この付録では、Sun Management Center 4.0 を ネットワークアドレス変換 (NAT) 環境で使用するときの問題点について説明します。また、Sun Management Center の NAT ソリューションへの全体的なアプローチに影響する要因についても簡単に説明します。
この付録の内容は次のとおりです。
ネットワークアドレス変換 (NAT) を使用すると、サーバー、ホスト、およびコンソールが複数のネットワークに分散していても、共通の内部ネットワークを介して相互通信を行えます。NAT ソリューションは、非公開のローカルアドレス範囲を公開アドレス範囲に割り当てます。これらの割り当ては、静的または動的に行われます。
NAT は、Sun Management Center クライアント環境で次第に普及し始めています。NAT を使用することでクライアントはネットワークアドレスをより効率良く使用でき、場合によっては繊細な内部環境から外部環境に対して安全にアクセスできるようになります。
Sun Management Center NAT ホスト とは、Sun Management Center コンポーネント (エージェント、サーバー、またはコンソール) を実行しているホストのうち、NAT 環境全体にわたってほかの Sun Management Center コンポーネントと通信する必要のあるホストを意味します。
Sun Management Center 4.0 は、管理対象ノードの IP アドレスとポートを使用してそれらのノードをサーバーコンテキスト内で個々に識別するとともにそれらにアクセスできることを前提としています。また、このソフトウェアは管理対象ノードのローカル IP アドレスとポートが信頼できるものであるとみなします。
このような前提の結果、Sun Management Center はその主要オペレーションと管理機能の両方において IP アドレスを多用します。具体的には、ネットワークアドレスは次のような領域で使用されます。
通信 (SNMP、RMI、Probe、MCP HTTP、ICMP)
ネットワークエンティティーの検出
イベント管理
サーバーコンテキストの識別
SNMP URL による管理対象ノード、オブジェクト、プロパティーの識別
プロパティーコンテンツ (MIB-II モジュールなど) の管理
管理対象となるプロパティーテーブル (MIB-II インタフェーステーブルなど) のインデックス
ローカライズされた USEC キーの生成
さまざまなコンソールブラウザとコンソールディスプレイ
Sun Management Center コンポーネントが 1 つ以上の NAT 環境にわたって動作する環境では、管理対象ノードのローカル IP アドレスとポートの一意性およびアクセス性についての前提は当てはまりません。また、管理者はノードの公開 IP アドレスに慣れている場合もあり、ローカル IP アドレスを使用して直感的に NAT 環境内で管理対象ノードを識別できないことも考えられます。
非公開サブネット 10.1.1.0 には、NAT 1 の後ろで動作する Machine1 というマシンが存在します。NAT 1 は、Machine 1 から NAT 1 外部のホストまでのあらゆる通信に変換済み IP アドレス 129.146.63.100 を使用します。NAT 1 の外部のホストから Machine 1 (129.146.63.100) までの通信は、NAT 1 によって Machine 1 (10.1.1.1) にリダイレクトされます。
2 つめの非公開サブネット (100.1.1.1) には、1 台のマシン Machine 3 (100.1.1.1) が存在し、NAT 2 の後ろで動作します。NAT 2 は、Machine3 から NAT 2 までの通信に変換済み IP 129.146.63.101 を使用します。NAT 2 の外部のホストから Machine 3 (129.146.63.101) までの通信は、NAT 2 によって 100.1.1.1 にリダイレクトされます。
Sun Management Center で IP アドレスを使いすぎると、単純なアドレス変換またはプロキシ変換を伴う環境への導入が複雑化します。アドレスは、ドライバ、ライブラリ、アプリケーション、およびコンソールの統合レベルで現れます。このソリューションは、Sun Management Center 内で発生する通信の種類によってさらに複雑化します。
このソフトウェアは、次のレイヤーで使用される分散アプリケーションです。
コンソール
マルチコンポーネントサーバー
マルチコンポーネントエージェント
ソフトウェアレイヤーは、ルーティング規則または NAT の対象となりえる複数のホストまたはネットワーク上に配置することができます。
さらに、Sun Management Center システムのコンソールコンポーネント、サーバーコンポーネント、およびエージェントコンポーネントは、ほかのネットワーク上に存在する別の Sun Management Center システムのコンポーネントと通信できます。このような状況ではこのソリューションの複雑さが増します。
NAT を採用すると、コンソール、サーバー、およびエージェントが 1 つ以上のネットワークアドレス範囲に導入されているネットワーク環境で Sun Management Center 4.0 を使用できます。この結果、コンソール、サーバー、およびエージェントは 1 つ以上の NAT 環境にわたって通信を行わなければならなくなります。
この機能は、複数の NAT 環境にわたるリモート参照ドメインのようなサーバーコンテキスト間の処理もサポートします。NAT を採用すると、Sun Management Center コンポーネントは同じアドレス範囲のほかの Sun Management Center コンポーネントとも通信できます。NAT を使用しないと、Sun Management Center のコンソール、サーバー、およびエージェントは複数の NAT 環境にわたって稼動することができません。
ユーザーは、Sun Management Center NAT ホストごとに静的な NAT マッピングを設定する必要があります。
NAT 環境全体にわたる Sun Management Center 4.0 オペレーションに動的な NAT マッピングはサポートされません。
Sun Management Center は未定義のポート (SNMP、プローブ、RMI、コンソール統合など) をいくつか使用するため、Sun Management Center NAT サポートにポート制限を指定する機能をサポートしていません。
