カテゴリ:プライベートクラウド( 74 )

ネットギア、20万円を切る10GBASE-T対応スイッチ「XS708E」など2製品

ネットギアから 8ポート 199,500 円の 10G-baseT の HUB が発表されました。

一般的に HUB の普及価格帯はポート単価が2万円台だとと急激に普及します。 10baseT も 100baseT も 1000baseT もそうでした。

8P の XS708E のポート単価は 25,000 円弱ですね。 8P だと使い勝手は限定されますが、仮想環境で 10GbE カードと iSCSI 環境であれば十分に PoE より安価なSAN環境が構築できます。 10GbE の NIC も5~6万円でオプションで購入できるわけですから、下手に 1GbE を束ねるよりは簡単な構成で ip-SAN が作れるわけです。

2~3台の仮想ホストと2台の iSCSI ストレージであれば 8Port で十分なので、小規模なプライベートクラウドを構築するには良い選択肢だと思います。

できれば16 Port 程度のも出してほしかった。

islandcenter.jp
[PR]
by islandcenter | 2013-03-04 20:06 | プライベートクラウド | Trackback | Comments(0)

キーボードも触ったことのない私が初めて携わった仕事が、某記憶装置の「DOS+FAT」のデバイスドライバーの開発でした。

ちなみにこの某記憶装置、実は現代の最新鋭のジェット戦闘爆撃機でも使われているのですね。そもそも、航空機のアビオニクスなどは何十年も使われることが前提なので「最新鋭のアビオニクス」と言っても、私たちの使っている5000円のデジカメやスマートフォン並の性能、記憶容量でもバイクのエンジンと同じくらいの重さがあるのです。そもそもが1990年代に開発された代物です。

それはそうとして、「DOS+FAT」はインパクトが強烈だったので、今でも大体の機能は説明できます。何しろFAT12とは言え記憶装置のデバイスドライバのソースを書いた本人です。

DOS+FAT のシステムは「初めてのC」を読んだ程度の3ヶ月プログラマでも書けるオモチャみたいな仕組みだったわけです。

ところで、「DOS+FAT」を刷り込まれて育った私が不思議に思うのは

「なぜ Linux のシステムではデフラグが必要ないのだろう」

ということです。ずいぶん調べたのですが、「そもそもそんなことをする必要が無いように最初からファイルが最適化されている」ものだからだそうです。これは EXT2,3,4 も RaiserFS などもそのように作られているそうで、かつて Linux 用デフラグツールも存在したようですが、今では完全にプロジェクト自体が崩壊している(ニーズがない)物なのだそうです。ただし、ディスクの空き容量が極端に少なくなると、途端に空きセクタを求めてパフォーマンスが落ちます。私も随分経験がありますが、「妙に遅いな」と思って df -h をやると空き容量 98% などと出てあわててしまいます。

ところで Windows の NTFS は情報が非公開なので「謎のファイルシステム」です。オープンでないからソースも読めないので、ここからは想像するしかないのですが FAT -> NTFS に変更する Convert なるコマンド一発で変換できる、ということは、基本的に NTFS が FAT を基本にデータアロケーションテーブル作られているということなのですね。もし、データを書き込んでいるセクタの再配置、最適化を行うなら、 量にもよりますが数百GバイトのパーティションのConvert が数十分で終わるわけがない。つまりデータの再アロケーション(再配置、最適化)は行われません。

つまり NTFS は FAT システムの DET(ディレクトリエントリテーブル)を拡張してセキュリティ機能を追加して、安全性のため FATを強化しただけのシステムである、ということは薄々気が付いていました。(追記:MFTというそうです。つまり、FATシステムのセクタをミミズのようにたどって必要なセクタにアクセスするという基本的なアクセス方法は全く80年代のFD主力時代のPCの技術そのものなのですね。もちろんその後の「味付け」によって重戦車並に化粧されて重くなったと思います。追記:XML によるメタファイル化されただけのようです。

NFTS は何のことはない、30年前のFATの基本設計の延長上にあるファイルアロケーションシステムにジャーナリングやセキュリティ機能だとか様々なモノを付け加えただけのものなのでしょう。あくまで推測ですが。

「Windows のディスクの"プロパティ">"ツール">"最適化"を見るといつも断片率は0%じゃないか」と反論する貴方は鋭い。しかし0% と言っても、サードパーティのデフラグツールでは 30% 以上のフラグメンテーションが起きているということも当たり前にあります。純正ソフトウェアの機能なんてそんな程度なのですね。この騙しには驚きました。

そもそもフラグメンテーションが起こるからそういうツールがあるわけです。アイドリング中だろうが高負荷時でも、どうせ必死になってウラでデフラグしているわけでしょう。デスクトップだと、アイドリング時間は長いから、そんなに気にならないのですが、サーバーとして24H負荷がかかっているバックグラウンドでデフラグしていると思うと、ちょっと怖くなります。スナップショットのマージなんか始まったら、もう Raid のリビルド並のストレスがディスクにかかります。

-切り離せない過去-

マイクロソフトがNTFSを捨てられないのはあまりにも多すぎるステークスホルダーにあります。アップルのように簡単にDockコネクタを捨てられないわけです。なぜ後方互換性を無視したファイルシステムを新規に開発しないのでしょう。

-だから Hyper-V は止めとく-

GroupWise のドキュメントにあったのですが、同じ条件でインストールした Windows 版の GroupWise と NetWare 版では遥かに性能が違ったそうです。また聞きなのですが、とあるSI屋さんで、グループウェアを導入する場合、 Windows 版と Linux 版があれば、企業規模で50人程度なら Windows 版でも十分だけど100人を超えると必ず Linux 版を提案するそうです。理由はまた聞きなのではっきりしないのですが、やっぱり問題の基本は NTFS の効率の悪さにあるのだろうなと想像しています。

そこで問題になるのは「仮想化環境」です。仮想化環境で高い負荷をかけると明らかにディスクIOがボトルネックになります。ですから実験環境やごく小規模環境ではSATAディスクで問題ないと思っていますが、実運用環境ではSAS+RAID、お金と償却期間(メーカーの保障期間)を無視して短い間使えればよければSSDアクセラレータをお勧めしています。さもなければもっとDRAMを積んで仮想マシンに目いっぱいメモリを与えるようにアドバイスしています。128GbのSLCのSSDを使うより64GbのDRAMを使ったほうがお金も効率がいいと考えています。

それでも最後はHDDにデータを書きに行くわけで、書きに行くのはキャッシュが利くのでまだしも、読み出しとなると、ミミズのようなFATベースのセクタ管理を使ってノロノロとディスクから読み出すNTFSではどんなものなのでしょう。明らかに Novell Openenterprise Server (OES) の NSS や EXT3 より読み出しのパフォーマンスは落ちます。ましてや、効率の悪いNTFS上に作られたWindows仮想マシンのVHD形式も中身はNTFSですから、まさに二重苦なのです。泥沼に立てた砂のお城なのですね。

これらのシステムはEXTは別として互換性はありません。 NetWare 5.0 から も NWFS -> NSS へ移行はセキュリティを含めてコピーはできても、はコンバートできませんでした。

-それでも必要悪-

それでも Hyper-V による仮想化は3匹の子豚の藁の家のようなニーズがあるでしょう。 Windows 8 では Hyper-V 上で複数のシステムが「簡単に切り替えられる」のがメディアが言う「売り文句」だというし、それはちょっと興味があります。

-ということでクライアント Hyper-V を試してみた-

何とか Windows8 の 64 ビット版の Hyper-V が動く環境ができたので、早速試してみました。ちなみに Intel/AMD の仮想化支援機能(VT) が機能するマシンでも Hyper-V は動かないケースがあります。SUSE + XEN の完全仮想化も問題ない機材でもあり得る事なので、Hyper-V が動くかどうかはしっかりカタログスペックを調べておくことです。

コントロールパネル>プログラムと機能>Windowsの機能の有効化/無効化から「Hyper-V」をチェックして再起動、Windows Update をして再起動で Hyper-V が使えるようになります。Hyper-V 管理ツールのアイコンができるので、このツールから管理します。

