SIOS Protection Suite for Linux Amazon EC2 Cross Region v8.3.0 クイックスタート ガイド 2014年 7月 本 書 およびその内 容 は SIOS Technology Corp. (旧 称 SteelEye® Technology, Inc.) の所 有 物 であり、許 可 なき使 用 および複 製 は禁 止 されています。SIOS Technology Corp. は本 書 の内 容 に関 していかなる保 証 も 行 いません。また、事 前 の通 知 なく本 書 を改 訂 し、本 書 に記 載 された製 品 に変 更 を加 える権 利 を保 有 して います。SIOS Technology Corp. は、新 しい技 術 、コンポーネント 、およびソフト ウェアが利 用 可 能 になるのに 合 わせて製 品 を改 善 することを方 針 としています。そのため、SIOS Technology Corp. は事 前 の通 知 なく仕 様 を変 更 する権 利 を留 保 します。 LifeKeeper、SteelEye、および SteelEye DataKeeper は SIOS Technology Corp. の登 録 商 標 です。 本 書 で使 用 されるその他 のブランド 名 および製 品 名 は、識 別 のみを目 的 として使 用 されており、各 社 の商 標 が含 まれています。 出 版 物 の品 質 を維 持 するために、弊 社 は本 書 の正 確 性 、明 瞭 性 、構 成 、および価 値 に関 するお客 様 のご 意 見 を歓 迎 いたします。 以 下 の宛 先 に電 子 メールを送 信 してください。 ip@us.sios.com Copyright © 2014 By SIOS Technology Corp. San Mateo, CA U.S.A. All rights reserved 目次 Chapter 1: 本資料の目的 1 Chapter 2: 構成の概要 3 サービス用 インスタンス 5 VPN 用 インスタンス 5 本 環 境 の保 護 対 象 サービスとサービスへの接 続 5 Chapter 3: 利用のための必要要件 7 Amazon Web Service (AWS) 環 境 上 の要 件 7 EC2 インスタンス作 成 時 の要 件 7 全 インスタンス共 通 7 VPN 用 インスタンス 9 サービス用 インスタンス 9 利 用 ディスト リビューション、ソフト ウェアの要 件 9 Chapter 4: 構築手順 11 Chapter 5: 関連する LifeKeeper リソースについて 27 Openswan リソース 27 動作概要 27 Openswanリソースの監 視 とリカバリー動 作 27 Openswanリソースのチューニング項 目 28 Route53 リソース 28 動作概要 28 Route53 リソースの監 視 とリカバリ動 作 29 Route53 リソースのチューニング項 目 29 EC2 リソース 30 動作概要 30 EC2 リソースの監 視 とリカバリー動 作 30 SIOS Protection Suite for Linux クイックスタート ガイド Page i EC2 リソースの切 り替 わりが発 生 した際 の route table の更 新 の動 作 IP リソース 30 31 動作概要 31 Chapter 6: 本構成における設定および運用上の留意点 33 Quorum/Witness Server の利 用 を検 討 してください 33 Route53リソース起 動 にともなうレコード の更 新 に時 間 がかる場 合 があります 33 Chapter 7: 既知の問題とト ラブルシューティング SIOS Protection Suite for Linux クイックスタート ガイド Page ii 35 Chapter 1: 本資料の目的 LifeKeeper for Linux v8.3 にて、Amazon EC2 Cross Region 構 成 がサポート されました。これにより、異 なる 2 つの Region 間 (Cross Region) で HA クラスタを構 成 し、Amazon EC2 上 のローカル IP アド レスを使 用 して提 供 されるバックエンド サービスの切 り替 えが可 能 になります。本 資 料 は、LifeKeeper for Linux v8.3 で Amazon EC2 Cross Region 構 成 を利 用 するための要 件 や基 本 操 作 を解 説 するものです。 なお、本 資 料 は LifeKeeper や Amazon Web Service (以 下 AWS) の基 本 的 な設 定 や操 作 、技 術 的 な詳 細 情 報 を解 説 するものではありません。本 構 成 の前 提 となる LifeKeeper や AWS に関 する用 語 ・操 作 ・技 術 情 報 等 につきましては、関 連 のマニュアルやユーザーサイト 等 であらかじめご確 認 ください。 注 記 :「Amazon Web Services」、「Powered by Amazon Web Services」のロゴ、「AWS」、「Amazon EC2」、 「EC2」、「Amazon Elastic Compute Cloud」、「Amazon Virtual Private Cloud」、「Amazon Route 53」および 「Amazon VPC」は、米 国 その他 の国 における Amazon.com, Inc. またはその関 連 会 社 の商 標 です。 SIOS Protection Suite for Linux クイックスタート ガイド Page 1 Chapter 2: 構 成 の概 要 Chapter 2: 構成の概要 本 構 成 は、Amazon EC2 環 境 において、異 なる 2 つの Region 間 で HA クラスタを構 成 し、ローカル IP アド レス を使 用 して提 供 されるバックエンド サービスの冗 長 化 構 成 を取 るため利 用 することができます。この構 成 を使 用 することによって、異 なる Region に配 置 されたインスタンス上 で動 作 するサービス切 り替 えを実 現 することがで き、より幅 広 い障 害 に対 する事 業 継 続 ソリューションを提 供 できるようになりました。 具 体 的 な構 成 例 は以 下 のようなものとなります。 図 1 Amazon EC2 Cross Region 構 成 例 図 1 で使 用 している各 名 称 について以 下 にまとめます。 SIOS Protection Suite for Linux クイックスタート ガイド Page 3 Chapter 2: 構 成 の概 要 上 図 にあ る名 称 説明 Region 地 理 的 に離 れた場 所 にホスティングされている AWS の領 域 を表 します。このド キュメント では、 優 先 的 にサービスを提 供 するインスタンスが配 置 されている Region を「Primary Region」として います。また、Primary Region のフェイルオーバー先 となる Region を「Standby Region」としてい ます。 VPC (Virtual Private Cloud) 同 一 Region 内 に作 成 できる論 理 的 に独 立 したネット ワーク領 域 を表 します。 Region AZ 同 一 Region にある独 立 したロケーションを表 します。このド キュメント では、Primary VPC 内 で (Availability 優 先 的 にサービスを提 供 するインスタンスが配 置 されている AZ を「AZ_P_A」、スタンバイとなる Zone) インスタンスが配 置 されている AZ と「AZ_P_B」としています。 また、Standby VPC 内 で優 先 的 にサービスを提 供 するインスタンスが配 置 されている AZ を「AZ_S_A」、スタンバイとなるインスタ ンスが配 置 されている AZ を「AZ_S_B」としています。 Route Table VPC 作 成 時 に定 義 される routing table です。AZ 間 での通 信 や Region 間 での通 信 を行 うた めの経 路 を定 義 しています。 Route 53 Amazon Route 53 サービスによって提 供 される DNS です。 Openswan Openswan は、Linux で利 用 できるオープンソースのカーネルレベルの IPsec の実 装 です。詳 細 につきましては、Openswan の公 式 サイト などをご確 認 ください。 サービス用 本 構 成 における保 護 対 象 サービスがインスト ールされ、HAクラスタが構 成 されるEC2インスタン インスタンス スです。このド キュメント ではサービス用 インスタンスと呼 ぶこととします。 VPN 用 イ ンスタンス 異 なる Region 上 にある VPC との接 続 を可 能 にするために、Openswan を使 用 した VPN を構 築 するための EC2 インスタンスです。この Openswan をインスト ールして使 用 するサーバを、この ド キュメント では VPN 用 インスタンスと呼 ぶこととします。 Route53 リ ソース Route53 Recovery Kit (以 下 Route53 RK) を使 用 して作 成 される LifeKeeper リソースで す。Region 間 でのサービス切 り替 えが発 生 した場 合 に、クライアント からの一 意 な URL でアク セスを可 能 にするために仮 想 IP アド レスとそれに関 連 した DNS レコード の更 新 を行 います。 