カテゴリ:プライベートクラウド( 76 )

最近の格安PCには \9,800" スティックPCとか3万円で買える激安タブレットなどがあります。スティックPCであれば、デスクトップで場所も取らないし、USB と HDMI が付いた激安 Windows タブレットなんかもとても魅力がある選択なわけです。処理能力は大したことないのですが、そのままリモートデスクトップでVDIサーバーに接続すれば、爆速シンクライアントPCとして利用できますし、VPNなどが使えれば、外でタブレットを使いながら社内のシステムに情報漏えいなどがない環境で安全に接続することができます。

また、キオスク端末のためのシステムや、ご家庭での「お子ちゃまPC」など使い方は色々あるわけですね。

ただ、安い事には理由があり、ほとんどの搭載OSが Windows10 HOME 32 bit 版だったりするわけです。

---->>>>ここから嘘の恥まり >>>>------

Windows10 には Guest ユーザがいません。そこで"guestをイネーブルにしてパスワードなしで使わせる"という芸当ができなくなっています(<--大嘘)。また、意地でも Microsoft アカウントと繋げようとするのも、あまり好ましくありません。


※知らなかった .... ビルトインアカウント Guest ってちゃんとあるのね。

Windows10 "Guest" ユーザを作る、いや、ビルトインアカウントを有効にする

ということで以下は嘘から生まれた参考程度にしてくだされ。---->>>>>

-目標-

"Microsoft アカウントと紐づけされていないパスワードなしの「一般ゲストユーザ」を作る"

事を目標として、その方法を説明します。

-目的-

- 子供たちが自由にログインできる
- 一般ユーザのリモートデスクトップなどのVDIシンクライアント専用のアカウントを作る
- HOME edition 搭載のタブレットPCをちょっと友人に貸して使わせたい
- メインユーザがパスワードを忘れてログインできなくなった場合の予備の管理者ユーザを作りたい(備考)
- キオスク端末を作りたい

と言った用途が考えられます。

-手順-

スタート>「設定」>「アカウント」より「家族とその他のユーザ」を開き

「その他のユーザをこのPCに追加」します。
「このユーザはどのようにサインインしますか」のページで「このユーザのサインイン情報がありません」をクリックして次へ
a0056607_12535261.jpg


「アカウントを作成しましょう」のページから「Microsoftアカウントを持たないユーザを追加する」をクリックします。

a0056607_12555460.jpg

「このPCを使うのは誰ですか」の欄に "guest" とか "anybody" とか、"HomeUser" とか "Pochi(犬用)", "Tama(ヌコ用)"などのアカウントをセットします。"パスワード"の欄は空欄のままです。

a0056607_12563173.jpg

これで、パスワードなしの一般ユーザが作成されました。ログインする際は、ログインスクリーンの左下の "anybody" などの作成したアカウントをクリックすると、プロファイルが作成され、パスワードなしのユーザが自動的に作成されます。
a0056607_12582985.jpg

-予備管理者-

予備の "Administrator"権限を持つユーザを作る場合は、よく使う”自分に覚えやすい”パスワードをセットして、ユーザを作成したあと、ユーザ名をクリックすると「アカウント種類の変更」を「管理者」に変更します。

a0056607_12590322.jpg

※ Windows8/8.1 まで guest アカウントがあったため、これを有効にした状態から Windows 10 にアップデートすると、プロファイルが競合するため、"guest" は作成できなくなるようです。<<<-----大嘘です。ビルトインアカウントありました。


以上大嘘終わり---

--
続きです。

Windows10のゲストユーザが Microsoft ID なしでストアアプリを使う

知らなかった .... ビルトインアカウント Guest ってちゃんとあるのね。

Windows10 "Guest" ユーザを作る、いや、ビルトインアカウントを有効にする

その他の情報はこちら

-Keyword-

Windows10 Home Edition パスワードなしのユーザ作成 Microsoft アカウントに紐づけされていないユーザの作成、家族用アカウントの作成 キオスク端末用アカウントの作成 管理者権限のあるバックアップユーザの作成


[PR]
by islandcenter | 2016-06-26 13:05 | プライベートクラウド | Trackback | Comments(0)

Windows10 で VDI(仮想デスクトップ)を導入すると、何しろ周辺機器がつながっていないので、まず、再起動しなければならないケースは少ないとは思いますが、「どうしても再起動したいんだよ」というケースがたまにあります。

しかし、リモートデスクトップでVDIシステムに接続している場合、「電源」ボタンにはセッションの「切断」かユーザ名アイコンから「サインアウト」しか選べません。
a0056607_11423748.jpg

そこで MSTSC.exe (リモートデスクトップ)で、接続中の、VDIシステムの Windows10 をリモートで再起動する方法を考えました。

- ALT+F4キーを押す -

一番お手軽なのがこの方法ですが、ALT+F4キーは「アプリケーションの終了」でもあるため、デスクトップを「全画面」にして操作しなければなりません。
a0056607_11430476.jpg
また、RDPのソフトウェアが動作する Android タブレットやスマートフォンなどではファンクションキーが使えない事もあります。

a0056607_11435189.jpg
Androidスマートフォンのハードコピーが上手く取れないオレ。

また、この方法では誤って「シャットダウン」を選択してしまう場合があります。シンクライアントシステムで、「シャットダウン」を実行すると、ご本尊まで行って電源投入を手動で行う必要があって、あまり塩梅が良くありません。VDIシステムの場合は、仮想クライアントの起動をシステム管理者が行う必要があるため、この方法はあまりお勧めできないわけです。

- コマンドラインから shutdown -r -t 0 /r /f /t 0 を実行する -

※ 初出で"-r" と書いてしまいました。これは UNIX 系OSの場合ですね。DOS 系は "/r" でした

という事で、シャットダウンをバッチ処理する方法がお勧めです。
次のようなバッチファイルを作成して \Windows\system32 あたりに reboot.bat という名前で作成します。メモ帳では直接保存できないので、いったんテンポラリに作成して、強引にコピーしてしまいます。

=====================ここから======================
echo off
echo .
echo .
echo .
echo .
echo =========== リブートします。~C で中止 ===========
echo .
echo .
echo 何かキーを押すとリブートします。
echo .
pause
cls
shutdown /r /f /t 0
exit
========================ここまで===================

その他の shutdown.exe のパラメータはヘルプで参照してみてください。ここで使っているのは

/r : リブート
/f : アプリケーションの強制終了
/t 0 : 0 秒後にウエイトなしでリブート

です。ちなみに /s を付けるとシャットダウンですので、リモートの「ご本尊」の起動操作が必要になってしまいます。管理者が何らかの理由で停止/メンテナンスが必要な場合にのみ使う事になるでしょう。後は、このバッチファイルをデスクトップだとかタスクバーに登録しておけば、実にあっさりと再起動してくれます。
a0056607_11451346.jpg

ここでは pause で止めて "CTRL+C" でキャンセルできるようにしていますが choice.exe なんかを組み合わせるともっとナイスなバッチファイルが出来上がります。


Windows10 リモートデスクトップ 簡単に再起動したい シャットダウンしたい VDIシステム 仮想化クライアントの再起動 バッチファイル





[PR]
by islandcenter | 2016-06-24 11:51 | プライベートクラウド | Trackback | Comments(0)

スマートフォンの音で目が覚めた。リビングのAndroid のセットトップのスリープを解除すると、NHKの天気予報が流れてきた。画面を4分割して、その一つを開くと、いくつかのSNSの書き込みがあった。嫁が「なに、このヨシコちゃん、いつも”いいね”って」なるべくSNSは家族の前でオープンに公明正大にやって、悪い事は携帯メールだけでするようにしている。

コーヒーを飲みながら、タブレットに溜まったニュース記事を読む。

気になるSNS投稿があったので、ニュースはセットトップボックスに任せ、SNSの返事をタブレットでコメントを書き込む。最近のタブレットは便利で、文字認識があり、手書きで自由に文字を書き込める。トーストを齧りながら、IT関連のニュースをチェックし、ブックマークしておく。

朝のラッシュが嫌なので、朝のテレビドラマを見ながら、タブレットから、職場で使っているVDIシステムにリモート接続して、メールが来ていないかをチェックし、気になる内容があったので、その文字を指で囲んで、クラウドノートブックに張り付けておいた。