SUSE で XEN などの仮想化機能を使った方なら、すぐ仮想マシンの作成を行うことができるでしょう。もともとが XENの機能構造をそのまま真似て作ったので、今まで XEN をやってきた人であればすぐ使い方に慣れるかもしれません。Linux のパッケージに付いてくる Virt-Manager より「分かりやすい」(<-ここ重要)なインターフェースです。しかもスナップショットも取れる。

-しかし重すぎる-

しかし、最初に Windows 2003 を試しに入れて早速、Windows Update の重いことには驚きます。仮想化ホスト(Domain-0に相当)のディスク IO がほぼ 100% に近い数字です。決して子ホスト(Dom-Uに相当)が遅いわけではありません。試しに「共有」を作ってopenSUSE の iso ファイルを転送したところ、ディスク io は100% に張り付いたままです。明らかに Windows の NTFS ファイルシステムがボトルネックになっているようなんですね。SUSE + XEN に慣れていれば iostat コマンドで iowait が 100% 張り付きということはまず見ません。大抵、瞬間的に 5/60% 程度までは上がることはあってもです。
a0056607_15203347.jpg

4.5Gの iso ファイルをコピー中の Hyper-V ホストのディスク利用状態


a0056607_15254065.jpg

ネットワークがボトルネックになっている気配は全然ないしなぁ



これで Hyper-V は複数のシステムの仮想化ホストとして切り替えて実用的に役に立つのでしょうか。

もちろん、仮想ディスクが DAS 接続の場合は、ディスクシステム自体が NTFS なのでしょうが、SAN(ストレージネットワーク)であれば、iSCSI や PCoE(ファイバーチャネル) のSANのシステム自体が独自OSでNTFSを使っていない(たぶん)ので、仮想化ホストからは、NTFSに見えても、(たぶん)中身は EXT3 だとかだと思います。RAID 構成はまた違う意味で効率的なのかもしれません。

ということで大手のSI事業者なんかは必死に高価なファイバーチャネルのSANシステムを、事業規模にかかわらず売り込んできます。もちろん高価だし、ハードウェアのサポート料金も高い。私がベンダーのセールスマンだったら、間違えなく Hyper-V をおすすめします。そのほうがお客様からの手離れはいいですし、彼らは高価なパッケージやハードウェアを沢山買ってくれるからです。何しろ SUSE Linux の無制限仮想化アクティベーションは僅か4万円ほどなのです。

もちろん、2008S/2012S の Hyper-V とはクライアント Hyper-V はチューニングが違うのよ、と言われればその通りなのですが、Hyper-V 3.0 は、メディアでは「滅茶苦茶に高機能高性能になってスケーラビリティと言ったら、そりゃもう何個の仮想CPUが使えて何TBのメモリが使えて最大何TBの仮想ディスクが使える」というカタログスペックを語る記事をよく見ます。

しかし彼らの記事はカタログスペックを記事にしただけで、実際に運用をしてみたわけではない。本当に1台のハードウェアで何台の仮想マシンが「運用に耐えられるか」と考えた場合、やはり Linux/Unix 系で動作する XEN や KVM, VMware などに軍配が上がりそうです。

実際は「単機能をコンパクトに仮想化してアプライアンス化」することを考えれば、別に仮想ディスクなんて僅かで済んでしまいます。実際 SLES11 を導入してみましたが、僅か 512Mbのメモリと4Gの仮想ディスクでインストールできてしまいました。おそらくこの程度なら簡単な LAMP や DNS/DHCP として利用することには何の問題もないでしょう。

a0056607_1531384.jpg

リモートで使うと操作が「お、重すぎる」


スナップショットも使えるようですが、これだけディスクIOが大きいと、スナップショットを取った後のマージ処理が怖そうです。

百歩譲ってGUIの親切さ、使い易さは賞賛する価値はありますが、いかんせん openSUSE+XEN と Windows Hyper-V をデュアルブートして(つまり全く同じ環境で)動かすと体感上 Hyper-V で Linux を動かすと "Is there anyone home ? knock knock..." と頭を殴りつけたいくらい重い。これで実用に耐えられるのかしらって思わず考え込んでしまいます。


仮想化の脅威、「ハイパーバイザー攻撃」を防ぐ3つの対策

仮想データセンターのセキュリティ対策における最初の1歩は、ホストサーバの攻撃対象を狭めることだ。特に米MicrosoftのHyper-Vは、Windows Serverにロールとしてインストールされることも多く、攻撃対象を減らすことが重要になる。

この記事では Hyper-V 以外のハイパーバイザーの記載はありません。つまり Hyper-V は脅威に対して何等かのマルウェア、ウィルス対策が必要だということです。つまり、サーバーで一番重いジョブ。つまりハイパーバイザー管理者にとって悪夢とも言える何らかの対策が必要なのです。そして、Windows Update ととアンチウィルスソフトウェアを更新すると訪れる悪夢のような「再起動」のダイアログ。やっぱり Hyper-V はライブマイグレーションを前提で考える必要がありそうです。119万円しますからね。二つ購入するのはちょっと勇気が必要です。

Windows Update とアンチウィルスソフトウェアのない Windows Server を運用するのは、冬のススキノの街をゴムなしの皮靴で歩くような危なさがあります。

一方で、 Unix/Linux 系のハイパーバイザーでも脆弱性はあるでしょう。SSH や DNS ポイズニングです。しかしこの様な対策は、ウィルス対策で何とかなるものではありません。基本的には、脆弱性のあるパッケージをアップデートして、サービスを立ち上げ直すだけです。カーネルに致命的な欠陥がなければまず再起動は必要ないでしょう。

-Hyper-V を誉めてみる-

それでも Hyper-V のニーズがあることは事実でしょう。少なくとも Hyper-V の管理コンソールは動作もキビキビしているし、わかりやすい。リモートデスクトップでも管理操作はそこそこ軽快だと思います。それによく出来ている。Linux で

「putty で入って xm create してくれ」

というよりは分かりやすいわけです。ここに Windows 「しか」知らない管理者と Linux「も」知っている管理者との違いが出てきます。

まぁそれでも GUI 操作がうまくいかない場合 vbscript や PowerShell でスクリプト作らなければならない Hyper-V よりは楽だと思うのですが....

-俄か管理者とエンジニアの違い-

少なくとも 「Linux を扱うエンジニアで Windows には全く無知」という人はほとんどいないと思います。かく言う自分自身がやっぱり Windows の GUI は文句がいっぱいあっても使いやすいと思っています。

あるいは「Mac は好きだけど Windows は大嫌い」という方もいらっしゃいます。彼らに言えることは「あなたたちは少なくとも他のプラットフォームと比較できるだけのスキルがある」ということなのですね。

逆に 「Windows は知っているけど Linux はなぁ...」という方は沢山いらっしゃる。特に Windows 以降の世代でコンピューターを扱った方にはそういう「エンジニア」の方々も多いと思います。

よく言われることですが「Linux は管理コストが高い」と言われます。逆に言えば「Linuxの管理者なら高い単価で仕事ができる」ということになります。また 「Windows しか知らないエンジニアはいつまで経っても単価が安い」ということになるのでしょうか。 あくまでも技術者としての視点ですね。

もし「エンジニア」としてキャリアを積みたい「システム管理者」や「ベンダーのエンジニア」がいれば Windows しか知らないのはどうなんでしょう。

しかし「社内でキャリアを積みたい」あるいは「エンジニアとしてのキャリアには興味がない」のなら Hyper-V は良い選択です。決して「俄か管理者」を否定するものではありません。そういう生き方もあるということです。

続き: 実はお金が無いのが最大の理由だったりしますが...
仮想化のお値段:無制限インスタンスに払うお値段

続きはこちらで
一度は経験したい仮想化の別世界:SIベンダーが教えたくない実情

その続きはこちらで
Hyper-V のハイパーバイザーでは MTBF は低くないのか?

