Cisco Global Site Selector CLI-Based グローバル サーバ ロード バランシング コンフィギュレーション ガイド Software Version 2.0
ネットワーク プロキシミティ の設定
ネットワーク プロキシミティの設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

ネットワーク プロキシミティの設定

ネットワーク プロキシミティの概要

プロキシミティ ゾーン

プローブの管理とプロービング

プロキシミティ データベース

ネットワーク プロキシミティの例

プロキシミティ ネットワーク設計時の注意事項

ネットワーク プロキシミティのクイック スタート ガイド

DRP エージェントとしてのシスコ製ルータの設定

DRP エージェントとしてのシスコ製ルータの選択

DRP エージェントの設定

Cisco IOS リリース 12.1 の相互動作に関する注意事項

CLI へのログインおよび特権 EXEC モードのイネーブル化

GSS のシステム クロックと NTP サーバの同期化

プライマリ GSSM CLIを使用したゾーンの作成

プロキシミティ ゾーンの設定

プロキシミティ ゾーンの削除

プロキシミティ ゾーンとロケーションの関連付け

プロキシミティベースのロケーションと回答の関連付け

プライマリ GSSM CLI を使用したプロキシミティの設定

プロキシミティの設定

DRP 鍵の作成

DRP 鍵の削除

DNS 規則へのプロキシミティ分散句の追加

プロキシミティ分散句の概要

VIP タイプの回答グループを使用する DNS へのプロキシミティの追加

プロキシミティ グループの作成

プロキシミティ グループの概要

プロキシミティ グループの作成

スタティック プロキシミティ グループ コンフィギュレーションの実行

プロキシミティ グループの IP アドレス ブロックの削除

プロキシミティ グループの削除

スタティック プロキシミティ データベース エントリの設定

スタティック プロキシミティ エントリの追加

プロキシミティ データベースからのスタティック エントリの削除

プロキシミティ データベースのエントリの削除

プロキシミティ データベース エントリのファイルへのダンプ

プロキシミティ データベースの定期的なバックアップの実行

プロキシミティ データベース エントリのロード

D プロキシ アドレスのプロービングの開始

トラブルシューティングを目的としたローカル レベルでの GSS プロキシミティのディセーブル化

次の作業

ネットワーク プロキシミティの設定

この章では、ネットワーク プロキシミティによって グローバル ロードバランシング要求に最適な(最も近い)リソースを判断するように GSS を設定する方法を説明します。

この章の主な内容は、次のとおりです。

ネットワーク プロキシミティの概要

プロキシミティ ネットワーク設計時の注意事項

ネットワーク プロキシミティのクイック スタート ガイド

DRP エージェントとしてのシスコ製ルータの設定

GSS のシステム クロックと NTP サーバの同期化

プライマリ GSSM CLIを使用したゾーンの作成

プライマリ GSSM CLI を使用したプロキシミティの設定

D プロキシ アドレスのプロービングの開始

トラブルシューティングを目的としたローカル レベルでの GSS プロキシミティのディセーブル化

次の作業

各 GSS は、デバイスの ネットワーク プロキシミティに関する統計情報を表示する包括的な show CLI コマンドをサポートしています。さらに、プライマリ GSSM GUI では、GSS ネットワークのプロキシミティ操作に関する統計情報も表示できます。ネットワーク プロキシミティに関する統計情報の表示に関する詳細は、「GSS グローバル サーバ ロードバランシング統計情報の表示」を参照してください。

ネットワーク プロキシミティの概要

GSS は、要求側 D プロキシに関連付けられている最も近接した回答(リソース)を使用して DNS 要求に応答します。プロキシミティとは、要求側クライアントの D プロキシとその回答の間の、地理的距離ではなく、ネットワーク トポロジー上の距離または遅延のことです。

最も近接した回答を判断するために、GSS は各プロキシミティ ゾーンに所在するプロービング デバイス(Cisco IOSベースのルータ)と通信し、要求側クライアントの D プロキシとそのゾーンの間で計測された Round-Trip Time(RTT; ラウンドトリップ時間)メトリック情報を収集します。各 GSS は、使用可能なサーバのうち、最小 RTT 値を持つサーバにクライアントの要求を転送します。

プロキシミティ選択プロセスは、DNS 規則の分散方式句の一部として開始されます。DNS 規則、およびプロキシミティがイネーブルに設定されている分散句と要求が一致すると、GSS は最も近接した回答で応答します。

ここでは、GSS ネットワーク プロキシミティの主な機能を説明します。

プロキシミティ ゾーン

プローブの管理とプロービング

プロキシミティ データベース

ネットワーク プロキシミティの例

プロキシミティ ゾーン

ネットワークは、デバイスの配置やネットワーク区分特性に基づいて、論理的にいくつかのゾーンに区分できます。ゾーンは、大陸、国、または主要都市のデータセンターに地理的に関連付けることができます。データセンターの Web サーバなど、同じゾーンに位置するデバイスはどれも、インターネットの他の領域と通信する際のプロキシミティ値が同一になります。

最大 32 のゾーンからなる GSS プロキシミティ ネットワークを設定できます。各ゾーン内には、GSS デバイスからプロービングの指示を受けるように設定されたアクティブなプロービング デバイスが 1 つあります。プロービングとは、1 つのプロービング デバイスから要求側 D プロキシまでの RTT を計測するプロセスです。

ロケーションとは、管理を目的としてデータセンターのデバイスを論理的なグループに分類する手段です。ロケーションは、建物やラックなど、物理的な位置を表すこともあります。GSS を使用してネットワーク プロキシミティを実行する場合は、各ロケーションを 1 つのゾーンに割り当てる必要があります。さらに、GSS プロキシミティ DNS 規則で使用される各応答を、ゾーンに関連づけられたロケーションに割り当てる必要があります。GSS は、このような構成階層を通じて、最も近接した回答を判断する際に、リソースに関する情報を獲得します。

プローブの管理とプロービング

プローブ管理は、ゾーン内の各 GSS デバイスとプロービング デバイスの連携を支えるインテリジェンス機能です。各ゾーンには、少なくとも 1 つのプロービング デバイス(必須)とバックアップのプロービング デバイス(任意)を配置します。プライマリ プロービング デバイスに障害が発生した場合、プローブはバックアップ デバイスにリダイレクトされます。プライマリ プロービング デバイスが使用可能になると、プローブは再びプライマリ プロービング デバイスにリダイレクトされます。

GSS は、Director Response Protocol(DRP)を使用して、各ゾーンのプロービング デバイス(DRP エージェント)と通信します。DRP は、一般的な User Datagram Protocol(UDP; ユーザ データグラム プロトコル)に基づいてシスコシステムズが開発したクエリー/応答情報交換プロトコルです。DRP エージェント ソフトウェアをサポートし、ICMP、TCP、またはパスプローブの RTT を計測できるシスコ製ルータはどれでもプロービング デバイスとして使用できます。GSS は DRP RTT クエリー/応答法を使用してCisco IOS ベースのルータと通信します。

各 DRP エージェントは、DRP プロトコルに基づいて、GSS からプロービングの指示を受け、GSS にプロービング結果を返します。DRP によって、DRP エージェントと GSS の間で交換されるパケットの認証が可能になります。

GSS は、GSS ネットワーク内の 1 つ以上のプロービング デバイスに DRP クエリーを送信し、そのプロービング デバイス内の DRP エージェントに特定の D プロキシの ID アドレスをプローブするように指示します。各プロービング デバイスは、ICMP または TCP のような標準プロトコルを使用してクエリーに応答し、ゾーン内の DRP エージェントと要求側クライアントの D プロキシ デバイスの IP アドレスとの間の RTT を計測します。

GSS は、D プロキシからの要求を受信すると、近接な回答を提供できるかどうか判断します。GSS は、近接回答をPDB(プロキシミティ データベース)から判断できないと、1 つ以上のプロービング デバイスにプローブを送信し、これらのプロービング デバイスとその新しい D プロキシの間のプロキシミティ情報を取得します。GSS は、プロービング結果の受信後、その RTT 情報を PDB に追加します。

図 9-1 は、GSS(DRP クライアント)とプロービング デバイス(DRP エージェント)の間のプロービング プロセスを示したものです。

図 9-1 GSS ネットワークの DRP通信

 

 

GSS は、2 種類のプロービング方式をサポートしています。

ダイレクト プロービング ― ダイレクト プロービングは、GSS が新しい D プロキシ IP アドレスの受信結果として PDB のダイナミック エントリを作成するときに GSS と DRP の間で発生します。また、プロービング デバイスが RTT データを取得するターゲットとして代替 IP アドレスを指定した場合にも、ダイレクト プロービングが発生します。GSS は、新しい D プロキシの IP アドレス エントリの要求が作成されると、DRPエージェントへのダイレクト プロービングを開始します。ダイレクト プロービングを通じて、GSS はプローブ要求を各ゾーンの DRP エージェントに自動的に送信し、PDB 内の新しいエントリの最初のプローブ情報を可能な限り迅速かつ効率的に取得します。

リフレッシュ プロービング ― GSS は、アクティブな D プロキシを定期的に再プローブして、最新の RTT 値を獲得し、その値を RDB に保存します。この RTT 値には、最新のネットワーク変更が反映されます。リフレッシュ プロービングの間隔は、ユーザが設定する選択項目です。


) スタティック RTT 値を使用して作成された PDB 内のスタティック エントリには、ダイレクト プロービングもリフレッシュ プロービングも使用されません。ゾーンに設定された許容可能パーセンテージに関係なく、プロキシミティ ルックアップ中は常に、設定済みのスタティック RTT が返されます。


プロキシミティ データベース

PDB は、GSS が実行するプロキシミティベースの判断の中心的なインテリジェンス機能です。プロキシミティ ルックアップは、DNS 規則と一致し、関連付けられている句のプロキシミティ オプションがイネーブルになっている場合に発生します。GSS は、D プロキシから要求を受信し、プロキシミティ応答を提供すべきであると判断すると、GSS メモリ内にある PDB から最も近接した回答(最小 RTT 時間の回答)を識別し、その回答を要求側 D プロキシに送信します。PDB で近接回答を判断できない場合、GSSはプロキシミティ ネットワークの各ゾーンのプロービング デバイスが計測したゾーン別 RTT 結果を収集します。

たとえば、最も近接した回答を判断するために GSS が 3 つのゾーンと通信し、次のように各ゾーンのプロービング デバイスから特定のクライアント D プロキシへの RTT 値を受信したとします。

Zone1 = 100 ms

Zone2 = 120 ms

Zone3 = 150 ms

PDB の 3 つの RTT 値から、GSS はクライアントの D プロキシ要求に最も近いゾーンとして Zone1 を選択します。Zone1 の RTT 値が最も小さいからです。

GSS がサポートする PDB テーブル内の D プロキシ IP アドレス エントリの最大数は、ダイナミック エントリとスタティック エントリを両方含めて 500,000 です。GSS は、新しい D プロキシ IP アドレスの要求結果として PDB にダイナミック エントリを作成します。必要に応じて、固定的な RTT 値(その他の手段で収集された値)、およびプローブ先の代替 IPアドレス(任意)を指定することにより、PDB にスタティック エントリを追加できます。

プライマリ GSSM はプロキシミティ グループの作成をサポートしています。したがって、各 GSS デバイスがその PDB に保存する D プロキシ IP アドレスの複数のブロックを単一エントリとして設定できます。このようにすると、GSS は、複数の D プロキシに対して、PDB 内のエントリを 1 つだけ使用し、複数のエントリを使用せずにすみます。GSS は、最も近接した回答で DNS 要求に応答する際に、1 つのプロキシミティ グループ内のすべての D プロキシを単一の D プロキシとして処理します。同じプロキシミティ グループ内の D プロキシからの要求は、そのグループのデータベース エントリの RTT 値を受信します。プロキシミティ をグループにまとめると、次の点で有利です。

