ETERNUS NR1000C series FAQ
3. 設定

Answer

1. NR1000C seriesを使用する場合、クライアント側の環境を変更する必要はありますか？

   NR1000C seriesをNon Transparent Proxyとして使用される場合は、クライアント側のアプリケーションの設定でプロキシとしてNR1000Cを指定して下さい。
   NR1000C seriesをTransparent Proxyとして使用される場合は、クライアント側の環境を変更する必要はありません。

2. configrationの変更はどのようにできますか？

   ブラウザでGUIの管理画面(Appliance Managerと呼ばれるもの)を開き、設定変更できます。または、CLIでも設定変更できます。設定情報はバックアップ、リストアが可能です。ただし、configrationのファイル(テキスト)を編集することはできません。編集したものは、リストアできなくなります。

3. NR1000CのSoftwareのバージョンが異なる設定情報ファイル(Configuration File)をリストア可能ですか？

   リストア可能ですが、バージョン間で非互換のあるパラメーターが正しくコンバートされたか、リストア後にすべてのパラメーターを確認する必要があります。
   また、新バージョンで追加されたパラメーターをもつ設定情報ファイルをそのパラメーターが存在しない旧バージョンのSoftwareにリストアした場合は関連する設定が失われるので、リストア後に希望する設定をやり直してください。
   どのパラメーターに非互換があるかは、バージョンによって異なるため、システムキット内のCD-ROMにあるRelease Notesを参照してください。

4. NR1000Cはドメイン名を設定しないで、動作しますか？

   動作しません。DNSホスト名、DNSドメイン名を必ず設定してください。

5. リバースプロキシとして使用する設定例はありますか？

   リバースプロキシ(Accelerator)の設定例を以下に示します。

   ApplianceManagerのSetup > HTTP > Web Sever Accelerationの Acceleration Rulesにおいて、NR1000CとWebサーバとの対応を以下のパラメーターを用いて設定します。

   -IP_addr1: NR1000CのIPアドレスを指定します。
   -Port1: NR1000Cがサポートするポート番号を指定します。
   -HostName1: NR1000Cのホスト名を指定します。
   -PathName1: NR1000Cのパス名を指定します。
   -IP_addr2: WebサーバのIPアドレスを指定します。
   -Port2: Webサーバがサポートするポート番号を指定します。
   -HostName2: Webサーバのホスト名を指定します。
   -PathName2: Webサーバのパス名を指定します。

   IP_addr1	Port1	HostName1	PathName1	IP_addr2	Port2	HostName2	PathName2
   133.1.0.10	80	*	*	10.0.0.10	8080	*	*
   133.1.0.20	80	*	*	10.0.0.20	8080	*	*
   133.1.0.30	80	*	*	10.0.0.30	8080	*	*

   NR1000Cに複数のIPアドレスを持たせる場合、
   setup > Network > interfaces > Aliasesの設定で、インターネット側のインターフェースに対して Aliasesを追加します。

6. 上位Proxy (Parent Proxy)との連携は可能ですか？
   その設定方法は？

   可能です。以下に設定方法を示します。

   【設定方法】
   1) Parent Proxyの機能を有効にする。
   Appliance ManagerのSetup -> Hierarchies -> Generalを開き、 Hierarchy EnableのEnable cache-to-cache communicationをチェックして、 Commit Changesボタンをクリックする。

   2) Parent Proxyを設定する。
   Appliance ManagerのSetup -> Hierarchies -> ParentsのParentsタブのページで、 New Parentボタンを押す。表示されるページで以下のように設定する。

   -Host Name: Parent Proxyのホスト名を設定。
   -Port Selection: プロトコル毎にParent Proxyの有効なポート番号を設定。
   -Host Supports: Parent Proxyのサポートしているプロトコルをチェック。
   -Cache Objects: Parent Proxyのコンテンツをキャッシュする場合はチェック。
   -Monitor Status Through: Parent ProxyをStatus Monitor機能がモニタするプロトコルレベル。
   -Monitor Port: Parent Proxyを Status Monitor機能がモニタするポート番号。
   Parent ProxyのHTTPのポート(8080等)などを設定する。
   0を設定するとStatus Monitor機能はOFFとなる。
   -Hierarchy Authentication: Parent Proxyで認証が必要な場合、設定する。

