Page Top

1.概要 anchor.png

Page Top

1-1 VMware-server2.0採用の経緯 anchor.png

 2年前、VMware-Server1.0を導入して「それなり」のネットワークを構築した公開環境。
Xoops Cube Legacyにブログモジュール(d3blog)、wikiレンダラーモードでの使用が増えて、動作が重く感じてきたため、ハードを再構成するとともに、VMware-server2.0にアップデートしました。

 そこまでに至る間、Vmware-ESXiや、Virtualbox、KVM+QEMU などの他の仮想化実装を試してみました。

  1. ESXi
     ホストOSをインストールしないハイパーバイザー方式のVmware-ESX-serverの無償配布版。 確かに速度は速そうなのだが、ドライブシステムやネットワークカードなどのハードウエアを選ぶ(認識されないことが多い)し、有償のツールを購入しないとバックアップなどの操作に不都合があるので、見送り。
  2. Virtualbox
     デスクトップ用途では、なかなかの使い勝手で速度も速いほうだ。 ただ、ネットワークの仮想ブリッジの構築で躓くことが多く、今回は見送り。
  3. KVM+QEMU
     QEMU自体はとっても遅いのだが、その一部のソフト処理をLinuxカーネルモジュールに担当させることが可能で、速度アップが見込める。 (Intel)Hyper-Vか、(AMD)AMD-V 対応CPUを使って、対応Kernelモジュールの組み込まれたシステム上で稼動する。
     Ubuntu-8.10では、aptでパッケージインストールすることで使えたし、割とサクサク動くように感じたのだが、Virtualboxと同様にBridge接続に難があることと、速度差も期待したほど出なかったので見送った。
  4. VMware-server2.0
     WEBツール専用になってしまって使い勝手が宜しくないとか、仮想ゲストOSのkernelをアップデートするとゲスト上のVmware-toolsも再構築しないといけない、速度が出ないことがあるなど問題もあるが、ブリッジ接続は簡単だし、仮想ゲストOS1つならばチューニングにより速度もそこそこ出ることと、外部コマンドでの操作が可能なことから、これを採用した。
Page Top

1-2 オンボードRAID anchor.png

 オンボードのNvidia-Raid(NVRAID)を採用し、Raid-1(ミラーリング) DISK上にホストOSをインストールしました。 純粋なハードウエアRaidではなく、俗に「Fake-Raid」と呼ばれ、一部のソフト処理をホストOSで行う必要があります。
 Windows上では、マザーボード同梱のCD/DVD付属のソフト・ドライバで使用可能。 Linux上では、dmraidというドライバーソフトで動き、例えばubuntu-8.10ではインストールから使用可能なのだが、一度解列するとLinux上では復旧ができず、一旦Windowsで立ち上げて再構築後に再起動する必要がある。
 そんな面倒なことをしてでも、Linux-Raidよりは明らかに速度が速いので、今回採用した次第。
DISK1台が壊れたときでも、もう1台のデータは特殊なフォーマットではなく、Linuxならext3などの通常フォーマットで記録されている、ということもデータ救済時にはメリット。

Page Top

1-3 ホストOS: ubuntu-server8.10 anchor.png

 今回、ホストOSは人気のubuntuに乗り換えました。 PPTP-VPNも使えるし、debian系譜なのでaptパッケージマネージャもRadhat系Vine-Linux同様に便利。  文字コードがutf-8になるのでEUC-JPなVineのゲストOSは簡単には乗り換えられませんが、ホストOSであれば大きな問題はありません。
 何より、使用者がどんどん増えており、アップデートなどのサポートも信頼できそうです。
 server版でインストールし、デスクトップも入れた上で常時コンソールログインで使用しています。

Page Top

1-4 当サイト内の関連記事 anchor.png

以下に、構築までに試した仮想化システムの記録、チューニングの記録へのリンクを貼っておきます。

Page Top

2. 内部ネットワークと公開ネットワーク anchor.png

Page Top

2-1 ネットワーク構成 anchor.png

 (IPアドレスは、架空のものです)

System090103.gif
 
  1. 社内ネットワークと公開サーバーを置くネットワークとの完全分離は、会社規模の関係もありできませんが、間にブロードバンドルーターを配置することによりセグメントを分離し、通信の遮断をしています。
  2. モーションクリエイト社内PC(各社員使用)のインターネット接続に関しても、このブロードバンドルーターを経由し、念のため個人用回線側をゲートウエイとする構成となっています。
    これらの構成により、インターネット側から社内ファイルサーバーへのアクセスはできません。
Page Top