携帯電話をポケットに突っ込み、タブレットをスリープ状態でカバンに詰め込んで出勤する。電車の中で読みかけのニュースとSF小説を読み始めた。ポケットの中の携帯電話はテザリングモードになっている。最近は、有線ネットワークよりも無線ネットワークの方が速度が速く、この手のデバイスで有線ネットワークのコネクタが付いているものは少ない。もっとも有線ネットワークのコネクタのサイズが大きすぎて、薄っぺらいタブレットには似合わない。最近はやっと、通信回線速度の制限が緩くなったので、一日中ネットワークにつないでいても問題はない。

職場に着くと、タブレットを机の上に放り出し、24インチモニターにAndroid のセットトップボックスが付いた、モニタとキーボードのスイッチを入れて、タブレットをブルートゥースで繋ぐ。最近は、マウスよりこっちに慣れてしまった。こればかりは反応速度があるため、画面とキーボードは有線接続しているがマウスは引き出しにしまっている。しかもこのセットトップボックスはゲンコツ位の大きさで、モニタをつなぐコネクタとか、電源やキーボードの口が付いて僅か1万円ちょっとしかしないらしい。余計なデータが保管できないよう、最低限の記憶装置しか持っていない。キーボードのタッチタイピングは忘れたなぁ。やっぱりキーボードのタッチ感はいいのでやめられないが、ちょっとした事ならスマートフォンをタッチパッドとして使うことの方が増えたと思う。

モニタに拡大したセットトップボックスの画面の中のVDIシステムを起動したら、「Windows」というすごく懐かしいシステムのリモート接続画面が出てきた。勤怠管理はこの Microsoft Access というプログラムで作られたシステムで動く。実際にこの Windows とやらがどこで動いているのかはよく知らないが、愛知の工場の中のデータセンターに何台かの Windows 動くXEONの48コアのサーバが導入済みで、この数台のサーバーの中で300人分の Windows システムが動いているらしい。画像転送だけなので、滅茶苦茶快適だ。ログイン、ログアウトも10秒で終わる。だいたい、一人がPCのCPUパワーを使うのは、全体の5%にも満たないから、この程度のスペックでも、恐ろしく快適に動いてくれる。一般従業員はPCサーバー1台あたり40名で使っているが、システム開発やCADを使う連中は、1台で4人で共有しているらしい。

今度、勤怠管理システムもプライベートクラウド化するので、Windows のVDIを使う事は、スプレッドシートやメール、センシティブなファイルを読むときくらいしか、使わなくなるかもしれない。このシステムが導入されてから、自宅での持ち帰り残業にUSBメモリが使えないので、頭に来た。しかし職場のPCがVDI化されているので、自宅でメールチェックも風呂敷残業もできるようになっていることを知ってからが恨めしい。いい加減、タイムカードによる報酬の計算はやめてほしいものだ。システム開発の連中なんか、時給換算されない自宅で仕事することが増えたとぼやいていた。

ファイルサーバーの中の見積データを開くと瞬時に作りかけの見積書が出てきた。保存すると、アッという間にデータセンターのSANストレージに保存された。ちなみにエンドユーザの作ったデータは自動的にバックアップコピーされるらしいし、スナップショットで古いデータに書き戻すことも簡単だ。

どうやら、サーバー室の中は10Gbネットワーク化されているので、仕事に使うデータの保存やファイルコピー恐ろしく速いようだ。はもう一つのVDIシステムを起動して、モニタにに分割表示し、11インチのタブレットをタッチパッドの様に操作すると、マウスカーソルが動き出し、二つのVDIシステムを見ながら、見積書のフィニッシュワークをした。

打ち合わせに携帯電話を持ち込み、会議の内容を録画しながら、クラウドの文書化ソフトウェアサービスにつなぐと、各者の発言が文書化されていく。ホワイトボードの書き込みも携帯で撮ると、そのままデジタル文書化されていく。このサービスは海外で提供されているらしいが、極秘の内容もあるため、内容の保存は、社内のストレージに変換されるよう、システムを変えるつもりらしい。

あ、そうだメールの返事を書かなきゃ。最近は音声認識が多いので、最初はみんな珍しがって、アッチコッチでメールを書く「大声」が聞こえ、お互いメールを送りあっては物珍しがったものだったが、さすがに最近は「そりゃウルサいだろ」という事で、メールはデジタイザペンを使ってタイピングするか、手書き文字認識を使う事が多いようで、割と静かになった。ただ、困るのは、電車の優先席のあたりで「音声認識メール」を使うバカが増えた事だ。やっぱり、優先席付近では電子機器は使用禁止にしてほしいものだ。朝、チェックして○しておいた箇所はクラウドノートに張り付いているので、返事をデジタイザで書いておく。

息子は結構「立派なデスクトップPC」を使っている。やっぱり3Dのゲームをグリグリ動かすにはこれくらいのパワーが必要らしい。もう一台「インテルはいってるPC」と一応は呼べる手のひらサイズのコンパクトなパソコンもあるが、中身は「ホームアプライアンス」のOSが動いている。自宅へのVPN接続から、デジカメ写真、音楽、ビデオの保存、防犯カメラの映像、ウィルス対策やファイアウォール、ビットトレントのダウンローダーなんかが全部ついていて、データは外付けのHDDに保管されている。全ての設定がブラウザで行えるので、モニターやキーボードはついていない。いざとなれば、モニタとキーボードをつなぐこともあるし、SSHでほとんど肝心な処理ができるところがお気に入りだ。

妻は友人向けのパーティの招待状をデジタイザでデザインしている。クラウド郵送サービスに、送付先を全部登録してあるので、招待状のデザインと封筒を指定して、送り先に登録した宛名をチェックして注文すれば、好みの招待状が郵送される仕組みだ。一応プリンタとスキャナの複合機はあるが、ここ何か月も使ったことがない。ただ、子供と旅行にいった時の写真は、手帳に挟んでおきたいので、時折、クラウドに保存した写真を印刷することはある。5年前に買った「パソコン」はモニタが壊れて以来、ホコリをかぶっている。


PCは確実にレガシーデバイスと化する。数年後はこんな世界になっていれば、いやなっているかも、日本国内のPCの出荷台数なんて、今の2割程度まで減るんじゃないかな。PCは趣味でしか使われなくなるだろう。












[PR]
by islandcenter | 2016-05-28 13:03 | プライベートクラウド | Trackback | Comments(0)

SUSE Linux


SUSE Linux で作る pptp サーバ、ノマドワークへの道
の続きです。

PC系のライターさんたちは語彙が豊富で、「クラウド」に「ホーム」を付けてしまって「ホームクラウド」なんてコトバを作っちゃうんですね。要は、 Google などのクラウドサービスを使うのではなく自宅を「クラウド」に見立てて「ホームクラウドだぜ、すげーだろ」ってことにしてしまうわけです。もうこうなると意地の世界ですな。

まぁ、確かに、自宅のNASやサーバにあるファイルを、ちっちゃなスマートフォンの画面でも操作できたり、音楽をダウンロードできて「すンげーだろ」という事なのですが、あまり利用価値なさそうな気もします。そんなことするくらいなら、Google 神社にお布施した方がよっぽどマシな気もします。

しかし、VDIによる仮想デスクトップなどをデモしようとするならば、たとえちっちゃなスマートフォンの画面でも Windows のログオン画面が出てくるというのはそれなりにインパクトがあります。何しろ、HDMI のTV出力とか、タブレットクラスの機械であれば、Bluetooth キーボードがあれば「使えそう」な気がしてしまう(かもしれない)のです。

ところが、Android や iOS では通常の VPN トンネルをさらに GRE でさらにカプセリングするという技を見せてくれるようなのですね。

ということで、通常の PPTP サーバでは Android や iOS は接続できないようです。GRE ポート(47) の解放はもちろん、 GRE でカプセリングして肥大化したパケットを通す必要がありそうです。もちろん最初から VPN 装備のルータがあるのなら問題はないのでしょうが、貧乏なので僅か 192Mbメモリの pptp サーバを仮想化してつないでみました。


