2019年09月21日(土) - 22:31 | カテゴリ:
Network
自鯖のバックボーンを刷新する為に、VyOSの検証を進めているのだが、
最新版となるv1.2.3のISOイメージがなかったのでビルドしてみた。
とは言っても、公式wikiでビルド手順が公開されているので、
Linux環境さえ手元にあれば簡単にビルドする事が出来る。
筆者の場合、ThinkPad x250にインストールしたLinuxMintを使ってビルドしたが、
2~3時間程度で作業が完了した。
手順は下記の通り。ビルドにはdocker環境が必要になるが、
“apt/yum/zypper” 辺りのパッケージ管理を使ってインストールすれば良い。
その上で、次のコマンドを実行するとISOイメージが “build” フォルダに生成される。
# git clone https://github.com/vyos/vyos-build
# cd vyos-build
# docker build -t vyos-builder docker
# docker run --rm -it --privileged -v $(pwd):/vyos -w /vyos vyos-builder bash
---
$ ./configure --build-by postmaster@example.com --build-type release --version 1.2.X
$ sudo make iso
$ exit
|
注意点は、バージョン指定の箇所。従来は様々なバージョンを指定出来た見たいだが、
現在は正式リリースがv1.2系のみなので、実際には1.2しか指定する事が出来ない。
ただ、ビルドタイプをリリースにした上でバージョンも指定すると、
“show version” を実行した時に出力されるバージョン番号を書き換える事が出来る。
実環境だとバージョンが判らないのは困るので、
一番近いメンテナンスバージョン番号を入力すれば良いと思う。
………
打ち込むコマンドを下記の様に変更するとブランチ指定が可能となり、
mainブランチが1.3系でも、バージョン1.2を指定出来る事が判ったので追記。
この方法が公式ドキュメントでも公開されたので、最新のやり方はそちらを参照。
# git clone -b crux --single-branch https://github.com/vyos/vyos-build vyos-build-1.2.X
# cd vyos-build-1.2.X
# docker build -t vyos/vyos-build:crux docker
# docker run --rm -it --privileged -v $(pwd):/vyos -w /vyos vyos/vyos-build:crux bash
---
$ ./configure --build-by postmaster@example.com --build-type release --version 1.2.X
$ sudo make iso
$ exit
|
………
IPv6周りにバグが残っているのが残念だが、今後修正されると思うので待つべし。
Cisco機器・Juniper機器を弄れる技術があれば、VyOSも簡単に弄る事が出来る。
昨今だとAWSマーケットプレイスでも提供されている位なので、今後は利用シーンが増えていくかも。
2019年08月24日(土) - 22:35 | カテゴリ:
Network
“ns-lab BB”のIPv6アドレスはHurricaneElectricからトンネルで調達している為、
接続点となるゲートウェイにはGREトンネルを張れるJuniperSRXを採用している。
年開けにルータが1回不機嫌になったのだが当時はその場で復旧させて様子見をしていたが、
先日の夏コミが終わり一段落した辺りで、このルータが故障して起動しなくなった。
別途出力しているログを解析した所、Junosを保存しているファイルシステムが吹っ飛び、
リカバリすら処理出来ない状態になった結果、
リカバリの再起動がスタックして通信出来なくなっている事が判明した。
メール鯖・DNS鯖は自宅とVPSでハイブリッド構成にしているので、
AAAAレコードをDNSゾーンから消す事で障害復旧したが、
DigiLoog含むWEB鯖は自宅サーバで稼働している事もあり、IPv6接続経路がないのは致命的だった。
さらに、ノートPC・スマホ用にIPv6のみを専用に喋るAPも動いており、
ルータが壊れるとInternetも見れなくなる環境がある為、IPv6接続環境を早めに修復する必要があった。
………
いくら嘆いても、壊れた物が直る訳では無いので代替手段を即検討開始。
上がったのは、
- 従来通りJuniperSRXを利用
- VyOSで仮想ルータ化
- IIJ SEILなど他ルータを入れて環境リプレース
の3択。
最後まで迷ったのだが、VyOSを動かせるリソースが仮想サーバ基板に無い事と、
他ルータに入れ替える際のH/W選定も出来ていなかったので、従来通りJuniperSRXを購入する事にした。
という事で、Juniper SRX100H2を2台買って来た。
常時稼働しているのは1台だが、以前から検証用途にも使いたかった為、今回を機に2台にした。
ちなみに、今まで稼働していた機種を正確に書くと「Juniper SRX100B」
今回購入したのは、マイナーチェンジ版となる「Juniper SRX100H2」となる。
SRX100シリーズは基本スペックに違いは無いのだが、
搭載しているメモリ・フラッシュ容量が下記の通り拡張されていたり、
サポートしているJunosバージョンが上がっていたりする。
| Model |
DRAM |
FLASH |
| Juniper SRX100B |
512MB |
1024MB |
| Juniper SRX100H |
1024MB |
1024MB |
| Juniper SRX100H2 |
2048MB |
2048MB |
今回は、SRX100シリーズの最終モデルとなるSRX100H2を購入した事もあり、
公式サポート中の12.3X48-D85以降を稼働させる事も出来るが、大きなメリットの一つとなる。
………
左:Juniper SRX100B
右:Juniper SRX100H2
基板レベルだと搭載パーツに違いがほぼ無く、チップのマイナーバージョン上がっているのみに見える。
それ以外だと、SRX100Bのメーカーロゴはジュニパーの木を模した古いロゴとなっている点と、
