つれづれ

つれづれ http://antas.jp/blog/ina/ オープンソースツールの調査や趣味の世界などをつれづれなるままに。。。 ja Copyright 2011 Mon, 14 Nov 2011 18:05:28 +0900 http://www.sixapart.com/movabletype/?v=3.33-ja http://blogs.law.harvard.edu/tech/rss ニフティクラウドを使ってみました。 http://cloud.nifty.com/ （2011.11.24）ロードバランサーを使ってみたので追記しました。ロードバランサーとディスク追加が従量課金に対応したので、検証がしやすくなりました。

使用した機能

サーバ作成（従量課金）
追加ストレージ Disk2 100GB
OSカスタマイズイメージ作成、複製
ファイアウォールは無料版を使用
監視機能
オートスケールは未使用

機能・スペックについて

料金は比較的高い。各機能の価格はホームページで公開されている。
ファイアウォール、ロードバランサー、オートスケール機能有。
インターネット接続は無償分は上限あり。
- 上下合わせて10TB/月を超えると有償15円/GBの料金追加となる。
プライベートLANは共用。（AWSと同様）
- 独立プライベートLANは月5万円とやや高額。
- ただし、プライベートLANの速度は爆速。4Gbpsを超える。
CPU、メモリリソース、ディスクは段階的に選択可。AWSより細かい。
- コントロールパネルでOS起動時に選択する。
- CPUクロックは3GHz。
- 最大で6vCPU(3GHz)、メモリ32GB。
スワップは2GB。
ローカルディスクは30GB。それ以上必要であれば追加ディスクを使用。
追加ディスクはAWSのEBSのようなもの。切断したディスクは他のサーバに接続できる。
- 100GB単位で追加。1万円/100GB, 月。
- 1サーバに4台まで接続可。
- 複数の追加ディスクを論理的に1パーティションにするには、最初からLVMボリュームにしておくとよいだろう。
OSテンプレート作成（イメージ化）機能、OSの複製機能あり。
- イメージ化、OSの複製は1件あたり500円。
- 作成したイメージの保管は3,000円/月だが、パートナー契約をすれば無料となる。
- イメージは特定のアカウントにも公開可能。
- SIerが自社のイメージを保管し、都度顧客アカウントに公開して使用することを想定している。
OSイメージはCentOS, RHEL, Windows Serverなど各種そろっている。
仮想ソフトはVMware。
ロードバランサーの設定は簡単で機能も豊富。
- ネットワーク流量（10Mbps単位）、振り分け先サーバ、振り分け方式、ヘルスチェックのプロトコル・チェック間隔・チェック閾値を指定する。
- アクセス元IPアドレスによるアクセス制限が可能。10アドレスまで。
- オプションで、SSLアクセラレーター、セッション固定、定型のSorryページ、携帯キャリアフィルター（携帯からのアクセスのみ受け付ける）が可能。
監視機能は現在無料で使用できる。
- 監視項目はホストへのPINGとCPU、メモリ、ディスク、ネットワークトラフィック、と簡易なもの。
- 例えばプロセス数やコネクション数など、監視項目の追加やカスタマイズはできない。
工事・障害情報はサポート掲示板で公開されている。

dbenchによるディスクベンチマーク

ローカルディスクの1クライアントと5クライアントによるベンチマークの結果は下記のとおり。サーバタイプsmall（1vCPU, メモリ1GB）のものですが、mini（1vCPU, メモリ512MB）、medium4（2vCPU, メモリ4GB）でもほぼ同様の結果でした。

Throughput 51.8232 MB/sec 1 clients 1 procs max_latency=249.975 ms Throughput 81.2098 MB/sec 5 clients 5 procs max_latency=403.340 ms

追加ディスク（Disk200）の1クライアントと5クライアントによるベンチマークの結果は下記のとおり。

Throughput 233.62 MB/sec 1 clients 1 procs max_latency=143.488 ms Throughput 259.058 MB/sec 5 clients 5 procs max_latency=832.075 ms

追加ディスクはすごく速いです。ストレージはスケールアウト型NASのアイシロンを使用しているという情報があります。アイシロンであれば、ストレージノード台数が増えるほど高速になる、と聞いたことがあります。（参考） http://www.isilon.co.jp/2010/06/10/2874/ http://ncloud.cocolog-nifty.com/blog/2011/02/mysql-bf44.html

サーバ間の通信速度

netperfを使用してプライベートN/W経由の2サーバ間のスループットを計測しました。 TCPで4.0～4.4Gbps, UDPで2.5～2.8Gbpsという結果で爆速でした。 UDPよりTCPのほうが速いのは理由がよくわかりませんが、スイッチ等で特殊なキャッシュ制御などを行っているのでしょうか。 ※こちらもサーバタイプsmall（1vCPU, メモリ1GB）の結果ですが、mini（1vCPU, メモリ512MB）、medium4（2vCPU, メモリ4GB）でもほぼ同様の結果でした。