-現象-

iOS もしくは Android で pptp 接続できない。 GRE ポート(47) は解放済み、PC からの VPN 接続は問題ない。

接続できない時のログ

May 7 00:59:00 sles11 pptpd[5050]: CTRL: Client 126.229.32.111 control connection started
May 7 00:59:00 sles11 pptpd[5050]: CTRL: Starting call (launching pppd, opening GRE)
May 7 00:59:00 sles11 pppd[5051]: pppd 2.4.5 started by root, uid 0
May 7 00:59:00 sles11 pppd[5051]: Using interface ppp0
May 7 00:59:00 sles11 pppd[5051]: Connect: ppp0 <--> /dev/pts/1
May 7 00:59:01 sles11 pppd[5051]: MPPE 128-bit stateless compression enabled
May 7 00:59:04 sles11 pppd[5051]: MPPE disabled
May 7 00:59:06 sles11 pppd[5051]: Connection terminated.
May 7 00:59:06 sles11 pppd[5051]: Connect time 0.1 minutes.
May 7 00:59:06 sles11 pppd[5051]: Sent 50 bytes, received 40 bytes.
May 7 00:59:06 sles11 kernel: [14340.582105] Loading kernel module for a network device with CAP_SYS_MODULE (deprecated). Use CAP_NET_ADMIN and alias netdev-ppp0 instead
May 7 00:59:06 sles11 pppd[5051]: Exit.
May 7 00:59:06 sles11 pptpd[5050]: GRE: read(fd=6,buffer=611640,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
May 7 00:59:06 sles11 pptpd[5050]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
May 7 00:59:06 sles11 pptpd[5050]: CTRL: Reaping child PPP[5051]
May 7 00:59:06 sles11 pptpd[5050]: CTRL: Client 126.229.32.111 control connection finished
sles11:/etc/ppp #

-対策-

/etc/ppp/options.pptp の mtu, mru の値を 1200 から 1100 に減らしたら接続できた。

sles11:/etc/ppp # cat options.pptp
lock
# my pptp server name, myoffice domain
name sles11
domain intra
#
auth
refuse-mschap
require-mschap-v2
require-mppe-128
# my office-dns
ms-dns 192.168.1.102
#ms-wins 192.168.1.102
#
proxyarp
nodefaultroute
nobsdcomp
novj
novjccomp
nologfd
#
#mtu 1200
#mru 1200
mtu 1100
mru 1100
sles11:/etc/ppp #

繋いでみました。

May 7 21:37:10 sles11 pptpd[2953]: CTRL: Starting call (launching pppd, opening GRE)
May 7 21:37:10 sles11 pppd[2954]: pppd 2.4.5 started by root, uid 0
May 7 21:37:10 sles11 pppd[2954]: Using interface ppp0
May 7 21:37:10 sles11 pppd[2954]: Connect: ppp0 <--> /dev/pts/1
May 7 21:37:10 sles11 pppd[2954]: MPPE 128-bit stateless compression enabled
May 7 21:37:10 sles11 pppd[2954]: found interface eth0 for proxy arp
May 7 21:37:10 sles11 pppd[2954]: local IP address 192.168.1.22
May 7 21:37:10 sles11 pppd[2954]: remote IP address 192.168.1.80
May 7 21:37:10 sles11 pppd[2954]: Script /etc/ppp/ip-up finished (pid 2969), status = 0x0
May 7 21:38:02 sles11 pptpd[2953]: CTRL: EOF or bad error reading ctrl packet length.
May 7 21:38:02 sles11 pptpd[2953]: CTRL: couldn't read packet header (exit)
May 7 21:38:02 sles11 pptpd[2953]: CTRL: CTRL read failed
May 7 21:38:02 sles11 pptpd[2953]: CTRL: Reaping child PPP[2954]
May 7 21:38:02 sles11 pppd[2954]: Modem hangup
May 7 21:38:02 sles11 pppd[2954]: Connect time 0.9 minutes.
May 7 21:38:02 sles11 pppd[2954]: Sent 1638 bytes, received 1583 bytes. <- 繋げて ping を飛ばしてみた。
May 7 21:38:02 sles11 pppd[2954]: MPPE disabled
May 7 21:38:02 sles11 pppd[2954]: Connection terminated.
May 7 21:38:02 sles11 kernel: [ 100.687207] Loading kernel module for a network device with CAP_SYS_MODULE (deprecated). Use CAP_NET_ADMIN and alias netdev-ppp0 instead
May 7 21:38:02 sles11 pppd[2954]: Script /etc/ppp/ip-down finished (pid 3077), status = 0x0

別に Android だとか iOS のちっちゃな画面でつなぐ必要はないのですが、将来、タブレットだとか使う時のために試してみました。








[PR]
by islandcenter | 2016-05-08 10:24 | プライベートクラウド | Trackback | Comments(0)

Windows10 で動かす Zabbix2

タイトルこそ "Windows10 で動かす Zabbix2" ですが、実際は"Windows10 の Hyper-V で動かす Zabbix2 アプライアンス"が正解です。

何かと Linux を使うという事は「専門性」が要求されるわけですが、自称"オープンソース専門家"ではなくても使えるオープンソースという考え方は重要だと思います。

ここでは Zabbix 2.2 仮想アプライアンスを Windows10 の Hyper-V 環境で動かすことを前提としています。

※ 最新の Zabbix 3.0 は Ubuntu ベースで、死ぬほど苦労したにも関わらず、動作させたところ不安定なところがいくつか見受けられました。また致命的な変更点は、通信の暗号化程度で、インターフェースがコスメティックに変化していた程度でした。ここでは 2.2 の利用方法を説明しています。まぁ現在 openSUSE が leap 版だという事もあり Zabbix 3.0 がUbuntu でも仕方がないでしょう。

- Zabbix アプライアンスの入手 -

Zabbix アプライアンスはこちらから入手します。ここでは Hyper-V を使用しましたが、仮想環境があるのであれば、 XEN でも KVM, VMware のイメージでも構いません。
または

※ここでは Zabbix2.2 の説明をしています。ダウンロードするアプライアンスも 2.2 を取得してください。また、Zabbix アプライアンスは小規模ネットワークでの評価目的ですので、数千台のサーバーがあるデータセンターでの導入だとか、詳細なサポートは Zabbix LLC. のサポートを強くお勧めします。

アプライアンスの詳細はこちらのドキュメントをご参考ください。デフォルトのパスワードなどが記載されています。

-Zabbix アプライアンスの実装-

VHD の圧縮イメージを入手したら、任意のディレクトリに解凍します。

Hyper-V ウィザードから Zabbix アプライアンスの VHD イメージを実装します。
「新規仮想マシン」を作成します。ここでは Hyper-V の細かな導入、設定、操作方法は説明していませんのであしからずご了承ください。Hyper-V のデフォルトでネットワーク構成が「なし」(笑)なので、必ず、ブリッジを指定します。
ただし、仮想ハードディスクは「既存の仮想ハードディスクを使用する」から、解凍した VHD イメージを指定します。
a0056607_08162890.jpg

これがサマリです。必ず"ネットワーク"はブリッジ接続しましょう。デフォルトは "なし"です。
a0056607_08171013.jpg

Hyper-V マネージャから仮想アプライアンスに接続して起動すると openSUSE が起動して、仮想アプライアンスが起動します。root/zabbix のデフォルトでコンソールに接続できます。
a0056607_08193228.jpg

仮想アプライアンスは SUSE Linux で作られているため、あらかじめMicrosoft 製 Hyper-V 用の仮想ドライバが組み込まれています。

zabbixhv:~ # cat /var/log/messages | grep Microsoft
2016-03-22T02:13:06.804337+00:00 zabbixhv kernel: [ 0.000000] DMI: Microsoft Corporation Virtual Machine/Virtual Machine, BIOS 090006 05/23/2012
2016-03-22T02:13:06.804340+00:00 zabbixhv kernel: [ 0.000000] Hypervisor detected: Microsoft HyperV
2016-03-22T02:13:06.806502+00:00 zabbixhv kernel: [ 13.505447] input: Microsoft Vmbus HID-compliant Mouse as /devices/virtual/input/input4
2016-03-22T02:13:06.806505+00:00 zabbixhv kernel: [ 13.505490] hid 0006:045E:0621.0001: input: <UNKNOWN> HID v0.01 Mouse [Microsoft Vmbus HID-compliant Mouse] on
zabbixhv:~ #

-IP の固定化-

openSUSE の yast ツールを使って、DHCP アドレスから固定 IP に変更します。

# yast

から Network Devices > Network Setting を開き
a0056607_08202214.jpg

DHCPだった IP の設定をEdit から Static/SubnetMask に変更します。
その他 'Hostname/DNS' タブと 'Routing' タブの DNS と Default Route を変更して OK を押します。
ついでに DNS 名、ホスト名が linux-xxxxx.site となっているので、例えば zabbix22.yourcompany.com などに変更します。変更結果は再起動した後、プロンプトに設定したホスト名に変更されます。
a0056607_08240357.jpg
※ ちなみに Zabbix Appliance には yast に必要なメニューしかバンドルされていません。 # zypper install yast2* を実行すると、様々な楽し気でナイスなメニューが出てきます。使えないものもありますが ......

