ADC

GSLBセットアップで構成を同期する

通常、GSLBセットアップにはデータセンターがいくつかあり、各データセンターにGSLBサイトが設定されます。GSLBに参加している各NetScalerで、1つのGSLBサイトをローカルサイトとして、他のGSLBサイトをリモートサイトとして構成します。後で別の GSLB サイトを追加する場合は、すべての GSLB サイトにわたる構成が同一であることを確認する必要があります。Citrix ADCのGSLB構成同期オプションを使用して、GSLBサイト間で構成を同期できます。

同期オプションを使用するCitrix ADCアプライアンスは、「メインサイト」と呼ばれ、構成がコピーされるGSLBサイトは「下位サイト」と呼ばれます。GSLB 設定を同期すると、GSLB セットアップに参加しているすべての GSLB サイトの構成は、メインサイトの構成と同様になります。

同期は親サイトでのみ行われます。同期は GSLB 子サイトの構成には影響しません。これは、親サイトと子サイトの構成が同一ではないためです。子サイトの構成は、そのサイトとその親サイトの詳細のみで構成されます。また、GSLB サービスは必ずしも子サイトで設定する必要はありません。

  • メインノードは、メインノードと下位ノードの構成の違いを検出し、下位ノードの構成をメインノードに似せるように変更します。

    同期を強制すると(「強制同期」オプションを使用)、アプライアンスは下位ノードから GSLB 設定を削除し、メインノードと類似するように下位ノードを構成します。

  • 同期中にコマンドが失敗した場合、同期は中断されず、エラー・メッセージは /var/netscaler/gslb ディレクトリ内の .err ファイルに記録されます。
  • 同期は親サイトでのみ行われます。同期は GSLB 子サイトの構成には影響しません。これは、親サイトと子サイトの構成が同一ではないためです。子サイトの構成は、そのサイトとその親サイトの詳細のみで構成されます。また、GSLB サービスは必ずしも子サイトで設定する必要はありません。
  • 内部ユーザーログインを無効にすると、GSLB 自動同期は SSH キーを使用して設定を同期します。ただし、パーティション環境でGSLB 自動同期を使用するには、内部ユーザーログインを有効にし、ローカルおよびリモート GSLB サイトのパーティションユーザー名が同じであることを確認する必要があります。

  • リモート GSLB サイトの RPC ノードで、リモートサイトの IP(クラスタセットアップ用のクラスタ IP アドレス)とポート(RPC の場合は 3010、セキュア RPC の場合は 3008)を指定して、自動同期接続を受け入れるようにファイアウォールを構成します。ほとんどの場合、リモートサイトに到達するデフォルトルートが管理サブネット内にある場合は、NSIP が送信元 IP アドレスとして使用されます。

異なる送信元 IP アドレスを設定するには、GSLB サイトの IP アドレスと SNIP が別のサブネットにある必要があります。また、GSLB サイト IP サブネットを介してリモートサイト IP アドレスへの明示的なルートを定義する必要があります。

セキュリティを強化するには、内部ユーザーアカウントとRPCノードのパスワードを変更することをお勧めします。内部ユーザーアカウントのパスワードは、RPC ノードパスワードによって変更されます。詳細については、「 RPC ノードのパスワードを変更する」を参照してください。

saveconfig オプションを使用すると、同期プロセスに参加しているサイトは、次の方法で自動的に構成を保存します。

リモート GSLB サイトの RPC ノードで、リモートサイトの IP(クラスタセットアップ用のクラスタ IP アドレス)とポート(RPC の場合は 3010、セキュア RPC の場合は 3008)を指定して、自動同期接続を受け入れるようにファイアウォールを構成します。ほとんどの場合、リモートサイトに到達するデフォルトルートが管理サブネット内にある場合は、NSIP が送信元 IP アドレスとして使用されます。

異なる送信元 IP アドレスを設定するには、GSLB サイトの IP アドレスと SNIP が別のサブネットにある必要があります。また、GSLB サイト IP サブネットを介してリモートサイト IP アドレスへの明示的なルートを定義する必要があります。RPCノードの送信元IPアドレスは各Citrix ADCアプライアンスに固有であるため、GSLBに参加しているサイト間でソースIPアドレスを同期できません。そのため、(sync gslb config-ForceSyncコマンドを使用するか、GUIでForceSyncオプションを選択して)同期を強制した後は、他のNetScalerアプライアンスのソースIPアドレスを手動で変更する必要があります。ポート 22 は、データベースファイルをリモートサイトに同期させるためにも必要です。