Openswan リソース Openswan Recovery Kit(以 下 Openswan RK) を使 用 して作 成 される LifeKeeper のリソースで す。Openswan のプロセス起 動 状 態 や IPsec-VPN セッション状 態 を監 視 します。 EC2 リソー ス Openswan RK でリソース作 成 する際 、また、Route53 リソース作 成 前 に作 成 する LifeKeeper リソースです。AZ 間 、または Region 間 で切 り替 えが行 われた場 合 、通 信 が継 続 できるよう関 連 する Route table の書 き換 えを行 います。 IP リソース IP Recovery Kit (以 下 IP RK) を使 用 して作 成 される LifeKeeper リソースです。切 り替 え可 能 な仮 想 IP アド レスを作 成 しそれを保 護 します。 注 記 : Region 間 の通 信 においては Internet Gateway(IGW) を経 由 しますが、図 の記 述 は省 略 されています。 注 記 :これら AWS に関 連 する用 語 やその詳 細 につきましては、AWS のド キュメント や LifeKeeper のオンライン マニュアル等 をご確 認 ください。また、本 構 成 のために使 用 する LifeKeeper の関 連 リソースの詳 細 については別 章 関 連 する LifeKeeper リソースについてに記 載 しますので、そちらをご参 照 ください。 次 に、本 構 成 で使 用 している各 LifeKeeper リソースの役 割 の概 要 を以 下 に述 べます。 SIOS Protection Suite for Linux クイックスタート ガイド Page 4 サービス用 インスタンス サービス用 インスタンス EC2 Cross Region 構 成 では、図 1 のようにサービス提 供 用 HA クラスタを構 成 するノード として Primary Region 側 の VPC に 2 ノード 、Standby Region 側 の VPC に 2 ノード の計 4 ノード を使 用 します。図 1 では Primary Region の LK_P_A インスタンスがプライマリノード ( 通 常 時 サービスを優 先 的 に提 供 するノード ) 、残 りの LK_P_B、Standby Region 側 の LK_S_A、LK_S_B は全 てバックアップノード となります。この時 のリソースのフェイ ルオーバー時 の動 作 としては、同 Region の AZ 間 でフェイルオーバーが行 われる場 合 には、自 動 的 にフェイル オーバーが行 われます。しかし、異 なる Region へのフェイルオーバーについては、自 動 的 に行 わず管 理 者 の判 断 によって手 動 で行 われるように LifeKeeper の動 作 をチューニングして使 用 します。 なお、LifeKeeper for Linux v8.3 リリースの時 点 で保 護 できるサービスは Oracle12c となります。Oracle12c の保 護 には LifeKeeper のオプションである Oracle Recovery Kit を使 用 します。また Oracle Recovery Kit を使 用 する 場 合 、クラスターノード 間 で切 り替 え可 能 な共 有 ファイルシステムが必 要 となります。本 構 成 では、共 有 ファイル システムとして「DataKeeper for Linux」を使 用 します。 VPN 用 インスタンス Region を挟 んで LifeKeeper で HA クラスタを構 成 するためには、Region 間 での通 信 が可 能 である必 要 があり ます。そのため本 構 成 では、それぞれのサーバが配 置 されている同 一 AZ 内 に Openswan を使 用 した VPN サーバを使 用 します。図 1では Primary Region の VPN_P_A、VPN_P_B と、Standby Region の VPN_S_ A、VPN_S_B がこれにあたります。これらの VPN 用 インスタンスは、対 向 Region のプライマリノード 同 士 とバック アップノード 同 士 で VPN Tunnel を張 っています。対 向 Region への接 続 は、どちらか一 方 の VPN Tunnel を経 由 して行 われます。この時 VPN 接 続 の冗 長 性 を確 保 するため、LifeKeeper for Linux v8.3 リリースとともに開 発 された Openswan Recovery Kit を使 用 します。 本 環 境 の保 護 対 象 サービスとサービスへの接 続 サービス提 供 用 インスタンスでは、保 護 するアプリケーションやサービスを起 動 し、LifeKeeper で保 護 をして使 用 することになります。そのため、HA クラスタ間 での切 り替 えが行 われた場 合 でも一 意 の接 続 先 となるアド レスを 確 保 するため LifeKeeper では IP リソースを使 用 します。なお、本 構 成 で利 用 できる IP アド レスは、パブリック IP アド レスではなく、プライベート IP アド レスである点 を注 意 してください。 IP リソースは、ノード 間 での切 り替 えができる仮 想 IP アド レスの作 成 と保 護 を行 います。本 構 成 での IP リソー スは、Region ごとに異 なる仮 想 IP アド レスのリソースを作 成 することができます。よって、異 なる Region の切 り 替 え先 で IP リソースを起 動 した場 合 、その仮 想 IPアド レスは切 り替 え前 と異 なる仮 想 IPアド レスとなります。そ のため、リソースが異 なる Region へ切 り替 えられた時 、クライアント が同 一 の接 続 先 を指 定 してアプリケーション へのアクセスを継 続 できるように考 慮 する必 要 があります。本 構 成 では、この動 作 を LifeKeeper for Linux v8.3 リ リースとともに開 発 された Route53 Recovery Kit(Route53リソース) が担 います。 Route53 Recovery Kit は、Region 間 でのサービスノード の切 り替 えが発 生 した場 合 、サービスが起 動 する Region のネット ワークセグメント のIPアド レスに対 応 するよう、Amazon Route 53 に対 して DNS レコード の更 新 要 求 を行 います。クライアント が保 護 対 象 に接 続 する際 には、DNS に問 い合 わせることによってIPアド レスが変 化 しても、それを意 識 することなく単 一 の名 前 を使 用 して接 続 することができます。 ここまでの切 り替 え時 の動 作 に加 えて、サービス提 供 用 インスタンスやVPN用 インスタンス上 で動 作 しているリ ソースの切 り替 えが行 われた場 合 には、同 時 に AZ 間 や Region 間 での通 信 経 路 を更 新 する必 要 があります。 この経 路 の更 新 を、各 リソースと依 存 関 係 が作 成 される EC2 リソースが行 っています。 SIOS Protection Suite for Linux クイックスタート ガイド Page 5 本 環 境 の保 護 対 象 サービスとサービスへの接 続 このように、EC2 Cross Region 構 成 では、AZ 間 や Region 間 での切 り替 えが発 生 した場 合 の、経 路 の切 り替 えや、名 前 解 決 、Region 間 接 続 の制 御 と保 護 を組 み合 わせることによって、Region 間 でのサービスの冗 長 化 を可 能 にしています。 SIOS Protection Suite for Linux クイックスタート ガイド Page 6 Chapter 3: 利 用 のための必 要 要 件 Chapter 3: 利用のための必要要件 LifeKeeper for Linux 8.3 Amazon EC2 Cross Region Support を利 用 するためには、環 境 を準 備 する段 階 で満 たすべきいくつかの要 件 があります。以 下 に Amazon Web Service の環 境 と、その上 に作 成 するインスタンスに 関 する要 件 をまとめます。 Amazon Web Service (AWS) 環 境 上 の要 件 サービスを提 供 するための基 盤 となる環 境 を AWS 上 に作 成 します。Amazon EC2 Cross Region を利 用 する ための要 件 は以 下 の通 りです。必 要 な設 定 等 については、構 築 手 順 に記 載 しておりますので、そちらをご確 認 ください。 n n n n n n 異 なる Region それぞれに VPC を 1 つ計 2 つの VPC を 設 定 する必 要 があります。2 つ以 上 の VPC 間 の HA クラスタ構 成 についてはサポート していません。なお、1 つの VPC 内 にある Availability Zone (AZ) 間 での HA クラスタ構 成 については、これまで提 供 しておりました「Recovery Kit for EC2」をご利 用 いただ くことができます。 各 Region の AZ に 2つのサブネット が必 要 です。よって、全 体 では 4 つの subnet が必 要 となります。同 Region 内 にあるクラスターノード の冗 長 性 を担 保 するために、プライマリノード とバックアップノード はそれぞ れ異 なる AZ 上 に配 置 するようにします。 AWS の管 理 者 権 限 が必 要 です。