-NTP の変更-

NTP は公共の ntp プールを使っているので、できれば、LAN内部の NTP サーバーを使用するようにしましょう。
a0056607_08243787.jpg

yast > Network Service > NTP servivce の Add メニューから "Server"、 イントラネット内部の NTP サーバーを指定します。実際通信できているかは TEST ボタンを押して確認します。
a0056607_08250863.jpg

これが出来上がった ntp の状態です。デフォルトで Hardware Clock が指定されていますが、これは削除するのがよいでしょう。
a0056607_08255976.jpg
-PHP.ini の書き換え-

php.ini の書き換えはタイムゾーンの変更だけです。ここだけは vi を使います

# vi /etc/php5/apache2/php.ini

で php.ini を開き

# date.timezone = 'UTC'
の部分をコメントアウトして
date.timezone = Asia/Tokyo
に変更します。

zabbixhv:/etc/php5/apache2 # ls php.ini
php.ini
zabbixhv:/etc/php5/apache2 # cat php.ini | grep timezone
; Defines the default timezone used by the date functions
; http://php.net/date.timezone
#date.timezone = 'UTC'
date.timezone = Asia/Tokyo
zabbixhv:/etc/php5/apache2 #

なお、PHP は Zabbix アプライアンス内部で最適化されているようです。百台程度のデバイスの評価目的ならメモリなどのチューニングはデフォルトのままで結構でしょう。ソースから導入する場合は、 php.ini を書き換える必要があるそうです。

HOSTNAME の変更が反映されるよう、サーバーを再起動して、NTP や Apacheなどが起動したら、ブラウザのフロントエンドからブラウザのアドレスバーに、固定したアドレスをセットして Admin/zabbix でログインします。
a0056607_08264524.jpg
Monitoring > Graphs の右端の時刻が日本時間になっていれば php.ini のタイムゾーンの設定はOKです。
a0056607_08273906.jpg
※ここでのキャプチャ画面は英語ですが、右上のプロファイルメニューから日本語に変更できます。

- 監視対象ホストの設定 -

Configuration > Host から "Create Host" ボタンを押して、監視対象のホストを登録します。
a0056607_08290076.jpg
"Host Name", "Visual Name" をセットして
- "Agent Interface" -- エージェントがなければ空欄でも構いません。
- "SNMP Interface" に Add ボタンで監視対象のコンピュータの "DNS名"、もしくは IP を設定します。DNS名を設定した場合、IP アドレスは空欄でも構いません。一旦 "Save" しましょう。
a0056607_08293183.jpg
次にHost の "Template" タブを開き Link new Template から Template SNMP OS Linux を選びます。空欄に "snmp" と入れると、テンプレート snmp のリストが出るので、一番近いテンプレートを選び 'Add' し、'Save' します。
a0056607_08300907.jpg
監視対象が Windows や NAS, スイッチング HUB などの場合は "SNMP Generic" など近いものを選ぶと良いでしょう。


ここから5分ほど置いてからホスト一覧を再読み込みしてください。 Availability のところが"緑色" になっていれば、 SNMP 監視が始まっています。登録した当初は Grafhs(x) の値が0になっていますが、 Zabbix がデータを収集し始めると、設定されたアイテムに従って、グラフデータを収集し始めます。
a0056607_08313099.jpg

SNMPの監視が始まってから約1時間待つと、"Graph" の数値が 0 からいくつかのグラフ数が入り、描画が始まります。
Monitoring > Graph を選び、右のトグルボタンから"Group"、"Host"、"Graphの対象(Eth0など)" を選ぶとグラフが表示されます。
a0056607_08323381.jpg
※ここはとにかく1時間じっくり待ちます。とにかく慌てないこと。

-監視対象は SNMP が動いているか-

監視対象デバイスで snmp が動いているかどうかは snmpwalk を使って確認します。一般的な NAS やスイッチングHUB などの場合、 バージョンは version '2c' コミュニティ名は Read Only(RO) の 'public' を指定すればよいでしょう。この記事では Trap の機能までは説明しません。

ちなみに SUSE Linux はデフォルトでは正しく動作しません。net-snmp パッケージを導入して snmpd.conf の Community 行の書き換えが必要です。snmpwalk に使用する OID .1.3.6.1.2.1.1 などは、MIB 関連のドキュメントを読んで勉強してください。(と逃げる)

zabbixhv:~ # snmpwalk -v 2c -c public dns2.intra .1.3.6.1.2.1.1
Created directory: /var/lib/net-snmp/mib_indexes
SNMPv2-MIB::sysDescr.0 = STRING: Linux dns2 3.0.101-63-xen #1 SMP Tue Jun 23 16:02:31 UTC 2015 (4b89d0c) x86_64
SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10

: 略

zabbixhv:~ #

とズラズラ帰ってくれば、Zabbix の snmp での状態監視はできるようです。帰ってこない場合は、コミュニティストリングが違うとか、snmp が disable になっているとか、snmp なんて機能ないよ、という SOHO 機器の場合に起こりえます。諦めましょう。


- デスクトップPCでも試せる Zabbix -

実際、この体験はデスクトップPCではなく、一般的なモバイルPCで行いました。特別なサーバーハードウェアを用意しなくても Zabbix の "体験"ができるのは貴重なことです。

この体験を通じて本格的なネットワークモニタリングツールの導入、運用、トレーニングができればと思います。


あわせて読みたい
まぁ、長期運用はやめた方がいいようですね。




[PR]
by islandcenter | 2016-03-23 08:33 | プライベートクラウド | Trackback | Comments(0)

Zabbix 3.0 のリリースと同時に Zabbix Appliance も公開されました。利用した「顛末記」です。

※ 追記 顛末記なので最新版 3.2 で試してみました。この記事よりマズマスなのでこちらをご参考ください。

Zabbix Download 3.0 LTS KVM, Parallels, QEMU, USB stick, VirtualBox, Xen (.raw) ダウンロードはこちら

Zabbix appliance

-なんで Ubuntu ????? -

今までの Zabbix Appliance は openSUSE で構成されていたため、ほとんどの作業をroot で入って yast コマンドで、メニュー形式から変更することができました。vi 使うのは php.ini のタイムゾーン書き換える程度だったんですけどね。なぜこんなに使いづらい Ubuntu にしたのか納得できない。何かというと "access denied" とか "command not found" となるンですね。

お、出たか sudo しろって事だな。という事で、システム設定のほとんどを yast メニューで出来た openSUSE 版ではなく、地獄の sudo と sudo vi との闘いが、zabbix 以前の問題としてアプライアンス導入へのハードルを上げてくれました。

まぁ好みと慣れの問題なんですけどね。

※つくづく申し上げますが、vi で設定を編集するときは綴りを間違えないでくださいね。SUSE の yast の様にパッケージのインストールから設定まで自動化されていません。ubuntu では全部手書きです。

zabbix 2.x での実際のアプライアンス版の導入はこちらをご参考下さい。

頼む、openSUSE 版の Appliance 出すか、SUSE 版の zabbixの rpm 作ってくれ。
openSUSE で 1 Click インストールできる様にしてくれ。
と言っても無料で使っているわけだから文句は言えませんね。
まぁ、openSUSE leap 42 は安定板じゃないからなぁ、13.1 あたりの安定板を使ってほしい。

- 環境 -

動作環境は SLES12 の XEN 環境から行いました。Zabbix Appliance 3.0 は KVM/XEN と同じイメージファイルです。SLES12 の環境では XEN/KVM 両方サポートしているので、どちらでも、実装そのものはあまり変わりないでしょう。おそらく RedHat 系の KVM のみの環境でも同じように実装できると思います。