すべての GSLB サイトでの構成の同期にかかる時間を改善するには

コマンドプロンプトで TCP プロファイル設定を次のように構成します。


set tcpprofile nstcp_internal_apps -bufferSize 4194304 -sendBuffsize 4194304 -tcpmode ENDPOINT
<!--NeedCopy-->

同期の制限

  • メインサイトでは、リモートGSLBサイトの名前は、それらのサイトをホストしているCitrix ADCアプライアンスで構成されたサイトの名前と同じである必要があります。
  • 同期中に、トラフィックの中断が発生することがあります。
  • Citrix ADCは、構成の最大20万行までの同期がテストされています。
  • 同期が失敗することがあります。
    • 流出方法が「接続」から「ダイナミック接続」に変更された場合。
    • メインノード上の GSLB 仮想サーバーにバインドされた GSLB サービスのサイトプレフィックスを交換し、同期を試みる場合。
    • RPC ノードのパスワードが NSIP アドレスとループバック IP アドレスで異なる場合。
    • 同じCitrix ADCアプライアンスの異なるパーティションで構成されているGSLBサイトで同期を実行する場合。
  • GSLB サイトをハイアベイラビリティ(HA)ペアとして設定した場合、プライマリノードとセカンダリノードの RPC ノードのパスワードは同じである必要があります。
  • GSLB 設定の一部である GLSB エンティティの名前を変更する場合(「show gslb runningConfig」コマンドを使用して GSLB 設定を表示します)。設定を他の GSLB サイトに同期するには、強制同期オプションを使用する必要があります。

注:

  • 増分同期では、設定を他の GSLB サイトに同期するために強制同期オプションを使用する必要はありません。これは、Citrix ADCリリース13.0ビルド79.x以降の起動に適用されます。

注:GSLB 設定の一部の設定による制限を克服するには、強制同期オプションを使用できます。ただし、強制同期オプションを使用すると、GSLB エンティティは削除されて設定に再追加され、GSLB 統計はゼロにリセットされます。そのため、構成の変更中にトラフィックが中断されます。

GSLB 設定の同期を開始する前に注意すべき点

GSLB セットアップの同期を開始する前に、次のことを確認してください。

  • メインサイトを含むすべての GSLB サイトでは、対応する GSLB サイトの IP アドレスに対して管理アクセスと SSH を有効にする必要があります。GSLBサイトのIPアドレスは、Citrix ADCアプライアンスが所有するIPアドレスである必要があります。GSLB サイトの IP アドレスの追加と管理アクセスの有効化の詳細については、「基本的な GSLB サイトの構成」を参照してください。
  • メインサイトと見なされるCitrix ADCアプライアンスのGSLB構成は完全であり、すべてのサイトでコピーするのが適切です。
  • GSLB 設定を初めて同期する場合は、GSLB に参加するすべてのサイトに、それぞれのローカルサイトの GSLB サイトエンティティが必要です。
  • 設計上、同じ構成を持たないサイトを同期していません。
  • メインサイトと下位サイトは同じCitrix ADCバージョンを実行します。リリース 12.1、ビルド 50.x 以降、アプライアンスは同期を開始する前にメインサイトと下位サイトのファームウェアバージョンをチェックします。メインサイトと下位サイトが異なるバージョンを実行している場合、バージョン間で互換性のない変更がプッシュされないように、そのリモートサイトの同期は中止されます。また、同期が中止されたサイトの詳細を示すエラーメッセージが表示されます。

    次の図は、CLI と GUI からのエラーメッセージの例を示しています。

SyncIncompatibility1

SyncIncompatibility2

重要

次のディレクトリは、GSLB 設定同期の一部として同期されます。

  • /var/netscaler/locdb/
  • /var/netscaler/ssl/
  • /var/netscaler/inbuilt_db/
GSLBセットアップで構成を同期する