© IBM Corporation 1

Presented by:

エキスパートから失敗を学べ ～SoftLayerアンチパターン・デザイン～ 畑 大作 / 安田 忍

IBMクラウド・マイスター

日本アイ・ビー・エム株式会社

© IBM Corporation 2

今日話す人

@testnin2 @dai39_hata

© IBM Corporation 3

話すひと 日本IBM クラウド・マイスター 畑 大作 ①システム管理製品（Tivoli）の元スペシャリスト ②日本IBMにおけるTivoliの中の人っぽい仕事を長く経験 ③SoftLayer を基にした設計屋さんと説明屋さん

好きな

サービス

トリプル・ネットワーク・アーキテクチャー

趣味 山登り スノーボード（担ぎあり）

© IBM Corporation 4

こんなとこにもいってます

© IBM Corporation 5

話す

ひと

日本IBM クラウド・マイスター 安田 忍 ①データベース(DB2/Oracle等)の元スペシャリスト ②日本IBMにおけるミドルウェア製品のデリバリーを長く経験 ③SoftLayer を基にした設計屋さんと説明屋さん

好きなサービス

世界各地に沢山あるデータセンターとその間の無料のグローバルネットワーク

趣味 将棋、温泉、食べ歩き

© IBM Corporation 6

アンチ・デザインパターン

1. Standard Image Templateのサイズ見積もり方式

2. VMWare ESXサーバーの課金

3. 10GB NICを使用しているサーバーでのDedicated Firewall/Fortigate

Firewall

4. SoftLayerネットワークの使用方法

5. パスワードリセットに備えたカスタマーポータルでのユーザ設定

6. SSH/RDPアクセスのためのFirewall構成

課金

セキュリティー

ネットワーク

© IBM Corporation 7

1．Standard Image Templateのサイズ見積もり

• アンチデザイン • Standard Image取得は、仮想サーバーのディスク容量ではなく実データのサイズと言われているが、

実際はVHD（仮想ディスク）のサイズ

• VHDのサイズはThin Provisioningのため実際のディスク容量より小さい容量が初めはアサインされ、データの増加に伴い自動的に拡張される

• 一度拡張されたVHDは、データが削除されても縮小されることはないため、場合によっては実データ容量より大きいサイズとなる

VHD

ファイル

内蔵ディスク（100GB）

Thin Provisioningのためディスク容量よりも小さなVHDが作成される

実データが増加すると自動的にVHDファイルが拡張さ

れるが、データが削除されても縮小はしない

VHD

ファイル

Standard Image Template

Standard Imageの取得サイズは実データ容量ではなくVHDファイルのサイズに依存

© IBM Corporation 8

1．Standard Image Templateのサイズ見積もり

• 望ましい方式 • Standard Image取得時のサイズを実容量と同じにするには、新規にストレージを購入してcopyする

VHD

ファイル

内蔵ディスク（100GB）

拡張されたVHDファイル内のデータを、追加した別ディスクにコピーすることでVHDファイルの縮小が可能

VHD

ファイル

ポータブルディスク（100GB）

© IBM Corporation 9

2．VMWare ESXサーバーの課金

• アンチデザイン • VMWare ESXはVMのメモリーアロケーション状況で課金を行うため、定期的にVMの稼働状況を

チェック

• VMWare ESXをユーザーが手動で停止すると、物理サーバー搭載メモリ分の課金がされる可能性がある

• 望ましい方式 • VMWare ESXサーバーは、運用上必要でなければ、原則長時間の電源停止を行わない

Baremetalサーバ

VMWare ESXi SoftLayer管理サーバ

VM

4G

B

VM

8G

B

・・ VM

8G

B

VMにアロケーショしたメ

モリー容量を監視し、容量に応じて従量課金

サーバが停止した場合、監視が行えないため、Baremetalサーバ搭載分の全メモリ分の課金がされてしまう。

© IBM Corporation 10

3．10G NICでのDedicated Firewall/Fortigate Firewall

• アンチデザイン

• Dedicated Firewall/Fortigate Firewallはスループットの上限が1Gbps

• Public側で1Gbps以上のスループットが必要な場合にFWがボトルネックとなる

SL DC

インターネット Dedicated FW Fortigate

クライアントPC

サーバ（10GbpsNIC）

サーバ（10GbpsNIC）

サーバ（10GbpsNIC）

サーバのNICを10GbpsにアップグレードしてもFW

の上限が1Gbpsのためボトルネックとなる

© IBM Corporation 11

3．10G NICでのDedicated Firewall/Fortigate Firewall

• 望ましい方式

• Vyatta Gateway Applianceの10GbpsNICをFWとして使う

SL DC

インターネット Vyatta Gateway (10Gbps NIC)