まず解凍します。
sles12:/var/lib/xen/images/zabbix # tar xvzf zabbix_appliance_3.0.1_x86_64.raw.tar.gz
./
./zabbix_appliance_3.0.1.raw
sles12:/var/lib/xen/images/zabbix # ls -al
total 81061244
drwxr-xr-x 3 root root 4096 Feb 16 18:35 .
drwx------ 19 root root 4096 Mar 10 08:34 ..
-rw-r--r-- 1 root root 10485760000 Feb 16 18:56 zabbix_appliance_3.0.1.raw
-rwxr--r-- 1 root root 1370095336 Mar 10 12:03 zabbix_appliance_3.0.1_x86_64.raw.tar.gz
sles12:/var/lib/xen/images/zabbix #

そりゃ、openSUSE だと思っていましたよ。でもドキュメント読むと

"Ubuntu version 14.04.3"

って書いてあるわけですね。そりゃぁ手慣れた手順で、アプライアンス実装しても動く訳がない。

その罠に気が付いて virt-manager を起動して、SLES12 では、次の様なパラメータで仮想マシンを実装します。

a0056607_11165514.jpg
最近はハードウェアの性能が仮想化前提で設計されているため、あまり XEN/KVM の性能差や機能差がなくなってきました。起動して初めて「何じゃこれ」という事になったわけです。

- OS Type が Ubuntu なので full virtual(完全仮想化)です。
- メモリ、vcpu はデフォルトのまま
- 仮想ディスクに解凍したイメージ raw ファイルをセット
- VM 名を任意に zabbix3 などにセット

これで OK ボタンを押すと Zabbix アプライアンスが起動します。
a0056607_11174281.jpg
DHCP なので ifconfig で ip を確認してから Ubuntu に SSH 接続してみます(メンドクサイ)ちなみに ubuntu には root というユーザがいないため、デフォルトの "appliance"/zabbix で ssh 接続します。 -l なんてオプション初めて知った。
a0056607_11181045.jpg
- IP を固定する -

yast が使えないため、まず DHCP から ip を固定するため sudo vi と闘います。
/etc/network/interfaces /etc/resolv.conf を修正します。

appliance@zabbix:/etc/network$ cat interfaces <--- デフォルトの確認
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet dhcp
appliance@zabbix:/etc/network$

# sudo vi /etc/network/interface <--- 編集、/etc/resolv.conf も編集

appliance@zabbix:/etc/network$ sudo vi interfaces
[sudo] password for appliance: 間違えちゃった....
Sorry, try again.
[sudo] password for appliance: <--- vi で編集します。

: 編集中(SUSE + yast じゃないので、綴りを間違えないように......)

appliance@zabbix:/etc/network$ cd ..
appliance@zabbix:/etc$ sudo vi resolv.conf
appliance@zabbix:/etc$ cat network/interfaces <--- 変更後の確認
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static <--- dhcp から static に、綴り間違えるなよ。

address 192.168.1.206 <--- 以下追加
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 192.168.1.2

<--- ここまで

resolv.conf も修正

appliance@zabbix:/etc$ cat resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.1.2
nameserver 192.168.1.3
search intra
appliance@zabbix:/etc$

appliance@zabbix:~$ sudo ifdown eth0 && ifup eth0 <-- auchi!! あちゃーsudo忘れた
appliance@zabbix:~$ sudo ifdown eth0 && sudo ifup eth0 <-- 正しくはこっち do not forget "sudo"
appliance@zabbix:~$ ということでコンソールから(from console)
appliance@zabbix:~$ sudo ifup eth0
appliance@zabbix:~$ ping www.yahoo.co.jp
PING www.g.yahoo.co.jp (182.22.72.251) 56(84) bytes of data.
64 bytes from 182.22.72.251: icmp_seq=1 ttl=51 time=182 ms
^C
--- www.g.yahoo.co.jp ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 182.758/193.811/204.865/11.062 ms (<---- it seems fine !)
appliance@zabbix:~$ ifconfig
eth0 Link encap:Ethernet HWaddr 00:16:3e:5e:7a:61
inet addr:192.168.1.206 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::216:3eff:fe5e:7a61/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:19487 errors:0 dropped:4 overruns:0 frame:0
TX packets:1337 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:903775 (903.7 KB) TX bytes:202727 (202.7 KB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:1620 errors:0 dropped:0 overruns:0 frame:0
TX packets:1620 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:92110 (92.1 KB) TX bytes:92110 (92.1 KB)

appliance@zabbix:~$

どうやら、IP の固定と、dns の設定が出来たようです。SUSE なら yast で1分の作業ですが、ここまで3時間かかりました。やっぱり SUSE 利用者には ubuntu は手ごわい。

- NTP のインストール -

なんと ntp がないじゃないか、という事で NTP をインストール、JST 設定します。SUSE の yast ならインストールから設定まで 30 秒の作業ですが、ここでもまた30分間の死闘が始まります。

appliance@zabbix:/etc$ sudo apt-get install ntp

またパスワードだ

Reading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
libopts25
Suggested packages:
ntp-doc apparmor
The following NEW packages will be installed:
libopts25 ntp
0 upgraded, 2 newly installed, 0 to remove and 0 not upgraded.
Need to get 474 kB of archives.
After this operation, 1,677 kB of additional disk space will be used.
Do you want to continue? [Y/n] y <---- yes する
Get:1 http://us.archive.ubuntu.com/ubuntu/ trusty/main libopts25 amd64 1:5.18-2ubuntu2 [55.3 kB]
Get:2 http://us.archive.ubuntu.com/ubuntu/ trusty-updates/main ntp amd64 1:4.2.6.p5+dfsg-3ubuntu2.14.04.8 [419 kB]

: 略

Processing triggers for ureadahead (0.100.0-16) ...
appliance@zabbix:/etc$

ntp の設定をし直します。

appliance@zabbix:/etc$ sudo vi ntp.conf <--- vi で編集して
appliance@zabbix:/etc$
appliance@zabbix:/etc$ cat ntp.conf

: 略

# Use servers from the NTP Pool Project. Approved by Ubuntu Technical Board
# on 2011-02-08 (LP: #104525). See http://www.pool.ntp.org/join.html for
# more information.
#server 0.ubuntu.pool.ntp.org <---- Comment out
#server 1.ubuntu.pool.ntp.org <---- Comment out
#server 2.ubuntu.pool.ntp.org <---- Comment out
#server 3.ubuntu.pool.ntp.org <---- Comment out

# Use Ubuntu's ntp server as a fallback.
#server ntp.ubuntu.com <---- Comment out

server ntp1.intra <---- Add my NTP server(s)
server ntp2.intra <---- Add my NTP server(s)

: 略

appliance@zabbix:/etc$

-UTC から JST に(?)-

appliance@zabbix:/etc$ cat timezone
Etc/UTC <--- Default UTC
appliance@zabbix:/etc$ sudo vi timezone
appliance@zabbix:/etc$ cat timezone
#Etc/UTC
Asia/Tokyo <--- JST にしてみる。
appliance@zabbix:/etc$

リスタートしてみる
appliance@zabbix:/etc$ sudo /etc/init.d/ntp restart
* Stopping NTP server ntpd [ OK ]
* Starting NTP server ntpd [ OK ]
appliance@zabbix:/etc$

何じゃこれ?
appliance@zabbix:/etc$ date
Sun Mar 13 04:24:36 UTC 2016 <--- JST じゃないけど ....
appliance@zabbix:/etc$

なんか違う様です。SUSE の yast の様にタイムゾーンとNTPを一発で設定できないので、何か他のテキストを書き換えないといけない様ですね。

※補足 sudo dpkg-reconfigure --frontend noninteractive tzdata とやるようです。


- グラフが表示されない -

/etc/zabbix/web/zabbix.conf.php の末尾にゴミが入っている(なんとデフォルト)とグラフは表示されないようだ。

ちなみに

Database passwords are randomly generated during the installation process.
Root password is stored to /root/.my.cnf file, (嘘ですit is not required to input a password under the “root” account.

