仮想化技術の導入に関する次の記述を読んで,設問1〜5に答えよ。
U社は社員3,000人の総合商社である。U社では多くの商材を取り扱っており,商材ごとに様々なアプリケーションシステム(以下,APという)を構築している。APは個別の物理サーバ(以下,APサーバという)上で動作している。U社の事業拡大に伴ってAPの数が増えており,主管部署であるシステム開発部はサーバの台数を減らすなど運用改善をしたいと考えていた。そこで,システム開発部では,仮想化技術を用いてサーバの台数を減らすことにし,Rさんを担当者として任命した。
現在のU社ネットワーク構成を図1に示す。
図1 現在のU社ネットワーク構成(抜粋)
現在のU社ネットワーク構成の概要を次に示す。
・DMZ,サーバセグメント,PCセグメントにはプライベートIPアドレスを付与している。
・キャッシュDNSサーバは,社員が利用するPCやサーバからの問合せを受け,ほかのDNSサーバへ問い合わせた結果,得られた情報を応答する。
・コンテンツDNSサーバは,PCやサーバのホスト名などを管理し,PCやサーバなどに関する情報を応答する。
・プロキシサーバは,PCからインターネット向けのHTTP通信及びHTTPS(HTTP over TLS)通信をそれぞれ中継する。
・APは,共用DBサーバにデータを保管している。共用DBサーバは,事業拡大に必要な容量と性能を確保している。
・APごとに2台のAPサーバで冗長構成としている。
・APサーバ上で動作する多くのAPは,HTTP通信を利用してPCからアクセスされAP(以下,WebAPという)であるが,TCP/IPを使った独自のプロトコルを利用してPCからアクセスされるAP(以下,専用APという)もある。
・監視サーバは,DMZやサーバセグメントにあるサーバの監視を行っている。
〔サーバ仮想化技術を利用したAPの構成〕
Rさんは,WebAPと専用APの2種類のAPについて,サーバ仮想化技術の利用を検討した。サーバ仮想化技術では,物理サーバ上で複数の仮想的なサーバを動作させることができる。
Rさんが考えたサーバ仮想化技術を利用したAPの構成を図2に示す。
図2 サーバ仮想化技術を利用したAPの構成
ホストサーバでは,サーバ仮想化を実現するためのソフトウェアである ア が動作する。ホストサーバは仮想SWをもち,NICを経由してL2SWと接続する。
AP仮想サーバは,ホストサーバ上で動作する仮想サーバとして構成する。AP仮想サーバの仮想NICは仮想SWと接続する。
一つのAPは2台のAP仮想サーバで構成する。2台のAP仮想サーバでは,冗長構成をとるためにVRRPバージョン3を動作させる。サーバセグメントでは複数のAPが動作するので,VRRPの識別子としてAPごとに異なる イ を割り当てる。①可用性を確保するために,VRRPを構成する2台のAP仮想サーバは,異なるホストサーバに収容するように設計する。
VRRPの規格では,最大 ウ 組の仮想ルータを構成することができる。また,②マスタとして動作しているAP仮想サーバが停止すると,バックアップとして動作しているAP仮想サーバがマスタに切り替わる。
一例として,AP仮想サーバ(AP0a)とAP仮想サーバ(AP0b)とで構成されるAP名がAP0のIPアドレス割当表を表1に示す。
表1 AP0のIPアドレス割当表
APごとに,AP仮想サーバの仮想NICで利用する二つのIPアドレスとVRRP仮想ルータで利用する仮想IPアドレスの計三つのIPアドレスの割当てと,一つのFQDNの割当てを行う。APごとに,コンテンツDNSサーバにリソースレコードの一つである エ レコードとしてVRRPで利用する仮想IPアドレスを登録し,FQDNとIPアドレスの紐付けを定義する。PCにインストールされているWebブラウザ及び専用クライアントソフトウェアは,DNSの エ レコードを参照して接続するAPのIPアドレスを決定する。
〔コンテナ仮想化技術を利用したWebAPの構成〕
次に,Rさんはコンテナ仮想化技術の利用を検討した。WebAPと専用APに分け,まずはWebAPについて利用を検討した。コンテナ仮想化技術では,あるOS上で仮想的に分離された複数のアプリケーションプログラム実行環境を用意し,複数のAPを動作させることができる。
Rさんが考えた,コンテナ仮想化技術を利用したWebAP(以下,WebAPコンテナという)の構成を図3に示す。
図3 WebAPコンテナの構成
コンテナサーバでは,コンテナ仮想化技術を実現するためのソフトウェアが動作する。コンテナサーバは仮想ブリッジ,仮想ルータをもち,NICを経由してL2SWと接続する。WebAPコンテナの仮想NICは仮想ブリッジと接続する。
