test

Sun Management Center 3.5 インストールと構成ガイド

付録 D ネットワークアドレス変換 (NAT)

この付録では、Sun Management Center 3.5 を NAT 環境で使用するときの問題点について説明します。また、Sun Management Center の NAT ソリューションへの全体的なアプローチに影響する要因についても簡単に説明します。

この章の内容は次のとおりです。

NAT の概念

Network Address Translation (NAT) を使用すると、サーバ、ホスト、およびコンソールが複数のネットワークに分散していても、共通の内部ネットワークを介して相互通信を行えます。NAT ソリューションは、非公開のローカルアドレス範囲を公開アドレス範囲に割り当てます。これらの割り当ては、静的または動的に行われます。

NAT は、Sun Management Center のクライアント環境で次第に普及し始めています。NAT を使用することでクライアントはネットワークアドレスをより効率良く使用でき、場合によっては繊細な内部環境から外部環境に対して安全にアクセスできるようになります。

注 –

Sun Management Center の NAT ホスト とは、Sun Management Center コンポーネント (エージェント、サーバ、またはコンソール) を実行しているホストのうち、NAT 環境全体にわたってほかの Sun Management Center コンポーネントと通信する必要のあるホストを意味します。

NAT 環境での IP アドレスの使用

Sun Management Center 3.5 は、管理対象ノードの IP アドレスとポートを使用してそれらのノードをサーバコンテキスト内で個々に識別するとともにそれらにアクセスできることを前提としています。また、このソフトウェアは管理対象ノードのローカル IP アドレスとポートが信頼できるものであるとみなします。

このような前提の結果、Sun Management Center はその主要オペレーションと管理機能の両方において IP アドレスを多用します。具体的には、ネットワークアドレスは次のような領域で使用されます。

Sun Management Center コンポーネントが 1 つ以上の NAT 環境にわたって動作する環境では、管理対象ノードのローカル IP アドレスとポートの一意性およびアクセス性についての前提は当てはまりません。また、管理者はノードの公開 IP アドレスに慣れている場合もあり、ローカル IP アドレスを使用して直感的に NAT 環境内で管理対象ノードを識別できないことも考えられます。

NAT の動作

次の図は、NAT がどのように機能するかを示したものです。

図 D–1 シンプルな NAT ネットワーク概念図

シンプルな NAT ネットワーク概念図

非公開サブネット 10.1.1.0 には、NAT 1 の後ろで動作する Machine 1 というマシンが存在します。NAT 1 は、Machine 1 から NAT 1 外部のホストまでのあらゆる通信に変換済み IP アドレス 129.146.63.100 を使用します。NAT 1 の外部のホストから Machine 1 (129.146.63.100) までの通信は、NAT 1 によって Machine 1 (10.1.1.1) にリダイレクトされます。

2 つ目の非公開サブネット (100.1.1.1) には、1 台のマシン Machine 3 (100.1.1.1) が存在し、NAT 2 の後ろで動作します。NAT 2 は、Machine 3 から NAT 2 までの通信に変換済み IP 129.146.63.101 を使用します。 NAT 2 の外部のホストから Machine 3 (129.146.63.101) までの通信は、NAT 2 によって 100.1.1.1 にリダイレクトされます。

NAT ソリューションの複雑さ

Sun Management Center で IP アドレスを使いすぎると、単純なアドレス変換またはプロキシ変換を伴う環境への導入が複雑化します。アドレスは、ドライバ、ライブラリ、アプリケーション、およびコンソールの統合レベルで現れます。このソリューションは、Sun Management Center 内で発生する通信の種類によってさらに複雑化します。

このソフトウェアは、以下のレイヤで使用される分散アプリケーションです。

ソフトウェアレイヤは、ルーティング規則または NAT の対象となりえる複数のホストまたはネットワーク上に配置ことができます。

さらに、Sun Management Center システムのコンソールコンポーネント、サーバコンポーネント、およびエージェントコンポーネントは、ほかのネットワーク上に存在する別の Sun Management Center システムのコンポーネントと通信できます。このような状況ではこのソリューションの複雑さが増します。

NAT を採用すると、コンソール、サーバ、およびエージェントが 1 つ以上のネットワークアドレス範囲に導入されているネットワーク環境で Sun Management Center 3.5 を使用できます。この結果、コンソール、サーバ、およびエージェントは 1 つ以上の NAT 環境にわたって通信を行わなければならなくなります。

この機能は、複数の NAT 環境にわたるリモート参照ドメインのようなサーバコンテキスト間の処理もサポートします。NAT を採用すると、Sun Management Center コンポーネントは同じアドレス範囲のほかの Sun Management Center コンポーネントとも通信できます。NAT を使用しないと、Sun Management Center のコンソール、サーバ、およびエージェントは複数の NAT 環境にわたって稼動することができません。

NAT 構成

ユーザは、Sun Management Center NAT ホストごとに静的な NAT マッピングを設定する必要があります。

注 –

NAT 環境全体にわたる Sun Management Center 3.5 オペレーションに動的な NAT マッピングはサポートされません。

Sun Management Center は未定義のポート (SNMP、プローブ、RMI、コンソール統合など) をいくつか使用するため、Sun Management Center では Sun Management Center NAT サポートにポート制限を指定することはできません。

