6.1 FW+LBの仕様

FW+LBのタイプ、及びタイプごとの仕様を以下に示します。

FW+LBのタイプ

FW+LBには、以下の2つのタイプがあります。

FW+LBの仕様

FW+LBのタイプごとの仕様を以下に示します。

項目 仕様
FW+LB 専有タイプ FW+LB ベストエフォートタイプ
LB(ロードバランサ)ソフトウェア

L7ロードバランサ

  • Pulse Secure Virtual Traffic Manager 22.2, 22.2r1
L4ロードバランサ
帯域 10Mbps、100Mbps、150Mbps、1000Mbps 1Gbpsベストエフォート
グローバルアドレス 複数のグローバルIPv4 / IPv6アドレスを使用可能 複数のグローバルIPv4アドレスを使用可能(グローバルIPv6アドレスは使用できません)
冗長構成
  • 冗長構成とシングル構成のどちらかを選択
  • 冗長構成を選択した場合、冗長構成済みで提供
  • ご契約後に構成を変更可能(シングル構成を冗長構成に変更、冗長構成をシングル構成に変更)
  • 冗長構成のみ(シングル構成なし)
  • 冗長構成済みで提供
  • 冗長構成の変更は不可

冗長構成の仕様

FW+LB 専有タイプ、及びFW+LB ベストエフォートタイプの冗長構成の仕様を以下に示します。

項目 仕様
FW+LB 専有タイプ FW+LB ベストエフォートタイプ
冗長方式

Master/Slave構成

  • Masterに障害が発生した場合、自動的にSlaveへのフェールオーバーをすることで業務の継続を可能とします。
  • 障害復旧時は、自動的にMasterにフェールバックされます。
  • Masterホストを再起動することで、フェールオーバーおよびフェールバックを発生させてその影響を確認することができます。 FW+LB 専有タイプのホストの再起動について詳しくは、「8.10 FW+LB 専有タイプの再起動」をご覧ください。 FW+LB ベストエフォートタイプのホストの再起動について詳しくは、「9.10 FW+LB ベストエフォートタイプの再起動」をご覧ください。
  • ステートフルフェールオーバーには対応していません。フェールオーバーおよびフェールバックが発生した場合、セッションは引き継がれません。
設定反映 どちらか片方のLB管理画面で設定した内容は、即時もう一方に同期されます。 設定はMasterとSlaveの両方へ同時に反映されます。
SSL証明書

どちらか片方に導入したSSL証明書は、もう一方に同期されます。

対応していません。

FWの機能仕様

FW+LB 専有タイプ、及びFW+LB ベストエフォートタイプのFWの仕様を以下に示します。

項目 仕様
FW+LB 専有タイプ FW+LB ベストエフォートタイプ
ルール

IN(IPv4)、IN(IPv6)、OUT(IPv4)

FW+LB 専有タイプのFWルールの設定について詳しくは、「E:コントロールパネルでの設定方法」の「8.8 FW+LB 専有タイプのFWルールの設定」をご覧ください。

補 足
ステートフルインスペクションに対応しています。FW INルールで許可している通信に関して、戻りの通信を許可するために FW OUTルールを明示的に設定する必要はありません。

IN(IPv4)、OUT(IPv4)

FW+LB ベストエフォートタイプのFWルールの設定について詳しくは、「E:コントロールパネルでの設定方法」の「9.7 FW+LB ベストエフォートタイプのFWルールの設定」をご覧ください。

補 足
ステートフルインスペクションに対応しています。FW INルールで許可している通信に関して、戻りの通信を許可するために FW OUTルールを明示的に設定する必要はありません。
条件 アドレス、プロトコル(TCP/UDP)、ポート番号
動作 ACCEPT(許可)、DROP(破棄)、REJECT(拒否)
補足
  • 既に確立されたTCPコネクションについては影響を与えません。
  • DROP や REJECT ルールを投入しても、即座にアクセスが止まらない可能性があります。
ログ 提供していません。

LBの機能仕様

FW+LB 専有タイプ、及びFW+LB ベストエフォートタイプのLBの仕様を、以下に示します。

項目 仕様
FW+LB 専有タイプ FW+LB ベストエフォートタイプ
SSL

対応

  • LBで作成された秘密鍵をエクスポートする機能はありません。
  • パスフレーズ付きのSSL証明書は対応していません。
非対応
セッション管理方式 HTTPクッキー、IPアドレス、SSLセッションID、他ID 非対応
対応プロトコル HTTP/SSL/SMTP/FTP/FTPS/RTP/SIP/SNMPなど、任意のTCP/UDP TCP/UDP
SNMP trap

