1: 2009-01-03 (土) 12:03:06 なーお ソース 現: 2019-08-17 (土) 07:11:56 なーお ソース
Line 1: Line 1:
-自作PC・家庭内ネットワーク update 2009/01/03+* 自作PC・家庭内ネットワーク update 2009/01/03 [#ld02ba22]
- 旧ネットワーク環境は、こちら +** 過去ログ [#g235c383]
- [[旧2ネットワーク環境は、こちら>http:///modules/plactice/index.php/home/hobby/linux/pc2.htm]] +
- [[旧3ネットワーク環境は、こちら>http:///modules/plactice/index.php/home/hobby/linux/pc1.htm]]+
-* 1.ネットワークのポリシー [#jc72c8dd]+ [[ネットワーク環境(旧3:2006/12)>http:///modules/plactice/index.php/home/hobby/linux/pc3.htm]] 
 + [[ネットワーク環境(旧2:2004/01)>http:///modules/plactice/index.php/home/hobby/linux/pc2.htm]] 
 + [[ネットワーク環境(旧1:2000/12)>http:///modules/plactice/index.php/home/hobby/linux/pc1.htm]]
- 2年前、VMware-Serverを導入して「それなり」のネットワークを構築した公開環境。+** 1.概要 [#e2775374] 
 + 
 +*** 1-1 VMware-server2.0採用の経緯 [#o0815f1d] 
 + 
 + 2年前、VMware-Server1.0を導入して「それなり」のネットワークを構築した公開環境。
Xoops Cube Legacyにブログモジュール(d3blog)、wikiレンダラーモードでの使用が増えて、動作が重く感じてきたため、ハードを再構成するとともに、VMware-server2.0にアップデートしました。 Xoops Cube Legacyにブログモジュール(d3blog)、wikiレンダラーモードでの使用が増えて、動作が重く感じてきたため、ハードを再構成するとともに、VMware-server2.0にアップデートしました。
-関連記事:[[なーお'nぶろぐ - [Linux] 双子の兄弟完成 + そこまでに至る間、Vmware-ESXiや、Virtualbox、KVM+QEMU などの他の仮想化実装を試してみました。
->/modules/dblog1/details.php?bid=165]]+
-* 2. 内部ネットワークと公開ネットワーク [#m2afb64b]++ ESXi 
 + ホストOSをインストールしないハイパーバイザー方式のVmware-ESX-serverの無償配布版。 確かに速度は速そうなのだが、ドライブシステムやネットワークカードなどのハードウエアを選ぶ(認識されないことが多い)し、有償のツールを購入しないとバックアップなどの操作に不都合があるので、見送り。 
 ++ Virtualbox 
 + デスクトップ用途では、なかなかの使い勝手で速度も速いほうだ。 ただ、ネットワークの仮想ブリッジの構築で躓くことが多く、今回は見送り。 
 ++ KVM+QEMU 
 + QEMU自体はとっても遅いのだが、その一部のソフト処理をLinuxカーネルモジュールに担当させることが可能で、速度アップが見込める。 (Intel)Hyper-Vか、(AMD)AMD-V 対応CPUを使って、対応Kernelモジュールの組み込まれたシステム上で稼動する。 
 + Ubuntu-8.10では、aptでパッケージインストールすることで使えたし、割とサクサク動くように感じたのだが、Virtualboxと同様にBridge接続に難があることと、速度差も期待したほど出なかったので見送った。 
 ++ VMware-server2.0 
 + WEBツール専用になってしまって使い勝手が宜しくないとか、仮想ゲストOSのkernelをアップデートするとゲスト上のVmware-toolsも再構築しないといけない、速度が出ないことがあるなど問題もあるが、ブリッジ接続は簡単だし、仮想ゲストOS1つならばチューニングにより速度もそこそこ出ることと、外部コマンドでの操作が可能なことから、これを採用した。
-** 2.1 ネットワーク構成 [#qc10c585]+*** 1-2 オンボードRAID [#g40c0b01]
-+ [siteurl=uploads/photos/7.jpg][siteimg align=right]uploads/thumbs/7.jpg[/siteimg][/siteurl]社内ネットワークと公開サーバーを置くネットワークとの完全分離は、会社規模の関係もありできませんが、間にブロードバンドルーターを配置することによりセグメントを分離し、通信の遮断をしています。 + オンボードのNvidia-Raid(NVRAID)を採用し、Raid-1(ミラーリング) DISK上にホストOSをインストールしました。 純粋なハードウエアRaidではなく、俗に「Fake-Raid」と呼ばれ、一部のソフト処理をホストOSで行う必要があります。 
