Nutanix でNetwork Segmentationをした際のHAの挙動について

 記事の概要

NutanixAHV)でNetwork Segmentaionを導入した場合にBackplaneトラフィックが切断された際にHAが発生することを検証する

 

Network Segmentationとは

NutanixにおけるNetwork Segmentationとは、AHV/CVMの管理トラフィックをBackplaneトラフィックを分離する構成のことである。

Nutanix FlowVMware NSXのマイクロセグメンテーションとは異なる。

 

詳細については以下の公式ドキュメントが詳しい

AOS Security 7.0 - Securing Traffic Through Network Segmentation

 

 

 

検証内容:VMHAのハートビートについて

上記公式Docによると、VMHAの挙動に関わるトラフィックはBackplaneトラフィックに含まれると記載がある。

そのため、Network Segmentationを実施した場合、以下の挙動となることが想定される。

・管理系トラフィックの切断ではHA発生しない。

Backplaneトラフィックの切断でHAが発生する。

この挙動を実機で検証してみる。

 

検証環境

モデル:Dell XC640-4 * 4ノード 10GbE*2ポート

バージョン:AOS7.0/AHV10.0

 

検証方法

環境に制限があるため、Physical SegmentationBackplaneトラフィックを分離する。

手順は以下の公式Docを参照する

AOS Security 7.0 - Physically Isolating the Backplane Traffic on an AHV Cluster

 

VLANは管理系と同じVLAN ID 0 (タグなし)に設定をするがサブネットを異なるものに設定する。

 

分離後のネットワークの切断についてはAHVからifconfig ehtX down コマンドを実行することで実現する

任意の1ノードにて、管理トラフィックをとBackplaneトラフィックをそれぞれ切断し、VMHAの挙動を確認する

 

 

事前準備

AOS7.0AHV10.0)でクラスタを構成する。(10GbE *2 ポート)

②デフォルトの仮想スイッチ(vs0)のアップリンクを冗長なしに設定する(eth2を利用)

③分離用の仮想スイッチ(vs1)を作成する(eth3を利用。冗長なし)

 

その後、公式Docの手順に従って、Physical Segmentationを有効にする。

 

※アップリンクを冗長なしにする場合はVirtual Switchの編集画面でNo Uplink Bondを選択する

 

 

 

検証結果①:Backplaneトラフィックの切断時

想定通りVMHAが発生した。

疑似障害ノード(CVM/AHV)に関しては管理系の疎通が活きているためSSHでの接続やGUI表示に問題はなかった。

 

疑似障害からの復旧後以下のアラートが残存した。

 

 

この事象については以下のKBに解決策も含めて説明されている。

A node can be detached from Metadata store during LCM operation

 

疑似障害後、120分以上経過したため仕様により該当ノードのCVMCassandraクラスタから外されたためのアラームである。

KBの手順ですぐに復旧した。

 

 

検証結果②:管理トラフィックの切断時

管理系トラフィックの切断時にはVMHAは発生しなかった。(ドキュメントの記載通り)

 

ただし、切断中はGUIの表示が不安定となった。

管理系を切断しているため、疑似障害ノードのAHV/CVMへのSSHGUI接続ができなくなることは想定通りだが、

Prism Elementの挙動が不安定となりGUIから状況が確認できなくなった。

Prism Leaderは他のノードになっていることを確認し、Leader IPでアクセスしてもGUIが正常に機能していなかった。

 

また、事象発生中に異常を示すアラートやイベントが発生していなかった。

 

実際の運用環境では、ネットワークも冗長化するため同様の状況になることは稀だとは思うが、アラートやイベントが出ない都合上、障害検知や異常発生時(UserVMの疎通不可など)の原因特定が遅れる可能性もあるため、Network Segmentationをする際は別途管理系のPing監視などを併用した方が良いと考えられる。

 

 

その他コメント

Network Segmentationの有効化は、サクッと終るかと思いきや、それなりの時間を要した。(該当タスクのみで1時間2分)

Network Segmentationは事前に全AHVをメンテナンスモードに入れる必要があるため、事前の準備として仮想マシンの停止とコマンドでのメンテナンスモードへの移行も必要になる。

また、既存のAHVの仮想スイッチから物理NICを分離する場合は仕様としてローリングリブートも必要になる。

そのため、運用開始後(Day2)でNetwork Segmentationを有効化する場合は少なくとも数時間のメンテナンスウインドウが必要となるため、構築時にきちんと検討しておく方が良い。

 

 

コメント

コメントを投稿

このブログの人気の投稿

Dell XC モデルのFirmware更新(LTS 6.10)

