DSASのロードバランサは高価なアプライアンス製品ではなく、LinuxのLVS (Linux Virtual Server)を利用しています。 安価、というか、ハードウエア以外は金銭的コストがゼロなので、一般のクライアントからのアクセスを受ける外部ロードバランサのほかに、内部サービス用のロードバランサも配置しています。それぞれactive, backupで2台ずつあるので合計で4台もロードバランサがあることになります。(こんな構成を製品を使って組んだら数千万円すっとびますね) また、ネットワークブートでディスクレスな構成にしているので、ハードディスが壊れてロードバランサがダウンした、なんてこともありません。 ですので「ロードバランサは高くてなかなか導入できない」という話を耳にする度にLVSをお勧めしているのですが、どうも、 なんか難しそう ちゃんと動くか不安 性能が出ないんじゃないか 等々
インターネット上のシステムに対する不正侵入が後を絶たない。筆者の職場であるセキュリティ・オペレーション・センター(以下,SOC)では,一日に10件以上の不正アクセスによる侵入の試みを観測している。また,インターネットセキュリティシステムズの監視サービスを利用している企業・組織のシステムの8割以上において,何らかの侵入行為の兆候が観測されている。 情報システムが事業の重要な基盤となっている現在では,不正アクセスは,企業経営に直接的な影響を与える可能性が高い。例えば,2005年に不正アクセスを受けたカカクコムでは,2005年度の決算において,Webサイトの一時閉鎖にかかわる特別損失4100万円[注1]を計上している。 注1)関連記事:個人情報漏えい事件を斬る(7):特損4100万円「価格.comショック」の舞台裏 すべての企業がこのように直接的な影響を受けるとは限らないが,実際に侵入行為を受け
この節では、Linuxの基本コマンドについて解説します。 Linuxの基本コマンドは、殆どがUNIXのコマンドと同等です。既にご存知の方は、この節は読み飛ばしてかまいません。「2.7.1.3.viエディタ」に進んでください。 何らかの理由により実行中のコマンドを途中で終了したい場合は、「Ctrlキーを押しながらCキーを押す」(今後このようにCtrlキーを押しながら何かのキーを押す動作は、Ctrl+Cのように表記します)ことにより終了できます。但しコマンドによってはCtrl+Cでは終了できないものもあります。このような場合には、後述するkillコマンドで終了してください。 下記の基本コマンドを解説します。全部を読むのは大変ですので、必要な時にコマンドリファレンスとして利用する程度でもいいかもしれません。 kon, man, mkdir, cd, rmdir, pwd, ls, cp,
Debianサーバ構築運用ガイド:このサイトの紹介マイクロスクラッチ法(JIS R-3255)に準拠した薄膜の密着強度試験機です。 剥離の検出が困難であった柔らかい膜も、フーリエ変換により、検出精度を向上しています。
Apacheをセキュアにするモジュールで「mod_security」というのがあるそうで。いわゆるWeb Application Firewall (WAF)というものに分類される仕組みなのですが、非常に機能が強力。ヘッダ、GET、POST、レスポンスを含むINとOUTの全リクエスト(HTTPS含む)に対してフィルタリング可能。通常では記録されないPOSTのログも記録可能。 で、この機能を使えばトラックバックスパムもサーバ側で始末できるので、PHPなどが動いて判定する前に処理でき、トラックバックスパムによる負荷が軽くなるというわけ。 設定の詳細などは以下の通り。mod_security用のブラックリストもダウンロードできるので設定も簡単です。 公式サイトは以下。 ModSecurity (mod_security) - Open Source Web Application Firewal
おやじのサーバは、家族以外に開放しているわけでもないのですが、家族が勝手に CGI を置くことと、万が一のことを考え suEXEC 環境に移行することにしました。他人にサーバを貸す場合は、ユーザの利便性を保ちつつセキュリティや事故を防止する方法として WWW サーバを suEXEC 環境で動作させるのは非常に有効です。但し、いくつか制約が出てくるので、現用サーバを移行する場合は、十分テストしてから移行することを薦めます。設定ミスだけではなく、プログラムによっては、切り替えた途端に動作しなくなる場合もありますので注意が必要です。 通常、CGI や SSI を実行する場合、WWW サーバと同じユーザ ( apache や nobody 等 )で実行されます。 十分に試験された、あるいは広く流通している CGI ではあまり問題はないでしょうが、ユーザが作成した CGI や SSI を実行した場
