カテゴリ:プライベートクラウド( 76 )

もう10年以上 XEN ハイパーバイザーと付き合ってきて、つくづく思うのは「あぁ、もうx86_64 のXENは終わったなぁ」ということです。別にLinux + x86_64 なら KVM でもいいんじゃん。

今でも考えられるケースで XEN を使うとしたら、

- XEN の Domain_U のカーネルを弄ってまで、他のハイパーバイザーに移行させたくない(これ結構大きい)
- BSD 系 Linux や Soralis と言った、非 Linux カーネルの UNIX OSをハイパーバイザーやゲストOSでも使っている(トモダチになりたくないな)
- ハードウェアに仮想化支援機能(VT機能) がない機器とか i386 ベースのx86ハードウェアでも仮想環境を使いたい(エラク古いPCだ)
- Intel x86 系の CPUを使っていない(PPCやIA64)とか (見たことないけど、もっとトモダチにもなりたくないな) )

こういった「今更な理由」がない限り Linux に限れば XEN による準仮想化を積極的に選ぶ理由がなくなってしまったのです。

まぁ、もともと10数年前に XEN 3.0 の登場とともに Intel=VT や AMD-V などの仮想化支援機能がハードウェアに実装されたと同時に XEN に「完全仮想化」というキラーな機能がついて、火が付いたと云えます。

と同時にこれらのVT機能の強化が続く中、普及と共にライバルの完全仮想化、64ビット版のみの KVM ハイパーバイザーが台頭してきたわけです。何しろ完全仮想化は QEMU にオーバーヘッドを渡すわけで、同じ QEMU を使う KVM ハイパーバイザーとの共通化が進んでいるわけですね。

ただし KVM ハイパーバイザーは当時としては主流だった VT 機能非搭載のPCサーバーや XEN を積極的に導入してきた非Linux 系の ISP やBSD系 Unix が主流の iDC の積極的な導入がなく、実績も少なかったので、まだまだ「開発中」といったイメージしかありませんでした。また、ハードウェアも仮想化を強く意識しないデュアルコアやクアッドコアがせいぜいでした。

しかし、VT機能というハードウェアの援護を受けて、KVM は一挙に広まっていった、という感じがあります。実際、XENで完全仮想化された Domain_U であれば、ほとんど仮想イメージを変更しないで KVM へ移植できてしまいます。何しろハイパーバイザーの補助をする QEMU という共通基盤があるため、XEN の完全仮想化はほとんど KVM との共通ワードとなっているわけですね。だから、 Linux On Linux の仮想化でも Full Virtual には、特に目立った機能の低下、スループットの低下はあまり感じなくなってきました。さらにはオクタコアやヘキサゴンコアなんていうハードウェアが、松竹梅の「竹程度」のサーバーに実装されると、ボトルネックはディスクI/O程度の問題になります。

SUSE 11.x の時代は XEN の全盛時代だったのですが、 SUSE では SLES12 以降、Libvirt の共通化により、オペレータは、自分が操作するハイパーバイザーが XEN なのか KVM なのか、強く意識しなくなりました。この原因は OpenStack の影響もあるでしょう。 SUSE は openstack に重点が移っているし、親会社の Microfocus も HPE のソフトウェア部門の買収に伴い、益々マルチベンダークラウドに力が入っていきそうです。

顧客も専用のハイパーバイザーと管理ツールによるベンダーロックインは避けたいところ。オンプレミスなクラウドと、iDC のプライバートクラウドと、AWS のようなパブリッククラウドとの間にあるマイグレーションを試みたい所です。まぁ日本のIT業界ではベンダーロックインというよりSI屋にロックインされているのですけどね。
SLES の仮想化コマンド自体も Libvirt の共用化によって、virsh コマンドにオプションの違いはあるにせよ、ほとんど xm, xl コマンドと同じ操作ができるようになってしまいました。こうなると、自分の操作するハイパーバイザーが XEN なのか KVM なのか、ほとんどオペレーターは意識する必要がなくなってしまいます。こうなると Citrix や VMware 専門のエンジニアのある種の閉鎖性が邪魔になってしまいそうです。

また openstack による統合管理を考えると、事業者におけるハイパーバイザーの一本化というのは避けて通れない(のかな)という事もあり、Linux + x86_64 主体のデータセンターでのハイパーバイザー運用は XEN ではなく KVM の一本化に進んでいくことになりそうです。

伝統的に XEN on BSD Unix などを使っていた iSP や iDC 事業者はさておき、数年後の新興サービスベンダーの若い技術者にとっては「XEN?何それ」化しそうな気がします。

--
こうなると "XENserver" を名乗る CItrix の戦略はどうなるのよ、という疑問がふつふつとわいてきます。世の中、完全仮想化に向いている中、Linux や BSD 系の「サーバー」OSを XEN ハイパーバイザーで管理する、という商品イメージはだんだんとネガティブに見えてきます。いまや XEN というブランドが、重しとして Citrix に乗りかかっているのですね。「あぁ Citrix, 昔 XEN でブイブイ言っていたベンダーね」と「聞いたことあるよ」という日がいつか来るでしょう。いや、その頃はもうXEN app というプロプラエタリなアプリケーションの仮想化ベンダーとして特化する中,早まって XENsource を買収したCitrix も XEN というブランド名を捨ててしまうのかも知れません。

もともと、Windows NTx 系のオペレーティングシステムをマルチユーザ化した Windows Remote Desktop も Cytrix が開発に関わった機能であり、Metaframe や XEN App といった、Citrix 得意のシンクライアント機能に特化した企業として存続していくのだろうけれど、サーバー集約化を目指す Xenserver といった製品の他社ベンダーや openstack や docker との差別化できない機能は、よほどのことがない限り、「世界のクラウドの Citrix 」化することはなさそうです。











[PR]
by islandcenter | 2017-08-08 15:19 | プライベートクラウド | Trackback | Comments(0)

お客さんのトコロで、フリーアクセスのオフィスに移転するという話と、併せて社員にノートPCをばら撒き、無線接続という話がありまして.....

うーむ。

じゃ私が求める仕事用ノートPCとは

1) Corei5 以上
2) 8Gb 以上のメモリ
3) 500Gb のハードディスク(SSDなら 256Gb 以上)
4) 有線用 RJ-45 コネクタ付き
5) 11 ~ 13 インチのスクリーンで縦は 1024 ドット以上
6) クルリポンの 2in1 でも USBメモリなど外部メディアで Linux が起動できる事 ,やっぱりクラムシェルがいい。
7) フットプリント A4以下で重さ 1.5Kg 以下
8) USB ポート3個程度
9) 外部 HDMI もしくは VGA ポート
10) 価格は 10万円を超えない程度(目標)
11) USB 外付けのポータブル光メディアデバイスは持っているし滅多に使わないからイラネ
12) 金属筐体と、ほぼ問題なく満足なブラインドタッチができる厚みのあるキーボード
13) 当たり前の BIOS パスワード ロック

と言ったところが、ITインフラエンジニアである「私が欲しいビジネスに必要なノートブックPC」です。

ところが、最近はあまりこのような仕様のPCが見当たらないンですね。

モバイル主体なら13インチ、A4モデルというと、紙っぺらみたいな1cm厚のノートが主流。勿論この厚さでは RJ-45 モジュラや、VGA ポートは問題外、しかも HDD ではなく 128Gb のSSD と4Gbのメモリという選択しか中々出てこないのですね。メモリとSSDはマザー直付けで固定。カスタマイズなし。割とこのテのPCは筐体の作りがしっかりしているようですが、ちょっと物足りないスペック。薄さは魅力だけれど、重要じゃない。外部I/Oは USB Type-C のみ。これはあまりお客さんにもお勧めしませんね。持ち帰り自宅仕事を増やすだけ。