WebAPコンテナは,仮想ルータの上で動作するNAPT機能とTCPやUDPのポートフォワード機能を利用して,PCや共用DBサーバなどといった外部のホストと通信する。コンテナサーバ内の仮想ブリッジセグメントには,新たにIPアドレスを付与する必要があるので,プライベートIPアドレスの未使用空間から割り当てる。また,③複数ある全ての仮想ブリッジセグメントには,同じIPアドレスを割り当てる。
WebAPコンテナには,APごとに一つのFQDNを割り当て,コンテンツDNSサーバに登録する。
WebAPコンテナでは,APの可用性を確保するために,共用リバースプロキシを新たに構築して利用する。共用リバースプロキシは負荷分散機能をもつHTTPリバースプロキシとして動作し,クライアントからのHTTPリクエストを受け,④ヘッダフィールド情報からWebAPを識別し,WebAPが動作するWebAPコンテナへHTTPリクエストを振り分ける。振り分け先であるWebAPコンテナは複数指定することができる。振り分け先を増やすことによって,WebAPの処理能力を向上させることができ,また,個々のWebAPコンテナの処理量を減らして負荷を軽減できる。
共用リバースプロキシ,コンテナサーバには,サーバセグメントの未使用のプライベートIPアドレスを割り当てる。共用リバースプロキシ,コンテナサーバのIPアドレス割当表を表2に,コンテナサーバaで動作する仮想ブリッジセグメントaのIPアドレス割当表を表3に示す。
表2 共用リバースプロキシ,コンテナサーバのIPアドレス割当表(抜粋)
表3 仮想ブリッジセグメントaのIPアドレス割当表(抜粋)
共用リバースプロキシは,振り分け先であるWebAPコンテナが正常に稼働しているかどうかを確認するためにヘルスチェックを行う。ヘルスチェックの結果,正常なWebAPコンテナは振り分け先として利用され,異常があるWebAPコンテナは振り分け先から外される。振り分けルールの例を表4に示す。
表4 振り分けルールの例(抜粋)
PCが,表4中のAPOと行う通信の例を次に示す。
(1)PCのWebブラウザは,http://ap0.u-sha.com/へのアクセスを開始する。
(2)PCはDNSを参照して,apO.u-sha.comの接続先IPアドレスとして オ を取得する。
(3)PCは宛先IPアドレスが オ ,宛先ポート番号が80番宛てへ通信を開始する。
(4)PCからのリクエストを受けた共用リバースプロキシは振り分けルールに従って振り分け先を決定する。
(5)共用リバースプロキシは宛先IPアドレスが192.168.0.112,宛先ポート番号が カ 番宛てへ通信を開始する。
(6)仮想ルータは宛先IPアドレスが192.168.0.112,宛先ポート番号が カ 番宛てへの通信について,⑤ポートフォワードの処理によって宛先IPアドレスと宛先ポート番号を変換する。
(7)WebAPコンテナAPOaはコンテンツ要求を受け付け,対応するコンテンツを応答する。
(8)共用リバースプロキシはコンテンツ応答を受け,PCに対応するコンテンツを応答する。
(9)PCはコンテンツ応答を受ける。
WebAPコンテナであるAPOaとAPlaに対するPCからのHTTP接続要求パケットの例を図4に示す。
図4 AP0aとAP1aに対するPCからのHTTP接続要求パケットの例
〔コンテナ仮想化技術を利用した専用APの構成〕
Rさんは,専用APはTCP/IPを使った独自のプロトコルを利用するので,HTTP通信を利用するWebAPと比較して,通信の仕方に不明な点が多いと感じた。そこでコンテナ仮想化技術を導入した際の懸念点について上司のO課長に相談した。次は,コンテナ仮想化技術を利用した専用AP(以下,専用APコンテナという)に関する,RさんとO課長の会話である。
Rさん:専用APですが,APサーバ上で動作する専用APと同じように,専用APコンテナとして動作させることができたとしても,⑥PCや共用DBサーバなどといった外部のホストとの通信の際に,仮想ルータのネットワーク機能を使用しても専用APが正常に動作することを確認する必要があると考えています。
O課長:そうですね。専用APはAPごとに通信の仕方が違う可能性があります。APサーバと専用APコンテナの構成の違いによる影響を受けないことを確認する必要がありますね。それと,⑦同じポート番号を使用する専用APが幾つかあるので,これらの専用APに対応できる負荷分散機能をもつ製品が必要になります。
Rさん:分かりました。
Rさんは専用APで利用可能な負荷分散機能をもつ製品の調査をし,WebAPと併せて検討結果を取りまとめ,O課長に報告した。
