Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP仮想IP(VIP)LIFの設定

共同作成者 netapp-aaron-holt netapp-bhouser netapp-barbe netapp-dbagwell
PDF

一部の次世代データセンターでは、サブネットをまたぐLIFのフェイルオーバーを必要とする、レイヤ3(IP)ネットワークのメカニズムが使用されています。ONTAPでは、仮想IP(VIP)データLIFおよび関連するルーティング プロトコルであるBorder Gateway Protocol(BGP)がサポートされ、これらの次世代ネットワークのフェイルオーバー要件を満たすことができます。

タスク概要

VIPデータLIFは、いずれのサブネットにも属さない、同じIPspace内のBGP LIFをホストするすべてのポートから到達可能なLIFです。VIPデータLIFを使用すると、ホストは個別のネットワーク インターフェイスに依存しなくなります。複数の物理アダプタでデータ トラフィックが処理されるため、すべての負荷が単一のアダプタと関連するサブネットに集中することはありません。VIPデータLIFの存在は、ルーティング プロトコルであるBorder Gateway Protocol(BGP)を通じてピア ルーターに通知されます。

VIPデータLIFには次の利点があります。

  • ブロードキャスト ドメインまたはサブネットを越えた LIF の移植性:VIP データ LIF は、各 VIP データ LIF の現在の場所を BGP 経由でルータに通知することにより、ネットワーク内の任意のサブネットにフェイルオーバーできます。

  • 総スループット:VIP データ LIF は複数のサブネットまたはポートから同時にデータを送受信できるため、個々のポートの帯域幅を超える総スループットをサポートできます。

Border Gateway Protocol(BGP)のセットアップ

VIP LIFを作成する前にBGPをセットアップする必要があります。BGPは、VIP LIFの存在をピア ルーターに通知するためのルーティング プロトコルです。

ONTAP 9.9.1以降では、設定を簡単にするために、VIPのオプションとしてBGPピア グループを使用したデフォルト ルートの自動化が導入されています。

ONTAPには、BGPピアが同じサブネット上にある場合に、BGPピアをネクストホップルータとして使用してデフォルトルートを学習する簡単な方法があります。この機能を使用するには、 `-use-peer-as-next-hop`属性を `true`に設定します。デフォルトでは、この属性は `false`です。

静的ルートが設定されている場合は、これらの自動デフォルト ルートよりも優先されます。

開始する前に

ピア ルータは、設定された自律システム番号(ASN)の BGP LIF からの BGP 接続を受け入れるように設定する必要があります。

メモ ONTAPはルータからの着信ルートアナウンスメントを一切処理しません。そのため、ピアルータがクラスタにルート更新を送信しないように設定する必要があります。これにより、ピアとの通信が完全に機能するまでの時間が短縮され、ONTAP内部のメモリ使用量が削減されます。
タスク概要

BGPをセットアップする際には、必要に応じてBGP設定、BGP LIF、BGPピア グループを作成します。あるノードでBGPピア グループが最初に作成されると、デフォルト値を使用してデフォルトのBGP設定が自動的に作成されます。

BGP LIFは、ピア ルーターとのBGP TCPセッションを確立するために使用されます。ピア ルーターから見ると、BGP LIFはVIP LIFに到達するための次のホップです。BGP LIFではフェイルオーバーは無効になります。BGPピア グループは、ピア グループが使用するIPspaceにある、すべてのSVMのVIPルートを通知します。ピア グループが使用するIPspaceは、BGP LIFから継承されます。

ONTAP 9.16.1以降では、BGPセッションを保護するために、BGPピア グループでMD5認証がサポートされます。MD5が有効な状態では、BGPセッションは承認されたピア間でしか確立、処理できません。これにより、無許可ユーザによるセッションの中断を防げます。

`network bgp peer-group create`および `network bgp peer-group modify`コマンドに次のフィールドが追加されました:

  • -md5-enabled <true/false>

  • -md5-secret <md5 secret in string or hex format>

これらのパラメータを使用すれば、BGPピア グループにMD5署名を設定してセキュリティを強化できます。MD5認証を使用する際には、以下の要件が適用されます。

  • `-md5-enabled`パラメータが `true`に設定されている場合にのみ、 `-md5-secret`パラメータを指定できます。

  • MD5 BGP認証を有効にする前に、IPsecをグローバルに有効にする必要があります。BGP LIFにアクティブなIPsec設定は必要ありません。"IP Security(IPsec)のネットワーク上での暗号化設定"を参照してください。

  • NetAppは、ONTAPコントローラでMD5を設定する前に、ルーターでMD5を設定することを推奨しています。

ONTAP 9.9.1以降では、次のフィールドが追加されています。

  • -asn`または `-peer-asn(4 バイト値)属性自体は新しいものではありませんが、現在は 4 バイトの整数を使用します。

  • -med

  • -use-peer-as-next-hop

パスの優先順位付けでは、Multi-Exit Discriminator(MED)を使用して高度なルート選択を行うことができます。MEDはBGP更新メッセージのオプションの属性で、トラフィックに最適なルートを選択するようルーターに指示します。MEDは32ビットの符号なし整数(0~4294967295)で、値が小さい方が優先されます。

ONTAP 9.8 以降では、 `network bgp peer-group`コマンドに次のフィールドが追加されました:

  • -asn-prepend-type

  • -asn-prepend-count

  • -community

これらのBGP属性を使用して、BGPピア グループのASパスとコミュニティを設定できます。

メモ ONTAPは上記のBGP属性をサポートしていますが、必ずしもルーターに適用する必要はありません。ルーターでサポートされる属性を確認し、それに応じてBGPピア グループを設定することを強く推奨します。詳細については、ルーターに付属のBGPのドキュメントを参照してください。
手順

  1. advanced権限レベルにログインします。

    set -privilege advanced

  2. オプション:次のいずれかのアクションを実行して、BGP 構成を作成するか、クラスターのデフォルトの BGP 構成を変更します:

    1. BGP設定を作成する場合:

      network bgp config create -node {node_name | local} -asn <asn_number> -holdtime
<hold_time> -routerid <router_id>
      メモ

      • この `-routerid`パラメータは、ASドメイン内で一意である必要があるドット区切りの32ビット値を受け入れます。NetAppでは、一意性を保証する `<router_id>`にノード管理IP(v4)アドレスを使用することを推奨しています。

      • ONTAP BGPは32ビットASN数に対応していますが、サポートされるのは標準的な10進記数法のみです。4259840001ではなく65000.1などのドット付きASN表記は、プライベートASNではサポートされません。

      2バイトのASNの例:

      network bgp config create -node node1 -asn 65502 -holdtime 180 -routerid 1.1.1.1

      4バイトのASNの例:

    network bgp config create -node node1 -asn 85502 -holdtime 180 -routerid 1.1.1.1

    1. デフォルトのBGP設定を変更する場合:

      network bgp defaults modify -asn <asn_number> -holdtime <hold_time>
network bgp defaults modify -asn 65502 -holdtime 60

      • `<asn_number>`ASN番号を指定します。ONTAP 9.8以降、BGPのASNは2バイトの非負整数をサポートします。これは16ビットの数値(1~65534の値)です。ONTAP 9.9.1以降、BGPのASNは4バイトの非負整数(1~4294967295)をサポートします。デフォルトのASNは65501です。ASN 23456は、4バイトASN機能をアナウンスしないピアとのONTAPセッション確立用に予約されています。

      • `<hold_time>`ホールド時間を秒単位で指定します。デフォルト値は180sです。

        メモ ONTAPは、複数のIPspaceにBGPを設定する場合でも、グローバル <asn_number><hold_time>、および `<router_id>`を1つだけサポートします。BGPとすべてのIPルーティング情報は、1つのIPspace内で完全に分離されます。IPspaceは、仮想ルーティングおよび転送(VRF)インスタンスに相当します。