コントロールパネルの操作感

全般的に使いやすい。
ログイン履歴、操作履歴、前日までの料金明細が見られる。
キー名やサーバ名の入力にアンダースコアなどの記号が使えない。
コンソール接続はVMwareのクライアントツールを使用する。
- クライアントPC - サーバ間のコピーペースト可能。
- 用意されているサーバOSの初期状態ではCUIのみ。X WindowとGNOMEデスクトップを追加インストールし、コンソールでログイン後、startxコマンドでXを起動すると、GNOMEデスクトップ画面となる。

その他わかったこと

ユーザブログや掲示板などで第三者による情報が公開されている。
サービス側で名前解決サーバ（DNSキャッシュサーバ）が用意されていない！
APIがある。仕様やコマンド名がAWSにそっくり。
SSHログインに秘密鍵が必要。（AWSと同じ）
サーバを停止してもインスタンスやデータは消えず、再起動できる。（AWSのEBSブートインスタンスのようなイメージ）
サーバ課金は月額課金か1時間単位の従量課金かを選択できる。従量課金でサーバを停止している間も、起動時の5%から40%程度の料金がかかる。
スタンダードイメージからのOSの作成は1～2分。
カスタマイズイメージからのOSの起動は10分程度。
時刻合わせは自前で設定する。
カーネルのアップデートはデフォルトでは除外対象となっている。

まとめ

サーバリソースや各機能の価格は安くはありませんが、その分多機能で高性能といえます。ネットワークやディスクの性能には驚きました。セキュリティ的には、月1,000円から使用できるファイアウォールがあります。プライベートLANはすごく速いものの共用で、独立したプライベートLANとするには月5万円かかります。サーバ台数は2,3台と少なくてもよいけどセキュアな環境を用意したい、というケースでは、月5万円は大きな負担となりますね。ロードバランサーや、今回は使用していませんが、ファイアウォール、オートスケール機能もあります。 OSのテンプレートイメージ化や複製ができるのはとても便利ですし、APIで自動制御できるのもよいですね。定期的に機能が追加され、今後の進化が見込めるのも頼もしいところです。]]> http://antas.jp/blog/ina/archives/2011/11/nifty_cloud.html http://antas.jp/blog/ina/archives/2011/11/nifty_cloud.html クラウド Mon, 14 Nov 2011 18:05:28 +0900 Bizホスティングベーシックを試用しました。 http://www.ntt.com/bizhosting-basic/

トライアルで用意していただいた環境

FW x 1、サーバ x 2
サーバスペック：CPU 2コア、メモリ4GB、ディスク100GB
サーバOS：CentOS 5.7を自分でインストール
IPアドレス：/29（4サーバ分）
試用期間：2週間

機能・スペックについて

料金は安価。各機能の価格はホームページで公開されている。
ファイアウォール、ロードバランサー有。
インターネット接続は帯域制限、帯域課金なし、ベストエフォート。
プライベートN/WはIPエイリアスで設定する。
リソース追加削除可。
- CPU 1ユニット単位、メモリ1GB単位、ディスク100GB単位。
- オンラインで申し込む。
OSテンプレート作成機能、OSの複製機能なし。
- ただし、有料のバックアップディスクオプションにより、バックアップしたOSイメージからのOS複製が可能。
CentOSなど、RHELとWindows Server以外のOSは、自分でISOイメージをアップロードしてインストールする必要がある。
仮想ソフトはKVM。
ディスクは遅い（後述）。
工事・障害情報はNTTコミュニケーションズのホームページで公開されている。

dbenchによるディスクベンチマーク

1クライアントと5クライアントによるベンチマークの結果は下記のとおり。

Throughput 41.6043 MB/sec 1 clients 1 procs max_latency=539.251 ms Throughput 53.0621 MB/sec 5 clients 5 procs max_latency=682.470 ms

Amazon Web Servicesのmicro, smallインスタンスでの永続ストレージEBSのスループットとほぼ同等ですが、正直、物足りない値だと思います。ファイル操作やDB書き込みが激しいシステムには向かないでしょう。なお、ストレージについては「iSCCIマルチパスの上にLVM、その上にqemu　device modelで実現している」という情報がありました。 cf. レッドハットフォーラム2010に行ってきた http://emasaka.blog65.fc2.com/blog-entry-835.html

サーバ間の通信速度

netperfを使用してプライベートN/W経由の2サーバ間のスループットを計測しました。 TCPで150Mbps, UDPで190Mbps という結果でした。こちらも少し物足りないのですが、大量のデータ通信がなければさほど不都合はないかもしれません。

コントロールパネルの操作感

ファイアウォールの設定が、内向き、外向きのわかりにくさなどクセがあり、少し難しい。
サーバへのコンソール接続ができるが、クライアントPCとサーバ間のコピーペーストはできない。