関連記事
[PR]
by islandcenter | 2013-01-29 16:24 | プライベートクラウド | Trackback | Comments(4)

ip-sentinel をはじめとする arp poisoning の技術を使った「認証されていないデバイスの接続拒否」システム(検疫システム)やプログラムをいろいろと検討してみました。

http://www.nongnu.org/ip-sentinel/

ip-sentinel はデバイスが吐き出す arp のブロードキャストをキャプチャして、リストにない mac アドレスを検出すると、その mac アドレス(未登録デバイス)に偽の mac アドレスを送りつけて(arp poisoning)、未登録デバイスが目的の機器、ネットワークへの接続を阻止します。 ip-sentinel 自体は非常に単純な機能しかないし、C言語で書かれた僅かなコードは、マイコンCしか知らない私でも、何とか「どこでエラーを返しているか」くらいは調べられる単純なプログラムでした。ソースも古く、「これだけでまず必要十分」な機能だけを備えています。

この20Kbほどの小さなプログラムの実運用にはかなりスクリプトなどと組み合わせた運用方法を考えなければ使いこなすのは困難そうなので、他に何か良い製品はないかと調べてみました。

しかしこの仕組み(arp ポイズニング)を使った、検出アプライアンスや通信遮断ソフトウェアをいろいろと調べてみると、ほぼどこの製品でも ipv6 は対応していませんでした。

ipv6 では通信経路を見つけるため arp を使わず、 ICMP を使うためです。

--

ここで「はてipv6 って何だ」ということになるのですが、どこに情報を探ってみても「ipv4」とは似て非なるもの、全く異なるもの、と評価している人が多いようです。ここで問題となるのは ip-sentinel をはじめ、同様な機能を持った「未登録デバイスの検疫遮断システム」なるものは、現状の環境ではほとんど ipv6 の前には使い物にならないということです。

もっとも、社内のルータやソフトウェアが ipv4 にしか対応させていない以上、これらのデバイスにはアクセスできませんが、ネットワーク内部に ipv6 のみの機器同士を適切に設定すると通信できてしまうわけですね。たぶん。

何しろ「世界中の石ころにもIPアドレスが振れる」んじゃないかというアドレス空間ですから、ほとんどのデバイスが「グローバルアドレス」に近いものを持ちます。従って、ipv6 対応の端末が、持ち込まれると、ipv4 ルータの外へは無理としても社内に持ち込まれてしまうとどうしようもありません。特に管理しているPCで ipv4 と ipv6 をデュアルスタックにしていれば、致命的でしょう。このような端末であれば、ipv6 を喋る端末からもアクセスできてしまうし、 ip-sentinel のような検出遮断ツールからも遮断できません。

となると、対策は一つ

「管理できるデバイス、PCは ipv6 を完全に無効にする」

しか方法はありません。

BYODを積極的に取り入れる場合、持込端末の制御はユーザに嫌われる以上、これらの端末の ipv6 の無効化はユーザに歓迎されません。これらの端末が不用心なBYODポリシーの中で持ち込まれると対応のしようがないわけです。

--

Novell は ipx から IP に完全に移行して「ipxを殺す」ために、NetWare 4x では ip/ipx ゲートウェイという機能でNATのような機能を提供を始め 1998年の NetWare 5 で完全にIP対応してから、デュアルスタックに移行し、昨年の OpenEnterpriseServerr 11 (OES11) の発売で「ip/ipxデュアルスタックを完全に殺す」ことに成功しました。今では Windows XP クライアントのみが ipx 接続のために残されています。

OSX以降の Macintosh は詳しくないのですが、90年代に大流行した Appletalk を殺すことに成功しているようです。

これは1ベンダー、あるいは1ユーザの中でクローズした世界でのことで、世界中に無限大に存在する ipv4 資産を持つステークスホルダーを「殺す」まで、いったい何十年かかることでしょう。たぶんボクが生きている間は不可能じゃないか、という気すらします。今後、数十年は、販売されるデバイスが ipv4/6 のデュアルスタック対応となるでしょう。

もっとも、この数年間は「ウチには ipv6 は必要ない」と思う方がほとんどでしょう。問題の先送りなのかも知れませんが、私もそう思います。

あるいは、「自分のネットワークだけは早期に ipv6 にしてしまおう」その考え方も投資効果は別として積極的で結構だと思います。

もし、イワシが持っている携帯電話を調べて、次にどのイワシがどのマグロに食われるかを予想するようなビッグデータを使ったアプリケーションが大ヒットするようになれば、必要になるかも知れません。もっともイワシが携帯電話を持っていればの話です。

--
しかし「現実」に Windows でも Linux でもインストールや直後の設定の場面で「ipv6を意識的に無効にする」作業が必要なのが現状なのです。そんな中で「ウチは ipv6 は無効にしているから」という言い訳は出来なくなってきていることに気が付きます。

ユーザ部門にデバイスのセットアップを任せているケースでは、「無意識に ipv4/ipv6 デュアルスタックを使っている、あるいは使えて”踏み台化”している状態になっている」わけです。そこまで時代が進んでいることに気が付かない管理者の皆さんは大勢いるのではないでしょうか。

まず「意図的的に ipv6 は使えないようにする」作業が必要となります。

ここで、アセット管理(資産管理)システムとの統合の問題が出てくるわけです。

まずは通常のアセット管理システムでは検出できないような、ipv6 端末も検出できるように設定を変更しなければならないわけですね。あればですが...

nmap コマンドで -6 オプションを使えば ipv6 デバイスもスキャンできます。その場合 nmap を使う端末の ipv6 をイネーブルにする必要があります。 SUSE Linux の場合 YaST > Softwaremanagement > search から nmap を検索してインストールします。 YaST > Network Device から General 画面の ipv6 をチェックして再起動すれば ipv6 スキャナができるようです。(未確認)

その上で nmap コマンドを -6 オプションでセグメントをプローブスキャンしてみましょう。ひょっとしたら、どこかの Wifi ルータの設定がイネーブルになっていたり、未登録の ipv6 端末が接続されているかも知れません。これらは、 ipv4/ipv6 デュアルスタックの機器(現在販売されているデバイスのほとんどのデフォルト)に接続できてしまう可能性があります。(openSUSE なら ndpmonというパッケージが使えます)

まずやるべきことは、これらの「存在するかも知れない ipv6 端末」を「見つけて殺す」あるいはユーザさんに「とめてもらう」こと。次に、まず、優先的にアセット管理システムを ipv6 に対応させることでしょう。

その後、基幹ネットワーク、基幹アプリケーションをデュアルスタック化する必要があるでしょう。そして、完全に ipv4 を「殺す」ためには気の長い期間をかけて、デュアルスタックネットワークを管理する必要があります。(ipv6 を先送りするか、ipv4 を使い続けるかどうかは別として)

私の顧客のほとんどでも数万台のPCを ipx から ip へ完全に移行するまで数年かけてデュアルスタック環境を保持し続けました。ipv6 への完全移行はおそらく、その数十倍の年月が必要だと思います。確かに ipx -> ip への移行はそれなりに効果はあったと思います。というか必要だったというのが正解です。

ipv6 自体はひどいものだとは思いませんし、技術的にも必要だから生まれたものです。しかし、この長期のデュアルスタック状態が脅威となる可能性があります。

2013年はIP資源枯渇を迎えた元年です。今の時点で言えることはとにかく「ipv6 を殺しておけ」ということです。


islandcenter.jp
[PR]
by islandcenter | 2013-01-05 19:38 | プライベートクラウド | Trackback(1) | Comments(0)

ここでは LDAP LPRM Plugin を使って Wordpress と Novell eDirectory との統合を行う方法を説明します。Wordpress と eDirectory を使って、簡単な組織内の SNS システムを構築しましょう。

Translate English by excite ?

