権威DNSサービスへのDDoSとハイパフォーマンスなベンチマーカ | さくらのナレッジ
さくらインターネットの長野です。CPAN IDはKAZEBURO、TwitterやGitHubも@kazeburoでやっています。 現在は、さくらインターネット株式会社 クラウド事業本部のSRE室というところで室長をやっています。SRE室については、今年2月にさくナレに掲載した「DNS権威サーバのクラウドサービス向けに行われた攻撃および対策 〜前編〜」にて紹介していますので、そちらをご覧ください。 余談ですが、2006年までは(本日の会場である)京都リサーチパークの4号館で働いていました。あれから16,7年経ってここで発表しているのは個人的にとても感慨深いです。 さて本日は「権威DNSサービスへのDDoSとハイパフォーマンスなベンチマーカ」というタイトルで発表させていただきます。SRE室では既存のクラウドサービスの開発運用にも携わっており、そのうちの一つに起きた実際の話からつながっています
DNS権威サーバのクラウドサービス向けに行われた攻撃および対策 〜後編〜 | さくらのナレッジ
さくらインターネットのSRE室で室長を務めている長野です。 前編の記事では、DNSサーバへの攻撃手法や、実際に発生したさくらのクラウドのDNSアプライアンスへの攻撃の様子を紹介しました。それに続く本記事では、このような攻撃に対してどのような対策を行ってきたかを紹介します。 水責め攻撃への対応と対策 ではここから、最初の攻撃が去年の夏にあってから、どういう対応と対策をしてきたのかを紹介したいと思います。 スタンバイ側のVRRPデーモンの停止 初回を思い出すと、CPU負荷が非常に上がり、100%近いCPUを使うようになって名前解決が遅延し、タイムアウトしたというのが、最初のアラートとして上がりました。 その中でよくよく調べると、VRRPで冗長化をしているのですけれども、その切り替えがパタパタ発生していたんですね。PowerDNSが落ちてしまった、タイムアウトしたというので切り替わります。ところ
DNS権威サーバのクラウドサービス向けに行われた攻撃および対策 〜前編〜 | さくらのナレッジ
長野雅広といいます。 Twitter / GitHub は @kazeburo というIDでやっておりますので、フォローいただけたらと思っております。 現在はさくらインターネット株式会社のクラウド事業本部 SRE室というところで室長を務めさせていただいております。 ずっとWebアプリケーションの運用やSREをやっておりまして、ISUCONの本を書いたりもしているのですけれども、JANOGは実は初めての参加になりますので、ぜひよろしくお願いいたします。 今回は、DNS権威サーバのクラウドサービス向けに行われた攻撃および対策について、お話しさせていただきます。 SRE室の取り組み SRE室がどんなことをやっている部署かという話ですが、2022年7月、去年の夏に発足した、新しめの部署になります。ミッションとして、クラウドサービスの信頼性を高めるとか、お客様や社会のDXをしっかり支えるということを
マネージドMariaDBサービスの設計と仕組みについて | さくらのナレッジ
概要 こんにちは。 さくらインターネット株式会社 クラウド事業本部 SRE室の菅原大和(@drumato)です。 本記事では、先日「さくらのクラウド Labプロダクト」としてリリースされた、「エンハンスドデータベース」のMariaDB版について、その背景や目的、設計や仕組みについてかんたんに紹介します。また後半では、SREsの私が現段階の運用をどう改善し、どう今後の方針を組み立てているのかについて共有します。 リリース内容についてはこちらのニュースページをご覧ください。 https://cloud-news.sakura.ad.jp/2023/05/18/enhanceddb-mariadb-lab-release/ 本記事全体を通して、MariaDB版エンハンスドデータベースの利用方法等については解説しません。よろしければ以下の公式マニュアルをご覧ください。 https://manual
不正アクセスからサーバを守るfail2ban。さくらのクラウド、VPSで使ってみよう! | さくらのナレッジ