  3. システムSVM用のBGP LIFを作成します。

    デフォルトのIPspaceでは、SVM名はクラスタ名になります。追加のIPspaceでは、SVM名はIPspace名と同じになります。

    network interface create -vserver <system_svm> -lif <lif_name> -service-policy default-route-announce -home-node <home_node> -home-port <home_port> -address <ip_address> -netmask <netmask>
    `default-route-announce`サービス ポリシーをBGP LIFに使用するか、「management-bgp」サービスを含む任意のカスタム サービス ポリシーを使用できます。
    network interface create -vserver cluster1 -lif bgp1 -service-policy default-route-announce -home-node cluster1-01 -home-port e0c -address 10.10.10.100 -netmask 255.255.255.0

  4. リモート ピア ルータとの BGP セッションを確立するために使用される BGP ピア グループを作成し、ピア ルータにアドバタイズされる VIP ルート情報を設定します:

    サンプル1:自動デフォルト ルートなしでピア グループを作成する

    この場合、管理者がBGPピアへの静的ルートを作成する必要があります。

    network bgp peer-group create -peer-group <group_name> -ipspace <ipspace_name> -bgp-lif <bgp_lif> -peer-address <peer-router_ip_address> -peer-asn <peer_asn_number> {-route-preference <integer>} {-asn-prepend-type <ASN_prepend_type>} {-asn-prepend-count <integer>} {-med <integer>} {-community BGP community list <0-65535>:<0-65535>}
    network bgp peer-group create -peer-group group1 -ipspace Default -bgp-lif bgp1 -peer-address 10.10.10.1 -peer-asn 65503 -route-preference 100 -asn-prepend-type local-asn -asn-prepend-count 2 -med 100 -community 9000:900,8000:800

    サンプル2:自動デフォルト ルートを持つピア グループを作成する

    network bgp peer-group create -peer-group <group_name> -ipspace <ipspace_name> -bgp-lif <bgp_lif> -peer-address <peer-router_ip_address> -peer-asn <peer_asn_number> {-use-peer-as-next-hop true} {-route-preference <integer>} {-asn-prepend-type <ASN_prepend_type>} {-asn-prepend-count <integer>} {-med <integer>} {-community BGP community list <0-65535>:<0-65535>}
    network bgp peer-group create -peer-group group1 -ipspace Default -bgp-lif bgp1 -peer-address 10.10.10.1 -peer-asn 65503 -use-peer-as-next-hop true -route-preference 100 -asn-prepend-type local-asn -asn-prepend-count 2 -med 100 -community 9000:900,8000:800

    サンプル3:MD5を有効にしたピアグループを作成する

    1. IPsecを有効にします。

      security ipsec config modify -is-enabled true

    2. MD5が有効なBGPピア グループを作成します。

      network bgp peer-group create -ipspace Default -peer-group <group_name> -bgp-lif bgp_lif -peer-address <peer_router_ip_address> {-md5-enabled true} {-md5-secret <md5 secret in string or hex format>}

      16進数キーを使用する例:

      network bgp peer-group create -ipspace Default -peer-group peer1 -bgp-lif bgp_lif1 -peer-address 10.1.1.100 -md5-enabled true -md5-secret 0x7465737420736563726574

      文字列を使用する例:

    network bgp peer-group create -ipspace Default -peer-group peer1 -bgp-lif bgp_lif1 -peer-address 10.1.1.100 -md5-enabled true -md5-secret "test secret"
メモ BGPピアグループを作成した後、 `network port show`コマンドを実行すると仮想イーサネットポート(v0a..v0z、v1a…​で始まる)が表示されます。このインターフェースのMTUは常に1500と報告されます。トラフィックに使用される実際のMTUは、トラフィックの送信時に決定される物理ポート(BGP LIF)から取得されます。"ONTAPコマンド リファレンス"の `network port show`の詳細をご覧ください。