Rさんが,サーバの台数を減らすなど運用改善のために検討したまとめを次に示す。
・第一に,リソースの無駄が少ないことやアプリケーションプログラムの起動に要する時間を短くできる特長を生かすために,コンテナ仮想化技術の利用を進め,順次移行する。
・第二に,コンテナ仮想化技術の利用が適さないAPについては,サーバ仮想化技術の利用を進め,順次移行する。
・第三に,移行が完了したらAPサーバは廃止する。
〔監視の検討〕
次に,Rさんが考えた,監視サーバによる図3中の機器の監視方法を表5に示す。
表5 図3中の機器の監視方法(抜粋)
監視サーバは3種類の監視を行うことができる。ping監視は,監視サーバが監視対象の機器に対してICMPのエコー要求を送信し,一定時間以内に キ を受信するかどうかで,IPパケットの到達性があるかどうかを確認する。TCP接続監視では,監視サーバが監視対象の機器に対してSYNパケットを送信し,一定時間以内に ク パケットを受信するかどうかで,TCPで通信ができるかどうかを確認する。URL接続監視では,監視サーバが監視対象の機器に対してHTTP ケ メソッドでリソースを要求し,一定時間以内にリソースを取得できるかどうかでHTTPサーバが正常稼働しているかどうかを確認する。ping監視でWebAPコンテナの稼働状態を監視することはできない。⑧表5のように複数の監視を組み合わせることによって,監視サーバによる障害検知時に,監視対象の状態を推測することができる。
〔移行手順の検討〕
Rさんは,コンテナ仮想化技術を利用したWebAPの移行手順を検討した。
2台のAPサーバで構成するAPOを,WebAPコンテナ(AP0a)とWebAPコンテナ(AP0b)へ移行することを例として,WebAPの移行途中の構成を図5に,WebAPの移行手順を表6に示す。
図5 WebAPの移行途中の構成(抜粋)
表6 WebAPの移行手順
Rさんは表6のWebAPの移行手順をO課長に報告した。次は,WebAPの移行手順に関する,O課長とRさんの会話である。
O課長:今回の移行はAPサーバとWebAPコンテナを並行稼働させてDNSレコードの書換えによって切り替えるのだね。
Rさん:そうです。同じ動作をするので,DNSレコードの書換えが反映されるまでの並行稼働期間中,APサーバとWebAPコンテナ,どちらにアクセスが行われても問題ありません。
O課長:分かりました。並行稼働期間を短くするためにDNS切替えの事前準備は何があるかな。
Rさん:はい。⑪あらかじめ,DNSのTTLを短くしておく方が良いですね。
O課長:そうですね。移行手順に記載をお願いします。
Rさん:分かりました。
O課長:動作確認はどのようなことを行うか詳しく教えてください。
Rさん:はい。WebAPコンテナ2台で構成する場合は,⑫次の3パターンそれぞれでAPの動作確認を行います。一つ目は,全てのWebAPコンテナが正常に動作している場合,二つ目は,2台のうち1台目だけWebAPコンテナが停止している場合,最後は,2台目だけWebAPコンテナが停止している場合です。また,障害検知の結果から,正しく監視登録されたことの確認も行います。
O課長:分かりました。良さそうですね。
APを,仮想化技術を利用したコンテナサーバやホストサーバに移行することによって期待どおりにサーバの台数を減らせる目途が立ち,システム開発部では仮想化技術の導入プロジェクトを開始した。
設問1 〔サーバ仮想化技術を利用したAPの構成〕について,(1)〜(3)に答えよ。
(1)本文中の ア 〜 エ に入れる適切な字句又は数値を答えよ。
解答・解説
解答例
ア:ハイパーバイザ
イ:VRID
ウ:255
エ:A
解説
ー
(2)本文中の下線①について,2台のAP仮想サーバを同じホストサーバに収容した場合に起きる問題を可用性確保の観点から40字以内で述べよ。
解答・解説
解答例
ホストサーバが停止した場合,AP 仮想サーバが 2 台とも停止する。
解説
ー
(3)本文中の下線②について,マスタが停止したとバックアップが判定する条件を50字以内で述べよ。
解答・解説
解答例
バックアップが,VRRP アドバタイズメントを決められた時間内に受信しなくなる。
解説
ー
設問2 〔コンテナ仮想化技術を利用したWebAPの構成〕について(1)〜(4)に答えよ。
(1)本文中の下線③について,複数ある全ての仮想ブリッジセグメントで同じIPアドレスを利用して問題ない理由を40字以内で述べよ。
解答・解説
解答例
外部ではコンテナサーバに付与した IP アドレスが利用されることはないから
解説
ー
(2)本文中の下線④について,共用リバースプロキシはどのヘッダフィールド情報からWebAPを識別するか。15字以内で答えよ。