-+ [[モーションクリエイト>http://www.motioncafe.net/modules/xpwiki/?%A5%E2%A1%BC%A5%B7%A5%E7%A5%F3%A5%AF%A5%EA%A5%A8%A5%A4%A5%C8]]社内PC(各社員使用)のインターネット接続に関しても、このブロードバンドルーターを経由し、念のため個人用回線側をゲートウエイとする構成となっています。+ Windows上では、マザーボード同梱のCD/DVD付属のソフト・ドライバで使用可能。 Linux上では、dmraidというドライバーソフトで動き、例えばubuntu-8.10ではインストールから使用可能なのだが、一度解列するとLinux上では復旧ができず、一旦Windowsで立ち上げて再構築後に再起動する必要がある。 
 + そんな面倒なことをしてでも、Linux-Raidよりは明らかに速度が速いので、今回採用した次第。 
 +DISK1台が壊れたときでも、もう1台のデータは特殊なフォーマットではなく、Linuxならext3などの通常フォーマットで記録されている、ということもデータ救済時にはメリット。 
 + 
 +*** 1-3 ホストOS: ubuntu-server8.10 [#a933e4dd] 
 + 
 + 今回、ホストOSは人気のubuntuに乗り換えました。 PPTP-VPNも使えるし、debian系譜なのでaptパッケージマネージャもRadhat系Vine-Linux同様に便利。  文字コードがutf-8になるのでEUC-JPなVineのゲストOSは簡単には乗り換えられませんが、ホストOSであれば大きな問題はありません。 
 + 何より、使用者がどんどん増えており、アップデートなどのサポートも信頼できそうです。 
 + server版でインストールし、デスクトップも入れた上で常時コンソールログインで使用しています。 
 + 
 +*** 1-4 当サイト内の関連記事 [#l566726c] 
 + 
 +以下に、構築までに試した仮想化システムの記録、チューニングの記録へのリンクを貼っておきます。 
 + 
 +- 2008-12-20 [[[仮想PC] KVM+QEMU on UbuntuでAMD-V>http:///modules/dblog1/details.php?bid=322]] 
 +- 2008-12-18 [[[仮想PC] VMware-Server2のチューニング>http:///modules/dblog1/details.php?bid=321]] 
 +- 2008-12-11 [[[Linux] NVRAIDの復旧テスト>http:///modules/dblog1/details.php?bid=319]] 
 +- 2008-12-8 [[[Linux] サーバー更新の方針決定!>http:///modules/dblog1/details.php?bid=318]] 
 +- 2008-12-7 [[[仮想PC] NHCでVMware~VirtualBox変換>http:///modules/dblog1/details.php?bid=317]
 +- 2008-12-2 [[[Linux] VMware-server2 on Ubuntu-8.10>http:///modules/dblog1/details.php?bid=316]
 +- 2008-12-2 [[[Linux] ESXサーバーとの格闘メモ1>http:///modules/dblog1/details.php?bid=315]] 
 +- 2008-11-25 [[[Linux] VMware ESXi ?>http:///modules/dblog1/details.php?bid=314]
 +- 2008-11-21 [[[Linux] 公開サーバーの更新計画!>http:///modules/dblog1/details.php?bid=313]
 + 
 +** 2. 内部ネットワークと公開ネットワーク [#m2afb64b] 
 + 
 +*** 2-1 ネットワーク構成 [#qc10c585] 
 + 
 + (IPアドレスは、架空のものです) 
 + 
 +#ref(System090103.gif,center,mw:240) 
 +#br 
 ++ 社内ネットワークと公開サーバーを置くネットワークとの完全分離は、会社規模の関係もありできませんが、間にブロードバンドルーターを配置することによりセグメントを分離し、通信の遮断をしています。 
 ++ [[モーションクリエイト>http://www.mc8.jp/X/modules/xpwiki/?%A5%E2%A1%BC%A5%B7%A5%E7%A5%F3%A5%AF%A5%EA%A5%A8%A5%A4%A5%C8]]社内PC(各社員使用)のインターネット接続に関しても、このブロードバンドルーターを経由し、念のため個人用回線側をゲートウエイとする構成となっています。
これらの構成により、インターネット側から社内ファイルサーバーへのアクセスはできません。 これらの構成により、インターネット側から社内ファイルサーバーへのアクセスはできません。
-** 2.2仮想マシン [#d98c4e48]+*** 2-2 実マシン [#y29161f8]