2-2 実マシン anchor.png

Page Top
2-2-1写真 anchor.png
写真左側 黒/銀マシン写真右側 白/銀マシン
内部サーバー公開サーバー

2008server_after.jpg
 
Page Top
2-2-2 公開サーバー  anchor.png
ケース(Antec)P150(430W-ATX高効率電源付)
マザーボードASUS M2NPV-VM (MicroATX,AMD-64X2対応)
オンボードグラフィック、オンボードGbLAN
CPUAMD Athron64 X2(DualCore) 4850e SocketAM2 (45W)
CPUクーラー(Schythe) ANDY SAMURAI MASTER SCASM-1000
メモリ(elixir) DDR2 PC6400-2GBx2
HDD(Western Digital) WD6400AAKS (640G SATA300 7200) x2 + 予備 1 (オンボードNVRAIDでRaid1)
CDdrive(Creative)

 
Page Top
2-2-3 内部サーバー anchor.png
ケース(Antec) SOLO W/O PSU
マザーボードASUS M3N78ーVM (MicroATX,AMD-64X2対応)
オンボードグラフィック、オンボードGbLAN
CPUAMD Athron64 X2(DualCore) 3800+ SocketAM2 (65W)
CPUクーラー(Schythe) Infinity SCINF-1000
ATX電源 電源:(Scythe) 剛力短 PLUG-IN GOUTAN-500-P
メモリ(IODATA) DR400 1GB(PC3200 ) x2枚組
HDD(日立IBM) HDP725050GLA360 (500G SATA300 7200)
(Western Digital) WD10EADS 1TB SATA300 (1TB SATAII 5400)  x2 (仮想側LinuxでSoftware-Raid1)
DVDdriveIODATA DVR-AN18GLB
AudioデバイスONKYO SE-90PCI (旧PCから移植)
(Lilith + Asio4ALL →光出力)

Page Top
2-2-4 その他 anchor.png

・ホーム用BBルーター:(Buffalo) BBR-4HG

Page Top

2-3 仮想マシン anchor.png

 公開サーバーは実マシン上のVmware-Server仮想OSで運営しており、万一この仮想マシンがクラッキングされても、実マシン~内部ネットワーク侵略に及ぶまでの時間が稼げるため、緊急対応により最小限の被害で抑えることができます。 また、仮想OSごと仮想DISK丸ごとバックアップ可能なことから、障害時の復旧も速くなります。 仮想OSには、Vine Linux 4.2 を使用しています。 

Page Top

2-4 公開サーバーのサービス anchor.png

Page Top
2-4-1 公開中のサービスとポート anchor.png

公開サーバーでは、主に以下のサービスとポート開放をしています。
攻撃対象に成りやすいポート(telnetやsshなど)は閉じてあります。

    • WEBサービス
    • FTPサービス(SSL暗号化)
    • smtp、popメールサービス(SSL暗号化)
    • DNS
Page Top
2-4-2 各サービス anchor.png
    1. 自社運営のWEBサービスでは、必要に応じてSSL接続を行い、成りすましなどによるサイトの乗っ取りや通信傍受などに対処します。 また、掲示 板等でのHTML記述を基本的に禁止し、クロスサイトスクリプティングへの予防処置とます。 各サイトにDoS攻撃などに対処するソフトを使用し、クラッ キングからの防御を図ります。
    2.  FTPサービスでは、SSL/TLS暗号化を必須としており、通信の暗号化により成りすましなどによるサイトの乗っ取りを予防します。
    3.  メールサービスでは、popサーバー接続にSSL暗号化(任意)を選択し、通信傍受などに対して情報の漏洩を予防します。
Page Top
2-4-3 移行したサーバー上での公開サイト anchor.png

 今回移行した仮想サーバー上で稼動している公開サイトは、以下になります。 え? ADSL回線1本には多すぎるって? ・・いえいえ、今回のサーバーのバージョンアップで、まだ増やせそうな気がしています。  :hammer:

  1. なーお'nWEB (ここですね)
  2. (有)モーションクリエイト
  3. Motion cafe
  4. モバイルテンプハウス
  5. 蘇我みくすクラブさんぶクラブ別館
  6. みやこどりソフトテニスクラブ
  7. 積層スピーカーの会
  8. Lafesta cafe.
  9. 注文住宅と不動産の裏話
    その他に非公開いくつか・・
Page Top
2-4-4 内部ネットワークの無線LAN anchor.png

利便性の面から無線LANを使用しています。(上記構成図にはありませんが、BBルーターの内部側セグメント)  接続にはWEPキーによる暗号化を使用し、不特定他者の接続は不許可とし、セキュリティーを確保しています。



Front page   Freeze Diff Backup Copy Rename ReloadPrint View   New Page Page list Search Recent changes   Help   RSS of recent changes (RSS 1.0) RSS of recent changes (RSS 2.0) RSS of recent changes (RSS Atom) Powered by xpWiki
Counter: 2303, today: 2, yesterday: 0
Princeps date: 2009-01-03 (Sat) 12:03:06
Last-modified: 2009-01-03 (Sat) 15:40:40 (JST) (35d) by naao