結局、「ノートPCの厚み」というのは、アダプタ類を実装し、大容量低価格のハードディスクを内蔵するためのメリットじゃないかと思います。その分、フットプリントは犠牲になっても構わない。

Type-C用のネットワークとかUSB増設アダプタあるじゃん、と思った貴方は鋭い。しかし、エンドユーザという「彼ら」の仕事はそう言った「小物を紛失する」のも仕事なのです。小物だけじゃなくって、PC本体だって、自宅の鍵すらヨッパラって3件目の飲み屋とか電車に置き忘れる。これは上からも、下からも IT部門へのブツブツ不満となって帰ってくるわけですね。

そう言った「カッチョええ」PCは、自前でBYODして、混んだ電車のシルバーシートにハードボイルドに気取ってバキッと大股おっ開げて座り込み、意味のない無線信号飛ばしまくって、キーボードをバシバシ叩いて、じーっと目をつぶっている両隣のジジババを起こしてクソ餓鬼の写真でも見せびらかすためにあるのですね。とてもじゃないけど、ビデオ編集なんてできない。

私はエンジニアですから、フリーの技術ライターがお勧めする様なPCでは物足りません。客先で Hyper-V 仮想化とか、SUSE Linux の USB 起動+仮想化ハイパーバイザーブートが必要なので、ディスクの中身は仮想イメージだとか ISO なんかがごっちゃり入っています。必要であれば、出先の仮想環境でオペレーションマニュアル書いたりするので8Gbのメモリは必須です。そこまで酷使しなくても、8Gメモリは悲鳴を上げている。固定デスクトップは無条件に Linux サーバー化するので、ノートPCとは Windows のメインPCなのですね。

今のところ使っているのはマウスコンピューター製の 11.1 インチノートなのですが、ほぼこのスペックを満たしており、まぁは満足しています。が悲しいかな安物の二流国内メーカーで、プラ筐体なので、格安航空会社の格安チケットで出張中、モニタをゆっくり開いたらヒンジがバキリと音を立ててヒビが入りました。当然保証外。そこでほとんど自宅では、外部モニタが必須です。客先でもお借りすることがあります。電車の中でも安心して持ち運べる金属筐体が欲しい。やっぱりちょっと高いけど Dell とかレノボかな。パナとか東芝はちょっとお高く止まっている。VAIO はちょっと魅力。でもほぼコレというのは完全に20万円台の竹コースです。

ノートPCはキーボードもポインティングデバイスもモニタも「替えが利かない」ので、できるだけ長期保証が欲しい所ですが、このあたりも M-PC さん、ノートPCのキーボードもモニタもポインティングデバイスも消耗品扱いするので、ちょっと保証がモノ頼りない。以前 DELLの「像が踏んでも無償交換修理」という無敵の Dell Inspiron か何か使っていた事があったのですが、ベッドで使っている最中、眠ってしまい、夢の中でエルボーアタックでモニタにピキッとヒビが入った時は、2~3日で無償修理してくれました。結局5年間使えました。 結局お得でしたね。

電池の持ちはあまり気にしません。せいぜいUPS替わりに2時間も使えれば結構。その代わりACアダプタは必携です。どうせカタログで7時間と言っても1年もしないうちに半分くらいまでヘタります。

なぜ、ビジネス用PCに有線LANが必要かと言うと、「無線ほど信用できないモノはない」からです。接続の信頼性、スループット、スニッフィングの危険、気が付いたら「隣の家の無線を拝借していた事故」の防止。

この間もありましたけどね。有線無線両用している時にファイルサーバーとの接続がプチ切れる、ンで調べたら、隣のビルのコンビニからの電波がお客様が「拝借」して「お邪魔でぇーす」していたそうです。どうもゲスト用のパスワードなしのSSIDを捕まえてしまい、というトラブルです。勿論セキュリティもダダ漏れ状態。

ウチでも「激安アウトレット品」の Wifi ルータにヤラレタ事があります。DNS/DHCP は止められないし、デフォルトG/Wがインターネットルータになるので、ローカルLANのDNSを参照してくれないケースですね。こういったおバカ仕様だと当たり前ですが、無線/有線混在仕様だと、内部のシステムにアクセスできない事があり、ひどく怪しい動きをしてくれます。トンデモケースですが安物買いの銭失いですな。

それに最近はテザリングできるスマートフォンなんかあるわけで、カイシャにもどったら、さっき出先でテザリングしていたのを忘れて、ひたすら天井のアクセスポイントより全然近い、PCの隣で USB 充電中のスマートフォンとひたすら通信してたなんて話もよくあります、ってか私もよくやっちゃいます。

まぁ、昔、聞いたまじめな話。無線対応のプリンタが流行った頃、コンフィデンシャルな会議用ドキュメントをバキバキと印刷していたら、あれ、おかしい。ジャムったか、トナー切れか。とおもってトラブルを調べていたら、見知らぬカイシャから「おタクのカイシャのロゴが入った印刷物がゴッチョリ大量に出てきてウチのプリンタトナー使い切ったんだけど何とかしろ」とクレームが来たという。どうやら距離は結構そこそこに離れているんだが印刷した本人の席と問題のカイシャとの間にはガラス窓以外に遮蔽物がなく、「極秘文書」をジャンジャン他社に送り付けたらしい。総務が赤っ恥かいて謝罪にいったらしいけど、その後、その会社では無線の使用は厳禁になったとかならなかったとか。

ウソかホントか知らんけど似たトラブルはよく聞きます。「だからオフィスでは無線は使うなぁ、スイッチ切れぇ!」とお灸をすえてやりましたが.....

これから無料 Wifi スポットが増えるとそんなトラブルも良く出るんだろうなぁ。

有線が使えるなら、厚みやディスプレーのサイズにはこだわりません。まぁ肩が凝るほどの重量級ノートは遠慮しますが、かつては毎日、大型ノート2台持ちもしたくらいですからモニタサイズと重量はあまり気にしない。できれば電源は二個持ち、一個は固定使用、予備は持ち歩き用。AC電源アダプタとかディスプレーでも壊れりゃ、ただのウエイトトレーニングの用途にしかならないのがノートPCです。

確かにスマートフォンや、容量の少ない記憶装置は、クラウド主体のビジネスモバイルとしては充分かも知れません。が、この使い方はあくまでも、あくまでもシャドウIT。IT部門の管理から外れた利用方法になるため、余分な機密データの持ち出しや、大量かつ巨大データの加工、生産には向いていません。例え、リアルタイムに常時接続したい、というニーズはタブレットやスマートフォンではお分かりの通り少ないンです。だからこれらのデバイスでは無線でも充分。しかしプロの生産活動にはやはり有線接続のPCは必要なのです。

また、多くのフリーランスやITメディア編集部のITライターさんが書くインプレッション記事は、新品状態の細かなスペックだとか、自宅兼オフィスの深夜の丑三つ時、静的環境で数台のPCやタブレットを使ってみての夏休みの感想文なのです。彼らフリーランスのITライターは数百台のPCが存在し、巨大な画像ファイルや図面を使う、不動産業や金融業の資産調査に使うデジタルカメラのデータ、建設現場などの航空写真、書籍を作るための大量の図形や文書、巨大なビデオデータなど共有データを必要とする、現場の激務の中で仕事をするプロフェッショナルに必要なファイルサーバーなどの存在を気にする事はありません。

