自作PC・家庭内ネットワーク update 2009/01/03 
1.概要
1-1 VMware-server2.0採用の経緯
2年前、VMware-Server1.0を導入して「それなり」のネットワークを構築した公開環境。
Xoops Cube Legacyにブログモジュール(d3blog)、wikiレンダラーモードでの使用が増えて、動作が重く感じてきたため、ハードを再構成するとともに、VMware-server2.0にアップデートしました。
そこまでに至る間、Vmware-ESXiや、Virtualbox、KVM+QEMU などの他の仮想化実装を試してみました。
- ESXi
ホストOSをインストールしないハイパーバイザー方式のVmware-ESX-serverの無償配布版。 確かに速度は速そうなのだが、ドライブシステムやネットワークカードなどのハードウエアを選ぶ(認識されないことが多い)し、有償のツールを購入しないとバックアップなどの操作に不都合があるので、見送り。 - Virtualbox
デスクトップ用途では、なかなかの使い勝手で速度も速いほうだ。 ただ、ネットワークの仮想ブリッジの構築で躓くことが多く、今回は見送り。 - KVM+QEMU
QEMU自体はとっても遅いのだが、その一部のソフト処理をLinuxカーネルモジュールに担当させることが可能で、速度アップが見込める。 (Intel)Hyper-Vか、(AMD)AMD-V 対応CPUを使って、対応Kernelモジュールの組み込まれたシステム上で稼動する。
Ubuntu-8.10では、aptでパッケージインストールすることで使えたし、割とサクサク動くように感じたのだが、Virtualboxと同様にBridge接続に難があることと、速度差も期待したほど出なかったので見送った。 - VMware-server2.0
WEBツール専用になってしまって使い勝手が宜しくないとか、仮想ゲストOSのkernelをアップデートするとゲスト上のVmware-toolsも再構築しないといけない、速度が出ないことがあるなど問題もあるが、ブリッジ接続は簡単だし、仮想ゲストOS1つならばチューニングにより速度もそこそこ出ることと、外部コマンドでの操作が可能なことから、これを採用した。
1-2 オンボードRAID
オンボードのNvidia-Raid(NVRAID)を採用し、Raid-1(ミラーリング) DISK上にホストOSをインストールしました。 純粋なハードウエアRaidではなく、俗に「Fake-Raid」と呼ばれ、一部のソフト処理をホストOSで行う必要があります。
Windows上では、マザーボード同梱のCD/DVD付属のソフト・ドライバで使用可能。 Linux上では、dmraidというドライバーソフトで動き、例えばubuntu-8.10ではインストールから使用可能なのだが、一度解列するとLinux上では復旧ができず、一旦Windowsで立ち上げて再構築後に再起動する必要がある。
そんな面倒なことをしてでも、Linux-Raidよりは明らかに速度が速いので、今回採用した次第。
DISK1台が壊れたときでも、もう1台のデータは特殊なフォーマットではなく、Linuxならext3などの通常フォーマットで記録されている、ということもデータ救済時にはメリット。
1-3 ホストOS: ubuntu-server8.10
今回、ホストOSは人気のubuntuに乗り換えました。 PPTP-VPNも使えるし、debian系譜なのでaptパッケージマネージャもRadhat系Vine-Linux同様に便利。 文字コードがutf-8になるのでEUC-JPなVineのゲストOSは簡単には乗り換えられませんが、ホストOSであれば大きな問題はありません。
何より、使用者がどんどん増えており、アップデートなどのサポートも信頼できそうです。
server版でインストールし、デスクトップも入れた上で常時コンソールログインで使用しています。
1-4 当サイト内の関連記事
以下に、構築までに試した仮想化システムの記録、チューニングの記録へのリンクを貼っておきます。
- 2008-12-20 [仮想PC] KVM+QEMU on UbuntuでAMD-V
- 2008-12-18 [仮想PC] VMware-Server2のチューニング
- 2008-12-11 [Linux] NVRAIDの復旧テスト
- 2008-12-8 [Linux] サーバー更新の方針決定!
- 2008-12-7 [仮想PC] NHCでVMware~VirtualBox変換
- 2008-12-2 [Linux] VMware-server2 on Ubuntu-8.10
- 2008-12-2 [Linux] ESXサーバーとの格闘メモ1
- 2008-11-25 [Linux] VMware ESXi ?
- 2008-11-21 [Linux] 公開サーバーの更新計画!
