Monitoring では

・Passive Monitoring とMonitorsの２つの設定

・ Monitorsだけの設定

のいずれかを設定してください。

ノードフェイルから復帰した場合でも復帰状態を検知できず、ステータスがフェイルのままとなってしまうこと

があります。

⑥ ノードの復帰判断

何かしらの理由でノードのサービスがダウンするなどでフェイルと検知されたノードに対して、vTMは復帰を確

認するためのヘルスチェックを実施します。

ノードの復帰が確認されるとvTMはノードのステータスをファイルからWORK（復帰）に変更します。

ノードの復帰の確認はPassive Monitoring とActive Monitoring で異なる動作をします。

Pool に2 つのノードが設定されている場合、

Passive Monitoring ではアクセスが生じると

・1 台目はすぐにチェックされ、WORK（復帰）します。

・2 台目へのチェックはnode_fail_time の設定時間経過後となります。

※node_fail_timeの設定はServices＞Pools＞Pool名＞Protocol Settings＞TCP Pool Settingsに項目がありま

す。

Active Monitoring ではアクセスが生じなくとも定期的にチェックされる為、1 台目、2 台目ともにすぐにWORK

（復帰）となります。

ZNW17ISD-TCN026


52

２) SSL オフロード設定

SSL オフロードの負荷分散を設定する場合は、SSL サーバ証明書等の必要な設定後、Wizards機能を使わずに負荷分散の設定

を行います。

(a) サーバ証明書

テスト済みのSSL サーバ証明書 ※2017 年7 月時点

・サイバートラストSure Server/Sure Server EV

・GMO Global Sign企業認証SSL

・シマンテックセキュア・サーバID

・GeoTrust トゥルービジネスID

・Let’s Encrypt

マルチドメイン、ワイルドカード証明書の利用も可能です。

SSL サーバ証明書は

・vTM内部でCSR を作成し、外部のSSL サーバ証明書発行機関にて発行いただく

・既存または外部で発行済みのSSL サーバ証明書をvTMにインポートする

という2 つの方法で設定することができます。

① CSR作成

Catalogs＞SSL> SSL Server Certificates catalog メニューの Create new SSL certificate にて Create

Self-Signed Certificate / Certificate Signing Request をクリックします。

項目に情報を設定します。

ZNW17ISD-TCN026


53

Subject Alternative Name(s) についてはサーバ証明書発行機関にお問合せください。

Organizational Unit (OU)は“(optional)”となっていますが登録いただくことをお勧めします。

Stateは“(required for US only)”となっていますが都道府県名を入力してください。入力がされていないとSSL

サーバ証明書発行機関において受付されないことがあります。

Key Typeは2048bitRSA またはP-256 ECDSAが推奨されています。（ver.17.2）

項目への入力後、Create Certificate をクリックします。

次画面にてCertificate signing のExport CSR / Sign Certificate をクリックします。

Certificate Signing Request (CSR)の内容を全てコピーし、SSLサーバ証明書発行機関に証明書発行を申込みし

ます。

ZNW17ISD-TCN026


54

-----BEGIN NEW CERTIFICATE REQUEST----- から

-----END NEW CERTIFICATE REQUEST----- までが

CSRの内容となります。

② CSRから作成されたSSL サーバ証明書の適用

Catalogs＞SSL> SSL Server Certificates catalog メニューにてCSRを作成された際の設定をEdit します。

Certificate signing の項目のExport CSR / Sign Certificate をクリックします。

Replace certificate の項目に証明書発行機関から発行されたSSLサーバ証明書をテキストエディタ等で開き、内

容をコピー&ペーストし、Update Certificate をクリックします。

③ 日本語JP ドメイン用のCSR 作成について

日本語JP ドメインの設定はPunycode表記で設定します。

④ インポート用秘密鍵ファイルの変換

既存または外部のSSL サーバ証明書をインポートするにはSSLサーバ証明書のほかに秘密鍵が必要です。

サーバ証明書に対応する秘密鍵がない場合、インポートはできません。

また秘密鍵はそのままインポートできない場合があります。その場合はopenssl コマンドを利用し秘密鍵をイン

ポートできる形式に変換します。

vTM では openssl コマンドを利用することができますので、vTM 内に秘密鍵をアップロードし、変換すること

ができます。

■変換方法1

# openssl rsa -in <秘密鍵ファイル> -out <出⼒ファイル>

出力されたファイルを取り出します。

ZNW17ISD-TCN026


55

■変換方法2

# openssl rsa -in <秘密鍵ファイル>

表示された内容のうち、

-----BEGIN RSA PRIVATE KEY----- から

-----END RSA PRIVATE KEY----- までを

コピーしテキストファイル等に保存します。

⑤ 既存、外部のSSL サーバ証明書のインポート

Catalogs＞SSL> SSL Server Certificates catalog メニューのImport SSL certificate にてImport Certificate

