活用マニュアル

閉域網を使ったファイルサーバーのBCP対策

IDCFクラウドではプライベートコネクト(閉域網接続)を使うことにより、他リージョンや他ゾーンと閉域網を利用して接続することができます。
本マニュアルでは、プライベートコネクトを利用して、東日本リージョンから西日本リージョンにファイルサーバーを同期し、可用性を高めて運用する方法をご紹介します。

IDCFクラウドではプライベートコネクト(閉域網接続)を使うことにより、他リージョンや他ゾーンと閉域網を利用して接続することができます。通常のグローバル経由のアクセスよりも、速く、セキュアに接続できるため、拠点間の通信において、BCP対策の他、速度や機密性が求められるさまざまなシーンで活用できます。また、コントロールパネル上で申し込みしてすぐに利用でき、作業をスムーズに進められます。
本マニュアルでは、プライベートコネクトを利用して、東日本リージョンから西日本リージョンにファイルサーバーを同期し、可用性を高めて運用する方法をご紹介します。

目指すゴールは、東日本リージョンで万一障害等の問題が発生した場合にも、西日本リージョンで継続稼働させることです。東日本リージョンでファイルサーバー(Samba)を構築し、そのサーバーを西日本リージョンにコピーして稼働させるシナリオで設定を進めます。最終的に東日本リージョンと西日本リージョンをプライべートコネクトで接続し、同期の設定を行うところまでを記載しています。

本マニュアルの中で同期元サーバー(東日本リージョン)を「East-fileserver」、同期先サーバー(西日本リージョン)を「West-fileserver」と記載しています。
本マニュアルでは次の内容で構築しています。

項目 設定内容
OS(テンプレート) CentOS 6.6 64bit
東日本リージョンのゾーン Pascal
西日本リージョンのゾーン Augusta
東日本リージョンの追加ネットワーク名 Eastnet
西日本リージョンの追加ネットワーク名 Westnet
東日本リージョンの追加ネットワークCIDR 192.168.0.0/24
西日本リージョンの追加ネットワークCIDR 192.168.100.0/24
クライアントの環境 Windows10
東日本リージョンの仮想マシン名 East-fileserver
西日本リージョンの仮想マシン名 West-fileserver
Samba用ユーザー名 Fileuser
テンプレート名 FileServer

1. ネットワーク追加とサーバー作成

東日本、西日本の両リージョンにネットワークを追加してファイルサーバーを作成します。監視対象サーバーを構築し、テンプレートを作成します。サーバーの作成は「Webサイトの本番環境を構築したい(Web1台構成)」を参照のうえ、(1)仮想マシンの作成まで完了した状態からの手順となります。なお、本マニュアルでは東リージョンのゾーンを「pascal」、イメージ(テンプレート)を「CentOS 6.6 64-bit」、仮想マシン名は「East-fileserver」としています。


①コンピューティングのメニューより「IPアドレス」をクリックし、IPアドレス設定画面を表示します。対象ゾーン(ここではpascal)IPアドレス名のリンクをクリックします。


②ファイアウォールをクリックし、ルールを図のように4つ作成します。作成は1つずつ行い、「+」ボタンで追加します。

■ssh
項目 設定内容
コメント SSH
ソースCIDR My IP
タイプ SSH
ポートレンジ 22

■samba-udp
項目 設定内容
コメント samba-udp
ソースCIDR My IP
タイプ Custom UDP
ポートレンジ 137-138

■samba-tcp1
項目 設定内容
コメント samba-tcp
ソースCIDR My IP
タイプ Custom TCP
ポートレンジ 139

■samba-tcp2
項目 設定内容
コメント samba-tcp2
ソースCIDR My IP
タイプ Custom TCP
ポートレンジ 445

 
③ポートフォワードをクリックし、接続するためのポートフォワード設定を行います。前項のファイアウォールで設定した各ポートを同じように、ポートフォワードでもルールを図のように4つ作成します。作成は1つずつ行い、「+」ボタンで追加します。