こんにちは。さくらインターネットの前佛です。 今回は、サーバのログファイルを自動スキャンして、悪意のある SSH 通信を自動遮断するツール fail2ban の概要と使い方をご紹介します。 日々、不正アクセス インターネット上のサーバは、SSH や HTTP など、公開しているポートに対する不正アクセスの試みに日々晒されています。不正アクセスは悪意を持った人からの攻撃だけではありません。マルウェアやワームなど、いわゆるボットからの攻撃にも日々晒されているのです。 そのため、誰でもアクセス可能なパブリックな環境にサーバを公開する場合、セキュリティに対して細心の注意を払う必要があります。 たとえば、近年話題になっている Linux 向けのマルウェアとしては XOR.DDoS が有名です。これは root ユーザのパスワードに対する総当たり攻撃(broute-force attach)を試みます
高機能ハニーポット(T-Pot 22.04)をさくらのクラウドに構築して攻撃を観測する | さくらのナレッジ
はじめに 皆さんはハニーポットというのはご存知でしょうか。ハニーポットとは、悪意のある攻撃を受けるように設計された「罠」や「おとり」になるサーバーやネットワークのことです。最新のサイバー攻撃やマルウェアの動向を探ったり分析したりするために用いられるものです。 T-Potとは T-Potは主にDockerを用いて構成されているマルチハニーポットプラットフォームで、様々なツールや罠が用意されています。複雑な設定を必要としないにも関わらず様々な機能を利用できるのが特徴です。ただしその分、要求スペックが高いのもまた特徴です。 T-Potはあくまでマルチハニーポットプラットフォームであり、複数のハニーポットを集めたものになります。以下の画像を見るとどのようなハニーポットがどこのポートでListenされているかわかります。 今回はこのT-Potをさくらのクラウド上に設置してサイバー攻撃を観測してみたい
サーバーのエラーログを自動的にSlackに送信する方法 | さくらのナレッジ
はじめに この記事では、サーバーのエラーログを自動的にSlackに送信する方法を紹介します。方法はいくつかありますが、以下の手順を参考にしてください。 SlackのWebhook URLを取得する まずは、エラーログを送信するSlackチャンネルに対応するWebhook URLを取得します。SlackのWebhook URLは、チャンネルに対して特定のアプリケーションやサービスがメッセージを投稿するためのURLです。 Webhook URLは、Slackの管理画面から作成することができます。以下の手順を実行してください。 Slackにログインします。 画面左側のメニューから「App」を選択し、アプリの管理画面に行きます。 画面上部の検索窓に「Incoming」と入力すると、「利用可能なアプリ」の候補に「Incoming Webhook」が現れます。 「Incoming Webhook」の「
さくらのクラウドシェルにおけるK8s運用事例 | さくらのナレッジ
さくらインターネットの知名度向上のため、これまでのサービス形態と異なった形でユーザに提供してみようとなったわけです。そこでこれまでの会員IDでの利用形態に加え、会員登録なしで(事前準備なしで)利用可能なサービスとしてクラウドシェルをリリースしようと考えました。 また次のようなさくらインターネット側のニーズもありました。 さくらインターネットは社内でコンテナ技術を用いたサービスを何度か検討していましたが、なかなか正式運用まで至りませんでした。コンテナ技術やこれを利用するK8sといったオーケストレーションシステムの運用知見及び実績を積み、より良いサービス提供を目指したいと考えました。 さくらのクラウドシェル そして、これらのゴールをクラウドシェルで実現しようということになりました。 さくらのクラウドシェル(以降クラウドシェル)は、その名のとおりブラウザで利用可能なシェル環境です。手元の環境に不
2010年代のEmacs入門 | さくらのナレッジ
高機能エディタとして長らくエンジニアに使われているEmacsだが、2016年9月にはついにバージョン25系の安定版がリリースされた。Emacsというとすでに主要な機能は実装され尽くされており安定しているというイメージもあるかもしれないが、現在でも数年おきにメジャーアップデート版がリリースされており、地味に機能が強化され続けている。本記事では昨今のEmacsの状況や基本的な設定例を紹介していく。 まだまだアップデートが続けられているEmacs 昨今ではさまざまなテキストエディタが開発されているが、Linux/UNIX環境において特に有名なのがGNU EmacsとVi(Vim)だろう。EmacsはGNUプロジェクト(GNU's Not Unix、フリーソフトウェアとして提供されるOS環境を開発するプロジェクト)やFSF(Free Software Foundation、フリーソフトウェアの推進