仮想IP(VIP)データLIFの作成

VIPデータLIFの存在は、ルーティング プロトコルであるBorder Gateway Protocol(BGP)を通じてピア ルーターに通知されます。

開始する前に

  • BGPピア グループをセットアップし、LIFを作成するSVMのBGPセッションをアクティブにしておく必要があります。

  • SVM のすべての送信 VIP トラフィックに対して、BGP ルータまたは BGP LIF のサブネット内の他のルータへの静的ルートを作成する必要があります。

  • 送信 VIP トラフィックが利用可能なすべてのルートを使用できるように、マルチパス ルーティングをオンにする必要があります。

    マルチパス ルーティングを有効にしないと、すべての発信VIPトラフィックが1つのインターフェイスから送信されます。

手順

  1. VIPデータLIFを作成します。

    network interface create -vserver <svm_name> -lif <lif_name> -role data -data-protocol
{nfs|cifs|iscsi|fcache|none|fc-nvme} -home-node <home_node> -address <ip_address> -is-vip true -failover-policy broadcast-domain-wide
    `network interface create`コマンドでホーム ポートを指定しない場合は、VIPポートが自動的に選択されます。

    作成されたVIPデータLIFは、デフォルトで、各IPspaceに対してシステムで作成されるブロードキャスト ドメイン「Vip」に属します。VIPブロードキャスト ドメインを変更することはできません。

    VIPデータLIFには、IPspaceのBGP LIFをホストするすべてのポートから同時に到達できます。ローカル ノードにVIPのSVM用のアクティブなBGPセッションがない場合は、VIPデータLIFはそのSVM用のBGPセッションが確立されているノード上のVIPポートにフェイルオーバーします。

  2. VIPデータLIFのSVMに対してBGPセッションがupステータスになっていることを確認します。

    network bgp vserver-status show

Node        Vserver  bgp status
	    ----------  -------- ---------
	    node1       vs1      up

    ノード上のSVMのBGPステータスが `down`の場合、VIPデータLIFは、SVMのBGPステータスがupである別のノードにフェイルオーバーします。すべてのノードでBGPステータスが `down`の場合、VIPデータLIFはどこにもホストできず、LIFステータスはdownになります。

BGPの管理用コマンド

ONTAP 9.5以降では、 `network bgp`コマンドを使用してONTAPのBGPセッションを管理します。

BGP設定の管理

状況

使用するコマンド

BGP設定を作成する

network bgp config create

BGP設定を変更する

network bgp config modify

BGP設定を削除する

network bgp config delete

BGP設定を表示する

network bgp config show

VIP LIFのSVMに対するBGPステータスを表示する

network bgp vserver-status show

BGPのデフォルト値の管理

状況

使用するコマンド

BGPのデフォルト値を変更する

network bgp defaults modify

BGPのデフォルト値を表示する

network bgp defaults show

BGPピア グループの管理

状況

使用するコマンド

BGPピア グループを作成する

network bgp peer-group create

BGPピア グループを変更する

network bgp peer-group modify

BGPピア グループを削除する

network bgp peer-group delete

BGPピア グループの情報を表示する

network bgp peer-group show

BGPピア グループの名前を変更する

network bgp peer-group rename

MD5を使用するBGPピア グループの管理

ONTAP 9.16.1以降では、既存のBGPピア グループでMD5認証の有効と無効を切り替えることができます。

メモ 既存のBGPピア グループでMD5を有効または無効にすると、MD5設定の変更を適用するためにBGP接続が終了され、再作成されます。

状況

使用するコマンド

既存のBGPピア グループでMD5を有効にする

network bgp peer-group modify -ipspace Default -peer-group <group_name> -bgp-lif <bgp_lif> -peer-address <peer_router_ip_address> -md5-enabled true -md5-secret <md5 secret in string or hex format>

既存のBGPピア グループでMD5を無効にする

network bgp peer-group modify -ipspace Default -peer-group <group_name> -bgp-lif <bgp_lif> -md5-enabled false
関連情報