■ssh

項目 設定内容
コメント SSH
プライベートポート SSH
パブリックポート 22
プロトコル 自動
仮想マシン East-fileserver


■samba-udp

項目 設定内容
コメント samba-udp
プライベートポート [Custom UDP] 137-138
パブリックポート 137-138
プロトコル 自動
仮想マシン East-fileserver


■samba-tcp1

項目 設定内容
コメント samba-tcp
プライベートポート [Custom TCP] 139
パブリックポート 139
プロトコル 自動
仮想マシン East-fileserver


■samba-tcp2

項目 設定内容
コメント samba-tcp2
プライベートポート [Custom TCP] 445
パブリックポート 445
プロトコル 自動
仮想マシン East-fileserver

 
④コンピューティングのメニューより「ネットワーク」をクリックし、ネットワーク情報画面を表示します。「ネットワーク追加」ボタンをクリックします。

 
⑤追加するネットワークの情報を入力し、「追加する」ボタンをクリックします。(各項目は任意の文字列、およびネットワークで設定可能です。任意で設定した場合、以降の内容を任意で設定したものに読み替えてください。)

項目 設定内容
ネットワーク名 Eastnet
ゾーン pascal
ネットワークCIDR 192.168.0.0/24

 
⑥ネットワーク情報画面にて、先ほど追加したネットワークが表示されていることを確認します。

 
⑦コンピューティングのメニューより「仮想マシン」をクリックし、作成した仮想マシン名をクリックして仮想マシンの詳細画面を表示します。

 
⑧「NIC」ボタンをクリックし、NIC設定画面で⑤で追加したネットワークが表示され、IPアドレスにDHCPが選択されていることを確認し、「+」をクリックします。

 
⑨East-fileserverにログインします。活用マニュアルの「Webサイトの本番環境を構築したい(Web1台構成)」を参照して、 (3)仮想マシンへのアクセスを実施します。

 
⑩eth1インターフェースを追加して起動します。

[root@East-fileserver ~]# cat >> /etc/sysconfig/network-scripts/ifcfg-eth1 <<EOF
DEVICE=eth1
ONBOOT=yes
BOOTPROTO=dhcp
EOF
[root@East-fileserver ~]# service network restart
インターフェース eth0 を終了中:                            [  OK  ]
インターフェース eth1 を終了中:                            [  OK  ]
ループバックインターフェースを終了中                       [  OK  ]
ループバックインターフェイスを呼び込み中                   [  OK  ]
インターフェース eth0 を活性化中:
eth0 のIP情報を検出中... 完了。
                                                           [  OK  ]
インターフェース eth1 を活性化中:
eth1 のIP情報を検出中... 完了。
                                                           [  OK  ] 
[root@East-fileserver ~]#
							

