3. 第四回:ネットワーク機器について 12/06/20
前回のフォローアップ
› 独⾃自SSLと共⽤用SSL B
› 共⽤用SSL
› サーバ事業者が取得したものをサーバ契約者が利利⽤用
› 安価 すぐ使える 更更新を気にしなくて良良い
› シールが提供されない など
› 両者の違い
› 暗号化通信の性能に違いはない
› 個⼈人情報の保護という観点からは利利⽤用価値がある
› 共⽤用SSLの場合、サイト運営者の実在性認証がない
› サーバ事業者の認証になってしまう
› ⾦金金銭のやり取りには不不向きと考えられる
All Rights Reserved. Copyright (C) 2012, T ware 2
4. 第四回:ネットワーク機器について 12/06/20
前回のフォローアップ
› SSLサーバ証明書の種類 B
ドメイン認証 組織認証 EV SSL
所在地を含む
実在性証明 ドメイン管理理者 登記済組織
登記済組織
ジオトラスト ベリサイン サイバートラスト
商品例例 クイックSSLプレミアム セキュア・サーバID SureServer EV
価格(年年間) ¥36,540 ¥85,050 ¥157,500
○ ○ ○
暗号化通信
[最⼤大256bit] [128/256bit] [128/256bit]
組織実在証明 × ○ ○
フィッシング対策 × × ○
All Rights Reserved. Copyright (C) 2012, T ware 3
5. 第四回:ネットワーク機器について 12/06/20
ネットワーク機器の概要
インターネット ルータ
DMZ
ファイアウォール
ロードバランサ
社内ネットワーク
サーバ DBサーバなど
All Rights Reserved. Copyright (C) 2012, T ware 4
6. 第四回:ネットワーク機器について 12/06/20
ルータの概要
› ⽬目的(ウィキペディアより) B
› ネットワーク間を相互接続するための機器
› サーバ環境の窓⼝口として必ず必要
› 主な機能(ウィキペディアより) W
› 接続:複数の回線種別に対応する(Ethernet, FDDIなど)
› 転送:パケットを宛先に応じて転送する
› 選別:パケットを破棄、送り出す量量の調整等を⾏行行う
› 管理理:転送で使⽤用する経路路情報を管理理する
All Rights Reserved. Copyright (C) 2012, T ware 5
7. 第四回:ネットワーク機器について 12/06/20
ルータの機能
› 転送 W
⼤大阪事務所
東京事務所
インター
VPN ネット
PC C PC B PC A
› 選別 W
インター
ネット
×
特定の相⼿手や
特定のアプリケーションの
通信を排除
All Rights Reserved. Copyright (C) 2012, T ware 6
8. 第四回:ネットワーク機器について 12/06/20
ファイアウォールの概要
› ⽬目的(ウィキペディアより) B
› ある特定のコンピュータネットワークとその外部との通信を制
御し、内部のコンピュータネットワークの安全を維持すること
› ファイアウォール → 防⽕火壁
› 主な機能 W
› 予め設定したポリシーに従って通信の許可/不不許可を制御する
› 送付先とサービスに応じて通信を管理理
› 安全に公開サーバを運⽤用するためにDMZの設定が可能なもの
がある
› DMZ(demilitarized zone)
› 社内ネットワークと危険の多いインターネットの間に設
置する隔離離されたネットワーク領領域
All Rights Reserved. Copyright (C) 2012, T ware 7
9. 第四回:ネットワーク機器について 12/06/20
ファイアウォールの機能と設定 W
TAM以外から
ルータ
インターネット
TAMから
ファイアウォール
DMZ ポリシー
ポリシー
・TAMからWebサーバ
http, sshを許可 社内ネットワーク
・TAM以外からWebサーバ
Webサーバ
×
httpを許可、sshは不不許可
http
・すべての送信元から社内ネットワーク ssh
全てのサービスの接続不不可
DBサーバなど
All Rights Reserved. Copyright (C) 2012, T ware 8
10. 第四回:ネットワーク機器について 12/06/20
ファイアウォールとDMZ W
インターネットは危険
インターネット
ルータ
DMZ
ファイアウォール
社内ネットワークを安全に!