せいぜい「オフィス兼自宅」のNASと一対一で転送してスペックを記事にするだけです。そもそも 802.11ac ったって、チャネルあたり 443Mbps しか出ないのです。4チャンネル束ねて 1.6Gbps とかド派手にパッケージにコンジキでド派手に書かれているけど、普通は端末側は対1チャネルしかないのですね。無線だと、普通カタログスペックの3割しか出ないというし、輻輳したり、「1チャネルを皆ンなで共有」なんて事すると、ひと昔の3G回線並みのが普通になります。まぁ YouTube で「昨日の大相撲のこの一番」を見るのには困りませんがね。5分の動画ストリーミングでも、5分間ゆっくり転送しても困りません
a0056607_07341480.jpg
早朝6時、たったあ2Gでえ9分とかありえない。
他はブチブチ切れるな。こりゃ朝飯の時間だ。

a0056607_07345371.jpg
802.11n 54Mbs でこれだ。 32Mbitps = 8bit(1Bit) * 4MByte/S うーむ納得できる数字だ
条件いい時間帯なんだけどね。


a0056607_07450859.jpg
無線じゃやっておれんぞ。
RJ-45のモジュラが壊れているのでUSB 2.0 アダプタ経由でやってみる。
それでも帯域はフルに使っている。そこそこだ。


そもそも端末側が 2.4Ghz 帯の 802.11n しか対応していなければ、まぁ「つながった!良かったね」そんな程度です。

ITメディアが提供する記事は鵜呑みにすべきではない、これが現場が必要とするプロのエンドユーザ環境なのです。

実際のエンドユーザさんは私たちの様なITバカではありません。業務の「その道に関してはプロ」なのです。ヘビーユーザーなんですね。60分の映像データでも10秒で共有ストレージにアップロードしなければならない。400枚の高解像度のカメラの映像から使える画像をピックアップする。そんなプロのオフィスユースには、とてもじゃありませんが、無線はお勧めできない。みんな昼飯食いに行くしかない。

これもまた聞きなのですが、生産現場の ITエンジニアに、せいぜいオフィスとブラウザ程度しか使えないペラペラのノートPC配ってドメインのポリシーでロックダウンかけたという事でエラそーに言っていた営業出身の某経営者がいました。これでどーやって Linux のサポートするのよ、って渡された本人怒っていましたけどね。これなら紙とエンピツの方がよっぽどましだぞって。

環境は統一したいけど、現場にいかに適合した環境もまた検討できるかが勝負なのです。




無線LAN トラブル 有線接続 インターネット 接続できる LANに接続できない 


[PR]
by islandcenter | 2017-07-22 12:58 | プライベートクラウド | Trackback | Comments(0)

Zabbix 3.2 のアプライアンス版が出ていましたので、SUSE バカに陥らないためにも、ubuntu と格闘してみました。というか、2.2 のアプライアンスが壊れてしまったので(あぁーバックアップ取ってないし .... )

zabbix 2.x の導入はこんな感じでした。
SUSE Studio から Zabbix 管理ツールの導入

※ ソフトウェアアプライアンス版は、評価目的のチューニングですが、中小規模の数台のサーバーやルータ、スイッチなどのトラフィック管理など数十台のデバイス管理には、そこそこ使えます。より深く学び、システム管理が複雑で規模や問題が大きくなれば、それなりに Zabbux L.L.C の有償サポートを受けたパッケージの導入とトレーニングを受けてください。私としては、デバイスの異常なトラフィック増大を時系列で見えればよい程度なので、導入の敷居が低いzabbix のソフトウェアアプライアンス版は初めての方にはお勧めです。なお、 3.2 は LTS 版ではないのでそのつもりでトレーニングだと覚悟してください。

- ハイパーバイザーへの実装 -

Zabbix のダウンロードページから、 "KVM, Parallels, QEMU, USB stick, VirtualBox, Xen" 用イメージ (.raw1.6Gb) をダウンロードします。

Download

Zabbix appliance Documets

*****.tar.gz を解凍すると 10Gb の仮想アプライアンスイメージが出来上がります。ubuntu のバージョンは /etc/os-release によると 14.04 でした。

これを virt-manager から Create Virtual Machine で実装します。機材の都合で XEN4.4 on SUSE SLES11sp4 です。
a0056607_14293162.jpg

このバージョンは、 Ubuntu 14 は対応していないようですが、 Ubuntu(Other) で実装できました。
- Virtual : Full Virtual
- Name of VM :
- Hardware : 512Mb, 1Vcpu
- MAC : XEN source のヘッダに任意の3桁


a0056607_14300292.jpg

これで OK を押すと、Zabbix 3.2 アプライアンスが起動できました。

Ubuntu のいやらしいroot でログインできないログインプロンプトです。

a0056607_14303447.jpg

ダウンロードページにあるパスワードでログインします。

login : appliance
Password : zabbix

a0056607_14310483.jpg

DHCPで IP をもらうので一応 ifconfig で IP を確認します。

a0056607_14312728.jpg
これで SSH テキスト端末からログインできます。

ssh xx.xx.xx.xx -l appliance

sles11:/var/lib/xen/images/zabbix32 # ssh 192.168.1.xx -l appliance
Zabbix server Appliance (mysql)
appliance@192.168.1.55's password: **********
Last login: Fri Jul 14 10:30:35 2017
######## ### ######## ######## #### ## ##
## ## ## ## ## ## ## ## ## ##
## ## ## ## ## ## ## ## ## ##
## ## ## ######## ######## ## ###
## ######### ## ## ## ## ## ## ##
## ## ## ## ## ## ## ## ## ##
######## ## ## ######## ######## #### ## ##
appliance@zabbix:~$

IPを固定します。 /etc/network/interface を sudo vi で DHCPから Static に編集します。(メンド臭い)
IP を指定して DNS, Default Gateway の設定をします。

appliance@zabbix:/etc$ cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
#iface eth0 inet dhcp <--- コメントアウト
iface eth0 inet static <--- 追加

address 192.168.1.220 <--- 追加
netmask 255.255.255.0 <--- 追加
gateway 192.168.1.1 <--- 追加
dns-nameservers 192.168.1.2 <--- 追加

/etc/resolv.conf を書き換えます。(メンド臭い)

appliance@zabbix:/etc$ cat resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.1.2 <--- 追加
nameserver 192.168.1.3 <--- 追加
search intra <--- 追加

でネットワークの再起動(メンド臭いしミスタイプしやすい)

appliance@zabbix:/etc$ sudo ifdown eth0 && sudo ifup eth0
[sudo] password for appliance: *********
appliance@zabbix:/etc$ ping www.yahoo.co.jp
PING edge.g.yimg.jp (183.79.248.252) 56(84) bytes of data.
64 bytes from 183.79.248.252: icmp_seq=1 ttl=52 time=90.6 ms
64 bytes from 183.79.248.252: icmp_seq=2 ttl=52 time=97.3 ms

--- edge.g.yimg.jp ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 90.698/94.024/97.350/3.326 ms
appliance@zabbix:/etc$


a0056607_14320955.jpg


という事でブラウザから http://ip_or_DNS_address/zabbix へ Admin/zabbix のデフォルトでログインします。

a0056607_14420950.jpg

で、色々弄って、date すると UTC 表示でした...... ubuntu の場合、謎のオマジナイがあるのでシステム時刻を JSTに変更します。

appliance@zabbix:/etc$ sudo dpkg-reconfigure tzdata
[sudo] password for appliance: *********

こんな UI が出てくるので Asia > Tokyo を選び OK します。

a0056607_14323301.jpg


appliance@zabbix:~$ date
Sat Jul 15 00:29:36 JST 2017
appliance@zabbix:~$

無事、システムの時刻表示は UTC から JST になりました。しかし、Zabbix の UI で表示される、グラフやイベントは UTC のままです。一体どこで変えるんでしょうね。