 
⑪ファイルサーバーの「Samba」をインストールします。

[root@East-fileserver ~]# yum -y install samba
読み込んだプラグイン:fastestmirror
インストール処理の設定をしています
Determining fastest mirrors
 * base: www.ftp.ne.jp
 * extras: www.ftp.ne.jp
 * updates: www.ftp.ne.jp
~~~~~~~~~~~~~~
依存性関連をインストールしました:
  avahi-libs.x86_64 0:0.6.25-15.el6                cups-libs.x86_64 1:1.4.2-72.el6                          libjpeg-turbo.x86_64 0:1.2.1-3.el6_5
  libpng.x86_64 2:1.2.49-2.el6_7                   libtalloc.x86_64 0:2.0.7-2.el6                           libtdb.x86_64 0:1.2.10-1.el6
  libtevent.x86_64 0:0.9.18-3.el6                  libtiff.x86_64 0:3.9.4-10.el6_5                          samba-common.x86_64 0:3.6.23-25.el6_7
  samba-winbind.x86_64 0:3.6.23-25.el6_7           samba-winbind-clients.x86_64 :3.6.23-25.el6_7

完了しました!
[root@East-fileserver ~]#
							

 
⑫Sambaの自動起動を設定し、自動起動を確認します。

[root@East-fileserver ~]# chkconfig smb on
[root@East-fileserver ~]# chkconfig --list smb
smb             0:off   1:off   2:on    3:on    4:on    5:on    6:off
[root@East-fileserver ~]#
							

 
⑬Samba用のユーザーを作成します。OS側にユーザー(ここではfileuser)を作成し、Sambaでも使用できるようにします。※OS側のユーザーも後に使用します。

[root@East-fileserver ~]# useradd fileuser
[root@East-fileserver ~]# passwd fileuser
ユーザー fileuser のパスワードを変更。
新しいパスワード: [パスワードを入力]
新しいパスワードを再入力してください: [パスワードを入力]
passwd: 全ての認証トークンが正しく更新できました。
[root@East-fileserver ~]# pdbedit -a fileuser
new password: [パスワードを入力]
retype new password: [パスワードを入力]
Unix username:        fileuser
NT username:
Account Flags:        [U          ]
User SID:             S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx
Primary Group SID:    S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx
Full Name:
Home Directory:       \\east-fileserver\fileuser
HomeDir Drive:
Logon Script:
Profile Path:         \\east-fileserver\fileuser\profile
Domain:               EAST-FILESERVER
Account desc:
Workstations:
Munged dial:
Logon time:           0
Logoff time:          木, 07  2月 2036 00:06:39 JST
Kickoff time:         木, 07  2月 2036 00:06:39 JST
Password last set:    水, 23  3月 2016 02:14:28 JST
Password can change:  水, 23  3月 2016 02:14:28 JST
Password must change: never
Last bad password   : 0
Bad password count  : 0
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
[root@East-fileserver ~]#
							

 
⑭ユーザー(ここではfileuser)のディレクトリにテストでファイルを追加します。

[root@East-fileserver ~]# echo "test" > /home/fileuser/test.txt
[root@East-fileserver ~]#
							

 
⑮Sambaを起動します。

[root@East-fileserver ~]# service smb start
SMB サービスを起動中:                                      [  OK  ]
[root@East-fileserver ~]#
							

 
⑯実際にフィルサーバーとして機能している確認します。まず、クライアント端末からSamba領域にアクセスします。エクスプローラーを開いてアドレスバーに「\\サーバーのGlobalIP」を入力して実行します。(図はWindows10の例)

 
⑰ユーザー名とパスワードを求められます。設定したユーザ名(ここではfileuser)とパスワードを入力し、「OK」をクリックします。(図はWindows10の例)

 
⑱ユーザ名(ここではfileuser)のネットワークフォルダーが表示されます。ダブルクリックでネットワークフォルダーの中を表示し、⑭で作成したファイルが表示されることを確認します。(図はWindows10の例)

 
⑲ ⑭で作成したtext.txtを削除して、ネットワークフォルダーにファイルがない状態にします。

 
⑳ユーザー(ここではfileuser)のディレクトリにファイルがないことを確認します。
※隠しファイルを除く

[root@East-fileserver ~]# ls -l /home/fileuser/
合計 0
[root@East-fileserver ~]#
							

以上で同期元であるEast-fileserverの構築作業がしました。次の章では東日本リージョンで作成したサーバーを西日本リージョンにコピーして、東日本リージョンと同様に西日本リージョンにもネットワークを追加します。
 

2. 同期先サーバーの構築とネットワーク追加

前項で作成したサーバーをテンプレート化し、東日本リージョンから西日本リージョンへコピーします。テンプレートをもとにして同期先サーバーを構築し、同様の環境を西日本リージョンにも作成します。

 
①今回作成したサーバーをテンプレート化します。
※「スケーラブルなWebサイトを構築したい(Web2台構成)」の(1)、(2)を参照して作成してください。(1)の①のコマンドは1行目のrmコマンドだけを実行します。

 
②作成したテンプレートを西日本リージョンにコピーします。テンプレート名は任意で設定できますが本マニュアルではFileServerとします。
※「DRサイトを作って耐障害性を高めたい」の(1)⑯から(2)⑥を参照して作成してください。

 