巷で超高速 Web サーバとして話題になっている lighttpd を試してみました。lighttpd に関する日本語ドキュメントは非常に少なく、ちょっと込み入った設定ファイルの記述方法とかの解析に手間取りました。 lighttpd のコンセプトは、「セキュアで省メモリで高速に動作し、柔軟性もある」なのですが、「lighttpd 公式サイトのベンチマーク結果」や「UnknownPlace. - Catalyst ベンチ」で簡単な Catalyst - Hello.cgi のベンチマークが公開されているとおり、Apache 1系、Apache 2系よりも高速に動作するようです。特に static なページの処理は Apache の 2〜3 倍程度は高速に処理できるみたいです。 また注目すべき点として、Apache + mod_perl よりも lighttpd + FastCGI の方が1割
KeepAliveの設定 HTTPはステートレスプロトコルです。クライアント/サーバ間のTCP接続を永続させず、要求に応じて接続の開始/切断を行います。しかし、Webページは通常HTMLドキュメントや画像など、複数のファイルで構成されています。クライアントが1つのWebページを取得する間に、ファイルごとにTCP接続の開始/切断を行うのは大変非効率的です。そこで、KeepAliveを利用して1つの接続を使い回し、複数のリクエストに応えられるようにします。 KeepAliveの動作にかかわる重要なパラメータが以下に挙げる3つのディレクティブです。 KeepAlive 「On」にすることで、KeepAliveを有効にします。 現在使用されているWebブラウザはApacheのKeepAliveに完全に対応しているため問題はありませんが、マイナーなクライアントや古いバージョンのWebブラウザではAp
というわけで、再び負荷を下げる方法を模索した、戦いの記録。 1.MySQLの設定を変更して高速化 2.Zend Optimizer 3の導入 3.ionCube PHP Acceleratorの導入 4.テンプレートの見直しでクエリーを減らす 5.robots.txtでクロールする間隔を制御する 6.MySQLの設定を負荷を低くする設定に変更 7.キャッシュを有効化する 前回解説した「GIGAZINEのLoadAverageを「27」から「2」へ下げた方法」から約3週間後、6月20日(火)の夜、気がつくと負荷の15分平均は「25」をコンスタントに吐き出すようになり、さらに訪問者は急増、ついに6月28日(水)12時45分、負荷対策の効果がほとんど出ないまま、LoadAverage15分平均は「86」に…。 何か対策が根本的に間違っているのだろうか?それとも、もうGIGAZINEサーバのハード
ここ3日間ぐらい超絶な重さだったのはサーバに物理的トラブルが発生したからではなく、単純に閲覧者数が満員御礼となり、各時間で倍増したためです。LoadAverageはひどいときで15分間の平均値「27.1」程度。瞬間最大風速だともっと高いです……明らかにまずい。 というわけで、Apacheのデフォルト設定で今までは大丈夫だったのですが、ついに高負荷サイト用の設定に変更せざるを得なくなりました。 そのため、実際に行った対処方法は以下の通り。1日30万PV近い動的サイトの高負荷を緩和させる方法として参考になれば幸いです。 まず大前提として、既にDNS逆引きや.htaccessの余計な読み込みなどは停止させていました。下記ページに書いてあることは実行済み。 @IT:Apacheパフォーマンス・チューニングの実践(1/2) この状態で負荷が15分平均で「27」になっていたわけです。 また、LoadA
« brainf*ck でマジメに素数探索 | メイン | Brainf*ck で動的リスト » 2006年06月29日 DNS ラウンドロビンと高可用性 (High Availability) ウノウラボ Unoh Labs - ベンチャー流サーバ構築のススメ(ネットワーク編) について。 おもしろく読ませていただきました。また、監視系を導入せずに自律的に動作させようという発想も大好きです。 でも、 DNSは各回線の内側に設置しておきます。例えば上図のような場合、回線A側のDNSは回線AのIPアドレスを返すようにして、回線B側のDNSは回線BのIPアドレスを返すようにします。こうするとどちらかの回線が切れたときは切れたほうの回線のDNSにアクセスできなくなるので、自動的に生きている方の回線に接続されるようになります。 (ウノウラボ Unoh Labs - ベンチャー流サーバ構築のススメ(
