inc​/linux​/net090103 :: なーおんWEB

自作ＰＣ・家庭内ネットワーク update 2009/01/03 ^[2]

過去ログ ^[3]

　ネットワーク環境（旧３：2006/12）^[4]
　ネットワーク環境（旧２：2004/01）^[5]
　ネットワーク環境（旧１：2000/12）^[6]

１．概要 ^[7]

1-1 VMware-server2.0採用の経緯 ^[8]

　２年前、VMware-Server1.0を導入して「それなり」のネットワークを構築した公開環境。
Xoops^[9] Cube Legacyにブログモジュール（d3blog）、wikiレンダラーモードでの使用が増えて、動作が重く感じてきたため、ハードを再構成するとともに、VMware-server2.0にアップデートしました。

　そこまでに至る間、Vmware-ESXiや、Virtualbox、KVM+QEMU　などの他の仮想化実装を試してみました。

1. ESXi
   　ホストＯＳをインストールしないハイパーバイザー方式のVmware-ESX-serverの無償配布版。　確かに速度は速そうなのだが、ドライブシステムやネットワークカードなどのハードウエアを選ぶ（認識されないことが多い）し、有償のツールを購入しないとバックアップなどの操作に不都合があるので、見送り。
2. Virtualbox
   　デスクトップ用途では、なかなかの使い勝手で速度も速いほうだ。　ただ、ネットワークの仮想ブリッジの構築で躓くことが多く、今回は見送り。
3. KVM+QEMU
   　ＱＥＭＵ自体はとっても遅いのだが、その一部のソフト処理をＬｉｎｕｘカーネルモジュールに担当させることが可能で、速度アップが見込める。　（Ｉｎｔｅｌ）Hyper-Vか、（ＡＭＤ）ＡＭＤ－Ｖ　対応CPUを使って、対応Kernelモジュールの組み込まれたシステム上で稼動する。
   　Ubuntu-8.10では、aptでパッケージインストールすることで使えたし、割とサクサク動くように感じたのだが、Virtualboxと同様にＢｒｉｄｇｅ接続に難があることと、速度差も期待したほど出なかったので見送った。
4. VMware-server2.0
   　ＷＥＢツール専用になってしまって使い勝手が宜しくないとか、仮想ゲストOSのkernelをアップデートするとゲスト上のVmware-toolsも再構築しないといけない、速度が出ないことがあるなど問題もあるが、ブリッジ接続は簡単だし、仮想ゲストOS１つならばチューニングにより速度もそこそこ出ることと、外部コマンドでの操作が可能なことから、これを採用した。

1-2 オンボードRAID ^[10]

　オンボードのNvidia-Raid（NVRAID）を採用し、Raid-1（ミラーリング） DISK上にホストＯＳをインストールしました。　純粋なハードウエアRaidではなく、俗に「Fake-Raid」と呼ばれ、一部のソフト処理をホストＯＳで行う必要があります。
　Windows上では、マザーボード同梱のＣＤ／ＤＶＤ付属のソフト・ドライバで使用可能。　Linux上では、dmraidというドライバーソフトで動き、例えばubuntu-8.10ではインストールから使用可能なのだが、一度解列するとLinux上では復旧ができず、一旦Windowsで立ち上げて再構築後に再起動する必要がある。
　そんな面倒なことをしてでも、Linux-Raidよりは明らかに速度が速いので、今回採用した次第。
DISK１台が壊れたときでも、もう１台のデータは特殊なフォーマットではなく、Linuxならext3などの通常フォーマットで記録されている、ということもデータ救済時にはメリット。

1-3 ホストＯＳ：　ubuntu-server8.10 ^[11]

　今回、ホストＯＳは人気のubuntuに乗り換えました。　PPTP-VPNも使えるし、debian系譜なのでaptパッケージマネージャもRadhat系Vine-Linux同様に便利。　　文字コードがutf-8になるのでEUC-JPなVineのゲストＯＳは簡単には乗り換えられませんが、ホストＯＳであれば大きな問題はありません。
　何より、使用者がどんどん増えており、アップデートなどのサポートも信頼できそうです。
　server版でインストールし、デスクトップも入れた上で常時コンソールログインで使用しています。

1-4 当サイト内の関連記事 ^[12]