また、自 分 の AWS アクセスキー ID と秘 密 アクセスキーも取 得 する必 要 があります。 各 AZ に LK インスタンス 1 つと VPN 用 インスタンス1 つの計 2 つの EC2 インスタンスが必 要 となります。 よって、全 体 では 8 台 の EC2 インスタンスが必 要 です。 Amazon Route 53 にド メイン名 を登 録 しサービスを利 用 できるようにする必 要 があります。これは Route53 リソース作 成 時 に必 要 となります。 サービスを利 用 するクライアント は、Route53 リソースで保 護 されるホスト 名 を名 前 解 決 できることを確 認 する必 要 があります。 EC2 インスタンス作 成 時 の要 件 本 ソリューションを利 用 するため、計 8 つの EC2 インスタンスを作 成 することになります。その際 、各 用 途 に応 じ たインスト ール要 件 等 を考 慮 してインスタンスを作 成 する必 要 があります。その作 成 時 の要 件 のポイント は以 下 の通 りです。実 際 に構 築 にあたっての必 要 な設 定 項 目 等 については、構 築 手 順 に記 載 していますのでそちら をご確 認 ください。 全 インスタンス共 通 これは、VPN 用 、サービス用 全 インスタンスに共 通 する要 件 となります。こちらの内 容 をまず確 認 した上 で、それ ぞれの用 途 別 の要 件 を確 認 してください。 l 全 てのインスタンスは LifeKeeper for Linux のインスト ール要 件 を満 たす必 要 があります。 本 構 成 のために用 意 する EC2 インスタンス上 には LifeKeeper をインスト ールする必 要 がありま SIOS Protection Suite for Linux クイックスタート ガイド Page 7 全 インスタンス共 通 す。そのため、作 成 するインスタンスは、OS や NIC の数 など LifeKeeper のインスト ール要 件 を満 たす必 要 があります。本 構 成 で利 用 できるディスト リビューションや保 護 対 象 アプリケーションの情 報 につきましては、利 用 ディスト リビューション、ソフト ウェアの要 件 をご確 認 ください。 LifeKeeper を利 用 する上 で考 慮 するべき OS の設 定 、ネット ワーク、ディスク構 成 等 の情 報 につ きましては以 下 のインスト レーションガイド のプランニング環 境 や環 境 のセット アップの内 容 をご確 認 ください。 SIOS Protection Suite インスト レーションガイド (ネット ワークやOSの設 定 等 ) また、サービス用 インスタンスに保 護 対 象 サービスをインスト ールする場 合 、クラスタ間 で共 有 する ファイルシステムとして DataKeeper for Linux を使 用 します。DataKeeper の利 用 に関 する要 件 に ついても、合 わせて確 認 してください。 DataKeeper for Linux 構 成 上 の要 件 注 記 : Lifekeeper を利 用 する要 件 の中 に、通 信 のために使 用 する必 要 があるポート がいくつかあ りますので、インスタンスの設 定 の [NETWORK & SECURITY] にある [Security Groups] のルー ルの設 定 を確 認 するようにしてください。 l l 同 Region 内 で HA クラスタを構 成 するインスタンスは、プライマリ用 インスタンスとスタンバイ用 インスタンス がそれぞれ異 なる AZ で起 動 するように構 成 する必 要 があります。 Amazon EC2 API Tools をあらかじめ任 意 の場 所 にインスト ールする必 要 があります。 これは関 連 の LifeKeeper リソースが動 作 するために必 要 となります。Amazon EC2 API Tools は 以 下 の URL よりダウンロード してください。また、インスト ール方 法 につきましては、同 API のマ ニュアルをご確 認 ください。 Amazon EC2 API Tools l 各 HAクラスタ用 インスタンスのENIの、[Change Source/Dest Check] の設 定 を <Disabled> に設 定 を 変 更 する必 要 があります。 設 定 変 更 画 面 は、以 下 の EC2 インスタンスの管 理 画 面 の [Actions] ボタンの [Change Source/Dest Check] を選 択 すると起 動 することができます。 図 2 Change Source/Dest Check SIOS Protection Suite for Linux クイックスタート ガイド Page 8 VPN 用 インスタンス VPN 用 インスタンス l VPN 用 インスタンスに Openswan をインスト ールする必 要 があります。そのため、LifeKeeper のインスト ー ル要 件 に加 えて Openswan のインスト ール要 件 を満 たす必 要 があります。 Openswan をインスト ールし、VPN セッションを張 る必 要 があります。そのため、LifeKeeper をインス ト ールする要 件 に加 えて Openswan を利 用 するための要 件 を満 たしている必 要 があります。 サービス用 インスタンス l 切 り替 え対 象 ソフト ウェアとして Oracle を使 用 する場 合 は、LifeKeeper のインスト ール要 件 に加 えて Oracle のインスト ール要 件 を満 たす必 要 があります。 今 回 のバージョンでは保 護 対 象 サービスとして Oracle12c のみをサポート しています。サービス用 イ ンスタンスには、Oracl 12c をインスト ールして保 護 対 象 サービスとします。よって、サービス用 インス タンスは Oracle のインスト ール要 件 を満 たす必 要 があります。Oracle のインスト ール要 件 につきま しては、Oracle 社 が提 供 する情 報 をご確 認 ください。 l 保 護 対 象 ソフト ウェアが使 用 する共 有 ファイルシステム専 用 のローカルディスク、またはパーティション領 域 を 1 つ以 上 作 成 してください。 保 護 対 象 アプリケーションに Oracle を使 用 する場 合 、LifeKeeper のオプション製 品 である「Oracle Recovery Kit(Oracle RK)」を使 用 して Oracle リソースを作 成 します。 Oracle リソースを作 成 する要 件 として、データベース、アーカイブファイル、ログファイル、制 御 ファイ ル等 は LifeKeeper によって保 護 する共 有 ファイルシステム上 へ配 置 する必 要 があります。その共 有 ファイルシステムは、LifeKeeper for Linuxのオプション製 品 であるDataKeeperを使 用 してレプリ ケーションされるディスクを使 用 します。よって、各 サービス用 インスタンスには必 ず、Oracle 専 用 の レプリケーション用 のディスク、またはパーティション領 域 を 1 つ以 上 作 成 しておく必 要 があります。 用 意 するディスク構 成 やサイズ等 については、データベースの規 模 や構 成 に依 存 します。Oracle のファイル配 置 の要 件 については以 下 の Oracle ARK の設 定 要 件 の関 連 ファイルの配 置 例 を確 認 して、お客 様 の要 件 に適 したものを選 択 しディスク構 成 やそのサイズを決 定 してください。 Oracle 特 有 の設 定 上 の考 慮 事 項 設定例 利 用 ディスト リビューション、ソフト ウェアの要 件 本 バージョンでは、以 下 のソフト ウェアの利 用 をサポート します。 カテゴリ 各 インスタンス用 ディスト リビューション OSおよびソフト ウェア名 Red Hat Enterprise Linux v6.4/6.5 の 64bit CentOS v6.4/6.5 の 64bit VPNインスタンス 保 護 対 象 ソフト ウェア 上 記 ディスト リビューション付 属 の Openswan rpm サービス用 インスタンス 保 護 対 象 ソフト ウェア Oracle 12c これらの保 護 対 象 ソフト ウェアや対 応 ディスト リビューションは、随 時 適 用 範 囲 を広 げていきます。 SIOS Protection Suite for Linux クイックスタート ガイド Page 9 利 用 ディスト リビューション、ソフト ウェアの要 件 SIOS Protection Suite for Linux クイックスタート ガイド Page 10 Chapter 4: 構 築 手 順 Chapter 4: 構築手順 Amazon EC2 Cross Region 環 境 を構 築 するための一 般 的 な手 順 を解 説 します。 前 提 となる全 体 構 成 は、構 成 の概 要 のページに記 載 されているものとなります。 図 3 設 定 例 の構 成 さらに、以 下 に設 定 する環 境 についての情 報 を補 足 します。 l l Region 間 の通 信 では IGW を経 由 しますが、上 図 では記 載 を省 略 しています。 IP リソースで構 成 する仮 想 IP アド レスは、Primary_VPC 上 で起 動 しているときは 10.1.0.10/32、Standby_VPC へ切 り替 えられた場 合 には、10.2.0.10/32とします。 1. 異 なる Region 上 に 2 つの VPC を作 成 します VPC の作 成 に関 する情 報 は Amazon Web Service の情 報 をご確 認 ください。 