UTM / UTMオフロード
UTMオフロードは、一部のUTM機能の処理を他のコンピューター(オフロードデバイス)に委託(オフロード)する機能です。オフロードにより、本製品のCPU、メモリーに対する負荷が軽減され、UTM各機能のスループットを全般的に向上させることができます。
オフロードデバイスの接続と初期設定が完了した後は、オフロードデバイスの存在を気にすることなく、本製品単体の場合と同じ方法でUTM各機能を利用できます。
用語
UTMオフロード機能の説明に使用する用語について説明します。
- フォワーディングデバイス
UTMオフロード機能においては本製品を指します。
- オフロードデバイス
UTM処理の委託先。本製品のオフロードインターフェースに直結したPXEブート可能なx86マシン(物理マシンまたは仮想マシン)を指します。
- オフロードインターフェース
オフロードデバイスを接続する本製品のインターフェース(eth1、eth2のどちらか)を指します。
- オフロードサブネット
フォワーディングデバイス(本製品)とオフロードデバイスの間で通信を行うための専用サブネット。運用ネットワークと重複しないアドレスを割り当てます。
- PXE(Preboot eXecution Environment)
ハードディスクやCD-ROMなどのローカルストレージではなく、DHCPとTFTPを用いてネットワーク経由でシステムを起動するための仕組み。
実際に起動を行うPXEクライアント側の機能はネットワークインターフェースカード(NIC)に搭載されており、起動を支援するPXEサーバー側はDHCPサーバーとTFTPサーバーで構成します。
UTMオフロード機能では、フォワーディングデバイス(本製品)がオフロードインターフェースにおいてPXEサーバー(DHCPサーバー+TFTPサーバー)として動作し、同インターフェースに接続されたオフロードデバイス(PXEクライアント)が起動するために必要な情報(IPアドレス、TFTPサーバーアドレス、イメージファイル名)とオフロードデバイスイメージを提供します。
- オフロードデバイスイメージ
UTMオフロード機能において、オフロードデバイスでUTM処理の一部を実行するためのオペレーティングシステム(OS)をオフロードデバイスイメージと呼びます。
UTMオフロード機能が有効なフォワーディングデバイス(本製品)はインターネット経由で最新のオフロードデバイスイメージをチェック・取得し、TFTP経由でオフロードデバイスに提供します。
仕様
全般仕様
- UTMオフロード機能は初期状態では無効です。
- オフロードデバイスを接続できるのはeth1、eth2のどちらか一方のみです。オフロードデバイスを接続したインターフェースをオフロードインターフェースと呼びます。このインターフェースはオフロードデバイスとの通信専用で他の用途には使用できません。
- オフロードできるのは下記UTM機能の処理です。これらの機能が1つも有効になっていない場合、UTMオフロードは動作しません。
- オフロード動作時は、原則としてオフロードインターフェース以外のインターフェースで受信したすべてのパケットがオフロードデバイスに送られます。
ただし、トンネルインターフェースで受信したパケットは、グローバルコンフィグモードのtunnel security-reprocessingコマンドを有効にしていないかぎりオフロードデバイスには送信されません。
- オフロードデバイスに送られたパケットは、本製品本体のどの機能よりも先に処理されます。
- フォワーディングデバイス(本製品)はオフロードデバイスの状態を定期的に監視します。
- UTMオフロード機能が有効でも、オフロードデバイスが稼働状態にないと判断した場合は次の動作になります。
トラフィック停止に関しては、オフロードデバイスの早期復旧、オフロード機能の無効化、別経路の準備などの対策を事前に検討してください。
- フォワーディングデバイス(本製品)の管理機能とは通信可能です。
- フォワーディングデバイス(本製品)を経由するトラフィックは同一サブネット内(L2スイッチング)を除きすべて破棄されます。
- フォワーディングデバイス(本製品)の管理機能とは通信可能です。
フォワーディングデバイスの要件