LDAP LPRM Author's Page
http://www.frankkoenen.com/

LDAP LPRM Wordpress page
http://wordpress.org/extend/plugins/ldap-login-password-and-role-manager/

- Sorry for Non Japanese. My Wordpress is Japanese Version. Clipped screens are Japanese Version. Wordpress は日本語版です。
- Novell iManager は完全に日本語化されています。ブラウザーの設定を ja_JP に設定すると日本語表記になります。ここではブラウザーの設定は英語で使用しています。

-LDAP LPRMのインストール-
1) Wordpredss に Admin としてログインします。左のツールバーからプラグインの「新規追加」を選びます。

2) Search ボックスから 'LDAP' をキーワードで検索し、 LDAP LPRM をダウンロード、有効化(Enable) にします。
a0056607_11391136.jpg


3) "設定" より 'LDAP Setting' を選びます。
a0056607_13355457.jpg


4) 設定画面より 'Base DN' に LDAP ブラウズを開始する Organization もしくは OU(Unit) を設定します。ここでは O=ACE (組織全体) を設定しました。

大きな組織では ou=users.ou=MyOffice.ou=MyReagion.o=MyOrg などと指定する場合もあります。例えば、あなたの組織が多国籍企業である場合、Wordpress は英語版かも知れません。日本国内だけで利用したい場合は ou=jpn.o=MyOrg を指定します。また、数百オフィスもの沢山の拠点がある大企業では Ldap クエリに時間がかかる場合があるため、eDirectory の Replica データベースの配置を考慮して、Wordpress が参照する OU (Organization Unit) だけを指定すべきです。

a0056607_11462976.jpg


5) Domain Controller(s) に LDAP Server の IP アドレス、もしくはDNSに登録された Novell Open Enterprise Server (Novell OES) のサーバー名を設定します。

最後に "update options" ボタンを押して保存します。
a0056607_11533027.jpg


正しく動作しているかどうかはこの設定ページの一番上のテストボックスにユーザ名とパスワードを設定して TEST Settings ボタンを押します。
a0056607_1512225.jpg

正しく設定されており、LDAP サーバーとの通信が行われていることを確認することができます。

6) eDirectory でユーザを作成、あるいは修正します。(必要な場合)ブラウザの URL に iManager が動作しているサーバを指定し iManager を起動します。

http://MyNovellServer/nps

ここでは MatsudS (Seiko Matsuda)さんのアカウントを新規に作りました。

a0056607_11583491.jpg

彼女の Given Name(Option) と Family Name を設定し Full Name が設定されていることを確認したら、新しいユーザアカウントを Create します。

※ この時点でのユーザ名、フルネーム、Email Address が反映されます。上の様に誤って設定すると Wordpress 側にも誤った情報で設定されるようです。修正は一旦プラグインを停止して Wordpress 側で行います。


-Wordpress のアカウントを確認しましょう-

a0056607_1222174.jpg

この時点ではまだ Matsuda Seiko さんはいません。管理者と数名の編集者(Editor) がいます。

eDirectory 側のユーザを iManager から確認します。
a0056607_13214556.jpg


MatsudS さんと KatoK さんの二人はまだ Wordpress を使っていません。

それでは、MatsudS さんに Wordpress にログインしてもらいましょう。もちろん、彼女は Wordpress のアカウントは持っていません。
a0056607_13251520.jpg


eDirectory で設定した彼女のプロフィールが右上に表示されます。しかし、彼女は"読者"(Reader)で"編集者"(Edit) をすることが許可されません。"新規"の投稿アイコンが表示されません。

管理者は新しくログインしたユーザに適切な権限を与えることが出来ます。
a0056607_13271884.jpg


ユーザアイコンから、購読者(Reader) として新規作成されたユーザを見つけて、チェックマークを付けます。"権限"drop Box をスクロールダウンして "投稿者"に設定します。"変更"ボタンを押して "一括処理"の右にある "適用"ボタンを押して Apply します。
a0056607_14574078.jpg



次回、MatsudS さんが Wordpress にログオンすると、彼女は"投稿"に必要なアイコンを見つけることが出来ます。
a0056607_1349227.jpg


-トラブルシューティング-

1) Ldap ポートが開放されているか、正しく機能しているか

Novell eDirectory サーバーに対して port scan ツールを使い確認します。

a0056607_13543752.jpg

この場合 Port 389 と 636(TLS) が利用できます。

Novell iManager より LDAP Server オブジェクトを探します。
a0056607_1359226.jpg


Connection タブを開き Port 389, 636 の状態を確認します。 Require TLS がチェックされていても問題は無いようです。ただし、Wordpress 以外のアプリケーションで TLS 接続を行えない場合があります。その場合は、その他の eDirectory レプリカを持つサーバを使うことを検討してください。
a0056607_1516546.jpg



2) port 389 でリクエストを行っているか

Wordpress 側で tcpdump コマンドを使います。

blog:~ # tcpdump -n host oes11x2
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
14:10:27.283122 IP 192.168.1.224.59344 > 192.168.1.228.389: S 2972406104:2972406104(0) win 14600
14:10:27.283270 IP 192.168.1.228.389 > 192.168.1.224.59344: S 3847675017:3847675017(0) ack 2972406105 win 5792
14:10:27.283286 IP 192.168.1.224.59344 > 192.168.1.228.389: . ack 1 win 913
14:10:27.283428 IP 192.168.1.224.59344 > 192.168.1.228.389: P 1:46(45) ack 1 win 913
14:10:27.283506 IP 192.168.1.228.389 > 192.168.1.224.59344: . ack 46 win 91
14:10:27.284969 IP 192.168.1.228.389 > 192.168.1.224.59344: P 1:216(215) ack 46 win 91
14:10:27.284986 IP 192.168.1.224.59344 > 192.168.1.228.389: . ack 216 win 980

 : 省略

^C
15 packets captured
15 packets received by filter
0 packets dropped by kernel
blog:~ #



-eDirectory サーバ側で dstrace を使う-

mynovelloes:~# ndstrace

: set dstrace=on
: set dstrace=+LDAP

を実行します。
a0056607_14221357.jpg

※重要: ndstrace utility は必ず quit コマンドで終了させてから Terminal を閉じてください。 ndstrace の Bug により putty などのセッションを終了させてしまうと ndstrace -u コマンドではアンロードできません。
ndstrace causes ndsd to hang when left running from a terminated putty session

トレース結果を詳細に表示するには、iManager > LDAP Server Object > Tracing Tab より取得したい情報をチェックします。全てチェックしても構いません。
a0056607_14263189.jpg


-アカウントを Disable に-
iManager より eDirectory 上のアカウントを Disable にします。
a0056607_1527202.jpg


ここで管理者が Disable にした KatoK さんはログインできなくなります。dstrace で見ると "220 Error Account expired" となります。
a0056607_15302156.jpg


ちなみに KatoK さんを削除(remove from eDirectory) した後であっても Wordpress 側にはアカウントが残ります。管理者はコンテンツを含む KatoK さんの引継ぎを行うか、コンテンツごと削除する必要があります。

-Admin cannot Login !!!-
全てのユーザは LDAP による認証を受けます。この中には Admin も含まれます。LDAP サーバーの状況により Admin がログインできない場合があります。

Adminがログインできず、プラグインを一時的に無効にしたい場合は /srv/www/htdocs/yourwprs-dir/wp-content/plugins を plogins.org の様な名前に一時的に変更した後、Wordpress をインストールした際の Admin でログインします。
a0056607_15173621.jpg


管理ツールから Plugin の無効化(Disable) にします。 plugins ディレクトリの名前を元に戻します。

-結論-
このプラグインは非常にシンプルなプラグインで、私が設定したパラメータは僅かに2箇所でした。大変導入し易いと思います。
ただし、管理者は初めてログインしたユーザの権限 - Editor か Reader か? - を Wordpress 側で設定し直す必要があります。管理者は削除したユーザをWordpress 側で管理します。
管理者にとっては、Wordpress と eDirectory を別に管理できる良い面でもあり、一方で面倒に思う部分でもあります。

私は導入が容易な点を高く評価します。またパスワード管理に関しては充分な機能があります。

-Keyword-

How to integrate Novell eDirectory with Wordpress. Single Sign On.  Password synchronization.
ワードプレスと Novell eDirectory との統合 シングルサインオン パスワード同期

Wordpress を SUSE Linux (SLES11) で動かす

islandcenter.jp
[PR]
by islandcenter | 2012-12-14 15:59 | プライベートクラウド | Trackback | Comments(0)