GSS によるプロービング動作の数が減少する。

PDB の必要スペースが減る。

ユーザは代替プロービング ターゲットやスタティック プロキシミティ メトリックを 1 つのグループに柔軟に割り当てられる。

PDB 内のダイナミック エントリはユーザが指定したグローバル無活動値に基づいてエージング アウトされるので、PDB は管理可能なサイズに維持されます。ある PDP エントリが最後にルックアップ要求を受けてから、GSS がそのエントリを PDB から削除するまでの最大時間は、無活動タイムアウトの設定値で定義されます。

PDB 内の合計エントリ数が 480,000 を超えると、GSS は最長未使用時間エントリを自動的に削除します。GSS は、PDB 内のダイナミック エントリのうち、60 分間(1時間)の固定時間内にヒットしなかったものを最長未使用時間エントリと判断します。スタティック エントリは、GSS によって PDB から自動的に削除されることはありません。PDB スタティック エントリの削除は、ユーザが GSS CLI から手動で実行する必要があります。

PDB が最大エントリ数の 500,000 に到達すると、GSS は PDB にエントリを追加せず、新しい回答要求はすべてエラーとなります。GSS は、PDB エントリ数の上限に到達すると、廃棄されるエントリ数を追跡します。PDB エントリ数が 500,000 未満になると、GSS は PDB への新規エントリの追加を再開します。

ネットワーク プロキシミティの例

以下では、GSS が複数のゾーンのプロービング デバイスと連動してネットワーク プロキシミティ機能を実行するプロセスを示します。図 9-2は、これらの手順を図示したものです。

1. あるクライアントが www.foo.com に対する HTTP 要求を実行します。この Web サイトのコンテンツは 3 つの異なるデータセンターでサポートされています。

2. DNS グローバル コントロール プレーン インフラストラクチャがこの要求を処理し、クライアントの D プロキシを GSS 1 にダイレクトします。クライアントのローカル D プロキシは、 www.foo.com に関連した IP アドレスを求めるクエリーを GSS1 に送信します。

3. 要求がその GSS に設定されているプロキシミティの DNS 規則と一致する場合、その GSS は内部 PDB ルックアップを実行します。ルックアップに失敗すると、GSS は各ゾーンに設定されている DRP エージェントに DRP クエリーを送信します。

4. 各ゾーンの DRP エージェントは DRP 要求を受信すると、ICMP、TCP、またはパスプローブを使用して、関連ゾーンから要求側クライアント D プロキシ デバイスまでの RTT を計測します。

5. DRP エージェントは、DRP RTT メトリックを計算後、これを GSS に返答します。GSS は、DRP エージェントからの DRP RTT 応答をソートして、最良の(最小の) RTT メトリックを識別します。DRP エージェントは、最も近接したゾーンを表す 最小 RTT メトリックを返します。これは、図 9-2では Zone 2(ニューヨーク)です。

6. GSS は、DNS 規則と一致し、Zone 2(ニューヨーク)にある最良の(最も近い)サーバ( www.foo.com )に対応する 1 つ以上の IP アドレス レコード(DNS A リソース レコード)を、クライアントのローカル D プロキシに返します。

7. クライアントのローカル D プロキシは、 www.foo.com に対応する IP アドレスを要求の送信元であるクライアントに返します。クライアントは、Zone 2 のサーバの www.foo.com に透過的に接続します。

図 9-2 Cisco Global Site Selector を使用したネットワーク プロキシミティ

プロキシミティ ネットワーク設計時の注意事項

プロキシミティ ネットワークを構築する際には、予想される負荷に対応できるだけの十分な数の GSS デバイスを使用する必要があります。プロキシミティ ネットワークを設計する際には、次の注意事項に留意してください。

現在のネットワーク設定に基づいてプロキシミティ ネットワークに必要なゾーンの数と、ネットワークに必要なプロキシミティのレベルを判断してください。各 GSS プロキシミティ環境で許容されるゾーン数は最大 32 です。ゾーンの削除や追加、またはあるロケーションから別のロケーションへのゾーンの移動によって、いつでもゾーンの設定を変更できます。

ゾーンごとに、プロービング デバイスとオプションのバックアップ プロービング デバイスを指定します。各プロービング デバイスは、関連付けられているゾーンのトポロジー上のロケーションを代表するとともに、インターネットへの接続に関してそのゾーンに予想されるネットワーク動作も代表します。プロービング デバイスは、そのゾーン内の DRP エージェントです。

各 GSS ネットワークに含めることのできる GSS デバイスの最大数は 8 です。GSS デバイスはいつでも追加や削除を行うことができます。GSS はゾーンの内部になくてもかまいません。

プロキシミティを使用するためには、次の作業が必要です。

各プロキシミティ ゾーンを 1 つのロケーションに関連づける。

プロキシミティ ゾーンに関連付けられたロケーションを回答に割り当てる。

プロキシミティ分散方式で回答グループを使用するには、回答グループ内の回答が、ゾーンに結合されているロケーション内に含まれていなければなりません。

ネットワーク プロキシミティのクイック スタート ガイド

GSS にプロキシミティ ネットワークの動作を設定するために必要な手順概要を、 表9-1 に示します。各手順には、作業の完了に必要な GSSM CLI コマンドが示されています。GSS にプロキシミティを設定する手順の詳細は、表のあとの各項の説明を参照してください。

 

表9-1 プロキシミティ設定の主な手順

作業およびコマンドの例

1. ネットワーク内の各 GSS の CLI にログインし、特権 EXEC モードをイネーブルにして、システム クロックを NTP サーバと同期化します。

たとえば、次のように入力します。

gssm1.example.com> enable
gssm1.example.com# config
gssm1.example.com(config)# ntp-server 172.16.1.2 172.16.1.3
gssm1.example.com(config)# ntp enable

2. シスコ製ルータを、1 つまたは複数のプロキシミティ ゾーンの DRP エージェントとして設定します。

3. グローバル サーバ ロードバランシング コンフィギュレーションモードを開始します。

たとえば、次のように入力します。

gssm1.example.com(config)# gslb
gssm1.example.com(config-gslb)#

4. zone コマンドを入力して、プライマリ GSSM からプロキシミティ ゾーンを設定します。

たとえば、次のように入力します。

gssm1.example.com(config-gslb)# zone Z1 index 1 probe 192.168.11.1 backup probe 192.168.11.5

5. グローバル サーバ ロードバランシング コンフィギュレーションモードで proximity-properties コマンドを入力し、プロキシミティ プロパティ コンフィギュレーションモードにアクセスします。

たとえば、次のように入力します。

gssm1.example.com(config-gslb)# proximity-properties
gssm1.example.com(config-gslb-proxprop)#

6. プロキシミティ プロパティ コンフィギュレーションモードから、プロキシミティをイネーブルにします。

たとえば、次のように入力します。

gssm1.example.com(config-gslb-proxprop)# enable
gssm1.example.com(config-gslb-proxprop)# exit
gssm1.example.com(config-gslb)#

7. プロキシミティ プロパティ コンフィギュレーションモードで次のコマンドを使用し、グローバル プロキシミティをデフォルト値に設定します。

mask netmask ― PDB が対応できる D プロキシの数を増やす目的で、隣接した D プロキシ アドレスをグループにまとめる際に GSS が使用するグローバル サブネット マスクを指定します。ドット付き 10 進表記(例:255.255.255.0)でサブネット マスクを入力します。

timeout minutes ― あるエントリに対するルックアップ要求を PDB が最後に受信してから、GSS がそのエントリを削除するまでの最大時間を指定します。

equivalence number ― GSSが各ゾーンを近接状態と同等とみなす相対的な RTT 値として、最も近接した(最も近い)RTT 値に対するパーセンテージを指定します。このコマンドを使用して、プロキシミティ判断プロセスの細かさを調整します。

refresh-interval hours ― リフレッシュ プロービング プロセスによって PDB 内のエントリの RTT 値をプローブし更新する頻度を指定します。

discovery-sequence 要求側クライアントの D プロキシとのプローブ ディスカバリ プロセス中に Cisco IOS ベースのルータが最初に使用するプロービング方式(TCP、ICMP、またはパスプローブ)を指定します。ルータが指定のプロービング方式を試行しても、D プロキシがその方式を認識しない場合、GSS は自動的に別のプロービング方式を選択して D プロキシに接触します。

acceptable-rtt number ― 最も近接した回答を判断する際に許容可能な RTT 値として GSS が使用する値を指定します。このコマンドを使用して、プロキシミティ判断プロセスの細かさを調整します。

acceptable-zone number ― 許容可能な数のゾーンが有効な RTT 値を返すかどうか判断するために GSS が使用するパーセンテージ値を指定します。この値は、各 DNS 規則と回答グループに設定され使用されるすべてのゾーンのパーセンテージです。

wait enable ― GSS プロキシミティ待機状態をイネーブルにします。

authentication drp enable ― DRP 認証状態をイネーブルにします。

key drp ― authentication drp enable をイネーブルに設定し、その GSS 用の DRP 鍵がない場合には、このコマンドを使用して DRP 認証鍵を作成します。鍵を追加する場合は、このコマンドを繰り返します。各 DRP 鍵には、鍵識別番号と鍵認証ストリングが含まれています。

これらの設定に関する詳細は、「プロキシミティの設定」を参照してください。

たとえば、グローバル プロキシミティをイネーブルにして、設定値を指定するには、次のように入力します。

gssm1.example.com(config-gslb)# proximity-properties
gssm1.example.com(config-gslb-proxprop)# enable
gssm1.example.com(config-gslb-proxprop)# mask 255.255.255.255
gssm1.example.com(config-gslb-proxprop)# timeout 4320
gssm1.example.com(config-gslb-proxprop)# equivalence 20
gssm1.example.com(config-gslb-proxprop)# refresh-interval 6 gssm1.example.com(config-gslb-proxprop)# discovery-sequence icmp gssm1.example.com(config-gslb-proxprop)# acceptable-rtt 100
gssm1.example.com(config-gslb-proxprop)# acceptable-zone 40 gssm1.example.com(config-gslb-proxprop)# exit
gssm1.example.com(config-gslb)#

8. (任意) authentication drp enable key drp のコマンドを使用し、DRP 認証をイネーブルにして、DRP 鍵を作成します。

たとえば、新しい DRP 鍵を 2 つ作成する場合は、次のように入力します。

gssm1.example.com(config-gslb)# proximity-properties
gssm1.example.com(config-gslb-proxprop)# enable
gssm1.example.com(config-gslb-proxprop)# key drp 10 DRPKEY1
gssm1.example.com(config-gslb-proxprop)# key drp 20 DRPKEY2
gssm1.example.com(config-gslb-proxprop)# exit
gssm1.example.com(config-gslb)#

9. (任意)グローバル サーバ ロードバランシング コンフィギュレーションモードで、 location コマンドを使用し、ロケーションをプロキシミティ ゾーンに関連付けます。プロキシミティ ゾーンに割り当てる各ロケーションに対してこの手順を実行します。

たとえば、zone z3 をロケーション London と関連付けるには、次のように入力します。

gssm1.example.com(config-gslb)# location London zone z3
gssm1.example.com(config-gslb)#