SIOS Protection Suite for Linux クイックスタート ガイド Page 11 Chapter 4: 構 築 手 順 図 3 の設 定 例 では、Primary Region に Primary_VPC、Standby Region に Standby_VPC という 名 前 の VPC を作 成 しています。また、それぞれの CIDR Block は Primary_VPC が 10.0.0.0/16、Standby_VPC が 172.16.0.0/16 としています。 2. VPC に 2 つの subnet を作 成 し、AZ に配 置 します 手 順 1 で作 成 したそれぞれの Region の VPCに2 つの subnet を作 成 してください。その際 、指 定 する AZ が subnet ごとに別 々 になるように設 定 してください。 subnet の作 成 や関 する情 報 は Amazon Web Service の情 報 をご確 認 ください。 例 では、Primary Region の Primary_VPC に 10.0.0.0/24 (AZはap-northeast-1a) と 10.0.10.0/24 (AZはap-notheast-1c) を作 成 しています。ま た、Standby Region の Standby_VPC には 172.16.0.0/24 (AZはap-southeast-1a) と 172.16.10.0/24 (AZはap-southeast-1c) を作 成 しています。 3. VPN用 インスタンス 1 つ、サービス用 インスタンスを1 つ(計 8 つ) を作 成 します 各 インスタンスの必 要 要 件 をもとに EC2 インスタンスを作 成 します。インスタンスの必 要 要 件 につ いては、前 述 のインスタンス作 成 時 の要 件 のページにある情 報 を参 照 してください。 4. Amazon Route 53 の hosted zone に Domain name を定 義 してください 後 に作 成 するRoute53リソースはこのhosted zoneに仮 想 IPアド レスと関 連 付 ける仮 想 ホスト 名 をAレコード として追 記 や、切 り替 えに応 じたレコード の更 新 などを行 います。 5. VPC の Route Tables にルーティング情 報 を追 加 します VPC 管 理 画 面 の Routing table の画 面 を開 いてください。画 面 下 部 の [Routes] というタブをひら くと、Routing table が表 示 されます。下 記 は Primary_VPC のデフォルト でのRouting table の例 で す。 Destination Target Status Propagated 10.0.0.0/16 Local Active No 0.0.0.0/0 igw-xxxxx Active No このデフォルト の Route table に以 下 の条 件 に基 づく Routing を設 定 する必 要 があります。 l この VPC の領 域 で起 動 する仮 想 IP アド レス l 対 向 側 で起 動 する仮 想 IP アド レスが属 する subnet l 対 向 Region にある VPC の subnet 具 体 的 には以 下 のように設 定 を変 更 します。以 下 の例 は Primary_VPC の Route table 例 で す。 Primary _VPC Route table Destination Target 10.0.0.0/16 local 0.0.0.0/0 igw-xxxxxxx SIOS Protection Suite for Linux クイックスタート ガイド Page 12 Chapter 4: 構 築 手 順 Destination Target 10.1.0.10/32 eni-zzzzzzzz サービス用 のインスタンスの仮 想 IPを付 ける予 定 のENI (構 成 例 ではLK_P_AのENI) 10.2.0.0/16 eni-yyyyyyyy VPNインスタンスのプライマリノード のENI (構 成 例 ではVPN_P_ AのENI) 172.16.0.0/16 eni-yyyyyyyy 上 記 と同 じVPNインスタンスのプライマリノード のENI (構 成 例 で はVPN_P_AのENI) 上 記 の赤 文 字 で書 かれた部 分 が、追 加 で設 定 するべき情 報 です。必 要 な設 定 を追 加 して保 存 してください。また、この Route table の設 定 は対 向 Region でも必 要 となります。対 向 Region の設 定 例 は以 下 のとおりです。 Standby _VPC Route table Destination Target 172.16.0.0/16 local 0.0.0.0/0 igw-xxxxxxx 10.2.0.10/32 eni-aaaaaaaa サービス用 のインスタンスの仮 想 IPを付 ける予 定 のENI (構 成 例 ではLK_S_AのENI) 10.1.0.0/16 eni-bbbbbbbb VPNインスタンスのプライマリノード のENI (構 成 例 ではVPN_S_ AのENI) 10.0.0.0/16 eni-bbbbbbbb 上 記 と同 じVPNインスタンスのプライマリノード のENI (構 成 例 で はVPN_S_AのENI) 6. VPN 用 インスタンスに Openswan をインスト ールして、対 向 Region にある VPN 用 インスタンスと VPN セッショ ンを張 ります Openswan リソースを設 定 する前 に、Openswan がインスト ールされ VPN セッションが確 立 されて いる必 要 があります。 Openswanは使 用 するディスト リビューションに付 属 するrpmパッケージを使 用 します。yum コマンド 等 でパッケージを追 加 してください。VPN用 インスタンス全 てにOpenswanをインスト ールしたら、必 要 な設 定 を行 います。 Openswan の設 定 ファイルである ipsec.conf の設 定 例 を以 下 に記 します。 SIOS Protection Suite for Linux クイックスタート ガイド Page 13 Chapter 4: 構 築 手 順 version 2.0 config setup protostack=netkey nat_traversal=yes virtual_private= oe=off conn vpn1 type=tunnel authby=secret left=%defaultroute leftid=54.249.2.50 #VPN_P_A のパブリック IP アド レス leftnexthop=%defaultroute leftsubnets={10.0.0.0/16 10.1.0.0/16} #Primary_VPC の subnetと仮 想 IP アド レスのsubnet leftsourceip=10.0.0.5 #VPN_P_A のローカルアド レス right=54.254.156.254 #VPN_S_A のパブリック IP アド レス rightsubnets={172.16.0.0/1610.2.0.0/16} #Standby_VPC の subnet と仮 想 IP アド レスの subnet rightsourceip=172.16.0.5 pfs=yes auto=start 上 記 設 定 ファイルの、left,leftid,leftsubnets,leftsourceip および right,rightid,rightsubnets,rightsourceip に設 定 された値 を Openswan リソースの処 理 の中 で参 照 しています。そのため、Openswan リソースを作 成 するための設 定 要 件 として以 下 のポイント に 留 意 する必 要 があります。 l left,leftid のどちらかに VPN サーバのパブリック IP アド レスを記 述 しなければなりません。 l leftsubnets には VPN サーバのローカルSubnet を記 述 しなければなりません。 SIOS Protection Suite for Linux クイックスタート ガイド Page 14 Chapter 4: 構 築 手 順 l l leftsourceip には VPN サーバのローカル IP アド レスを記 述 しなければなりません。right 側 も同 様 です。 left,right のどちらにローカルサイド 、リモート サイド を記 述 しても問 題 ありません。 これらの設 定 を使 用 してVPN_P_A と VPN_S_A、VPN_P_B と VPN_S_B 間 で VPN セッションを 張 って通 信 できることを確 認 してください。ここで起 動 した VPN セッションを張 った状 態 のままにし てください。リソース作 成 時 は、2 本 の VPN 接 続 が可 能 な状 態 で作 成 する必 要 があります。 7. 各 EC2 インスタンスに LifeKeeper をインスト ールする インスト ール手 順 については、LifeKeeper オンラインマニュアルのインスト ールガイド をご確 認 くださ い。 SIOS Protection Suite インスト レーションガイド 上 記 の基 本 的 な内 容 に加 え、本 構 成 における留 意 点 を以 下 に記 載 します。 l Openswan ARK、Route53 ARK、EC2 ARK は別 途 RPM コマンド でインスト ールする必 要 があります。 