Xenベースの仮想化プラットフォーム「Xen Cloud Platform 1.6」がリリース

XCP 1.6では新機能として、仮想マシンを共有ストレージなしでライブマイグレーションできる「Storage XenMotion」が加わった。仮想マシンがホスト間で共有されるストレージにない場合や、ホストが同一リソースプールにない場合などで利用できるという。


Red Hat、仮想化プラットフォーム Red Hat Enterprise Virtualization 3.1 をリリース-ハイブリッドクラウドと仮想化を推進

Red Hat のプロダクトマーケティング担当シニアマネージャ Chuck Dubuque 氏は InternetNews.com に対し、今回のリリースでの目玉となる機能は「Live Storage Migration」だと語った。

Live Storage Migration を利用すれば、ユーザーは異なったインフラ上にある仮想マシンのストレージを動的に移行することが可能になる。だがこの機能は、現在はまだプレビュー段階にある。


--

やっぱりまだまだ、仮想マシンイメージのマイグレーションは始まったばかり。

islandcenter.jp
[PR]
by islandcenter | 2012-12-06 16:11 | プライベートクラウド | Trackback | Comments(0)

なにを今更 Squid なんだ。という事を突っ込まれそうですが、SUSE Linux に Squid を導入してみました

2000 年前後のインターネット回線はまだ128K などの低速回線だったし、ウェブサイトも固定コンテンツだったため、それなりにこの種のネットワークアクセラレータも必要でした。

しかし、その後、ブログ、SNS、動画配信、ユーザー嗜好やロケーション公告など、利用者側のニーズが変わってきたし、合わせてサービスも変化しました。回線も高速化すると、ウェブアクセラレータの必要性も下がります。

しかし、最近はタブブラウザばかりで、クラッシュした後自動保存したページを一気に開いたりすると、ストレスが貯まります。

-ちなみに-

以前は Novell BorderManger や volera excelerator などの爆速プロクシキャッシュを使う時、「プロクシ認証」をさせてIPアドレスではなく「誰がどこのサイトを閲覧したか」を記録するようなシステムを作り、このやり方が一時、流行りましたが、最近はあまりそのような話は聞きません。個人情報保護対策はどこへ行ったのでしょう。

しかし、まだ大手のISPなどでは Squid などのアクセラレータにコンテンツフィルタを組み込んで利用しているところもあるでしょう。先年まで日本通信の b-mobile を使っていましたが「高速化のお知らせ」というメールがきたので見てみると、何のことはないただのプロクシの設定方法を説明したものでした。ユーザ側サイトでプロクシを使うことよりも、WEBアクセラレータとしてISP側やサイト側が導入するケースに絞られてしまいました。

しかし、タブブラウザはじめ、LAN内のユーザが複数のPCやタブレットなどを利用すると、LANからインターネットへのトラフィックは一気に上昇します。

私は東京めたりっく以来のADSL回線なので、それほど不便は感じてきていませんでしたが、最近はやれディストリビューションのダウンロードだとかクラウドだとかを考えると、ちょっと回線効率を考えるようになります。結局ちょっと下調べものはモバイル3Gルータをつかうことになります。

もっとも100Kmしか出ない車にで東名高速に乗っていて200Km出る車に乗り換えると、確かに感動しますが、そうなると今度は300Km出る車に乗りたくなるわけで、その後は高速道路でパトカーで高速機動隊が赤旗振って待っていたというオチもありますから、「凡人余計なことを考えるべからず」で今の回線をどううまく使うかを考えています。

--
ということで今回は SUSE Linux に Suquid を導入してみました。

-インストール-
YaST > Software Management から Squid を Search します。本来は yast2-squid はチェックされているはずなのですが時折チェックが外れていることがあるので、確認してチェックします。
a0056607_15273553.jpg

Acept すると Squid がインストールされます。

あとは YaST の Squid アイコンから設定を行います。

-HTTP ポート
a0056607_15295024.jpg

デフォルトで300番台のポートが降られているのでここでは 80 に変えました。

-ACL
デフォルトでは xx許可>xx許可xx許可>あとは全て拒否(Deny) なので、全て許可(Any;allow) としました。最近は Google のように SSL 接続しか許可しないところも多く、デフォルトでは Google にアクセスできません。ホワイトリストを作っていくのも大変です。
a0056607_15351468.jpg

ということで、どうせ所内のネットワークだし、「性善説」をとることにしました。

※ちなみに ssl 通信はクライアント側で使わない設定にしたほうが Google さんには確実につながるようです。(チェックははずしておくこと)
a0056607_15472259.jpg


-キャッシュ
キャッシュディレクトリば /var/cache/squid です。できれば、このディレクトリを別なデバイスを使ってマウントしておくことをお勧めします。 df -h コマンドを使って空き容量を確認してMB単位で与えます。ここでは仮想環境なので 10G のディスクを /var/cache/squid にマウントして 9990Mb 与えました。
a0056607_15583966.jpg


-保存して起動
あとは、 Save & restart するだけです。 When Booting もチェックしておきます。
a0056607_15413441.jpg


-入れてみて-

-決して早くなるわけではない-

いまどきのウェブサービスは動的なコンテンツが多いので、静的な画像や同じ広告のバナーを表示するのは速いことは早いのですが、html ソース自体が二度目のアクセスで書き換えられるケースも多く、決して「早くなった」ということはありません。逆にキャッシュされた差分の更新のため、ページの表示が一時停止してしまい、リロードなどが必要なケースも増えます。特にウェブページの先頭に別サイトへの広告リンクやSNSへのリンクがあるサイトはあまり高速化されません。

そもそもローカルキャッシュが先に使われるわけですから、同じページを見たときに「早い」と思うか「遅い」と感じるかは、そもそもPC自体の使い方、性能の問題です。プロクシが間に入る分、オーバーヘッドがあるので、一概に「早く快適」になるものではありません。

かつて「爆速キャッシュ」だった NetWare ベースの BorderManager とは時代も機材も状況も違うので、構内LANエッジとしての Squid の効果はあまりないように思えます。

個人的には Squid よりも、エッジの効率化を目的としたキャッシュアプライアンンスを導入したほうがよいように思います。


- PCが安定した -

早くなるか > ほとんど No です。何しろプロクシがあっても、ローカルキャッシュの方がよいに決まっています。

 ディストリビューションのダウンロードなどは、「あまりいじらない」仮想PCで行うのが一番確実なのですが、LAN内に「暴れん坊PC」が一台あるとたちまち回線は混雑してくれます。彼らが動画サイトなどにアクセスすると、他でダウンロードが途切れたりするのですが、構内LANにあるキャッシュを経由するようになると、トラフィックの交通整理をしてくれるためなのか、非常に安定した速度でダウンロードしてくれます。また、利用者のPCとサイトの接続をプロクシが代理応答するわけですから、たとえ遅くてもユーザシステムの通信負荷は若干減ります。実際 Proxy を使ってみてもらうと、よく落ちていたシステムが安定したという話は聞きます。逆に「プチフリーズしたか」という面もあります。

もちろん「暴れん坊」のアクセスは途切れたりするわけですが、これはこれで「ルールを守って100Kmで走ろう」ということであれば、仕方のないことです。

高速道路には、日常物資を運ぶトラックも走っているというわけです。

-再起動するとダウンロードがエラーになる-

当たり前ですが、Squid は設定を変更して再起動すると、これまでキャッシュ経由してダウンロードしていたリクエストは全部キャンセルされます。設定の変更は十分な計画とテストを行うべきでしょう。

-明示的にキャッシュを指定する必要がある-

アプリケーションによっては明示的にキャッシュサーバを指定しなければならないものがあります。

Windows 本題のIE や Chrome, Safari や SUSE Linux 本体はシステムのデフォルトを使用しますが Firefox(手動設定かシステムデフォルトとの切り替えはユーザ任意) Opera は自分で設定する必要があります。他のアプリケーション、特にアップデート系のアクセスは不明です。グループポリシーで設定できないと、ユーザに明示的に利用させるしかないでしょう。

100 台のマシンに Google Chrome を導入する際にダウンロードできるのは「本体」ではなくインストーラだけです。インストーラが Google さんから本体をダウンロードさせます。