   Parent Proxyのモニタ用のプロトコルと、ポート番号の設定を正確に行わないと通信ができないので注意が必要。

   3) フォワーディングルールを確認する。
   デフォルトでは 2)のHost Supportsで選択したプロトコルでキャッシュミスした場合は、無条件で 2)のHost Nameで指定したParent Proxyにリクエストをフォワードするルールが生成されている。このルールではなく、特定の条件で特定のParent Proxyにフォワードするような特別なルールを作成したい場合は、Appliance ManagerのSetup -> Hierarchies -> Forwarding RulesのForwarding Rulesタブのページで、New Ruleボタンを押す。表示されるページで以下のように設定する。

   -Rule #: ルールの番号。
   -Rule Name: ルール名。
   -Rule Enable: ルールの有効・無効。
   -Rule Failover: フォワード先のホストがダウンしていた時、次のルールの評価を続けるか、否かを選択する。NR1000Cは1分に1回、フォワード先がダウンしているか否かチェックしている。
   -Protocols: このルールの対象となるプロトコルにチェック。
   -Conditions: このルールを適用する条件を設定。
   -None: 無条件。
   -Non cacheable: CGI等キャッシュできないコンテンツの場合。
   -Phrase: URLによる条件設定を行う場合。
   正規表現を使用した場合や、その表現方法によっては、レスポンスが遅くなることがあります。
   -Distribution Method: 条件に合致した時のリクエストのフォワード先を選択。
   -Direct: ダイレクトアクセス。
   -Single Host: 単一のホストにフォワードする。
   -Firewall Cluster: 複数のFirewallのいずれかにフォワードする。
   -Parent Cluster: 複数のParent Proxyのいずれかにフォワードする。
   -ICP: ICPを使用する場合。

   以上の設定は、ルール番号が小さい順に評価される。

7. 上位Proxyとの Connection Timeout時間について教えてください。

   Timeout時間は次のように決定します。

   1. 上位Proxyに対して、Status MonitorがONの場合、NR1000Cは Connection確立に要した時間を計算/記録します。
   その時間(t)を元に下記アルゴリズムによりその後のSYN Connection Timeout 時間を決定します。

   ・0 < t < 5 : Timeout = 5 秒
   ・5 = t, 5 < t : Timeout = t x 1.25
   例：t=3秒の場合、 Timeout=5秒。t=10秒の場合、Timeout=12.5秒

   2. 上位Proxyに対して、Status MonitorがOFFの場合、7秒(固定)となっています。

   （注）Status Monitor機能の設定については、"4-6上位Proxy (Parent Proxy)との
   連携は可能ですか？その設定方法は？"で説明しています。

8. NR1000Cをリバースプロキシとして使用する場合、NR1000Cにグローバルアドレスを2つ設定し、それぞれのアドレスに対して WebServerを割り当てることは可能ですか？

   可能です。NR1000Cは1つのインターフェースに対して複数の IPアドレス(Alias)を設定できます。
   次に、リバースプロキシとして使用するために、Acceleratorの設定をしてください。この設定で、複数のIPアドレスで受けたリクエストを別々のWebServerに送信することが可能になります。

9. Acceleratorの登録数の上限を教えてください。

   Web Server Acceleratorの登録数は、HTTPプロトコルのみで256個、Streaming Server Acceleratorの登録数は、すべてのストリーミングプロトコルで256個となっています。

10. NR1000Cではオリジンサーバ/クライアントとの間のHTTP Keep Alive動作を設定する方法はありますか？

    コマンドより以下の設定が可能です。

    1) NR1000C-オリジンサーバ間の接続

    設定パラメーターconfig.http.persistence.server
    > set config.http.persistence.server [on/off]

    onに設定した場合、オリジンサーバとの間でHTTP KeepAlive動作を可能にします。
    offに設定した場合、1トランザクション毎にTCPコネクションを切断します。
    config.http.persistence.server のデフォルト値はonです。