尾藤正人です。 前回のエントリ ベンチャー流サーバ構築のススメ(ハードウェア編) では多くのコメント、トラックバック、ブックマークをしていただきました。ありがとうございます。僕自身多くのことで勉強になりましたし、新たな発見もありました。 技術は公開、共有して発展するものだと思っていますので、自分の無知をさらけ出すのを恐れずにいろいろ公開して、自分自身も成長していければと思っています。 今回はサーバ構築するときのトピックとして、どのようにネットワークを構築したかを書いてみます。 サーバ構築に限ったことではありませんが、重要なのは質を下げずにコストを下げることです。ネットワーク部分でお金がかかるのは回線ぐらいですから、ネットワーク周りで重要なのは人的コストを下げること、つまり管理コストを下げることです。 ・回線は2回線以上用意する 2回線以上用意するのは高可用性を確保するためです。通常は全ての
尾藤正人です。 ウノウでは最近新オフィスに引越ししたのですが、新オフィスにサーバルームを設置してフォト蔵のサーバをホスティング業者から自社サーバに移行しました。 自社サーバに移行のは下記のような理由からです。 フォト蔵のようなストレージ系のサービスの場合、十分な帯域を確保する必要があるが、広帯域を確保するにはコストがかかる フォト蔵のようなストレージ系サービスの場合、大容量のHDDが必要になるが、大容量のHDDを搭載したマシンはハイエンドマシンになり、増設コストがかかる マシンの増設に時間がかかりフレキシブルに対応できない というわけで自社サーバに移行したわけですが、自社サーバに移行するにあたって様々なノウハウがたまってきました。 サーバ構築にはいろいろトピックスがありますが、今回はハードウェア的な部分について書きたいと思います。 ・マシンは全て同じ構成にする 数多くのサーバを運用するに
メールの暗号化の秘密鍵と証明書は、Webページの暗号化で作成した物を使用する様に設定します。(重複管理を避ける為) Webページの暗号化で使用する秘密鍵と証明書とメールの暗号化で使用する秘密鍵と証明書を分けたい場合は、各々のパスに保存し、これから紹介する設定部分を置き換えてください。 サーバ証明書とサーバ秘密鍵をpostfixで使用するため、シンボリックリンクを貼る Webサーバ証明書にシンボリックリンクを貼る # ln -s /etc/httpd/conf/server.crt /etc/postfix/server.crt Webサーバ秘密鍵にシンボリックリンクを貼る # ln -s /etc/httpd/conf/server.key /etc/postfix/server.key postfix設定ファイル編集 # vi /etc/postfix/main.cf 最終行に以下を追加
Windows環境でのいろいろなサーバソフトの動作確認をするため、クライアントにApacheを入れていますが、SSL対応ができておらず不便なので対応させてみました。Apache+SSLのWindows版に関してはインターネット上にいろいろ情報はあったのですが、1.3系が主体で情報が古く、2.0系ではうまく動作しませんでした。いろいろ調査した結果、何とか動作するようになったのでここにまとめておきます。 なお、Apacheでは、SSLの運用形態の一つとして単に情報の暗号化を行うだけでなく、認証局(ここではプライベートCAを利用)で認証したクライアント証明書を使用することにより、その証明書を持ったクライアント以外からのアクセスを制限することができます。運用は煩雑になりますので、特別なケースでの運用形態と思われますが、より強力なセキュリティアクセスが可能となります。自宅サーバでも、ローカルな運用に
自宅のサーバに立てている SSL 認証局が発行する証明書,いわゆる「オレオレ証明書」の期限が切れていた。証明書を作ったのは昨年2005年4月4日で,有効期間を365日としていたので,今年の4月4日で期限が切れていた(nlog(n): SSL の設定)。更新しなければならない。秘密鍵を忘れてしまったので,最初からやることにする。前回と同様に証明書を埋め込むことにする。 # cd /usr/local/ssl # ./CA -newca mkdir: ディレクトリ `./demoCA' を作れません: ファイルが存在します mkdir: ディレクトリ `./demoCA/certs' を作れません: ファイルが存在します mkdir: ディレクトリ `./demoCA/crl' を作れません: ファイルが存在します mkdir: ディレクトリ `./demoCA/newcerts' を作れませ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く