アプリケーションではプロクシを使った場合どのような結果になるか、明らかにしている場合もあれば、まったく公開していない場合もあります。アナライザで調べるしか方法はありません。

簡単にボタンひとつで変更ができればよいのですが、プロクシの設定は管理者権限が必要なので、一般ユーザ権限でプロクシの設定を変えることはできないのは何とかしたいものです。

一応 tcpmon などのツールで見る限り、これらのアプリケーションのアップデートはシステムのデフォルトプロクシを使っているようですが例外も多くあります。Windows Update Server 並に利用中のアプリケーションのアップデートが始まったら、ユーザになるべく同じ時間帯にアップデートさせれば、効果はあるのかもしれません。

一番よいのは、トランスペアレントプロクシを使うことですが、耐障害性を考えると複数用意したいところです。しかし複数用意するとキャッシュ効果も下がるため、お勧めできるものでもありません。また、ネットワークの設計がかなり複雑になります。凝ったネットワークデザインは「マニアック」に陥りやすく運用面でトラブルが出るとお手上げになります。

ただし、全てのトラフィックがプロクシを経由するため、通信状況(ログ)の把握やブラックリストの管理は容易になります。

-キャッシュ容量-

これだけ光だDSLだ動画だSNSだとなると、今まで数Gもあれば良かったキャッシュ容量も膨大になります。本当に「効果」を感じるには数百Gバイト単位でウェブキャッシュを使う必要がありそうです。

たとえば、3G通信などは3Gバイトの転送制限をしている、あるいはOCNの光通信では月間アップロード量が30Gあると「お仕置き」が待っているように、1日1人1Gというのが最低の目安だとすれば、100人で1日100Gは最低。できれば1Tくらいのキャッシュ容量がなければ「快適になった」という実感はなさそうです。

となると squid 本体が動作するどこかのディスクにキャッシュを用意しなければならないということになります。デフォルトは /var/cache/squid なので、ここだけ別パーティション、別デバイスとするべきでしょう。しかし、iSCSI デバイスなどを使う限り、ローカルLAN内のトラフィックを増やすだけなので、DAS接続したドライブを使うべきなのかもしれません。


-それでも入れて見るべきかウェブキャッシュ-

これは技術の問題よりモラルの問題かもしれません。固定専用回線であっても、上位のISPがパンクするようでは意味がないので、クラウドを有効活用するには、少しでも自分たちの回線の「効率化」と「整流化」を考えても良いと思います。

ここでもし自分たちのためにウェブキャッシュを導入しようとするならば、自分たちの構内に置かなければまったく意味がないということです。データセンターにウェブキャッシュをおきたいというお客様がいましたが、データセンター自体、巨大なウェブキャッシュを持っているだろうから、まったく効果はありません。センターと構内を結ぶエッジに置くべきものです。

-DNSと同居-

ウェブキャッシュはDNSと同居させるのが一番楽な方法です。アドレスクエリを内部で処理できるため、余分なトラフィックを作らないでしょう。ただし、DNS本体が肥大化するため、この点でも設計は結構難しいかもしれません。


-問題はCIFSのアクセラレーション-

これは現実にお客様で聞いた話なのですが、某社の高価なCIFSアクセラレータを100人程度のリモートオフィスに導入したところ、全く役に立たなかったという話を聞いたことがあります。結局、そこでは全社的に Novell iFolder を導入しました。(現在はオープンソース化されています)結局 Windowsサーバ + CIFS を諦めて、全社的に Novell NCP (Port 524) を使った OES サーバを利用することになったようでした。結果的には CIFS キャッシュより NCP プロトコルの方が効率は良かったようです。エッジの効率化はまだまだ問題が多そうです。


islandcenter.jp
[PR]
by islandcenter | 2012-11-30 18:18 | プライベートクラウド

Sentinel™ Log Manager は Novell が開発して、現在NetIQブランドに移管されたログ管理製品です。

パフォーマンス、セキュリティ、柔軟性の向上
Novell Sentinel Log Managerはソフトウェアアプライアンスとして利用可能な業界初のログ管理ソリューションです。SUSE Studio™で構築されているので、短時間で運用を開始できます。Log Managerの導入後直ちに使用可能なイベントコレクション機能を活用して、セルフアップデート機能により時間のかかる保守プロセスを排除しましょう。

分散検索機能で状況を把握
Novell Sentinel Log Managerの分散検索機能により、ローカルおよび世界中のすべてのSentinel Log Managerサーバ上のイベントをシームレスに検索して、即座に結果を得ることができます。

ワンクリックレポーティング機能でコンプライアンスの徹底を簡素化
Novell Sentinel Log Managerの操作性に優れたインテリジェントなワンクリックレポーティング機能で、複雑な監査レポーティングプロセスを排除できます。検索結果から迅速かつ簡単に特定のコンプライアンスレポートを作成できます。

云々といった特徴があるようですが、マニュアルもなく、実機もないと評価のしようがないので、テストしてみました。


Novell Sentinel Log Manager 1.2.0.1リリースノート

マニュアル PDF - 日本語のインストールマニュアルがあります。製品も日本語でローカライズされています。

その他のドキュメントは英語です。
https://www.netiq.com/documentation/novelllogmanager12/

ダウンロードはこちら
Novell Sentinel Log Manager Free/Evaluation Version

ハードウェアアプライアンス版と仮想マシン用ソフトウェアアプライアンス( XEN および VMware 用) があります。 KVM 用、Hyper-V 用はありません。やっぱり海外では VMware と XEN はエンジニアの通過儀礼として必要な技術です。

XEN 上で動作させることを前提に XEN 用アプライアンスをダウンロードを解凍すると vm ファイルと、仮想マシンイメージがあります。
a0056607_152474.jpg


添付してきた VM ファイル
# -*- mode: python; -*-
name="sentinel_log_manager_1.2.0.2_64_xen"
memory=2048
disk=[ "tap:aio:sentinel_log_manager_1.2.0.2_64_xen.x86_64-0.954.0.raw,xvda,w" ]
vif=[ "bridge=xenbr0" ]

名前とディスクのイメージ名は変えてしまうことが出来ます。名前が長いと面倒なことになります。

ここでは思いつきで "flogman" としました。


-ということでインストール開始-

まず、 raw イメージは flogman.raw にリネームして、 /var/lib/xen/images/flogman にコピー(移動)します。

sles11:/var/lib/xen/images/flogman # mv /home/knakaj/ISO/sentinel_log_manager_1.2/senlog/sentinel_log_manager_1.2.0.2_64_xen-0.954.0/flogman.raw .
sles11:/var/lib/xen/images/flogman # ls -l
total 2762636
-rw-r--r-- 1 knakaj root 55874420736 Dec 28 2011 flogman.raw
sles11:/var/lib/xen/images/flogman #


ついでに vm ファイルも変えて /etc/xen/vm/flogman として保存します。

# -*- mode: python; -*-
name="flogman"
memory=2048
disk=[ 'file:/var/lib/xen/images/flogman/flogman.raw,xvda,w', ]
vif=[ 'mac=00:16:3e:12:12:12,bridge=br0', ]
vfb=['type=vnc,vncunused=1']


起動します。

sles11:~ # xm create flogman
Using config file "/etc/xen/vm/flogman".
Started domain flogman (id=42)
sles11:~ #



a0056607_15215822.jpg



起動してもログインプロンプトが出ません。ここからは xen ホストの操作が必要です。XEN の Dom0 から xm console flogman を実行すると、青いスクリーンが出てきます。 SSH 端末(Putty)から XEN ホストで作業しました。

a0056607_1529323.jpg


日本語もローカライズされて選択できますが、文字化けや誤訳、サポートの点を考えると English US を選ぶのが無難です。

キーボードは Japanese を選びます。
a0056607_15315872.jpg


TESTエリアで正しく特殊キーが押せることを確認します。
a0056607_15404090.jpg


ソフトウェアライセンスに Agree (space key) で次へ
a0056607_15442123.jpg


サーバ名と、ドメイン名(ここではローカルドメイン(intra)
[x] Assign Hostname to Loopback IP は必ずチェックを確認
a0056607_15484791.jpg