インスト ール時 に使 用 した CD イメージのマウント パスの直 下 にある Amazon ディ レクト リの中 にあります。rpmコマンド でインスト ールすることを忘 れないようにしてくだ さい。 l LifeKeeper GUI を表 示 するため SSH X フォワーディングを使 用 してください。 LifeKeeper の起 動 が完 了 すると、LifeKeeper GUI を起 動 します。EC2 環 境 で SSH X フォワーディングを使 用 して管 理 用 端 末 上 に LifeKeeper GUI を表 示 させる ようにします。X フォワーディングの利 用 法 は、一 般 的 な情 報 をご参 照 いただく か、X フォワーディングを使 用 した LifeKeeper GUI の表 示 方 法 は以 下 の URL に 関 連 情 報 がありますので、こちらを参 照 してください。 ファイアウォール経 由 での LifeKeeper GUI の実 行 8. 各 インスタンスの LifeKeeper に必 要 なチューニング設 定 を行 う 本 構 成 を利 用 するために必 要 な LifeKeeper のチューニング項 目 をあらかじめ設 定 します。設 定 項 目 は VPN 用 インスタンスとサービス用 インスタンスで異 なっていますので、それぞれの環 境 別 に 確 認 するようにしてください。 l 全 VPN 用 インスタンスに必 要 な設 定 o l /etc/default/LifeKeeper ファイルにある LKCHECKINTERVAL の設 定 値 をデフォルト 120 から 260 秒 に変 更 してください。設 定 を反 映 するために LifeKeeper を再 起 動 してください。 全 サービス用 インスタンスに必 要 な設 定 o /etc/default/LifeKeeper ファイルにある LKCHECKINTERVAL の設 定 値 をデフォルト 120 から 360 秒 に変 更 してください。設 定 を反 映 するために LifeKeeper を再 起 動 してください。 SIOS Protection Suite for Linux クイックスタート ガイド Page 15 Chapter 4: 構 築 手 順 o IP リソースのブロード キャスト Ping を使 用 した監 視 を無 効 にするようにするた め、/etc/default/LifeKeeper ファイルの NOBCASTPING の設 定 をデフォルト 値 の 0 から 1 に設 定 変 更 してください。 o /etc/default/LifeKeeper ファイルのCONFIRMSODEFの設 定 をデフォルト の0から1に変 更 して保 存 してください。 o Region 間 の自 動 フェイルオーバーが行 われないようにするためサーバープロパティの[Set Confirm Failover On] と [Set Block Resource Failover On] を設 定 する必 要 があります。設 定 例 を以 下 の表 に示 します。 LK_P_A Server Set Confirm Failover On Set Block Resource Failover On LK_P_B (none) (none) LK_S_A ✔ ✔ LK_S_B ✔ ✔ Server Set Confirm Failover On Set Block Resource Failover On LK_P_A (none) (none) LK_S_A ✔ ✔ LK_S_B ✔ ✔ Server Set Confirm Failover On Set Block Resource Failover On LK_S_B (none) (none) LK_P_A ✔ ✔ LK_P_B ✔ ✔ Server Set Confirm Failover On Set Block Resource Failover On LK_S_A (none) (none) LK_P_A ✔ ✔ LK_P_B ✔ ✔ LK_P_B LK_S_A LK_S_B SIOS Protection Suite for Linux クイックスタート ガイド Page 16 Chapter 4: 構 築 手 順 9. VPN用 インスタンスにコミュニケーションパスを設 定 します VPN 用 インスタンスは、同 Region 内 にあるインスタンス同 士 で HA クラスタを構 成 します。異 なる Region を挟 んでコミュニケーションパスを設 定 する必 要 はありませんので、この点 に注 意 してくださ い。具 体 的 には、VPN_P_A インスタンスと VPN_P_B インスタンス間 でコミュニケーションパスを設 定 し、VPN_S_A インスタンスと VPN_S_B インスタンス間 でコミュニケーションパスを設 定 します。 コミュニケーションパスの設 定 手 順 は、以 下 のマニュアルで確 認 してください。 コミュニケーションパスの作 成 10. 各 Region の VPN インスタンスに Openswan リソースを作 成 および拡 張 します プライマリノード となるサーバの LifeKeeper GUI を起 動 して、リソース作 成 ウィザード を起 動 してく ださい。 リソース作 成 ウィザード が起 動 したら、ウィザード に従 って値 を入 力 してください。画 面 を進 めること によってリソースを作 成 することができます。ウィザード の入 力 項 目 と値 は以 下 の通 りです。 項目 設定内容 作成 Select Recovery Kits 保 護 対 象 となるアプリケーションを保 護 するために使 用 する Recovery Kit を選 択 します。 Switchback 自 動 フェイルバックの有 無 Type Server リソースのプライマリサーバーとなるノード を選 択 します。例 では PrimaryRegion に ある VPN_ P_A を選 択 しています。 IPSec connection name IPSec connection name を選 択 します。値 は Openswan の設 定 ファイルから取 得 しています。 EC2 Home EC2_HOME ディレクト リパスを選 択 するか、入 力 してください。この EC2_HOME は、EC2 API Tools のパスです。注 記 : デフォルト 値 は /opt/aws です。検 証 する 対 象 の <$EC2_HOME>/bin/ec2-describe-addresses が存 在 するかどうかを確 認 してください。 EC2 URL 実 際 の EC2_URL を選 択 するか、入 力 してください。この EC2_URL は、Amazon EC2 Web サービスエンド ポイント の URL です。 AWS Access Key AWS のアクセスキーを入 力 してください。この AWS アクセスキーは、AWS Tools がユーザの識 別 に使 用 するアクセスキー ID です。アクセスキーとセキュリティキーの 組 み合 わせを使 用 して、AWS サービス API に対 する REST またはクエリプロト コ ルリクエスト がセキュリティで保 護 されます。 SIOS Protection Suite for Linux クイックスタート ガイド Page 17 Chapter 4: 構 築 手 順 項目 設定内容 AWS Secret Key AWS セキュリティキーを入 力 してください。この AWS セキュリティキーは秘 密 キー です。アクセスキーとセキュリティキーの組 み合 わせを使 用 して、AWS サービス API に対 する REST またはクエリプロト コルリクエスト がセキュリティで保 護 されま す。 Openswan Tag リソースタグ名 拡張 Target Server 拡 張 先 のサーバ名 を指 定 Switchback 自 動 フェイルバックの有 無 Type Template Priority リソースの拡 張 元 となるノード のプライオリティ値 Target Priority リソースの拡 張 先 、バックアップノード のプライオリティ値 Openswan Tag リソースタグ名 作 成 から拡 張 までリソース作 成 ウィザード が完 了 すると、以 下 のようなリソース階 層 作 成 されま す。 Openswan リソースの子 リソースとして EC2 リソースが自 動 的 に作 成 されます。 SIOS Protection Suite for Linux クイックスタート ガイド Page 18 Chapter 4: 構 築 手 順 図 4 Openswan リソース作 成 例 11. 10.の操 作 をもう一 方 の Region にある VPN 用 インスタンスでも実 施 し、同 様 の VPN リソースを作 成 してく ださい。 12. VPN インスタンスの切 り替 えをテスト します 作 成 した VPN リソースを、LifeKeeper GUI を使 用 して手 動 で切 り替 えられることを確 認 してくだ さい。確 認 後 リソースをプライマリノード へ戻 してから次 の手 順 を実 施 してください。 13. 全 Region のサービス用 インスタンスにコミュニケーションパスを設 定 します サービス用 インスタンスは Region を挟 んで 4 つ作 成 されています。これら全 てについてコミュニケー ションパスを設 定 し 1 つのクラスターグループとして構 成 します。 コミュニケーションパスを設 定 する 操 作 方 法 は手 順 9. と同 様 です。この操 作 を 4 ノード 全 てが接 続 されるようにしてください。結 果 として、LifeKeeper GUI には以 下 のように4ノード が表 示 される状 態 となります。 