まとめ

サーバリソースの単価が低く、比較的安価に使用できます。今回は使用していませんが、ロードバランサー機能もあります。セキュリティ的には、月500円で使用できるファイアウォールがあります。プライベートLANはIPエイリアスで実現する方式ですが、専用プライベートLANとなるので複数サーバ間の通信は安全といえます。有料のバックアップディスクオプションを使用しないとOSの複製ができないのは残念です。 CentOS等、RHELとWindows Server以外のOSが必要な場合は、手作業でOSをインストールする必要があるのも残念ですが、逆に言えば、好みのOSを自由にインストールできるともいえます。ディスクの性能が低いため、ファイル操作やDB書き込みなど、ランダムアクセスが激しいシステムには向かないでしょうが、静的コンテンツが多いWebサイト、シンプルなCMS, SNSサイトでは問題ないと思われます。今回はNTTコミュニケーションズ様のご協力で試用させていただきました。ありがとうございました。（試用の申し込みは9月で終了したと聞きました。）]]> http://antas.jp/blog/ina/archives/2011/11/cloud_bizhosting.html http://antas.jp/blog/ina/archives/2011/11/cloud_bizhosting.html クラウド Mon, 07 Nov 2011 11:36:20 +0900 クラウドホスティングサービスの選定ポイント

料金の明確さ

オプションを含めてHPで料金が公開されているか。

課金対象

AWSのEBSのようにI/O課金まであると事前に読みにくい。純粋な従量課金ともいえる。

導入までの期間

営業窓口への申し込みが必要か。それともオンラインで申し込みできるか。

サーバ追加、リソース変更方法

同じく、営業窓口への申し込みが必要か。それともコントロールパネルで追加変更できるか。

ファイアウォールの有無、料金

iptablesなどサーバ上のファイアウォールだけだと、例えば開けていないポートへの攻撃があった場合、サーバ側で破棄処理が必要なのでCPU負荷が上がってしまう。

ロードバランサーの有無、料金

ネットワーク帯域上限、転送料金

Inbound（サーバから見てデータ受信）も転送料金がかかると、DoS攻撃を受けた分にも課金が発生する。

ライブマイグレーションの有無

サービス提供側のメンテナンス時の計画停止や、物理サーバ障害時に自動的に生きているサーバに移動するか。サーバダウンタイムが発生しないか。

プライベートネットワークの有無

複数サーバ間の場合。他の契約と分離したセキュアな環境でサーバ間通信ができるか。

テンプレートOSの作成、OSの複製機能の有無

カスタマイズした環境をコントロールパネルから一発で複製できるか。

ディスク性能

ストレージは各社いろいろ工夫しているようだが、実際にベンチマークをとってみないとわからない。

1サーバあたりの最大リソース

SLAの有無

といっても、お金が返ってくればサーバが落ちてもいいというものではない。

コントロールパネルの使い勝手

バックアップ

オートスケールアウト、オートスケールアップ

サービスインからの期間

稼働期間が長ければノウハウもある。

発展性

サービスイン後、定期的な機能追加があるか。
機能追加のロードマップが示されているか。

APIの有無

バックアップの自動化やサーバ起動から停止までを含めたバッチ処理の自動化などが可能となる。

個人情報の取り扱い、セキュリティ対策

コミュニティが充実している

掲示板、ブログなどでサポート担当者やユーザによる情報が公開されている。

保守対応、サポート体制

工事、障害情報が公開されている。
24時間365日、電話もしくはメールで対応してくれる。

各社サービスの機能を見極めて、案件の特徴に合わせて最適なサービスを選択することが大事ですね。]]> http://antas.jp/blog/ina/archives/2011/10/cloud_select.html http://antas.jp/blog/ina/archives/2011/10/cloud_select.html クラウド Thu, 06 Oct 2011 18:19:55 +0900 Scientific LinuxとCentOSの違い -- /etc/sysconfig/yum-autoupdate ENABLED="false" -- ・デフォルトではマイナーバージョンのアップデートはしない SLでは、安定稼働しているバージョンからアップデートしないよう、マイナーバージョンのアップデートはされずに元のバージョンのままとどまりつつセキュリティアップデートは適用する、というポリシーとなっているようです。これを回避してマイナーバージョンアップするには、yum-conf-sl6xをインストールし、リポジトリキャッシュをクリアしてからアップデートを実施します。

　# yum install yum-conf-sl6x 　# yum clean all 　# yum update 　# cat /etc/redhat-release // RHEL系のOSバージョンを表示 Scientific Linux release 6.1 (Carbon)

マイナーバージョンアップを無効にしたい場合は、リポジトリの設定ファイル /etc/yum.repos.d/sl6x.repo の enabled の値を1から0に変更すればよいです。・サードパーティリポジトリの追加が簡単 EPELやRPMforgeなどのサードパーティのリポジトリが、yum installで簡単に追加できるようになっています。 - EPELリポジトリの追加。

　# yum install epel-release yum-conf-epel

- RPMforgeリポジトリの追加。

　# yum install rpmforge-release yum-conf-rpmforge

- ELRepoリポジトリの追加。

　# yum install elrepo-release yum-conf-elrepo

- ATrpmsリポジトリの追加。

　# yum install atrpms-release yum-conf-atrpms

]]> http://antas.jp/blog/ina/archives/2011/10/diff_sl_centos.html http://antas.jp/blog/ina/archives/2011/10/diff_sl_centos.html Scientific Linux Thu, 06 Oct 2011 14:36:18 +0900 ログ自動監視ツールSwatchとlogmonのエスケープ処理