デフォルトでは DHCP なので Change
a0056607_15503350.jpg


Static IP を設定します。
a0056607_1553676.jpg


デフォルトでは Firewall disable/ SSH open です。次へ


タイムゾーン Asia > Japan を選びます。 Clock は UTC にチェックを入れません(Default)
a0056607_15573627.jpg


ルートのパスワード設定
a0056607_1604812.jpg


デフォルトの 2048Mb では少ないよ...
a0056607_1613928.jpg


admin パスワードと DB パスワードをセット
a0056607_1644285.jpg


ちょっとトイレタイム
a0056607_1655516.jpg


これでインストールは終了です。
a0056607_1675328.jpg


あとは root ログインして  NTP の設定を yast から行います。
a0056607_1694155.jpg


インストールの際、DNS と G/W の設定を忘れていました。Yast から変更します。
a0056607_16132489.jpg


外部のタイムソースとの同期も取れました。
a0056607_1616897.jpg


※個人的には仮想アプライアンスがハードウェアクロックを使うべきではないと考えています。ローカルLAN内のハードウェア(XEN のホストなど)から NTP で同期すべきだと思います。

この後 DNS のマスターサーバーに flogman の A レコードを追加して flogman で名前解決が出来ることを確認します。


ブラウザは FireFox 3.6(ずいぶん古いな、今15.01)か IE8 です。
ブラウザのアドレスバーに flogman.intra のアドレスをセットするとログイン画面が出ます。

admin / password でログイン
a0056607_1631476.jpg



初期設定画面です。
a0056607_16324563.jpg



--
sentinel log manager 1.2 のコンソールは直接操作できません。仮想XENホストから xm shutdown して再起動するかターミナルから接続して shutdown コマンドを実行します。

再起動はかなりCPUの負荷状態が高いようなので、実際に操作できるようになるまでハードウェアにもよりますが数分かかるようです。

XEN の基本知識があれば簡単に実装できます。おそらく30分もあれば可能でしょう。この記事を書くためキャプチャを取りながらでも2時間程度でした。 SUSE Studio での仮想アプライアンス製品としての出来のよさが良くわかります。

次回は「これで何ができるの」というところを攻めてみたいと思います。
sentinel_log_manager_1.2 評価(2) 展開編

Keyword

Novell Sentinel Log Manager コンプライアンス管理 ログ管理 仮想化 アプライアンス

islandcenter.jp

[PR]
by islandcenter | 2012-09-15 17:09 | プライベートクラウド | Trackback | Comments(0)

「うまく動かないなぁ」という時、パケットトレースが以外な状態を教えてくれる場合があります。現代は開放バス型のネットワークではないため、HUBにアナライザをつないで...という技が利きませんので、対象のPCのパケットを直接トレースして原因を調べることになります。

ここでお勧めしたいのが Ether Real の後継でオーブン化された WireShark です。

ダウンロードはこちら
Get Wireshark

ダウンロードしたファイルを実行します。

インストール > Yes

Welcome > Next

License Agree > Agree

インストール先 > 特に問題がなければデフォルト

インストールするコンポーネント
a0056607_1734743.jpg

特に問題なければ全てチェック

アイコンの位置
a0056607_173665.jpg

お好みでチェック

インストール先 > デフォルトで問題なければ OK

WinCap のインストール > 必ずチェック
a0056607_17385128.jpg


Install

あとは Finish が出るまでOK

-インストールしたら-

インターフェースの選択 - この作業は必ず起動後に行ってください。

メニュー、もしくはボタンから
a0056607_17444367.jpg


必ず I/F にチェックを入れます。ここでは LAN 用アダプタにチェックを入れました。
a0056607_17474966.jpg


特定のアドレスをモニタしたい場合
a0056607_17515484.jpg


Filter 欄に ip.adder == xx.xx.xx.xx を入れて必ず[Apply] <-- よく忘れます。

スタートボタンを押します。
a0056607_17544263.jpg


Ping しただけですが、このように表示されます。
a0056607_180036.jpg


いつまでもキャプチャを続けているとバッファオーバーフローしますから Stop ボタンを押します。
a0056607_1823636.jpg


もう一度キャプチャをはじめようとすると ”保存しなくていいの?”というダイアログが出ます。決定的な証拠が見つかったら保存します。決定的でなければ Save しないで次のキャプチャをします。

a0056607_1835925.jpg


簡単な例ですが、自分自身が正しくDNSに問い合わせをしているか確認します。
Filter 欄に "DNS and ip.adder==xx.xx.xx.xx(自分のIP)" をセットしてキャプチャしました。必ず条件( Fileter ) を設定した後 Apply を押してください。
a0056607_1817215.jpg


もう少しフィルタの高度な使い方を調べたい場合はこちらのサイトをご参考ください。

Wiresharkで特定の相手との通信だけを表示させる @markIT

Wiresharkで特定のプロトコルだけを表示させる@markIT

WIRESHARK(ワイアシャーク) 個人のサイトですが非常に詳しいです。

-よくやるドジ-

- I/Fを選んでいない
- Filter を変更して Apply を押していない。

以上2点です。

--
一応 Linux 版もリリースされていますし、ソースもあるのですが、依存関係があるので、あまりお勧めできません。 Linux には通常 tcpdump というコマンドがあるので、こちらをつかうのが良いでしょう。

islandcenter.jp
[PR]
by islandcenter | 2012-07-12 17:56 | プライベートクラウド | Trackback | Comments(0)

シンクライアントを sysprep などで仮想サーバ上に配置すると、それぞれ仮想マシンにはキーボードがつながっていないため、自動的に 101 キーボードをデフォルトとしてインストールしてしまいます。
リモートデスクトップでつないでいる場合は特に問題なくクライアントの106日本語キーボードが使えますが、管理者が Virt-Manager から使う場合は非常に面倒なことになります。

そこで、Windows の基本に立ち返り、キーボードの変更方法をメモしておきましょう。

デバイスマネージャを確認すると「とりあえず 101 キーボード」が入っています。
a0056607_10151668.jpg


プロパティからドライバの更新を選びます。ここからは「推奨」の真逆の操作を行います。
a0056607_10183898.jpg


手動で検索して」
a0056607_10204445.jpg


コンピュータ上のデバイスドライバの一覧から」
a0056607_1025115.jpg


「互換性のあるハードウェア」のチェックをはずし「日本語 106 キー」を選びます。
a0056607_10281074.jpg


再起動が要求されるので、再起動します。

※ちなみに SUSE Linux を仮想化すると、インストールの際にキーボードレイアウトが選べますが、もし誤って English(US) のままインストールしてしまった場合は、 # yast (テキストコンソール), (or X 環境のGUIであれば yast2) > Hardware > Keyboard LayoutTAB. Enter で辿って、キーボードレイアウト"Japanese" を選びます。”Test” フィールドに特殊キーを打って正しいかどうかを確認して Tab "OK" Enter します。再起動は必要ありません

a0056607_12134663.jpg

-Key-
SUSE SLES XEN 英語キーボード 日本語キーボード 101 106 変更

お問い合わせ
slandcenter.jp






[PR]
by islandcenter | 2012-07-01 10:29 | プライベートクラウド | Trackback | Comments(0)

最近 BYOD という言葉が流行になっています。たとえ、社内のリソースを持ち出せない設定にしたとしても、仮想マシン上の Windows シンクライアントにRemote Desktop できればなぁ、とか、PUTTY や xming で Linux の操作ができればなぁ、ということを考えると、小さな iPod Touch ではなく iPad や今後販売が予測される Windows8 RT などでも「ノマドワーク」ができるようになります。

Transrate english

SUSE + XEN でpptp を動かすメリット

1) 安い、何しろ1年間のサブスクリプションが $375 32ソケットの制限はあるけど仮想化は無制限、 RH の場合は4仮想マシンまで、 Windows ならライセンスを別途購入。VMware はハードウェアを選ぶしCPUやソケット数で莫大なライセンス料がかかるし、別途 OS を購入する必要がある。