メーカーロゴに近くに制御用COMピンヘッダが半田付けされている事くらい。
という事で、H/Wレベルの大きな違いが無い事も判ったので、
バックアップコンフィグを使って設定リストアを実施。
Junosのメジャーバージョンが12.1から12.3に上がった点が気になったが、
コマンドを投入したら問題無くバックアップコンフィグを認識した。
………
以前は自宅NW基盤をH/Wレベルで冗長化している時期もあったが、
電気代がバカにならないので数年前にシングル構成に直した所、今回のルータ故障が直撃した。
とは言っても、普段は使わない機種を電源いれっぱなしにするのも辛い昨今なので、
同機種を検証機として使い回す事で一種の「コールドスタンバイ」とする事にした。
最近はネットワーク系から少し離れているので、そろそろNW層の追っ掛けも再開したい所。
ネットワーク仮想化・サービスチェイニングの概念が今後は出てきそうなので、
この辺りを今回購入したルータを使って構築出来るかチャレンジするのも良さそう。
技術ネタを追いかけるのは大変な事もあるが、
実環境に即反映出来る楽しい分野でもあるので精進したいと思う。
« 続きを隠す
2019年04月06日(土) - 21:48 | カテゴリ:
Network
“ns-lab BB”では、Webサーバ用と権威DNSサーバ用の2回線を使っているが、
4月5日早朝に両回線ともにメンテナンスでダウンした。
当初、Webサーバ用回線のメンテナンスしか頭に入っていなかったので少し焦ったが、
蓋を開けたら収容局の回線借用影響だった。
一方、自宅のコアルータではトラッキングとPBRを組み合わせる事で片回線が落ちた時、
もう片方に切り替わるようにルーティング制御も行っており、
グローバルIPを固定化する必要が無い通信は動的に切り替わる構成になっている。
という事で、ルータ変更以来久々に自鯖NW回線が全断したのでルータログを追いかけてみた。
ちなみに、”ns-lab BB”コアルータの構成は下記の様になっている。
コアルータから各ISP越しに2箇所ずつtrackingを仕掛け、ISP越しの通信が全断したらtrackingを落とす。
ファイアウォールはあえてISP毎に1台ずつ設ける事で、セッション増にも対応出来る様にしてある。
今回、収容局近くの回線借用だった為、結局はISPへ接続する事が出来なくなり、
回線が一時的に落ちる形になった。
この回線が全部落ちた時のログがこちら。”boolean or”も仕掛けているので綺麗に6個が落ちた。
Apr 5 03:56:47 Router 563: Apr 5 03:56:46.555 JST: %TRACK-6-STATE: 110 ip sla 1110 reachability Up -> Down
Apr 5 03:56:47 Router 564: Apr 5 03:56:46.555 JST: %TRACK-6-STATE: 120 ip sla 1120 reachability Up -> Down
Apr 5 03:56:47 Router 565: Apr 5 03:56:46.555 JST: %TRACK-6-STATE: 210 ip sla 1210 reachability Up -> Down
Apr 5 03:56:47 Router 566: Apr 5 03:56:46.555 JST: %TRACK-6-STATE: 220 ip sla 1220 reachability Up -> Down
Apr 5 03:56:47 Router 567: Apr 5 03:56:46.571 JST: %TRACK-6-STATE: 100 list boolean or Up -> Down
Apr 5 03:56:47 Router 568: Apr 5 03:56:46.571 JST: %TRACK-6-STATE: 200 list boolean or Up -> Down |
逆に復活した時は下記の通り。今回の借用時間は100~150分だったのだが、
実際には30分程度で工事が完了したのか、無事に接続が復活した。
Apr 5 04:25:58 Router 569: Apr 5 04:25:57.061 JST: %TRACK-6-STATE: 110 ip sla 1110 reachability Down -> Up
Apr 5 04:25:58 Router 570: Apr 5 04:25:57.061 JST: %TRACK-6-STATE: 120 ip sla 1120 reachability Down -> Up
Apr 5 04:25:58 Router 571: Apr 5 04:25:57.061 JST: %TRACK-6-STATE: 210 ip sla 1210 reachability Down -> Up
Apr 5 04:25:58 Router 572: Apr 5 04:25:57.061 JST: %TRACK-6-STATE: 220 ip sla 1220 reachability Down -> Up
Apr 5 04:25:58 Router 573: Apr 5 04:25:57.061 JST: %TRACK-6-STATE: 100 list boolean or Down -> Up
Apr 5 04:25:58 Router 574: Apr 5 04:25:57.061 JST: %TRACK-6-STATE: 200 list boolean or Down -> Up |
ルーティングの方も無事に切り替わっていたのだが、こちらはログがかなり多いので割愛。
ip trackingは挙動がわかりやすいので本業でも使う事が多いのだが、
監視元・NW経路・監視先を全部把握していないと痛い目を見るのが怖い所。
今回も、ISP-A(Webサーバ用回線)のメンテナンス情報は最初から知っていたのだが、
ログを見たらISP-B(権威DNSサーバ用回線)経由のtrackingも落ちていたので、
設定をミスってしまったのか1時間程度コンフィグを追いかける事になった _(:3」∠)_
意外と綺麗にログが取れる物で、trackingログとルーティングの遷移ログをsplunkとかに入れて、
縦串の相関分析をかけると面白い遷移図を出す事が出来る。
“ns-lab BB”はサーバに比重を置いているので、NWログ取得はそこまでやっていないが、
今後はこの辺りにも目を向けつつサーバのオートメーションと、
NWの遷移切り替えを図に出来ると面白いかもしれない。
« 続きを隠す