インストールが少々面倒。CentOSやRHELに含まれていない依存関係のあるPerlのパッケージをEPELなどから取得しなければならない。また、自動起動スクリプトを自前で用意しなければならない。

監視対象のログファイルを追加する場合は、起動スクリプトも書き換えなければいけない。そこで最近、これらの問題を解決できそうな、Swatchによく似たlogmonというIBM製の監視ツールを見つけたので社内で評価してみました。インストール手順や設定方法は下記を参照してください。・IBM Systems Directorで利用できるログファイル監視用スクリプト http://www-06.ibm.com/jp/domino01/mkt/cnpages7.nsf/page/default-00057580 ・ログ監視ツールをswatchからlogmonに切り替えた http://www.glidenote.com/archives/1023 ※「IBM Systems Directorで利用できる～」とありますが、IBM製サーバ以外のサーバでもこのツールを独立して使用できます。評価したところ、機能的にはSwatchとほぼ同じでインストールは簡単、監視対象のログファイルが複数でも設定ファイルはひとつにまとめられるので運用管理も楽、ということで、先述のSwatchの問題点が解消されました。ただし、下記の問題があることがわかりました。「検知した文字列を含む行全体をメールで通知する機能を使用した場合、指定した行にダブルクォート(")を含むと、メールで通知されない。」特にApacheのログでは、ダブルクォート(")やシングルクォート(')を含む行が出力されるので、これでは困りますね。しくみとしては、configの記述で下記のようにechoコマンドの引数として行全体を与えて、mailコマンドに渡しています。確かにこれではダメでエスケープ処理が必要です。

echo "<行全体>" | mail -s "Apache Error was found" root

せっかくの便利なツールがこれではもったいないので、logmonのPerlプログラムに簡単なエスケープ処理を施します。方針としては、logmonのconfigにおけるechoコマンドのダブルクォート(")を、シングルクォート(')に変更し、メタ文字を解釈しないようにします。このままだと、ダブルクォート問題は解決できますが、検知したログ行にシングルクォートが含まれると同じ問題が発生してしまうので、取得したログ行のうちシングルクォート(')があれば、全角クォート(’)に置換します。（置換後の文字は何でもよいのですが、保守の際の視認性という意味では見た目が似ている文字が一番よいと思い、単純に全角にしました。）具体的には下記のとおり。・logmonのconfigにおけるechoコマンドのダブルクォート(")を、シングルクォート(')に変更 -- /etc/logmon/logmon.conf 変更前 :/var/log/httpd/error_log (error) echo "<%%%%>" | mail -s "Apache Error was found" root -- -- /etc/logmon/logmon.conf 変更後 :/var/log/httpd/error_log (error) echo '<%%%%>' | mail -s "Apache Error was found" root -- ・取得したログ行のうちシングルクォート(')があれば、全角クォート(’)に置換 /etc/logmon/logmon.pl の watch_for 関数にて。 76行目、ローカル変数 $line を追加します。

-- /etc/logmon/logmon.pl 変更前 76行目 my ( $tail_num, $target, $message, $action, $new_action ); -- -- /etc/logmon/logmon.pl 変更後 my ( $tail_num, $target, $message, $action, $new_action, $line ); --

87行目、シングルクォートの置換処理を追加します。（置換後の文字はお好みで）

-- /etc/logmon/logmon.pl 変更前 87行目 $new_action =~ s/<%%%%>/$_/g; -- -- /etc/logmon/logmon.pl 変更後 $line = $_; $line =~ s/\'/’/g; $new_action =~ s/<%%%%>/$line/g; --