さくらの専用サーバPHYとその裏側 〜物理ホスティング環境構築自動化の取り組み〜 (後編) | さくらのナレッジ
この記事は2020年10月23日に行われたオープンソースカンファレンス2020 Online/Fallにおける発表を文章化したものです。 さくらインターネットの井上です。本記事では、最近リリースした新サービス「さくらの専用サーバPHY」の紹介と、その裏側、中でも主に物理サーバーやネットワーク環境の構築自動化の取り組みについてご紹介します。前編ではサービスのご紹介、およびサービス提供までの流れと、機器の設置・配線に関してご説明いたしました。それに続く後編(本記事)では、機器のセットアップ、監視、バックアップといった環境構築の自動化についてご説明します。 設置した機器のセットアップ 前編では機器をラックに設置し配線するまでをご説明しました。機器をラックに搭載した後は、セットアップを行います。セットアップはDHCPを起点としておりまして、その理由はほとんどの装置において管理用インターフェースの初
さくらの専用サーバPHYとその裏側 〜物理ホスティング環境構築自動化の取り組み〜 (前編) | さくらのナレッジ
この記事は2020年10月23日に行われたオープンソースカンファレンス2020 Online/Fallにおける発表を文章化したものです。 さくらインターネットの井上と申します。私はクラウドサービス部という部に所属しておりまして、主にさくらの専用サーバ関連の業務に従事しております。本記事では、最近リリースした新サービス「さくらの専用サーバPHY」の紹介と、その裏側、中でも主に物理サーバーやネットワーク環境の構築自動化の取り組みについてご紹介します。記事は2本あり、前編となる本記事ではサービスの紹介およびサービス提供までの流れ、および機器の設置・配線に関してお話しさせていただきます。 物理サーバーホスティングは創業期からのサービス 「さくらの専用サーバPHY」は物理サーバーのホスティングサービスです。物理サーバーのホスティング事業は弊社創業期から続いているサービスでして、1997年には専用サー
さくらのVPSでロードバランサを使う方法 | さくらのナレッジ
こんにちは。さくらインターネットの大喜多です。 今回はさくらのVPSを使って複数のWebサーバを構築し、ロードバランサを使ってWebサーバへのアクセスを分散させる方法についてご説明したいと思います。 はじめに さくらのVPSは、専用サーバの自由度とクラウドの拡張性を合わせもつ、月額585円(税抜かつ記事執筆時点の価格)から使える仮想専用サーバサービスです。この記事ではさくらのVPSを使って複数台のWebサーバを構築して、同じさくらインターネットが提供するさくらのクラウドの中の一機能であるエンハンスドロードバランサを使って負荷分散をする手順についてご紹介します。 エンハンスドロードバランサとは HTTPおよびHTTPSに特化したプロキシ型のロードバランサです(TCPでのロードバランシングも可能ですが、Let’s Encrypt証明書設定やレスポンスヘッダ設定などのL7関連機能はご利用いただけ
さくらの新サービス??Dockerコンテナホスティングサービス Arukas(アルカス)をご紹介! | さくらのナレッジ
こんにちは! Arukas 担当の山田です! 今回は、Dockerコンテナホスティングサービス『Arukas(β版)』のご紹介です! はじめに これまでのサーバの初期セットアップ作業というと、Ansible や Chef のような構成管理ツールを使用するであるとか、代々受け継がれる秘伝のシェルスクリプトを適用するであるとか、誰かがwikiに書いたメモをひたすらコピペしてコマンドを投入していくようなセットアップ作業が一般的でした。 シェルスクリプトはちょっとしたセットアップ作業には向いてます。 しかし、サーバの種類やOSが増えるとともにコードが増加しやすく、コードに一文字の誤りがあるだけでも実行途中でセットアップが中断してしまいます。スクリプトが中断された場合には該当箇所を修正してからスクリプトを再実行。運が悪ければ、OSの再インストール作業からやり直しです。セットアップが必要なサーバが一台