フォワーディングデバイス(本製品)の要件は次のとおりです。- インターネット接続 - オフロードデバイスイメージを取得するため、インターネット接続が必要です。
オフロードデバイスの要件
オフロードデバイスとして使用するコンピューターのシステム要件は次のとおりです。VMware vSphere Hypervisor (ESXi) 環境における仮想マシンの作成手順については、「付録:仮想マシンの作成手順」をご覧ください。
| デバイス | 次のいずれかを使用。 ・物理マシン ・VMware vSphere Hypervisor (ESXi) 7.0上の仮想マシン ※仮想マシンの場合、以下の各スペックは仮想コンポーネント(仮想CPU、仮想メモリーなど)を表します。 |
| CPU | 64ビット対応のx86互換マルチコアプロセッサー(Core i5 4コア 2.3GHz相当以上) |
| メモリー(RAM) | 2GB以上 |
| ネットワークアダプター(NIC) | 下記ドライバーで動作するPXEブート対応NIC ×1 ・Intel e1000 ・Intel e1000e ・Intel igb ・VMware vmxnet3 ※仮想NICの場合も、オフロードデバイス用に物理NICを1つ専用で割り当ててください。 |
| ディスク | SATA/SCSI接続のディスクデバイス 4GB以上 ×1 ※USBストレージは使用できません。 |
| ディスクコントローラー | 下記ドライバーで動作するもの ・PIIX4 IDE controller ・AHCI SATA controller ・BusLogic SCSI HBA ・LSI Logic SCSI HBA ・VMware PV SCSI HBA |
UTMオフロードの初期設定
UTMオフロード機能を使用するために必要な初期設定は次のとおりです。ここでは、フォワーディングデバイス(本製品)の基本設定は完了しており、インターネットとの通信ができる状態になっているものとします。
- オフロードデバイスはフォワーディングデバイス(本製品)をNTPサーバーとみなして時刻同期するため、本製品がNTPサーバーとして動作するよう設定しておく必要があります。そのためにはntp serverコマンドで他のNTPサーバーに同期するよう設定するか、あるいはntp masterコマンドで単独のNTPサーバーとして動作させてください。
- フォワーディングデバイス(本製品)のeth1かeth2のどちらかに電源オフ状態のオフロードデバイスを直結します。
オフロードデバイスとして物理マシンを使用する場合は同マシンの物理NICを、仮想マシンを使用する場合は仮想NICに1対1で割り当てた、UTMオフロード専用の物理NICを直接接続してください。
- フォワーディングデバイス(本製品)でutm-offloadコマンドを実行し、UTMオフロード機能を有効にします。
このとき、interfaceパラメーターにはオフロードデバイスを接続したインターフェース(オフロードインターフェース)を、subnetパラメーターにはオフロードデバイスとの間で使用するIPサブネットの範囲を指定してください。
awplus(config)# utm-offload interface eth2 subnet 10.0.0.0/24
- 前記設定により、フォワーディングデバイス(本製品)はインターネット経由で最新のオフロードデバイスイメージを取得します。
また、オフロードインターフェースには指定したサブネット内からIPアドレスが自動設定され、DHCPサーバーとTFTPサーバー機能が自動的に有効になります。
- オフロードデバイスの電源をオンにします。
なお、PXEブートが無効になっている場合はBIOS設定でPXEブートを有効にした後、オフロードデバイスを再起動してください。
PXEブート機能により、オフロードデバイスはフォワーディングデバイス(本製品)のオフロードインターフェースで稼働しているDHCPサーバーから、IPアドレスとオフロードデバイスイメージファイルの情報を取得し、同じくオフロードインターフェース上で稼働しているTFTPサーバーからイメージファイルをダウンロードして起動します。
- オフロードデバイスの起動が完了すると、UTMオフロード機能が通常動作状態になります。