これで、検知したログ行にダブルクォート(")やシングルクォート(')、その他メタ文字が含まれていても、問題なくメールで通知されるようになります。 logmonはまだ本番環境では使用していませんが、運用保守チームとともにもう少し評価して、問題なければ本番環境に投入してみたいと思っています。なお、このlogmonというツールは「プロのためのLinuxシステム構築・運用技術(Software Design plus)　中井悦司 (著) 」という書籍で知りました。 Linuxのブートの仕組みからサーバ運用管理の考え方、ストレージ管理、ネットワーク管理、Linuxの内部構造と問題判別の考え方など、Linuxサーバエンジニアとして理解しておくべき内容がわかりやすく書かれています。とても勉強になりました。・プロのためのLinuxシステム構築・運用技術(Software Design plus)　中井悦司 (著) http://www.amazon.co.jp/%E3%83%97%E3%83%AD%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AE-Linux%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E6%A7%8B%E7%AF%89%E3%83%BB%E9%81%8B%E7%94%A8%E6%8A%80%E8%A1%93-Software-Design-plus/dp/4774145017/ ネットワーク管理編もあります。・プロのためのLinuxシステムネットワーク管理技術(Software Design plus)　中井悦司 (著) http://www.amazon.co.jp/%E3%83%97%E3%83%AD%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AE-Linux%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%83%BB%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E7%AE%A1%E7%90%86%E6%8A%80%E8%A1%93-Software-Design-plus/dp/4774146757/ ]]> http://antas.jp/blog/ina/archives/2011/07/swatch_logmon_escape.html http://antas.jp/blog/ina/archives/2011/07/swatch_logmon_escape.html 運用保守 Thu, 28 Jul 2011 12:08:52 +0900 アンタスの運用保守サービスメニューができました。 http://antas.jp/ssd/managed1.html ・アンタス　マネージドサービスの詳細と価格表 http://antas.jp/ssd/servicemenu.html#managed 詳細は上記ページおよびリンクを参照していただきたいのですが、サイト運営やシステム開発を担当される方が本来の業務に集中できるよう、サーバ・システムを見守り、障害発生時の対応を行います。（実際、運用保守担当メンバーのおかげで、インフラ構築担当の僕も、夜間や休日にゆっくり休むことができています。）土日祝の休日と深夜のみの対応など、サポート内容や時間帯も柔軟に対応可能です。運用保守のみ、インフラ構築・サーバ設定のみのご用件も承ります。ご相談、お問い合わせは下記フォームよりお願いいたします。・アンタス　営業・サービスのお問い合わせ https://ssl.antas.jp/modules/liaise/index2.html ※MSP(Management Service Provider)...サーバやネットワークの運用・監視・保守などを請け負う事業者、という言葉を最近知りました。]]> http://antas.jp/blog/ina/archives/2011/06/managed_service_provider.html http://antas.jp/blog/ina/archives/2011/06/managed_service_provider.html 運用保守 Fri, 24 Jun 2011 15:51:07 +0900 第7回北海道セキュリティ勉強会に参加しました。

利用者に興味を持たせ、攻撃者に興味を持たせないようなSEO対策が大切

Webサイトのアクセスログのリファラに、「JCB VISA 支払 inurl:php」というような検索が記録される例が増えている。
検索エンジンについては一般の利用者だけではなく、攻撃者も攻撃対象を物色するのに使用している。
自分のサイトがGoogleや百度にどのように登録されているか、を認識すること。「すべての脆弱性をなくす」ことよりも重要。

ソニー情報漏えい事件の考察

http://www.lac.co.jp/column/20110517.html

標的型サイバー攻撃への対策

アンチウイルスソフトについては、「検知率が低いから劣っている」というものでもない。攻撃者は特定のアンチウイルスソフト向けの対策をしている。
「入り鉄砲に出女」 - 外向きパケットの監視が重要

企業での私物スマートフォン利用はIT活用における「民主化要求」のようなもの。受け容れるしかないだろう。

ステークホルダとの関係性が大切。正直に。敬意をもって。などなど。自分が気づかない視点の話題も多く、聞いていてワクワクしましたね。特に「攻撃者に興味を持たせないようなSEO対策」は考えたこともなく、目からウロコでした。スタッフのみなさん、おつかれさまでした。とても勉強になり、機会があればまた参加したいと思います。ケーキもおいしくいただきました。（参考）・北海道セキュリティ勉強会 http://secpolo.techtalk.jp/ ・togetter 第7回北海道情報セキュリティ勉強会のまとめ #secpolo http://togetter.com/li/142136]]> http://antas.jp/blog/ina/archives/2011/06/secpolo7.html http://antas.jp/blog/ina/archives/2011/06/secpolo7.html セキュリティ Thu, 16 Jun 2011 09:50:39 +0900 CentOS 5ホストのXenゲストOSとしてScientific Linux 6をインストール ... [2011-05-11 17:22:43 xend 3190] ERROR (SrvBase:88) Request create failed. Traceback (most recent call last): File "/usr/lib/python2.4/site-packages/xen/web/SrvBase.py", line 85, in perform return op_method(op, req) File "/usr/lib/python2.4/site-packages/xen/xend/server /SrvDomainDir.py", line82, in op_create raise XendError("Error creating domain: " + str(ex)) XendError: Error creating domain: (2, 'Invalid kernel', 'xc_dom_find_loader: no loader found\n') 調べたところ、比較的新しいOSのLinuxカーネルイメージ（2.6.30以降？vmlinux - Wikipediaより）は、gzip圧縮ではなくbzip2による圧縮を使用したbzImageという新しい形式になったそうです。それで、xenがbzImage形式に対応していないので、カーネルイメージをロードできなくてエラーとなったようです。（参考） http://old.nabble.com/rawhide-domU-on-RHEL5.2-dom0--td19828250.html https://bugzilla.redhat.com/show_bug.cgi?id=457199 xenのみアップデートすれば解決したのかもしれませんが、せっかくなので、ホストOSのカーネルを含めた全アップデートを実施し、CentOS 5.6、xen-3.0.3-120としたところ、'no loader found'のエラーは出なくなりました。・インストール時のゲストOSへのメモリ割り当てゲストOSのメモリ割り当ては最小限にしたかったので、virt-install時の引数で --ram=128 のように128MBを指定しました。すると、SL6のCUIインストーラが起動したのち、 'You do not have enough RAM to install　Scientific Linux on this machine.' というメッセージが出て終了してしまいます。 256MBにしても同様のエラーとなり、結局、384MB割り当てると、無事インストールを完了できました。 virt-installコマンドの引数は下記のような感じです。

