マルチクラウド利用による可用性向上に関する次の記述を読んで,設問に答えよ。
A社は,従業員500人のシステム開発会社である。A社では,IaaSを積極的に活用して開発業務を行ってきたが,利用しているIaaS事業者であるB社で大規模な障害が発生し,開発業務に多大な影響を受けた。A社のシステム部では,利用するIaaS事業者をもう1社追加してマルチクラウド環境にし,本社を中心にネットワーク環境も含めた可用性向上に取り組むことになり,Eさんを担当者として任命した。
現在のA社のネットワーク構成を図1に示す。
図1 現在のA社のネットワーク構成(抜粋)
図1の概要を次に示す。
・A社は本社と2か所の営業所で構成されている。
・D社閉域NWを利用して,本社と2か所の営業所を接続している。R11及びR20といったA社とD社閉域NWとを接続するルータは,D社からネットワークサービスとして提供されている。
・D社閉域NWとB社IaaSは相互接続しており,A社はD社閉域NW経由でB社IaaSを利用している。
・A社ネットワークでは静的経路制御を利用している。
・B社からは,Webブラウザを利用した画面操作によって,IaaS上に仮想ネットワーク,仮想サーバを簡単に構築できる管理コンソールが提供されている。
・A社のシステム部は,受託した開発業務ごとに開発サーバBを構築し,A社の担当部門に引き渡している。開発サーバBの運用管理は担当部門で実施する。
・システム部は,共用のファイルサーバを構築し,A社の全部門に提供している。
・A社の全部門で利用する電子メールやチャット,スケジューラーなどのオフィスアプリケーションソフトウェアはインターネット上のSaaSを利用している。これらのSaaSはHTTPS通信を用いている。
・A社の一部の部門では,担当する業務に応じてインターネット上のSaaSを独自に契約し,利用している。これらのSaaSでは送信元IPアドレスによってアクセス制限をしているものもある。これらのSaaSもHTTPS通信を用いている。
・プロキシサーバAは,従業員が利用するPCやサーバからインターネット向けのHTTP通信,HTTPS通信をそれぞれ中継する。従業員はプロキシサーバとしてproxy.a-sha.co.jpをPCのWebブラウザやサーバに指定している。
・A社は,本社設置のR10を経由してインターネットに接続している。FW10にはグローバルIPアドレスを付与しており,FW10を経由するインターネット宛ての通信はNAPT機能によってIPアドレスとポート番号の変換が行われる。
・キャッシュDNSサーバは,PCやサーバからの問合せを受け,ほかのDNSサーバへ問い合わせた結果を応答する。キャッシュDNSサーバは複数台設置されている。
・コンテンツDNSサーバは,PCやサーバのホスト名などを管理し,PCやサーバなどに関する情報を応答する。コンテンツDNSサーバは複数台設置されている。
・監視サーバは,ICMPを利用する死活監視(以下,ping監視という)を用いてDMZやIaaSにあるサーバの監視を行っている。監視サーバで検知された異常はシステム部の担当者に通知され,復旧作業などの必要な対応が行われる。
システム部では,ネットワーク環境の可用性向上の要件を次のとおりまとめた。
・新規にC社のIaaSを契約し,B社IaaSと併せたマルチクラウド環境にし,D社閉域NW経由で利用する。
・A社本社とD社閉域NWとの接続回線を追加し,マルチホーム接続とする。
・インターネット接続を本社経由からD社閉域NW経由に切り替える。
可用性向上後のA社のネットワーク構成を図2に示す。
図2 可用性向上後のA社のネットワーク構成(抜粋)
〔B社とC社のIaaS利用〕
C社からも,B社と同様に管理コンソールが提供されている。B社IaaSに構築された仮想ネットワーク,仮想サーバとC社IaaSに構築された仮想ネットワーク,仮想サーバはD社閉域NWを経由して相互に通信できる。
Eさんは,B社とC社のIaaS利用方針を次のとおり策定した。
・C社IaaSにファイルサーバCを新たに構築し,ファイルサーバBと常に同期をとるように設定する。A社従業員はファイルサーバB又はファイルサーバCを利用する。
・B社IaaSにプロキシサーバを,C社IaaSにプロキシサーバCを新たに構築し,プロキシサーバAから切り替える。
