DigiLoog

続きを読む »

NSDのビルド方法などはコチラ

“ns-lab BB”のインターネット向け権威DNSは、gdnsdを使ってグローバルロードバランサも兼任している。
また、DNSクエリログを解析する事でFW自動遮断をしているので、クエリログ取得も必須要件となる。
この課題を解決する為に、フロントエンドにdnsdistを使ってクエリログを取得しつつ、
グローバルロードバランサ用のサブドメインクエリのみgdnsdに曲げる設計となっている。

NSDはソースを改造しないとDNSクエリログを取得出来ないのだが、
同様にクエリログを取れない、gdnsd・dnsdist構成を作ってあったので問題を解決出来そうだった。

という事で、今回の権威DNS構成変更によって最終的に上の構成になった。

“ns-lab BB”のインターネット向け権威DNSは、
IPv4/IPv6でデュアルスタックにしつつ合計4台で負荷分散をしているのだが、
内部では2台1セットで運用しており、セット毎に稼働OSとkernelチューニングを変えている。

今回は2台1セットを維持しつつ、1セット内でBINDメインとNSDメインを用意した。
さらにバックエンドにNSDとBINDをバックアップとして構えておき、dnsdistで転送先を切り替えられる様にした。
この構成にする事で、BINDやNSDが脆弱性で落ちたとしても1～3秒程度で互いのバックアップに切り替わり、
権威DNS停止から来る名前解決待ちや正常系への再問い合わせ遅延が発生しにくくなった。
また、フォールバックする様にしておく事により、サーバメンテナンス時に正常系のバックエンドに切り替え、
サービス停止無しでメンテナンスを行える様になった。

………

独自ドメインを持っている大半の人は、レジストラや代理店が用意している権威DNSを使うと思う。
というのも、権威DNSが落ちるとサービスに繋がらなくなる上、メンテナンスと脆弱性対応が面倒なので、
自鯖を趣味としている人でも、権威DNSを自前運用してインターネット公開している人は少ない筈。
企業レベルでドメインを運用するなら、IaaS付属の権威DNSや権威DNS専用サービスを別途契約してしまい、
自前運用している所は相当減ってきている様に感じる。
さらに、権威DNSサーバの脱自前運用も叫ばれ「餅は餅屋」ならぬ「ドメインは権威DNS屋」も浸透してきた。

だとしても、ローカルなど閉じた環境では自前運用が必須となる上、相応の経験が必要となるのが事実。
先の通り、DNSが止まるとサービスが全滅する事もあり、可用性確保に躍起している運用担当も多いと思う。
だからこそ、何でも出来る自鯖で今回の様なトリッキー構成を試してみるのは今後も必要になるだろう。

« 続きを隠す

続きを読む »

各サーバのスペックは次の通り。ゲストに割り振っているリソースを考えると、
コレでもCPUコア数が足りずオーバーコミット状態になっている。
ただ、CPU負荷は時間をかければなんとかなる事が多いのと、
金銭的にスペックアップも無理だったので諦めた。

筆者がサーバを組む時はメモリを乗せる事でアプリのキャッシュヒット率を上げ、
CPUとディスクの負荷を下げる構成を取る事が多い為、メモリ搭載量を重視して構成を組んだ。
正直な所、メイン利用しているサーバのCPUコアを増やしたいのが本音だが、
このスペックでゲストサーバを全台収容出来ている上、
処理待ちでゲスト環境が停止する事も起きていないので、当面はホスト増強をする予定は無い。

• KVM環境

Webサーバやメールサーバなど、インターネットに公開している24h365d稼働サーバを収容しており、
ホストサーバは「さくらの専用サーバ」を2台契約して利用している。
既に『自宅サーバ』では無いのだが、メリット・デメリットを考えた上で今回の構成となった。
前世代のサーバで採用していたフル自宅サーバ構成の場合、室温上昇と冷房費が増えていた。
その為、今回は新たな試みとして専用サーバを契約し、ハードウェアを外に持って行ってみた。

フル自宅サーバと専用サーバのコストを比較すると、
専用サーバを用いる方が費用が掛っており本末転倒でもあるのだが、
一番の課題かつ問題だった室温上昇を抑えられたのが最大のメリットだった。

• Hyper-V環境

メイン利用は専用サーバに移行したが、手元に無いと検証出来ない事もあるので一部は自宅に残した。
とは言っても払拭した課題が再燃したら意味ないので、
ベアボーンを用いた省電力サーバを組み、使い安い環境とすべくHyper-Vホストとして稼働させた。
また、老朽化した物理ルータを仮想ルータとして収容する事で電気代の圧縮とリソース活用を進めつつ、
シングル構成の課題があったIPv6ゲートウェイの冗長化も行った。

ベアボーンを使っている事もあり筐体の排熱と温度上昇が懸念点だったが、
フルロードをしなければCPUや筐体温度は40～50度で収まった。
逆にフルロードをすると70～80度まで上がるのだが、ゲストに制限をかけてフルロードを抑制した。
結果、CPUオーバーコミットかつ6C6Tでもリソースを食い潰さず稼働出来るバランスも獲得出来た。

• VMware環境

当初は構築する予定が無かったが、VMware ESXiの運用スキルを修得する必要が出てきた事と、
仮想ルータを増やした事によってNW検証が難しくなったので仮想検証機として構築する事にした。
ゲストにはLinuxとNW検証用のGNS3-VMを準備し、Linux・NWの両環境をテスト出来る様にした。

現在はiSCSI接続をしていないだが、必要となった時に接続出来る様に構築してある為、
ディスク装置の方でVMware用領域を準備すれば、iSCSI接続も出来る様になっている。

………

今回刷新した環境から、自宅サーバと専用サーバのハイブリッド構成となった。
純粋な自宅サーバ環境で無くなって閉まったがコレも時代に合わせた変化の一つだと思う。

エンタープライズ環境だとクラウド上でサーバレス構成を取る機会がが増えているが、
オンプレ回帰するケースも出てきているので、まだまだオンプレ技術も残ると思う。
そうなると、オンプレとクラウドの良いとこ取りをする為に、
ある程度の運用スキルが無いと判断つかない事が出てきそうなので、自宅サーバは今後も必要になると思う。

また、自分で好きに弄れるサーバ・NW環境ほど楽しい物は無いので、好奇心を満たす為にも継続予定。
特に今回はNW検証も出来る環境を設けたので従来以上に自由に弄れる様になった。
最近はNW業界から少し離れていたが、勉強環境が整ったので改めて弄っていこうと思う。

« 続きを隠す

続きを読む »

今回の構成は次の通り。2台目のスペックとほぼ同じ構成とした。
当初、メモリはADATA製を利用しようと計画していたが、G.SKILLが叩き売りをしていた変更。
保証期間が有限なのがネックだがメモリ故障の機会は稀なので、保証期間は許容した。

twitterを見ているとNUCをベースにした仮想サーバや、Kubernetesクラスタを構築している事例が多い。
ただ、筆者の場合は仮想サーバホストを二重化しつつゲストサーバ単位で冗長化する方針を取っている。
今回の環境も同じ方針・構成を取っており、これでゲストOSをフル稼働する環境が整った。

LANケーブルの整理と物理設備の仮想化も進めているのでNWラックがスッキリした環境に。
VMware ESXiを接続する為のゲートウェイ用LANケーブルを仮設しているので、
ルータから1本のLANケーブルが表からスイッチに延びているが後で弾き直そうと思う。

« 続きを隠す