とあるように、実際には /etc/zabbix/web/zabbix.conf.php ファイルに PHP の root パスワードが隠されています。

appliance@zabbix:~/home/temp$ cat /etc/zabbix/web/zabbix.conf.php | grep PASSW
$DB['PASSWORD'] = 'vO1xUgwjzh';

※追記 /root/.my.conf はこれで確認できました。

appliance@zabbix:~$ sudo su
root@zabbix:/home/appliance# cd /root
root@zabbix:~# ls -al
total 28
drwx------ 3 root root 4096 Mar 14 03:21 .
drwxr-xr-x 22 root root 4096 Feb 28 20:07 ..
drwx------ 2 root root 4096 Feb 28 20:03 .aptitude
-rw------- 1 root root 46 Mar 14 03:21 .bash_history
-rw-r--r-- 1 root root 3106 Feb 20 2014 .bashrc
-rw-r--r-- 1 root root 31 Feb 28 20:01 .my.cnf
-rw-r--r-- 1 root root 140 Feb 20 2014 .profile
root@zabbix:~# cat .my.cnf
[client]
password="19qfvjQngR"
root@zabbix:~#

<--- 追記終わり

- 顛末 -

本当は、Zabbix2 のDBを移行したかったのですが、 MySQL のデータのエクスポートとインポートに失敗しました。失敗した事は隠しようがないので、dns の書き換えは諦めて、とりあえず 2.2 と 3.0 の平行運用して違いを楽しんでいます。ドキュメント通りに行かないのが怖いところです。データの移行はもう少し研究しないといけませんね。

中小規模の数十台の仮想化システムのデバイスであれば、 Zabbix アプライアンスはネットワーク管理に必要十分な「見える化効果」があり、実装も楽なのですが、Ubuntu では、とても客に「使ってくれ」とは口が裂けても言えません。という事で、私の顧客では無理しないで、当分は 2.2 環境でも問題なさそうです。

また、アプライアンス固有の問題なのかも知れませんが、ビール買いに行っている間に、データの取得ができなくなって、全く機能しなくなってしまいました。再起動してもだめ。

まだ不安定ですね。こういう状況があると、2.x 系と比べても、とても実用には堪えない。やっぱり次の安定板が欲しくなります。やはり「新しいからまともに動く」と言う事よりも「うまく使えているバージョンを徹底的に使い倒す」という姿勢が必要な様です。私の目的はイベントでのトリガーでもなく、アラートでもありません。一般的なトレンドが見えればいい。そういう単純な目標であれば、あえて Zabbix3 を選ぶ理由はありません。

確かに 2.x より 3.x の方がコスメティックな部分では「違い」があるのですが、せいぜいトラフィックをグラフ化する程度であれば、無理して 3.x を導入するつもりにはなれません。SUSE 版 Appliance が出ないのなら、せめて rpm 化するか、1 Click インストール用のパッケージか susestudio で仮想アプライアンスを作るしかないな、という無理な私の希望です。

Zabbix3 アプライアンスに関しては、随分否定的な評価となりました。







- Key Word-


Zabbix SUSE openSUSE Zabbix Appliance 3.0 XEN KVM 使えない。だめだこりゃ。SUSE 版出せ。

[PR]
by islandcenter | 2016-03-14 11:32 | プライベートクラウド | Trackback | Comments(0)

He社の社長は、部下や上司、会社よりもヘッドハンターのいう事を信じているらしく、彼の業績と言えば後任もきまらないまま突然転職する人生である。

そういうHe社のサポートが非常に悪くなった。今まで、ハードウェアの故障ランプが付けば、すぐパーツ交換に応じてくれたのだが、先日の対応は酷かった。

ハードウェアの赤ランプの後、システムの動きがすごく怪しい、明らかにクロックもずれている。そこで問い合わせたら

- 専用のツールでログを送れ

と返事が来た。専用のツールを入れていないので、リモート管理ツールのログをテキストで送ったら。

- 専用のツールじゃないと正しいログが取れない

という。専用のツールはどこにあるのか、と聞くと

- じゃダウンロードしろ

といくつかの URL を送ってきた。URL にはダウンロードのエントリーはあるが、起動方法やログの取り方の詳細は説明がない。仕方がないので、ツールの名前で調べたら、ちゃんとマニュアルがあるじゃないか?何でマニュアルがあることを URL で明示しないのか、このサポート担当者はちゃんと休養を支払った従業員なのか、いい加減なアルバイトじゃあるまいし、と思った。でどのログが必要なのかの指示もないので問い合わせると

- これこれのログを送れ

と言う。明らかに幾つか間違ったファイル名の指定もある。

結局、マニュアルを見ながら、ツールをインストールして、システムを再起動(必要らしい)して、ツールを使ってログを送ったら

- 返事がない

まぁ、再起動で赤ランプが消えたので問題なくなったようなんだけど、リモート管理ツールで最初に取得したログがそのままログにあるだけ、つまり現象は変わらない。というかそれが赤ランプの原因だろうという事はわかるのだけれど、H社のサポート氏は、正規のツールで取ったログ以外は全く信用しないらしい。それどころか、問題がなければ、シカトする。

シカトされたため客はブチ切れ、直接セールスマンに文句を言って来たら、

- たぶん問題ないでしょう

という「メール」が返ってきた。

--
どんな商売でも、直接顧客と面するCEさん始めセールスは重荷があり、直接文句は言いにくい。特にCEさんにはH社を代表して「修理に来ている」ので一番文句を言いやすいのだけれど、ほとんどのCEさんはH社の請け負い業者さんであることが多い。セールスマン氏は簡単に担当が変わる。

--
ある、ソフトウェアベンダーN社の場合、何事かの Issue があり、報告し、対応し、フィックスできたら、必ずその後にテクニカルサポートに対する Survey が第三者の企業からアンケートが送られ、テクニカルサポートの技量や対応に関して言いにくいことも得点化して報告できるシステムがある。だからだろうけれど、N社のテクニカルサポートはいつも丁寧な対応をしている。

--
私は個人事業者として、顧客システム全般の運用、障害対応、プロアクティブな運用提案をしている。それは必至にやっていますよ。何しろ3か月毎に、費用を前受しているので、次の対応もまともじゃないといつ切られても文句は言えませんからね。

しかし、多くのIT事業者さんのサポートは3年前払いだったり、1年契約前払いだったりするため、必然的にサポートのレベルは低くなる。おまけにN社の様にテクニカルサポートのサーベイシステムがあれば、テクニカルサポートも必死にやってくれるのだが、H社のようにテクニカルサポートに対して、直接顧客評価が行えないような場合、サポートのモチベーションもひどく低くなるのだろう。


--
サーバーはどこのハードウェアベンダーの物がいいか、よく聞かれるのですが、機能、性能で大して違いがなければ、正直言ってどこのベンダーでも構わないと思います。しかし、24H365日で稼働させなければならないサーバーに関しては、性能、機能で差別化できない以上、人選びだと思います。あるいは、ベンダーそのものを選ぶという事になります。人の性能、機能が明らかによいハードベンダーの製品はトラブルが少ないでしょう。He社は、昔D×cを買収し、C×9 を買収し大きくなった会社だ。D×c のCEさん含め、さすがミニコン扱ってきただけあって、サポートは非常に優秀な人間が多い。特に早稲田にある営業所から来た人は確実にプロだった。それだけに、He社のサポートのレベルの低下は残念で仕方がない。


islandcenter.jp
[PR]
by islandcenter | 2016-02-22 13:44 | プライベートクラウド | Trackback | Comments(0)

先日、とある顧客でレガシーマイグレーションの話をしていたら、SIベンダーが提示した仮想サーバーのメモリが僅か16Gbだったのには驚きました。

一体どうしてこんなサイジングがでてくるのでしょう。

私だったら仮想ハイパーバイザーを動かすなら最低32Gバイト、できれば64Gbを推奨したいところです。仮想化で使うリソースは常に6割程度に控えるのが鉄則。32Gbもあれば、古いシステムを動かしながら、新規のシステムも並行して開発ができます。しかし16Gbでは、現行システムをP2Vインポートしてオシマイ。

なのですが、そこに顧客とSI事業者の大人の事情があるのですね。

例えば、製造部門で購入したハイパーバイザーマシンでは経理のシステムは動かしたくない、逆に人事システムが動くハードウェアで、製造用システムは動かしたくない。

本来ならば、システム部門が調整をして、できるだけ少ないリソース(サーバーハードウェア)で運用すればよいのですが、できないケースが多い。特に製造業のように「現場」の強い業種に多いようです。IT部門を強化しようにもそれなりのスキルがないし、経営判断も行われない。