    2) NR1000C-クライアント間の接続

    設定パラメーターconfig.http.persistence.client
    > set config.http.persistence.client [on/off]

    onに設定した場合、クライアントとの間でHTTP KeepAlive動作を可能にします。
    offに設定した場合、1トランザクション毎にTCPコネクションを切断します。
    config.http.persistence.client のデフォルト値はonです。

    設定パラメーターconfig.http.max_client_keepalive_timeout
    > set max_client_keepalive_timeout [time[second]]

    50本以上HTTPコネクションが確立された場合、max_client_keepalive_timeout 秒以上通信がないと、切断を行います。
    max_client_keepalive_timeout のデフォルト値は10秒です。
    当機能はconfig.http.persistence.client がonで、なおかつコネクションが50本以上確立されている場合のみ機能します。

11. NR1000Cではオリジンサーバ/クライアントとの間のTCP Keep Alive動作を設定する方法はありますか？

    TCP Keep Aliveを有効、無効にする設定はありません。
    TCP Keep Aliveは常に有効となっております。
    コネクションがIdleになってから120分後(固定値)に切断されます。

12. NR1000Cには、TCPトンネリング機能はありますか？

    あります。TCPトンネリング機能を使用することで、設定したプロトコルに対するリクエストをNR1000Cからサーバに送信します。
    設定は、Appliance ManagerのSetup > Network - Protocol Tunnelingで行います。

13. HTTPSリクエストに対してForwardingRuleは設定できますか？

    Appliance manager の Setup > Hierarchies > Forwarding Rules から設定します。
    なお設定は、以下の条件に基づきます。
    non-transparent proxy 形態の場合、「https://site」は、 HTTP-Based Tunnelingとして認識されます。
    また、HTTPSデータは暗号化されたままトンネルされますので、URLは完全に認識できません。よって、ForwardingRuleの設定において、 Protocols:は"Tunnel"、Phrase:（URLによる条件設定）は、"URL"ではなく、"Server Host Name"または、"Server Domain"を選択してください。

14. ftp コマンドを用いて NR1000C 経由でFTPサイトにアクセスする方法を教えてください。

    次の方法でアクセス可能です。
    1）アクセスするユーザーの定義
    NR1000C と、FTP サーバにアクセスするユーザー名、パスワードを登録します。

    （注）既に登録済みの場合は、この操作は必要ありません。

    2）FTP認証を有効にします。
    Appliance Manager の Setup->FTP->General を開き、FTP Proxy Enable のEnables FTP proxy service をチェックして、Commit Changes ボタンをクリックします。

    3）FTPサーバに対して NR1000C経由で、ftpコマンドを使用する。
    
    C:\>ftp nc3100（NR1000Cのホスト名又はIPアドレスを指定する。）
    Connected to nc3100.netapp.com
    220 nc3100.netapp.com (NetCache) Wed, 04 Jun 2003 15:36:55 GMT
    User (nc3100.netapp.com:(none)): ユーザー名
    331-ftp.netapp.com NcFTPd Server (licensed copy) ready.
    331 Password required for nc3100.
    Password: パスワード
    230 User nc3100 logged in.
    ftp>

    ユーザー名、パスワードは次のように指定します。

    ユーザー名: <ftp_username>@<ftp_address>
    パスワード:<ftp_password>

    例: FTP サーバのユーザー名: taro
    FTP サーバのパスワード:pass

    指定するユーザー名 :taro@ftp.netapp.com
    指定するパスワード:pass

15. NR1000Cで最大コネクション数の設定ができますか？

    最大コネクション数の設定変更はできません。また、idle コネクションがある場合、メモリ使用状況などにより適宜コネクションは切断されます。
    確立されるコネクション数の上限値は以下の数値を目安にしてください。

    C120 - 2500 ～ 3500 程度
    C130 - 3000 ～ 4000 程度
    C210 - 6000 ～ 7500 程度
    C230 - 4000 ～ 5000 程度
    C330 - 17000 ～ 18000 程度