クライアントPC

サーバ（10GbpsNIC）

サーバ（10GbpsNIC）

サーバ（10GbpsNIC）

NICを10GbpsにアップグレードしたVyattaをFWとして使用し、FWがボトル

ネックとなることを軽減する

© IBM Corporation 12

4．SoftLayerプライベート・ネットワークとオンプレNW間の通信形態

• アンチデザイン

• SoftLayerネットワークを、トラフィックの通信路としてのみ使用する使い方は原則禁止 ① クライアントPC - オンプレのWebサーバー間で、直接TCPセッションが確立するケース

② クライアントPC - オンプレのWebサーバー間に、Proxy等があり、TCPセッションはそこで終端するケース

SL海外DC SL TOKYO DC

DirectLink （専用線）

DirectLink （専用線）

SoftLayer Backbone NW

オンプレDC（国内） オンプレDC（海外）

インターネット

proxyサーバ

クライアントPC

クライアントPC

サーバー

①

②

© IBM Corporation 13

4．SoftLayerプライベート・ネットワークとオンプレNW間の通信形態

• 望ましい方式

• クライアントPC - SoftLayer上のシステム- オンプレのWebサーバーのように、クライアントPCはSoftLayer上のシステムにアクセスし、SoftLayer上のシステムがオンプレのWebサーバーにアクセスしてデータを取得して、クライアントPCに提供する

SL海外DC SL TOKYO DC

DirectLink （専用線）

DirectLink （専用線）

SoftLayer Backbone NW

オンプレDC（国内） オンプレDC（海外）

インターネット

Webサーバ

クライアントPC

クライアントPC

DBサーバー

© IBM Corporation 14

5. パスワードリセットに備えたカスタマーポータルでのユーザ設定

• アンチデザイン

• カスタマーポータルでSecurity Questionsを設定していない。

• 一般にパスワードリセットは、

• 一般ユーザー：SoftLayerサポートに依頼してもリセットはしてくれない。アカウントユーザーのみリセットできる。

• アカウントユーザー：SoftLayerサポートに依頼してリセット可能だが、本人特定のための詳細なチェックが発生し、（ソーシャルハッキングなどを鑑みるとそう簡単にリセットされてしまっては困るので当然だが）非常に面倒くさい

© IBM Corporation 15

5. パスワードリセットに備えたカスタマーポータルでのユーザ設定

• 望ましい方式 • ユーザー設定にて、Security Questionを入力する。

• password認証だけでなく、Security Questionを入力しないとログインできないように構成することも可能。

• 詳細はこちらのページも参照。http://qiita.com/testnin2/items/9e2fd480731071152afb

© IBM Corporation 16

（参考）パスワードリセットの方法 1. カスタマーポータルでForget Passwordを選択

2.ユーザーIDとメールアドレスを入力 3.以下の画面に遷移し、メールが届くので、メール中のリンクを選択

4.全てのSecurity Questionsに答えて、新パスワードを入力

© IBM Corporation 17

6. SSH/RDPアクセスのためのFirewall構成

• アンチデザイン

• Firewallを使っていない。もしくは、

• Firewallを使っていても、RDP(port: 3389)やSSH(port: 22)以外のポート番号を閉じているから、インターネットからアクセスしても安全だと誤解している。

SL DC

FW インターネット

クライアントPC

© IBM Corporation 18

6. SSH/RDPアクセスのためのFirewall構成

• 望ましい方式 • Firewallは、開いているポートに対する攻撃をブロックすることはできない。

• 最低でも以下のどれかの方式を採用する。これ以上の対策ができると望ましい。

Public NW

を完全に閉じて、Private

NW経由で

アクセスする

パスワードは十分に複雑である。

（Linuxで

は秘密鍵暗号化方式が使えるならそちらが望ましい）

Firewallで

不要なポートはすべて閉じている。

Firewallで接続元IPア

ドレスを制限している。

SSHやRDPにWell-

known port

番号を使用しない。

アクセス履歴を定期的に確認する

方法１ ✔ ✔ ✔

方法２ ✔ ✔ ✔ ✔

方法３ ✔ ✔ ✔ ✔

© IBM Corporation 19

–Any Questions ?

© IBM Corporation 20 © IBM Corporation 20

Accelerating Digital Business

© IBM Corporation 21

アンチ・デザインパターン

1. Standard Image/Flex Imageによるバックアップ

2. Imageのサイズ見積もり方式

3. Image取得と展開の設計

4. Public NICでのheart beat

5. 10GB NICを使用しているサーバーでのDedicated Firewall/Fortigate

Firewall

6. VMWare ESXサーバーの課金

7. ベアメタルにおけるHDD監視

8. パスワードリセットに備えたカスタマーポータルでのユーザ設定

9. SoftLayerネットワークの使用方法

10. SSH/RDPアクセスのためのFirewall構成