/etc/php5/apache/php.ini を sudo vi で変更しました。

appliance@zabbix:/etc/php5/apache2$ sudo vi php.ini
appliance@zabbix:/etc/php5/apache2$ ....: 編集中 .....
appliance@zabbix:/etc/php5/apache2$ cat php.ini | grep timezone
; Defines the default timezone used by the date functions
; http://php.net/date.timezone
;date.timezone =
date.timezone = Asia/Tokyo
appliance@zabbix:/etc/php5/apache2$

zabbix-server と apache2 をリスタートさせましたが
何故か6時間、表示が遅れています(謎)

※謎解決 タイムゾーンを JST に

/etc/apache2/conf-available/zabbix.conf に Timezone の設定があるのでこれを突いたら治りました。

appliance@zabbix:/etc/apache2/conf-available$ ls -al
total 36
drwxr-xr-x 2 root root 4096 Aug 7 17:53 .
drwxr-xr-x 8 root root 4096 Jul 28 06:43 ..
-rw-r--r-- 1 root root 315 Jan 3 2014 charset.conf
-rw-r--r-- 1 root root 3224 Jan 3 2014 localized-error-pages.conf
-rw-r--r-- 1 root root 189 Jan 3 2014 other-vhosts-access-log.conf
-rw-r--r-- 1 root root 2190 Jan 3 2014 security.conf
-rw-r--r-- 1 root root 455 Jan 7 2014 serve-cgi-bin.conf
-rw-r--r-- 1 root root 1582 Aug 7 17:53 zabbix.conf
-rw-r--r-- 1 root root 1583 Aug 7 17:52 zabbix.conf.org
appliance@zabbix:/etc/apache2/conf-available$ cat zabbix.conf | grep timezone
php_value date.timezone Asia/Tokyo
php_value date.timezone Asia/Tokyo
appliance@zabbix:/etc/apache2/conf-available$

マニュアルはちゃんと読めよという事ですね。

- NTP をインストールして設定 -

NTP が入っていないので、インストールします。ハードウェアクロックは仮想環境では時刻狂いを起こします。

sudo apt-get で ntp を Install します。

appliance@zabbix:/etc$ sudo apt-get install ntp
[sudo] password for appliance:
Sorry, try again. あちゃーメンドクサイ
[sudo] password for appliance:
Reading package lists... Done
Building dependency tree
Reading state information... Done

 : 中略して誤魔かしの美....

appliance@zabbix:/etc$


/etc/ntp.conf を外部ソースから、LAN内の NTP ソースに変更します。

# Use servers from the NTP Pool Project. Approved by Ubuntu Technical Board
# on 2011-02-08 (LP: #104525). See http://www.pool.ntp.org/join.html for
# more information.
#server 0.ubuntu.pool.ntp.org <--- コメントアウト
#server 1.ubuntu.pool.ntp.org <--- コメントアウト
#server 2.ubuntu.pool.ntp.org <--- コメントアウト
#server 3.ubuntu.pool.ntp.org <--- コメントアウト
server ntp1.intra <--- 追加
server ntp2.intra <--- 追加

とここまで3時間の作業でした。SUSE なら、yast 一発で20分で終わるんだけどなぁ。

Install on openSUSE / SLES

あとは Configuration > Hosts から、smnp エージェントを実装したデバイスを登録して行くだけです。







-Key Word-

Zabbbix 3.2 仮想アプライアンス XEN KVM 評価 導入 練習台 無償で始めるネットワーク管理


[PR]
by islandcenter | 2017-07-15 14:45 | プライベートクラウド | Trackback | Comments(0)

すっかり落ち着いてしまったようですが、世間が wannacry ランサムウェアで大騒ぎしていた頃、気になる記事を Gigazine に見つけました。

Gigazine

Windows XPでランサムウェア「WannaCry」の被害が少なかった一因は「ブルースクリーン・オブ・デス」

"WannaCryは「MS17-010」で報告されている、Microsoft Windows SMB サーバーというWindowsのファイル共有システムの脆弱性を利用して広がりましたが"

Gigazine のこの記事によると、 wannacry については Windows XP に感染する前にブルースクリーンになり拡散に失敗するケースが多く、 Windows10 では比較的被害が少ないし、Windows8x 系はそもそもサンプルが少ないので、実際に感染したコンピューターは Windows7 の SMB なんだろうなぁ、という事がぼんやりと気になっていました。

そこで SMB のバージョンについて調べてみました。まぁまぁ良く整理されている記事がこちら。

第7回 ファイル共有プロトコルSMBの概要

そこで wannacry に関する情報を探ると出てくる出てくる。Windows サーバーから、おなじみの samba も影響があるのですね。


- 一番初めに試した対策 -

ほとんどどこでも言及している「SMB 1.0/CIFS のファイル共有のサポート」 デフォルト・イネーブルを削除してみました。

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス

「コントロールパネル」>「プログラムと機能」> 「Windows の機能の有効化または無効化」から "SMB 1.0/CIFS ファイル共有のサポート"のチェックを外します。後は「再起動しろ」と言ってくるので、再起動します。すごく再起動に時間がかかります。

a0056607_17592725.jpg
再起動すると見事に samba サーバーが「ネットワーク」から消えました。\\IP\Share_name でアクセスもできません。

全滅

です。

という事でこいつ(SMB1.0/CIFS .....)は元にもどす事になりました。つまりはこれも拡散を防ぐための一時的な対策に過ぎません。

- samba サーバー側で対応してみる -

==========
Workaround
==========

Add the parameter:

nt pipe support = no

to the [global] section of your smb.conf and restart smbd. This
prevents clients from accessing any named pipe endpoints. Note this
can disable some expected functionality for Windows clients.

という事だそうです。

smb.conf — Samba の設定ファイル
によると

nt pipe support (G)

この真偽値パラメーターにより、 smbd(8) が Windows NT のクライアントに対して、 Windows NT の SMB 固有の IPC$ パイプへの接続を許可するかどうかが制御される。 これは開発者のデバッグオプションであり、意識する必要はない。

既定値: nt pipe support = yes


意識する必要はないとはありますので、とりあえず 手元の SUSE Linux SLES11 で設定してみます。

yast(or yast2) > Network Service > Samba の Identity タブ Advanced Setting からこの Expert Global Settings を書き換えます。

a0056607_18000345.jpg

Add ボタンで "nt pipe support" にチェック(デフォルト)が入っているので、このチェックを外すと smb.conf が書き換えられます。この状態で yast でOKすると samba が再起動します。

a0056607_18003739.jpg

ところが

a0056607_18010151.jpg

見事にアクセスが拒否られます。また Windows7 とサンドボックスの Windows XP も見事アクセスが拒否されました。
つまり

nt pipe support = no

パラメータはあくまでも一時的なものであり、根本解決には至りません。

という事で SUSE から出ているパッチを探してみました。これの様です。

- SUSE のパッチ -

CVE-2017-7494

結構メンド臭そう。やっぱり公式リポジトリからセキュリティ系のアップデートを全部パッチするのが正解の様です。

怖いのは、Linux のディストリビューション各社はパッチをだしているのですが、よく国道沿いのディスカウントショップで「家族計画用品」の隣で売られているご家庭製品専門のメーカーで出しているような、「なんちゃって我が家のNAS」みたいなものがパッチを出していなかったり、当てるのも面倒だったり、そもそも wannacry に対策しているかどうかもわからないところですね。


