ESXi 4.1でUPS(APC)で電源管理を行う場合、vMAを利用することになります。が、現行のPowerChute Network Shutdown EnterpriseはESXi 4.1に未対応の様子。vMA 4.1でESXi向けPCNSのinstall.shを実行してもOS=Linuxとなってしまいます(対応バージョンだとOS=vimaとなります)
ESXi 4.0 update1はPCNS2.2.4で対応しているようなので、vMAの4.0との組み合わせで電源管理を実現できるかテストしてみよう。
VMwareHA構成で生じた障害について備忘録代わりにまとめておきます。
<環境>
・VI3 (3.5)
・ESXは2台
・VMFSはFC接続
・VMwareHA済み
先日、ESXホストの1台がHW障害で停止しました。その際、残されたESXに仮想マシンが引き継がれずに仮想マシンがパワーオフしたままとなってしまいました。
ログには、残されたESXが[isolated]されたことを示すエントリがありました。isolatedについて調査したところ、次のような状況であることが分かりました。
ESXホストの停止=ネットワーク応答の停止です。残されたESXは相手方の故障なのか、自分が故障したのかどうか、判定を行います。これは、あるアドレスに対してICMP Echoを投げて返事があるかどうか、という仕組みで判定します。
あるアドレス=isolation addressと呼ばれ、デフォルトではServiceConsoleのデフォルトゲートウェイがそのアドレスになります。今回はこのデフォルトゲートウェイが運用の中でPing応答を返さないよう設定変更されていたため、「isolation addressからの返事が無い=隔離モードに移行」となってしまったようです。
このゲートウェイアドレスは他社管理であったため、自社管理できるアドレスにisolation addressを変更する必要が産まれました。
変更は非常に簡単で、vSphere ClientでVMwareHAの構成画面で「詳細オプション」を開き、「das.isolationaddress1」を指定することで変更が可能です。
このdas.isolationaddress1は1~10まで指定することができ、複数指定した場合は全てに対して応答が無くなったとき、隔離モードに移行するようになります。
詳しくは、
http://www.atmarkit.co.jp/fserver/articles/vmwaredep/15/02.html
この記事に記載されています。
FW切替後、VPNを再設定したところ、厄介な問題が発生していました。結果からみると、よくある話(MTUサイズの調整不足)だったのですが、途中で起こったことが珍しいことだったので、ブログに書いておこうと思います。
IPSecVPNを設定。双方のセグメントにあるホストへPingがきれいに通り、無事開通、と思ったのもつかの間。リモートサイトにある端末からローカル側のサーバにHTTPでアクセスできません。
私の作業用PCで確認したところ、サクサクに動いてます。が、お客様のPCではNGです。どうやっても繋がりません。Pingは通るのに。
作業用PCとIPアドレスを入れ替えてもNG。お客様のPCをリカバリにかけてみてもNG。
時間をおいて、会社から違うPCを持ち込んだところ、これまたサクサク動く。
完全に手詰まりです。
基本に立ち返ってWiresharkでパケットキャプチャしたところ、[TCP segment of a reassembled PDU]の嵐。
ここでようやくMTUサイズ問題だと気づきました。
ルータでMTUを大幅に下げたところ、あっさりと接続。めでたしめでたしです。
しかし、どうして作業用PCや社から持ち込んだPCではOKで、お客様のPCではNGだったのか。
どうやら、Path MTU Black Hole Detection機能が関係しているようです。
To configure Path MTU Black Hole Detection:
[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters]
EnablePMTUBHDetect = 0 (Enabled = 1, Disabled = 0, Default = 0)
Note Windows 2003 SP2, Windows XP SP3 and Windows Vista enables black hole detection by default, and changes the PMTU to 536 bytes if retransmissions occurs (If the following retransmission also fails then the PMTU is returned to its original size). More Info MS KB Q925280
More Info MS KB Q136970
More Info MS KB Q159211
More Info MS KB Q314825
このあたりの記述にヒントが。NGだったお客様のPCはWindowsXPSP2、持ち込んだPCはVista、作業用PCは7でした。
どうやらOKだった端末はMTUサイズのエラーを検知して、自動的にMTUを縮めていたようです。
なまじ接続が出来るPCがあったもので、解決までかなり時間がかかってしまいましたが、理屈の通る現象で一安心です。
ICAファイルからの公開アプリケーションの起動に失敗する件。
これに合致していた。
このHotfix Rollup Packをインストールすると、ICAファイルのパラメータTcpBrowserAddressではなくHttpBrowserAddressが使用されるようになります。ただし、デリバリーサービスコンソールで作成されるICAファイルには、デフォルトでSSLEnable=ONが指定されます。このため、ICAファイルでサーバーポートとして80を指定すると、アプリケーションが起動に失敗します。この問題を避けるには、サーバーポートとして80を指定する場合はICAファイルをSSLEnable=OFFに変更してください。[#214876]
作成したICAファイルをNotepadで編集して、SSLEnable=OFFとしたところ無事起動した。
「TCP/IP+HTTPブラウスのチェックボタン」をオフにして作成した場合、TcpBrowserAddressだけしかエントリが無いので起動に失敗する。HttpBrowserAddressを追記してやれば起動に成功する。
つまり回避方法は2通り。
チェックボタンの有無はXenAppサーバの検出時、ICAクライアントからブロードキャストが送信されるかどうかの違い。オフにするとブロードキャストで検出を試みる。このためネットワークトラフィックが発生するので、基本的にはオンにしてICAファイルを作成する。詳細は以下。
NetScreenからCisco ASAに切替。MIPをStaticに、AccessRuleをACLに、とコンフィグリストを突き合わせて設定。
で、切り替え。通信出来ない…。
散々こねくり回したけど全くダメ。
で、PingをISPに投げてやると…。
通った。通らないサーバも同様にPingを投げると通っていく。
xlateやarpのエントリの加減なんだろうか…。
テスト環境を作っていましたが、Web Interfaceのサイト作成にどうしても失敗してました。
XenAppサーバにインストールしていたんですが、別のサーバにインストールしてみるとアッサリ動いてしまいました。
XenAppのライセンスサーバにWeb Interfaceをインストールしてます。
XenAppサーバのインストールの時、IPSEC Serviceが無効になっているとインストール途中で失敗するという罠もあります。
私はIPSEC Serviceを無効にしがちなので、ハマりました。
vRangerのVer4からはvCenter ServerをインストールしたWindowsにインストールすることが出来なくなった。
管理用DBがmdbからSQL Server Expressに変更されたから、というのが理由。
回避策として、vCenter用の仮想マシンを立てた。
2011/08/20修正
グローバルで設定。
#DHCP enable
#dhcp relay server-group 0 ip 192.168.1.1
vlan interfaceで設定
#dhcp select relay
#dhcp relay server-select 0
斜体の0は0から9までの間で自由に設定する。
仮想マシン上に業務システムを構築する案件。納入先が遠距離ということもあって、V2V2Vを駆使して環境を構築することになりました。
ざっくりとした手順はこんな感じです。
vmfsデータストアから直接FTPやSCPでダウンロードする方法がありますが、ESXのバージョン違いなどでトラブルがありそうなので、Converterを利用することにしました。
コンバートしたvmdkはUSB-HDDで運びましたが、帯域さえあればネットワーク越しで運べるので、改めて仮想化のメリットを感じることが出来た仕事です。
ある理由からXenApp (Presentation Server)の勉強をしています。
サーバのインストールとアプリケーションの公開方法までは簡単ですが、どう設定していくのか、という部分でコツが要るんだろうな…という印象です。