icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

Virtual Service Edgeクラスターでの外部ロード バランサーの使用

Zscalerでは、冗長性を確保するために、ZIA仮想サービス エッジをクラスター モードで展開し、少なくとも2つの仮想サービス エッジを使用することをお勧めします。仮想マシン(VM)イメージには、仮想サービス エッジと共にロード バランサー(LB)が含まれます。Zscalerでは、組み込みのLBを使用することをお勧めします。Zscaler組み込みLBを使用するメリットは次のとおりです。

  • セッションごとにVirtual Service Edgeにトラフィックを分散します。
  • Virtual Service Edgeの正常性を監視し、正常性チェックに失敗したエッジをプルーニングし、良好な正常性が報告されたときに自動的にLBに追加します。
  • クラスター内のVirtual Service Edgeを連続して更新し、更新中のダウンタイムをゼロにします。

組み込みのLBを使用するには、仮想化プラットフォームでプロミスキャス モードを有効にする必要があります。

代わりに、プロミスキャス モードを、Zscaler VMのみを含む専用ポート グループに制限できます。

組織のコンプライアンス要件により、組み込みLBを使用するために必要な変更を仮想スイッチに加えることができない場合は、代わりに外部LBを使用できます。外部LBを使用するようにVirtual Service Edgeを設定するには、次の2つのオプションがあります。

  • 仮想サービス エッジは、必要なスイッチを有効にせずにクラスター モードで設定できます。このモードでは、仮想サービス エッジは相互に通信できないため、各エッジはそれがクラスターの唯一のメンバーであると想定し、クラスターのプライマリー メンバーになります。その結果、クラスター内のすべての仮想サービス エッジは、自己をクラスターのプライマリー メンバーとして宣言し、クラスターIPを所有します。

    クラスター化されたVirtual Service Edgeの外部LBを構成する手順は次の通りです。

    1. (クラスターIPではなく)Virtual Service Edge IPにトラフィックを直接転送するように外部LBを構成します。
    2. 負荷分散方式をセッション単位に設定します。
    3. (オプション)クライアントIPベースの永続性を有効にします。
    4. この記事の監視セクションに記載されている監視方法のいずれかを使用するように外部LBを構成します。

    Virtual Service EdgeのIPアドレス(クラスターIPではない)を監視します。

    最新情報

    クラスターのすべてのメンバーは、自分自身をクラスターのプライマリ メンバーとして宣言しますが、クラウドの観点からは、同じクラスターの個々のメンバーと見なされます。したがって、Virtual Service Edgeの更新は連続して行われ、クラスターの更新時のダウンタイムはゼロになります。更新は、都合の良いときにスケジュールすることもできます。詳細については、Virtual Service Edgeクラスターの構成を参照してください。

    閉じる

  • Virtual Service Edgeをスタンドアロン モードで展開し、外部LBを使用して負荷を分散できます。

    スタンドアロンVirtual Service Edge用に外部LBを設定するには、次の手順を実行します。

    1. 負荷分散方式をセッション単位に設定します。
    2. (オプション)クライアントIPベースの永続性を有効にします。
    3. この記事の監視セクションに記載されている監視方法のいずれかを使用するように外部LBを構成します。

    最新情報

    外部LBを使用したスタンドアロン モードでのVirtual Service Edgeの更新は、ダウンタイムを回避するためにスケジュールする必要があります。詳細については、Virtual Service Edgeクラスターの構成を参照してください。

    閉じる

監視

Zscalerでは、次のいずれかの方法を使用して、外部LBを使用してVirtual Service Edgeを監視することをお勧めします。

  • サービスIPへのICMP pingを実行します。これにより、サービスが稼働していることが保証されます
  • プロキシ ポートへのTCPポートチェック
  • プロキシ経由で外部でホストされているWebサーバーへのHTTPプローブも使用できます。この方法では、プローブを許可するためにVirtual Service Edgeで適切なポリシーが必要になります。
関連記事s
仮想サービス エッジについて仮想サービスエッジクラスタについて仮想サービスエッジクラスタの設定 Virtual Service Edgeクラスターでの外部ロード バランサーの使用Microsoft Azureの仮想サービスエッジクラスタの設定Amazon Web Services用Virtual Service Edgeを設定するGWLBによるAmazon Web Services用仮想サービス エッジの構成Microsoft Hyper-Vの仮想サービス エッジの構成Google Cloud Platformの仮想サービスエッジの設定仮想サービスエッジインスタンスの追加仮想サービスエッジクラスタの追加仮想サービスエッジVMのダウンロード仮想サービスエッジ証明書のダウンロード仮想サービスエッジとNTPサーバの同期の設定デュアルアームモード用仮想サービスエッジ設定ガイド仮想サービス エッジ用Kerberosの展開仮想サービス エッジへのトラフィックの転送