今回は構築後のサーバ詳細をご紹介したいと思います。
サービス内容にCentOS 5と記載していますが、いくつか手を加えています。

OS詳細

1. Version: 5.5
2. kernel: 2.6.18-194.el5xen

iptables

1. icmp
2. stateがESTABLISHED,RELATEDなもの
3. ssh
4. http
5. https

他にもいくつかはありますが、大きくはこれらが標準で設定されています。
上位ネットワークでのプロトコル、ポート制限はありません。

DNS

1. 内部向け用のDNSサーバを提供しています。（DHCPにて割り振られます)

yum

1. /etc/yum.repos.d/CentOS-Base.repo のbaseurlをグローバルIPがないインスタントプランC用に書き換えています。
   オリジナルは/etc/yum.repos.d/CentOS-Base.repo.orig にありますので、必要に応じて入れ替えてください。

ユニットホスティングの管理画面のご利用法について

ユニットホスティングログイン画面
※ ユニットホスティングのご利用お申込みがまだの方はこちらへ

ログイン画面

こちらにお申し込み時の希望IDとパスワードを入力してログインを実施ください。
ログインが完了すると下記のマイページとなります。
お申し込み時は100ポイントが無料で追加されております。

マイページサンプル

では実際にサーバを作成してみたいと思います。
下記の赤丸の”サーバ”にアクセスください。

マイページ-サーバ作成サンプル

すると、下記のサーバグループの画面にアクセスできますので、次に赤丸の”サーバ追加”にアクセスください。

サーバーグループサンプル1

※ サーバグループはユニットホスティング管理画面上での管理区分です。他のグループのサーバとも正常にアクセス可能です。
※ また、このサーバグループの名前は後からでも変更可能です。

“サーバ追加”にアクセスすると、下記のようにサーバ追加の入力画面が表示されます。

サーバ追加サンプル

• 名前: ユニットホスティング管理画面上での名前となり、実際のサーバには影響を与えません。
• サーバグループ: 前述の通り、ユニットホスティング管理画面上での管理区分です。
• プラン: 各プランの詳細もご参照ください。
  • スマートプランA: インスタントプランAを月額契約することにより、インスタントプランAの月額使用よりも安い価格プランとなります。
  • スマートプランB: スマートプランAをカスタマイズしてスペックアップするよりもさらに安い価格プランとなります。
  • インスタントプランA: グローバルIPがついて、外部インターネットとの相互アクセスが可能な時間毎課金のプランです。
  • インスタントプランC: グローバルIPがなく、ユニットホスティング内部間のアクセスのみが可能な時間毎課金のプランです。
• SSH2 public key (OpenSSH形式): 作成するサーバにSSHでログインする際のSSH公開鍵になります。
  パスワードログインはセキュリティの観点からなしにさせていただいております。
• ユーザスクリプト URI: 使用例
  サーバのOSインストール後に実行するシェルスクリプトを指定できます。定型作業時等に便利です。

入力を終えて”確認”ボタンを押すと下記の確認画面となります。

サーバ作成確認 サンプル

内容に問題がなければ”作成”を押してください。
※ ここでボタンを押した段階でサーバ作成と課金がスタートいたしますので、ご注意ください。

作成を押すと、下記の完了画面が表示されます。

サーバ作成完了

画面にも表示されています通り、rootパスワードはこの画面で表示された後は再発行・再表示はできませんので大切に保管ください。

“追加したサーバ”のボタンを押しますと、下記の画面となり、しばらく”インストール中”となります。

サーバ情報サンプル

インストールが終わりますと、動作中となりますので”サーバ”の”ssh uhuser@210.171.134.177″の画面表示に従ってログインください。
※ 実際のグローバルIPは異なりますので、画面に表示されるものに従ってログインください。

LVSの冗長構成化までを記載しましたので、今回は各サービスのバランシング設定についてを
記載します。

今回はlvs01, lvs02共に共通設定です。
設定を片方入れ忘れたりすると、Fail Overした際に一部サービスが停止したり、
人為的な運用トラブルを起こします。
設定を共有することもできますが、誤った設定で起動した際に全てのサービスが停止することから、
ミドルウェアにconfig check等の機能がない場合は片系試して設定を同期することを推奨しております。

LVSにhttpサービスを追加

• /etc/keepalived/keepalived.conf

• ############################################
  # 210.171.134.231:80
  #   -> web01, web02
  ############################################
  
  virtual_server 10.12.0.231 80 {
      delay_loop 6
      lvs_sched lc
      lvs_method NAT
      nat_mask 255.254.0.0
      persistence_timeout 0
      protocol TCP
  
      real_server 10.10.200.101 80 {
          weight 128
          inhibit_on_failure
  
          TCP_CHECK {
              connect_port       80
              connect_timeout     5
              nb_get_retry        1
              delay_before_retry  2
          }
      }
  
      real_server 10.10.200.102 80 {
          weight 128
          inhibit_on_failure
  
          TCP_CHECK {
              connect_port       80
              connect_timeout     5
              nb_get_retry        1
              delay_before_retry  2
          }
      }
  }
  

今回のサービス死活監視はTCPの80番ポートで通信が可能かどうかのチェックにしていますが、
keepalivedではHTTP_GETなどでHTTPステータスコードが200かどうかなど、細かく制御
可能ですので、どの程度になったら切り離すべきか、サービス要件にあわせて決定します。

個別サーバへのNAT

例えばSSHや、バックエンドアプリケーションなどのサービスを提供する際にバランシングは不要だが、
特定のサーバにアクセスを回したいという場合があります。
そう言った場合にもバランシング設定で1台固有にするというのもありですが、スケールアウトする可能性が
ないのであれば、管理上の面からNATで直接通信をまわしてしまうほうがよいでしょう。

例としてVIPへのSSHアクセスをweb01にまわす設定を記載します。
※ 前回の設定分はあえて記載していませんが、削除するとPrivate Network から外部に接続できませんのでご注意ください。

• /etc/sysconfig/iptables

• *nat
  # for virtual server
  -A PREROUTING -d 10.12.0.231 -p tcp --dport 22 -j DNAT --to 10.10.200.101
  COMMIT
          

keepalived のreload

• /etc/init.d/keepalived reload
• /sbin/ipvsadm -L -n

Prot LocalAddress:Port Scheduler Flags
  -> RemoteAddress:Port           Forward Weight ActiveConn InActConn
TCP  10.12.0.231:80 lc
  -> 10.10.200.101:80              Masq    128    0          0
  -> 10.10.200.102:80              Masq    128    0          0

後は実際にアクセスしてみて振り分けされているかどうか確認し、正しく冗長構成が行われているかどうか
じっくり確認します。