をクリックします。

Certificate file に証明書ファイル、Private key file に秘密鍵ファイルを選択し、Name を設定して、Import

Certificate をクリックします。

Name はvTMに既に設定されているSSL サーバ証明書と異なる名称を設定してください。

SSL Server Certificates catalog にインポートされた証明書の設定が追加されます。

PCKS#12 形式でのインポートはできません。PEM フォーマットのファイルでインポートしてください。

ZNW17ISD-TCN026


56

(b) 中間CA 証明書

Catalogs＞SSL> SSL Server Certificates catalog メニューにて、SSL サーバ証明書の設定をEdit します。

Certificate signing の項目にてUpdate / Add Intermediate Certificateをクリックします。

Certificate file にてインポートする中間CA 証明書のファイルを選択します。

upload Intermediate Certificate をクリックします。

中間 CA 証明書の設定は SSL サーバ証明書の設定に追加されます。インポートした SSL サーバ証明書以外には適用され

ません。サーバ証明書の設定毎に中間CA 証明書を設定してください。

(c) Pool の手動作成

Services＞PoolsメニューにてCreate a new Pool の項目で作成します。

Pool Name 設定名称を入力します。

既に登録されている名称と同じ名称はご利用できません。

Nodes Node を設定します。

ホスト名：ポート番号またはIPアドレス：ポート番号で入力します。

複数のノードを登録する場合は、カンマで区切ります

Monitors Health Monitor のMonitor を選択します。

ZNW17ISD-TCN026


57

入力後、Create Pool をクリックします。

必要に応じてPool 内の他のパラメータ、Protocol Settings やSession Persistence などを設定します。

新規にPool を作成せずに既に登録されているPools設定をご利用いただくこともできます。

(d) Virtual Server の手動作成

Services＞Virtual Servers のCreate a new Virtual Server の項目で作成します。

Virtual Server Name 設定名称を入力します。

既に登録されている名称と同じ名称はご利用できません。

Protocol HTTP、SMTP などSSL の状態でない方を選択します。

Port 443 や465 などSSL ポートを指定します

Default Traffic Pool Pool を選択します

Create Virtual Server をクリックします。

作成直後のVirtual server の設定はEnabled がNo となり、無効状態となります。

SSL Decryptionの設定後、Enabled をYesに変更し、有効にしていただく必要があります。

(e) SSL Decryption設定

Services＞Virtual Servers＞Virtual Server 名＞SSL Decryption をEditします。

ZNW17ISD-TCN026


58

certificate のDefault Certificates にてvTM内に設定されているSSL サーバ証明書を選択します。

alt_certificates の項目にて、異なる鍵タイプのサーバ証明書を追加設定することができます。

例）Default Certificates：【RSA】、alt_certificates：【ECDSA】

証明書の選択後、ssl_decrypt をYesに変更し、Apply Changes の Update をクリックし設定を保存します。

３) クライアント証明書の利用

SSL オフロードの設定にはSSLクライアント証明書を使った認証を設定することができます。

弊社では

・サイバートラストデバイスID

・自己証明書

でテストを行っております。

Catalogs＞SSL＞Certificate Authorities and Certificate Revocation Lists Catalog メニューにて外部機器にて作成した

CA ファイルとCRL ファイルをインポートすることができます。

ZNW17ISD-TCN026


59

クライアント証明書による認証設定は、Services＞Virtual Servers＞Virtual Server 名＞SSL Decryption の設定で行い