# virt-install \ --paravirt \ --uuid=0e20a1b5-f72b-4dbd-a7b6-3886b713ff24 \ --name=sl6server \ --vcpus=1 \ --ram=384 \ --mac=00:16:3e:59:1f:01 \ --file=/var/lib/xen/images/sl6server.img \ --file-size=10 \ --location=http://ftp.riken.jp/Linux/scientific/6.0/i386/os/ \ --nographics

インストールが終了すれば、その後SL6へのメモリ割り当てを128MBに減らしても、OSは問題なく起動します。ホストOS側で、XenゲストOSのconfigファイル /etc/xen/sl6server を編集し、memory = 128 を指定します。なお、SL6はCUIインストールだと、こちらではほとんど指定できず、下記のようになります。

パーティションは /boot が485MB、/ はLVMで残り全部、SWAPもLVMで768MBとなる。（指定したディスクサイズによるのかもしれませんが。）
パッケージは最小構成。
SELinuxは有効。

これが気に入らなければ、virt-managerを使うなりしてGUIインストールするとよいでしょう。ファイルシステム、cronなど、RHEL 5からRHEL 6への変更点がいくつかあるようです。これからいろいろ触ってみます。]]> http://antas.jp/blog/ina/archives/2011/05/sl6_install_on_centos5_xen.html http://antas.jp/blog/ina/archives/2011/05/sl6_install_on_centos5_xen.html CentOS Mon, 16 May 2011 19:09:32 +0900 第2回JAWS-UG-Sapporo勉強会に参加しました。 http://www.affordance.co.jp/seminar/110425.html まず、AWSエバンジェリストの玉川さんによる最新情報や新サービスの紹介がありました。資料は下記。 http://www.slideshare.net/kentamagawa/amazon-web-services-7711671 つい先日発表されたばかりのAdobe Flash Media Server on AWSについては、ライブストリーミング環境を短時間で調達でき、従量課金で使えるので、アクセスが大量にある＆短期イベントのサイトには向いていそうです。 http://aws.typepad.com/aws_japan/2011/04/live-streaming-with-amazon-cloudfront-and-adobe-flash-media-server.html S3 + Route 53(DNS)を使用した静的Webサイトホスティングも、シンプルなページ構成であれば便利に使えそうですね。 http://aws.typepad.com/aws_japan/2011/02/host-your-static-website-on-amazon-s3.html 続いて札幌のみなさんによる事例紹介がありました。ピットクルー小関さんの発表にあった、「AWSの複数アカウントをまとめて一括請求にできる」のは知らなかったのですが、おっしゃっていたとおり、実績報告書でプロジェクトごとの詳細利用実績がわかるのは便利ですね。また、コードヘッド高橋さんほか、SimpleDBを使った実験結果の報告がいくつかありました。 AWSについては、正直なところまだ検証環境としてしか使ったことがありません。サービス単位が細かく幅広く素晴らしいと思うのですが、本番運用で使用するとなると、逆に従量課金の単位も細かすぎて見積もりしにくいと感じています。特にDBに負荷がかかるようなシステムでは、EBSのパフォーマンスとI/O料金が読みにくい。。札幌にも大勢いらっしゃると思われる、実際に本番運用で使用されている方から、可用性、課金、パフォーマンス、バックアップといった運用面の話が聞けるとうれしいのですが。また機会があれば参加したいと思います。]]> http://antas.jp/blog/ina/archives/2011/04/jaws-ug-sapporo2.html http://antas.jp/blog/ina/archives/2011/04/jaws-ug-sapporo2.html クラウド Wed, 27 Apr 2011 17:03:34 +0900 Hyper-V詳説セミナーに参加しました。