ということで

第一段階

SMB1.1/CIFS の利用をやめて Samba や NAS の使用を停止して、エンドユーザに総スカンを食らう
その間にパッチを全部確認する。

第二段階

手に入る限りの Windows パッチ、Samba パッチを当てまくり、リブートしまくり、ついでにあちこちでトラブルが出て、みんなに総スカンを食らう。

第三段階

PCを「安全性が高い」とマイクロソフトが豪語する Windows10 と Windows 2016 Server にリプレースして、SMB3.11 にアップデートして samba も 4.x にアップデートして SMB3.x のみサポートして、動かないアプリケーション続出しまくり、繋がらない古いPCユーザから総スカンを食らい、金をかけた効果はあったのかと経営者に詰問されて、辞表を書く。

というのが対策の手順となりそうです。




- Keyword-

wannacry, 対策, Windows10, Windows7, samba, SMB, CIFS, Linux, 脆弱性



[PR]
by islandcenter | 2017-07-10 18:08 | プライベートクラウド | Trackback | Comments(0)

-現象-

ローカルネットワークから、Squid プロクシ経由でインターネット接続している場合、 Windows Update Service 3.0 (WSUS) サーバからアップデートできない。この現象は Windows7 環境では発生せず Windows10 以降(具体的には 1607以降)のバージョンで発生する。

Windows 10 / Windows Server 2016 を含め、プロキシ サーバーを介して Windows Update サイトへアクセスした際に、更新プログラムの検出が通信エラー (0x80240030 / 0x80072efe / 0x80244022 / 0x80072EFD / 0x80072EE2 等) でうまくいかない、あるいは更新プログラムのダウンロードが通信エラー (0x80072ee7 / 0x8024402c 等) で進まないといったお問い合わせをいただくことがございます。

プロキシ サーバー経由での Windows Update へのアクセスについて

また、WinHTTP に対してプロキシ サーバーが適切に設定されているかをご確認ください。

-------

「ナヌ! WinHTTP って聞いたことないぞな?」

と、どうやらインターネットマーケットで一般的な Squid などのプロクシ経由では、「WinHTTP という、我等大変困惑独善非標準的詳細非公開的謎通信網」はエラーになってしまうようですね。つまり、WSUS は HTTP(s) 80,443 ポートを使うにも関わらず、一般的な HTTP(s) ではなく WinHTTP というレッドチャイナ並の特殊で非公開な極秘な通信するという事なのですね。(はじめて知った......)

「うちは、ほぼ世界標準の Squid プロクシなんだけどなぁ.....」

という場合、例外リストに明示的にプロクシの設定から WSUS サーバーを除外する必要があるようです。

- 対策 -

ローカルLAN内に Squid などの Proxy がある場合、コントロールパネル > インターネットオプション > 「接続」タブ > プロシサーバー > 「詳細設定」ボタンから「例外」リストに

"*.mylocalzone.mycompany.com;" のローカルゾーンか WSUS の、生IP アドレス(192.168.1.xx;)などをセミコロン区切りで明示的に追加します。
a0056607_15232155.jpg

どうも Windows10 Version 1607 あたりから、WSUS の挙動がおかしくなったナとは思っていました。この場合、単純なLAN内部のプロキシキャッシュなので、月のモノのWindows Update をする場合、一時的にプロクシを外せばいいのですが、Windows10 1607 以降、Windows Update ってやたらと時間がかかるじゃないですか。その間、色々モンダイがあるわけですよ。まぁ、このケースではこれで「一応」解決できていますが。

例えば、 Windows Update の「更新プログラムのチェック」をしても、全部アップデートできない。その様なときは "オンラインで Microsoft Update から更新プログラムを確認します"をクリックすると "ご本尊" からのアップデートを更新して、 WSUS にアップデートがキャッシュされるようです。最初の1台目でキャッシュすると、以降はイントラネットの WSUS からアップデートを "ダウンロード"だけはしてくれるので、2台目以降は、 WSUS から、文字通り "Windows Update Service" のキャッシュが参照されて、ピピッと、"ダウンロードだけは" 行われます。もっともその後の「更新のインストール」だけは、ユーザさんには、朝のコーヒー飲んで、ついでにトイレにでも行ってPCの性能次第で「まったり待つ」必要があります。
a0056607_23382112.jpg
もっとも、Windows Update の”状態の更新”は、深夜に行われるようスケジュールされるので、実際の現場では "朝イチバン"に、パッチの適用と、 WSUS への通知が行くようです。月モノによっては二度のリブートが必要なケースもあるので、翌日もう一度"リブートしろ"と出るケースもあります。ユーザさんは待ち時間でゆっくりトイレで××コ「していても、インフラ担当者は、漏れそうでも「そんなヒマねぇよ」という我慢の時間帯です。

まぁこれも給料の一部だとおもって、諦めてください。あらかじめ総務にお願いして Windows Update を 「承認」した、翌数日間は、役員用トイレも解放しておくようお願いするのもイイかも。

a0056607_23400558.jpg
でも、同時にWSUS 上にも正しく更新された情報が伝わるようで、WSUS の登録されたPCの全てが数日後に 100% パッチ完了となります。やれやれ......

山市良のうぃんどうず日記(97):進まないWindows Update、やっぱり止まっていなかった

--

でセキュリティアプライアンスや、チャイニーズ製グレートファイアウォールなどが導入されている環境の場合、

Windows Update / Microsoft Update の接続先 URL について

によると、2017/2 現在....

http://download.windowsupdate.com
http://*.download.windowsupdate.com
http://download.microsoft.com
https://*.update.microsoft.com
http://*.update.microsoft.com
https://update.microsoft.com
http://update.microsoft.com
http://*.windowsupdate.com
http://*.windowsupdate.microsoft.com
http://windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://ntservicepack.microsoft.com
http://wustat.windows.com
—————————-
※Windows 10 の配信の最適化を使用するためには以下の URL も併せて通信を許可するように設定ください。
—————————-
*.download.windowsupdate.com
*.au.windowsupdate.com
*.tlu.dl.delivery.mp.microsoft.com

の全てを、プロクシキャッシュなどの、セキュリティアプライアンスを使う経路から除外しろ、という事になりますね。これらを除外リストにズラズラと Windows10 の場合(;) セミコロンで区切って羅列します。(それも全部)

コピペ用に書いてみましたが、プロクシがある環境では、例外リストを「こうしろ」という事ですかね。間違っていたらご指摘下さい。
------ここから
*.download.windowsupdate.com;*.download.windowsupdate.com;*.download.microsoft.com;*.update.microsoft.com;*.windowsupdate.com;*.windowsupdate.microsoft.com;*.ntservicepack.microsoft.com;*.wustat.windows.com;*.download.windowsupdate.com;*.au.windowsupdate.com;*.tlu.dl.delivery.mp.microsoft.com;
ここまで-----

ちなみに

Windows Update / Microsoft Update サイトへの接続先 URL は不定期に変更されることがございますので変更が生じた際は本ブログも更新いたします。

とあるので要チェックです。(つまり予期なく変更ということで.... はぁ?)

