今日、お客様先でWEBのシステムが動作しないと言われ、現地へ。
どうも、Tomcatが変な状態になっているのはわかったのだが、なぜそうなったのかがよくわからない。
それはいいのだが、お客様によるとインフラ周りでシスコのL3にしてから、全システムが停止したかのように遅くなる現象が出だしたそうだ。WEBページが最初のちょっとだけ表示されたり、ものすごーく遅くなったり・・・。
L3という関係上、ルーティングが走っている。さらに、感ではフィルタでICMPを切っているんじゃないかと・・・。
なんでも、L3スイッチを交換してから半年間この現象が解決していないそうだ。
フラグメントって意外とやっかいなんだよな。
結構はまるし、調査が非常に広範囲。さらに、機器によっては設定を持っていないたわけたやつもいる。
仕事で新しい、サービスを検討している。
その話は、iDCを使ってシステム運用をする話なのだが、このネットワーク構成がなかなか苦戦している。
というのも、お客さんがそれぞれのネットワークでVPNを引くため、独自のルータをiDCに持ち込むというのだ。
しかし、アクセスされるサーバは1台。
かつセキュリティーを確保しなければならない。
F/Wを効率的に配置し構成するために、いろいろ考えたのだが、プライベートのIPアドレスがかぶってしまうと、相手先のVPNとの接続が出来なくなってしまうので、なるべくプライベートなIPアドレスが使いたくないが、どうしてもF/Wが増えることでセグメントが増えてしまう。
そこで、なにかいい方法はないものかと考えながら家でFortigateの本を読んでいたら「トランスペアレントモード」の解説があった。そうか、透過モードにすれば、IPアドレス付与が必要なくなる。
でも、透過モードのファイアウォールと言えば、Netscreenでしょ。
ということで、Fortigateの本を読んでひらめいたけど、採用はNetscreen(というか今はSSGですが)にしよっと。
(まあ、最終決定は私ではないんですけどね。)
Fortigateってラックマウントが出来るのは200Aからなんですよね・・・。100Bぐらいのスペックがあれば十分なのにラックマウントキットは提供されていない。その点、Netscreenは、5GTでもラックマウントが出来るようになっているのは、すばらしい。もちろんSSG5も…。iDC設置で、汎用テーブルに置くのはダサいからなぁ・・・)
昨日の話の続きだが、やはりNATで、そのセグメント配下になっていないセグメントをNAT公開をすることはできない模様・・・。
(YAMAHA RT107eで検証)
ということで、FTPプロクシを用意するしかないと思い、Delegateを試してみた。
いろいろ出来るわりに設定ファイルはシンプルなことにびっくり。
FTPプロクシも簡単にできたのだが、どうもリバースプロキシでFTPを公開する方法がいまいちわからない。
あとできれば、宛先のIPによって、リバースProxyで接続される相手先を変えるなんてことはできないのかなぁ・・。
カエルでおなじみ、Delegate
ちょっと、今度担当する案件で、VPN中継が複数はいるのだが、末端の拠点に直接的なルーティングを入れたくないという要件があり、接続されるセンター側でNATを使って公開することで、あたかもその場所にあるかのようにしなければ、アプリ側が対応できないとのこと。
じゃあ、NAT公開で何とかなるかなぁと思っていたのだが、ちょっと疑問が・・・。
A.拠点ルータ <–(VPN–> B.接続センター <–(VPN)–> C.iDC <–(VPN)–> D.取引先
うちは、Cで、お客様はA。AにもCにも、Dのルーティングを入れたくないという。
ということは、Cの段階でNAT公開をし、あたかもDがCのセグメントにあるかのようにすればよいのでは、思ったまで・・・。
しかし、Cのセグメントが、192.168.1.1(LAN)、192.168.2.1(WAN)とし、Dに接続するルータが、192.168.1.2(LAN)、192.168.4.1(WAN)とし、取引先の宛先が「10.0.0.1/24」とした場合、C上にあるルータに、NATの設定でLAN側に「192.168.1.11」、公開側に「10.0.0.1」なんて設定は可能なのか・・・?
ということに気がついた。
192.168.1.1のルータに10.0.0.1のルーティングは追加していることとしても、自分が直接インターフェースを持っていない場合も、公開することは出来るのだろうか?
この場合、PROXYを利用しないとどうしようもない気がする・・・。
Delegateでも使うか・・・。
今日は朝から表参道で会議。
すると、なにやら消防車の音が。しかもかなりの台数。
さらに、数台のヘリがを上空飛んでいる。
会議が休憩に入った段階で、事務所の人に話を聞くと、なんでも爆発事故があったとのこと。
昼食を食べるついでに、現場に行ってみることに。
神宮の方に行くにつれ、すごく火薬くさい。
さらに、ものすごい消防車の数。なんでも五十数台きていたらしい。
さらにさらに、上空にはヘリが10台ぐらい同じ場所を飛んでいる。
原因は、テレビでも放映されていた、無許可で火薬を調合していて爆発をしたという事件でした。
しかし、無許可も何も、あんな町中じゃあ許可は降りないでしょうね。
昨日、OneNoteを使ってみようと思い、早速実践!