NAT 環境における処理をサポートするため、NAT は Sun Management Center 3.5 ソフトウェアが IP アドレスではなく名前を使用してほかの Sun Management Center ホストの識別やそれらのホストとの通信を行えるようにします。この名前は、標準のネーミングサービスを通して有効な IP アドレスに変換できるホストエイリアスでなければなりません。この名前はまた、Sun Management Center コンポーネントが導入される関連したアドレス範囲内で適切な IP アドレスに変換できるものでなければなりません。

このため、Sun Management Center コンポーネントがインストールされたすべてのアドレス範囲のホストマップで、すべての Sun Management Center NAT ホストに共通のホストエイリアスを定義する必要があります。

ホストエイリアスは、ファイル (/etc/hosts など)、NIS、NIS+、DNS などを含むことができる標準のシステムホストマップで定義する必要があります。この章のこれ以降のページでは、共通のホストエイリアスを NAT ホスト名と記述しています。

NAT ソリューション

Sun Management Center NAT ソリューションは、複雑な変換メカニズムやエラーの発生しやすい変換メカニズムを避けるため、一貫性に主眼を置いています。このソリューションは、ソフトウェアにおける IP アドレスの使用に関する基本的な前提に対応しています。

Sun Management Center 3.5 は、NAT 環境内で管理されるノードを個々に識別してアクセスするために、IP アドレスではなく論理識別子を使用します。この識別子には、管理対象ノードを全体パスで指定したホスト名を使用できます。この方法を採用すると、Sun Management Center 3.5 は ホスト名から IP アドレスへマッピングする既存のインフラを IP ベースシステム内で利用できます。

絶対パス指定のホスト名を使用することが適切ではない環境や絶対パス指定が不可能な環境では、エージェントレイヤおよびサーバレイヤのアドレス範囲から解決できる任意の一意の論理名を使用できます。NAT 環境ではない場合、下位互換性のためにデフォルトの論理識別子として IP アドレスを使用できます。

このソリューションでは、論理識別子がサーバコンテキスト内で一意であることが要求されます。 論理識別子は、1 つの NAT 環境全体にわたって管理対象ノードのアクセスに使用できる有効な IP アドレスに変換できるものでなければなりません。ユーザは、論理識別子を使用して管理対象ノードを直感的に識別できることが望まれます。

Sun Management Center 3.5 の NAT ソリューションを使用する場合は、次の点に注意してください。

NAT の制限

以下の NAT 制限が存在します。

NAT の例

この節では、シングル NAT 環境とデュアル NAT 環境の例を示します。

シングル NAT 環境

NAT の基本構成は、NAT の両サイドに 単一のサーバコンテキストを導入したシングル NAT 環境です。

図 D–2 シンプルな NAT ネットワーク構成例

シンプルな NAT ネットワーク構成例

この図は、192.168.0.0 ネットワークに導入されたコンソール、サーバレイヤ、およびエージェントを示しています。コンソール 1 つとエージェント 3 つは、NAT の後ろの 192.168.1.0 ネットワークに導入されています。エージェント (リモートエージェントを含む) はすべて、Host B 上のサーバレイヤによって管理されるサーバコンテキストの一部です。

Sun Management Center は、これらのコンポーネントがホスト名論理アドレス指定モードで動作するように構成されることを前提とします。このため、エージェントはすべて Host B をそれらのトラップ先およびイベント先として構成されます。

この構成をサポートするには、図 D–2に示されたネットワークホストと NAT マップが揃っていなければなりません。Host E、F、および G 上の 3 つの遠隔エージェントに対するアクセスは、静的な NAT マッピングを使用して 192.168.0.0 ネットワークから行えます。Host E、F、および G の論理識別子は 192.168.0.0 ネットワーク内で有効な IP アドレスに変換できるものでなければなりません。このステップは、192.168.0.0 ネットワーク内で Host E、F、および G のホストマッピングを行うことで達成されます。

リモートエージェントが Host B をトラップ先およびイベント先として指定できるようにするには、192.168.1.0 ネットワークホストマップで Host B のホストマップエントリを指定します。

デュアル NAT 環境

次の図は、より複雑な例を示しています。この図では、遠隔参照ドメインを持つ 3 つの Sun Management Center サーバコンテキストから成るデュアル NAT 環境が示されています。

図 D–3 複雑な NAT ネットワーク構成例

複雑な NAT ネットワーク構成例

この図では、192.168.0.0 ネットワークは NAT 環境の前方に配置され、192.168.1.0 ネットワークと 192.168.2.0 ネットワークは NAT 環境の後ろに配置されています。SunScreen 1 は、192.168.0.0 ネットワークに対し、192.168.1.0 ネットワーク上のホストに対するアクセスを提供します。SunScreen 2 は、192.168.0.0 ネットワークに対し、192.168.2.0 ネットワーク上のホストに対するアクセスを提供します。この構成では、静的な NAT マッピングが前提となります。

3 つのアドレス範囲におけるホストマップは、Sun Management Center サーバコンポーネントと Sun Management Center エージェントコンポーネントが導入されているすべてのホストのホスト名解決を提供します。Sun Management Center コンポーネントはすべて、ホスト名論理アドレス指定モードで構成されているとみなされます。