10. (任意)グローバル サーバ ロードバランシング コンフィギュレーションモードで、 answer vip ip_address コマンドを使用し、プロキシミティ ゾーンに関連付けたロケーションを回答に割り当てます。関連付けられたプロキシミティ ロケーションに割り当てる各回答に対してこの手順を実行します。

たとえば、ロケーション Paris を SEC-PARIS2 という VIP 回答に関連付けるには、次のように入力します。

gssm1.example.com(config-gslb)# answer vip 172.16.27.6 name SEC-PARIS2 location Paris
gssm1.example.com(config-ansvip[ans-ip])

11. dns rule コマンドを使用して、DNS 規則を作成します。

たとえば、次のように入力します。

gssm1.example.com(config)# gslb
gssm1.example.com(config-gslb)# dns rule drule03 owner WEB-SERVICES source-address-list WEB-GLOBAL-LISTS domain-list E-COMMERCE query A
gssm1.example.com(config-gslb-rule[rule-name])#

12. clause コマンドと proximity enable オプションを使用して、DNS 規則の分散句 1 を設定し、その DNS規則のプロキシミティをイネーブルにします。

たとえば、次のように入力します。

gssm1.example.com(config-gslb-rule[rule-name])# clause 1 vip-group method ordered ANSGRP-VIP-03 proximity enable
gssm1.example.com(config-gslb-rule[rule-name])#

13. (任意)必要に応じて、 clause コマンドのプロキシミティに関するその他の設定値を変更します。 clause コマンドに使用できるすべての設定値の説明は、「VIP タイプの回答グループを使用する DNS へのプロキシミティの追加」を参照してください。次に示すプロキシミティ設定値を変更できます。

rtt number ― その分散句の許容可能なプロキシミティ RTT を、グローバル レベルのプロキシミティ値から別の値に変更します。

wait enable/disable ― プロキシミティ待機状態を、グローバル レベルのプロキシミティ値から別の設定値に変更します。

zone number ― その分散句の許容可能なプロキシミティ ゾーン パーセンテージを、グローバル レベルのプロキシミティ値から別の値に変更します。

たとえば、すでに作成されている DNS 規則の分散句 1 にプロキシミティをセットアップするには、次のように入力します。

gssm1.example.com(config-gslb-rule[rule-name])# clause 1 vip-group ANSGRP-VIP-03 method ordered proximity enable rtt 75 zone 50

14. 分散句 2 についても clause コマンドを使用し、ステップ 12 と 13 を繰り返します。

たとえば、次のように入力します。

gssm1.example.com(config-gslb-rule[rule-name])# clause 2 vip-group ANSGRP-VIP-03 method ordered proximity enable rtt 120 zone 55
gssm1.example.com(config-gslb-rule[rule-name])#

15. 分散句 3 に対する clause コマンドも入力し、ステップ 12 と 13 を繰り返します。

16. (任意)プロービングの軽減やスペースの節約を目的として、複数の D プロキシ IP アドレスを PDB 内の 1 つのエントリにまとめます。グローバル サーバ ロードバランシング コンフィギュレーションモードにアクセスし、プライマリ GSSM でプロキシミティ グループを作成します。そのためには、 proximity group コマンドを使用して複数の D プロキシ IP アドレスとサブネット マスクをそのグループに追加します。

たとえば、次のように入力します。

gssm1.example.com# config
gssm1.example.com(config)# gslb
gssm1.example.com(config-gslb)# proximity group ProxyGroup1 ip 192.168.3.0 netmask 255.255.255.0

17. (任意)ネットワーク内の GSS デバイスの PDB にスタティック プロキシミティ エントリを追加します。グローバル サーバ ロードバランシング コンフィギュレーションモードにアクセスし、 proximity assign コマンドを使用してスタティック エントリを作成します。

たとえば、次のように入力します。

gssm1.example.com# config
gssm1.example.com(config)# gslb
gssm1.example.com(config-gslb)# proximity assign group ISP2 zone-data “1:100,2:200,3:300,4:400,5:500”

DRP エージェントとしてのシスコ製ルータの設定

シスコ製ルータで DRP をイネーブルにすると、そのルータは GSS ネットワークで DRP エージェントとして動作できるようになります。DRP エージェントは複数の GSS と通信可能であり、複数の分散サーバをサポートします。

ここでは、各プロキシミティ ゾーンのシスコ製ルータを DRP エージェントに選択し設定する際の基本事項について説明します。具体的な内容は次のとおりです。

DRP エージェントとしてのシスコ製ルータの選択

DRP エージェントの設定

Cisco IOS リリース 12.1 の相互動作に関する注意事項

DRP エージェントとしてのシスコ製ルータの選択

シスコ製ルータをゾーンの DRP エージェントに選択する場合は、次の事項を確認してください。

DRP エージェントと、そのエージェントがゾーン内でサポートする各分散サーバがトポロジー上、近接している。

Cisco IOS ベースのルータ内の DRP エージェントは、ICMP または TCP エコーベースの RTT プロービングを実行するように設定されている。

DRP エージェントの設定

Cisco IOS ベースのルータ内の DRP エージェントの設定や維持を行うには、『 Cisco IOS IP Configuration Guide 』の「Configuring a DRP Server Agent」に記載されている作業を実行します。Cisco IOS ベースのルータはプロキシミティ ゾーンの DRP プロトコルをサポートしている必要があります。DRP をサポートしている Cisco IOS リリース トレインは、12.1、12.1E、12.2T、12.2、12.3 以降のリリースです。ICMP プロービングをサポートしているのは、Cisco IOS リリース 12.2T、12.3以降だけです。

GSS は、Cisco IOS ベースのルータと連動するための DRP RTT プロービング手段として、TCP(DRP Server Agent)と ICMP(ICMP ECHO-based RTT probing by DRP agents)を使用します。Cisco Feature Navigator II に示されている Cisco IOS フィーチャ名は、「DRP Server Agent」と「ICMP ECHO-based RTT probing by DRP agents」です。

Cisco IOS ベースのルータを DRP エージェントとして設定するには、次のプロセスが必要です。

1. シスコ製ルータの DRP エージェントをイネーブルにします。

2. GSS デバイスからの要求だけを許可する標準アクセス リストを定義して、DRP のセキュリティをイネーブルにします。セキュリティの手段として、有効な DRP クエリーの送信元を制限します。標準 IP アクセス リストがインターフェイスに適用されると、DRP エージェントはそのリスト内の IP アドレスから送信された DRP クエリーだけに応答します。アクセス リストが設定されていないと、DRP エージェントはすべてのクエリーに応答します。

3. ルータが DRP クエリーを受け入れる IP アドレスが標準アクセス リストだけに関連付けられていることを確認します。

4. 必要な場合は、もう 1 つのセキュリティ手段として、パスワード付の Message Digest(MD5)認証をセットアップします。DRP 認証のキーチェーンをイネーブルにして、キー チェーンを定義し、そのキー チェーンに関連付けられた鍵を識別し、各鍵の有効時間を指定してください。DRP エージェントに MD5 認証を設定した場合は、GSS デバイスも、その MD5 認証が設定されたDRP エージェントと、MD5 認証が設定された他の DRP エージェントからのメッセージを認識できるように設定する必要があります。

Cisco IOS リリース 12.1 の相互動作に関する注意事項

Cisco IOS リリース 12.1 が稼動するルータが配置されているネットワーク プロキシミティ ゾーン構成で GSS を使用する場合は、両方のデバイスで DRP 認証の設定が一致していることを確認してください。たとえば、GSS と、リリース 12.1 が稼動するルータの間で DRP 認証を実行する場合は、両方のデバイス上で認証をイネーブルにし、適切に設定します。同様に DRP 認証を使用しない場合も、両方のデバイスで認証をディセーブルにする必要があります。

Cisco IOS リリース 12.1 が稼動するルータ上で DRP 認証をディセーブルにしたのに、GSS では認証をイネーブルに設定すると、GSS がそのルータに送信する測定プローブはすべてエラーになります。これは、GSS が送信した DRP エコー クエリー パケットをルータが認識できず、GSS はルータに送信した測定パケットの潜在的な問題を検出できないためです。GSS は、 show statistics proximity probes detailed CLI コマンドで、そのルータがオンラインであると識別しますが、Measure Rx フィールドで監視される測定応答パケットは増分されません。この 2 つの状態が生じた場合は、DRP 認証の不一致が原因である可能性があります。

GSS と リリース 12.1 が稼動するシスコ製ルータの間の DRP プローブ要求がエラーとなり、そのルータはオンライン状態であると GSS が識別している場合は、次の方法で、GSS とシスコ製ルータの両方の DRP 認証設定を確認してください。

IOS リリース 12.1 が稼動しているシスコ製ルータに対して、 show ip drp コマンドを入力します。出力に「Authentication is enabled, using "test" key-chain」という行が表示された場合(test はご使用のキー チェーンの名前です)、そのルータには DRP 認証が設定されています。この行が出力に表示されない場合、DRP 認証は設定されていません。

プライマリ GSSM に対して、 show gslb-config proximity-properties コマンドを入力し、authentication drp enable の設定状態を表示します(詳細はプロキシミティの設定を参照)。

Cisco IOS リリース 12.1が稼動しているルータか、またはプライマリ GSSM の DRP 認証の設定を変更して、不一致が生じないように DRP 認証の設定を一致させてください。

CLI へのログインおよび特権 EXEC モードのイネーブル化


) GSS で特権 EXEC モードにログインし、イネーブルにできるのは、admin 特権が設定されているユーザだけです。ユーザ アカウントの作成および管理については、『Cisco Global Site Selector Administration Guide 』を参照してください。


プライマリ GSSM にログインして、CLI で特権 EXEC モードをイネーブルにするには、次の手順を実行します。

1. Telnet または SSH を通じてプライマリ GSSM にリモートからログインする場合は、GSSM のホスト名または IP アドレスを入力して、CLI にアクセスします。

端末と GSSM の間で直接シリアル接続を使用する場合は、端末エミュレーション プログラムを使用して CLI にアクセスします。専用端末を使用した GSS デバイスへの直接接続、および SSH または Telnet を使用したリモート接続の確立については、『 Cisco Global Site Selector Getting Started Guide 』を参照してください。

2. GSSM ログイン用の GSS 管理ユーザ名およびパスワードを指定します。CLI のプロンプトが表示されます。

gssm1.example.com>
 

3. CLI のプロンプトで、次のように特権 EXEC モードをイネーブルにします。

gssm1.example.com> enable
gssm1.example.com#

GSS のシステム クロックと NTP サーバの同期化

ネットワーク内の各 GSS デバイスのシステム クロックを Network Time Protocol(NTP)サーバと同期化することを強く推奨します。NTP は、ネットワーク全体のコンピュータのクロックを専用タイム サーバと同期化するように設計されているプロトコルです。

各 GSSのシステム クロックを同期化すると、GSS の内部システム クロックがネットワーク内で一定かつ正確に保たれるので、PDB とプロービング メカニズムが適切に機能します。GSS システム クロックが変化すると、PDB エントリが使用するタイム スタンプや GSS が使用するプロービング メカニズムに影響が生じる可能性があります。

プライマリ GSSM から GSS デバイスのプロキシミティをイネーブルにする場合は、必ず事前に、そのプロキシミティ ネットワーク内の各 GSSデバイスの NTP サーバを指定してください。これにより、各 GSS デバイスのクロックが同期化されます。


