テクニカルショートチップス -Linuxmaniaで堅牢なシステムを構築する その1
堅牢なシステムとは何か、簡単に実現する方法を紹介します。
自前でインターネットサーバを立ち上げ、かつサービスストップしない堅牢性を実現したい !
これをするには何が必要でしょうか?
個人レベルのホームサーバならともかく、企業システムとして継続性が問われるサービスでは、自前で構築することは無理だと思うかもしれません。
ITサービスを継続させるための堅牢なシステム、というのは、専門用語では、High Availability(高可用性)構成とよばれます。(以下、HAと略します)
よく聞くミッションクリティカルなシステム、というのは、「落とすわけにいかないサービスをHigh Availability構成で実現する」ということです。
さて、このHA構成のためには莫大な資金と専門的な知識が必要と思われがちですが、どんな高価でミッションクリティカルなシステムであっても、
HA構成の基本的な考えは多重系統化するということでしかありません。
多重系統、簡単にいえば、ここが壊れた場合はこれで補う、これがアウトでもこれがある、という風にすることです。
これを専門用語で表現すると「Single Failure Point(サービスが止まってしまうポイント)をなくす」、ということになります。たとえばどれだけ高価なスーパコンピュータで同時処理能力がずば抜けたWebサーバを構築しても、玄関にあるルータが壊れるとサービス全体が止まってしまいます。
複雑なHA構成も、結局はこういうSingle Failure Pointを1個づ対処しているということに過ぎません。
ほとんどの企業さまにとっては、多重系統といっても2系統あれば十分と考えます。つまり、少投資で御社に見合ったHAを実現すればいいのです。またすべてのSingle Failure Pointを厳密に無くす必要もないと考えます。本気でやると自家発電装置まで必要ですから。
御社でもそれを自前ですることは可能なのです。
では具体的にHA構成でシステムを構築していきましょう。
Step 1.光ファイバー回線を用意
ではまずあなたの会社を眺めてみましょう。
光ファイバーの回線はあるでしょうか? なければまず引きましょう。(やはりADSLより光回線をおすすめします)
HA構成を目指すのであれが光回線を2本引きましょう。
プランは低クラスのタイプでもかまいませんが、光回線を会社まで直接引く方式が大事です。
光ファイバーは何本でも会社へ引くことが可能です。プランによりますが1回線5000円ほどです。
HA性が弱くはなりますが、やむをえない場合は集合回線でもかまいません。
1本目は本番サーバに、2本目は何かあったときのバックアップ用においておきます。これにより回線という部分でのSingle Failure Pointは無くせました。
(厳密にはまったく別の場所に配置したり、さらに数を増やすとより堅牢ですが、ほとんどのお客さまにとって必要ないでしょう)
Step 2.ルーターを用意
外部にインターネット公開する場合は、以下の機能をみたすルーターが必要です。
・固定IP を指定できる
・IPマスカレード ポートフォワーディング機能がある
・ファイヤウォールなどセキュリティ設定ができる。
3についてはピンキリです。高価なルーターを求めると何十万円するのもありますが、ほとんどのお客様にとっては必要ないでしょう。ヤマハのRT58iクラスで十分と考えます。それより低価ルータでも可能です。
「IPマスカレード ポートフォワーディング」とは、インターネットからはグローバルIPアドレスをもったルータへとアクセスされますが、そのリクエストをWebサーバのプライベートIPアドレスへと転送して処理をさせる方式です。
[参考] NAT と IPマスカレード(ポートフォワーディング)外部リンク
たとえば、HTTPであればポートは80が使われます。ポート80に来たHTTPリクエストはプライベートなLANにあるWebサーバへと転送し、そこで稼働しているWebぺージが表示されるという仕組みになります。ポートとプライベートIPが一対になります。
3のセキュリティについては、ファイヤウォールなどでリクエストの入と出に対して、細かく設定することができますが、TELNET、SSHなど攻撃されやすいサービスを立ち上げない、HTTPやSMTPなど最低限のプロトコルしかうけつけない、という最低限の設定で多くの攻撃はふせげます。
これこそが自社でマシンを持つ利点でもあります。なぜならレンタルサーバなどでは、リモート操作のために吹きさらしの無防備な場所で仕事をする必要が出てきます。秘密鍵認証など、どんどん作業が複雑化していきますが、これはリモート操作をやらざるを得ないことが根本の問題です。
しかし、自社でマシンがあれば、SSHも必要なく、FTPですら必要ないのです!メモリキーでサーバのアップ作業もできるわけですから、ルータはIPマスカレードだけを最低限設定すればいいのです。
ルータはSingle Failure Pointになります。サーバの多重化で気を使う人はいますが、実は「ルータがこければみなこける」ということが盲点になっている人は多いですが、 ルータのSFPを避けるには同等のルータをもう一つ用意しておくことです。ルータがおかしくなればバックアップルータへ切り替えます。光回線を二重に引いていればもういっぽうの回線にルータをそなえつけ、いつでも切り替えられる用意だけしておけば万全です。
これをするには何が必要でしょうか?
