これは、KB2101275にて掲載されています。
(参考)vCNS/NSX Edge Firewall TCP Timeout Values
https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2101275
こちらをもとに確認していきたいともいます。
まず、このKBは、vShield EdgeとNSXのEdge Serviceと同一で記載されています。ここで重要なのはAPIバージョンです。NSXで提供されるEdge Service Gatewayは、API4.0が搭載されていることが、以下の表からわかります。
APIバージョン
| リリースバージョン | APIバージョン | 設定の永続性 |
| vCNS 5.1.2 and earlier | Not supported | - |
| vCNS 5.1.3 and later | api/3.0 | No |
| vCNS 5.5.1 and later | api/3.0 | No |
| NSX for vSphere 6.0 and later | api/4.0 | Yes |
設定の永続性とは、Edge Service Gatewayを再デプロイしたり、バージョンアップをした際に、以前に設定したパラメーターが引き継がれるかという意味になります。
各タイムアウト値は以下の通りとなります。
| Protocol/State | (Version 4.0) Inactivity Timeout (seconds) ※NSXのEdge Service Gateway | (Version 3.0) Inactivity Timeout (seconds) ※vShiled Edge 5.5.1/5.1.3 |
| TCP Open (SYS-SENT, SYN-RCVD states) | 30 | 30 |
| TCP Established | 3,600 | 3,600 |
| TCP Close (TIME-WAIT, FIN_WAIT states) | 30 | 20 |
| UDP | 60 | 30 |
| ICMP/ICMPv6 | 10 | 10 |
| All other protocols | 120 | 120 |
このパラメーターは、REST APIをコールすることで変更することができます。
NSXの場合、NSX ManagerにREST APIを発行します。
APIURL:https://nsx-manager/api/4.0/edges/{edgeId}/firewall/config/global
メソッド: PUT
送信するXML
<globalConfig> <!-- Optional -->... <tcpTimeoutOpen>30</tcpTimeoutOpen> <!-- Optional. Defaults to 30 --> <tcpTimeoutEstablished>3600</tcpTimeoutEstablished> <!-- Optional. Defaults to 3600 --> <tcpTimeoutClose>30</tcpTimeoutClose> <!-- Optional. Defaults to 30 --> <udpTimeout>60</udpTimeout> <!-- Optional. Defaults to 60 --> <icmpTimeout>10</icmpTimeout> <!-- Optional. Defaults to 10 --> <icmp6Timeout>10</icmp6Timeout> <!-- Optional. Defaults to 10 --> <ipGenericTimeout>120</ipGenericTimeout> <!-- Optional. Defaults to 120 --> </globalConfig>
アプリケーション利用で、知らないうちにセッションが切られて業務アプリケーションが異常終了したなどのトラブルを防ぐためにも、ファイアーウォールのタイムアウト値には、気を配ったうえでのネットワーク設計をお勧めします。
0 件のコメント:
コメントを投稿