From tadashi.1027 @ gmail.com Tue Jan 26 10:13:20 2010 From: tadashi.1027 @ gmail.com (=?ISO-2022-JP?B?GyRCMHAzQBsoQg==?=) Date: Tue, 26 Jan 2010 10:13:20 +0900 Subject: [Ultramonkey-l7-users 279] =?iso-2022-jp?b?VWx0cmFNb25rZXkbJEIkRyROGyhCSVAbJEJGKTJhJEsbKEI=?= =?iso-2022-jp?b?GyRCJEQkJCRGGyhC?= Message-ID: <4B5E41B0.5040200@gmail.com> お世話になっております。 稲垣です。 以前「[Ultramonkey-l7-users 273] UltraMonkey-L7のDSRについて」で質問させ て頂きました。 UltraMonkeyで(L7でもL4でも構わない)ソースIPアドレスをリアルサーバに透過 するような機能は ありますか? DSRしかないんでしょうか? 以上、ご教授の程宜しくお願い致します。 From takebayashi.shinya @ oss.ntt.co.jp Tue Jan 26 14:07:49 2010 From: takebayashi.shinya @ oss.ntt.co.jp (Shinya TAKEBAYASHI) Date: Tue, 26 Jan 2010 14:07:49 +0900 Subject: [Ultramonkey-l7-users 280] Re: =?iso-2022-jp?b?c3NscHJveHkbJEIkLCRoJC9NbiRBJGsbKEI=?= In-Reply-To: <8043ae9c1001250055s60d04485sa9eb374014c35296@mail.gmail.com> References: <8043ae9c1001250055s60d04485sa9eb374014c35296@mail.gmail.com> Message-ID: 柿久保 さま 竹林です. > [Ultramonkey-l7-users 257] でも話題になっていたSSLProxyの件ですが、 > 私が利用している環境でも頻繁におこっており(2,3日に一度の時もあれば > 2週間くらい平気な時も)、原因がいまひとつわからない状態です。 > > ... snip > > [Ultramonkey-l7-users 259] ではsslproxy.target.cfにて「 num_thread = 10 → 1」 とすれば > 対策できるようですが、ご質問された方は100にしているようですし… > どちらを試せばいいものか…。まだnum_thread = 10のままにしています。 > > > 何かわかる事ございましたらご教示頂けませんでしょうか。 > よろしくお願い致します。 現状では num_thread を 1 に設定するのが最善の方法です. スレッド間同期の仕組みに問題がありそうな感じがしているのですが, いまいちメンテナンスに手が回せていない状況です. 可能であれば,エラー発生時の下記の情報をいただけますか. ・どの程度の負荷(頻度)のアクセスか ・負荷ツールを使用したのであれば,そのツールの名前 ・コンテンツの性質(画像が多い,テキストが多いなど) いただいたログをもとに時間を作って対応したいと考えていますが, 具体的なスケジュールを明確にできないところです.申し訳ありません. よろしくお願いします. ----------------------------------------------------------- Shinya TAKEBAYASHI E-mail: takebayashi.shinya @ oss.ntt.co.jp GPG ID: E2695938 GPG FP: 0412 40A9 B385 17EB 1E49 D2D2 DECA 8DE1 E269 5938 ----------------------------------------------------------- From takebayashi.shinya @ oss.ntt.co.jp Tue Jan 26 14:14:52 2010 From: takebayashi.shinya @ oss.ntt.co.jp (Shinya TAKEBAYASHI) Date: Tue, 26 Jan 2010 14:14:52 +0900 Subject: [Ultramonkey-l7-users 281] Re: =?iso-2022-jp?b?VWx0cmFNb25rZXkbJEIkRyROGyhCSVAbJEJGKTJhGyhC?= =?iso-2022-jp?b?GyRCJEskRCQkJEYbKEI=?