第7回 OpenStack 勉強会に参加してきました。 開催日 : 2012年08月28日 開催場所 : 天王洲アイル ビットアイル 1年以上前から OpenStack, CloudStack 界隈はウォッチしていたのだけど、実際に構築 してってなると、今月始めばかりで、OpenStack も先週4日間掛けてやっとこさ構築出来たっ てところ…orz。前回のブログ記事でへなちょこスクリプト公開しちゃったのを後悔しつ つ現地に向かいましたw あと、その他に Opscode Chef 等の技術にも興味持って調査し ていたので、今回の勉強会はまさに直ぐに活かせる内容だった。 では早速、報告があった内容と自分の感想を交えつつ書いていきます。 HP さんのクラウドサービス HP Cloud Services 日本 HP 真壁さま HP さんは既に Public クラウドサービスを提供し始めていて Ojbect Storage, CDN 部 分は既にリリース済みだそうだ。compute, block storage 等はベータ版状態でこれか らリリース。OpenStack ベースな構成で Horizon 部分は自前で開発したもの。既 にサーバ数は万の桁まで到達！ MySQL な DaaS も登場予定だとか。 あと HP だけにクラウドサービスに特化したサーバ機器も出していて、それが HP Project Moonshot 。ARM/Atom 搭載のサーバで 2,880 nodes/rack が可能だとか！す げぇ。もちろん電源等のボトルネックとなるリソースは他にも出てきそうだけど。 ノード数って増えると嬉しいのかな？コア数が増えるのは嬉しいけど。 Canonical JuJu Canonical 松本さま JuJu は Canonical が提供しているデプロイツールで charms と呼ばれるレシピ集 (っ て言うと語弊があるのか) に従ってソフトウェアの配布を行うツール。MAAS という物 理サーバのプロビジョニングツールと組み合わせればハードウェアを設置した後のプロ ビジョニング操作は一気通貫出来る、といったもの。具体的な操作例を挙げてくれたの で添付してきます。 ...

OpenStack のインストールってしんどいなぁ、って感じて devstack http://devstack.org/ とかで構築して中を覗いていたのですが、そもそも devstack って再起動してしまえば何も起動してこないし、swift がインストールされないしで。 やっぱり公式のマニュアル見ながらインストールするしかないかぁって…。感じてい たのですが…。 http://docs.openstack.org/essex/openstack-compute/starter/os-compute-starterguide-trunk.pdf このマニュアルの前提は、ネットワーク2セグメント・server1, server2 の計2台が前 提なのですが、環境作るのがしんどいので、オールインワンな構築がしたい！サーバ1台で OpenStack ESSEX を インストールしたい！で、シェルスクリプトを作ったのでそれを使ったインストール方法を紹介します。 ぼくの Thinkpad に OpenStack ESSEX をインストールしてブラウザで localhost に接続して いる画面です。ちゃんと KVM VM が起動して noVNC で接続できています。自己満足やぁ。 前提条件 Ubuntu Server 12.04 LTS amd64 がインストールされていること Intel-VT もしくは AMD−Vなマシン NIC が一つ以上ついているマシン /dev/sda6, /dev/sda7 (デバイス名は何でもいい) の2つが未使用で空いていること です。 構成 1 NIC を前提に eth0 と eth0:0 の2つを想定すると、こんな構成になります。eth0:0 は完全にダミーで IP アドレスは何でもいいです。br100 ブリッジデバイス上で VM が NW I/F を持ちます。floating range ってのは OpenStack で言うグローバル IP レン ジ。グローバルである必要は無いですが eth0 と同じレンジの IP アドレスを VM に付 与出来ます。/dev/sda6 が nova-volumes で /dev/sda7 が swift 。なので OS インス トール時に2つのデバイスを未使用で空けておいてください。 ...