セキュリティアプライアンスなどの設定も要注意ということになります。あるいは "WinHTTP という謎” を克服するか。

どうも

netsh winhttp set proxy proxy-server=

というインディジョーンズも解読できない呪文を管理者モードで実行せよというのもありです。

これで謎の WinHTTP も強制的に、システムプロクシの設定に合わせてしまうようです。世間一般および新華社通信によると、どうもこのコマンドはプロクシを使う環境では香港土産の謎の萬金丹のように良く効くようです。

プロキシ サーバーを使用する環境にて Windows Update を実行すると通信エラーが発生する

じゃ、トランスペアレントプロクシだとかセキュリティアプライアンスがインターネット接続のトポロジのグレートファイアウォールにある場合はどーなるンでしょうね。ウチの環境の場合 WSUS サーバーも LAN内にあるので、WSUS 自体も Squid Proxy を使う事(なぜか問題ない)になるので、とりあえずは問題解決ですが、トランスペアレントプロクシがグレートファイアウォールを作って、そこから経由して WSUS がローカルで構築していない環境では、ちょっと困ったモンダイになりそうな悪寒です。

また必ずしも、全て WSUS 3.0 経由では当たらない「累積パッチ」もあるようです。この問題は Windows2012r2 標準の WSUS 4.0 で解決しているかどうかはわかりませんが....やっぱりこれも謎の呪文を唱える必要があるようです。

Windows Update で通信系のエラーが出た場合、近所のセブンイレブンとかの無料、暗号化なし Wifi フリースポットへ走って(あるいはPCをかついで)アップデートし、ついでにウィルスクサいメールをかたっぱしから開きまくって、アンチウィルスが正しく動作しているかどうかテストしたり、銀行振込してパスワードダダ漏れさせてみる、のもヒマつぶしには面白いかもしれません。

Squid 本家の次の文書も見つけましたが、情報が古くて全然アテにならないようです。どうやら "Windows そのものの問題” と捉えているようなので、あの謎の萬金丹のコマンドを使え、という見解のようです。

How do I make Windows Updates cache?

全く、Windows10 anniversary Update 以降の Windows Update はどうも問題が謎な部分が多くあります。中国製かと思われるぐらい不可思議.....
Windows7 時代に構築して問題なかった WSUS の運用方法も Windows10 時代では適応できないようです。


-その他の記事-

Windows 2008R2 で作る WSUS 3.0 sp2 Windows Update Server

WSUS のディスク容量がピンチ!空き容量を一挙に増やすには

Windows Update Service(WSUS) の日常の運用

Windows10の Windows Update はデフォルトで使ってはいけない。



※言い訳:すみません、いつも「串」って言ってるんで「風呂串=プロクシ」と読ンじゃう私はやっぱり古いタイプなのです。世間では「風呂岸」なんですね。




Windows10 WSUS 3.0 Windows Update Error Squid Proxy キャッシュ、キャッシュアプライアンス、プロクシ、プロキシ、



[PR]
by islandcenter | 2017-06-16 15:20 | プライベートクラウド | Trackback | Comments(0)

この記事は書き換える可能性があります。

2016/10 より、Windows Update のポリシーが変わったせいでしょうか、急に WSUS の容量が爆発的にふえてしまったのです。

WSUSを長年運用していると、

1) インストール済のパッチの拒否
2) クリーンアップウィザード
3) WSUS 自身のアップデート
4) 同期
5) 世間のパッチの不具合の話題をチェックしてインストールの承認
6) パッチのダウンロードと配信

という流れが出来てきます。これで毎月運用していれば WSUS の使用ディスク容量なんて20Gから30G程度で落ち着いてくれます。

ところが、ある日、クリーンアップウィザードを実施しても、全然キャッシュが消えないという不思議な現象に出くわしました。WSUS ピンチです。40G確保したD:ドライブを dd コマンドで4Gほど増やしてみて(当然仮想化運用です)も、キャッシュドライブは、大泉洋が作るスパゲッティみたいに膨れ上がる一方です。
a0056607_10515734.jpg
ということで、WSUS の空き容量を緊急に確保する緊急手段です。

Windows Update Service > 「オプション」 > 「更新ファイルと更新言語」を開きます。


a0056607_13493085.jpg
更新ファイルをローカルに保存せず Microsoft Update からインストール」をチェックして「適用」します。

a0056607_13495876.jpg
これで、キャッシュされたアップデートが削除が指示されるので、(その間「OK」ボタンがグレーアウトします。5分待ってください)その後、クリーンアップウィザードを使って、キャッシュのクリーンアップを行います。

空き容量が増えたら「更新ファイルをローカルに保存する」のチェックを入れてOKボタンを押します。次のパッチ配信から、ローカルネットワークにキャッシュされます。

ギリギリだった容量が一挙に回復しました。

a0056607_13502123.jpg
Windows は 2016/10 より、パッチのリリース方法が変わりました。
2016 年 10 月からのロールアップ リリースに伴う WSUS 運用の注意点
これで、WSUS のキャッシュが「ふえるワカメ」になるという記述はありませんが、 WSUS の運用方法に影響が出ることは予測していました。やっぱり、運用は変わりますね。

-ただ今40Gbダウンロード中-

どこまで増えるんだ? 4G のOSパッチがその10倍もあるなんて .....! という事でこの話はまだ続きます。
やっと終わった40Gb、Windows 7, 10/ 10amv Upadte の三つのパッチだけで、本体の3倍のパッチ。これえ40Gbってどういう事よ。

-ダウンロードの取り消しと拒否-

それでもダウンロードが止まらない。という事で、「ダウンロードの取り消し」をやってみました。「全ての更新プログラム」の中で「タイトル」の左にある白の「!」アイコンを押して、ソートして、配信しなければならないパッチのみ黄色の「!」マークをリストします。

配布が不要な無印の更新プログラムの残骸が「拒否、未インストール」でゴッソリ残っています。

この黄色の「!」マーク以外の拒否したリストをShift キーを押しながら選択し、右ボタンから「ダウンロードの取り消し」「拒否」を行います。(下の図では!マークを選んでいますが...)
a0056607_11414788.jpg
その後、クリーンアップウィザードでディスクをクリーンアップすると、見事にダウンロードの嵐が止み、ディスク容量も回復することが出来ました。

Windows10 のKB3197356には気を付けろ。Edge のパッチだけで 700Mb あるぞ、という事らしいです。このパッチが配布された後は、小康状態です。
良かったみたいです。

isLandcenter.jp



-Keyword-

WSUS 3.0 ディスクが満杯 アップデートの削除 ディスクの節約 容量不足 空き容量 














[PR]
by islandcenter | 2016-10-17 17:20 | プライベートクラウド | Trackback | Comments(0)

エレコムから 89,800 8Port の 10GbaseT HUB が出ました。


この手のデバイスはチップメーカーが出し始めると、別ブランドでも同じチップを使ったより低価格のモノが出てくるものです。1ポート 12,000 円台と言うのは完全に普及価格帯ですね。もっとも使われるのは小規模なデータセンターやサーバールームの iSCSI NAS との接続だったり、バックアップデバイスとの接続に限られてしまうのでしょうが、光ファイバーより遥かに取り扱いが容易なので、仮想環境下でのサーバー : ストレージ間の接続には有力な選択肢となります。

Nbase-T(802.3bz) はどうなる。

Cat5e ケーブルで 2.5Gbps や 5Gbps で通信できるマルチギガビットネットワークはどうなる? たぶん普及しないだろう。というより、高性能な HUB, NIC が 802.3bz に対応したポートが付いていれば、1Gでも10Gでもなく、ネゴシエーションの結果 2.5Gbps で繋がっちゃった、という結果になるのでしょうね。まだ対応した NIC や HUB がなく 10Gbps が使えるようになれば Wifi のボトルネックは吸収されてしまうから、2.5G/5G のケーブルインフラの問題だけとなります。幹線の 10Gbps 化が進めば、2.5/5G の速度はフロアの配線インフラを有効に使いたいという出番だけでしょう。元々 10Gbps はそれなりに普及する以前の段階で標準化が進んでいるわけです。

--
とにかく驚きなのは、ネットワークの専用機器メーカーではなく、エレコムという周辺機器メーカーから 10GbaseT HUB が出たことです。他の周辺機器メーカーでも同様な製品が続々とでてくるのではないでしょうか。