個人レベルのホームサーバならともかく、企業システムとして継続性が問われるサービスでは、自前で構築することは無理だと思うかもしれません。
ITサービスを継続させるための堅牢なシステム、というのは、専門用語では、High Availability(高可用性)構成とよばれます。(以下、HAと略します)
よく聞くミッションクリティカルなシステム、というのは、「落とすわけにいかないサービスをHigh Availability構成で実現する」ということです。
さて、このHA構成のためには莫大な資金と専門的な知識が必要と思われがちですが、どんな高価でミッションクリティカルなシステムであっても、
HA構成の基本的な考えは多重系統化するということでしかありません。
多重系統、簡単にいえば、ここが壊れた場合はこれで補う、これがアウトでもこれがある、という風にすることです。
これを専門用語で表現すると「Single Failure Point(サービスが止まってしまうポイント)をなくす」、ということになります。たとえばどれだけ高価なスーパコンピュータで同時処理能力がずば抜けたWebサーバを構築しても、玄関にあるルータが壊れるとサービス全体が止まってしまいます。
複雑なHA構成も、結局はこういうSingle Failure Pointを1個づ対処しているということに過ぎません。
ほとんどの企業さまにとっては、多重系統といっても2系統あれば十分と考えます。つまり、少投資で御社に見合ったHAを実現すればいいのです。またすべてのSingle Failure Pointを厳密に無くす必要もないと考えます。本気でやると自家発電装置まで必要ですから。
御社でもそれを自前ですることは可能なのです。
では具体的にHA構成でシステムを構築していきましょう。
Step 1.光ファイバー回線を用意
ではまずあなたの会社を眺めてみましょう。
光ファイバーの回線はあるでしょうか? なければまず引きましょう。(やはりADSLより光回線をおすすめします)
HA構成を目指すのであれが光回線を2本引きましょう。
プランは低クラスのタイプでもかまいませんが、光回線を会社まで直接引く方式が大事です。
光ファイバーは何本でも会社へ引くことが可能です。プランによりますが1回線5000円ほどです。
HA性が弱くはなりますが、やむをえない場合は集合回線でもかまいません。
1本目は本番サーバに、2本目は何かあったときのバックアップ用においておきます。これにより回線という部分でのSingle Failure Pointは無くせました。
(厳密にはまったく別の場所に配置したり、さらに数を増やすとより堅牢ですが、ほとんどのお客さまにとって必要ないでしょう)
Step 2.ルーターを用意
外部にインターネット公開する場合は、以下の機能をみたすルーターが必要です。
・固定IP を指定できる
・IPマスカレード ポートフォワーディング機能がある
・ファイヤウォールなどセキュリティ設定ができる。
3についてはピンキリです。高価なルーターを求めると何十万円するのもありますが、ほとんどのお客様にとっては必要ないでしょう。ヤマハのRT58iクラスで十分と考えます。それより低価ルータでも可能です。
「IPマスカレード ポートフォワーディング」とは、インターネットからはグローバルIPアドレスをもったルータへとアクセスされますが、そのリクエストをWebサーバのプライベートIPアドレスへと転送して処理をさせる方式です。
[参考] NAT と IPマスカレード(ポートフォワーディング)外部リンク
たとえば、HTTPであればポートは80が使われます。ポート80に来たHTTPリクエストはプライベートなLANにあるWebサーバへと転送し、そこで稼働しているWebぺージが表示されるという仕組みになります。ポートとプライベートIPが一対になります。
3のセキュリティについては、ファイヤウォールなどでリクエストの入と出に対して、細かく設定することができますが、TELNET、SSHなど攻撃されやすいサービスを立ち上げない、HTTPやSMTPなど最低限のプロトコルしかうけつけない、という最低限の設定で多くの攻撃はふせげます。
これこそが自社でマシンを持つ利点でもあります。なぜならレンタルサーバなどでは、リモート操作のために吹きさらしの無防備な場所で仕事をする必要が出てきます。秘密鍵認証など、どんどん作業が複雑化していきますが、これはリモート操作をやらざるを得ないことが根本の問題です。
しかし、自社でマシンがあれば、SSHも必要なく、FTPですら必要ないのです!メモリキーでサーバのアップ作業もできるわけですから、ルータはIPマスカレードだけを最低限設定すればいいのです。
ルータはSingle Failure Pointになります。サーバの多重化で気を使う人はいますが、実は「ルータがこければみなこける」ということが盲点になっている人は多いですが、 ルータのSFPを避けるには同等のルータをもう一つ用意しておくことです。ルータがおかしくなればバックアップルータへ切り替えます。光回線を二重に引いていればもういっぽうの回線にルータをそなえつけ、いつでも切り替えられる用意だけしておけば万全です。
[作成日 2011/8/1]