サービス業でも、ITを使わざるを得ない業種ではそれほどでもないのでしょうが、「ITは職場のサービス」としか考えていない業種ではその傾向が強く、経理のシステム、人事のシステム、生産のシステム、流通のシステム、など、それぞれのシステムが「一つハイパーバイザーで仮想化」された1台ごとのサーバーで動いているケースも珍しいことではないのです。なぜなら、取得するための予算が別々であり、管理もベンダーも別々だからなのですね。

これが「顧客の大人の事情」なのです。

一方、SI業者にも「大人の事情」というものがあり、顧客の経理のシステムを一括してやってきたのだから、別なシステムが納入したハードウェアに載ることを嫌がるわけです。酷いところになると、利用者のアカウントの変更する行為ですら、保守の範囲外で有料作業だと言い切る事業者すらいます。

私なんかは鷹揚だから、どんどん弄ってくれ、変更してくれ、方法わかんなかったら問い合わせてくれという基本姿勢なんですが。サポート費用も先払いじゃないから、必死にやりますよ。そういう積極的なSIベンダーは少ない。年間、先払いで保守費用をもらっているから、お金をもらってサポートしている責任感が薄いのですね。

つまり、顧客にマニュアルを読ませない。客に知恵をつけさせないという事情です。こうして顧客の能力を糠漬け化して無能化する。

そうして顧客を塩漬けにして「SI事業者の言いなりになる顧客」を育てる事が彼らのミッションなわけですね。
だから、P2V案件で単一のハイパーバイザーに16Gbのメモリなどという非常識な提案をしてくる。彼らにとっては、現行のシステムが延命できれば、次の仕事でまた新しいハイエンドのサーバーを顧客に売りつける事が出来るわけです。

islandcenter.jp
[PR]
by islandcenter | 2016-02-11 13:32 | プライベートクラウド | Trackback | Comments(0)

仮想システムを構築するにあたり、CIFS しか使えない NAS をバックアップ用に選定してきた SI 屋さんが居たので、CIFS と iSCSI のどちらが早いのか、試してみました。

テストに使う NAS は QNAP の Turbo NAS TS110
http://www.tekwind.co.jp/products/entry_6719.php
です。もう6年以上愛用して、カビが生えてもおかしく無い程に古いし, Marvell 800Mhz という低スペックなNASです。昨年、HDDがお亡くなりになったので、3Tb の HDD に交換しました。ファームウェアはこんなに古い機械でも、QNAP シリーズの最新バージョンが利用できます。

- iSCSI ターゲットの設定 -

QNAP の場合、iSCSI ターゲットはウィザード形式で簡単に作成できます。EXT4 ファイルシステム上で、オンラインでも簡単にサイズの拡大ができるので、 Windows の Storage Server のように NTFS の VHD 形式ではないので、そこそこ性能が出ますが、いかんせん古さと遅さは否めません。

QNAP の iSCSI ターゲットの設定は、偉そうな Linux 系サイトに書いてある程、面倒なことはありません。ストレージマネージャから iSCSI タブにあるウィザードに従って iSCSI ターゲット名に任意の名前を付けると IQN にその文字列が追加されるだけです。わざわざ vi エディタに「正確に」綴りを間違えずに設定する必要もありません。ここでは Chap 認証は付けませんでした。
a0056607_16405779.jpg


機械は古いのですが、逆に言うと、「古くて遅い」ため、サーバーとNASとの接続プロトコルの性能差が、如実に現れる事になります。

Windows10 の Microsoft 製 iSCSI イニシエータは「コントロールパネル」>「システムとセキュリティ」>「管理ツール」の中にあるので、ここで、設定済の iSCSI 「ターゲットを」 「検索」して選んで「接続」します。Chap 認証を付けておいた場合はターゲットで設定したパスワードが必要でしょう。
a0056607_16412132.jpg


新規に作成して、接続した後は、フォーマットされていないため、ディスクマネージャからフォーマットして使います。ちなみに、フォーマットして利用した iSCSI ターゲットの仮想ディスクは、他のマシンでマウントすることもできます。つまりHDDを取り外して、他のPCに繋げる事と同じことですね。


- CIFS の性能を見てみる -

一番イラつくのは、巨大なファイルの転送でしょう。という事で 3G 程ある SUSE Linux のインストール用DVDの ISO ファイルを CIFS でコピーしてみます。
a0056607_16414334.jpg


3分11秒かかりました。1Gビットネットワークで 12~3% 程度の帯域を使って通信しています。明らかに古いNASの性能が足を引っ張っているようです。

スループットは 150Mbps 程度で全体の最大15%程度でしょうか。
a0056607_16415832.jpg


次に iSCSI マウントしたディスクにコピーしてみます。
a0056607_16422170.jpg


初速は出るのですが、その後は、TS-110 の性能がモロに出ます。それでも 20 MB/s から 25 MB/s 程度は出ています。
a0056607_16423835.jpg


2分25秒でした。 大体20%程度のスループットです。

--
数字に弱い私の脳みそですが、 iSCSI は CIFS より 1.5倍くらい早い、という事が言えます。


Zabbix で QNAP TS-110 の I/O を見てみると、前半の CIFS アクセスより後半の iSCSI アクセスの山が高い事がよくわかります。
a0056607_16425860.jpg


CIFS を使ったリモートディスクのマウントは、他のPCからもアクセスができる、というメリットがありますが、iSCSI は単一のホストからのアクセスしかできません。 -- もっとも、ターゲットストレージを複数作って複数のサーバーから異なるデータ領域にアクセスはできますが -- バックアップ用途や、サーバーの増設ストレージとして考えれば、良い選択であると言えます。

こうした性能のわずかな違いが、仮想化システムのハイエンドな領域で違いとなって出てきます。なお QNAP でも openiSCSI でも Windows Storage Server でも取った領域そのままのサイズのでかいファイルが作成されるようです。国産 NAS の「ハイエンド」と称する「LANxxxx」などのモデルでは Windows Storage Server を使って NTFS フォーマットしています。Windows Storage Server は見た目 Windows サーバーそのものなのですが、ところどころちゃんとデチューンされているようで、SOHO向けが限度で、あまり性能が出ないだろうと思います。Windows Storage Server じゃなくて、ちゃんとした Windows Server 買えよな、という事なのですね。このあたりは独自OSをNASとしてチューニングした QNAP や Synology, asuster などの iSCSI 機能付きの NAS を中規模ネットワークのミドルレンジの NAS として利用したほうが良いと思います。

仮想環境でのネットワークアタッチストレージ(NAS)は、本回線(構内LAN)とは切り離し、ストレージ専用のネットワークとして独立して運用させるのが基本です。サーバーとNAS間で凄まじい通信が発生します。サーバーNICが2ポート以上のものが推奨されます。

islandcenter.jp
[PR]
by islandcenter | 2016-02-08 16:43 | プライベートクラウド | Trackback | Comments(0)

先日、知り合いの会社の社長から「マイナンバーに対応した情報漏洩対策を考えろと言われてこまっている」という話を頂きました。

私の答えはこうです。

「情報漏洩に完全な対策はない。漏洩した時のメディアへの言い訳をまず考えろ」

と答えました。全てそこから情報漏洩対策は始まるのです。

情報漏えい対策で一番重要なのは

「どういった謝罪を行うか」

という事なのです。

アムトラック事故の際の謝罪の仕方は、 「現代における最良の謝罪の1つ」と言われているそうです。


1:実際に『すみません』などの謝罪の言葉を使用する
2:混乱・失敗を認める(「アムラックが全面的に責任をとり」の部分)
3:どのように事態に対処するか解決策を伝える
4:他人に押しつけたり、非難せずに何が起こったのか説明する
5:事態の改善を約束する
6:自分がどれほど人を傷つけたか・不快にさせたかを理解していることを知らせる
7:「2番」とは別に、「私は間違っていました」など、間違いを認める言葉を使用して容赦を求める
8:アムトラックの謝罪文を読んでどこが上記の7つに当てはまっているか、2回以上確認する

という事で、謝罪のファーストインプレッションから受け止められるネガティブな印象をまず低減させます。

一般的なインシデントと違い、情報漏えいは、自分たち自身が一次被害者であるにも関わらず、二次被害者が存在し、一番迷惑を被るのが彼ら二次被害者なのです。一次被害者にとっては痛くも痒くもない。しかし、問題を起こした当事者であるという認識を持って対応すべき事なのです。