・B社IaaSを利用して開発サーバBを,C社IaaSを利用して開発サーバCを構築し,A社の担当部門に引き渡す。
〔プロキシサーバの利用方法の検討〕
Eさんは,IaaSに構築するプロキシサーバBとプロキシサーバCの利用方法を検討した。プロキシサーバの利用方法の案を表1に示す。
表1 プロキシサーバの利用方法の案
Eさんは,従業員が利用するプロキシサーバを,DNSの機能を利用して制御することを考えた。プロキシサーバに障害が発生した際には,DNSの機能を利用して切り替える。
プロキシサーバに関するDNSゾーンファイルの記述内容を表2に示す。
表2 プロキシサーバに関するDNSゾーンファイルの記述内容
Eさんは,プロキシサーバの監視運用について検討した。監視サーバで利用できる①ping監視では不十分だと考え,新たにTCP監視機能を追加し,プロキシサーバのアプリケーションプロセスが動作するポート番号にTCP接続可能か監視することにした。また,監視対象として,従業員がプロキシサーバとして指定するホストに加えて,プロキシサーバA,プロキシサーバB,プロキシサーバCのホストを設定することにした。
次に,監視サーバでプロキシサーバBの異常を検知した際に,従業員がプロキシサーバの利用を再開できるようにするための復旧方法として,②DNSゾーンファイルの変更内容を案12それぞれについて検討した。また,③平常時からproxy.a-sha.co.jpに関するリソースレコードのTTLの値を小さくすることにした。
これらの検討の結果,プロキシサーバの負荷分散ができること,及びプロキシサーバの有効活用ができることから案2の方が優れていると考え,Eさんは案2を採用することにした。
さらに,Eさんは,自動でプロキシサーバを切り替えるために④DNSとは異なる方法で従業員が利用するプロキシサーバを切り替える方法も検討した。プロキシサーバを利用する側の環境に依存することから,DNSゾーンファイルの書換えによる切替えと併用することにした。
〔マルチホーム接続〕
次に,EさんはD社閉域NWとのマルチホーム接続について検討した。A社本社に増設するルータ及び回線はD社からネットワークサービスとして提供される。マルチホーム接続の設計についてD社担当者から説明を受けた。
D社担当者から説明を受けたマルチホーム接続構成を図3に示す。
図3 D社担当者から説明を受けたマルチホーム接続構成(抜粋)
図3の概要は次のとおりである。
・本社とD社閉域NWとの間で,新たにR13と専用線がD社からネットワークサービスとして提供される。R11とR13とを併せてマルチホーム接続とする。
・増設する専用線の契約帯域幅は既設の専用線と同じにし,平常時は既設の専用線を利用し,障害発生時には増設する専用線を利用する。
・既存のR11とR12は,静的経路制御からBGPによる動的経路制御に変更する。
・R11とR12との間,R13とR14との間はeBGPで接続する。⑤R11とR13との間はiBGPで接続し,あわせてnext-hop-self設定を行う。
・R11とR13との間ではVRRPを利用する。FW10はVRRPで定義する仮想IPアドレスをネクストホップとして静的経路設定を行う。
D社担当者からの説明を受けたEさんは,BGPについて調査した。
RFC 4271で規定されているBGPは, a 間の経路交換のために作られたプロトコルで,TCPポート179番を利用して接続し,経路交換を行う。経路交換を行う隣接のルータを b と呼ぶ。BGPで交換されるメッセージは4タイプあり,表3に示す。
表3 BGPで交換されるメッセージ
経路制御は, c メッセージに含まれるBGPパスアトリビュートの一つであるLOCAL_PREFを利用して行うとの説明をD社担当者から受けた。LOCAL_PREFは,iBGPピアに対して通知する,外部のASに存在する宛先ネットワークアドレスの優先度を定義する。BGPでは,ピアリングで受信した経路情報をBGPテーブルとして構成し,最適経路選択アルゴリズムによって経路情報を一つだけ選択し,ルータの e に反映する。LOCAL_PREFの場合では,最も f 値をもつ経路情報が選択される。
また,Eさんは,D社担当者から静的経路制御からBGPによる動的経路制御に構成変更する手順の説明を受けた。この時,⑥BGPの導入を行った後にVRRPの導入を行う必要があるとの説明だった。Eさんが説明を受けた手順を表4に示す。