) CLI での GSS デバイスへのログインおよび特権 EXEC モードのイネーブル化については、「プロキシミティ グループの作成」を参照してください。


ntp-server グローバル コンフィギュレーション モード コマンドを使用して、GSS クロック同期化用の NTP サーバを 1 つ以上指定します。この CLI コマンドの構文は次のとおりです。

ntp-server ip_or_host

ip_or_host 引数には、クロックの同期化に使用するネットワーク内の NTP タイム サーバの IP アドレスまたはホスト名を指定します。最大 4 つの IP アドレスまたはホスト名を指定できます。ドット付き 10 進表記(例:172.16.1.2)で IP アドレスを入力するか、またはニーモニックのホスト名(例:myhost.mydomain.com)を入力します。

ntp enable グローバル コンフィギュレーション モード コマンドを使用して、NTP サービスをイネーブルにします。この CLI コマンドの構文は次のとおりです。

ntp enable

GSS デバイスに 2 つの NTP タイム サーバの IP アドレスを指定し、NTP サービスをイネーブルにする例を示します。

gssm1.example.com> enable
gssm1.example.com# config
gssm1.example.com(config)# ntp-server 172.16.1.2 172.16.1.3
gssm1.example.com(config)# ntp enable

プライマリ GSSM CLIを使用したゾーンの作成

プロキシミティ ゾーンは、ネットワーク デバイスの論理的なグループであり、各プロキシミティ ゾーンにはアクティブなプロービング デバイスと使用可能なバックアップ プロービング デバイスが 1 台ずつあります。ゾーンは、大陸、国、または主要都市に地理的に関連づけることができます。各ゾーンには、1 つ以上のロケーションを含めることができます。ロケーションは、配置されたデバイスを、管理のために論理的なグループに分類する手段です。

GSS は、プロキシミティ選択プロセス中に、そのゾーンに設定されているプロービング デバイスから受信した RTT データに基づいて 1 つ以上の有効な回答を含む最も近接したゾーンを選択します。各プロキシミティ ネットワークには最大 32 のゾーンを設定できます。

ここでは、次の手順について説明します。

プロキシミティ ゾーンの設定

プロキシミティ ゾーンの削除

プロキシミティ ゾーンとロケーションの関連付け

プロキシミティベースのロケーションと回答の関連付け

プロキシミティ ゾーンの設定

プライマリ GSSM からプロキシミティ ゾーンを設定するには、グローバル サーバ ロードバランシング コンフィギュレーションモードで zone コマンドを使用します。

このコマンドの構文は次のとおりです。

zone name { index number | probe ip_address } [ backup probe ip_address ]

この コマンドのオプションは次のとおりです。

name ― ゾーンの名前。他と重複しない最大 80 文字の英数字の名前を入力します。スペースが含まれた名前は引用符で囲む必要があります(例:"name 1")。

index number ― プロキシミティ ゾーンの識別番号を指定します。1 ~ 32 の整数を入力してください。デフォルト値はありません。

probe ip_address ― このゾーンにサービスを提供するプライマリ プロービング デバイスの IP アドレスを指定します。ドット付き 10 進表記で IP アドレスを入力します(例:192.168.11.1)。

backup probe ip_address ― (任意)このゾーンにサービスを提供するバックアップ プロービング デバイスの IP アドレスを指定します。ドット付き 10 進表記で IP アドレスを入力します(例:192.168.11.1)。

たとえば、次のように入力します。

gssm1.example.com(config-gslb)# zone Z1 index 1 probe 192.168.11.1 backup 192.168.11.5
 

以前に作成したゾーンのプロパティを変更する場合は、次のように入力します。

gssm1.example.com(config-gslb)# zone Z1 index 1 probe 192.168.11.2 backup 192.168.11.9
 

index 値を変更することはできません。ゾーン インデックスを変更するには、ゾーンを削除してから(プロキシミティ ゾーンの削除を参照)、別のインデックスを持つ新しいゾーンを作成します。


プロキシミティ ゾーンの削除

ゾーンを削除する場合は、 no 形式の zone コマンドを使用します。

たとえば、ゾーン「z1」を削除する場合は、次のように入力します。

gssm1.example.com(config-gslb)# no zone Z1 index 1 probe 192.168.11.1 backup 192.168.11.5
 

または

gssm1.example.com(config-gslb)# no zone Z1

プロキシミティ ゾーンとロケーションの関連付け

グローバル サーバ ロードバランシング コンフィギュレーションモードで、 location コマンドを使用すると、既存のプロキシミティ ゾーンをロケーションに関連付けることができます。新しいロケーションまたは既存のロケーションとの関連付けが可能です。既存のロケーションを一覧表示するには、 show gslb-config location コマンドを使用します。詳細については、「リソースの設定」「リソース情報の表示」を参照してください。

location コマンドの構文は次のとおりです。

location name [ region name | comments text | zone name ]

このコマンドのキーワードと引数は次のとおりです。

location name ― 市、データセンター、コンテンツ サイトなど、そのロケーションの地理的なグループ名のエントリ。他と重複しない最大 80 文字の英数字の名前を入力します。スペースが含まれた名前は引用符で囲む必要があります(例:"name 1")。

region name ― (任意)そのロケーションを関連付けるリージョンを指定します。これで、リージョンとロケーションが論理的に接続されます。他と重複しない最大 80 文字の英数字の名前を入力します。スペースが含まれた名前は引用符で囲む必要があります(例:"name 1")。

comments text ― (任意)そのロケーションについての説明や重要事項を指定します。最大 256 文字の英数字を入力します。スペースを含むコメントは引用符で囲む必要があります。

zone name ― (任意)そのロケーションと関連付ける既存のゾーンの名前を指定します。これで、ゾーンとロケーションが論理的に接続されます。

たとえば、San_Francisco という名前のロケーションを作成し、リージョン Western_USA とゾーン zone z1 と関連付けるには、次のように入力します。

gssm1.example.com# config
gssm1.example.com(config)# gslb
gssm1.example.com(config-gslb)# location SAN_FRANCISCO region WESTERN_USA zone z1

ゾーン z3 をロケーション London と関連付けるには、次のように入力します。

gssm1.example.com(config-gslb)# show gslb-config location
...
location London region Western_EU
...
gssm1.example.com(config-gslb)# location London zone z3
gssm1.example.com(config-gslb)#
 

プロキシミティベースのロケーションと回答の関連付け

グローバル サーバ ロードバランシング コンフィギュレーションモードで、 answer vip ip_address コマンドを使用すると、プロキシミティ ゾーンに関連付けたロケーションを回答に割り当てることができます。新しい回答または既存の回答との関連付けが可能です。既存の回答を一覧表示するには、 show gslb-config answer コマンドを使用します。詳細については、「回答および回答グループの設定」「回答プロパティの表示」を参照してください。

answer vip コマンドの構文は次のとおりです。

answer vip ip_address [ name name | location name | active | suspend ]

このコマンドのキーワードと引数は次のとおりです。

ip_address ― GSS の要求転送先となる VIP アドレス フィールド。<A.B.C.D> の形式で、引用符なしのテキスト ストリングを入力します。

name name ― (任意)作成している VIP タイプの回答の名前を指定します。他と重複しない最大 80 文字の英数字の名前を入力します。スペースが含まれた名前は引用符で囲む必要があります(例:"name 1")。

location name ― (任意)その回答を関連付ける既存のロケーションの名前を指定します。「リソースの設定」「所有者の設定」を参照してください。

active ― (任意)中断された VIP 回答を再びアクティブにします。これがデフォルトの設定です。

suspend ― (任意)アクティブな VIP 回答を中断します。

たとえば、SEC-LONDON1 という VIP 回答を作成し、London ロケーションに関連付ける場合は、次のように入力します。

gssm1.example.com# config
gssm1.example.com(config)# gslb
gssm1.example.com(config-gslb)# answer vip 10.86.209.232 name SEC-LONDON1 location LONDON
gssm1.example.com(config-ansvip[ans-ip])

 

ロケーション Paris を SEC-PARIS2 という VIP 回答に関連付けるには、次のように入力します。

gssm1.example.com(config-gslb)# show gslb-config answer
...
answer vip 172.16.27.6 name SEC-PARIS2 active
keepalive type tcp port 180 active
...
gssm1.example.com(config-gslb)# answer vip 172.16.27.6 name SEC-PARIS2 location Paris
gssm1.example.com(config-ansvip[ans-ip])

プライマリ GSSM CLI を使用したプロキシミティの設定

ここでは、プライマリ GSSM CLI から GSS にネットワーク プロキシミティを設定する方法、DNS 規則にプロキシミティを追加する方法、そしてプロキシミティ データベースの管理方法を説明します。具体的な内容は次のとおりです。

プロキシミティの設定

DRP 鍵の作成

DRP 鍵の削除

DNS 規則へのプロキシミティ分散句の追加

プロキシミティ グループの作成

スタティック プロキシミティ データベース エントリの設定

プロキシミティ データベースのエントリの削除

プロキシミティ データベース エントリのファイルへのダンプ

プロキシミティ データベースの定期的なバックアップの実行

プロキシミティ データベース エントリのロード

プロキシミティの設定

GSS には、デフォルト値として機能するプロキシミティ設定値があります。DNS 規則でプロキシミティがイネーブルに設定されると、この設定値が GSS ネットワークで使用されます。

グローバル サーバ ロードバランシング コンフィギュレーションモードから、 proximity-properties コマンドを使用し、プロキシミティ プロパティ コンフィギュレーションモードを開始します。プロキシミティ プロパティ コンフィギュレーションモードで、プロキシミティをイネーブルにして、その GSS ネットワークの DNS プロキシミティ値を変更します。プロキシミティの設定値は、プロキシミティ プロパティ コンフィギュレーションモードを終了するか、新しいモードを開始するとすぐに適用されます。

プロキシミティ プロパティ コンフィギュレーションモードから、プロキシミティをイネーブルにしてプロキシミティ値を設定するには、次のうち 1 つ以上のコマンドを指定します。

enable その GSS ネットワーク全体のグローバル プロキシミティをイネーブルにします。このコマンドはデフォルトではディセーブルです。

mask netmask ― PDB が対応できる D プロキシの数を増やす目的で、隣接した D プロキシ アドレスをグループにまとめる際に GSS が使用するグローバル サブネット マスクを指定します。ドット付き 10 進表記(例:255.255.255.0)でサブネット マスクを入力します。デフォルトのグローバル マスクは 255.255.255.255 です。

着信 D プロキシ アドレスのプロキシミティ グループを定義した場合、着信 D プロキシ アドレスが定義済みのプロキシミティ グループのいずれのエントリとも一致しないと、GSS はこのグローバル ネットワーク値を使用して、グループの D プロキシ ネットワーク アドレスを計算します。詳細については、「プロキシミティ グループの作成」を参照してください。

timeout minutes ― あるエントリに対するルックアップ要求を PDB が最後に受信してから、GSS がそのエントリを削除するまでの最大時間を指定します。この値によって、PDB エントリのエージング アウト プロセスが定義されます。エントリが無活動時間の限界に到達すると、GSS はそのダイナミック エントリを PDB から削除します。5 から 10080 分(168 時間)の値を入力します。デフォルト値は 4320 分(72 時間)です。

equivalence number ― GSSが各ゾーンを近接状態と同等とみなす相対的な RTT 値として、最も近接した(最も近い)RTT 値に対するパーセンテージを指定します。この同等パーセンテージによって、GSS がゾーンを同等とみなすために使用する RTT ウィンドウが定義されます。GSS は、この同等値を使用して、サーバ クライアント間の RTT 値がほぼ同じである複数の分散サーバに優先順位をつけることができます。GSS は、最小 RTT にこのパーセンテージを加えた値以下の RTT はすべて最小 RTT 値と同等であるとみなします。GSS は、同等ゾーン内の回答群から回答を 1 つ選択します。