情報漏えいは気が付かない

それでは、情報漏えいは、なぜ Issue として気が付くのでしょう。

スリならば、財布がないことに気が付いて「ヤラレタ」と思うわけですが、情報漏えいは財布の中身をコピーするだけの行為であり、悪意のある人間にとっても、単なるコピーに過ぎない些細な価値しかありません。被害者は気が付きません。いくら盗まれたかも気が付きません。実際、某教育産業での情報漏えいも、結果としては盗んだ情報が名簿屋にとっては数十万円にしかならない価値しかなかったようです。

しかし、見知らぬ教育機関からDMを受け取ったヒトは非常に不愉快な思いをしたでしょう。

情報漏えいが、内部監査によって発覚する可能性はまず9割はありえません。

たとえ、監査に必要なソフトウェアが導入されていても、監査する量があまりに膨大で、その中から「あってはいけない Issue」 を発見する、というのは、コンサート会場の手荷物検査より退屈で、ブツが見つかるものではないのです。そこに担当者を張り付けるというのは、非効率そのものです。

特権ユーザだけの行動管理ができるソフトウェアを導入したい、というリクエストがありましたが、私は

「無駄だから止めておいたほうがいい」

と思いました。

特権ユーザは、自分が監視されていることも知っているし、どこにログがあって、どこに穴があるのかをすべて知っています。そのため、特権管理者を別に監視するための人を更に雇う必要があるのです。果たしてそれだけの価値があるのでしょうか。

銀行の様な「ナマの現金」を扱っている業種ならともかくも、一般的な事務、情報システムでは無駄な投資になるだけでしょう。

そこで、一般的には情報漏えいの Issue は、外部からの告発や問い合わせ、中立機関からの通報によるものなのです。例の教育産業での情報漏えいも、漏れた個人情報が関係ない団体からのDMが増えた事により、問い合わせがあったからなのですね。

想定される謝罪から、逆想定できること

それは「セキュリティ根性論」です。

数十個あるパスワードを全部、メモにも書かず、使いまわしもせず、月に一度変える。

これでも情報漏えいがあれば「根性がないユーザが悪い」という事になります。すでにパスワード認証というものは崩壊しているのです。

今の時代、セキュリティは根性がなければ守る事はできません。根性論ベースで語るシステムでは容易に破られるのですね。もちろん、「根性論では片づけない」ためのシステムソフトウェアもあるにはあるのですが、それはあくまでもSIベンダーの商売文句に過ぎないのです。

社保庁事件は「どこが杜撰なのか」

社保庁事件は、厳重に管理されているマスターから、「抽出」されたデータが、パスワードもなしに放置された事が「杜撰な管理と運用」と言われています。

システムで守れるのは「マスターデータ」までで、そこから取り出されたデータをどのように業務にユーザが利用するかは「ユーザ根性論」で語られるわけです。

マスターデータであれば、誰が開いて、抽出した内容をダウンロードしたかまではシステムで追跡できるでしょう。

しかし、この抽出されたデータがどのように利用され、共有サーバーだとかNASだとかローカルドライブに保管されたかなんて追跡のしようがありません。ファイルをメモリに書き出した事を記録するソフトウェアがあっても、ファイル名しか記録がないため、抽出されたデータがどのようなファイル内容なのかをチェックすることもできないのです。

ファイルの中に「機密」と書かれたキーワードがあれば、印刷やメール添付しようとすると自動検出して警告を出せる、という製品もありますが、こんなものは、売り上げに走るSI業者がヨロコンで無知な顧客に売り込もうとするには非常によいプロダクトです。

だけどファイルそのものにパスワードロックがかかっていれば、スキャンもできません。パスワードロックがかかっている添付ファイルをスキャンできない、アンチウィルスソフトウェアと全く逆の意味で、

意味ねぇじゃん。

という事になります。つまり、ここでもセキュリティ根性論がものを言うのですね。

セキュリティ根性論

じゃ、セキュリティ根性論とは何かと言えば、従業員、職員のモラルに尽きるという事です。モラルが下がっている職場では、明らかにセキュリティ根性も下がります。よく、海外で理不尽な方法で馘首されたネットワーク管理者がデータを持ち出したとか、管理者パスワードを全部変えて退職したとかの事件があります。まさに職場のモラルが下がると、セキュリティ根性もモラルも下がります。


自分が勤めている会社がヤバそうな場合、社内備品を勝手に自宅に持ち帰る、という話はよく聞きますが、全く同じ状況が発生するわけです。

そこで、セキュリティ製品、行動管理製品を必要とする企業の半分は「モラルが崩壊しているヤバい取引先」じゃないか? と勘ぐってしまいます。銀行の融資屋さん的に言うと「要注意取引先」に分類されます。もちろんすべてじゃないのですけどね。

逆に

「ウチはちゃんと従業員教育をして根性入れ直ししているよ」

という組織もあります。あるIT系のライターさんが、とある企業の年に一度は必ず従業員が受けなければならない「講習会」に参加して「唖然」としたことがあったそうです。

なんと、参加者は「講習会中に全員居眠り」、テキストも古く、担当者は総務のコンプライアンス担当者。内容は去年と同じ物の使いまわしだったというのです。これで「セキュリティ根性の入れ直し」なんてのがどれほど無意味なものなのか、がよく分かるかもしれません。少なくとも外部の講師を呼んで、毎年新鮮な内容で行うべきです。給料で動くプロパーではなく、報酬で動くプロを雇うべきなのです。

言い訳から逆算するセキュリティ対策

情報漏えいは、現代の技術では中々防げない根性論なわけですが、それでもシステム的に最低限の対策を施すことにより

「今回は世間をお騒がせしました、該当する皆さまに深くお詫び申し上げます」

と言った後、「杜撰さ」を感じさせない対策は幾つかあるのでしょう。

手軽なのが、ノートPCのファームウェアのパスワードロックや、USB記憶媒体への書き込み禁止。あるいは、外部媒体へ書き出したデータの暗号化の義務付けです。これはシステムで管理できます。

また、データコピーが実質できないシンクライアントシステムも有効です。

たまに金融機関で「財務情報が入ったPCを電車で紛失」という事故がニュースになります。しかし、ほとんどのケースでは「世間をお騒がせしました」レベルの謝罪で終わっていて、後追い発表もありませんし、メディアの追及もありません。紛失したら、データにアクセスできなくなる、そういうシステムが組み込まれているので、組織そのものが致命的なダメージを受けるような Issue にはならないのです。

つまり「杜撰な管理」だった、というイメージを残しません。

更にお金をかければ、操作記録管理システムを導入することですが、これは、非常にコストがかかります。コストだけではなく、情報漏えいそのものを検出できません。ほとんど事故の後の後追い調査に有効であるだけです。情報漏えい対策というより、金融機関などのコンプライアンス対策として考えた方が良いでしょう。

外部からのアタック対策

多くの情報漏えい事故は、内部からの漏えいです。まともなセキュリティを施している限り、外部から侵入するというのは困難です。

ただ、そうとも言えないのが社保庁を狙ったピンポイント攻撃です。

ここでも重要なのは、セキュリティ根性論です。マルウェア付き添付ファイル、一見まともに見えるメールとリンク先。こういったアナを敵は突いてくるのです。

一度、自称「システム管理のプロ」が顧客先に高い給料で転職してきたことがあります。

特権ユーザでログインしたまま、彼はメールの添付ファイルだとか、ショートカットをダブルクリックして開きまくっているのを見て、私は「口ポカンで目がテン」になりましたね。

「あ、こいつど素人だな」

典型的な「Windows しか知らないシステム管理者」だったのです。サーバーの特権ユーザで、こういった無知な操作をしたら、どういう事故が起こるか、まともな技術者だったら当たり前の配慮が全くない。

まとめ

情報漏えいの基本的な対策とは

1) まず Issue に対する謝罪の内容を考えよ。
2) 情報漏えいに万策はない。常にあり得る危機だという危機感を忘れるな
3) セキュリティは根性論、社員、職員のモラル向上に力を注げ。
4) 謝罪に対してどのような対策が必要なのか逆算して考えよ。
5) 謝罪内容を逆算して実施できる機能から、まず実装せよ。

という事になります。

お問い合わせは
まで





[PR]
by islandcenter | 2015-12-03 04:23 | プライベートクラウド | Trackback | Comments(0)