いったん通常動作に入った後は、UTMオフロード機能を使用していないとき同じようにUTM各機能の設定を行ってください。
オフロードデバイスに対して設定を行う必要はありません。
UTM各機能の設定方法については、それぞれの解説ページをご覧ください。
オフロードデバイスイメージの更新
UTMオフロード機能が有効なフォワーディングデバイス(本製品)は、インターネット経由で定期的に最新のオフロードデバイスイメージをチェックし、更新版があった場合は自動的にダウンロードします。新しいイメージをダウンロードすると、フォワーディングデバイス(本製品)はオフロードデバイスを自動的に再起動し、新しいイメージで再起動させます。最新イメージのチェック間隔は utm-offload update-intervalコマンドで変更可能です。初期設定は1時間です。
自動チェックを無効にすることもできます。その場合も update nowコマンドで手動チェックおよび更新が可能です。
オフロードデバイスの状態確認
UTMオフロード機能およびオフロードデバイスの状態を確認するには show utm-offloadコマンドを使います。付録:仮想マシンの作成手順
VMware vSphere Hypervisor(ESXi)上にUTMオフロード用の仮想マシン(VM)を作成する手順を説明します。- 作成開始
vSphere HypervisorのWeb管理画面にて「仮想マシンの作成/登録」をクリックします。
これにより「新規仮想マシン」ウィザードが開きます。
- 作成タイプの選択
「新規仮想マシンの作成」を選択し、「次へ」をクリックします。
- 名前とゲストOSの選択
(1) 任意の仮想マシンの名前(本例では「UTM-Offload」)を入力します。
(2) 「互換性」で使用するESXiサーバーのバージョンを選択します。
(3) 「ゲストOSファミリ」で「Linux」を選択します。
(4) 「ゲストOSのバージョン」で「その他のLinux(64ビット)」を選択します。
(5) 「次へ」をクリックします。
- ストレージの選択
どのデータストアに仮想マシンをインストールするかを選択し、「次へ」をクリックします(データストアの選択は、ご使用のESXi構成によって異なります)。
- 設定のカスタマイズ
(1) 「CPU」で「4」以上を選択します。(推奨「4」)
(2) 「メモリ」に「2048MB」以上の値を入力します。
(3) 「ハードディスク」に「4GB」以上の値を入力します。
(4) 「USBコントローラ1」、「CD/DVDドライブ1」は不要なため削除します。
(5) 上部メニューから「その他のデバイスの追加」をクリックし、「シリアルポート」を選択します。
(6) 追加された「新規シリアルポート」にて、左側の矢印をクリックして展開し、「物理シリアルポートを使用」を選択します。
(7) 「パワーオン時に接続」のチェックを外します。
(8) 使用する物理シリアルポートを選択します。
(9) 「ネットワークアダプタ1」にて仮想マシンのネットワークインターフェースカード(NIC)を指定します。
(10) 「ネットワークアダプタ1」の左側の矢印をクリックして展開し、NICに適切なネットワークを選択してください。また、「パワーオン時に接続」がチェックされていることを確認します。
(11) 「次へ」をクリックします。
- 設定の確認
確認画面の内容を確認し、「完了」をクリックします。
- 仮想スイッチのMTU変更
フォワーディングデバイス(本製品)・オフロードデバイス間では通常よりサイズの大きいパケットで通信を行う必要があるため、
仮想マシンの仮想NICと物理NICをつなぐ仮想スイッチ(vSwitch)のMTUを変更します。
(1) vSphere HypervisorのWeb管理画面左メニューから「ネットワーク」を選択するとネットワーク情報が表示されます。作成した仮想マシンが接続されているvSwitch名をクリックしてください。
(2) vSwitchの設定画面が表示されます。「アクション」から「設定の編集」をクリックしてください。
(3) 「MTU」を「1582」に変更し、「保存」をクリックします。
- 作成完了
以上で仮想マシンの作成は完了です。
仮想マシンを起動するには、作成した仮想マシンのチェックボックスにチェックを入れ、「パワーオン」をクリックします。