ます。

アクセスが発生した際にクライアント証明書を要求するために、request_client_certをRequire a client certificate に

変更し、認証対象のドメインを指定するためにclient_casにてインポートしているCA の設定を選択します。

Certificate AuthorityにてCA 設定にチェックがない場合、クライアント証明書の有無しかチェックしません。

クライアント証明書がサイトと異なるコモンネームのものでも認証がOKとなりSSLサイトへのアクセスができてしまい

ます。

また複数のCA の設定がインポートされていてもチェックされているCA のドメインのみが認証OKとなります。

ZNW17ISD-TCN026


60

４) フォルトトレーランス設定

vTMは1 台構成でもゲートウェイ側、ノード側へのPing 送信による自身の死活監視を行っています。

Cluster 構成では構成されるvTM 間で相互にチェックを行います。

また 2 台以上の vTM にて Cluster を構成した場合、フェイルオーバーからの復帰後、自動でフェイルオーバー発生前にアク

ティブだったマシンに戻すフェイルバックが設定されています。

フォルトトレーランスの設定はSystem＞Fault Tolerance＞General のメニューで設定します。

flipper!autofailback フェイルオーバー後の自動切り戻しを設定します

flipper!autofailback_delay 自動切り戻しの時間を設定します。0(ゼロ)を設定するとvTM 復帰後、すぐに切り戻しが行

われます

flipper!autofailback の設定がNo のときは手動による切り戻しが可能です。

手動操作による切り戻しがされるまで、管理画面上には警告メッセージが表示します。

ZNW17ISD-TCN026


61

<ホスト名＞ has recovered from a failure and can take back its Traffic IPs というメッセージになります。

この警告はDiagnose＞Cluster Diagnosis メニューにも表示されます。

（右上のCluster Error をクリックするとCluster Diagnosisのメニューにジャンプします）

画面内のReactivate this traffic manager をクリックするとActive だった側のマシンに切り戻すことができます。

flipper!monitor_interval ・flipper!frontend_check_addrs へのPing

・ノードへのPing

・vTMハートビートの送信

のタイミング（間隔）を設定します。単位は“ミリ秒”です

flipper!monitor_timeout vTMのフェイルを検知するタイムアウト時間を設定します。単位は“秒”です

flipper!frontend_check_addrs ノード以外への死活監視先を設定します。

%gateway%はデフォルトゲートウェイです

flipper!monitor_interval で Ping が送信されるノードは全ての Pools に設定されているノードから vTM がランダムに決め

ます。Ping 送信先のノードがダウンしている場合は、他のノードに送信先を切り替えます。

ZNW17ISD-TCN026


62

全てのノードがダウンし、タイムアウト時間が経過するとvTMはフェイル検知され、フェイルオーバーされます。

Health Monitor ではない、vTM からノードへの死活監視のPing は停止させることができません。

vTM 間のハートビートは相互に行われます。ライセンス申込み時の IP アドレスが設定されているインターフェースにてハー

トビート通信ができないとフェイルとなります。

５) コネクション解析

vTMを通過するコネクションの情報はConnection Analytics 機能で詳細を確認することができます。

Services＞Virtual Servers＞Virtual Server 名＞Connection Analytics メニューにてrecent_conns!save_all の設定をYes

にします。

vTMを通過するコネクションが記録され、Activity＞Connections メニューにて確認することができます。

STM600 シリーズのライセンスではConnectionsメニューにはコネクションの一覧が表示します。

STM1000 シリーズ以上のライセンスでは個々のコネクションの詳細を確認することができます。

ZNW17ISD-TCN026


63

６) SNMP 設定

snmp の設定はSystem＞SNMP メニューで設定します。この設定はSNMP Trap の設定とは異なります。

SNMP Settingsにて snmp!enabled をYesに設定することで外部からvTMのOIDをGET することができます。

「Get SNMP MIB (SMIv2, for SNMPv2c and SNMPv3 clients)」からvTMのプライベートMIBファイルを取得することが