2. 内部ネットワークと公開ネットワーク
2-1 ネットワーク構成
(IPアドレスは、架空のものです)
- 社内ネットワークと公開サーバーを置くネットワークとの完全分離は、会社規模の関係もありできませんが、間にブロードバンドルーターを配置することによりセグメントを分離し、通信の遮断をしています。
- モーションクリエイト社内PC(各社員使用)のインターネット接続に関しても、このブロードバンドルーターを経由し、念のため個人用回線側をゲートウエイとする構成となっています。
これらの構成により、インターネット側から社内ファイルサーバーへのアクセスはできません。
2-2 実マシン
2-2-1写真
| 写真左側 黒/銀マシン | 写真右側 白/銀マシン |
| 内部サーバー | 公開サーバー |
2-2-2 公開サーバー
| ケース | (Antec)P150(430W-ATX高効率電源付) |
| マザーボード | ASUS M2NPV-VM (MicroATX,AMD-64X2対応) オンボードグラフィック、オンボードGbLAN |
| CPU | AMD Athron64 X2(DualCore) 4850e SocketAM2 (45W) |
| CPUクーラー | (Schythe) ANDY SAMURAI MASTER SCASM-1000 |
| メモリ | (elixir) DDR2 PC6400-2GBx2 |
| HDD | (Western Digital) WD6400AAKS (640G SATA300 7200) x2 + 予備 1 (オンボードNVRAIDでRaid1) |
| CDdrive | (Creative) |
2-2-3 内部サーバー
| ケース | (Antec) SOLO W/O PSU |
| マザーボード | ASUS M3N78ーVM (MicroATX,AMD-64X2対応) オンボードグラフィック、オンボードGbLAN |
| CPU | AMD Athron64 X2(DualCore) 3800+ SocketAM2 (65W) |
| CPUクーラー | (Schythe) Infinity SCINF-1000 |
| ATX電源 | 電源:(Scythe) 剛力短 PLUG-IN GOUTAN-500-P |
| メモリ | (IODATA) DR400 1GB(PC3200 ) x2枚組 |
| HDD | (日立IBM) HDP725050GLA360 (500G SATA300 7200) (Western Digital) WD10EADS 1TB SATA300 (1TB SATAII 5400) x2 (仮想側LinuxでSoftware-Raid1) |
| DVDdrive | IODATA DVR-AN18GLB |
| Audioデバイス | ONKYO SE-90PCI (旧PCから移植) (Lilith + Asio4ALL →光出力) |
2-2-4 その他
・ホーム用BBルーター:(Buffalo) BBR-4HG
2-3 仮想マシン
公開サーバーは実マシン上のVmware-Server仮想OSで運営しており、万一この仮想マシンがクラッキングされても、実マシン~内部ネットワーク侵略に及ぶまでの時間が稼げるため、緊急対応により最小限の被害で抑えることができます。 また、仮想OSごと仮想DISK丸ごとバックアップ可能なことから、障害時の復旧も速くなります。 仮想OSには、Vine Linux 4.2 を使用しています。
2-4 公開サーバーのサービス
2-4-1 公開中のサービスとポート
公開サーバーでは、主に以下のサービスとポート開放をしています。
攻撃対象に成りやすいポート(telnetやsshなど)は閉じてあります。
- WEBサービス
- FTPサービス(SSL暗号化)
- smtp、popメールサービス(SSL暗号化)
- DNS
2-4-2 各サービス
- 自社運営のWEBサービスでは、必要に応じてSSL接続を行い、成りすましなどによるサイトの乗っ取りや通信傍受などに対処します。 また、掲示 板等でのHTML記述を基本的に禁止し、クロスサイトスクリプティングへの予防処置とます。 各サイトにDoS攻撃などに対処するソフトを使用し、クラッ キングからの防御を図ります。
- FTPサービスでは、SSL/TLS暗号化を必須としており、通信の暗号化により成りすましなどによるサイトの乗っ取りを予防します。
- メールサービスでは、popサーバー接続にSSL暗号化(任意)を選択し、通信傍受などに対して情報の漏洩を予防します。
2-4-3 移行したサーバー上での公開サイト
今回移行した仮想サーバー上で稼動している公開サイトは、以下になります。 え? ADSL回線1本には多すぎるって? ・・いえいえ、今回のサーバーのバージョンアップで、まだ増やせそうな気がしています。 
- なーお'nWEB (ここですね)
- (有)モーションクリエイト
- Motion cafe
- モバイルテンプハウス
- 蘇我みくすクラブ/さんぶクラブ別館
- みやこどりソフトテニスクラブ
- 積層スピーカーの会
- Lafesta cafe.
- 注文住宅と不動産の裏話
その他に非公開いくつか・・
2-4-4 内部ネットワークの無線LAN
利便性の面から無線LANを使用しています。(上記構成図にはありませんが、BBルーターの内部側セグメント) 接続にはWEPキーによる暗号化を使用し、不特定他者の接続は不許可とし、セキュリティーを確保しています。
 自作PC、家庭内ネットワーク(旧6:2011/11) |
 Linux/仮想化 |
 自作PC、家庭内ネットワーク(旧5:2011/02) |
コメント一覧
投稿ツリー
Re: 自作PC、家庭内ネットワーク(現行:2008/12)
(nao-pon, 2009/1/6 9:37)
Re: 自作PC、家庭内ネットワーク(現行:2008/12)
(なーお, 2009/1/6 10:11)
naaon さん、こんにちは。
サーバーかなりパワーアップしましたね。閲覧もかなり早くなりました。 
さすが、本格的な構成ですね。うちのサーバーとは比べ物になりません。 
いろいろ参考にさせて頂きます。 
nao-ponさん、こんにちは。
xpwikiモジュール作者のnao-ponさんからコメントいただけるとは、とても嬉しいです。 ありがとうございます。 
サーバーのほうは、本当は仮想なんかにせずに実マシンで稼動させた方が絶対に速いのですが、 バックアップやら障害時の対応を考えると、どうしてもこの方法になってしまいまして、 仮想化のオーバーヘッド分をマシンスペックで補うしかありません。 
記事は参考になるかどうかわかりませんが、「この構成でXCL+d3blog+レンダラーモードではこの程度で動く」という感じで、参考になれば幸いです。
では、nao-ponさんのサイトでは色々と要望や質問ばかりですみませんが、今後もどうぞよろしくお願いします。 m(..)m
(もはや、私にとってxpwiki無しのサイトは考えられません)
以下、テスト
自作PC、家庭内ネットワーク(現行:2008/12)