はじめに
自宅でNutanix CEを構築する分には気にすることはありませんが、会社の余っているサーバで構築する場合は、ほぼ間違いなくプロキシサーバを経由してインターネットにアクセスすると思われます。
この場合、プロキシサーバに接続先のURLを正しく登録しておかないと、Nutanix CEのPrism Webコンソールにログインができない、LCM Inventoryに失敗する、Prism CentralのMSP(Micro Service Platform)を有効化することができないといった事態が発生します。
これらについて整理していきます。
また、プロキシサーバのホワイトリストについても解説します。
プロキシサーバの設定について
次のURLを参考にしてください。Prism Centralのドキュメントとなりますが、Prism Elementでもほぼ同じです。
プロキシサーバを設定すると、CVMやPCVMが行う通信がそれ経由となってしまいます。
つまり、CVM⇔Prism Central VMについてもプロキシサーバ経由で通信されることにより、一部のサービスが上手く動作しないことがあります。
そこで、ホワイトリストの設定をする必要があります。次の通り設定してください。こうすることで、プロキシサーバ経由することなく直接通信するようになります。
- Prism Element:Prism CentralのVIPを含む全てのPCVMのIPアドレス
- Prism Central:CVMのVIPを含む全てのCVMのIPアドレス
Pulse
Nutanix CEはPulseを有効化しなければPrism Webコンソールログイン時に認証に失敗します。そのため、次に紹介するURLへのアクセス許可をプロキシサーバで設定してください。
nsc01.nutanix.net nsc02.nutanix.net ※ドキュメントにはありませんが、NCCのチェックにひっかかります。 insights.nutanix.com
DNSサーバの設定有無にかかわらず、こちらのURLについてはDNSサーバを参照することなくアクセスされるようです。
Nutanix CE特有
次のURLです。NEXTアカウントのチェックに使用されます。
このチェックが上手くいかないとPrism Webコンソールにアクセスすることができません。また、初回ログイン時のnext accountの認証に失敗します。
my.nutanix.com
LCM
LCMは次の2つのURLを許可しておかなければInventory実行で失敗します。
download.nutanix.com ※the address to fetch LCM modules, product meta, and most repository images. release-api.nutanix.com ※the address to fetch AOS, NCC and Prism Central versions.
MSP(Micro Service Platform)
こちら、Prism Centralを使用している場合に関係します。
MSPはFlow Network Security(ソフトウェア定義のFW)やKubernetesといったサービスを利用する場合に必須となるサービスで、Prism CentralのLCMでもコンポーネントの1つとしてバージョン管理されています。
MSPの正式な説明は次の通りです。
Microservices Infrastructure(MSPと呼ばれることもあります)は、Flow Virtual NetworkingやObjectsなどのPrism Centralベースのコンポーネントに関連するコンテナベースのサービスを展開するための共通のフレームワークとサービスを提供します。これは、アイデンティティとアクセス管理(IAM)、ロードバランシング(LB)、仮想プライベートネットワーキング(VPN)などのサービスを展開します。このようなサービスはマイクロサービスとしてコンテナにパッケージ化され、マイクロサービスプラットフォームのコントロールプレーンがマイクロサービスインフラを実現します。
MSPを有効化する場合は次のURLへアクセスできるようにする必要があります。
*.docker.io *.production.cloudflare.docker.com *.nutanix.github.io .quay.io .cloudfront.net *.us-west-2.amazonaws.com ※*は「どのサブドメインでも」の意味
Nutanix Objects
Nutanix Objectsを使用される場合は次のURLを使用します。
Prism Central VMからアクセスできるように許可してあげてください。
一部、既出のURLもあります。
download.nutanix.com 464585393164.dkr.ecr.us-west-2.amazonaws.com api.ecr.uswest-2.amazonaws.com prod-us-west-2-starport-layer-bucket.s3.uswest-2.amazonaws.com amazonaws.com quay.io .cloudfront.net
DNSサーバを設定している場合の注意点について
DNSサーバを設定している場合、これまでに紹介したURLの名前解決が正しく行われる必要があります。ただし、プロキシサーバを設定している場合は、URLの名前解決先をプロキシサーバにする必要があります。
詳しくはこちらを参照してください。
簡潔に申しますと、プロキシサーバがインターネット上にあるサーバのURLの名前解決を行います。
そのため、Prism ElementやPrism CentralでDNSサーバの設定を入れている場合は
- 内部DNSサーバにURLを問い合わせを行う。
- 内部DNSサーバからプロキシサーバに問い合わせするようにレスポンスする。
- CVM(PCVM)はプロキシサーバ宛にアクセスする。
- プロキシサーバは許可された送信元から指定されたURLのアクセスを受け取り、外部DNSサーバに対して名前解決を行う。
- 外部DNSサーバがプロキシサーバに対してグローバルIPアドレスをレスポンス
- プロキシサーバは送信元IPアドレスをプロキシサーバのFrontendのIPアドレス、宛先IPアドレスを外部DNSサーバで名前解決したIPアドレスに変換して、通信を行う。
というフローとなります。少しややこしいですね。
とりあえず、プロキシサーバを設定している場合で、かつDNSサーバを設定している場合は、これまでに紹介したURLの宛先を全てプロキシサーバのIPアドレスにしておけば問題ありません。
Active DirectoryサーバでDNSサーバを兼用している場合の注意点
通常、LCMなどでdownload.nutanix.comのAレコードを、リーダーCVMがクエリします。しかし、Active DirectoryサーバでDNSサーバを兼用している場合で且つ、CVM側でDNSサーバの設定をそのADサーバにしている場合はドメイン名が付与されていないため、名前解決に失敗します。つまり、LCMの実行などができません。
例えば、ADドメイン名がexample.comの場合、download.nutanix.com.example.comをクエリしなければ、AD兼DNSサーバはAレコードを応答しません。CVMはドメイン名まで考慮せずに名前解決を行います。
だったら、DNSサフィックスを設定すれば良いのでは?と思ったあなた、なんと、root権限でもDNS関連のファイルの修正ができません(viエディタで書き込みができません)。そのため、どうやっても名前解決を行うことが出来ません。
そのため、DNSサーバは別サーバで構築してください。
参考
コメント