16. PUT、POSTリクエストにおけるRequest Bodyの最大サイズを指定し、クライアントのリクエストを制限することはできますか？

    そのような制限はできません

17. NR1000CでProxyPACを配信することはできますか？

    はい、できます。HTTP配信が使用できます。

18. NR1000CにPAC（Proxy Auto Config）ファイルを配備してクライアントがそれを取得することはできますか？その場合、クライアントOSのブラウザに制限事項等はありますか？

    はい、できます。ただし、配備できるPACファイルは1つです。クライアントOSのブラウザに制限はありません。Netscape,IEのブラウザでは動作検証済みです。
    
    ブラウザのファイルによる自動プロキシ設定
    http://NR1000Cホスト名:admin_port/プロキシ名
    例：http://netcache.domain.com:3132/proxy.pac

19. proxy.pac が Uploadできなくなりました。原因と対策について教えてください。

    以下に考えられる原因とその対策を示します。

    ---その1---
    【原因】
    upload されている proxy.pac ファイルが破損(corrupt)している可能性があります。

    【対策】
    一度 NetCache 上の proxy.pac ファイルを削除し、再度 upload をしてみてください。

    削除方法
    > priv set advanced
    > rm /etc/htdocs/proxy.pac
    > priv set admin

    （注）ファイルを削除しようとして
    /etc/htdocs/proxy.pac: No such file or directory
    とエラーメッセージがでる場合、
    > rm /htdocs/proxy.pac
    を試してください。NetApp ReleaseのOSバージョンによって異なります。

    ---その2---
    【原因】
    qtree 設定が "unix" 以外である場合、誤操作により qtree security style
    を変更すると、proxy.pac をupload できなくなる事があります。

    【対策】
    qtree を "unix"に設定した後、upload を実施してください。

    変更方法
    > priv set diag
    >
    > qtree security (注)qtree security styleの確認
    > Volume Tree Style Oplocks Status
    > --------------------------------------
    > vol0 ntfs enabled normal
    >
    > qtree security /vol/vol0/ unix (注)qtree security styleの変更
    >
    > qtree security (注)qtree security styleの確認
    > Volume Tree Style Oplocks Status
    > --------------------------------------
    > vol0 unix enabled normal
    >
    > priv set admin

    ---その3---
    【原因】
    NR1000Cの不具合の可能性があります。
    reboot後、正常にアップロードできるかどうか確認をお願いします。
    その後何時間後かに、エラーメッセージが出る場合は、NR1000C の不具合であることが考えられます。

    【対策】
    以下の情報を採取し、システムサポートセンターにお問合せください。
    ・Appliance Managerまたはコンソールに表示されたエラーメッセージ
    ・コンソールメッセージファイル(messages file)
    ・設定値の退避ファイル(configuration file)
    ・diag dump

20. Appliance Managerのpasswordの変更方法は？

    Appliance ManagerのSetup->Authenticatin->NetCache Usersにて変更可能です。

21. ユーザーがプロキシサーバ(NR1000C)を指定するポート番号は「http 3128」だが、これを違う番号に変更可能ですか？

    Appliance ManagerのSetup->HTTP->GeneralにHTTP Proxy Portsというテキストボックスがあり、そこで3128から別のポート番号に変更できます。

22. 帯域制御は可能ですか？

    Bandwidth Allocation機能を使用することで可能です。Appliance ManagerのSetup->Network->Bandwidth Allocationでルール設定を行います。
    NR1000CのBandwidth Allocation機能は、プロトコル毎にSource IP、Destination IP、username、group、time、interfaceなどの条件と、Allow Flow(許可)、Deny Flow(不許可)、Pipe/Bucket(帯域の上限を指定)のアクションを組み合わせてルールを作ります。
    
    しかし、当機能を使用した場合、NR1000Cの負荷があがる可能性がありますので通常はIPCOMなどのスイッチによる帯域制御を推奨します。

23. HTTP通信のエラー発生時にプラウザに表示されるエラー画面を編集することは可能でしょうか？

    Appliance Managerの管理画面から、Maintenance -> Software -> Error Pagesと移動します。
    ここでエラーコード毎に表示内容の確認と編集が可能です。