できます。

ZNW17ISD-TCN026


64

vTMのSNMP 設定はオペレーティングシステム上のSNMP の設定、OID の取得を行いません。

vTM 側の SNMP 設定を無効にしている場合はオペレーティングシステム上の SNMP の設定、Zabbix 等のエージェントにて

vTMのOID は取得できないことがあります。

vTM のOID にはCPU やメモリの値を取得するものが含まれています。弊社ではvTM 側のSNMP のご利用を推奨しており、

オペレーティングシステム側のSNMP の設定、Zabbix 等のエージェントでのvTM のOID 取得に関するサポート対応は実施

しておりません。

SNMP Trap の設定はSystem＞AlertingメニューのManage Actionsをクリックします。

SNMP Trap (SNMP Trap action) をEditし、設定します。

ZNW17ISD-TCN026


65

SNMP Trap を送信する項目はSystem＞AlertingメニューのEvent Type で設定します。

選択されたEvent Type にActions としてSNMP Trap を割当てすることでSNMP Trap が送信されます。

ZNW17ISD-TCN026


66

8．よくある質問

１) アクティブ－スタンバイの手動切替え

冗長構成されたvTMのアクティブースタンバイを手動で切り替えるには、Traffic IP Groupsのメニューで設定します。

管理画面からServices＞Traffic IP Groups＞Traffic IP Groups 名のEditをクリックします。

Traffic Managersの項目で、Standby側に設定したいTraffic Manager のPassive の項目にチェックを入れます。

Active側に設定したいTraffic Manager にはPassive にチェックをしません。

Apply ChangesのUpdateをクリックし設定を反映させます。

PassiveにチェックがついているマシンがStandbyマシンとして動作します。

フェイルオーバー時を含め、アクティブースタンバイが切り替わる際にコネクション、セッションは引き継がれません。通信

断が発生します。

vTM内にキャッシュされているSession Persistence の情報はCluster を構成するvTM間で同期している為、切り替わり後

も同じノードに接続することができます。

２) 通信断

フェイルオーバー発生時、コネクション、セッションは引き継がれません。

また異なる鍵タイプ、暗号化スィートへの切替え時などSSL 設定を変更された場合も通信断は発生します。

ZNW17ISD-TCN026


67

３) DNS 解決エラー

vTMではDNS 参照による名前解決が必要となります。

名前解決ができない場合、Cluster Error となり、エラーが記録されます。

/etc/resolv.conf に名前解決ができるDNS サーバが設定されていない場合、Join a Cluster 実施時にエラーとなります。

また vTM 自身のホスト名が解決できない場合、イベントログに Hostename ***** dose not resolve to any of our

specified IP Address と記録されます。

４) Cluster Error

管理画面右上に表示するCluster Error、Cluster Warning はvTM の設定・動作に問題が発生した際に表示します。

文字をクリックするとエラー詳細を確認することができます。

このCluster という表示は冗長構成でのCluster という意味ではありません。

構成するマシンという意味になり、vTMが1 台でもCluster の表示になります。

５) ノードフェイル

vTMがノードフェイルを検知すると、イベントログに nodefail が記録されます。

ノードフェイルはPool に設定されたHealth Monitoring の設定、vTMの死活監視で検知されます。

vTMのイベントログにはノードのフェイルを検知したことだけが記録されます

メッセージ例

Monitor Full HTTP: Monitor has detected a failure in node '172.16.0.127:80': Read failed: Connection refused

Pool default-web, Node 172.16.0.127:80: Node 172.16.0.127 has failed - A monitor has detected a failure

