2018年03月24日(土) - 19:52 | カテゴリ:
Linux
ロードバランサには大きく分けて2種類ある。
1つ目がロードバランサの代名詞であるLSLB(LocalServer Load Blancing)で、
アプライアンスだとF5社のBIG-IP、A10社のThunder/AXなどの負荷分散目的を差す事が多い。
LSLBに対応したOSSも多く、ns-lab BBでも利用しているHAProxyとかが該当する。
2つ目が広域負荷分散と言われるGSLB(GlobalServer Load Blancing)で、
F5社のBIG-IP、Citrix社のNetScaler等が該当しコチラもそれなりに種別が多い。
ただ、OSSでGSLB動作に対応している物は少なく、
探した限りだと企業レベルでの採用事例は無く、殆どが自作GSLBだった。
というのも、OSSで自前構築するよりAWSのRoute53を使うか、
仕組みは簡単なので企業レベルならフルスクラッチした方が楽だからだと思う。
………
今回ひょんな事からGSLBの仕組みを把握しつつフル活用する必要が出てきたのだが、
自前で環境を持っていない事もあり技術検証が出来ていなかった。
さらに、その中でUDPリバースプロキシを動かす必要も出てきてしまった為、
ns-lab BBのバックボーンサーバとして、
gdnsdでGSLB(権威DNS)、nginxでUDPリバースプロキシを連携させつつGSLBを構築してみた。
- 構築手順
nowsky system-lab memo > gdnsd
nowsky system-lab memo > NGINX
GLSBはDNSキャッシュとレコード応答を利用して接続先サーバを切り替える。
切り替えルーチンは様々な物があるが、
ラウンドロビン・ジオグラフィー・グローバルアベイラビリティの採用例が多い様に思う。
今回構築したGSLBでは、広域負荷分散する程の自鯖台数もないので基本はラウンドロビンで設定しておき、
セッション維持が必要な用途(FQDN)は、ソーリーサーバ形式で拠点切り替えを行う様にしてみた。
という事で、ns-lab BBで実際に使っているGSLBの構成がこちら。
自鯖と言いつつサーバはCloudGarage上に構築したので、VPS仕様によりNATが必須となってしまった。
また、UDPリバプロを使いたかった為、gdnsdの前段にnginxを配置してみた。
この構成だとgdnsdで取得するIPアドレスが、ローカルIP(nginx)になってしまうが、
gdnsdで接続元IPが必要になるのはジオグラフィーロードラバンス(GdnsdPluginGeoip)する時なので、
今回は使わない機能と割り切った。
前段にUDPリバプロを配置した事でメリットもあった。
gdnsdはDNSクエリログを記録する機能が無いのだが、
UDPリバプロを配置した事で、接続元IPなどをnginxで取得する事が可能になった。
iptablesを透過モードで全クエリ取得する事も可能だが、
他の遮断ログと混在すると解析するのが大変なので、今回はリバプロ取得の方が合致した。
構成図を見るとわかる通り、nginx配下でもたすき掛けに分散させておき、
1台のプログラム・サーバがダウンしても、稼働し続けるようにしてある。
サーバスペックは低いのでDDoSレベルには耐えられないが…
………
本稼働しだしてから日が浅いのと、
gdnsdのヘルスチェックも一部しか使っていないので未知数な所もあるが、
負荷テスト・障害テストなどを色々やってみた所では特に問題は無かった。
業務レベルでGSLBを扱う時はRoute53を採用した方が楽だが、
GSLBの概念を把握していないと障害時にハマるので、
自鯖で検証しつつ検証利用しながら使い倒すのが良いかもしれない。
………
後日談 > 【DigiLoog】:gdnsdとdnsdistでGSLB構築
« 続きを隠す
2018年03月04日(日) - 23:02 | カテゴリ:
PC
2年前は攻殻機動隊、1年前はソードアート・オンラインと続いていた、
官民連携サイバーセキュリティ月間。
「今年は何とタイアップするんだろう?」と期待しながら待っていた所、
まさかのBEATLESSとのコラボだった。
原作読んでいない・アニメは(録画はしたが)観れていない筆者だが、
レイシアが性癖ストライクな事もあり、3/4当日にアキバへ繰り出して来た。
無料配布物やら、ステージ観覧で貰った資料などなど…
ハンドブックは「ver2.00」を持っているのだが、今回「ver3.00」になったので更新
官民連携「BEATLESS タイアップについて」
BEATLESSの言葉として『アナログハック』という物があるのだが、
似たような意味を持つ言葉(厳密には全く違うが)で『ソーシャルエンジニアリング』がある。
今年のテーマはまさにアナログハックに焦点を当てており、
『スマホのアカウント連携とか不要に使うと危ないですよ』の様な事にも関連付けて解説していた。
セキュリティ本職の人にとっては物足りないかもしれないが、
内容は一般人ウケしやすい内容に解釈されていた。
今回は啓発活動の側面が強いし、ガチ勢はSECCONに突撃すべしという事なのだろう。
………
啓発ポスター・紙袋も貰ってきた
あと、NISCブースでCTF問題が3つ出題されていた。
軽く内容を除いたら、2問は簡単に解けたが、1問が(手順は)楽だが解釈合っているのか微妙な所…
体力が続くなら今日中に解いてみようと思う。
« 続きを隠す
2018年03月03日(土) - 22:41 | カテゴリ:
Network
題名の通りだが、自鯖とも連携させているIPv6 ForumのWebサイトがダウンしていた。
見たところDNS応答までは正常なのだが、サーバに接続しようとするとタイムアウトする。
ipv6forum.comのドメイン・サブドメインが全滅してるみたいな挙動なので、
もしかしたら認証サービス終了なのかもしれないが、
少しの間様子見してみる予定。
それでも復活の兆しが無かったら連携をやめて、自鯖応答性を優先しようと思う。