③西日本リージョンでネットワークを追加します。前章(1)④~⑥を参照して東日本と同様にネットワークを追加します。西日本リージョンではネットワーク追加時の指定は次のようにします。

項目 設定内容
ネットワーク名 Westnet
ゾーン augustal
ネットワークCIDR 192.168.100.0/24

 
④コンピューティングのメニューより先ほど作成したテンプレートの詳細画面を開き、[仮想マシン作成]をクリックします。

 
⑤テンプレートの仮想マシン作成メニューにて[仮想マシン作成画面へ]をクリックします。

 
⑥仮想マシン作成画面にて必要な内容を記入して[確認画面へ]をクリックします。(SSH Keyは東日本リージョンとは別に登録する必要があります。東日本リージョンと同じものを使用する場合は、アップロードから東日本リージョンの鍵を登録します。ここでは新規に西日本リージョン用の鍵を作成します。)
※ネットワークインターフェースのチェックを忘れないようにします。

項目 設定内容
マシンタイプ light.S1
イメージ 選択済み(ここではFileServer)
ボリューム 選択済み
SSH Key 作成を選択して名前を記入し、[作成]をクリックし鍵をダウンロードする。(ここでは名前にidcfwestと指定。)
仮想マシン台数 1台
ネットワークインターフェース Westnetを追加で選択
詳細情報 マシン名 任意(ここではWest-fileserver)
グループ名 任意(ここでは無記入)

 
⑦確認画面が表示されます。内容を確認し、[作成]をクリックして仮想マシンを作成します。

 
⑧作成した仮想マシンへファイアウォールとポートフォワードの設定を行います。前章(1)②~③を参照して、東日本と同じようにファイアウォール、ポートフォワードの設定を行います。

 
⑨西日本リージョンのサーバーで稼働しているSambaにアクセスできるか確認します。前章(1)の⑭を参照してファイルを作成し、⑯~⑳を参照してアクセス確認、ファイルの削除を行います。

以上で西日本リージョンに東日本リージョンと同様の環境を構築することができました。次はプライベートコネクトを設定し、ルーティング設定を行って疎通できる状態にします。疎通できる状態でプライベートコネクトを経由した同期の設定を行います。
 

3. プライベートコネクト接続と同期設定

プライベートコネクトを経由して各サーバーへ、ルーティングの設定を行います。疎通できる状態にし、同期設定を行います。
※本章では東日本リージョン、西日本リージョンのサーバーを両方使用するため、どちらのサーバーを操作しているか確認をしながら進めてください。

 
①西日本リージョンをクリックし、サービス選択から「プライベートコネクト」をクリックします。

 
②プライベートコネクト名でゾーン名、ネットワーク名を今回設定したネットワークにし、ステータスのボタンをクリックし接続状態に変更します。
※追加したネットワークが東日本・西日本、ともに1つの場合、図のように既に選択してある状態となっています。この場合はゾーン名やネットワーク名は選択することなく、ステータスのボタンをクリックするだけで接続が可能となります。

 
③ステータスが接続になったことを確認します。


※※この工程はEast-fileserver(東日本)での作業です※※
East-fileserverにルーティングを設定し、West-fileserverと疎通ができるようにします。設定完了後に有効になっているか確認をします。
[root@East-fileserver ~]# cat >> /etc/sysconfig/network-scripts/route-eth1 <<EOF
192.168.100.0/24 via 192.168.0.254
EOF
[root@East-fileserver ~]# ifdown eth1
[root@East-fileserver ~]# ifup eth1

eth1 のIP情報を検出中... 完了。
[root@East-fileserver ~]# route -n |grep eth1
192.168.100.0   192.168.0.254   255.255.255.0   UG    0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1 
[root@East-fileserver ~]#
							

※※この工程はWest-fileserver(西日本)での作業です※※
East-fileserverにルーティングを設定し、West-fileserverと疎通ができるようにします。設定完了後に有効になっているか確認をし、East-fileserverの追加ネットワークのIPに対してpingを発行して疎通を確認します。(追加ネットワークのIPはifconfigコマンド、もしくはコントロールパネルの仮想マシン詳細画面にて確認できます。)
[root@West-fileserver ~]# cat >> /etc/sysconfig/network-scripts/route-eth1 <<EOF
192.168.0.0/24 via 192.168.100.254
EOF
[root@West-fileserver ~]# ifdown eth1
[root@West-fileserver ~]# ifup eth1

eth1 のIP情報を検出中... 完了。
[root@West-fileserver ~]# route -n |grep eth1
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     192.168.100.254 255.255.255.0   UG    0      0        0 eth1 
[root@West-fileserver ~]# ping [East-fileserverのIP] -c 5
PING East-fileserverIP (East-fileserverIP) 56(84) bytes of data.
64 bytes from East-fileserverIP: icmp_seq=1 ttl=62 time=20.9 ms
64 bytes from East-fileserverIP: icmp_seq=2 ttl=62 time=21.0 ms
64 bytes from East-fileserverIP: icmp_seq=3 ttl=62 time=20.9 ms
64 bytes from East-fileserverIP: icmp_seq=4 ttl=62 time=21.0 ms
64 bytes from East-fileserverIP: icmp_seq=5 ttl=62 time=20.9 ms

--- East-fileserverIP ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4025ms
rtt min/avg/max/mdev = 20.902/20.977/21.021/0.187 ms
[root@West-fileserver ~]# 
							

※※この工程はEast-fileserver(東日本)での作業です※※
ファイル同期をさせるため、rsyncでログインできるようにsshの鍵交換をします。East-fileserverで鍵を発行します。
[root@East-fileserver ~]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): [Enter]
Enter passphrase (empty for no passphrase): [Enter]
Enter same passphrase again: [Enter]
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
~~~~~~~~~~~~~~~~~~
+-----------------+
[root@East-fileserver ~]# 
							