仕事で Opesocd Chef の情報収集をしてたのですが、僕が感じるにこれはインフラエン ジニアの未来だと。逆に言うとインフラエンジニアの危機。AWS のようなクラウドサー ビスがあればアプリケーションエンジニアが今までインフラエンジニアが行っていた作 業を自ら出来てしまうからです。 インフラエンジニアなら身に付けるしかない！って僕が感じる Chef について chef-solo を通して理解するために情報まとめました。 chef には chef-server 構成で動作するものと chef-solo というサーバ無しで動作す るものがある。chef-server は構築するのが少し大変 (後に方法をブログに書きたい) なので今回は chef-solo を使ってみる。ちなみに Opscode が chef-server のホスティ ングサービスを展開している。彼らとしてはこちらがメイン。 chef-solo の入れ方 opscode が推奨している ruby-1.9.2 をインストールする。rvm は色々問題を招き寄せ るので rbenv を使って環境整えます。root ユーザ環境内に入れてください。 必要なパッケージをインストール % sudo apt-get update % sudo apt-get install build-essential zlib1g-dev libssl-dev root ユーザにてrbenv をインストール % sudo -i # cd ~ # git clone git://github.com/sstephenson/rbenv.git .rbenv # echo 'export PATH="$HOME/.rbenv/bin:$PATH"' >> ~/.zshrc # echo 'eval "$(rbenv init -)"' >> ~/.zshrc ruby-build をインストール ...

chef-server の構築は少し面倒だと前回の記事 http://jedipunkz.github.com/blog/2012/08/18/chef-solo/ に書いたのですが、 opscode が提供している bootstrap を用いると、構築作業がほぼ自動化出来ます。 今回はこの手順を書いていきます。 chef のインストール 前回同様に rbenv を使って ruby をインストールし chef を gem でインストールして いきます。 % sudo apt-get update % sudo apt-get install zlib1g-dev build-essential libssl-dev % sudo -i # cd ~ # git clone git://github.com/sstephenson/rbenv.git .rbenv # echo 'export PATH="$HOME/.rbenv/bin:$PATH"' >> ~/.zshrc # echo 'eval "$(rbenv init -)"' >> ~/.zshrc ruby-build をインストールします。 # mkdir -p ~/.rbenv/plugins # cd ~/.rbenv/plugins # git clone git://github.com/sstephenson/ruby-build.git ruby-1.9.2 インストール ...

2012年07月21日に大崎のフィーチャーアーキテクトさんで行われた #DevLOVE (Chef De DevOps) に参加してきました。 開催日 : 2012年07月21日(土曜日) 15:00 - 20:40 場所 : 大崎 フューチャーアーキテクトさま URL : http://www.zusaar.com/event/314003 仕事場でも Chef の利用を考え始めていて今回いい機会でした。半年前と比べるとだい ぶ揃って来ましたが、まだまだ資料の少ない Chef。貴重な機会でした。 プログラムは下の通り。 *『Chefの下準備』by Ryutaro YOSHIBA [ @ryuzee ] *『Chef自慢のレシピ披露』 by 中島弘貴さん [ @nakashii_ ] * ワークショップ『みんなでCooking』 * dialog『試食会』 * Niftyさんのスーパー宣伝タイム!!! *『渾身会』 @ryuzee さんの “Chef の下準備” は SlideShare に使った資料が公開されています。 20120721 chefの下準備 #devlove from Ryuzee YOSHIBA 印象的だったのが、VirtualBox + Vagrant という環境。実際に使っていらっしゃいま した。MacBook の中に仮想環境とそのインターフェースである Vegrant を使って、デ プロイのテスト等が実施できるそうです。また、Vegrant 設定ファイルは Chef のレシ ピを自動読込して、常に本番環境と同じ状態にしているそうです。CloudFormation と いうキーワードや Capistrano というキーワードが出てきました。最近よく耳にするワー ドです。また CI は Jenkins だよね、だったり。 ...

