Citrix ADC

GSLB セットアップの設定を同期する

通常、GSLBセットアップには、データセンターごとにGSLBサイトが設定されたいくつかのデータセンターがあります。GSLBに参加する各Citrix ADCで、1つのGSLBサイトをローカルサイトとして構成し、他のサイトをリモートサイトとして構成します。後で別の GSLB サイトを追加する場合は、すべての GSLB サイトにわたる構成が同一であることを確認する必要があります。Citrix ADCのGSLB構成同期オプションを使用して、GSLBサイト間で構成を同期できます。

同期オプションを使用するCitrix ADCアプライアンスは「マスターサイト」と呼ばれ、構成がコピーされるGSLBサイトは「スレーブサイト」と呼ばれます。GSLB構成を同期すると、GSLBセットアップに参加するすべてのGSLBサイトの構成は、マスターサイトの構成と同様になります。

同期は親サイトでのみ行われます。GSLB 子サイトの設定は、同期の影響を受けません。これは、親サイトと子サイトの構成が同一ではないためです。子サイトの構成は、その子サイトとその親サイトの詳細のみで構成されます。また、GSLB サービスは必ずしも子サイトで設定する必要はありません。

  • マスターノードは、マスターノードとスレーブノードの設定の違いを検出し、マスターノードと同様になるようにスレーブノードの設定を変更します。

    同期を強制すると(「強制同期」オプションを使用)、アプライアンスはスレーブノードから GSLB 設定を削除し、マスターノードと同様になるようにスレーブを設定します。

  • 同期中にコマンドが失敗した場合、同期は中断されず、エラー・メッセージは /var/netscaler/gslb ディレクトリ内の .err ファイルに記録されます。
  • 同期は親サイトでのみ行われます。GSLB 子サイトの設定は、同期の影響を受けません。これは、親サイトと子サイトの構成が同一ではないためです。子サイトの構成は、その子サイトとその親サイトの詳細のみで構成されます。また、GSLB サービスは必ずしも子サイトで設定する必要はありません。
  • 内部ユーザーログインを無効にすると、GSLB 自動同期は SSH キーを使用して設定を同期します。しかし、パーティション環境でGSLB自動同期を使用するには、内部ユーザーのログインを有効にし、ローカルとリモートのGSLBサイトのパーティションユーザー名が同じであることを確認する必要があります。

  • リモート GSLB サイトの RPC ノードで、リモートサイトの IP(クラスタセットアップ用のクラスタ IP アドレス)とポート(RPC の場合は 3010、セキュア RPC の場合は 3008)を指定して、自動同期接続を受け入れるようにファイアウォールを構成します。ほとんどの場合、リモートサイトに到達するためのデフォルトルートが管理サブネットにある場合、NSIP が送信元 IP アドレスとして使用されます。

異なる送信元 IP アドレスを設定するには、GSLB サイトの IP アドレスと SNIP が別のサブネットにある必要があります。また、GSLBサイトIPサブネットを介してリモートサイトIPアドレスへの明示的なルートを定義する必要があります。

セキュリティを強化するには、内部ユーザーアカウントとRPCノードのパスワードを変更することをお勧めします。内部ユーザーアカウントのパスワードは、RPC ノードパスワードによって変更されます。詳しくは、「RPC ノードのパスワードを変更する」を参照してください。

saveconfig オプションを使用すると、同期プロセスに参加しているサイトは、次の方法で自動的に構成を保存します。

リモート GSLB サイトの RPC ノードで、リモートサイトの IP(クラスタセットアップ用のクラスタ IP アドレス)とポート(RPC の場合は 3010、セキュア RPC の場合は 3008)を指定して、自動同期接続を受け入れるようにファイアウォールを構成します。ほとんどの場合、リモートサイトに到達するためのデフォルトルートが管理サブネットにある場合、NSIP が送信元 IP アドレスとして使用されます。