表4 Eさんが説明を受けた手順
Eさんは,設計どおりにマルチホームによる可用性向上が実現できたかどうかを確認するための障害試験を行うことにし,⑨想定する障害の発生箇所と内容を障害一覧としてまとめた。
〔インターネット接続の切替え〕
次に,Eさんはインターネット接続を本社経由からD社閉域NW経由へ切り替えることについて検討した。
インターネット接続の切替え期間中の構成を図4に示す。
図4 インターネット接続の切替え期間中の構成(抜粋)
FW40を使ってインターネット接続する。FW40はD社からネットワークサービスとして提供される。FW40には新たにグローバルIPアドレスが割り当てられる。FW40を経由するインターネット宛ての通信はNAPT機能によってIPアドレスとポート番号の変換が行われる。A社とインターネットとの通信をR10経由からFW40経由になるようにインターネット接続を切り替える。
Eさんは,設定変更の作業影響による通信断時間を極力短くするために,⑩FW10の設定変更はD社閉域NWの設定変更とタイミングを合わせて実施する必要があると考えた。
Eさんは,⑪インターネット接続の切替えを行うと一部の部門で業務に影響があると考えた。対策として,全てのインターネット宛ての通信はFW40経由へと切り替えるが,⑫一定期間,プロキシサーバAからのインターネット宛ての通信だけは既存のR10経由になるようにする。あわせて,Eさんは,業務に影響がある一部の部門には切替え期間中はプロキシサーバAが利用可能なことを案内するとともに,⑬恒久対応として設定変更の依頼を事前に行うことにした。
Eさんは,プロキシサーバAのログを定期的に調査し,利用がなくなったことを確認した後に,プロキシサーバAを廃止することにした。
Eさんが検討した可用性向上の検討案は承認され,システム部では可用性向上プロジェクトを開始した。
設問1 〔プロキシサーバの利用方法の検討〕について答えよ。
(1)表2中の案2の初期設定について,負荷分散を目的として一つのドメイン名に対して複数のIPアドレスを割り当てる方式名を答えよ。
解答・解説
解答例
DNS ラウンドロビン
解説
ー
(2)本文中の下線①について,ping監視では不十分な理由を40字以内で答えよ。
解答・解説
解答例
プロキシサーバのアプリケーションプロセスが停止した場合に検知できないから
解説
ー
(3)本文中の下線②について表2の案1の初期設定を対象に,ドメイン名proxy.a-sha.co.jpの書換え後のIPアドレスを答えよ。
解答・解説
解答例
192.168.2.145
解説
ー
(4)本文中の下線③について,TTLの値を小さくする目的を40字以内で答えよ。
解答・解説
解答例
キャッシュ DNS サーバがキャッシュを保持する時間を短くするため
解説
ー
(5)本文中の下線④について,DNSとは異なる方法を20字以内で答えよ。また,その方法の制限事項を,プロキシサーバを利用する側の環境に着目して25字以内で答えよ。
解答・解説
解答例
方法:プロキシ自動設定機能を利用する。
制限事項:対応する PC やサーバでしか利用できない。
解説
ー
設問2 〔マルチホーム接続〕について答えよ。
(1)本文中及び表3中の a 〜 f に入れる適切な字句を答えよ。
解答・解説
解答例
a:AS
b:ピア
c:UPDATE
d:KEEPALIVE
e:ルーティングテーブル
f:大きい
解説
ー
(2)本文中の下線⑤について,next-hop-self設定を行うと,BGPで広告する経路情報のネクストホップのIPアドレスには何が設定されるか。15字以内で答えよ。
解答・解説
解答例
自身の IP アドレス
解説
ー
(3)表3について,BGPピア間で定期的にやり取りされるメッセージを一つ選び,タイプで答えよ。また,そのメッセージが一定時間受信できなくなるとどのような動作をするか。30字以内で答えよ。
解答・解説
解答例
タイプ:4
動作:BGP 接続を切断し,経路情報がクリアされる。
解説
ー
(4)本文中の下線⑥について,BGPの導入を行った後にVRRPの導入を行うべき理由を,R13が何らかの理由でVRRPマスターになったときのR13の経路情報の状態を想定し,50字以内で答えよ。