- 公開サーバーは実マシン上のVmware-Server仮想OSで運営しており、万一この仮想マシンがクラッキングされても、実マシン~内部ネットワーク侵略に及ぶまでの時間が稼げるため、緊急対応により最小限の被害で抑えることができます。 +**** 2-2-1写真 [#h248f08d]
-** 2.3実マシン [#y29161f8]+
-[siteurl=uploads/photos/6.jpg][siteimg align=right]uploads/thumbs/6.jpg[/siteimg][/siteurl] +|T:70% B:1 BC:#00ffff||c 
-・PC1(公開サーバー用:上側写真の左側) +|CENTER:写真左側 黒/銀マシン|CENTER:写真右側 白/銀マシン|h 
-|B:1||c +|CENTER:内部サーバー|CENTER:公開サーバー|
-|ケース|(Antec)[[SOLO W/O PSU>http://www.antec.com/world/jp/productDetails.php?ProdID=18500]][[ >http://www.antec.com/world/jp/productDetails.php?ProdID=18500]]| +
-|マザーボード|GIGABYTE:[[GA-8IG1000Pro-G>http://kakaku.com/prdsearch/detail.asp?PrdKey=05405011407]]:05年4月購入+
-|CPU|(Intel) [[Pentium4-2.8GHz/Bulk-sock478>http://kakaku.com/item/05100010008/]]| +
-|CPUクーラー|(Schythe) [[Infinity SCINF-1000>http://www.scythe.co.jp/cooler/infinity.html]]| +
-|ATX電源 |(Schythe)  [[GOURIKI>http://www.scythe.co.jp/power/gouriki.html]] 450A| +
-|メモリ|(IODATA) [[DR400 512MB(PC3200 ) x2枚組>http://www.iodata.jp/prod/memory/list/2003/dr400/index.htm]]| +
-|HDD|(Seagate) ST381021A 160GB: x2| +
-|CD-R drive|(Logitec)LCW-RW7424AK:5年前の流用品|+
-|B:1||c +#ref(2008server_after.jpg,center,mw:240,mh:240) 
-|ケース|(Antec)[[P150>http://www.antec.com/world/jp/productDetails.php?ProdID=81500]](430W-ATX高効率電源付)| +#br 
-|マザーボード|[[ASUS >http://www.asus.com.tw/products4.aspx?l1=3&l2=101&l3=0&model=1138&modelmenu=1]][[M2NPV-VM>http://www.asus.com.tw/products4.aspx?l1=3&l2=101&l3=0&model=1138&modelmenu=1]]  (MicroATX,AMD-64X2対応) &br;            オンボードグラフィック、オーンボードGbLAN+**** 2-2-2 公開サーバー  [#da2a5c2b] 
-|CPU| [[AMD Athron64 X2(DualCore) 3800+&font(bold){ };SocketAM2>http://kakaku.com/item/05100510994/]] (65W)| + 
-|CPUクーラー| (Schythe) [[ANDY SAMURAI MASTER SCASM-1000>http://kakaku.com/item/05125510821/]] &br;            +|T:70% B:1 BC:#00ccff||c 
-| メモリ| ノーブランド DDR2_800-1GBx2+|CENTER:ケース|(Antec)[[P150>http://www.antec.com/world/jp/productDetails.php?ProdID=81500]](430W-ATX高効率電源付)| 
-| HDD|(Seagate) ST3320620AS 320GB-SATA x2&br;             (日立IBM) HDT722525DLA380 (250G SATAII 7200)  x2 (仮想側LinuxでSoftware-Raid1)| +|CENTER:マザーボード|[[ASUS >http://www.asus.com.tw/products4.aspx?l1=3&l2=101&l3=0&model=1138&modelmenu=1]][[M2NPV-VM>http://www.asus.com.tw/products4.aspx?l1=3&l2=101&l3=0&model=1138&modelmenu=1]]  (MicroATX,AMD-64X2対応) &br;            オンボードグラフィック、オンボードGbLAN