SIOS Protection Suite for Linux クイックスタート ガイド Page 19 Chapter 4: 構 築 手 順 14. サービス用 インスタンスに仮 想 IP アド レスを作 成 し、全 AZ にある各 インスタンスに拡 張 します サービス用 インスタンスのプライマリノード となるサーバの LifeKeeper GUI を表 示 し、IP リソースの 作 成 を行 ってください。IP リソースの作 成 に関 する基 本 的 な操 作 方 法 につきましては、以 下 の IP Recovery Kit のオンラインマニュアルを確 認 してください。 IP リソース階 層 の作 成 リソース階 層 の拡 張 上 記 の IP リソース作 成 時 の基 本 操 作 に加 えて、以 下 の本 構 成 上 での注 意 点 を合 わせて確 認 し作 成 を行 ってください。 l l 指 定 する仮 想 IP アド レスは VPC 内 の割 り当 て済 みの CIDR の範 囲 外 にする必 要 があ ります。 リソース作 成 時 IP タグ名 はデフォルト から変 更 するようにしてください。 本 構 成 の IP リソースは 1 つの IP リソースで 2 つの仮 想 IPアド レスを管 理 しています。よっ て、管 理 上 の混 乱 を避 けるためデフォルト のタグ名 から「ip-route53」などのタグ名 に変 更 し てください。 l 異 なる Region のインスタンスへ拡 張 を行 う時 、IP アド レスはそのセグメント で利 用 できる 仮 想 IP アド レスを指 定 します。 通 常 IP リソースを作 成 する場 合 には、拡 張 元 の仮 想 IP アド レスをもとに拡 張 を行 いま すが、異 なる Region に拡 張 する際 のウィザード では任 意 の IP アド レスを入 力 できるように なっていますので、拡 張 先 のネット ワークセグメント に合 わせた仮 想 IP アド レスを指 定 する ようにしてください。 IPリソースが作 成 された時 点 の LifeKeeper GUI の表 示 は以 下 のようになります。 図 5 IP リソース作 成 時 点 の例 SIOS Protection Suite for Linux クイックスタート ガイド Page 20 Chapter 4: 構 築 手 順 15. サービス用 インスタンスに EC2 リソースを作 成 します サービス用 インスタンスの EC2 リソースは、あらかじめ Recovery Kit for EC2 のバックエンド シナリオ をもとに別 途 作 成 しておく必 要 があります。 作 成 ウィザード の内 容 等 につきましては、以 下 の Recovery Kit EC2 のマニュアルを確 認 してくだ さい。 リソース階 層 の作 成 リソース階 層 の拡 張 上 記 の EC2 リソース作 成 時 の基 本 操 作 に加 えて、以 下 の本 構 成 上 での注 意 点 を合 わせて確 認 し作 成 を行 ってください。 l l リソース作 成 ウィザード の EC2 Resource type で「ルート テーブルシナリオ 」を選 択 してくださ い。 リソース作 成 時 EC2 リソースタグ名 はデフォルト から変 更 するようにしてください。 例 えば、IP リソースを「ip-route53」とした場 合 は、「ec2-route53」などとします。これも、IP リ ソース作 成 時 と同 様 にデフォルト のタグ名 をそのまま使 用 すると管 理 上 混 乱 を来 す可 能 性 が考 えられるためです。 EC2 リソースが作 成 された時 点 の GUI 表 示 は以 下 のようになります。 図 6 EC2 リソース作 成 時 点 のリソース階 層 例 16. サービス用 インスタンスに Route53 リソースを作 成 します プライマリノード となるサーバの LifeKeeper GUI を起 動 して、リソース作 成 ウィザード を起 動 してく ださい。リソース作 成 ウィザード が起 動 したら、ウィザード に従 って値 を入 力 し画 面 を進 めることに よってリソースを作 成 することができます。ウィザード の入 力 項 目 は以 下 の通 りです。 項目 設定内容 作成 SIOS Protection Suite for Linux クイックスタート ガイド Page 21 Chapter 4: 構 築 手 順 項目 Select Recovery Kits 設定内容 保 護 対 象 となるアプリケーションを保 護 するために使 用 する Recovery Kit を選 択 します。 Switchback 自 動 フェイルバックの有 無 Type Server リソースのプライマリサーバーとなるノード を選 択 します。例 では Primary Region に ある VPN_P_A を選 択 しています。 AWS Access Key Route 53 に接 続 するためのアクセスキーを入 力 AWS Secret Key Route 53 に接 続 するためのシークレット キーを入 力 Domain name (Route53 hosted zone) Route 53 に登 録 されている Domain Name が表 示 されますので、このサービスで 使 用 するものを選 択 します。注 記 : この時 点 で Route 53 にド メインネームが作 成 されている必 要 があります。これは前 述 の AWS 環 境 作 成 上 の要 件 に記 載 さ れています。 Host Name Route 53 の A レコード で使 用 するホスト 名 を入 力 します。 (Not FQDN) IP resource Route 53 の A レコード で使 用 する仮 想 IP が作 成 している IP リソースタグを選 択 する。 Route53 Resource Tag リソースの名 前 拡張 Target Server 拡 張 先 のサーバ名 を指 定 Switchback 自 動 フェイルバックの有 無 Type Template Priority リソースの拡 張 元 となるノード のプライオリティ値 Target Priority リソースの拡 張 先 、バックアップノード のプライオリティ値 Route53 Tag リソースタグ名 SIOS Protection Suite for Linux クイックスタート ガイド Page 22 Chapter 4: 構 築 手 順 リソース拡 張 は 4 ノード 目 まで行 ってください。 作 成 から拡 張 までリソース作 成 ウィザード が完 成 すると、以 下 のようなリソース階 層 が完 成 しま す。 図 7 Route53 リソース完 成 時 のリソース階 層 17. Oracle ARK のインスト ール要 件 に従 って Oracle のインスト ールを行 い、Oracle リソースが作 成 できるよう設 定 を行 ってください Oracle Recovery Kit のインスト ール要 件 につきましては、以 下 の Oracle Recovery Kit 管 理 ガイ ド で確 認 してください。 Oracle Recovery Kit 管 理 ガイド Oracle は 4 ノード へのインスト ールが必 要 となります。それぞれ同 一 の設 定 となるようにしてくださ い。また、その際 DataKeeper のミラーリング対 象 となるディスクへの配 置 をするようにしてください。 また、リスナーを保 護 する場 合 には、Listen アド レスに Route53 リソースで設 定 したホスト 名 を指 定 してください。 設 定 が完 了 したらプライマリとなるサーバ以 外 の Oracle インスタンスは停 止 させ、レプリケーション 対 象 ディスクをアンマウント してください。 18. レプリケーション対 象 とするディスクを使 用 して DataKeeper リソースを作 成 します サービス用 ノード 間 で共 有 するデータ領 域 を Oracle とともに切 り替 えて使 用 できるよう に、DataKeeper リソースを作 成 します。DataKeeper リソースの基 本 的 な作 成 方 法 につきまして は、以 下 のマニュアルを確 認 してください。 DataKeeper リソース階 層 の作 成 リソース階 層 の拡 張 SIOS Protection Suite for Linux クイックスタート ガイド Page 23 Chapter 4: 構 築 手 順 今 回 の手 順 上 、DataKeeper リソースを作 成 する際 に、リソース作 成 ウィザード の中 の [Hierarchy Type] の選 択 の際 に [Replicate Existing File System] を使 用 してください。これ は、既 にレプリケーション対 象 のディスクに Oracle 関 連 のファイルが保 存 されているためです。よっ て、DataKeeper リソースを作 成 する前 に、プライマリノード で対 象 ディスクをマウント ポイント にマウ ント してからリソース作 成 の操 作 を行 ってください。 19. Oracle リソースを作 成 します Oracle Recovery Kit を使 用 してリソース設 定 を行 います。リソース作 成 ウィザード の内 容 につきま しては以 下 のオンラインマニュアルの内 容 を確 認 してください。 リソース階 層 の作 成 リソース階 層 の拡 張 リソース作 成 時 全 てのサービス用 インスタンスへ拡 張 してください。 ここまでの時 点 でサービス用 インスタンスの LifeKeeper GUI のリソースは以 下 のようになっていま す。 