ZNW17ISD-TCN026


68

ノードフェイルの原因の多くは

・時間内にコネクション確立ができない

・ノードのアプリケーションからの応答が得られない

などのタイムアウトといったものです。

これらの原因はvTM側ではなく、基盤上の負荷の影響、ネットワーク疎通の問題やノード側の応答遅延となります。

弊社サポートセンターに原因の質問をいただいても、vTMのイベントログからはノード側の原因を調べることはできません。

６) SSL 暗号化スィートの設定

vTMではvTM全体またはVirtual Server 毎に利用するSSL 暗号化スィートを指定することができます。

vTM全体で設定する場合は

System＞Global Settings＞SSL Configurationメニュー

Virtual Server 毎に設定する場合は

Services＞Virtual Servers＞Virtual Server 名＞SSL Decryption メニュー

で設定します。vTM全体の設定よりもVirtual server 個別の設定が優先されます。

vTM全体の設定

System＞Global Settings＞SSL Configuration

ssl!ssl3_ciphers

Virtual Server 毎の設定

Services＞Virtual Servers＞Virtual Server 名＞SSL Decryption

ssl_ciphers

項目はデフォルトで空欄です。空欄の状態ではデフォルトで有効となる暗号化スィート全てが利用可能です。

デフォルトで有効となる暗号化スィートはHELP から確認することができます。

管理画面からSystem＞Global Settings＞SSL Configurationメニューを開き、HELP をクリックします。

ZNW17ISD-TCN026


69

別ウィンドウが開きます。

ssl!ssl3_ciphers の項目にて対応する暗号化スィートを確認することができきます。リストの上位から順番に優先利用されま

す。

SSL オフロードで利用する特定の暗号化スィートを指定するにはssl!ssl3_ciphers の項目またはssl_ciphers の項目に設定し

ます。

複数の暗号化スィートはカンマ区切りで指定します。

優先される順番は先頭からの順になります。

暗号化スィートは SSL/TLS バージョン毎に指定することはできませんが、指定する暗号化スィートによって利用できる

SSL/TSL バージョンが異なります。

ZNW17ISD-TCN026


70

暗号化スィート毎に対応するSSL/TLS バージョンに関する情報は弊社サポートサイト内の技術情報に掲載しております。

７) SSL コネクションエラー

SSL コネクションエラーはSSL/TLS バージョン、ネゴシエーションに利用する暗号化スィートのミスマッチで発生します。

vTMは設定された通りのSSL 接続となります。

SSL コネクションエラー発生時には必ず汎用的なツールである、IE、Firefox、Chrome等の複数のウェブブラウザ、openssl

コマンドで再現性をご確認ください。

汎用的ツールでSSL コネクションエラーが発生しない場合、vTM のSSL 設定が接続元の設定とミスマッチしているか、接続

元のアプリケーションに起因する問題が考えられます。

汎用的なツールでSSL コネクションエラーが発生しない場合の解析への協力はサポート範囲ではございません。システムの構

築担当、開発担当の各会社様にてご対応ください。

ZNW17ISD-TCN026


71

9．サポート

１) サポート窓口

ニフクラ環境でご利用のvTM に関する問合せは、原則ニフクラの問合せ窓口にお問合せください。


ご連絡いただきましたご質問に対する回答期限のご要望には応じておりません。

２) サポート範囲

ニフクラの問合せ窓口を通じ、弊社が対応するサポートはシステムが稼働開始された後のPOST サポートです。

ニフクラ上のvTMイメージは、

・ニフティクラウドのパブリックイメージとして公開されているCentOS

・vTMソフトウェア

で構成されています。

弊社が対応する範囲は vTM のソフトウェア部分となります。オペレーティングシステムに関する操作、設定、エラー、脆弱

性情報等のご質問には対応しておりません。

お客様が個別にRedHatや他のLinuxOS 上にvTMのソフトウェアをインストールいただいくことも可能です。

ソフトウェアは弊社サポートサイト上から入手することができます。

サポート期限内のバージョンのご利用且つ、システム要件を満たす環境において、ニフクラ環境における vTM のソフトウェ

アのサポートは提供されます。

※システム要件は利用バージョンによって異なります。詳しくは弊社サポートサイト内のFAQ をご確認ください。

vTMの仮想サーバー内に他のアプリケーションをインストール、設定されている場合、アプリケーションとの切り分けはお客


ZNW17ISD-TCN026


72

様ご自身で実施してください。

vTM設定方法の説明、コンフィグの正当性確認などは全て有償での対応をさせていただいております。

初めて構築されるお客様に対しては、弊社にて導入前のご相談への対応、勉強会、レクチャを実施しております。

詳しくはニフクラの営業までお尋ねください。

３) 問い合わせ時に必要な情報

問い合わせ時には以下の情報をお送りください。

◎ … 必須情報

〇 … なるべく提供いただきたい情報

△ … あるとよい情報

【Technical Support Report取得方法】

Diagnose＞Technical Support ＞Querying Technical Support メニューにてManage Technical Support Reports を