ホストOSのドライブ単位でのバックアップとなる。

複数のゲストOSがある場合、ゲストOS個別のリストアはできず、すべてのゲストOSのリストアとなる。ほかのバックアップ方法として「エクスポート・インポート」がありますが、ゲストOSのオンラインバックアップは不可とのことで、バックアップ時にゲストOSの停止が必要です。ですので、ゲストOSが複数あり、かつオンラインでバックアップする必要がある場合は、有償のSystem Center Data Protection Manager(SCDPM)もしくはサードパーティのバックアップツールを別途購入、設定する必要がありそうです。社内でWindows Serverをお使いのお客様も多いようですし、今後、統合や延命などで仮想化する場合はHyper-Vを使用するケースもさらに増えてくるでしょう。アンタスとしてはHyper-Vの実績はあるものの、個人的には触れたことがなかったので、とても勉強になりました。社内で少し実験してみようと思います。本題とは関係ありませんが、会場のマイクロソフト北海道支店はJRタワーの20階にあります。休憩のときに眺めのよい景色が見れるのでうれしいです。]]> http://antas.jp/blog/ina/archives/2011/04/hyper-v_seminar.html http://antas.jp/blog/ina/archives/2011/04/hyper-v_seminar.html クラウド Wed, 27 Apr 2011 17:01:36 +0900 Isilonのストレージセミナー東芝ITサービスさんが主催する、Isilonのストレージセミナーに参加してきました。 Isilon IQという製品は、ひとことでいうと「スケールアウト型NAS」だそうです。ファイルを分割し、パリティを付加してノード間でデータを分散して保持します。 1パーティションのサイズを、ノードを追加していくことでどんどん拡張できます。ノード追加はオンラインででき、60秒で完了するとのこと。サーバからストレージへのアクセス性能については、NASなので、ネットワークの性能にも依存すると思われます。より速いLANで構築することとチーミングで工夫するとよいのかな。また、ノードが増えるとその分ヘッド（コントローラー）が増えるのでアクセス性能もアップするとのことです。仮想化、クラウドを支える技術として肝となるのはストレージだと思っています。ストレージは性能的に一番ボトルネックになりやすいし、どんなに堅牢なサーバを用意して冗長化しても、ストレージが壊れたらサービスが止まってしまいます。といって、ストレージ機器を常に2台、2セット用意するとコストがかかってしまいますね。性能、可用性、拡張性と管理の容易さを考えると、ストレージソリューションとしてIsilon IQは素晴らしい製品だと思いました。大容量のコンテンツ配信、大量データ処理、仮想化のサーバ数が多いケース、企業内のストレージ統合などでおすすめできそうです。あとは価格ですね。。。 ※セミナー中、地震で何度も揺れて少し気持ち悪くなりました。。 http://antas.jp/blog/ina/archives/2011/03/isilon_storage_seminar.html http://antas.jp/blog/ina/archives/2011/03/isilon_storage_seminar.html ハードウェア Fri, 11 Mar 2011 19:28:22 +0900 Xen, bonding, arp監視でpbond0: received packet with own address as source addressのエラー Mar 3 10:24:41 hostname kernel: pbond0: received packet with own address as source address いろいろ調べたのですが、例えば下記に書かれている対処方法では解決できず。 Stray Penguin - Linux Memo (Xen)： http://www.asahi-net.or.jp/~aa4t-nngk/xen.html#ownaddresstrouble その後さらに調べたところ、XenSourceのbugzillaに記載されていた方法で無事解決しました。 XenSource bugzilla： http://bugzilla.xensource.com/bugzilla/show_bug.cgi?id=339 原因は、ブリッジ・インタフェースと物理ネットワーク・インタフェースを結ぶための論理ネットワーク・インタフェースであるpeth0に割り当てられたMACアドレスが"FE:FF:FF:FF:FF:FF"であり、これが2台のXenホストOSとも同じでバッティングしていた、というものでした。 XenのホストOSが同一ネットワークに複数台存在し、かつ複数台でbondingの設定を行い、かつbondingの監視方法がarpという条件で発生する現象のようです。ちなみに監視方法がMIIの場合は発生しません。対処方法は、ネットワークブリッジ設定スクリプト/etc/xen/network-bridgeを下記のように変更し、Xenの各インターフェースに一意なMACアドレスを割り当てるようにします。 macidはホストOSごとに違う値を指定します。

-- /etc/xen/network-bridge 変更前 setup_bridge_port ${vif0} ip link set ${netdev} addr ${mac} arp on ip link set ${bridge} up add_to_bridge ${bridge} ${vif0} add_to_bridge2 ${bridge} ${pdev} --

-- /etc/xen/network-bridge 変更後 #macid is used to uniquely identify this dom0 on this network #change this to avoid MAC address conflicts if you get: #"peth0: received packet with own address as source address" macid="F0" (中略) setup_bridge_port ${vif0} ip link set ${netdev} addr ${mac} arp on ip link set ${pdev} addr fe:ff:ff:ff:${macid}:0${vifnum} ip link set ${vif0} addr fe:ff:ff:ff:${macid}:0${vifnum} ip link set ${bridge} up add_to_bridge ${bridge} ${vif0} add_to_bridge2 ${bridge} ${pdev} --

設定変更後、OSを再起動したところ、エラーメッセージが出なくなりました。解決したのはよいけれど、なぜarp監視のときだけエラーメッセージが出力されたのでしょう。今回のarp監視ではターゲットとしてルータのIPアドレスを指定しているのですが、そのIPアドレスに対するMACアドレスを知るためにarpパケットをブロードキャストしているから、ですね。あるホストOSが別のホストOSからブロードキャストされたARPパケットを受け取って、そのARPパケットのヘッダにある送信元のMACアドレスが、自分のMACアドレスと同じなので「received packet with own address as source address（送信元のアドレスが自分のアドレスと同じパケットを受け取ったよ。なんか変じゃない？）」というエラーを出力したのでしょう。原因がわかってすっきりしました。 arp監視のために送受信するarpパケットについては下記が詳しいです。 Carpe Diem　bonding ことはじめ： http://www.sssg.org/blogs/naoya/archives/1188]]> http://antas.jp/blog/ina/archives/2011/03/xen_bonding_arp_error.html http://antas.jp/blog/ina/archives/2011/03/xen_bonding_arp_error.html Xen Wed, 09 Mar 2011 18:30:56 +0900 Ubuntu 10.04でログインできない？ Jan 18 11:44:16 (hostname) gdm-session-worker[13306]: pam_succeed_if(gdm:auth): requirement "user ingroup nopasswdlogin" not met by user "(username)" 認証まわりで不具合が生じているようです。ひとつ思い当たったのは、ログインできなくなる前に最後にやった作業はSambaの設定だったということ。 Sambaのログを見たところ、smb.confの記述がよくなくて、core dumpしていました。 smb.confをデフォルトのものに戻すとよかったのでしょうが、いったん、Sambaの設定をすべてクリアしたほうがすっきりすると思ったので、アンインストールし、かつ、/etc/samba ディレクトリを削除しました。