= In-Reply-To: <4B5E41B0.5040200@gmail.com> References: <4B5E41B0.5040200@gmail.com> Message-ID: 稲垣 さま 竹林です. > UltraMonkeyで(L7でもL4でも構わない)ソースIPアドレスをリアルサーバに透過 > するような機能は > ありますか? > DSRしかないんでしょうか? L4 であれば,NAT モードでも DSR でもリアルサーバ側まで ソース IP アドレス(クライアントの IP アドレス)が渡ります. L4 での NAT モードは,書き換える送信先 IP アドレスが動的にかわる DNAT と考えてください. ソース IP アドレスはそのままで,TCP ヘッダの送信先 IP アドレスと 送信元・送信先 MAC アドレスを書き換えて転送します. 従って,リアルサーバから見れば単純にルーティングされてきたように 見えるだけなので,ゲートウェイ(LVS)宛にパケットを送り返し LVS 側でしかるべきルーティングを行うという処理になります. ----------------------------------------------------------- Shinya TAKEBAYASHI E-mail: takebayashi.shinya @ oss.ntt.co.jp GPG ID: E2695938 GPG FP: 0412 40A9 B385 17EB 1E49 D2D2 DECA 8DE1 E269 5938 ----------------------------------------------------------- From tadashi.1027 @ gmail.com Tue Jan 26 15:22:06 2010 From: tadashi.1027 @ gmail.com (=?ISO-2022-JP?B?GyRCMHAzQBsoQg==?=) Date: Tue, 26 Jan 2010 15:22:06 +0900 Subject: [Ultramonkey-l7-users 282] Re: =?iso-2022-jp?b?VWx0cmFNb25rZXkbJEIkRyROGyhCSVAbJEJGKTJhGyhC?= =?iso-2022-jp?b?GyRCJEskRCQkJEYbKEI=?= In-Reply-To: References: <4B5E41B0.5040200@gmail.com> Message-ID: <4B5E8A0E.6010700@gmail.com> 竹林様 お世話になります。 早速のご回答ありがとうございます。 > L4 であれば,NAT モードでも DSR でもリアルサーバ側まで > ソース IP アドレス(クライアントの IP アドレス)が渡ります. ワンアーム、ツーアーム構成でも変わらないということでしょうか? 以上、宜しくお願い致します。 Shinya TAKEBAYASHI さんは書きました: > 稲垣 さま > > > 竹林です. > > >> UltraMonkeyで(L7でもL4でも構わない)ソースIPアドレスをリアルサーバに透過 >> するような機能は >> ありますか? >> DSRしかないんでしょうか? >> > > L4 であれば,NAT モードでも DSR でもリアルサーバ側まで > ソース IP アドレス(クライアントの IP アドレス)が渡ります. > > L4 での NAT モードは,書き換える送信先 IP アドレスが動的にかわる > DNAT と考えてください. > > ソース IP アドレスはそのままで,TCP ヘッダの送信先 IP アドレスと > 送信元・送信先 MAC アドレスを書き換えて転送します. > > 従って,リアルサーバから見れば単純にルーティングされてきたように > 見えるだけなので,ゲートウェイ(LVS)宛にパケットを送り返し > LVS 側でしかるべきルーティングを行うという処理になります. > > ----------------------------------------------------------- > Shinya TAKEBAYASHI > > E-mail: takebayashi.shinya @ oss.ntt.co.jp > GPG ID: E2695938 > GPG FP: 0412 40A9 B385 17EB 1E49 D2D2 DECA 8DE1 E269 5938 > ----------------------------------------------------------- > From kakikubo @ gmail.com Tue Jan 26 15:27:57 2010 From: kakikubo @ gmail.com (Kakikubo Teruo) Date: Tue, 26 Jan 2010 15:27:57 +0900 Subject: [Ultramonkey-l7-users 283] Re: =?iso-2022-jp?b?c3NscHJveHkbJEIkLCRoJC9NbiRBJGsbKEI=?