今日は午後から会議のオンパレードだったので早速メモで、OneNoteを活用。
これがまた、結構使いやすい。Wordと違ってどこからでも自由にかけるし、Excelみたいにセルの調整もいらない。
かいたテキストは、テキストボックスにかってになり自由にドラッグアンドドロップできて自由に配置できる。
最近流行のProjectPaperの用にグリッド表示にすることも出来るので、なんか、いい感じ。
さらに気に入った点は、簡単にハードコピーが取れる機能。ハードコピーのボタンをクリックし、エリアを選択すると勝手にOneNote内に貼り付けられる。こりゃあ、便利!!
さらにさらに、気に入った点が。
普通、打ち合わせで資料を持って行きそれに修正が入った場合ってその資料に直接修正内容を書きますよね。
で、その資料とは関係がない内容になるとメモはノートに書きますよね。ということは、あとから情報を整理するときに、ノートの紙情報と資料の情報を整理しないと行けない。さらに打ち合わせ資料の場合矢印など直感的な表現をするので、これをExcelなどにまとめると非常に面倒くさい。というか、表現が難しい。
ということで、OneNoteの出番!
Wordのファイルでも何でもいいのですが、OneNoteにドラックするとファイル挿入のオプションが表示され、
「ノートを追加できるように、ファイルを印刷イメージとして挿入する」
を選ぶと、WordやExcelのドキュメントがページ単位で画像イメージとして挿入される。
こいつに直接メモを書いてしまえばよいのだ!
いやぁ、OneNoteってOffice 2003の時から有るのに、知らなかった。
これは使えますわ。
本当に自分のノートです
最近、ちょっとした仕事のメモやノートが大事だと感じる。
最近ですと、マインドマップ人気もあって、オキナのProject Paperが人気のようだ。
しかし、Project Paperはちと高い。そもそも、ノートに書いたものをまたPCに入力し直したりするのもまた面倒な話。
でも、ノートのように起動時間もなく直感的にかけるものは他にはないと思う。
いろいろ悩んだあげく、Microsoft OneNoteを使ってみようかなと思った。
こいつは、スクラップ機能(ハードコピー)もはれるし、乱雑にメモを取った後にテキストを移動して整理することも出来る。
うまく使えば、結構いいかも。
問題は、MS製品なのであまりに人気が出なければ、すぐに廃止になってしまうこと。そう、あのPhotodraw 2000のように・・・。
天気図が表示される
会社のPCにインストールしているスクリーンセーバは、かのMS謹製のブルースクリーンのスクリーンセーバ。
しかし、飽きたということもありなにかよいスクリーンセーバは無いものかと探してみる。
しかし、なかなか気に入ったものはない。
そんな中、「★日本の空・世界の空♪ライブスクリーンセーバー」というものがあった。
天気図をスクリーンセーバにしてしまうという、今までにない発想のスクリーンセーバ。
一応シェアウェアのようだが、ホームページから感想を三行以上書いて送ると、全機能を利用できるキーコードがもらえる模様。
早速入れてみたが、なかなかおもしろいが天気図しか出ないので要するにどの地域がどんな天気なのかは、天気図が出ている間に自分で判断しなければならない。
→従ってあまり実用性はないかも・・・。
さらに、盲点が一つ。
マルチディスプレイでPCを利用しているのだが、プライマリのディスプレイはちゃんとスクリーンセーバとして動作するのだが、サブのスクリーンはそのままデスクトップの絵が出たまま。
そこまで考えられてないんでしょうね・・・。
バランサでおなじみBig-IP
会社の案件で、基幹ネットワークを2系統用意し、スイッチを2つ用意しスタック接続にする。
そのネットワークにサーバを接続したいのだが、どちらかのスイッチが駄目になってもいいように両方のスイッチに同じ機器が接続できて、停止せずに運用することが条件。
WWWサーバは2台用意し、バランサーとしてSX-3640を挟もうと思っていたのだが、こいつだとVRRPがどうもできないよう。
となれば、F5-BigIPを使えばいいと思うのだが、予算オーバー・・・。
こうなると、Linuxでバランサーを作るかと思い調査をしたところ、keepalivedかultramonkeyで実現が出来そう。
でも、keepalivedの場合、Linuxの仕様としてNICに仮想のMACアドレスが振れないため、どちらかの系統がダウンしたら、MACアドレスの再登録パケットを回すらしい。
これもまた、中途半端だなあ・・・。
いっそのこと、それぞれのスイッチが、本番系と待機系になっていれば、チーミング(bound)で対応できるかも・・・。
どれも決めかねる・・・。
最近、東京のお客様先にiDCに設置したサーバで業務システムを動かす環境を設置した。
当面はVPNで事務所での運用で考えていたが、今後外出先でもシステムを”セキュア”に利用したいとのこと。
FirePassを使う手もあるが、なんせ金がかかる。そもそそ稼働しているのはWebアプリなので、そもそもWebサーバ自身をSSL化することで対応できないかと考えた。しかし、SSLで通信が暗号化できたとしても、端末を制限することは出来ない。
そこで、クライアント証明書を発行することで通信の暗号化と端末制限の両方が実現できる。
しかし、まだ経験がないので近いうちに是非試したい物だ。