社内ネットワーク
サーバ
公開⽤用のサーバは外部から
アクセスできる必要あり DBサーバなど
All Rights Reserved. Copyright (C) 2012, T ware 9
11. 第四回:ネットワーク機器について 12/06/20
ロードバランサの概要
› 負荷分散の意味(ウィキペディアより) B
› 負荷分散(英: Load balancing)とは、コンピュータネット
ワークにおける技法の⼀一種であり、作業負荷を多数のコン
ピュータ/プロセス/その他のリソースに分散し、リソースの利利
⽤用効率率率を⾼高め性能を向上させる⼿手法。
› 主な機能 W
› 負荷分散機能
› 特定のサーバが過負荷にならないよう、処理理要求を複数の
サーバに振り分ける機能
› 故障監視機能
› サーバやネットワーク機器の稼働状況をチェックする機能
› セッション維持機能
› 同⼀一クライアントからの複数のコネクションを同⼀一サーバ
に送る機能
All Rights Reserved. Copyright (C) 2012, T ware 10
12. 第四回:ネットワーク機器について 12/06/20
ロードバランサの機能
› 主な負荷分散⽅方式 W
› ラウンドロビン
› 各サーバに、順番にリクエストを振り分ける
› 最⼩小コネクション数
› コネクションが少ないサーバにリクエストを振り分ける
› 最⼩小サーバ負荷
› CPU、メモリ、I/Oの利利⽤用率率率が低いサーバにリクエストを振
り分ける
1
同じコンテンツを
2 格納
3
All Rights Reserved. Copyright (C) 2012, T ware 11
13. 第四回:ネットワーク機器について 12/06/20
ロードバランサの機能
› セッション維持機能 W
› Webサーバに接続する際、ブラウザは⽐比較的短時間で接続を
切切る
› 情報参照の場合は問題なし
› サーバにセッション情報を保存するショッピングカート等の場
合、⼀一連の処理理が終了了するまで同じサーバに接続が必要
1
2
3
All Rights Reserved. Copyright (C) 2012, T ware 12
14. 第四回:ネットワーク機器について 12/06/20
ロードバランサ利利⽤用時の注意点
› HA(High Availability)構成 W
› Webサーバを分散させる事で、サーバアクセスは安定
› ロードバランサそのものが故障した場合、深刻な問題になる
› ホットスタンバイ機を準備(本番機の状態をモニタ)
› 本番機のトラブル時には、スタンバイ機が動作
› コスト⾼高になる(機器とホットスタンバイの運⽤用費)
ホットスタンバイ機
1
2
3
All Rights Reserved. Copyright (C) 2012, T ware 13
15. 第四回:ネットワーク機器について 12/06/20
ロードバランサ利利⽤用時の注意点
› システム開発時 B
› セッション維持機能の有無の確認
› プログラム的配慮の要否を、エンジニアと確認
› SSL証明書の設置場所とプログラム処理理
› バランサにSSLの証明書を設置する場合もある
› 運⽤用時 B
› 複数台のWebサーバへのコンテンツ配布⽅方法の確認
› 同じコンテンツを設置するのが基本
› 設置/更更新⽅方法の確認(ツール利利⽤用、独⾃自スクリプト等)
› ツールの使い⽅方、更更新の順序とタイミング等
› 更更新ミスやトラブル時「リロードするたびに違う画像が⾒見見え
る」などの症状になることがある
› 個別サーバでファイルのサイズ、タイムスタンプ等を確認
All Rights Reserved. Copyright (C) 2012, T ware 14
16. 第四回:ネットワーク機器について 12/06/20
サーバ環境構成の例例
› 要件(例例)
› サイトの告知が複数のメディアで⼀一⻫斉に⾏行行われるため、⼀一時的
にアクセスが増⼤大する
› Webアクセスの停⽌止は1分以内に回復復させる(DB利利⽤用部分を
除く)
› 個⼈人情報のDBはファイアーウォールで保護された場所に置く
› DBサーバトラブル時、復復旧は4時間以内に⾏行行う
› 前⽇日のデータで再運⽤用して良良い
› メンテナンスは社内から⾏行行う
› バックアップは毎⽇日⾏行行う
All Rights Reserved. Copyright (C) 2012, T ware 15
17. 第四回:ネットワーク機器について 12/06/20
サーバ環境構成の例例 W
インターネット ルータ
DMZ
ファイアウォール
ロード
バランサ 社内ネットワーク
DBサーバ DBサーバ メンテ バック
(コールド ナンス機 アップ
スタンバイ) サーバ
Webサーバ
All Rights Reserved. Copyright (C) 2012, T ware 16
18. 第四回:ネットワーク機器について 12/06/20
確認すべき事
› エンジニアへの情報提供 B
› アクセス集中への対処の必要性と内容
› 集中すると予測されるページの役割(登録系? 静的?)
› 集中時の同時接続者数の⾒見見積もり(可能か)
› Webサーバに格納するコンテンツ容量量の⾒見見積もり
› 顧客のセキュリティポリシの有無と内容
› 個⼈人情報の取り扱い
› ウィルス対策に関するもの など
› システム保守に関する指針の有無と内容
› トラブル時、復復旧までの時間
› バックアップ作成の周期と保存期間
› メンテナンス作業の実施⽅方法 など
› その他、顧客からのニーズ
All Rights Reserved. Copyright (C) 2012, T ware 17
19. 第四回:ネットワーク機器について 12/06/20
エンジニアが⾏行行う事
› ヒヤリング内容から B
› 追加ヒヤリング
› 顧客側システムご担当との打合せ
› 運⽤用設計
› バックアップ⽅方法
› 監視/メンテナンス⽅方法 など
› 回線容量量の検討
› サーバ構成の検討
› サーバ台数と配置
› ネットワーク機器の選定と配置
› サーバ/ネットワーク機器の設定内容の検討
› ロードバランサ設定、ファイアウォールのポリシー 等
› 機器調達 → 運⽤用ツール/スクリプト開発 → テスト → 稼働
All Rights Reserved. Copyright (C) 2012, T ware 18