= In-Reply-To: References: <8043ae9c1001250055s60d04485sa9eb374014c35296@mail.gmail.com> Message-ID: <8043ae9c1001252227s60effa07q1be4603da87ff775@mail.gmail.com> 竹林様 柿久保です。早々にありがとうございます。 2010年1月26日14:07 Shinya TAKEBAYASHI : > 柿久保 さま > > > 竹林です. > >> [Ultramonkey-l7-users 257] でも話題になっていたSSLProxyの件ですが、 >> 私が利用している環境でも頻繁におこっており(2,3日に一度の時もあれば >> 2週間くらい平気な時も)、原因がいまひとつわからない状態です。 >> >> ... snip >> >> [Ultramonkey-l7-users 259] ではsslproxy.target.cfにて「 num_thread = 10 → 1」 > とすれば >> 対策できるようですが、ご質問された方は100にしているようですし… >> どちらを試せばいいものか…。まだnum_thread = 10のままにしています。 >> >> >> 何かわかる事ございましたらご教示頂けませんでしょうか。 >> よろしくお願い致します。 > > 現状では num_thread を 1 に設定するのが最善の方法です. 了解致しました。一度時間を調整して試してみたいと思います。 > > スレッド間同期の仕組みに問題がありそうな感じがしているのですが, > いまいちメンテナンスに手が回せていない状況です. なるほど…。 > 可能であれば,エラー発生時の下記の情報をいただけますか. > > ・どの程度の負荷(頻度)のアクセスか 特にロードアベレージが高いわけでもなかったのですが、 ひとまずログを後ほど個人宛に送付させて頂ければと思います。 > ・負荷ツールを使用したのであれば,そのツールの名前 いえ、すでに本番稼働しておりまして負荷ツールは使っておりません…。 > ・コンテンツの性質(画像が多い,テキストが多いなど) どちらもあまり多くはないと思います。 > > > いただいたログをもとに時間を作って対応したいと考えていますが, > 具体的なスケジュールを明確にできないところです.申し訳ありません. > > よろしくお願いします. いえ、お忙しいところご対応頂きまして誠にありがとうございます。 ----- kakikubo From takebayashi.shinya @ oss.ntt.co.jp Tue Jan 26 16:10:51 2010 From: takebayashi.shinya @ oss.ntt.co.jp (Shinya TAKEBAYASHI) Date: Tue, 26 Jan 2010 16:10:51 +0900 Subject: [Ultramonkey-l7-users 284] Re: =?iso-2022-jp?b?VWx0cmFNb25rZXkbJEIkRyROGyhCSVAbJEJGKTJhGyhC?= =?iso-2022-jp?b?GyRCJEskRCQkJEYbKEI=?= In-Reply-To: <4B5E8A0E.6010700@gmail.com> References: <4B5E41B0.5040200@gmail.com> <4B5E8A0E.6010700@gmail.com> Message-ID: 稲垣 さま 竹林です. > > L4 であれば,NAT モードでも DSR でもリアルサーバ側まで > > ソース IP アドレス(クライアントの IP アドレス)が渡ります. > ワンアーム、ツーアーム構成でも変わらないということでしょうか? ワンアーム構成(同一セグメント)での NAT 設定では,ソース IP アドレスを 残すことはできません. これは TCP/IP の通信方式に起因する制約です. UltraMonkey-L7 を使用した場合と同じです. ワンアーム構成でソース IP アドレスを残したい場合は, DSR モードを使用する必要があります. BIG-IP と同様に,ワンアーム構成の NAT モードでは LB サーバに SNAT の設定を行う必要があるのですが,SNAT を実施した時点で TCP ヘッダ上の ソース IP アドレスが LB サーバのものとなるため,リアルサーバにパケットが 到着した段階でクライアントのソース IP アドレスは失われた状態となります. ツーアーム(別セグメント)構成では,リアルサーバ側とクライアント側の ネットワークを物理・論理的に分割しリアルサーバのデフォルトゲートウェイを LB サーバに設定することで,通常のルーティングのような見せ方を することができるため,ソース IP アドレスを残すことができるのです. ----------------------------------------------------------- Shinya