たとえば、同等パーセンテージが 20 パーセントで、次の RTT 値 が戻ってきたとします。

Zone1 = 100 ms の RTT

Zone2 = 200 ms の RTT

Zone3 = 150 ms の RTT

GSS は Zone 1 が最小 RTT 値であると判断します。この場合、GSS は RTT 値に 20 パーセント(20 ms)を加算するので、回答選択に関する Zone1 と Zone2 のプロキシミティは同等になります。RTT 同等ウィンドウの範囲は 100 ms から 120 ms になり、GSS はこの範囲の RTT 値を返すゾーンをすべて同等のプロキシミティとみなします。

このパラメータを使用して、プロキシミティ判断プロセスの細かさを調整します。0 ~ 100 パーセントの同等値を入力します。デフォルト値は 20 パーセントです。

refresh-interval hours ― リフレッシュ プロービング プロセスによって PDB 内のエントリの RTT 値をプローブし更新する頻度を指定します。1 から 72 時間の値を入力します。デフォルト値は 8 時間です。

discovery-sequence ― 要求側クライアントの D プロキシとのプローブ ディスカバリ プロセス中に Cisco IOS ベースのルータが最初に使用するプロービング方式を指定します。ルータが指定のプロービング方式を試行しても、D プロキシがその方式を認識しない場合、GSS は自動的に別の プロービング方式を選択して D プロキシに接触します。最初のプロービング方式として選択できる項目は次のとおりです。

tcp ― プロービング デバイスは、TCP SYN-ACK および RST ハンドシェイク シーケンスを使用して、ユーザが指定した TCP ポートをプローブし、そのプロービング デバイスと D プロキシの間の RTT を測定します。送信元と宛先の TCP ポートをルータに設定できます。

icmp ― プロービング デバイスは、ICMP エコー要求および応答を使用して、そのプロービング デバイスと D プロキシの間の RTT を測定します。

path-probe ― これは、ICMP/TCP プローブの代替手段であり、最初のプロービング方式として選択することはできません。GSS が DFP エージェントとして機能する場合のみサポートされ、デフォルトではイネーブルになりません。

GSS は、DRP エージェントから 最小許容 RTT メトリックの受信に失敗すると、各ゾーンに設定されているプロービング デバイスにクエリー メッセージを送信し、GSS で稼動している DRP エージェントに対し、パスプローブ方式でプローブを実行するように指示します。DRP エージェントの少なくとも 1 つがレガシー ICMP/TCP プロービング方式で RTT を返した場合、パスプローブはトリガーされません。


) パスプローブ技術は、ファイアウォールの後ろの D プロキシの相対 RTT をベストエフォート方式で計算します。この方式では、RTT に沿って、プロービング デバイスと D プロキシの間のすべての中間ゲートウェイへのパスをトレースする必要があります。計算されたパス情報はクエリーを送信した GSS に送信されます。

GSS は、各ゾーンに設定されている DRP エージェントからのメトリックを共通ゲートウェイに到着するまで比較します。最初の共通ゲートウェイへの最良(最小)RTT メトリックは、最も近いコンテンツ サービング サイトの判定に使用されます。この方式は、D プロキシではなく、共通ゲートウェイまでの RTT を計算する点で ICMP/TCP とは異なります。


acceptable-rtt number ― 最も近接した回答を判断する際に、許容可能な RTT 値として GSS が使用する値を指定します。GSS に設定されているゾーンから、指定の acceptable-rtt 値よりも小さい RTT が報告された場合、GSS は次の事項を実行します。

a. ゾーンの許容パーセンテージを無視します。

b. プロキシミティを判断するのに十分なプロキシミティ データがあるとみなします。

c. この値以下であると報告するゾーンをプロキシミティの判断に使用します。

この設定値を使用して、プロキシミティ判断プロセスの細かさを調整します。50 ~ 1500 ms の acceptable-rtt 値を入力してください。デフォルト値は 100 ms です。

acceptable-zone number ― 有効 RTT 値を返すゾーンの許容数を判断するために GSS が使用するパーセンテージ値を指定します。この値は、各 DNS 規則と回答グループに設定され使用されるすべてのゾーンに対するパーセンテージです。RTT 情報を報告するゾーンの数が不十分であると、分散句がエラーになり、GSS は新しい句を処理します。たとえば、ある句に関連付けられている回答グループに 5 つの異なるゾーンに対応する回答が含まれていて、acceptable-zone の値を 40 パーセントに設定した場合、GSS は少なくとも 40 パーセントの基準を満たす 2 つのゾーンから 有効な RTT 値を受信する必要があります。GSS が 2 つ以上のゾーンから有効 RTT 値を受信できない場合、その分散句は失敗したと判断されます。

このパラメータを使用して、プロキシミティ判断プロセスの細かさを調整します。3 ~ 100 パーセントのゾーン パーセンテージを入力してください。デフォルト値は 40 パーセントです。


) その DNS 規則または回答グループの 1 以上のゾーンから報告された RTT がacceptable-rtt 値を下回っていた場合、GSS はその acceptable-rtt 値を無視します。


wait enable/disable プロキシミティの設定値に基づく適切な RTT およびゾーン情報を受信するまで、プロキシミティの選択の実行を待つよう GSS に指示します。GSS は、選択プロセスを完了するために十分なプロキシミティ データを獲得するまで、要求側クライアントの D プロキシに回答を返しません。ディセーブルの状態(デフォルト)では、GSS は、その他のプロキシミティ設定値に基づいて適切な RTT およびゾーン情報を受信しなくても、プロキシミティ選択の実行を待ちません。その代わり、DNS 規則の次の分散句に進みます。

authentication drp enable DRP 鍵の交換( key drp コマンドを参照)を通じて、プロービング デバイスの DRP エージェントと交換するパケットを認証するように、GSS に指示します。この鍵によって、GSS と DRP エージェントの間で送信される DRP 要求および応答が認証されます。ディセーブルの状態(デフォルト)では、GSS は、DRP エージェントの DRP 認証を実行しません。詳細については、「DRP 鍵の作成」を参照してください。

key drp authentication drp enable コマンドをイネーブルにした場合(上記を参照)は、1 以上の DRP 鍵を作成します。各 DRP 鍵には、鍵識別番号と鍵認証ストリングが含まれています。プライマリ GSSM は最大 32 の鍵をサポートします。

次のように key drp コマンドの設定値を指定します。

id_number ― 暗号化に使用される秘密鍵の識別番号GSS は、この ID 値を使用して、FRP の認証フィールドの検証に使用される 鍵ストリングを取得します。この ID 値は、Cisco IOS ベースのルータの DRP エージェントと GSS の間で同一でなければなりません。最大 32 の鍵を追加できます。鍵識別番号の範囲は、0 ~ 255 です。

auth_string ― DRP パケットで送受信される認証ストリング。この ストリングは、Cisco IOS ベースのルータの DRP エージェントと GSS の間で同一でなければなりません。ストリングには、1 ~ 80 の大文字および小文字の英数字を使用できます。ただし、最初の文字を数字にすることはできません。

詳細については、「DRP 鍵の作成」を参照してください。

たとえば、グローバル プロキシミティをイネーブルにして、設定値を指定するには、次のように入力します。

gssm1.example.com(config-gslb)# proximity-properties
gssm1.example.com(config-gslb-proxprop)# enable
gssm1.example.com(config-gslb-proxprop)# mask 255.255.255.0
gssm1.example.com(config-gslb-proxprop)# timeout 4320
gssm1.example.com(config-gslb-proxprop)# equivalence 20
gssm1.example.com(config-gslb-proxprop)# refresh-interval 6 gssm1.example.com(config-gslb-proxprop)# discovery-sequence icmp gssm1.example.com(config-gslb-proxprop)# acceptable-rtt 100
gssm1.example.com(config-gslb-proxprop)# acceptable-zone 40 gssm1.example.com(config-gslb-proxprop)# exit
gssm1.example.com(config-gslb)#
 

グローバル プロキシミティのさまざまな設定値をデフォルトに戻すには、このコマンドの no 形式を使用します。たとえば、次のように入力します。

gssm1.example.com(config-gslb-proxprop)# no mask 255.255.255.0
gssm1.example.com(config-gslb-proxprop)# no timeout 4320
gssm1.example.com(config-gslb-proxprop)# no equivalence 20
gssm1.example.com(config-gslb-proxprop)# exit
gssm1.example.com(config-gslb)#

DRP 鍵の作成

DRP は、DRP エージェント(プロービング デバイス)と DRP クライアント(GSS)の間で交換されるパケットの認証をサポートします。DRP 認証をイネーブルにして、1 つ以上の DRP 鍵を作成するには、プロキシミティ プロパティ コンフィギュレーションモードで、 authentication drp enable コマンドと key drp コマンドを使用します。これら 2 つのコマンドについての詳細は、「プロキシミティの設定」を参照してください。各 DRP 鍵には、鍵識別番号と鍵認証ストリングが含まれています。プライマリ GSSM は最大 32 の鍵をサポートします。

DRP 鍵はネットワーク内の各 GSS にローカル レベルで保存されます。鍵は暗号化パスワードとして機能するので、セキュリティ上の脅威となり得る DRP ベースの DoS 攻撃の防止に役立ちます。各 GSS は設定された鍵をすべて含んだ DRP パケットを作成し、そのパケットを各設定ゾーンの DRP エージェントに送信します。各 プロービング デバイスの DRP エージェントはパケットを検証して、一致する鍵を探します(DRP エージェントの設定を参照)。一致する鍵が見つかると、DRP エージェントは、その DRP 接続を認証されたものとみなし、パケットを受け入れます。

たとえば、3 つの新しい DRP 鍵を作成する場合は、次のように入力します。

gssm1.example.com(config-gslb)# proximity-properties
gssm1.example.com(config-gslb-proxprop)# authentication drp enable
gssm1.example.com(config-gslb-proxprop)# key drp 10 DRPKEY1
gssm1.example.com(config-gslb-proxprop)# key drp 20 DRPKEY2
gssm1.example.com(config-gslb-proxprop)# key drp 30 DRPKEY3
gssm1.example.com(config-gslb-proxprop)# exit
gssm1.example.com(config-gslb)#

DRP 鍵の削除

DRP 認証鍵を削除するには、 no 形式の key drp コマンドを使用します。

たとえば、次のように入力します。

gssm1.example.com(config-gslb-proxprop)# no key drp 30 DRPKEY3
gssm1.example.com(config-gslb-proxprop)# exit
gssm1.example.com(config-gslb)#

DNS 規則へのプロキシミティ分散句の追加

ここでは、次の内容について説明します。

プロキシミティ分散句の概要

VIP タイプの回答グループを使用する DNS へのプロキシミティの追加

プロキシミティ分散句の概要

プロキシミティ GSSM でネットワーク プロキシミティをイネーブルにして設定してから、ルール コンフィギュレーションモードで、 clause コマンドを使用し、VIP タイプの回答グループの DNS ルールにプロキシミティを追加します。最も近接したゾーンに有効な回答が複数ある場合に GSS が選択し、DNS 応答として 要求側 D プロキシに返す応答は、DNS 規則のなかの一致した句に設定されている分散方式によって決まります。GSS は、回答が見つからないと、DNS 規則のその他の分散方式を評価して、新しい回答を選択します。