NAT 環境における処理をサポートするため、NAT は Sun Management Center 4.0 ソフトウェアが IP アドレスではなく名前を使用してほかの Sun Management Center ホストの識別やそれらのホストとの通信を行えるようにします。この名前は、標準のネーミングサービスを通して有効な IP アドレスに変換できるホストエイリアスでなければなりません。この名前はまた、Sun Management Center コンポーネントが導入される関連したアドレス範囲内で適切な IP アドレスに変換できるものでなければなりません。
このため、Sun Management Center コンポーネントがインストールされたすべてのアドレス範囲のホストマップで、すべての Sun Management Center NAT ホストに共通のホストエイリアスを定義する必要があります。
ホストエイリアスは、ファイル (/etc/hosts など)、NIS、NIS+、DNS などを含むことができる標準のシステムホストマップで定義する必要があります。以降では、共通のホストエイリアスを NAT ホスト名と記述しています。
Sun Management Center NAT ソリューションは、複雑な変換メカニズムやエラーの発生しやすい変換メカニズムを避けるため、一貫性に主眼を置いています。このソリューションは、ソフトウェアにおける IP アドレスの使用に関する基本的な前提に対応しています。
Sun Management Center 4.0 は、NAT 環境内で管理されるノードを個々に識別してアクセスするために、IP アドレスではなく論理識別子を使用します。この識別子には、管理対象ノードを全体パスで指定したホスト名を使用できます。この方法を採用すると、Sun Management Center 4.0 は ホスト名から IP アドレスへマッピングする既存のインフラを IP ベースシステム内で利用できます。
絶対パス指定のホスト名を使用することが適切ではない環境や絶対パス指定が不可能な環境では、エージェントレイヤーおよびサーバーレイヤーのアドレス範囲から解決できる任意の一意の論理名を使用できます。NAT 環境ではない場合、下位互換性のためにデフォルトの論理識別子として IP アドレスを使用できます。
このソリューションでは、論理識別子がサーバーコンテキスト内で一意であることが要求されます。論理識別子は、1 つの NAT 環境全体にわたって管理対象ノードのアクセスに使用できる有効な IP アドレスに変換できるものでなければなりません。ユーザーは、論理識別子を使用して管理対象ノードを直感的に識別できることが望まれます。
Sun Management Center 4.0 の NAT ソリューションを使用する場合は、次の点に注意してください。
すべての Sun Management Center NAT ホストに静的な NAT マッピングを指定する必要がある
Sun Management Center コンポーネントが導入されているすべてのネットワークアドレス範囲のすべての NAT ホストにホストマップエントリを指定する必要がある
複数のホップを使用して複数の NAT 環境に渡って経路テーブルベースの検出を行うことはできない
NAT の背後に導入されたコンソールは、NAT 外部のサーバーと連動することはない
次の NAT 制限が存在します。
IP アドレスは Sun Management Center サーバーと Sun Management Center エージェントホストに固有のものでなければならない
ホスト名は Sun Management Center ホストに固有のものでなければならない。ホスト名が固有でない場合は、ソフトウェアのセットアップ時にホストエイリアスを柔軟に選択できます。
NAT を使用して Sun Management Center サーバーをセットアップする場合、ホスト名またはホストエイリアスにダッシュを含めることはできない。たとえば、NAT を使用して Sun Management Center サーバーをセットアップする場合、サーバー名として server-one は使用できません。
この節では、シングル NAT 環境とデュアル NAT 環境の例を示します。
NAT の基本構成は、NAT の両サイドに 単一のサーバーコンテキストを導入したシングル NAT 環境です。
この図は、192.168.0.0 ネットワークに導入されたコンソール、サーバーレイヤー、およびエージェントを示しています。コンソール 1 つとエージェント 3 つは、NAT の背後の 192.168.1.0 ネットワークに導入されています。エージェント (リモートエージェントを含む) はすべて、Host B 上のサーバーレイヤーによって管理されるサーバーコンテキストの一部です。
Sun Management Center は、これらのコンポーネントがホスト名論理アドレス指定モードで動作するように構成されることを前提とします。このため、エージェントはすべて Host B をそれらのトラップ先およびイベント先として構成されます。
この構成をサポートするには、図 D–2 に示されたネットワークホストと NAT マップが揃っていなければなりません。Host E、F、および G 上の 3 つの遠隔エージェントに対するアクセスは、静的な NAT マッピングを使用して 192.168.0.0 ネットワークから行えます。Host E、F、および G の論理識別子は 192.168.0.0 ネットワーク内で有効な IP アドレスに変換できるものでなければなりません。このステップは、192.168.0.0 ネットワーク内で Host E、F、および G のホストマッピングを行うことで達成されます。
リモートエージェントが Host B をトラップ先およびイベント先として指定できるようにするには、192.168.1.0 ネットワークホストマップで Host B のホストマップエントリを指定します。
次の図は、より複雑な例を示しています。この図では、遠隔参照ドメインを持つ 3 つの Sun Management Center サーバーコンテキストから成るデュアル NAT 環境が示されています。
この図では、192.168.0.0 ネットワークは NAT 環境の前方に配置され、192.168.1.0 ネットワークと 192.168.2.0 ネットワークは NAT 環境の背後に配置されています。SunScreen 1 は、192.168.0.0 ネットワークに対し、192.168.1.0 ネットワーク上のホストに対するアクセスを提供します。SunScreen 2 は、192.168.0.0 のネットワークに対し、192.168.2.0 ネットワーク上のホストに対するアクセスを提供します。この構成では、静的な NAT マッピングが前提となります。
3 つのアドレス範囲におけるホストマップは、Sun Management Center サーバーコンポーネントと Sun Management Center エージェントコンポーネントが導入されているすべてのホストのホスト名解決を提供します。Sun Management Center コンポーネントはすべて、ホスト名論理アドレス指定モードで構成されているとみなされます。