SNMP trapを送信可能です。

補 足

IIJ統合運用管理サービスを利用してSNMP trap監視を行う場合、監視・運用ゲートウェイにパケットを送信するためのスタティックルート設定が必要です。スタティックルート設定について詳しくは、「11.2.5 監視対象の仮想サーバ,FW+LB,ファイアウォールにルーティングを設定する」をご覧ください。

なお、標準プライベートネットワークを指定してスタティックルートを追加することはできないため、プライベートネットワーク/Vへ接続していない構成ではSNMP trap監視を行うことはできません。

非対応
SNMPエージェント機能 SNMP trapを受信する機能はありません。 非対応
SNMP MIBポーリング SNMPによる性能のモニタリングは、Externalインタフェースのアドレスで接続可能です。 非対応
SNMP対応バージョン SNMPv1、v2c、v3に対応しています。 非対応
負荷分散方式 ラウンドロビン、最小接続、最速応答、ランダムノード、他 重み付きラウンドロビン、最小接続
ヘルスモニタリング方式

初期状態はパッシブモニタリングです。以下の中から選択できます。

  • パッシブモニタリング(クライアントからのリクエストを受信するたびに分散対象サーバにリクエストを送信し、正常な応答の有無で稼働状態を認識します)。
  • アクティブモニタリング(ノードに対して定期的にヘルスモニタリングを実行します)。
PINGまたはTCPによるアクティブモニタリングのみ
DSR なし
ログ 提供しています(ログの容量に応じて保存期間は変動します)。

「ヘルスチェック」及び「LBの切り倒しと切り戻し」の処理結果と処理日時を、以下の3種類のログで取得できます。

  • 直近1時間のログ(最大100行)
  • 直近24時間のログ(最大10000行)
  • 指定した日付のすべてのログ

ログの取得について詳しくは、「E:コントロールパネルでの設定方法」の「9.6.6 ロードバランシングのログを取得する」をご覧ください。

重 要

FW+LB 専有タイプのLBを管理する「LB管理画面」の [System][Traffic Managers] ページ内 [nameip] を変更しないでください。変更した場合、選択した冗長構成ごとに下記事象が発生します。

  • 冗長構成を選択された場合、Master/Slaveの同期に失敗する
  • シングルを選択された場合、冗長構成へ構成を変更することができない

下記手順で初期状態に戻すことが可能です。ただし、"Restart Software" において数秒程度の断時間が発生しますのであらかじめご了承ください。

  • [System][Traffic Managers] のページを参照する
  • [nameip] の項目を "NONE" に変更する
  • 同ページの [Software Restart] から "Restart Software" をクリックする
補 足

FW+LB 専有タイプのLBの設定について、サービスとしてのデータ保全を目的として弊社にて日次でバックアップを取得しています。

このため「LB管理画面」上に下記の表示がなされますが、これは正常な動作です。お客様に何かしらのご対応をいただく必要はありません。

  • System > Backups に下記のバックアップが表示されます。
    • 「Description」が「Auto Backup」のバックアップ
  • Diagnose > Audit Log に日次で下記のログが出力されます。
    • User made a backup of the current config: Backup
    • All configuration backup archives deleted!
補 足

FW+LB 専有タイプのAPI

FW+LB 専有タイプは、APIを利用できます。APIの利用に必要なREST APIのパラメタを表に示します。

項目
エンドポイントURL

https://lbc########-api.lb.pub.p2.iijgio.jp/api/tm

補 足

「########」の値は、FW+LB 専有タイプの詳細画面で確認できます。FW+LB 専有タイプの詳細画面の開き方について詳しくは、「8.1.2 FW+LB 専有タイプの詳細」をご覧ください。

フォーマット

JSON

レスポンスタイムアウト 10秒(APIによらず同一)
最大HTTPヘッダ長 4096バイト
補 足

FW+LB 専有タイプのcustomerユーザ、及びmonitoringユーザが利用可能なAPIについて詳しくは、「6.7.3 FW+LB 専有タイプの権限(API)」をご覧ください。

補 足

FW+LB 専有タイプのAPIの詳細について詳しくは、IIJサービスオンラインの「マニュアル・ダウンロード」ページで、以下のドキュメントをダウンロードしてご確認ください。

  • IIJ GIOインフラストラクチャーP2 Pulse Secure Virtual Traffic Manager REST API ユーザ―マニュアル