TAKEBAYASHI E-mail: takebayashi.shinya @ oss.ntt.co.jp GPG ID: E2695938 GPG FP: 0412 40A9 B385 17EB 1E49 D2D2 DECA 8DE1 E269 5938 ----------------------------------------------------------- From tadashi.1027 @ gmail.com Tue Jan 26 16:15:45 2010 From: tadashi.1027 @ gmail.com (=?ISO-2022-JP?B?GyRCMHAzQBsoQg==?=) Date: Tue, 26 Jan 2010 16:15:45 +0900 Subject: [Ultramonkey-l7-users 285] Re: =?iso-2022-jp?b?VWx0cmFNb25rZXkbJEIkRyROGyhCSVAbJEJGKTJhGyhC?= =?iso-2022-jp?b?GyRCJEskRCQkJEYbKEI=?= In-Reply-To: References: <4B5E41B0.5040200@gmail.com> <4B5E8A0E.6010700@gmail.com> Message-ID: <4B5E96A1.3050101@gmail.com> 竹林様 お世話になります。 稲垣です。 送信元IPを透過したいとき、 NATモードを使う場合はツーアーム構成で、 DSRモードを使う場合はワンアーム構成ということですね。 ツーアームのNATで検証してみたいと思います。 また、何かわからないところが出てきたら教えてください。 以上、宜しくお願い致します。 Shinya TAKEBAYASHI さんは書きました: > 稲垣 さま > > > 竹林です. > >>> L4 であれば,NAT モードでも DSR でもリアルサーバ側まで >>> ソース IP アドレス(クライアントの IP アドレス)が渡ります. >>> >> ワンアーム、ツーアーム構成でも変わらないということでしょうか? >> > > ワンアーム構成(同一セグメント)での NAT 設定では,ソース IP アドレスを > 残すことはできません. > これは TCP/IP の通信方式に起因する制約です. > UltraMonkey-L7 を使用した場合と同じです. > > ワンアーム構成でソース IP アドレスを残したい場合は, > DSR モードを使用する必要があります. > > BIG-IP と同様に,ワンアーム構成の NAT モードでは LB サーバに > SNAT の設定を行う必要があるのですが,SNAT を実施した時点で TCP ヘッダ上の > ソース IP アドレスが LB サーバのものとなるため,リアルサーバにパケットが > 到着した段階でクライアントのソース IP アドレスは失われた状態となります. > > ツーアーム(別セグメント)構成では,リアルサーバ側とクライアント側の > ネットワークを物理・論理的に分割しリアルサーバのデフォルトゲートウェイを > LB サーバに設定することで,通常のルーティングのような見せ方を > することができるため,ソース IP アドレスを残すことができるのです. > > ----------------------------------------------------------- > Shinya TAKEBAYASHI > > E-mail: takebayashi.shinya @ oss.ntt.co.jp > GPG ID: E2695938 > GPG FP: 0412 40A9 B385 17EB 1E49 D2D2 DECA 8DE1 E269 5938 > ----------------------------------------------------------- > From tateishi.katsuyuki @ oss.ntt.co.jp Tue Jan 26 18:49:09 2010 From: tateishi.katsuyuki @ oss.ntt.co.jp (TATEISHI Katsuyuki) Date: Tue, 26 Jan 2010 18:49:09 +0900 (JST) Subject: [Ultramonkey-l7-users 286] Re: =?iso-2022-jp?b?VWx0cmFNb25rZXkbJEIkRyROGyhCSVAbJEJGKTJhGyhC?= =?iso-2022-jp?b?GyRCJEskRCQkJEYbKEI=?= In-Reply-To: <4B5E96A1.3050101@gmail.com> References: <4B5E8A0E.6010700@gmail.com> <4B5E96A1.3050101@gmail.com> Message-ID: <20100126.184909.756168950323994513.tateishi.katsuyuki@oss.ntt.co.jp> 稲垣さま、 立石です。