解答・解説
解答例
ホストヘッダフィールド
解説
ー
(3)本文中の オ に入れる適切なIPアドレス,及び カ に入れる適切なポート番号を答えよ。
解答・解説
解答例
オ:192.168.0.98
カ:8000
解説
ー
(4)本文中の下線⑤について,変換後の宛先IPアドレスと宛先ポート番号を答えよ。
解答・解説
解答例
宛先 IP アドレス:172.16.0.16
宛先ポート番号:80
解説
ー
設問3 〔コンテナ仮想化技術を利用した専用APの構成〕について(1),(2)に答えよ。
(1)本文中の下線⑥について,専用APごとに確認が必要な仮想ルータのネットワーク機能を二つ答えよ。
解答・解説
解答例
・NAPT 機能
・ポートフォワード機能
解説
ー
(2)本文中の下線⑦について,どのような仕組みが必要か。40字以内で答えよ。
解答・解説
解答例
複数の IP アドレスを設定し,IP アドレスごとに専用 AP を識別する仕組み
解説
ー
設問4 〔監視の検討〕について,(1)〜(3)に答えよ。
(1)本文中の キ 〜 ケ に入れる適切な字句を答えよ。
解答・解説
解答例
キ:エコー応答
ク:SYN/ACK
ケ:GET
解説
ー
(2)本文中の下線8について,表5中の項番2,項番4,項番7で障害検知し,それ以外は正常の場合,どこに障害が発生していると考えられるか。表5中の字句を用いて障害箇所を答えよ。
解答・解説
解答例
コンテナサーバ a
解説
ー
(3)本文中の下線⑧について,表5中の項番4項番7で障害検知し,それ以外は正常の場合,どこに障害が発生していると考えられるか。表5中の字句を用いて障害箇所を答えよ。
解答・解説
解答例
WebAP コンテナ(AP0a)
解説
ー
設問5 〔移行手順の検討〕について(1)〜(4)に答えよ。
(1)表6中の下線⑨について,WebAPコンテナで動作するAPの動作確認を行うために必要になる,テスト用のPCの設定内容を,DNS切替えに着目して40字以内で述べよ。
解答・解説
解答例
AP の FQDN と IP アドレスを PC の hosts ファイルに記載する。
解説
ー
(2)表6中の下線⑩について,APサーバ停止前に確認する内容を40字以内で述べよ。
解答・解説
解答例
AP サーバに対する PC からのアクセスがなくなっていることを確認する。
解説
ー
(3)本文中の下線⑪について,TTLを短くすることによって何がどのように変化するか。40字以内で述べよ。
解答・解説
解答例
キャッシュ DNS サーバの DNS キャッシュを保持する時間が短くなる。
解説
ー
(4)本文中の下線⑫について,3パターンそれぞれでAPの動作確認を行う目的を二つ挙げ,それぞれ35字以内で述べよ。
解答・解説
解答例
・WebAP コンテナ 2 台が正しく構築されたことを確認するため
・共用リバースプロキシの設定が正しく行われたことを確認するため
解説
ー
IPA公開情報
出題趣旨
ハードウェア能力の拡大によってハイパーバイザによるサーバ仮想化技術は数多く利用されてきたが,近年 では,ゲスト OS を必要とせず CPU やメモリなどの負荷が小さいなどリソースの無駄が少ないことや,アプリケーションプログラムの起動に要する時間を短くできるなどの理由でコンテナ仮想化技術の利用が進んでいる。
本問では,サーバ仮想化技術の利用やコンテナ仮想化技術の利用を題材に,ネットワーク構成に視点を置いて,可用性の確保方法やコンテナ仮想化技術を踏まえた監視方法,アプリケーションシステムの移行方法,移行する上での課題について問う。
採点講評
問 2 では,サーバ仮想化技術の利用やコンテナ仮想化技術の利用を題材に,ネットワーク構成に視点を置いて,可用性の確保方法やコンテナ仮想化技術を踏まえた監視方法,アプリケーションシステムの移行方法,移行する上での課題について出題した。全体として正答率は平均的であった。
設問 1(3)は,正答率が低かった。VRRP は可用性確保のためによく利用される技術であり,動作原理について正確に理解してほしい。
設問 2(2)は,正答率が低かった。HTTP のヘッダフィールド情報のうち,ホストヘッダフィールドを用いてアプリケーションを識別する技術はリバースプロキシでよく利用される。HTTP プロトコルの特徴を踏まえ理解を深めてほしい。
設問 5(4)は,正答率が低かった。本問の動作確認を行う目的は,移行手順に記載の作業が正しく行われたことを確認するためである。共用リバースプロキシの動作確認だけに着目した解答が散見された。本文中に示された状況をきちんと読み取り,正答を導き出してほしい。