[PR]
by islandcenter | 2016-10-06 10:49 | プライベートクラウド | Trackback | Comments(0)

小規模クラウドで Storage Area Network (SAN) 構成を低価格で実現できる製品が出てきました。

D-Link、低価格の10GBASE-T対応レイヤ2スイッチ2製品


 今回提供されるのは、100/1000/10GBASE-Tを8ポート搭載する「DXS-1100-10TS」と、同12ポート搭載する「DXS-1100-16TC」の2製品。前者はそれ以外にSFP+スロットを2基、後者はSFP+スロットを2基、100/1000/10GBASE-TとSFP+のコンボスロットを2基備えている。

 価格(税別)は、DXS-1100-10TSが18万8000円、DXS-1100-16TCが29万8000円。

仕様など詳細はこちら

この価格帯の 10Gbase-T HUB は長いこと NetGear の独壇場だったのですが、他からこの価格帯の製品がなかなか出なかった。

山が動くっ! 10GbE 安価なHUB登場 ネットギア XS708E

NetGear と違うのはレイヤ2でしかも SNMP マネージ機能がついている事。Zabbix の様なオープンソースの監視ソフトウェアで SNMP 管理すれば 10GbaseT の実力だとか、ポート単位で実効速度なんかをグラフのイメージでも把握できるわけです。やっぱり 10GbaseT は必要だよね、とかこのストレージは 1Gbase-T でも十分じゃんとか、中々イメージできないものです。

PCサーバー本体や、SANストレージには 10Gbase-T のポートは比較的安価に増設できたのですが、中々 HUB が出てこないのは、1Uラックでは廃熱や電源などの問題があったようなのですが、こうして低価格の 10Gbase-T の HUB が出てくる事は、小規模ネットワークのプライベートクラウド化のボトルネックだった、ストレージアクセスが解消されるわけです。

何より、ストレージ系のバックボーンを安心してSAN化できるのはいいことです。





-KeyWord-

プライベートクラウド SAN 10Baseu-T HUB ストレージボトルネック 仮想化

[PR]
by islandcenter | 2016-07-15 13:26 | プライベートクラウド | Trackback | Comments(0)

ご存じの通り Evernote の無料版が、アップロード制限だけではなくデバイス数にも制限がかかりました。本来、"Ever" で使えるビジネスモデルとして、長く使えるようビジネスモデルを考えた結果が Evernote の特徴ででしたが、複数のデバイスで無料だったサービスが Ever とは言えなくなってしまいました。もうすでに "Evernoteの乗り換え先はどこか"なんて記事がでているくらいだから、Evernote 脱退組が大量に出てくるでしょうね。


クラウドのフリーミアムモデルの後退です。Evernote ユーザは牧草地帯、クラウドノートの草刈り場となるのでしょうか。

- フリーミアムのコントロール -

クリス・アンダーソンの著書「フリー」では、10%のプレミアムユーザがフリーミアムの理想である、と”フリー”の中で書いています。Evernote のビジネスモデルでは、予想されたプレミアムユーザよりフリーユーザである分母が多すぎた、という事になります。無料のベーシック版が2台までというのはすごく微妙でポイントを付いた数字ですね。分母を減らしてでも運用コストを下げるか、プレミアム(プライム)ユーザから費用をとれるかのツボを押さえた制限です。

また、Evernote はプレミアムユーザであれば、転送容量、利用容量無制限だったのですが、このポリシーも数か月前に撤廃されて、プレミアムユーザであっても10Gの容量制限がかかっています。何しろプレミアムユーザならアップロードは無制限、無料ユーザはアップロード制限があっても、ダウンロードは自由だった訳ですね。

「本来の使い方から逸脱した利用」があったらしく、おそらく、一部のプレミアムユーザが「割れ物」のアップロードと共有に使っていたのでしょう。確かにそういう使い方もあるなと想像できます。

Evernote のアカウント先に送られてくるメールにも Evernote 自身が、プレミアムサービスをどう増やせばいいか迷走している様子がよく窺えました。

-ビジネス向けのフリークラウドサービスの限界-

よく Line なんかでグループチャットが便利といわれますが、メンバーの中に一人でもガラケーを使っている人がいると使えないと云われます。

と、おんなじで Evernote の一つの機能として、グループによるデータ共有があり、Evernote としてはこの機能を一つのメダマとして、アピールしたいようなのですが、メンバーの中に一人でも 「Evernote なんて知らんぞな、もし」のような人がいれば使えないのですね。

組織と組織外、個人との情報共有というのは非常に難しいものなのです。

一度、gmail の共有アカウントを作って、そこで共同作業をやって欲しいと、強制してきた業者がいましたが、非常に困惑しました。

google のアカウントにログインしてしまえば、ブラウザの情報は個人的なものでも、すべて「共有」されてしまうのです。個人的なものならまだしも、他の業務で使っている情報まで「共有」されてしまえば、これは立派な情報漏えいになってしまうわけですね。

結局フリーの滅多に使わないようなブラウザにパスワードを記憶させましたが、他の事業者、他人、他の組織のユーザにフリーであっても、便利だから、という理由でクラウドサービスを使うように強制させる事は難しいのです。

特に、IT部門が関わらないこうしたフリーのクラウドサービスは、情報共有に対する制御が利きません。

私も「個人的に」使っている Evernote の「情報共有機能」がどのようなものなのかが把握できない以上、Evernote を使っている外部のユーザさんと情報共有するための目的には絶対に使わないでしょう。そういった理由もあり、管理ができるという理由で、意味もない常駐人月時間単価監禁仕事という形態を日本の顧客やIT業界やSI業界はヨロコブわけです。なぜ、日本でこうしたオープンな業務形態を実現できないか、というのは、コラボレーションツールのマネジメントの欠如がプロジェクトの中で”ない”からなのでしょう。

Evernote にはいくつかのサクセスストーリーがありますが、それはあくまでもプレミアムユーザを対象とした、「組織丸ごと」のサクセスストーリーであり、個人ユーザのサクセスストーリーではありません。しっかりしたコラボレーションツールのマネジメントの中で行われるから、サクセスストーリーが出来上がるわけです。

- フリーミアムはパーソナルで -

もちろん Evernote のポリシー変更はワールドワイドのものであろうから、日本だけ特殊なわけではありません。このストーリーにオチを付けるなら、フリーミアムがプレミアム化するには、安心して利用できるしっかりした「管理できる」サクセスストーリーが必要だという事です。管理できないフリーサービスは、あくまでも個人利用からプレミアム化し、グループワークに使うのであれば、何等かのルール、あるいはプレミアム化できる付加価値として、強力な管理機能が必要なのです。

例えば、従業員が業務で使っていたフリーミアムアプリケーションに保存されたデータは退職したときにどう管理されるのでしょう。組織外と共有していたデータは、そのメンバーがライバルのプロジェクトに引き抜かれたらどうなるのでしょう。

もちろんフリーミアムのプレミアムサービスを組織として経費化できる仕組みがなければ、他の組織と、境界を超えたコラボレーションが行える訳ないのですね。フリープレミアムサービスの経費化、これは個人の出費なのか、組織の出費なのか、外部の業者に利用を強制すべきなのか、その境界が曖昧である以上、フリーミアムが、公式な組織のツールとして存在することはあり得ないのです。









[PR]
by islandcenter | 2016-07-11 10:44 | プライベートクラウド | Trackback | Comments(0)

Intel の Stick PC (STCK1A32WFC)をヨドバシカメラでゲットしてきました。(ヨドバシで16,000円程度)