2) 追加サブスクリプションを購入すると、サポートも受けられる。(年間9万円位から)

3) どうせたいしたCPU能力もディスクも使わないし、セキュリティ上の問題から、本体のクラックを避けられる。仮想化で十分。サービスも最低なものにすれば再起動はめちゃくちゃ早い。

4) デメリットは外から dom0 が壊れたり pptpd をイジルとアクセスできない(当たり前ですけど)

ということで SOHO プライベートクラウドを作るにはよい選択です。まず、テスト環境でサッと作ってみてから、本番機にイメージコピーして xm create してやればよいわけですね。

ということで SUSE + XEN 環境で VPN 用の pptp サーバを構築してみます。

ここではテストのため、VPN 接続が pptpd との間のセッションが確立できることを確認するために、同じ LAN 内でつながることを確認してみました。

-SUSE への pptpd のインストール-

仮想マシンにリモート x で接続します。yast2 > Softwre Management > search から "vpn" をキーワードに探してみます。
a0056607_1216963.jpg

pptpd のチェックが入っていないのでチェックします。Network Manager などもチェックが入っていないのでついでにチェックを入れましたが、これはこちらがクライアントとして VPN 接続するための機能なので不要なようです。Accept を入れるとリポジトリからインストールが始まります。

SUSEでのVPNクライアントアクセスの設定の場合はこちらをご参考に
第14章 VPN サーバの設定

次に、pptpd が自動起動できるよう yast2 > system runlevel に pptpd がリストされている行のレベル、3、5をチェックします。
a0056607_1223162.jpg


この時点で /etc/pptpd.conf と /etc/ppp のデフォルトが作成されます。最悪、デフォルトに戻したい場合は /etc/pptpd.conf と etc/ppp/* を削除して、 yast から pptpd の削除と再インストールを行えば、初期設定に戻ります。

pptpd にはいい教科書がたくさんあるので、その中から肝要な部分をパクってみました。

※この先の作業は様々なネットワークの設定を変更します。 Domain-0 から xm console vpnx1 (myPPTPserver) で作業することをお勧めします。

pptpd サーバは vpnx1(192.168.1.22) 外部から接続するユーザは user/password です。192.168.1.40 以降のアドレスに割り当てるように設定します。イントラネットのドメイン名は intra です。

設定内容を確認してみましょう。斜線部分がこちらの環境に合わせて修正した部分です。

vpnx1:/etc # cat pptpd.conf
option /etc/ppp/options.pptp
localip 192.168.1.22
remoteip 192.168.1.40-49

pidfile /var/run/pptpd.pid
vpnx1:/etc #
vpnx1:/etc # cat ppp/chap-secrets
# Secrets for authentication using CHAP
# client server secret IP addresses
user vpnx1 password *

vpnx1:/etc # cat ppp/options.pptp
lock
# my pptp server name, myoffice domain
name vpnx1
domain intra

#
auth
refuse-mschap
require-mschap-v2
require-mppe-128

# my office-dns
ms-dns 192.168.1.2
#ms-wins 192.168.1.2

#
proxyarp
nodefaultroute
nobsdcomp
novj
novjccomp
nologfd

#
vpnx1:/etc #
vpnx1:/etc # /etc/init.d/pptpd restart
Shutting down MS VPN server pptpd done
Starting MS VPN server pptpd done
vpnx1:/etc #

ポイントは
1) ppp/options.pptp の
require-mschap-v2
の行です。他の認証方法は refuse します。

2) pptpd.conf に
pidfile /var/run/pptpd.pid
という行がなければ pptpd restart をしたときにエラーになります。

-Windows 側の設定-

これもさまざまな教科書があるので割愛します。肝要な点だけピックアップしました。

Windows XP の場合
PPTPクライアントの設定 for Windows XP

Windows 7 系の場合
VPN(PPTP)接続の設定方法(Windows 7)

デフォルトは「自動」ですが、これはあくまでも「総当り」方式なので接続に時間がかかります。pptp のみに設定します。
a0056607_12384463.jpg

また、MS-CHAP もチェックが入っていますが、セキュリティ上の問題で許可していないのでチェックをはずしておきます。

将来使うかもしれませんが ipv6 のデュアルスタックは止めます。
a0056607_12403125.jpg


接続先の pptp サーバのアドレスです。実際にはルータのグローバルアドレスを指定します。
a0056607_1685665.jpg


それでは /etc/ppp/chap-secrets に設定した user/password で接続してみましょう・
接続できたかどうか確認してみます。

C:\Users\myname ipconfig /all

Windows IP 構成

ホスト名 . . . . . . . . . . . . : mylaptop
プライマリ DNS サフィックス . . . . . . . :
ノード タイプ . . . . . . . . . . . . : ハイブリッド
IP ルーティング有効 . . . . . . . . : いいえ
WINS プロキシ有効 . . . . . . . . : いいえ
DNS サフィックス検索一覧 . . . . . . : intra

PPP アダプター test:

接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : test
物理アドレス. . . . . . . . . . . :
DHCP 有効 . . . . . . . . . . . . : いいえ
自動構成有効. . . . . . . . . . . : はい
IPv4 アドレス . . . . . . . . . . : 192.168.1.40(優先)
サブネット マスク . . . . . . . . : 255.255.255.255
デフォルト ゲートウェイ . . . . . : 0.0.0.0
DNS サーバー. . . . . . . . . . . : 192.168.1.2
NetBIOS over TCP/IP . . . . . . . : 有効

イーサネット アダプター ローカル エリア接続:

接続固有の DNS サフィックス . . . : intra
説明. . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller


-以下略-



実際にネゴシエーションするところを WireShark で確認してみます。
Wiresharkはこちら

a0056607_12535685.jpg


今現在は直接 LAN と pptpd サーバがつながっているので、自分自身と pptpd サーバとのやり取りを覗き見してみました。チャレンジレスポンスで認証されている様子がわかります。

※ところで「3回ログインできなかったらロックアウト10分」といったパスワード総当たり攻撃の防御策はあるのでしょうか。探してもないのでどなたかご存知の方はコメントください。


-それでは本当に VPN でつながるか-

ISPのルータを設定します。

a0056607_12573965.gif


プロバイダからレンタルしているモデムから 1723ポートを pptpd サーバ(192.168.1.22)に開放します。このプロバイダはソラで覚えているくらいそうめったにグローバルIPが変わらないので、 VPN 接続にグローバル IP を設定します。LANケーブルをはずしてノートブックのモバイル回線から接続します。

※ iPod 系の場合は GRE ポート 47 も開放する必要があるようです。
SUSE Linux pptp で Android, iOS がリモート接続できない

------ The beginning of long way from here ... ここから長い道のりが始まる。

この後、モデムを出荷設定に戻したところ、何と丸一日後に復旧しました。

接続したところ、やっと ACK が返ってきました。
a0056607_13132100.jpg


一応、リモートデスクトップも使えます。
a0056607_1315655.jpg


PUTTYでリモート接続してみます。
a0056607_13152257.jpg


SPP でポートスキャンをかけると、色々ポートが開いていたので、yast > runlevell > expert mode から不要なサービスは止めておきます。最終的にはファイアウォールをかけることになるでしょう。またできればeDirectory+Ldap 認証(PDF)ができるように試みてみます。

さすが家庭用の回線で、細いのであまり実用的(xmingはタイムアウトした)とは言えないのですが、一応ここまでが手順です。

現実的かどうかは別にして、深夜、大きなファイルをダウンロードしているとか、バックアップが順調に進んでいるかの確認などは使えそうです。

※ セッションを閉じた後、しばらく接続できなくなりました。ルーターをリセットしたらOKなので、SOHO 環境ではプロバイダを選ぶということです。ちなみに Windows の着信接続を使っても同じ症状がでました。

この設定で iOS (iPod Touch) はLAN内は問題なかったのですがルーターは超えられませんでした。

--
SUSE SLES11 pptpd xen Novell プライベートクラウド

islandcenter.jp

[PR]
by islandcenter | 2012-06-25 13:31 | プライベートクラウド | Trackback | Comments(0)