GSS は、次の分散方式を使用する DNS 規則のプロキシミティをサポートします。

Ordered

Round-robin

Weighted-round-robin

Least-loaded

DNS 規則の 3 つの分散句のそれぞれにプロキシミティを設定できます。プロキシミティ ルックアップは、DNS 規則と一致し、関連する句でプロキシミティ オプションがイネーブルになっている場合に発生します。GSS は、D プロキシから要求を受信し、プロキシミティ応答を提供すべきであると判断すると、GSS メモリ内にある PDB から最も近接した回答(最小 RTT 時間の回答)を識別し、その回答を要求側 D プロキシに送信します。PDB で最も近接した回答を判断できない場合、GSSはプロキシミティ ネットワークの各ゾーンのプロービング デバイスで計測されたゾーン別 RTT 結果を収集します。

プロキシミティ分散句の回答グループ内に有効な回答がない場合、プロキシミティ待機条件が指定されていなければ、GSS はその分散句を飛ばし、DNS 規則にリストされている次の句に移ります。待機条件が指定されている場合は、そのプロキシミティ設定値に基づく適切な RTT およびゾーンの情報を受信するまで、GSS はプロキシミティ選択の実行を待ちます。GSS は、選択プロセスを完了するために十分なプロキシミティ データを獲得するまで、要求側クライアントの D プロキシに回答を返しません。


) DNS 規則に DNS スティッキとネットワーク プロキシミティを使用する場合、スティッキは常にプロキシミティよりも優先されます。所定の DNS 規則と一致する有効なスティッキ回答がある場合、GSSはクライアントD プロキシに回答を返す際に、プロキシミティを考慮しません。


VIP タイプの回答グループを使用する DNS へのプロキシミティの追加

VIP タイプの回答グループを使用する DNS 規則にプロキシミティ分散句を追加するには、次の手順を実行します。

1. グローバル プロキシミティの設定とイネーブル化を実行していなければ、これを実行します。詳細については、「プロキシミティの設定」を参照してください。

2. dns rule コマンドを使用して、DNS 規則を作成します。詳細は、「DNS 規則の作成および変更」html?bid=0900e4b1825ae631#58783" CLASS="cXRef_Color">「DNS 規則の作成」を参照してください。

3. ルール コンフィギュレーションモードで、 clause number vip-group name コマンドを使用し、分散句 1 を設定します。

この CLI コマンドの構文は次のとおりです。

clause number vip-group name [ method { round-robin | least-loaded | ordered | weighted-round-robin | hashed { domain-name | source-address | both }} | count number | proximity { enable [ rtt number | wait { enable | disable } zone number ] | disable } | ttl number ]

このコマンドのキーワードと引数は次のとおりです。

number ― 分散句の数(1、2、または 3)。VIP タイプの回答を使用する分散句を最大 3 つ指定できます。

vip-group name ― すでに作成されている VIP タイプ回答グループの名前を指定します。


) 指定する回答グループ内の回答がゾーンに結び付けられているロケーション内にあることを確認します。


method ― (任意)各分散句の方式を指定します。方式には次の種類があります。

round-robin ― GSSは、要求受信時に使用可能な回答をリスト内で順番に使用します。これがデフォルトの設定です。

least-loaded ― GSS は、回答グループの各 VIP が報告する負荷に基づいて回答を選択します。最小の負荷を報告した回答が選択され、要求への応答に使用されます。

least-loaded オプションを使用できるのは、KAL-AP キープアライブを使用する VIP タイプの回答グループの場合だけです。

ordered ― GSSは、優先順位に基づいてリストから回答を選択します。優先順位の番号が小さい回答ほど先に使用されます。リストの下部にある回答は、上にある回答が要求に応答できない場合に限って使用されます。順序リスト内の番号は不連続でもかまいません。


) 回答グループ内に同じ番号の回答がある場合、GSS はその番号の最初の回答だけを使用します。1 つの回答グループ内の各回答の順位が重複しないように指定することを推奨します。


weighted-round-robin ― GSSは、要求受信時に使用可能な回答をリスト内で順番に使用します。ただし、要求は、そのリソースに割り当てられた重み値によって判別される比率に従って、優先的な回答に送信されます。

hashed ― GSSは、要求に格納された情報から作成される一意の値に基づいて回答を選択します。GSS は 2 つのハッシュ分散方式をサポートしています。GSS では、次のように、1 つまたは両方のハッシュ分散方式を指定回答グループに適用できます。次のいずれか1つを入力します。

domain-name ― GSS は、要求されたドメイン名から作成されたハッシュ値に基づいて回答を選択します。

source-address ― GSS は、要求の送信元アドレスから作成されたハッシュ値に基づいて回答を選択します。

both ― GSS は、送信元アドレスとドメイン名の両方に基づいて回答を選択します。

count number ― (任意)DNS 規則と一致する要求に対して GSS が返すアドレス レコード(A レコード)の数を指定します。デフォルトは 1 レコードです。

proximity ― (任意) enable または disable を指定します。

enable ― その句のプロキシミティをアクティブにします。 enable を指定した場合は、次のオプションを使用できます。

rtt number ― その分散句の許容可能なプロキシミティ RTT を、グローバル レベルのプロキシミティ値から別の値に変更します。GSS は、最も近接した回答を判断する際に、この値をユーザ指定の許容 RTT として使用します。詳細は、「プロキシミティの設定」 acceptable-rtt number オプションを参照してください。50 ~ 1500 ms の許容可能な RTT 値を入力してください。デフォルト値は 100 ms です。

wait enable/disable ― プロキシミティ待機状態をグローバル レベルのプロキシミティ値から別の値に変更します。イネーブルに設定した場合、そのプロキシミティ設定値に基づく適切な RTT およびゾーンの情報を受信するまで、GSS はプロキシミティ選択の実行を待ちます。ディセーブルに設定した場合、GSS は DNS 規則の次の分散句に進みます。詳細は、「プロキシミティの設定」 wait オプションを参照してください。

zone number ― その分散句の許容可能なプロキシミティ ゾーン パーセンテージを、グローバル レベルのプロキシミティ値から別の値に変更します。このオプションは、各 DNS 規則と回答グループに設定され使用されるすべてのゾーンに対するパーセンテージです。詳細は、「プロキシミティの設定」 acceptable-zone オプションを参照してください。

disable ― その句のプロキシミティを非アクティブにします。

ttl number ― (任意)要求側 DNS プロキシがGSS から送信された応答をキャッシュし、そのキャッシュを有効な回答とみなす時間を秒単位で指定します。有効な入力値は、0 ~ 604,800 秒です。デフォルトは 20 秒です。

4. clause コマンドを使用して、分散句 2 および 3 についても設定プロセスを繰り返します。

たとえば、すでに作成されている DNS 規則 drule03 の分散句 1 および 2 にプロキシミティをセットアップするには、次のように入力します。

gssm1.example.com(config-gslb)# dns rule drule03
gssm1.example.com(config-gslb-rule[rule-name])# clause 1 vip-group ANSGRP-VIP-03 method ordered proximity enable rtt 75 zone 50
gssm1.example.com(config-gslb-rule[rule-name])# clause 2 vip-group ANSGRP-VIP-03 method least-loaded proximity enable rtt 125 zone 50
gssm1.example.com(config-gslb-rule[rule-name])#

プロキシミティ グループの概要

プライマリ GSSM はプロキシミティ グループの作成をサポートします。プロキシミティ グループを使用すると、各 GSS デバイスがその PDB に保存する D プロキシ IP アドレスの複数のブロックを単一エントリとして設定できます。このようにすると、GSS は、複数の D プロキシに対して、PDB 内のエントリを 1 つだけ使用し、複数のエントリを使用せずにすみます。GSS は、最も近接した回答を DNS 要求に応答する際に、1 つのプロキシミティ グループ内のすべての D プロキシを単一の D プロキシとして処理します。同じプロキシミティ グループ内の D プロキシからの要求は、そのグループのデータベース エントリの RTT 値を受け取りります。

プライマリ GSSM CLI からプロキシミティ グループを作成すると、設定のスケーラビリティが向上し、自動スクリプトを通じてプロキシミティ グループを簡単に作成できます。プライマリ GSSM は最大 5000 のプロキシミティ グループをサポートします。各プロキシミティ グループには、IP アドレスおよびサブネット マスク(ドット付き 10 進表記)ブロックが 1 ~ 30 個含まれます。

プロキシミティ グループを作成する利点は次のとおりです。

GSS が実行するプロービング アクティビティが減少し、プロービングに関連したオーバーヘッドが削減されます。GSS は、プロキシミティ グループ全体の各ゾーンの RTT 値を獲得するために、設定されているすべてのゾーンの最初の要求 D プロキシをプローブします。

PDB の必要スペースが減ります。GSS は、複数の D プロキシに対して、PDB 内のエントリを 1 つだけ使用し、複数のエントリを使用せずにすみます。

代替プロービング ターゲットやスタティック プロキシミティ メトリックを 1 つのグループに柔軟に割り当てられます。

CLI から複数の D プロキシ IP アドレスのプロキシミティ グループを作成するだけでなく、プライマリ GSSM からグローバル ネットマスクを設定して、連続する D プロキシをグループにまとめることもできます(プロキシミティの設定を参照)。着信 D プロキシ アドレスと一致するプロキシミティ グループがない場合、GSS デバイスはグローバル ネットマスクを使用します。GSS は完全な着信 D プロキシ IP アドレス(255.255.255.255)とグローバル ネットマスクをプロキシミティ データベース探索用のキーとして使用します。デフォルトのグローバル マスクは 255.255.255.255 です。

図 9-3 は、プロキシミティ グループ エンティティ 192.168.9.0/24 および
172.16.5.1/32 を通じて、D プロキシ 192.168.9.2、192.168.9.3、172.16.5.1 からの DNS 要求すべてを、識別済みのグループ名 ProxyGroup1 にマップする方法を示しています。PDB 内に、着信 D プロキシの IP アドレスと一致するものがない場合、GSS はユーザが指定したグローバル ネットマスクを使用し、データベース キーとしてネットワーク アドレスを計算します。この例では、192.168.2.1 および 192.168.7.2 からの DNS 要求は、192.168.2.0 および 192.168.7.0 と、指定されたグローバル ネットマスク 255.255.255.0 のキーに関連付けられたデータベース エントリを使用します。

図 9-3 プロキシミティ グループのデータベース エントリの探索

 

プロキシミティ グループの作成

プライマリ GSSM CLI から、 proximity group グローバル サーバ ロードバランシング コンフィギュレーションモード コマンドを使用することにより、プロキシミティ グループを作成して、プロキシミティ グループの名前を識別し、そのグループに IP アドレス ブロックを追加できます。すでに設定されている IP アドレス ブロックをプロキシミティ グループから削除したり、プロキシミティ グループを削除する場合は、このコマンドを no 形式で使用します。

プライマリ GSSM の CLI でプロキシミティ グループを作成すると、設定のスケーラビリティが向上し、自動スクリプトを通じてプロキシミティ グループを簡単に作成できます。プロキシミティ グループはプライマリ GSSM データベースに保存されます。ネットワーク内のすべての GSS デバイスが同じプロキシミティ グループ設定を受信します。スタンバイ GSSM や個々の GSS デバイスの CLI でプロキシミティ グループを作成することはできません。

この CLI コマンドの構文は次のとおりです。

proximity group { groupname } ip { ip-address } netmas k {netmask}

オプションと変数は次のとおりです。

groupname ― 他と重複しない英数字の名前。最大 80 文字の名前を入力してください。スペースを含めることはできません。

ip ip-address ― ドット付き 10 進表記で IP アドレス ブロックを指定します(例:192.168.9.0)。

netmask netmask ― ドット付き 10 進表記で IP アドレス ブロックのサブネット マスクを指定します(例:255.255.255.0)。

IP アドレス ブロック 192.168.9.0 255.255.255.0 の ProxyGroup1 という名前のプロキシミティ グループを作成する例を示します。

gssm1.example.com# config
gssm1.example.com(config)# gslb
gssm1.example.com(config-gslb)# proximity group ProxyGroup1 ip 192.168.9.0 netmask 255.255.255.0
 