クリックします。

TSR Optionsにて全ての項目にチェックを入れ、Generate TSR をクリックします。

Technical Support Reportの生成がスタートし、準備ができますと操作を行っているPC上にダウンロードされます。

ZNW17ISD-TCN026


73

【コンフィグ取得方法】

System＞Backups＞Create a Backup メニューにて Save します。

SaveしたバックアップがBackups stored on Traffic Manager に表示します。

バックアップされた名称をクリックします。

Export Backup メニューからExport Configuration をクリックします。

操作PC上にコンフィグがダウンロードされます。

４) サポート終了

提供中のvTMの各バージョンにはメーカーサポートの期日があります。

ver.9.9/9.9r1/9.9r2 2018 年1 月5 日

ver.10.4/10.4r1 2019 年3 月28 日

ver.17.2 2020 年5 月21 日

上記バージョン以下のバージョンは既にメーカーサポートが終了しています。

サポート終了後のバージョンに対してメーカーの解析は実施されません。

サポート終了後は弊社のノウハウ、ナレッジの範囲にて対応させていただきます。

５) サポートサイト

弊社ではvTMご利用のお客様向けにサポートサイトを開設しております。

サポートサイト http://www.znw.co.jp/support

Virtual Traffic Manager サポートサイトをクリックします。

http://www.znw.co.jp/support

ZNW17ISD-TCN026


74

ログイン画面が表示します。

サポートサイトへのログインにはID とパスワードが必要となります。

ID とパスワードは以下のURL またはメールにてお申込み/お問合せください。

メールでの問い合わせ宛先 [email protected]

URL https://www.znw.co.jp/contact

お問合せ内容/ご依頼内容の欄にニフティID をご記入してください。

サポートサイトへのログインID、パスワードをご要望ください。

サポートサイトのパスワードは定期的に変更しております。上記 URL でお申込みいただきましたお客様に対しては変更前の

事前通知を行っております。

ZNW17ISD-TCN026


75

右上の「検索はこちらに入力」に検索キーワードを入力しますと掲載内容を検索することができます。

複数のキーワードをスペースで区切って入力しますとAND 条件で検索することができます。

【設定】、【Rule】、【zcli】、【TrafficScript】などタイトルの先頭に区別する文字を設定しています。

こちらの文字列で検索いただくことも可能です。

サポートサイトはニフクラにて弊社が提供するソリューションサービスをご利用いただいているお客様向けのサイトです。

正規ライセンスをご利用中でないお客様に対しては内容の開示、掲載ドキュメントの提供は行っておりません。

ZNW17ISD-TCN026


76

補足1：Rule 設定のサンプル

RuleBuilder の設定方法の情報です。

例1：Redirect

Redirectは vTMへのアクセスを自動的に他のサイトに転送します。

この例では http://www.123.com/hogehoge へのアクセスを http://www.domain1.jp へ転送します。

例２：Change HTTP

Change HTTP の設定では、パスを変えずに、ドメイン部分を変更します。

この設定では http://www.123.com/hogehoge にアクセスがあると http://www.domain1.jp/hogehoge に転送され

ます。転送先指定にパス部分の /hogehoge を指定しません。

ZNW17ISD-TCN026


77

例３：Choose Pool

Choose Pool の設定は動作において、Pool の選択を行います。

Rule 設定においてPool を選択することでVirtual Server に設定されたPool 設定を変更することができます。

この設定は1 つIP アドレスに紐づく1 つのVirtual Server 設定にて複数のFQDN の指定を処理する場合に利用します。

HOST ヘッダーの条件毎にアクセス先ノードを設定したPool を切り替えることができます。

Choose Pool はHOST ヘッダーとの組合せ以外にも利用することができます。

URL Path と組合せた場合、Choose Pool で指定されたPool のノード上のURL Pathにアクセスします。

例４：URL パスの否定条件

URL Path が /info、/faq /access /support /registration /products /member と構成され、/info、/access以外へのアクセ

ス時にはHTTPS サイトに切替えします。

ZNW17ISD-TCN026


78

Conditions の設定は Anyではなく、All に設定します。

is not equal to で/info とイコールでない、/accessとイコールでないという2 つの条件を全て満たす場合にアクションを実行させ

ます。

例5：URL Path とRaw URL の違い

URL Path の設定では /hogehoge や /hogehoge/index.php と設定します。

Raw URL では /hogehoge/board.cgi?action=guestbook と設定します。

URL 上のパラメータまで設定するにはRaw URL を利用します。

例6：リライト

Rewrite URL Path の設定ではパスの指定の仕方によって表示が変わります。

Actions 設定にRewrite URL Path を設定する際にpatternを /test とし、Replacementを /info2 とした場合

ZNW17ISD-TCN026


79

ブラウザからのhttp://*****/test にアクセスしますと http://*****/info2 に変わります

Actions 設定にRewrite URL Path を設定する際にpatternを /test/ とし、Replacementを /info2 とした場合

ブラウザからのhttp://*****/test/ にアクセスしますと URL 表記は変わらずに /info2 の内容が表示します

Documents

ニフクラご利用者向け Pulse Virtual Traffic Manager …...本書はニフクラ環境においてL7LB Pulse Virtual Traffic Manager (略称：vTM、旧製品名：Brocade