こんばんは。 稲垣 -san wrote: > 送信元IPを透過したいとき、 > NATモードを使う場合はツーアーム構成で、 > DSRモードを使う場合はワンアーム構成ということですね。 > (略) >> ワンアーム構成(同一セグメント)での NAT 設定では,ソース IP アドレスを >> 残すことはできません. >> これは TCP/IP の通信方式に起因する制約です. >> UltraMonkey-L7 を使用した場合と同じです. 試していないので、動くかどうかわからないのですが、ワンアーム 構成(同一セグメント)の場合には、リアルサーバのデフォルトルー タとして LB サーバ を設定することで NAT 設定でも動作するかも しれません。 ●同一セグメントでNAT構成が動かない理由(想像) リアルサーバがそのセグメントの本当のルータ(router)をデフォル トルータとしている場合(いわゆる普通の設定です)、NAT構成では client -> router -> lb -> real # router の左右でネットワークセグメントが分かれていると思って # 下さい 上記のように届くパケットの送信元が client のものであり、real サーバは返信パケットを client <- router <- real のように投げてしまうのでlb サーバが書き換えできず、返信パケッ トの送信元が real サーバの IP アドレスのままになってしまい、 クライアントは身に覚えのないパケットとして捨ててしまうはずで す。これがワンアーム構成(同一セグメント)で NAT 設定が動かな い理由だと思います。 ●同一セグメントでNAT構成を動かせるかもしれない方法 そこで real サーバのデフォルトルータとして router ではなく、 lb を指定してやることで、返信パケットが client <- router <- lb <- real のように通るようになります。 本来のルータが見えているのに他のマシンをデフォルトルータに設 定するのはかなり異質な感じがしますが、これで lb で返信パケッ トの送信元IPアドレスをlbサーバのものに書き換えできるのではな いかなと想像しています。 ただし、この場合も同一セグメントに client がある場合は動作し ないはずです(real は client が自分と同じネットワークにいるこ とがわかるのでデフォゲ(lb)に投げません)。 ●その他 lb サーバに NIC は2枚あるけどネットワークを分けたくないだけ、 ということであれば lb サーバをブリッジとして設定したうえで、 real サーバをルータから見て lb サーバの向こう側に接続してやれ ばデフォルトルータをいじらなくても動くかもしれません(こちらも 想像です) 以上、手元に環境がないので試せていませんが参考になれば・・・ -- TATEISHI Katsuyuki >> >> ワンアーム構成でソース IP アドレスを残したい場合は, >> DSR モードを使用する必要があります. >> >> BIG-IP と同様に,ワンアーム構成の NAT モードでは LB サーバに >> SNAT の設定を行う必要があるのですが,SNAT を実施した時点で TCP ヘッダ上の >> ソース IP アドレスが LB サーバのものとなるため,リアルサーバにパケットが >> 到着した段階でクライアントのソース IP アドレスは失われた状態となります. >> >> ツーアーム(別セグメント)構成では,リアルサーバ側とクライアント側の >> ネットワークを物理・論理的に分割しリアルサーバのデフォルトゲートウェイを >> LB サーバに設定することで,通常のルーティングのような見せ方を >> することができるため,ソース IP アドレスを残すことができるのです. >> >> ----------------------------------------------------------- >> Shinya TAKEBAYASHI >> >> E-mail: takebayashi.shinya @ oss.ntt.co.jp >> GPG ID: E2695938 >> GPG FP: 0412 40A9 B385 17EB 1E49 D2D2 DECA 8DE1 E269 5938 >> ----------------------------------------------------------- >> > > _______________________________________________ > Ultramonkey-l7-users mailing list > Ultramonkey-l7-users @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/ultramonkey-l7-users