次の作業を実行する場合は、再度 proximity group コマンドを入力します。

プロキシミティ グループに複数の IP アドレス ブロックを追加する。

さらにほかのプロキシミティ グループを作成する。

各プロキシミティ グループに定義できる IP アドレスおよびサブネット マスクのブロックは最大 30 です。GSS は プロキシミティ グループ間での IP アドレスとサブネット マスクの重複を許可しません。

スタティック プロキシミティ グループ コンフィギュレーションの実行

スタティック プロキシミティ グループ コンフィギュレーションのサイズが非常に大きい場合は、 proximity play-config コマンドを使用してスタティック プロキシミティ コンフィギュレーションを実行する必要があります。このコマンドは、 script play-config よりも効率的にプロキシミティ コマンドを実行します。


) このコマンドは、プライマリとセカンダリの GSSM でしか使用できません。


このコマンドの構文は次のとおりです。

proximity play-config filename

filename には、プロキシミティ コンフィギュレーションを含むファイルを指定します。

このコマンドは、次の手順で実行します。

1. プライマリとセカンダリの GSSM が同期化されていることを確認します。

2. gss stop コマンドを入力して、プライマリ GSSM を停止します。

3. 特権 EXEC モードで を proximity play-config 入力します。

4. このコマンドの入力後に生成されるキーを記録します。

5. gss stop コマンドを入力して、セカンダリ GSSM を停止します。

6. 特権 EXEC モードで を proximity play-config 入力します。

7. プライマリ GSSM で生成されたキーをプロンプトに入力します。


) プライマリ GSSM に proximity play-config を入力する前に、セカンダリ GSSM がプライマリに登録されていることを確認してください。


スタティック プロキシミティ コンフィギュレーションの実行例を示します。

gssm1.example.com# proximity play-config prox.txt
Tue Mar 6 13:10:43 2007 waiting for postmaster to start....done
Tue Mar 6 13:10:43 2007 postmaster successfully started
proximity group proxa1 ip 11.1.1.4 netmask 255.255.255.252
proximity group proxa1 ip 11.1.1.8 netmask 255.255.255.252
.
.
.
proximity group proxa50 ip 11.1.2.140 netmask 255.255.255.252
proximity group proxa50 ip 11.1.2.144 netmask 255.255.255.252
###########################################
Please use the following Key required while, playing "proximity play-config" on SGSSM.
Key: 89l25l5fa7339c1b60a20b60142493328b997b
###########################################

プロキシミティ グループの IP アドレス ブロックの削除

すでに設定されている IP アドレス ブロックをプロキシミティ グループから削除するには、 no 形式で proximity group コマンドを使用します。たとえば、次のように入力します。

gssm1.example.com# config
gssm1.example.com(config)# gslb
gssm1.example.com(config-gslb)# no proximity group ProxyGroup1 IP 192.168.9.0 netmask 255.255.255.0

プロキシミティ グループの削除

プロキシミティ グループとすでに設定されているすべての IP アドレス ブロックを削除するには、 no 形式で proximity group コマンドを使用します。たとえば、次のように入力します。

gssm1.example.com# config
gssm1.example.com(config)# gslb
gssm1.example.com(config-gslb)# no proximity group ProxyGroup1

スタティック プロキシミティ データベース エントリの設定

ここでは、PDB 内のスタティック エントリの設定方法について説明します。具体的な内容は次のとおりです。

スタティック プロキシミティ エントリの追加

プロキシミティ データベースからのスタティック エントリの削除

スタティック プロキシミティ エントリの追加

PDBには、ダイナミックとスタティックのエントリを作成できます。GSS は、新しい D プロキシ IP アドレスから要求があると、PDB にダイナミック エントリを作成します。GSS ネットワーク内のゾーンのスタティック プロキシミティ メトリックを設定する必要がある場合、またはプロービング デバイスに特定の D プロキシを割り当てる必要がある場合は、 proximity assign グローバル サーバ ロードバランシング コンフィギュレーションモード コマンドを使用して、PDB に一連のスタティック エントリを定義しなければなりません。ダイナミックまたはスタティックの同じエントリがプロキシミティ データベース内にすでに存在すると、GSS はそのエントリを新しく割り当てられたエントリで上書きします。各 GSS の PDB に多数のスタティック エントリを追加する場合は、自動スクリプトを使用することもできます。


proximity assign コマンドは、ローカル GSS だけに作用します。ネットワーク内のほかの GSS デバイスの PDB に同じスタティック エントリを追加する場合は、各 GSS の CLI でproximity assign コマンドを入力します。


PDB 内のスタティック エントリは、エージング アウトされず、ユーザが削除するまで、PDB 内に置かれます。スタティック エントリは、PDB のサイズが最大エントリ数に近づいても、最長未使用時間エントリの自動データベースクリーンアップの対象にはなりません。PDB のスタティック エントリの削除には、 no proximity assign コマンドを使用してください。

スタティック エントリには、固定 RTT 値を指定できます。固定 RTT 値を使用する場合、GSS は、DRP エージェントによるアクティブ プロービングを実行しません。RTT 値の代わりに、プロービング デバイスによるプロービングのターゲットとする代替 IP アドレスを指定して、RTT データを取得することもできます。その場合、GSS は、これらのスタティック エントリと一致する D プロキシからの要求に対し、代替プローブ ターゲットをプローブします。

PDB のスタティック エントリには、スタティック RTT か、またはプローブ ターゲット IPが保存されます。

PDB にスタティック エントリを作成する場合は、 proximity assign グローバル サーバ ロードバランシング コンフィギュレーション モード コマンドを使用します。このコマンドの構文は次のとおりです。

proximity assign { group { groupname }} | ip { entryaddress } | [ probe-target { ip-address } | zone-data {" zoneId:RTT" }]


) GSS は最大 1024 文字のコマンドを受け入れます。多数のプロキシミティ ゾーンの RTT を設定する場合は、proximity assign コマンドの長さが制限値を超えないように注意してください。


オプションと変数は次のとおりです。

group groupname ― 他と重複しない最大 80 文字の英数字の名前を指定します。スペースが含まれた名前は引用符で囲む必要があります(例:"name 1")。各スタティック プロキシミティ グループには固有の名前が必要です。

ip entryaddress ― PDB 内に作成する D プロキシ IP アドレス エントリを指定します。

probe-target ip-address ― (任意)プロービング デバイスがプローブする代替 IP アドレスを指定します。通常、プロービング デバイスは、要求側 D プロキシ IP アドレスにプローブを転送して RTT を計算します。その D プロキシがプロービング デバイスからプローブできない場合は、プローブによって同等の RTT データを取得できる別のデバイスの IP アドレスを指定することができます。

zone-data " zoneId:RTT" ― (任意)ゾーンの計算済み RTT 値を、" zoneId:RTT" 形式で指定します。たとえば、RTT が 100 秒の場合は、 "1:100" と入力します。 zoneID の有効値は 1 ~ 32 です。この値は、プライマリ GSSM を通じて指定されたプロキシミティ ゾーン インデックスと一致していなければなりません(GSS のシステム クロックと NTP サーバの同期化を参照)。 RTT の有効値は、0 ~ 86400 秒(1 日)です。プロキシミティ グループ内の複数のスタティック zone:RTT ペアを指定する場合は、引用符内の各エントリをカンマで区切りますが、エントリ間にスペースは入れないでください(例:"3:450,22:3890,31:1000")

次の例では、プロキシミティ グループ ISP1 の代替プロービング ターゲットを設定します。

gssm1.example.com# config
gssm1.example.com(config)# gslb
gssm1.example.com(config-gslb)# proximity assign group ISP1 probe-target 192.168.2.2
 

次に、D プロキシ サブネット192.168.8.0 の代替プロービング ターゲットの設定例を示します(グローバル マスクの設定値は 255.255.255.0)。

gssm1.example.com# config
gssm1.example.com(config)# gslb
gssm1.example.com(config-gslb)# proximity assign ip 192.168.8.0 probe-target 192.168.2.2
 

次の例では、プライマリ GSSM を通じてすでに作成されているゾーン インデックスを使用し、プロキシミティ グループ ISP2 のスタティック RTT メトリックを設定します。

gssm1.example.com# config
gssm1.example.com(config)# gslb
gssm1.example.com(config-gslb)# proximity assign group ISP2 zone-data "1:100,2:200,3:300,4:400,5:500"
 

次に、D プロキシ サブネット192.168.8.0 のスタティック RTT メトリックを設定する例を示します(グローバル マスクの設定値は 255.255.255.0)。

gssm1.example.com# config
gssm1.example.com(config)# gslb
gssm1.example.com(config-gslb)# proximity assign ip 192.168.8.0 zone-data "1:100,2:200,3:300,4:400,5:500"

プロキシミティ データベースからのスタティック エントリの削除

CLI を使用して、各 GSS デバイスの PDB からエントリを削除できます。GSS メモリ内の PDB からスタティック エントリを削除するには、 no 形式の proximity assign グローバル サーバ ロードバランシング コンフィギュレーションモード コマンドを使用します。


) no proximity assign コマンドを入力する前に、PDB からスタティック エントリを永続的に削除してよいかどうか確認してください。削除したスタティック エントリを元に戻すことはできません。


プロキシミティ グループ ISP1 のスタティック RTT エントリを削除する例を示します。

gssm1.example.com# config
gssm1.example.com(config)# gslb
gssm1.example.com(config-gslb)# no proximity assign group ISP1 zone-data “1:100,2:200,3:300,4:400,5:500”

プロキシミティ データベースのエントリの削除

proximity database delete コマンドを使用して、GSS メモリから PDB エントリを削除できます。ただし、このコマンドでは、ディスク上のバックアップ ファイルへの自動ダンプの一部として保存された PDB エントリは削除されません。GSS メモリとディスクから目的の PDB エントリを確実に削除するには、 proximity database delete コマンドの入力後に、 proximity database periodic-backup now コマンドを使用して、すぐに GSS メモリ内の空の PDB を強制的にバックアップしてください。

このコマンドの構文は次のとおりです。

proximity database delete { all | assigned | group { name } | inactive minutes | ip { ip-address } netmask { netmask } | no-rtt | probed }

オプションと変数は次のとおりです。

all ― GSS メモリからすべてのプロキシミティ データベース エントリを削除します。すべての PDB エントリを削除してよいかどうか確認するため、"Are you sure?" というプロンプトが表示されます。すべてのエントリを削除する場合は y 、削除操作をキャンセルする場合は n を指定します。


注意 proximity database delete all コマンドは、PDB からすべてのエントリを削除して、データベースを空にしたい場合に使用します。削除した PDB エントリを元に戻すことはできないので、このコマンドを入力する前に、PDB からエントリを永続的に削除してよいかどうかを確認してください。

assigned ― PDB からすべてのスタティック エントリを削除します。

group name ― 指定したプロキシミティ グループに属すすべてのエントリを削除します。すでに作成されているプロキシミティ グループの正確な名前を指定してください。

inactive minutes ― 指定時間のあいだ非アクティブ状態であったダイナミック エントリをすべて削除します。有効値は、0 ~ 43200 分です。

ip ip-address netmask netmask ― 指定の D プロキシ IP アドレスおよびサブネット マスクに関連したプロキシミティ エントリをすべて削除します。ドット付き 10 進表記で、要求側クライアントの D プロキシの IP アドレス(例:192.168.9.0)およびサブネット マスク(例: 255.255.255.0)を指定します。

no-rtt ― 有効な RTT 値を持たないすべてのエントリを PDP から駆除します。

probed ― PDB からすべてのダイナミック エントリを削除します。

たとえば、D-proxy IP アドレス 192.168.8.0 とサブネット マスク 255.255.255.0 を削除する場合は、次のように入力します。

gssm1.example.com# proximity database delete ip 192.168.8.0 255.255.255.0

プロキシミティ データベース エントリのファイルへのダンプ

GSS は、ほぼ 1 時間ごとに、PDB エントリをディスク上のバックアップ ファイルに自動的にダンプします。GSS はこのバックアップ ファイルを使用して、システムの再起動またはリブート時に PDB を初期化し、GSS がデータベースの内容を回復できるようにします。