今回の企ては、こいつを使った激安シンクライアントを構築してみようという事です。
a0056607_10523043.jpg

仕様などの詳細は上のURLをご参考ください。Atom 1.33 2Gb Memory SSD 32Gb です。

ついでに LAN 端子付き USB HUB もセットで購入しました。(ヨドバシで2,700円程度)

-本体-

本体には
- 本体
- USB-A <---> Micro USB の電源
- USB-A これはキーボードなどをつなぐので有線LAN 付 USB HUB を取り付けます。USB は 2.0 なので、HUB 3.0 Hub はオーバースペックなのですが、それはそれで使い道があるという事です。実際 100Mb LAN 搭載の USB2.0 HUB よりは全然早いようです。
- 標準サイズの HDMI オス、これをテレビなんかにプチと繋げます。
- メモリ用のカードスロット
- 電源ボタン

以上です。

-付属品-

- 物理的に HDMI ポートにプチと繋げられない場合のための HDMI オス<->メス 約20Cm の延長ケーブル。
- USB-A オス <--> Micro USB ケーブル、電源用なので、携帯電話の4P電源アダプタに繋ぎました。ふつうの Micro USB ケーブルです。
- USB-A メスの電源ユニット。近くにPCとか、TV に USB-A 端子がない場合に使います。各国の電源アダプタに合うように、着せ替えユニットもついています。つまりワールドワイド電源ですね。こういう気配りが日本国内でしか販売しないガラパゴス製品にはありません。
a0056607_10551001.jpg

Intel Stick PC は atom モデルなので、約16,000円程度で販売していました。

OSは Windows HOME 32bit 8.1 Being なので。最初はずいぶんショボいOSだなぁ、と思ったのですが、 Windows10 HOME てこんな画面だったっけ?という感じですね。しばらくおかしいなぁと思っていたのですが、PC のプロパティを見て初めて Windows 8.1 HOME だと気が付きました。やっぱり必要だね、という事で NAS に入っていた ClassicSHell を入れて色々いじってみます。


という事で早速、Windows 10 HOME 32 にアップデートします。

Windows 10 HOME 32 の Update ISO ファイルが NAS に保管されていたので、 Windows 8.1 のISO マウントを使ってマウントし、setup.exe を実行してアップデート開始です。ローカルディスクなので、ファイルのコピーは数分程度でしたが、さすがに atom 系なので、アップデート作業そのものは、数度の再起動の後、1時間以上程度かかりました。もちろん、「更新のインストール」はなし。アップデートと「更新のインストール」を同時にやると、素敵な休日の午後どころか、週末一杯付き合わないといけません。

-なんか遅い-

で Windows10 HOME にしたのですが、何だか動きがもっさりして重い。そう、Intel 内蔵グラフィックスのドライバーは、 Windows10 のアップデートのガンで、デフォルトでアップデートされると、異常に性能が悪いのです。そこで、Intel の内蔵グラフィックドライバだけ、アップデートすれば良かったのに、Windows 全部を更新してしまいました。(敗因)

あとは「またーり」と待つだけです。アップデータの中にはグラフィックスドライバもありました。

Windows Update のダウンロードは、接続している回線の最速でダウンロードする訳じゃありません。ウチの場合、古いADSLなので、実質下り 3MB/s 程度なのに 500KB/s 程度しか使っていない。有線でつなぐのも勿体ないので、 HDMI も有線 LAN もプチリと抜いて、電源が入った状態で酒飲んで放置プレーです。

一晩かかりました。ライセンスも引き継がれています。
a0056607_10582513.jpg

-シンクライアント化には有線は必須-

シンクライアント化するには有線LANの接続と有線マウス、キーボードは欲しいでしょうね。無線の通信速度が上がっても、混信があったりするので、有線接続をお勧めします。また、キーボードとマウスは無線ものより操作の双方向性が確実な有線ものが良いでしょう。無線 Wifi 接続でもテキストを主な処理とする場合は「そこそこ」使えるレベルです。試しに3Dグリグリの Windows 10 用のゲームを RDP 接続すると、Wifi では画面がモザイク状態。有線ではそこそこ見られるレベルでした。

シンクライアントとして使う場合、比較的単純な業務が多いと思います。そういった場合、接続が確実で大型のフルキーボードと有線マウスが必要でしょう。こうした、マン・マシンのインターラクティブな操作感は、シンクライアントでは重要です。Wifi ルータの性能は 802.11ac により1G越えも多いのですが、エンドポイントの端末は 11/b,g,n がまだ主流なんですね。スマートフォンにアプリをダウンロードする速度については便利ですが、リアルタイムなインターラクティブな操作が必要なシンクライアント環境では、2.4Ghz帯の混線が多い不安定なレスポンスしか期待できない無線接続は避けるべきでしょう。 逆に USB HUB に 802.11ac の子機ドングルを繋げるという選択もあったのかな、と思います。
a0056607_11002084.jpg

-セッションの作成-

「セッションはなるべく軽く」がシンクライアント作成と固定のポイントです。「自動検出」でも問題ないのですが、ここではレイテンシを下げて"フォントスムージング"だけイネーブルにします。これをチェックしないとフォントがギザギザになってしまいます。
a0056607_11024341.jpg


-静止画はキレイなんだけど動画はつらい-

動画再生や3Dのグリグリゲームで多くのリアルタイム動画を見る場合は、まずシンクライアントではお勧めできません。モザイクだらけの80年代のエロビデオを見ているような気分になります。もっともゲームをやっていて不満なのは、グラフィックスが汚いだけで、実際の操作感は、PCそのものをいじっているのと大体は同じです。もっと早いPCが欲しくなりますね。Core i5 程度ならまだしも、VDI サーバーで XEON V4 18 コア36スレッド、デュアルソケットなんてVDIサーバーなら、VDI クライアントを30台くらい詰め込んでも京王各駅停車から新幹線に乗った気分になれるでしょう。なにしろ、ユーザはクライアントPCのCPUの5%も使えばいいほうなわけですから、これで十分、というか勿体ないくらいのパフォーマンスです。
a0056607_11085307.jpg
静止画はキレイなんだけどなぁ

ということでデスクトップメインマシンも、VDI仮想サーバー上の仮想クライアントも、SSH 仮想X端末も、スティックPC1台でほぼこなすことができるようになりました。
a0056607_11104860.jpg

-まとめ-

今回は激安のスティックPCを使ったのですが、同じことは Android の激安タブレットや高級な iPad なんかでも同じ事が出来ます。ポイントとしては

- USB HUB 付の有線アダプタはあった方がいい。できれば USB3.0 Gbit Ether がいい。
 (本体が 2.0 でもネットワークはそこそこ早い)
- 本体には HDMI メス(標準でもマイクロでもいい)が必要
- USB ポートが付いていてできれは USB 3.0 であると尚可
- USB ポートが使われている状態でも電源供給ができること
- 古いモデルは Windows 8.1 Being なので、 7/29 までアップデートしておくこと。以降は流通在庫が激安で手に入るが 8.1 で我慢。
- Android や iOS ではストアに無料のRDP ソフトウェアがあるのでこれを利用
- Android/iOS は MHL 規格に対応している必要がある。電源供給できるかどうかはアダプタ次第。 HDMI はやっぱり欲しい
- PC内蔵(?)のキーボードなんか非常にグッド。

これで、タブレットでも、iPhone でも激安 Windows タブレットでも HDMI ポートがあるテレビ、モニタと、BluetoothやUSB 接続のキーボードやマウスがあれば、シンクライアントの完成です。


-Keyword-

激安シンクライアント  スティックPC  激安PCは使えるか PC内蔵キーボード VDIシステム クライアント仮想化

[PR]
by islandcenter | 2016-06-28 11:38 | プライベートクラウド | Trackback | Comments(0)