図 8 Oracleリソース作 成 時 点 20. Route53 リソース階 層 と Oracle リソース階 層 の依 存 関 係 を作 成 します Oracle のリソース階 層 より先 に Route53 リソース階 層 が先 に起 動 するように依 存 関 係 を手 動 で SIOS Protection Suite for Linux クイックスタート ガイド Page 24 Chapter 4: 構 築 手 順 構 成 する必 要 があります。例 えば以 下 の図 のような階 層 を作 成 します。 図 9 Route53リソース階 層 とOracleリソース階 層 の依 存 関 係 例 この例 では LSNR.ORCL リソースの子 リソースに Route53 リソース階 層 を設 定 しています。 このように Oracle 関 連 のリソースよりも先 に Route53 リソース階 層 が起 動 されるように依 存 関 係 を構 成 してください。 手 順 は以 上 です。 導 入 作 業 の最 後 に、各 サービスを提 供 する上 で必 要 な動 作 確 認 等 を実 施 してください。切 り替 えなどを行 う 場 合 には、DataKeeper リソースのステータスが Source と Target になっていることを確 認 してください。 SIOS Protection Suite for Linux クイックスタート ガイド Page 25 Chapter 5: 関 連 する LifeKeeper リソースについて Chapter 5: 関連する LifeKeeper リソースについて 構 成 の概 要 で触 れたとおり、本 構 成 には 4 つの LifeKeeper リソースが利 用 されています。 それぞれの機 能 と動 作 概 要 は以 下 の通 りです。 Openswan リソース Route53 リソース EC2 リソース IP リソース Openswan リソース 動作概要 Region 間 の接 続 を行 うために必 要 な VPN 接 続 の監 視 を行 うリソースです。 Openswanリソースは、アクティブ・スタンバイ両 方 の VPN ト ンネルの接 続 性 について監 視 を行 っています。対 向 Region への接 続 には Openswan リソースのステータスが Active となっている VPN 用 インスタンス側 の VPN ト ン ネルを経 由 します。この時 の通 信 経 路 を決 定 しているのが、Route Table です。Openswanリソースの切 り替 え などに応 じて、必 要 なRoute tableの更 新 をEC2リソースが行 っています。 この時 の、EC2 リソースの動 作 については別 途 EC2 リソースの項 目 を参 照 してください。 Openswanリソースの監 視 とリカバリー動 作 Openswan リソースは Openswan によって構 築 された対 向 Region にあるインスタンスとの間 に構 成 された1つの IPsec-VPN セッションを保 護 することができます。リソースの監 視 内 容 として、以 下 のような処 理 をアクティブノー ド とスタンバイノード の双 方 で実 行 しています。 1. Openswan daemon のプロセス状 態 をチェックします。(このチェックで NG だった場 合 以 後 のチェックを行 わ ずその時 点 で障 害 と判 定 します。) 2. VPN ト ンネルを経 由 して対 向 VPN server の local IP に ping を送 信 し、応 答 があるかチェックします。 (最 大 応 答 時 間 はチューニング可 能 ) 3. openswan daemon のプロセス状 態 をチェックします。 4. ipsec コマンド を使 用 して、VPN ト ンネルが正 常 に張 られているかチェックします。 上 記 いずれかのチェックで NG と判 定 された場 合 、リソース障 害 と判 定 しリソースのリカバリ動 作 (ローカルリカバリ やフェイルオーバ) を行 います。 SIOS Protection Suite for Linux クイックスタート ガイド Page 27 Openswanリソースのチューニング項 目 アクティブノード またはスタンバイノード のどちらか、あるいは両 方 において障 害 と判 定 した場 合 には、ローカルリカ バリーを行 います。リカバリを実 行 した結 果 からフェイルオーバを行 う条 件 は以 下 となります。 l l l l アクティブノード 、スタンバイノード が共 にリカバリーに成 功 した場 合 は、ローカルリカバリーを成 功 としてフェ イルオーバは行 わない アクティブノード でリカバリが成 功 して、スタンバイノード で失 敗 した場 合 はローカルリカバリー成 功 として フェイルオーバは行 わない アクティブノード がリカバリに失 敗 して、スタンバイノード で成 功 した場 合 はローカルリカバリーに失 敗 したも のとして、リソースのフェイルオーバーを行 う。 アクティブノード スタンバイノード の両 方 でローカルリカバリーに失 敗 した場 合 には、ローカルリカバリーの処 理 としては成 功 した結 果 を返 してフェイルオーバーを行 わないようにします。そして、以 後 両 ノード 、また はどちらか一 方 の VPN ト ンネルが復 旧 できるまで監 視 とリカバリーが行 われます。 一 般 的 な LifeKeeper リソースの場 合 、ローカルリカバリに失 敗 した場 合 にはリソースをバックアップノード へフェイ ルオーバしますが、Openswan リソースは、アクティブノード とスタンバイノード の両 方 で VPN ト ンネルによる通 信 経 路 の保 護 を行 い、フェイルオーバによって通 信 を継 続 できる場 合 のみフェイルオーバを行 います。そのため、前 述 のようなフェイルオーバの発 生 条 件 となっています。 Openswanリソースのチューニング項 目 状 況 に合 わせて以 下 のチューニングを行 うことができます。チューニングを行 う場 合 には、両 ノード の/etc/default/LifeKeeperファイルに以 下 のパラメータを追 記 します。変 更 後 保 存 すると、即 時 その値 が有 効 となります。LifeKeeper や OS の再 起 動 は必 要 ありません。 パラメータ名 OPENSWAN_REMOVE_TIMEOUT OPENSWAN_PING_TIMEOUT デフォルト 値 説明 15 (秒 ) remove 処 理 のタイムア ウト 時 間 5 (秒 ) ping タイムアウト 3 (回 ) プロセス起 動 後 の VPN ト ンネル疎 通 確 認 の最 大 TRY 回 数 。 15 (秒 ) プロセス起 動 後 のVPN ト ンネル疎 通 確 認 のイン ターバル OPENSWAN_CHECK_TRY_COUNT OPENSWAN_CHECK_INTERVAL Route53 リソース 動作概要 Route53 リソースは、Region 間 でのサービスノード の切 り替 えが発 生 した場 合 、Route 53 と依 存 関 係 を持 つ IP リソースの仮 想 IP アド レスに対 応 するよう、Amazon Route 53 に対 してリソース作 成 時 の DNS A レコード の 登 録 や、切 り替 えに伴 う更 新 要 求 を行 います。 SIOS Protection Suite for Linux クイックスタート ガイド Page 28 Route53 リソースの監 視 とリカバリ動 作 Route53 リソースの監 視 とリカバリ動 作 Route53 リソースは作 成 時 に登 録 した DNS A レコード の取 得 と仮 想 IPアド レスとの関 連 づけの正 常 性 を監 視 しています。リソースの監 視 内 容 として、以 下 のような処 理 を行 っています。 1. Route 53 の A レコード で設 定 されているアド レスを API で取 得 します。取 得 に失 敗 した場 合 は、デフォ ルト で 2 秒 の間 隔 を置 いてから、情 報 の再 取 得 を行 います。3回 取 得 を試 行 して取 得 できなかった場 合 、ログに記 録 を残 し監 視 処 理 を終 了 します。 2. Route53リソースと依 存 関 係 がある IP リソースから IP アド レスを取 得 して、 Route53 の A レコード で設 定 されているアド レスと IP リソースの IP アド レスを比 較 します。一 致 した場 合 、正 常 であると判 断 して処 理 を正 常 終 了 します。一 致 しなかった場 合 、異 常 であると判 断 しリカバリを開 始 します。 Route53 リソースのチューニング項 目 状 況 に合 わせて以 下 のチューニングを行 うことができます。チューニングを行 う場 合 には、両 ノード の /etc/default/LifeKeeper ファイルに以 下 のパラメータを追 記 します。変 更 後 保 存 すると、即 時 その値 が 有 効 となります。LifeKeeper や OS の再 起 動 は必 要 ありません。 パラメータ名 ROUTE53_TTL デフォルト 値 10 (秒 ) 説明 TTL (秒 ) の設 定 値 。 