BIG-IP virtual editionをESXiやVMware workstationなどVMware製品へデプロイする方法をまとめます。
プロミスキャスモードの有効化
プロミスキャスモードとは
ESXiなどの仮想環境における仮想スイッチは、各仮想マシンのMacアドレスをハイパーバイザから学習し、そのMacアドレスに転送する挙動をします。言い換えれば、ハイパーバイザが学習しているMacアドレスとは異なるMacアドレスを仮想マシンが使用する場合は、無差別モード(promiscuous mode)を使用しなければ疎通不能になってしまいます。
無差別モード(promiscuous mode)は、ハイパーバイザが学習しているMacアドレスではなく、仮想スイッチが全ポートに対してフレームをフラッディングするようになる特殊な設定です。全ポートに対してフレームをフラッディングするので性能劣化につながる恐れはありますが、BIG-IPのような仮想ネットワークアプライアンスを使用する場合には、無差別モード(promiscuous mode)を有効にしなければなりません。
プロミスキャスモードの有効化の設定
以下、ESXiの標準仮想スイッチに対して、プロミスキャスモードを有効にする方法を説明します。
「vCenterの分散仮想スイッチ(VSS)に対してプロミスキャスモードを有効にする方法は本ページでは説明を省略します。分散仮想スイッチ(VSS)に対する設定方法はNested ESXiに必要なセキュリティ緩和設定」を参照ください。
ESXiの管理画面にて、「ネットワーク」「仮想スイッチ」「標準仮想スイッチの追加」の順に押下します。
「無差別モード」「MACアドレス変更」「偽装転送」を「許可」にします。
以下スクリーンショットは、仮想スイッチに対して「許可」を設定していますが、ポートグループ単位で「許可」を設定する事もできます。プロミスキャスモードはフレームを全ポートに対してコピーするので性能劣化に繋がります。手間はかかるものの、必要最小限のみプロミスキャスモードを有効にしたいならば、ポートグループ単位での設定も可能です。
「ネットワーク」「ポートグループ」「ポートグループの追加」の順に押下します。
「無差別モード」「MACアドレス変更」「偽装転送」の設定を確認し、デフォルトの「vSwitchから継承」になっていることを確認します。
仮想スイッチに対してプロミスキャスモードを「拒否」している場合は、この画面でポート単位でプロミスキャスモードの「許可」「拒否」を指定する事ができます。
標準仮想スイッチのvlan id 4095は、vlan1からvlan4094までのtag vlanを許可するタグvlanの意味です。Cisco機のコマンドで言えば「switchport mode trunk」に相当する考え方です。
設定例の紹介
このサイトでは、Internal, External, HAの3用途でポートグループを作成します。
| vSwitch | ポートグループ | 用途 |
|---|---|---|
| vSwitch1 | vSwitch1_External | BIG-IP 外部向けリンク |
| vSwitch2 | vSwitch2_Internal | BIG-IP 内部向けリンク |
| vSwitch3 | vSwitch3_HeartBeat | BIG-IP ハートビート向けリンク |
3用途毎にvSwitchを分けるのは必須ではありませんが、プロミスキャスモードはフレームをコピーする処理ですので、vSwitchを細かく分ければ分けるほど、それだけ性能劣化を軽減する事ができます。BIG-IP 2台程度の環境ならば乱暴な構成でも十分動作しますが、500 vlan超えるようなエンタープライズの環境をテストしようとする場合は、このような性能向上のためも工夫も求められます。
デプロイ操作
ESXiへデプロイする方法を示します。
スクリーンショットはvCenterのものになっていますが、vCenterは必須ではありません。スタンドアローンのESXiでも構築可能です。
クラスタまたはESXiホストに対する右クリックメニューで「OVFテンプレートのデプロイ」を選びます。
BIG-IPのovaファイルを選んだ状態で、「次へ」を押下します。
何か分かりやすい仮想マシン名を入力し、「次へ」を押下します。
コンピュートリソース(BIG-IPをデプロイするvSphereクラスタまたはESXiホスト)を選択した状態で、「次へ」を押下します。
BIG-IPのovaファイルジは信頼された証明書が付与されていません。「無視」を押下してから、「次へ」を押下します。
「すべての使用許諾契約書に同意します」にチェックを入れ、「次へ」を押下します。
ご利用の環境のマシンスペックに応じてBIG-IPに割り当てるリソースを決定し、「次へ」を押下します。
デプロイ先のディスクを選び、「次へ」を押下します。商用環境で圧縮重複排除が効くようなストレージを使用するならば意味のない設定ですが、自宅などで安価なディスクを使用する場合は「シンプロビジョニング」を選択する事でディスク容量を節約する事ができます。
Management, Internal, External, HeartBeatのそれぞれに割り当てるポートグループを指定します。ManagementはHTTPSやSSHでログインし、操作するためのインターフェースです。それ以外は、以下のような構成を想定しています。
+----------------+ +----------------+
| | | |
| Client | | Client |
| | | |
+-------+--------+ +-------+--------+
| |
| |
+----------------------------+
| |
| External | External
+-------+--------+ +-------+--------+
| | HeartBeat | |
| BIG-IP +-----------+ BIG-IP |
| | | |
+-------+--------+ +-------+--------+
| Internal | Internal
| |
+----------------------------+
| |
| |
+-------+--------+ +-------+--------+
| | | |
| Server | | Server |
| | | |
+----------------+ +----------------+
ポートグループの割り当て操作が完了したら、「次へ」を押下します。
設定を確認し、「完了」を押下します。
デプロイが完了するまで待ちます。