-| DVDdrive| IODATA [[DVR-AN18GLB>http://www.iodata.jp/prod/storage/dvd/2006/dvr-an18gl/]]| +|CENTER:CPU|LEFT:[[AMD Athron64 X2(DualCore) 4850e SocketAM2>http://kakaku.com/item/05100511552/]] (45W)| 
-| Audioデバイス| ONKYO [[SE-90PCI>http://www.jp.onkyo.com/wavio/90pci/]] (旧PCから移植)&br;            (Lilith + Asio4ALL →光出力)|+|CPUクーラー|LEFT:(Schythe) [[ANDY SAMURAI MASTER SCASM-1000>http://kakaku.com/item/05125510821/]]| 
 +|CENTER:メモリ|LEFT:(elixir) DDR2 PC6400-2GBx2| 
 +|CENTER:HDD|(Western Digital) [[WD6400AAKS (640G SATA300 7200)>http://kakaku.com/item/05302515863/]] x2 + 予備 1 (オンボードNVRAIDでRaid1)| 
 +|CENTER:CDdrive|LEFT:(Creative)| 
 + 
 +#br 
 + 
 +**** 2-2-3 内部サーバー [#c360a90a] 
 + 
 +|T:70% B:1 BC:#00ffff||c 
 +|CENTER:ケース|(Antec)[[ SOLO W/O PSU>http://www.antec.com/world/jp/productDetails.php?ProdID=18500]]| 
 +|CENTER:マザーボード|[[ASUS>http://www.asus.com.tw/products4.aspx?l1=3&l2=101&l3=0&model=1138&modelmenu=1]] [[M3N78ーVM>http://kakaku.com/item/05402013478/]]  (MicroATX,AMD-64X2対応) &br;            オンボードグラフィック、オンボードGbLAN| 
 +|CENTER:CPU|[[AMD Athron64 X2(DualCore) 3800+&font(bold){ };SocketAM2>http://kakaku.com/item/05100510994/]] (65W)| 
 +|CENTER:CPUクーラー|(Schythe) [[ Infinity SCINF-1000>http://www.scythe.co.jp/cooler/infinity.html]]| 
 +|CENTER:ATX電源 |電源:(Scythe)[[ 剛力短 PLUG-IN GOUTAN-500-P>http://kakaku.com/item/05905511042/]]| 
 +|CENTER:メモリ|(IODATA) [[ DR400 1GB(PC3200 ) x2枚組>http://www.iodata.jp/prod/memory/list/2003/dr400/index.htm]]
 +|CENTER:HDD|(日立IBM) [[HDP725050GLA360 (500G SATA300 7200)>http://kakaku.com/item/05300415846/]]&br;(Western Digital) [[WD10EADS 1TB SATA300>http://kakaku.com/item/05302515949/]] (1TB SATAII 5400)  x2 (仮想側LinuxでSoftware-Raid1)| 
 +|DVDdrive|IODATA [[DVR-AN18GLB>http://www.iodata.jp/prod/storage/dvd/2006/dvr-an18gl/]]| 
 +|CENTER:Audioデバイス|ONKYO [[SE-90PCI>http://www.jp.onkyo.com/wavio/90pci/]] (旧PCから移植)&br;            (Lilith + Asio4ALL →光出力)| 
 + 
 +**** 2-2-4 その他 [#n4d62fa4]
-・その他 
・ホーム用BBルーター:(Buffalo) [[BBR-4HG>http://buffalo.jp/products/catalog/item/b/bbr-4hg/index.html]] ・ホーム用BBルーター:(Buffalo) [[BBR-4HG>http://buffalo.jp/products/catalog/item/b/bbr-4hg/index.html]]
-** 2.4 公開サーバーのサービス [#u6dba0b0] 
-+ 公開中のサービスとポート +*** 2-3 仮想マシン [#d98c4e48] 
-公開サーバーでは、主に以下のサービスとポート開放をしています。 + 