※※この工程はWest-fileserver(西日本)での作業です※※
East-fileserver(東日本)からWest-fileserver(西日本)に、一時的にパスワードでログインできるようにsshのパスワードログインを有効化します。
[root@West-fileserver ~]# sed -i".org" -e \
"s/PasswordAuthentication no//g" /etc/ssh/sshd_config
[root@West-fileserver ~]# /etc/init.d/sshd restart
sshd を停止中:                                             [  OK  ]
sshd を起動中:                                             [  OK  ]
[root@ West-fileserver ~]# 
							

※※この工程はEast-fileserver(東日本)での作業です※※
East-fileserver(東日本)からWest-fileserver(西日本)に、鍵情報を送ります。
[root@East-fileserver ~]# scp .ssh/id_rsa.pub fileuser@[West-fileserverのIP]:~/
The authenticity of host '192.168.100.X (192.168.100.X)' can't be established.
RSA key fingerprint is ------------------------------------------.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.100.X' (RSA) to the list of known hosts.
fileuser@192.168.100.X's password: [fileuserのOSパスワード]
id_rsa.pub                                    100%  402     0.4KB/s   00:00
[root@East-fileserver ~]#
							

※※この工程はWest-fileserver(西日本)での作業です※※
West-fileserver(西日本)のパスワードログインを無効化して元に戻します。
[root@West-fileserver ~]# mv -f /etc/ssh/sshd_config.org /etc/ssh/sshd_config
[root@West-fileserver ~]# /etc/init.d/sshd restart
sshd を停止中:                                             [  OK  ]
sshd を起動中:                                             [  OK  ]
[root@West-fileserver ~]# 
							