インフラ・サービス監視ツールの新顔「Prometheus」入門 | さくらのナレッジ
サーバーやインフラなどの監視ツールの1つとして最近注目されているのが「Prometheus」だ。Prometheusはインストールや設定が容易で、かつ十分な機能を持ち管理しやすいという特徴を持つ。本記事ではこのPrometheusの導入方法、基本的な監視設定の流れを紹介する。 クラウド時代の監視管理ツール ネットサービスを運営する場合、そのサービスを運営するソフトウェアやサーバー、ネットワーク機器などの状況を監視する手段を用意するのが一般的だ。監視を行い、意図しない状況になったら自動的にメールなどで通知を行うシステムを構築することで、問題をいち早く解決できるようになる。さらに、サービスやマシンの稼働ログを適切に記録することで潜在的な問題を事前に見つけたり、最適化に向けた分析を行うといったことも可能になる。 監視や問題発覚時の通知などを行うオープンソースのツールとしては、過去にElastic
PHPアプリケーションのデプロイにぴったりなDeployerを試す | さくらのナレッジ
今や開発環境はローカルにあるのが一般的です。OSを合わせたい場合でもVMを使えば簡単に実現できます。問題はコードが書き終わった後のデプロイではないでしょうか。どのサーバにどのコードを反映し、どんなタスクを実行するのか、ライブラリの変更があるのかなどを適切に管理する必要があります。 Ruby/Ruby on Rails界隈ではCapistranoというソフトウェアが使われることが多いです。Capistrano自体は汎用的なデプロイツールですが、PHPであればやはりPHP製のツールの方が分かりやすいでしょう。そこで今回はDeployerというPHP製のデプロイツールを紹介します。 Deployer — Deployment Tool for PHP Deployerのセットアップ Deployerはとても簡単にセットアップできます。本体をダウンロードして、パスの通ったところに配置するだけです。
これから始める「DockerでかんたんLAMP環境 for CentOS」 | さくらのナレッジ
昨年からImmutable Infrastructureという言葉が出始めて、サーバーを簡単に作って壊すという潮流が出始めました。また、サーバー管理を簡単にするツールとしてDockerというものが脚光を浴びており、いまどきのサーバー管理者に受け入れられてきました。 今回は、そのDockerをインストールしてLAMP環境を構築するステップを見ていきたいと思います。 Immutable Infrastructureとは? IaaS型のクラウドやVPSの台頭によって、簡単に仮想サーバーが立ち上げられる環境が整ってきました。 とはいえ、サーバーの立ち上げをするのはシステム構築時と、システム規模を大きくする時に限られ、サーバーの動作を変えたり、アプリケーションのアップデートをするときは、稼働しているサーバーの中身を修正するというのが従来のやり方でした。 しかしImmutable Infrastruc
柔軟なログ収集を可能にする「fluentd」入門 | さくらのナレッジ
複数台のサーバーやクラウド環境を組み合わせてのサービス運用においては、ログの収集方法に工夫が必要となる。こういった場合に有用なのが、さまざまなログの収集手段を提供するfluentdだ。今回はfluentdのアーキテクチャやそのインストール/設定方法、基礎的な設定例などを紹介する。 さまざまな方法でログを収集できるfluentd 今回紹介するfluentdは、Treasure Dataが開発するログ収集管理ツールだ(図1)。オープンソースで公開されており、Linuxや各種UNIXで動作する。 図1 fluentdのWebサイト ログ収集のためのソフトウェアとしてはsyslogdやsyslog-ngなどが有名だが、fluentdがこれらと異なる点としては、以下が挙げられる。 さまざまなソースからのイベントをさまざまな媒体に出力できる fluentdの大きな特徴としては、ログの収集方法やログの記
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