イメージ
  この記事は  Nutanix Advent Calendar 2024   の 12 月4 日分として執筆しました。 本記事の概要 Dell XC モデルにおける Firmware ( FW )更新の仕組みと特長について、調べたことをまとめています。   Dell XC モデルのFW 更新の大まかな仕組み FW の更新を実施するのは iDRAC と呼ばれるサーバ側の管理モジュール(いわゆる BMC )です。 Nutanix の LCM Framework は iDRAC に対してFW ファイルのアップロード&更新のインストールを実行することで FW を更新しています。 その際に、LCM Framework から iDRAC への接続性は TCP/IP を利用しています。 通常、 iDRAC(BMC) に接続する際はサーバに設けられている専用ポートにネットワーク設定を施すことで外部から接続( Out of band )が可能になりますが、 XC モデルの場合は専用ポートを利用していません。代わりにサーバ上の OS ( AHV )に仮想 NIC を認識させることで外部ネットワークを経由せずにサーバ内部の通信で完結させています。 具体的にはiDRACの機能でAHV に対して仮想の USBNIC を認識させており、 AHV はその USBNIC を利用することでサーバ内部の通信のみで iDRAC に TCP/IP 接続をすることができるということです。この接続パスを経由して、 Redfish と呼ばれる API にて iDRAC に対してFW ファイルのアップロードと更新のインストールを実行することができています。     仮想 NIC について 仮想 NIC 自体は USBNIC という形で AHV が検出することができます。( iDRAC の OS パススルーの仕組みを有効化している必要があります。アプライアンスなので工場出荷時点で設定済み) この USBNIC を経由した通信は iDRAC にのみ伝達され、サーバの外部に通信が漏れることはありません。 LTS 6.5 (el7) までは、 AHV に iSM ( iDRAC Service Module...
続きを読む

(Nutanix)Dell XC モデルのアップグレード準備メモ(LTS 6.5.x -> 6.10)

本記事の概要 インターネットアップグレード機能を利用した LTS 6.5 → 6.10 へのアップグレードの準備とまとめておく   アップグレードされるものの一覧 Nutanix LCM では以下のコンポーネントをアップデートすることが可能となっている LCM Framework Prism Central AOS AHV FSM Foundation Licensing Dell XC Firmware 群( Dell XC モデルを利用)     アップグレード前に確認すべき互換性 LCM を実行する前に互換性も確認しておく。   ①既存ハードウェアとターゲットバージョンの互換性 https://portal.nutanix.com/page/documents/compatibility-interoperability-matrix/hardware ※利用しているハードウェアがターゲットバージョンにに対応しているかを確認した     https://portal.nutanix.com/page/documents/compatibility-interoperability-matrix/interoperability ターゲット AOS と Prism Central の互換性を確認することで Prism Central のターゲットバージョンを決定する 決定した Prism Central のターゲットバージョンが既存 AOS の互換性があるのかを確認する必要がある。 ※互換性がない場合は 2 段階アップグレードなども考慮しなくてはならない。今回は対応していたので OK 。     https://portal.nutanix.com/page/documents/upgrade-paths Prism Central のソースバージョンからターゲットバージョンへのアップグレードパスを確認しておく。 同様に、 AOS についてもソースバージョンからターゲットバージョンへのアップグレードパスを確認する。   ...
続きを読む

Nutanixクラスタにノードを追加する

イメージ
  はじめに / 本記事の概要 Dell 社の Nutanix 専用ノードを利用して、 Nutanix 環境のノード追加を試す   環境情報 既存クラスタ: 3 ノードクラスタ、 AOS 6.5.5.7 追加クラスタ: HW 構成とバージョンが既存と同じ。イメージング済み 端末含め、 IP アドレスはすべて同一サブネット。 VLAN はなし。   ノード追加ウィザーの入力   Home から Settings を選択   イメージング済みのノードが自動的に検知されてくる。(自動検知用のネットワーク要件あり) 検知されてこない場合はスイッチ側の Multicast や Snooping の設定に問題がある可能性がある。 トラブルシューティングが必要な場合は以下の KB やドキュメントを参照する Cannot Create Cluster or Add Nodes to Existing Cluster (nutanix.com) Network Design Requirements and Recommendations (nutanix.com) Physical Networking Best Practices Checklist (nutanix.com)   環境が自動検出に対応していない場合は、 CVM IP を指定することで手動検知することも可能。   自動検知されたノードをチェックするとイメージング時に指定した IP アドレス情報( IPMI 、 Host 、 CVM )を拾ってくる IPv6 IP は指定せずに Next で先に進む。 次にノードタイプを指定する( HCI or Storage )   次の Host Networking だが、以下の問題に遭遇した   この問題は以下の KB で対処できる Cluster expansion workflow fails to get the uplink information when trying to configure the host networking (nutanix.com)   ...
続きを読む