-攻撃対象に成りやすいポート(telnetやsshなど)は閉じてあります。+ 公開サーバーは実マシン上のVmware-Server仮想OSで運営しており、万一この仮想マシンがクラッキングされても、実マシン~内部ネットワーク侵略に及ぶまでの時間が稼げるため、緊急対応により最小限の被害で抑えることができます。 また、仮想OSごと仮想DISK丸ごとバックアップ可能なことから、障害時の復旧も速くなります。 仮想OSには、Vine Linux 4.2 を使用しています。  
 + 
 +*** 2-4 公開サーバーのサービス [#u6dba0b0] 
 + 
 +**** 2-4-1 公開中のサービスとポート [#r00ca9d6] 
 + 
 +公開サーバーでは、主に以下のサービスとポート開放をしています。&br;攻撃対象に成りやすいポート(telnetやsshなど)は閉じてあります。 
-- WEBサービス -- WEBサービス
-- FTPサービス(SSL暗号化) -- FTPサービス(SSL暗号化)
-- smtp、popメールサービス(SSL暗号化) -- smtp、popメールサービス(SSL暗号化)
-- DNS -- DNS
-+ 各サービス + 
-++ 自 社運営のWEBサービスでは、必要に応じてSSL接続を行い、成りすましなどによるサイトの乗っ取りや通信傍受などに対処します。 また、掲示 板等でのHTML記述を基本的に禁止し、クロスサイトスクリプティングへの予防処置とます。 各サイトにDoS攻撃などに対処するソフトを使用し、クラッ キングからの防御を図ります。+**** 2-4-2 各サービス [#z07b0b15] 
 + 
 +++ 自社運営のWEBサービスでは、必要に応じてSSL接続を行い、成りすましなどによるサイトの乗っ取りや通信傍受などに対処します。 また、掲示 板等でのHTML記述を基本的に禁止し、クロスサイトスクリプティングへの予防処置とます。 各サイトにDoS攻撃などに対処するソフトを使用し、クラッ キングからの防御を図ります。
++  FTPサービスでは、SSL/TLS暗号化を必須としており、通信の暗号化により成りすましなどによるサイトの乗っ取りを予防します。 ++  FTPサービスでは、SSL/TLS暗号化を必須としており、通信の暗号化により成りすましなどによるサイトの乗っ取りを予防します。
++  メールサービスでは、popサーバー接続にSSL暗号化(任意)を選択し、通信傍受などに対して情報の漏洩を予防します。 ++  メールサービスでは、popサーバー接続にSSL暗号化(任意)を選択し、通信傍受などに対して情報の漏洩を予防します。
-** 2.3 内部ネットワークの無線LAN [#o409455c]+**** 2-4-3 移行したサーバー上での公開サイト [#f220db5e] 
 + 今回移行した仮想サーバー上で稼動している公開サイトは、以下になります。 え? ADSL回線1本には多すぎるって? ・・いえいえ、今回のサーバーのバージョンアップで、まだ増やせそうな気がしています。  :hammer: 
 + 
 ++ [[なーお'nWEB>http://www.naaon.com/]] (ここですね) 
 ++ [[(有)モーションクリエイト>http://www.mc8.jp/X/]] 
 ++ [[Motion cafe>http://www.motioncafe.net/]] 
 ++ [[モバイルテンプハウス>http://www.mc8.jp/HD/]] 
 ++ [[蘇我みくすクラブ>http://www.sogamics.com/]]/[[さんぶクラブ別館>http://www.sanbuclub.com/]] 
 ++ [[みやこどりソフトテニスクラブ>http://st.miyakodori.net/]] 
 ++ [[積層スピーカーの会>http://www.sekisou.org/]] 
 ++ [[Lafesta cafe.>http://www.lafestacafe.com/]] 
 ++ [[注文住宅と不動産の裏話>http://www.haruo-web.com/]] 
 +その他に非公開いくつか・・ 
 + 
 +**** 2-4-4 内部ネットワークの無線LAN [#o409455c]
利便性の面から無線LANを使用しています。(上記構成図にはありませんが、BBルーターの内部側セグメント)  接続にはWEPキーによる暗号化を使用し、不特定他者の接続は不許可とし、セキュリティーを確保しています。 利便性の面から無線LANを使用しています。(上記構成図にはありませんが、BBルーターの内部側セグメント)  接続にはWEPキーによる暗号化を使用し、不特定他者の接続は不許可とし、セキュリティーを確保しています。
 +
 +#navi(inc/linux)
トップ   差分 バックアップ 複製 名前変更 リロード印刷に適した表示   ページ新規作成 全ページ一覧 単語検索 最新ページの一覧   ヘルプ   最新ページのRSS 1.0 最新ページのRSS 2.0 最新ページのRSS Atom Powered by xpWiki
ぺージ情報
ぺージ名 :inc/linux/net090103
ページ別名 :未設定
ページ作成 :なーお
閲覧可
グループ :すべての訪問者
ユーザー :すべての訪問者
編集可
グループ :なし
ユーザー :なし
Counter: 2958, today: 1, yesterday: 0

サイト管理: 管理人