2.5. ネットワークの計画

Acronis Cyber Infrastructureのネットワークの構成はデプロイする予定のサービスに依存します。

Backup Gatewayとストレージサービスのみを使用する場合は、内部トラフィックと外部トラフィック用に2つのネットワークを設定します。

../_images/network_configuration_abgw.png

ストレージクラスター上に計算サービスをデプロイする予定の場合は、評価用に最小ネットワーク構成を作成することができます。または、ネットワーク構成を本番環境で推奨されている高度なネットワーク構成に拡張させることができます。

  • 最小構成には内部トラフィックと外部トラフィック用の2つのネットワークが含まれます。

    ../_images/network_configuration_compute_min.png

  • 推奨構成を以下の論理ネットワークインターフェースに接続された5つのネットワークに拡張させます。

    • 内部管理トラフィックとストレージトラフィック用の1つのボンド接続

    • 4つのVLANが接続されたボンド接続を1つ:

      • VM間のオーバーレイネットワークトラフィック用
      • 管理者パネルとセルフサービスパネル、計算API、SSH、SNMPによる管理用、およびiSCSI、NFS、S3、Backup Gateway データのパブリックエクスポート用
      • 外部VMトラフィック用
      • サードパーティ製バックアップ管理システムによるVMバックアッププル用
    ../_images/network_configuration_compute.png

2.5.1. ネットワークの一般的な要件

  • 内部ストレージトラフィックは他のトラフィックタイプから分離する必要があります。
  • 内部トラフィック用のネットワークは最小10Gbit/秒の帯域幅でルーティング不可にできます。

2.5.2. ネットワークの制限事項

  • ノードは、FQDNではなく、IPアドレスでクラスターに追加されます。クラスター内のノードのIPアドレスを変更すると、そのノードはクラスターから削除されます。クラスターでDHCPを使用する予定の場合は、IPアドレスがノードのネットワークインターフェースのMACアドレスにバインドされていることを確認してください。
  • アップデートをインストールできるように各ノードにはインターネットアクセスが必要です。
  • MTUの値はデフォルトで1500に設定されます。MTUの最適な値を設定する方法については、手順2:ネットワークを構成を参照してください。
  • 正しい統計情報を取得するためにはネットワーク時刻同期が必要です。これは、chronydサービスを介してデフォルトで有効になっています。ntpdateまたはntpdを使用する場合は、まず、chronydを停止して無効にしてください。
  • 内部管理トラフィックタイプはインストール中に自動的に割り当てられ、後で管理者パネルを使用して変更することはできません。
  • 管理ノードにはホスト名を使用してWebブラウザからアクセスできますが、インストール時にはホスト名ではなく、IPアドレスを指定する必要があります。

2.5.3. ノードごとのネットワーク要件および推奨事項

  • ノード上のすべてのネットワークインターフェースは異なるサブネットに接続されている必要があります。ネットワークインターフェースには、VLANタグ付き論理インターフェース、タグなしボンド、イーサネットリンクのいずれかを使用できます。

  • クラスターノードには必要なiptablesルールが設定されていますが、インターネットなどの信頼されていないパブリックネットワークには外部ファイアウォールの使用を推奨します。

  • クラスターノードで開かれるポートは、ノードで実行されるサービスとそれらに関連付けられているトラフィックの種類によって異なります。クラスターノードで特定のサービスを有効にする前に、このノードが接続されているネットワークにそれぞれのトラフィックタイプを割り当てる必要があります。トラフィックタイプをネットワークに割り当てるには、このネットワークに接続されているノードにファイアウォールを設定し、ノードのネットワークインターフェースで特定のポートを開き、必要なiptablesルールを設定します。

    以下の表に、必要なすべてのポートとそれに関連付けられているサービスの一覧を示します:

    表 2.5.3.1 クラスターノードのポートを開く
    サービス トラフィックの種類 ポート 説明
    Webコントロールパネル 管理者パネル* TCP 8888 管理者パネルへの外部アクセス。
    セルフサービスパネル TCP 8800 セルフサービスパネルへの外部アクセス。
    管理 内部管理 任意の使用可能なポート 内部クラスター管理および管理者パネルへのノード監視データの転送。
    メタデータサービス ストレージ 任意の使用可能なポート MDSサービス間の内部通信、およびチャンクサービスとクライアントとの内部通信。
    チャンクサービス 任意の使用可能なポート MDSサービスおよびクライアントとの内部通信。
    エージェントソフト 任意の使用可能なポート MDSおよびチャンクサービスとの内部通信。
    バックアップゲートウェイ ABGWパブリック TCP 44445 Acronis Backup エージェントとAcronis Cyber Backup Cloud間での外部データ交換。
    ABGWプライベート 任意の使用可能なポート 複数のBackup Gatewayサービスの内部管理およびサービス間でのデータ交換。
    iSCSI iSCSI TCP 3260 iSCSIアクセスポイントとの外部データ交換。
    S3 S3パブリック TCP 80、443 S3アクセスポイントとの外部データ交換。
    OSTORプライベート 任意の使用可能なポート 複数のS3サービス間での内部データ交換。
    NFS NFS TCP/UDP 111、892、2049 NFSアクセスポイントとの外部データ交換。
    OSTORプライベート 任意の使用可能なポート 複数のNFSサービス間での内部データ交換。
    計算 計算API*   標準OpenStack APIエンドポイントへの外部アクセス:
    TCP 5000 ID API v3
    TCP 6080 noVNCWebSocketプロキシ
    TCP 8004 オーケストレーションサービスAPI v1
    TCP 8041 Gnocchi API(課金測定サービス)
    TCP 8774 計算API
    TCP 8776 ブロックストレージAPI v3
    TCP 8780 プレースメントAPI
    TCP 9292 イメージサービスAPI v2
    TCP 9313 キーマネージャーAPI v1
    TCP 9513 コンテナインフラストラクチャ管理API(Kubernetesサービス)
    TCP 9696 ネットワークAPI v2
    TCP 9888 Octavia API v2(ロードバランササービス)
    VMプライベート UDP 4789 計算仮想ネットワークのVM間でのネットワークトラフィック。
    TCP 5900~5999 VNCコンソールトラフィック。
    VMのバックアップ TCP 49300~65535 NBDエンドポイントへの外部アクセス。
    SSH SSH TCP 22 SSH経由でノードにリモートアクセス。
    SNMP SNMP* UDP 161 SNMPプロトコル経由のストレージクラスター監視統計情報への外部アクセス。

    * これらのトラフィックタイプのポートは、管理ノードでのみ開いている必要があります。

2.5.4. Kubernetesネットワーク要件

計算クラスターにKubernetesクラスターを配置して操作できるようにするには、ネットワーク構成で計算サービスとKubernetesサービスが次のネットワークリクエストを送信できることを確認してください:

  1. すべての管理ノードからhttps://discovery.etcd.ioへのパブリック検出サービス内におけるパブリックネットワークを介したetcdクラスターのブートストラップのリクエスト。
  2. すべての管理ノードからのパブリックネットワークを介した「kubeconfig」ファイルを取得するリクエスト。
    • マスターVMの高可用性(HA)が有効になっている場合、リクエストはポート6443でKubernetes APIに関連付けられているロードバランサVMのパブリックIPアドレスまたはフローティングIPアドレスに送信されます。
    • マスターVMのHAが無効になっている場合、リクエストはポート6443でKubernetesマスターVMのパブリックIPアドレスまたはフローティングIPアドレスに送信されます。
  3. [VMパブリック] のトラフィックタイプのネットワークを介する(パブリックに利用可能なVMネットワークインターフェースまたはSNATが有効な仮想ルーターを介する)KubernetesマスターVMから計算API([計算API] のトラフィックタイプ)へのリクエスト。デフォルトでは、計算APIは管理ノードのIPアドレスを介して(または高可用性が有効になっている場合はその仮想IPアドレスに)公開されます。ただし、FQDNを介して計算APIにアクセスすることもできます(Setting a DNS name for the compute APIを参照してください)。
  4. KubernetesマスターVMからhttps://discovery.etcd.ioへの、VMパブリックのトラフィックタイプのネットワークを介した(パブリックで利用可能なVMネットワークインターフェースまたはSNATが有効になっている仮想ルーターを介した)パブリック検出サービス内におけるetcdクラスターメンバーの状態をアップデートするリクエスト。
  5. KubernetesマスターVMからhttps://registry-1.docker.ioへの、VMパブリックのトラフィックタイプのネットワークを介した(パブリックで利用可能なVMネットワークインターフェースまたはSNATが有効になっている仮想ルーターを介した)パブリックDocker Hubリポジトリからコンテナイメージをダウンロードするリクエスト。
../_images/k8s_network_requirements.png

また、Kubernetesクラスターを作成するネットワークがこれらのデフォルトネットワークと重複しないようにする必要があります。

  • 10.100.0.0/24---ポッドレベルのネットワークに使用される
  • 10.254.0.0/16---KubernetesクラスターIPアドレスの割り当てに使用される

2.5.5. クライアント向けのネットワーク推奨事項

次の表では、各ネットワークインターフェースを使用した場合にクライアントで実現できるネットワークの最大パフォーマンスについて説明します。クライアントでは、特にSSDディスクを使用する場合、2つのクラスターノード間で10Gbpsのネットワークハードウェアを使用してネットワーク遅延を最小限に抑えることが勧められています。

表 2.5.5.1 クライアントのネットワークの最大パフォーマンス
ストレージネットワークインターフェース ノード最大I/O VM最大I/O(レプリケーション) VM最大I/O(イレージャーコーディング)
1Gbps 100MB/秒 100MB/秒 70MB/秒
2 x 1Gbps 最大175MB/秒 100MB/秒 最大130MB/秒
3 x 1Gbps 最大250MB/秒 100MB/秒 最大180MB/秒
10Gbps 1GB/秒 1GB/秒 700MB/秒
2 x 10Gbps 1.75GB/秒 1GB/秒 1.3GB/秒
2020年10月21日
Print