以下に、構築までに試した仮想化システムの記録、チューニングの記録へのリンクを貼っておきます。

• 2008-12-20 [仮想PC] KVM+QEMU on UbuntuでAMD-V^[13]
• 2008-12-18 [仮想PC] VMware-Server2のチューニング^[14]
• 2008-12-11 [Linux] NVRAIDの復旧テスト^[15]
• 2008-12-8 [Linux] サーバー更新の方針決定！^[16]
• 2008-12-7 [仮想ＰＣ] NHCでVMware～VirtualBox変換^[17]
• 2008-12-2 [Linux] VMware-server2 on Ubuntu-8.10^[18]
• 2008-12-2 [Linux] ESXサーバーとの格闘メモ１^[19]
• 2008-11-25 [Linux] VMware ESXi ？^[20]
• 2008-11-21 [Linux] 公開サーバーの更新計画！^[21]

2. 内部ネットワークと公開ネットワーク ^[22]

2-1 ネットワーク構成 ^[23]

　（IPアドレスは、架空のものです）

^[24]

1. 社内ネットワークと公開サーバーを置くネットワークとの完全分離は、会社規模の関係もありできませんが、間にブロードバンドルーターを配置することによりセグメントを分離し、通信の遮断をしています。
2. モーションクリエイト^[25]社内ＰＣ（各社員使用）のインターネット接続に関しても、このブロードバンドルーターを経由し、念のため個人用回線側をゲートウエイとする構成となっています。
   これらの構成により、インターネット側から社内ファイルサーバーへのアクセスはできません。

2-2 実マシン ^[26]

2-2-1写真 ^[27]

^[28]

2-2-2 公開サーバー　 ^[29]

2-2-3 内部サーバー ^[35]

2-2-4 その他 ^[46]

・ホーム用BBルーター：（Buffalo）　BBR-4HG^[47]

2-3 仮想マシン ^[48]

　公開サーバーは実マシン上のVmware-Server仮想ＯＳで運営しており、万一この仮想マシンがクラッキングされても、実マシン～内部ネットワーク侵略に及ぶまでの時間が稼げるため、緊急対応により最小限の被害で抑えることができます。　また、仮想ＯＳごと仮想ＤＩＳＫ丸ごとバックアップ可能なことから、障害時の復旧も速くなります。　仮想ＯＳには、Vine Linux 4.2　を使用しています。　

2-4 公開サーバーのサービス ^[49]

2-4-1 公開中のサービスとポート ^[50]

公開サーバーでは、主に以下のサービスとポート開放をしています。
攻撃対象に成りやすいポート（telnetやsshなど）は閉じてあります。

• • WEBサービス
  • FTPサービス（SSL暗号化）
  • smtp、popメールサービス（SSL暗号化）
  • DNS

2-4-2 各サービス ^[51]

1. 1. 自社運営のWEBサービスでは、必要に応じてSSL接続を行い、成りすましなどによるサイトの乗っ取りや通信傍受などに対処します。　また、掲示 板等でのHTML記述を基本的に禁止し、クロスサイトスクリプティングへの予防処置とます。　各サイトにDoS攻撃などに対処するソフトを使用し、クラッ キングからの防御を図ります。
   2. 　FTPサービスでは、SSL/TLS暗号化を必須としており、通信の暗号化により成りすましなどによるサイトの乗っ取りを予防します。
   3. 　メールサービスでは、popサーバー接続にSSL暗号化（任意）を選択し、通信傍受などに対して情報の漏洩を予防します。

2-4-3 移行したサーバー上での公開サイト ^[52]

　今回移行した仮想サーバー上で稼動している公開サイトは、以下になります。　え？　ADSL回線１本には多すぎるって？　・・いえいえ、今回のサーバーのバージョンアップで、まだ増やせそうな気がしています。　

1. なーお'nWEB^[53]　（ここですね）
2. (有)モーションクリエイト^[54]
3. Motion cafe^[55]
4. モバイルテンプハウス^[56]
5. 蘇我みくすクラブ^[57]／さんぶクラブ別館^[58]
6. みやこどりソフトテニスクラブ^[59]
7. 積層スピーカーの会^[60]
8. Lafesta cafe.^[61]
9. 注文住宅と不動産の裏話^[62]
   その他に非公開いくつか・・

2-4-4 内部ネットワークの無線LAN ^[63]

利便性の面から無線LANを使用しています。（上記構成図にはありませんが、BBルーターの内部側セグメント）　　接続にはWEPキーによる暗号化を使用し、不特定他者の接続は不許可とし、セキュリティーを確保しています。

• Prev^[64]
• Next^[65]
• inc​/linux^[66]