こんにちは、Акира Tsumruaです。最近はSaaSにハマってます。
ふと、さりげに仕事をしていたら、ふと同僚の席に、WEB+DBが...
というわけで、(会社ブログには間に合わないと思いますが)発売日前レビューします。
【WEB+DB PRESS Plus 『サーバ/インフラ徹底攻略』(発売日前)レビュー】の続きを読む『デプロイは気持ちいい』という事について、デプロイ王子と合意したcloudpackの津村です。
コマンド1発でインスタンスが生えてきたりスクリプトを展開したりするのは気持ちいモノですね…。
先日のブログで書いたVyattaCoreのHA構成について、インスタンスのフェールオーバーに必要な部分の作り込みを自動化するスクリプトを開発、公開しました。
スクリプトはgithubにて公開しており、誰でも無償で使うことが可能です。
aws-vyatta-clustering-builder (gitfub.com)
標準機能でできた!商用版VYATTAのマルチAZ化
こんにちは、お昼の空腹部 津村です。
お昼前で飢えてます。がるるるる。
従来、拠点間VPNでは一般的にLayer3の暗号化トンネリングプロトコルが使用され、CenterRouterとEdgeRouterがルーティングとインターネットへのリーチャビリティはよしなに処理してくれていました。
※ここではインターネットのトラフィックをどう扱うかは、一旦置いておきます。
※L2TP/IPSec、GRE/IPSecやEtherIPについても、一旦おいておきます。
一方で、クライアントVPN(端末が直接VPNプロトコルを喋る)の場合、クライアントPCはCenterRouterへのリーチャビリティを常に確保しつづける必要があります。
この為、インターネットVPNでは、クライアントソフトウェア、もしくはOSのVPN実装がよしなに処理をしてくれています。
しかし、最近ではL2TPやSSTPといったL2VPNプロトコルが、NATの問題もクリアできる事から一般的に使用されるようになりました。
この場合、アドレスやルートの配布はVPNプロトコルの実装ではなく、サーバ・クライアント共にDHCPに頼ることとなります。
そこで、DHCPの仕様を拡張し、IPアドレスをアサインする際に静的ルートテーブルも同時に配布する仕組みが、『クラスレス静的ルート』(RFC3442)です。
RFC 3442 - The Classless Static Route Option for Dynamic Host Configuration Protocol (DHCP) version 4
こんにちは、津村です。
今回はCiscoやJunieprの箱ルータではなく、ソフトウェアルータについてエントリをアップします。(ちょっと真面目
データセンタのコアルータや、VPNのセンタールータ等では、一般的にCiscoやJuniper、VPN用ではNECやYAMAHAなどのハイエンド機をアサインする事があります。
これは、筐体そのものの信頼性の他、拠点(ブランチ)ルータでは削られてしまう冗長機能が実装されている為です。
一般的にはネットワークを冗長する(BGP, OSPF...)方をイメージしてしまう方もいらっしゃるかもしれませんが、今回は筐体そのものを冗長するクラスタリング(HAクラスタ)を取り上げます。
Vyattaとは、米ブロケード社が買収した、ソフトウェアルータのベンダー、及びオープンソースのソフトウェアルータです。
Viyatta自身はもっぱら設定や管理をメインとし、それぞれの専門の部分を、それぞれ他のオープンソース・ソフトウェア(iptablesやopenvpn等)で補完しいている事が特徴です。
CLIはJunosライクなCLIがされており、それぞれのコンポーネントを1つのConfigで管理できます。
使い方として、アプライアンスとしてx86サーバに直接インストールする他、VMwareやHyper-V、Xen等のハイパーバイザ上でブリッジと組み合わせて使う場合が多いです。
そして、今回お話するようにVPNのセンタールータやNATサーバに代わる効率的なルータとして、パブリッククラウドでも多々使用されています。
Brocade Vyatta 5400 vRouter
onprepackの津村です。(※onprepack = 最近社内で流行ってる単語。)
地元のスーパーで柿が売られているのをみて、秋を感じています...。(しみじみ
最近はGoogleAppsやサイボウズをはじめとして、グループウェア製品は、インストールタイプからSaaSに移行しつつあります。
インターネット上から誰でもアクセスでき、サーバを用意する必要が無いSaaSでの提供は、ビジネス上のコストを上手に下げてくれる効果があります。
しかし、一方で会社によっては、秘伝のタレのごとくコードを継ぎ足し継ぎ足し作ったグループウェアから乗り換えられない(しかもスパゲッティでメンテできない)といった状況から、ミドルウェアの脆弱性やハードウェアの寿命を放置、もしくは場当たりのメンテナンスで延命している場合もあります。
例えば脆弱性のあるアプリケーションとわかっていても、IaaS上のセキュアな環境に移植し、VPN越しに利用する運用に切り替える事で、セキュリティの問題(の一部)とハードウェアの寿命について、考える必要がなくなります。
なおかつ、従来のNetScreen/SSG等といったセキュリティ専用アプライアンスに対する運用費の削減や、電気代、物理サーバの保守費などを軽減できる場合があります。
意外と思われるかもしれませんが、AWSのNATインスタンスは、AmazonLinux上のiptablesで実装されています。
故に、容易にカスタマイズをする事が可能です。
次に、SoftEther(ソフトイーサ)という国産VPNソフトウェアを使用します。
もともと、2003年にIPA未踏ソフトウェアに採択され、その後、フリーソフトウェア化、PaketixVPNとして商用化した後、2014年にOSS版として公開されました。
詳細は以下を御覧ください。
ソフトイーサ株式会社オフィシャルサイト
ソフトイーサ(Wikipedia)
SoftEther VPNプロジェクト(OSS版公開サイト)
ソフトイーサは、複数のプラットフォームに対応した、マルチプロトコルのVPNサーバ、および仮想NICドライバとクライアントの構成で提供されています。
具体的には、Windows, Linux, MacOSX, FreeBSD, Solarisのバイナリ、Windows版GUIクライアント、及びソースコードが公開されています。
ソフトイーサの特徴の1つとして、一般的なSSL(443/tcp)の疎通があれば容易に外部とプライベートなLayer2トンネルを張ることが可能です。これらはとても強力な機能であり、ネットワークに対するスキルの他、コンプライアンスについての知識を持ちあわせて使用することを推奨します。
【OSSとAWSで出来る、セキュア接続なプライベート環境】の続きを読む