2 (回 ) A レコード 更 新 時 の Route 53 API 通 信 のイ ンターバル 3 (回 ) A レコード 更 新 時 の Route 53 API 通 信 のト ライ回 数 20 (秒 ) Route 53 API 通 信 のス テータス確 認 時 のイン ターバル 4 (回 ) Route 53 API 通 信 のス テータス確 認 時 のト ライ 回数 2 (秒 ) A レコード の情 報 取 得 時 の Route 53 API 通 信 のインターバル 3 (回 ) A レコード の情 報 取 得 時 の Route 53 API 通 信 のト ライ回 数 ROUTE53_RECORD_INTERVAL ROUTE53_RECORD_TRY_COUNT ROUTE53_CHENGEID_INTERVAL ROUTE53_CHENGEID_TRY_COUNT ROUTE53_RECORDCHECK_INTERVAL ROUTE53_RECORDCHECK_TRY_COUNT SIOS Protection Suite for Linux クイックスタート ガイド Page 29 EC2 リソース EC2 リソース 動作概要 Openswan リソースと Route 53 リソースの子 リソースとして作 成 されるリソースです。 このリソースは各 インスタンス上 で動 作 するリソースが、AZ または Region を挟 んで切 り替 えが行 われた場 合 に、 通 信 を継 続 するために必 要 となるルーティング情 報 の更 新 を行 います。この基 本 的 な動 作 は、以 前 より提 供 している「Recovery Kit for EC2」の「ルート テーブルシナリオ」と同 等 となります。詳 細 につきましては、Recovery Kit for EC2 管 理 ガイド の情 報 をご確 認 ください。 EC2 リソースの監 視 とリカバリー動 作 Amazon EC2 API Tools を使 用 し、ルート テーブル内 にある保 護 されている IP ルート のターゲット がアクティブサー バの ENI に正 しく設 定 されていることを確 認 します。正 しいことが確 認 されない場 合 は EC2 のローカルリカバリプ ロセスを実 行 します。 EC2 リソースの切 り替 わりが発 生 した際 の route table の更 新 の動 作 Openswan リソースとともに作 成 される EC2 リソースは、対 向 Region への通 信 をする際 の出 口 となる ENI を更 新 し、Route53 とともに作 成 される EC2 リソースは AZ 間 で仮 想 IP アド レスが切 り替 えられた場 合 に、関 連 付 ける ENI の更 新 を行 います。 リソースの切 り替 えが発 生 した場 合 の route table の遷 移 例 は以 下 の通 りです。 1. 最 初 に図 3 のサービス用 インスタンスの LK_P_A で Route53 リソースが Active、VPN 用 インスタンスの VPN_P_A で Openswan リソースが Active であるとします。その場 合 、Route table は以 下 のような状 態 となります。(デフォルト で設 定 されている VPC と IGW の設 定 は制 御 対 象 ではないため省 略 します。) Destination Target Description Route53リソースがLK_P_A 上 でActive 10.1.0.10/32 LK_P_AのENI 10.2.0.0/16 VPN_P_AのENI OpenswanリソースがVPN_P_A上 でActive 上 記 と同 じVPN_P_A のENI OpenswanリソースがVPN_P_A上 でActive 172.17.0.0/24 2. この状 態 から、Openswan リソースが VPN_P_A から VPN_P_B へ切 り替 えられた場 合 、Route table は 以 下 のようになります。 Destination Target Description 1 の状 態 から変 化 なし 10.1.0.10/32 LK_P_AのENI 10.2.0.0/16 VPN_P_BのENI 切 り替 え先 のVPN_P_BのENIへ情 報 が更 新 される 172.17.0.0/24 VPN_P_BのENI 切 り替 え先 のVPN_P_BのENIへ情 報 が更 新 される 3. さらにRoute53リソースが LK_P_A から LK_P_B へ切 り替 えられた場 合 、Route tableは以 下 のようになり SIOS Protection Suite for Linux クイックスタート ガイド Page 30 IP リソース ます。 Destination 10.1.0.10/32 Target LK_P_BのENI Description 切 り替 え先 のLK_P_B上 で仮 想 IPを関 連 付 けるENIに情 報 が更 新 される 10.2.0.0/16 VPN_P_B のENI 2 の状 態 から変 化 なし 172.17.0.0/24 VPN_P_B のENI 2 の状 態 から変 化 なし このように切 り替 えに応 じて通 信 のTargetとなる情 報 をEC2リソースが更 新 を行 っています。 IP リソース 動作概要 LifeKeeper Coreに含 まれる IP Recovery Kit を使 用 して作 成 する、ノード 間 で切 り替 え可 能 な仮 想 IPアド レス です。これまで提 供 している IP リソースと大 きな変 更 点 はありませんが、EC2 Cross Region に対 応 するた め、Region が異 なる場 所 に拡 張 する場 合 に、拡 張 元 とは異 なる仮 想 IP アド レスとサブネット を設 定 できるよう になっています。 その他 、IP リソースの詳 細 につきましては、以 下 のオンラインマニュアルの情 報 をご確 認 ください。 IP Recovery Kit 管 理 ガイド SIOS Protection Suite for Linux クイックスタート ガイド Page 31 Chapter 6: 本 構 成 における設 定 および運 用 上 の留 意 点 Chapter 6: 本構成における設定および運用上の留意点 Quorum/Witness Server の利 用 を検 討 してください EC2 Cross Region を使 用 する環 境 では、Region を挟 んで HA クラスタを構 成 します。 Region 間 のコミュニケーションパスは、同 一 Region 内 のコミュニケーションパスと比 較 すると、途 切 れやすくなるこ とが想 定 されます。 そのため EC2 Cross Region 環 境 では、コミュニケーションパスの通 信 が全 て途 切 れてスプリット ブレイン状 態 に 陥 る可 能 性 が、一 般 的 な HA クラスタ構 成 よりも高 くなります。 これを踏 まえて、本 構 成 ではより安 全 に運 用 できるように、LifeKeeper の I/O フェンシング機 能 の一 つである Quorum/Witness Server の利 用 をご検 討 ください。 特 に、Quorum モード の TCP_REMOTE 設 定 を利 用 すれば、別 途 Quorum サーバを立 てずに I/O フェンシング 機 能 を実 装 できるため、クラウド 環 境 においては利 用 しやすいと考 えられます。Quorum/Witness の利 用 につい ては以 下 の URL をご確 認 ください。 Quorum/Witness Route53リソース起 動 にともなうレコードの更 新 に時 間 がかる場 合 があります Route53 のDNSレコード の更 新 の伝 播 速 度 に関 して、Amazonでは以 下 のような情 報 を提 供 しています。 Amazon Route 53 よくある質 問 Q: Amazon Route 53 上 の DNS 設 定 の変 更 はどのくらい速 く世 界 中 に広 まりますか? http://aws.amazon.com/jp/route53/faqs/ Route53 リソースでは Route53 API を使 用 してDNSへのレコード 更 新 の状 況 について確 認 していま す。INSYNC ステータスを得 られた場 合 には更 新 が完 了 したと判 断 し、PENDING ステータスが帰 ってきた場 合 には、更 新 状 況 の確 認 のリト ライを行 います。このような仕 様 のため、Route53 リソースの起 動 処 理 としては正 しくレコード 更 新 がかけられているにも関 わらず、DNS への更 新 情 報 の伝 播 に時 間 がかかった場 合 に は、Route53 リソースとしては起 動 失 敗 の状 態 になってしまう場 合 があります。 もし、Route53 リソースの起 動 に失 敗 した場 合 には、Route53 の管 理 コンソールをみてAレコード が正 しく更 新 さ れていることを確 認 してください。更 新 されている場 合 、サービス自 体 は正 しく提 供 できる状 態 であると考 えられ ます。もう一 度 LifeKeeper GUI から Route53 リソースを起 動 してください。 常 時 前 述 のようなケースで Route53 リソースの起 動 ステータスが失 敗 する場 合 に は、/etc/default/LifeKeeper ファイルの「ROUTE53_CHANGEID_TRY_COUNT」の値 をデフォルト の4 回 から 1 回 から 2 回 、回 数 を増 やす設 定 して、状 況 が改 善 するかご確 認 ください。この設 定 変 更 には LifeKeeper や OS の再 起 動 は必 要 ありません。 SIOS Protection Suite for Linux クイックスタート ガイド Page 33 Chapter 7: 既 知 の問 題 とト ラブルシューティング Chapter 7: 既知の問題とト ラブルシューティング LifeKeeper for Linux v8.3 リリース時 点 での情 報 はありません。 SIOS Protection Suite for Linux クイックスタート ガイド Page 35
© Copyright 2024 Paperzz