interop 2012 で ‘DNS の猛威とその対策’ を傍聴してきました。簡単にレポート書い ておきます。ちょっと油断しただけで大きな問題のアップデートが出てくる DNS。怖い です..。 本講義の概要 ブラジルで大規模な ISP への DNS ポイゾニング攻撃が発生。それら猛威について理解 すると同時に技術的対応策や具体的な対応プロセスについて説明。 イントロダクション : インターネットエクスチェンジ 石田さん DNS を取り巻く状況 DNS を乗っ取って悪事を働く試み : DNS Changer DNS そのものをセキュアにする方向性 : DNSSEC DNS に様々な制御を任せる方向性 : SPF, AAAA, DANE, 児童ポルノブロッキング 事例 : IIJ 松崎さん 2011/11 ブラジルの事例 著名サイトへのアクセスを行うと malware が仕込まれたサイトへ誘導。ホームルータ のキャッシュがポイゾニングされた。 とあるホームルータの問題 admin パスワードが管理 web で見える wan からのアクセスが有効 同じチップセットを使っている製品で同様の問題.. wan からルータへアクセスすると html ソースにアカウント情報が平文で書かれてい た これは怖い..。 攻撃活動の実施 攻撃者が行う手順。 脆弱性な CPE 発見 パスワード書き換え CPE が参照する DNS の書き換え 著名サイト向け DNS への応答を書き換え malware サイトへ誘導 銀行の安全客員ツールを無効にする malware をインストールさせる 幾つかの銀行向け DNS 応答を書き換え、目的のフィッシングサイトに誘導。DNS 書 き換えは短い期間のみであった。 規模 2011年時点、450万の CPE の DNS が書き換えられていた。今年も 30万以上の CPE が 影響を受けたまま。 ...

interop 2012 で開催された “仮想ルータ Vyatta を使ったネットワーク構築法” に参 加してきました。簡単ですがレポートを書いておきます。 開催日 : 2012/06/14(木) 場所 : 幕張メッセ Interop 2012 最初に所感。反省です。サーバエンジニアの視点でしか感じられていなかった。次期バー ジョンの vPlane 実装などエンタープライズ向けとしても利用出来る可能性を感じる し、比較的小さなリソースでハンズオン参加者30人程度の vyatta ルータを動かしてサ クサク動いているのを見て、簡単にパフォーマンスがどうとか 前回の記事で言うべ きじゃなかったぁ。ホント反省。 ではハンズオンの内容。 最初に、基本情報の話 有償版と無償版の違い メジャーリリースのみの無償版に対して有償版はマイナーリリースもあり 有償版は保守あり 仮想 image template 機能が有償版であり API, Web GUI, Config Sync, Systen Image Cloning が有償版であり image template, config sync, cloning など、有償版ではあると嬉しい機能がモリモ リ。 最近の利用ケース Vyatta + VM で VPN 接続環境構築 キャンパスネットワーク キャンパスネットワークのユースケースが一番多いそうだ。また、会場内にアンケート をとった結果、仮想環境での構築を想定されている方が多数だった。 構成と特徴 Debian Gnu/Linux ベース Quagga, StrongSwam が内部で動作 apt-get など馴染み深いコマンドが使えます。 http://www.vyatta4people.org/tag/vybuddy/ ここに色々ノウハウがあるらしい。僕はまだ見ていません。まほろば工房の近藤さんに 教えて頂きました。あとでチェックします。 ...

Vyatta で VPN しようと思ったら信じられないくらい簡単に構築できたので共有します。 今回は PPTP (Point-to-Point Tunneling Protocol) を用いました。 さっそく手順に。 $ configure # set vpn pptp remote-access authentication local-users username ${USER} password ${PASSWORD} # set vpn pptp remote-access authentication mode local # set vpn pptp remote-access client-ip-pool start ${IP_START} # set vpn pptp remote-access client-ip-pool stop ${IP_END} # set vpn pptp remote-access outside-address ${GLOBAL_IP} # set vpn pptp remote-access dns-servers server-1 8.8.8.8 # set vpn pptp remote-access dns-servers server-1 8.8.4.4 # commit # save これだけです。 ...