解答・解説
解答例
VRRP マスターになった R13 が経路情報を保持していないと受信したパケットを転送できないから
解説
ー
(5)表4中の下線⑦について,pingコマンドの試験で確認すべき内容を20字以内で答えよ。また,pingコマンドの試験で確認すべき送信元と宛先の組合せを二つ挙げ,図3中の機器名で答えよ。
解答・解説
解答例
確認すべき内容:パケットロスが発生しないこと
① 送信元:R13 送信先:FW10
又は送信元:FW10 送信先:R13
又は送信元:R13 送信先:R11
又は送信元:R11 送信先:R13
② 送信元:R13 送信先:R14
又は送信元:R14 送信先:R13
解説
ー
(6)表4中の下線⑧について,R11及びR12では静的経路制御の経路情報を削除することで同じ宛先ネットワークのBGPの経路情報が有効になる。その理由を40字以内で答えよ。
解答・解説
解答例
経路情報は,BGP と比較して静的経路制御の方が優先されるから
解説
ー
(7)本文中の下線⑨について,想定する障害を六つ挙げ,それぞれの障害発生箇所を答えよ。ただし,R12とR14についてはD社で障害試験実施済みとする。
解答・解説
解答例
・R11
・R13
・R11 と R12 とを接続する回線
・R13 と R14 とを接続する回線
・R11 と L2SW10 とを接続する回線
・R13 と L2SW10 とを接続する回線
解説
ー
設問3 〔インターネット接続の切替え〕について答えよ。
(1)本文中の下線⑩について,D社閉域NWの設定変更より前にFW10のデフォルトルートの設定変更を行うとどのような状況になるか。25字以内で答えよ。
解答・解説
解答例
ルーティングのループが発生する。
解説
ー
(2)本文中の下線⑪について,業務に影響が発生する理由を20字以内で答えよ。
解答・解説
解答例
送信元 IP アドレスが変わるから
解説
ー
(3)本文中の下線⑫について,FW10にどのようなポリシーベースルーティング設定が必要か。70字以内で答えよ。
解答・解説
解答例
送信元 IP アドレスがプロキシサーバ A で宛先 IP アドレスがインターネットであった場合にネクストホップを R10 とする設定
解説
ー
(4)本文中の下線⑬について,どのような設定変更を依頼すればよいか。40字以内で答えよ。
解答・解説
解答例
SaaS の送信元 IP アドレスによるアクセス制限の設定変更
解説
ー
IPA公開情報
出題趣旨
オンプレミスからクラウドサービスへの移行が進み,クラウドサービスを利用する企業はますます増えている。業務環境の可用性についてクラウド事業者に依存する傾向が強くなり,事業継続性の観点から対策が必要となっている。また,企業の情報システム部門が,企業内部のクラウドサービス利用を全て把握することが困難なケースも想定される。
本問では,マルチクラウド利用による可用性向上を題材として,BGP や VRRP を利用した可用性向上,これらを組み合わせたネットワーク構成の考慮点及びインターネット接続の変更に伴うグローバル IP アドレスの変更による影響と対策について問う。
採点講評
問 1 では,マルチクラウド利用による可用性向上を題材に,BGP や VRRP を利用した可用性向上,これらを組み合わせたネットワーク構成及びインターネット接続方法の変更による影響と対策について出題した。全体として正答率は平均的であった。
設問 1 では,(5)の正答率が低かった。従業員が行う業務において,Web アプリケーションソフトウェアを利 用する機会は増えており,Web 閲覧の可用性向上は重要である。プロキシ自動設定機能は是非知っておいてもらいたい。
設問 2 では,(4)の正答率がやや低かった。BGP や VRRP といったプロトコルを導入する過程において,ルータの経路情報がどのように変化するか,具体的にイメージできるようしっかり理解をしてほしい。 設問 3 では,(1)の正答率がやや低かった。設定変更に伴うネットワークに対する影響を問う問題であるが,インターネットが利用不可になるなどの解答が散見された。ネットワーク技術者として根本の原因を突き止め,インターネットが利用不可になるのはなぜなのか,技術的な内容を解答してほしい。