異なる送信元 IP アドレスを設定するには、GSLB サイトの IP アドレスと SNIP が別のサブネットにある必要があります。また、GSLBサイトIPサブネットを介してリモートサイトIPアドレスへの明示的なルートを定義する必要があります。RPCノードの送信元IPアドレスは各Citrix ADCアプライアンスに固有であるため、GSLBに参加しているサイト間でソースIPアドレスを同期できません。したがって、同期を強制した後(sync gslb config-forceSyncコマンドを使用するか、GUIでForceSyncオプションを選択)、他のCitrix ADCアプライアンスのソースIPアドレスを手動で変更する必要があります。ポート 22 は、データベースファイルをリモートサイトに同期させるためにも必要です。

同期の制限

  • マスターサイトでは、リモートGSLBサイトの名前は、それらのサイトをホストするCitrix ADCアプライアンスで構成されているサイトの名前と同じである必要があります。
  • 同期中に、トラフィックの中断が発生することがあります。
  • Citrix ADCでは、最大80,000行までの構成を同期できます。
  • 同期が失敗することがあります。
    • 流出方法が「接続」から「ダイナミック接続」に変更された場合。
    • マスターノード上の GSLB 仮想サーバーにバインドされた GSLB サービスのサイトプレフィックスを交換し、同期を試みた場合。
    • RPC ノードのパスワードが NSIP アドレスとループバック IP アドレスで異なる場合。
    • 同じCitrix ADCアプライアンスの異なるパーティションで構成されているGSLBサイトで同期を実行する場合。
  • GSLB サイトを高可用性 (HA) ペアとして設定している場合、プライマリノードとセカンダリノードの RPC ノードのパスワードは同じである必要があります。
  • GSLB 設定の一部である GLSB エンティティの名前を変更する場合(GSLB 設定を表示するには、「show gslb runningConfig」コマンドを使用します)。設定を他の GSLB サイトに同期するには、強制同期オプションを使用する必要があります。

注:GSLB 設定の一部の設定による制限を克服するには、強制同期オプションを使用できます。ただし、強制同期オプションを使用すると、GSLB エンティティが削除され、設定に再追加され、GSLB 統計はゼロにリセットされます。そのため、設定変更中にトラフィックが中断されます。

GSLBセットアップの同期を開始する前に注意すべきポイント

GSLB セットアップの同期を開始する前に、次のことを確認してください。

  • マスターサイトを含むすべてのGSLBサイトでは、対応するGSLBサイトのIPアドレスに対して管理アクセスとSSHを有効にする必要があります。GSLBサイトのIPアドレスは、Citrix ADCアプライアンスが所有するIPアドレスである必要があります。GSLB サイトの IP アドレスの追加と管理アクセスの有効化の詳細については、「基本的な GSLB サイトの設定」を参照してください。
  • マスターサイトと見なされるCitrix ADCアプライアンスのGSLB構成は、すべてのサイトにコピーするのに完全で、適切です。
  • GSLB設定を初めて同期する場合、GSLBに参加するすべてのサイトには、それぞれのローカルサイトのGSLBサイトエンティティが必要です。
  • 設計上、同じ構成を持たないサイトを同期していません。
  • マスターサイトとスレーブサイトは同じバージョンのCitrix ADCを実行します。リリース 12.1 から、ビルド 50.x 以降、アプライアンスは同期を開始する前に、マスターサイトとスレーブサイトのファームウェアのバージョンをチェックします。マスターサイトとスレーブサイトで異なるバージョンが実行されている場合、バージョン間で互換性のない変更がプッシュされないように、そのリモートサイトの同期は中断されます。また、同期が中止されたサイトの詳細を示すエラーメッセージが表示されます。

    次の図に、CLI および GUI からのエラーメッセージの例を示します。

SyncIncompatibility1

SyncIncompatibility2

重要

次のディレクトリは、GSLB 設定の同期の一部として同期されます。

  • /var/netscaler/locdb/
  • /var/netscaler/ssl/
  • /var/netscaler/inbuilt_db/

GSLB セットアップの設定を同期する