PDB のすべてのエントリまたは選択したエントリを、ユーザ開始バックアップ ファイルとして指定したファイルにダンプできます。その後、ftp コマンドを EXEC モードまたはグローバル コンフィギュレーション モードで使用して FTP クライアントを開始し、そのファイルをリモート マシンに転送できます。

GSS の PDB XML 出力ファイルのすべての内容を表示するには、 type コマンドを使用します。ファイル内容の表示に関する詳細は、『 Cisco Global Site Selector Administration Guide 』を参照してください。

GSS には、PDB のエントリをダンプする際の細かさを指定するオプションがあります。GSS は、バイナリおよび Extensible Markup Language(XML)の出力形式をサポートしています。任意で、PDB エントリ タイプやエントリ IP ネットワーク アドレスなどのフィルタを指定することにより、PDB からダンプする情報を明確にすることもできます。PDB エントリ タイプは、入力されたスタティック エントリ(スタティック プロキシミティ データベース エントリの設定 を参照)または GSS が学習したダイナミック エントリを指定できます。GSS に、両方のタイプのエントリを PDB からダンプするように指示することも可能です。エントリ タイプを指定しなければ、GSS はすべてのエントリを PDB から自動的にダンプします。

既存のプロキシミティ データベース ダンプ ファイルを同じファイル名で上書きしようとすると、GSS は次のメッセージを表示します。

Proximity Database dump failed, a file with that name already exists.
(プロキシミティ データベースのダンプに失敗しました。同じ名前のファイルがあります。)

PDB 内のエントリを指定ファイルにダンプするには、 proximity database dump コマンドを使用します。

このコマンドの構文は次のとおりです。

proximity database dump { filename } format { binary | xml } [ entry-type { all | assigned | probed }] [ entry-address { ip-address } netmask { netmask }]

オプションと変数は次のとおりです。

filename ― その PDB エントリを含む GSS ディスク上の出力ファイルの名前。このファイルは /home ディレクトリにあります。

format ― バイナリまたは XML 形式で PDB エントリをダンプします。ファイルの内容を別の GSS の PDB にロードする場合は、形式タイプとしてバイナリ エンコーディングを選択します。有効なエントリは次のとおりです。

binary ― 指定のプロキシミティ エントリを真のバイナリ形式でダンプします。このファイルを使用できるのは、 proximity database load コマンドだけです。

xml ― 指定のプロキシミティ エントリを XML 形式でダンプします。XML ファイルの内容には、データ フィールドとデータ記述が含まれます。このファイルの内容は、 type コマンドで表示できます。出力 XML ファイルの内容表示方法の定義については、 付録 B「スティッキおよびプロキシミティの XML スキーマ ファイル」 を参照してください。


) XML 形式での PDB エントリのダンプは、リソース消費の大きい操作です。PDB のサイズや使用する GSS プラットフォームによって異なりますが、この操作の完了には、2 ~ 4 分かかることもあります。パフォーマンスの低下を避けるため、GSS の通常動作中は、XML 形式での PDB ダンプを実行しないことを推奨します。


entry-type ― 出力する PDB エントリのタイプを指定します。スタティック、ダイナミック、または両方を指定できます。有効なエントリは次のとおりです。

all ― PDB からスタティックとダイナミックのエントリを削除します。これがデフォルトの設定です。

assigned ― スタティック エントリとして指定されたプロキシミティ エントリをダンプします。

probed ― プロービングによるダイナミック プロキシミティ エントリをダンプします。

entry-address ip-address ― PDB エントリの IP アドレスを指定します。

netmask netmask ― PDB エントリのサブネット マスクをドット付き 10 進表記で指定します(例:255.255.255.0)。

次に示すのは、ダイナミック PDB エントリを PDB2004_6_30 というファイルに XML 形式でダンプする場合の例です。ダンプ内容に多数のエントリが含まれる場合は、次のようなメッセージが表示されることがあります。

gssm1.example.com# proximity database dump PDB2004_6_30 format xml entry-type probed entry-address 172.23.5.7 netmask 255.255.255.255
Starting Proximity Database dump.
 
gssm1.example.com# proximity database dump PDB2004_6_30 format xml entry-type probed entry-address 172.23.5.7 netmask 255.255.255.255
Proximity Database dump is in progress...
Proximity Database has dumped 15678 of 34512 entries
 
gssm1.example.com# proximity database dump PDB2004_6_30 format xml entry-type probed entry-address 172.23.5.7 netmask 255.255.255.255
Proximity Database dump completed. The number of dumped entries: 34512
 

ダンプが終了すると、完了(completed)メッセージが表示され、CLI プロンプトが再表示されます。

プロキシミティ データベースの定期的なバックアップの実行

定期バックアップ時間になる前に、PDB エントリを GSS ディスク上の出力ファイルにダンプするように GSS に指示することも可能です。たとえば、GSS をシャットダウンする前に最新の PDB エントリを確実に保存するために、データベース回復手段として PDB ダンプを開始することもできます。

GSS メモリ内にある PDB の即時バックアップを実行するには、 proximity database periodic-backup now コマンドを使用します。GSS は、プロキシミティ データベース ファイルとしてシステム ダンプ ファイルに PDB エントリを送信します。リブートまたは再起動時に、GSS はこのファイルを読み取り、ブート時にその内容をロードして PDB を初期化します。

このコマンドの構文は次のとおりです。

proximity database periodic-backup now

たとえば、次のように入力します。

gssm1.example.com# proximity database periodic backup now

プロキシミティ データベース エントリのロード

GSS では、ファイルの PDB をロードして GSS メモリ内の既存の PDB にマージできます。この PDB マージ機能を利用すると、ある GSS の PDB エントリを別の GSS の PDB エントリに変換したり移行したりできます。GSS メモリにロードするには、ファイルがバイナリ形式でなければなりません。ファイルからロードされたプロキシミティ RTT メトリックによって、データベース内の重複エントリは置き換えられ、重複しないデータベース エントリは追加されます。

ディスクの PDB を GSS メモリにロードするには、 proximity database load コマンドを使用します。このコマンドの構文は次のとおりです。

proximity database load filename format binary [ override ]

オプションと変数は次のとおりです。

filename ― ロードしてGSS デバイスの既存の PDBとマージする PDB ファイルの名前。GSS メモリにロードするには、ファイルがバイナリ形式でなければなりません(プロキシミティ データベース エントリのファイルへのダンプを参照)。FTP クライアントを開始し、リモート GSS からPDB ファイルを GSS に転送するには、EXEC モードまたはグローバル コンフィギュレーション モードで ftp コマンドを使用します。

format binary ― 指定された真のバイナリ形式のプロキシミティ ファイルをロードします。GSS メモリにロードするには、ファイルがバイナリ形式でなければなりません。

override ― (任意)ファイル内のプロキシミティ データベース エントリを、現在 GSS PDB 内にある同じエントリで上書きするかどうかを指定します。 override オプションを選択した場合、PDB 内のスタティック データベース エントリは常にダイナミック データベース エントリよりも優先されます。ファイルと GSS データベース メモリの両方に同じデータベース エントリがある場合、GSS は次のように処理します。

ダイナミック エントリは、重複しているスタティック エントリで上書きされます。

スタティック エントリは、重複しているスタティック エントリで上書きされますが、重複しているダイナミック エントリでは上書きされません。

override オプションを指定しないと、GSS は最新のエントリをメモリにロードし、PDB 内の同タイプ(ダイナミックまたはスタティック)の古いエントリを上書きします。たとえば、PDB 内の古いダイナミック エントリは、最新のダイナミック エントリに置き換えられます。

次の例では、GSS PDB 内の既存のエントリを上書きすることなく、GSS3PDB ファイルからエントリがロードされます。

gssm1.example.com# proximity database load file GSS3PDB format binary
 

既存の GSS PDB にある同じエントリを上書きする場合は、次のように入力します。

gssm1.example.com# proximity database load GSS3PDB format binary override

D プロキシ アドレスのプロービングの開始

GSS は、プローブ情報(RTT 値)を獲得するために、指定ゾーンに設定されている各プローブ デバイスにプローブ要求を送信します。GSS は、PDB 内でエントリが見つかると、D プロキシから取得したプローブ情報を使用して、その PDB エントリをアップデートします。

状況によっては、1 つまたはすべてのゾーンのプロービング デバイスに対し、特定の D プロキシ アドレスにプローブを送信し、RTT 値を取得して、PDB 内のエントリに保存するよう指示することが必要になる場合もあります。このような場合には、 proximity probe コマンドを使用して、特定の D プロキシ IP アドレスまたは 1 つ以上のゾーンへの直接プロービングを開始します。

このコマンドの構文は次のとおりです。

proximity probe { dproxy_address } [ zone { zoneId | all }]

オプションと変数は次のとおりです。

dproxy_address ― プロービング デバイスからプローブしたい D プロキシの IP ネットワーク アドレス。

zone zoneId ― プローブを開始するプロービング デバイスが含まれているプロキシミティ ゾーンの ID を指定します。使用できる値は、1 ~ 32 です。

all ― このオプションを指定すると、GSSは、設定されているすべてのゾーンのプロービング デバイスに対し、指定の D プロキシ IP アドレスにプローブを送信するように指示します。

たとえば、zone 1 のプロービング デバイスに対して、172.16.5.7 の D プロキシにプローブを送信するように指示する場合は、次のように入力します。

gssm1.example.com# proximity probe 172.16.5.7 zone 1

トラブルシューティングを目的としたローカル レベルでの GSS プロキシミティのディセーブル化

デバイスのトラブルシューティングやデバッグを目的として、グローバル レベルでイネーブルに設定されているプロキシミティ オプションをローカル レベルで変更する必要がある場合は、単一の GSS に対してプロキシミティをディセーブルに設定できます。ローカル レベルでのディセーブル設定は、実行コンフィギュレーション ファイルには保存されません。

proximity stop コマンドを入力すると、GSS は即座に次の動作を停止します。

PDB のプロキシミティ ルックアップ

GSS と DRP エージェントの間の直接プロービング

プロービングのリフレッシュによる最新 RTT 値の取得

定期的な PDB ダンプ

プロキシミティ データベース エントリのエンジング アウトのプロセス

デバイスの再起動時に、GSS はネットワーク プロキシミティを再度イネーブルにします。

proximity stop コマンドを使用して、ローカル レベルで GSS デバイスのプロキシミティをディセーブルにする例を示します。

gssm1.example.com# proximity stop
 

proximity start コマンドを使用して、ローカル レベルで、GSS デバイスのプロキシミティをイネーブルに戻す例を示します。

gssm1.example.com# proximity start

次の作業

「DDoS 防止の設定」では、Distributed Denial of Service(DDoS; 分散サービス妨害)攻撃を防止するための GSS の設定方法について説明します。