※※この工程はWest-fileserver(西日本)での作業です※※
West-fileserver(西日本)に、鍵情報を登録します。
[root@West-fileserver ~]# cat /home/fileuser/id_rsa.pub >> $HOME/.ssh/authorized_keys
[root@West-fileserver ~]#
							

※※この工程はEast-fileserver(東日本)での作業です※※
East-fileserver(東日本)からWest-fileserverに、SSHで接続確認をしてパスワードなしでログインできることを確認します。
[root@East-fileserver ~]# ssh 192.168.100.X

Last login: Wed Mar 23 11:30:55 2016 from xxxxx.xxxxxxxx.ne.jp
    ________  ______   ______                 __  _
   /  _/ __ \/ ____/  / ____/________  ____  / /_(_)__  _____
   / // / / / /      / /_  / ___/ __ \/ __ \/ __/ / _ \/ ___/
 _/ // /_/ / /___   / __/ / /  / /_/ / / / / /_/ /  __/ /
/___/_____/\____/  /_/   /_/   \____/_/ /_/\__/_/\___/_/

[root@West-fileserver ~]# exit
logoutConnection to 192.168.100.X closed.
[root@East-fileserver ~]#
							

※※この工程はEast-fileserver(東日本)での作業です※※
rsyncで実際に問題なく稼働するか確認します。West-fileserver(西日本)には、先ほど鍵交換で使用したid_rsa.pubファイルがsambaの領域に保存されています。East-fileserver(東日本)から同期をするため、West-fileserver(西日本)で保存されていたid_rsa.pubファイルが削除されることを確認します。
[root@East-fileserver ~]# rsync -avz --delete \
/home/fileuser/ root@[西IPアドレス]:/home/fileuser/
sending incremental file list
./
deleting id_rsa.pub

sent 138 bytes  received 15 bytes  306.00 bytes/sec
total size is 1476  speedup is 9.65
[root@East-fileserver ~]# 
							

※※この工程はEast-fileserver(東日本)での作業です※※
rsyncをcronで設定し、定期間隔でEast-fileserverからWest-fileserverへファイル同期するように設定します。
[root@East-fileserver ~]# cat >> /etc/crontab <<EOF
30 * * * * root /usr/bin/rsync -avz --delete \
/home/fileuser/ root@[西IPアドレス]:/home/fileuser/\
 > /dev/null 2>&1
EOF
[root@East-fileserver ~]# 
							

以上で、東日本リージョンから西日本リージョンへ同期を行う設定が完了しました。
上記の例では30分に1回同期をする設定となっています。

本マニュアルではSambaを使用して一方向の同期設定を行いました。Sambaにはreadonlyのオプションも用意されており、東日本リージョンをメインとして、地理によってはレイテンシの低い西日本リージョンを参照させるという設計も可能です。Sambaに限らず、さまざまなデータ領域を本マニュアルのような形で同期設定を行うことで、インターネット経由よりもレイテンシを低くしてセキュアな環境で同様の効果を得ることができます。機密情報がある場合は、プライベートコネクトで閉域網による同期を行い、データアクセスにはVPNを使用することをおすすめ致します。VPN機能は仮想ルーターに標準搭載されており、こちらもすぐにご使用いただけます。

プライベートコネクトはIDCFクラウド内でのリージョン間接続であれば、L3接続1Gbpsベストエフォートの回線を無償(追加ネットワークは有償)で構成することができます。それ以外にも、コロケーションや回線引き込みによるプライベートコネクト(有償)も対応可能で、自由度の高いネットワークを構築することができます。プライベートコネクトのサービス詳細につきましては次のURLをご覧ください。

PDFダウンロード

このページの先頭へ このページの先頭へ