$ sudo apt-get remove samba $ sudo rm -rf /etc/samba

これで、無事解決し、ログインできるようになりました。なぜかSambaをアンインストールするだけではダメで、/etc/samba （というかsmb.confファイル？）を削除する必要がありました。ちなみに、この案件でUbuntuを採用したのは、GUIのバックアップツールBack In Timeを使いたかったからです。 CentOSでは、このようなシンプルなGUIのバックアップツールがないようです。 UbuntuはコマンドやConfigファイルの管理など、CentOSと異なることも多かったのですが、なかなか新鮮でした。 Ubuntuでもうひとつ困ったことといえば、「デスクトップが固まる。Xがフリーズする？」という問題がありました。これについては「GNOMEのスクリーンセーバーが不安定」が原因と思われ、「スクリーンセーバーをXスクリーンセーバーに変更する」という対処で解決する見込みです。（参考） http://ubuntuforums.org/showthread.php?t=195557]]> http://antas.jp/blog/ina/archives/2011/02/ubuntu_1004_login.html http://antas.jp/blog/ina/archives/2011/02/ubuntu_1004_login.html Ubuntu Tue, 15 Feb 2011 15:18:15 +0900 PCがフリーズ http://blog.browncat.org/2010/03/thunderbird3-stop-global-search.html DBファイルのサイズは900MBもあって、ディスク容量もムダに食っていました。「検索機能を強化」ということはインデックス作成をがんばるということですが、せめてGoogleデスクトップのようにPCがアイドルのときに動作してほしいものです。 ※また、GoogleDesktopも早くThunderbird 3.xに対応してほしいものです。]]> http://antas.jp/blog/ina/archives/2010/12/pc.html http://antas.jp/blog/ina/archives/2010/12/pc.html つれづれ Wed, 01 Dec 2010 14:36:47 +0900 IPv6ハンズオンセミナーに参加しました。

IPアドレスの桁数が多く英字も交じるし、1ノード・インタフェースで複数アドレスを持つので管理が大変。

IPv4とIPv6は全く異なるプロトコルなので、両者とも監視する必要がある。

IPアドレスが潤沢にあるので、IPv4ならプライベートアドレスを使用するようなケースでもグローバルアドレスを付与するケースが増える？→セキュリティや管理面で大変。

ACLではICMPv6はすべて許可したほうがよい。など。また、サービスそのもののプロトコルをIPv6にすることと、IPv6アドレスに対応することとは異なる、というのも注意が必要な点ですね。例えばDNSでいうと、IPv6プロトコルを用いたDNSクエリに対応するということと、AAAAレコードを返すということは違います。（IPv4プロトコルによるDNSクエリでも、AAAAレコードは返せる。）アプリケーション開発については、名前解決に gethostbyname() を使っている箇所があれば、getaddrinfo() を使うように修正するだけでよさそうです。受講料は各日15,750円と有料でしたが、IPv6について基礎から説明していただけて、ネットワーク・サーバ環境を実際に触りながら確認できるという貴重な経験ができてとても有意義でした。 2011年前半にIPv4アドレスの新規発行がなくなる、と言いつつプロバイダによるIPv6環境の提供は遅れているように思います。結局我々が構築するシステムで実際にIPv6に対応しなければならないのはいつになるのだろう、という気もしますが、アンタスでも、社内に実験環境を用意して、来るべき日に備えたいと思います。なお、「キャリアグレードNAT、ロングスケールNATでIPv4を延命できるのでは？」という意見については、そもそもIPアドレス1個で使用できるセッション数は65,535と限られており、1PCあたりのセッション数は2,000を超える場合も多いのであまり意味がない、とのこと。 YouTubeとかiTunes Music Storeなどは裏でたくさんセッションを張って通信するので、それだけで200～300セッションを使用するそうで、この話も興味深かったです。 IPv4アドレス枯渇対応タスクフォース： http://www.kokatsu.jp/blog/ipv4/]]> http://antas.jp/blog/ina/archives/2010/10/ipv6_handson.html http://antas.jp/blog/ina/archives/2010/10/ipv6_handson.html つれづれ Thu, 07 Oct 2010 18:30:22 +0900