地方SEの適当ノート

社内のメールサーバを新しくすべく、RHEL5.3+Postfix+PostfixAdmin+Mailman+IMSS7の環境を構築していた。

作業は順調に進み、サーバ監視ツールなどをインストールし終え、Postfix＋IMSSの連携も問題ないところで、Mailmanをインストールした。

そのところ、急にPostfixが動作しなくなった。

？？？

調査したところ、Mailmanをビルドする際に、daemonというユーザを指定してconfigureを実行していたのだが、実際にはApacheはnobodyで動作していた。そのため、MailmanでWebから処理した際に、alias系のファイルの権限がおかしくなり、読み込めなくなったようだ。

Mailmanをmakeしなおしたが、さらに状態は悪化し、Postfixが参照する/etc/aliasまでも、なぜか、no such file or directoryなんて意味のわからないことを言い出してしまいました。

今後基幹系のメールサーバとして使う以上、一応権限を777なんてするわけにもいかないので、再インストールしてきれいにしようかなー。

でも、面倒・・・。

最近Oracle＋クラスタ案件を抱えているのだが、うちの会社は某国産メーカー系のため、当然のそのメーカの製品で出すのですが、どうみても金額が高い・・・。

ということで、疑問に思いhpで見積もりを取ってみることに。

結果は、２～３００百万円の差が出てしまいました・・・。

なんなんでしょうね。こうなると、hpやDELLしか出せなくなってしまいますね・・・。

昔は日本製のメーカはかなり品質が高く、hpやDELLは不安定みたいなイメージがありましたが、この間DELLの最新サーバを見てきましたが、M/Bの設計などもかなりよくなっていました。もはや、差はあまりないんじゃないんでしょうかね。

逆に日本メーカー製は、これとこれの組み合わせは検証されてないとかいろいろ制限がついてくることが多く、逆に幅の広い選択が出来ないのがデメリットになっている感もあります。

今日、お客様先でWEBのシステムが動作しないと言われ、現地へ。
どうも、Tomcatが変な状態になっているのはわかったのだが、なぜそうなったのかがよくわからない。

それはいいのだが、お客様によるとインフラ周りでシスコのL3にしてから、全システムが停止したかのように遅くなる現象が出だしたそうだ。WEBページが最初のちょっとだけ表示されたり、ものすごーく遅くなったり・・・。

L3という関係上、ルーティングが走っている。さらに、感ではフィルタでICMPを切っているんじゃないかと・・・。

なんでも、L3スイッチを交換してから半年間この現象が解決していないそうだ。

フラグメントって意外とやっかいなんだよな。
結構はまるし、調査が非常に広範囲。さらに、機器によっては設定を持っていないたわけたやつもいる。

仕事で新しい、サービスを検討している。
その話は、iDCを使ってシステム運用をする話なのだが、このネットワーク構成がなかなか苦戦している。
というのも、お客さんがそれぞれのネットワークでVPNを引くため、独自のルータをiDCに持ち込むというのだ。
しかし、アクセスされるサーバは1台。
かつセキュリティーを確保しなければならない。

F/Wを効率的に配置し構成するために、いろいろ考えたのだが、プライベートのIPアドレスがかぶってしまうと、相手先のVPNとの接続が出来なくなってしまうので、なるべくプライベートなIPアドレスが使いたくないが、どうしてもF/Wが増えることでセグメントが増えてしまう。

そこで、なにかいい方法はないものかと考えながら家でFortigateの本を読んでいたら「トランスペアレントモード」の解説があった。そうか、透過モードにすれば、IPアドレス付与が必要なくなる。

でも、透過モードのファイアウォールと言えば、Netscreenでしょ。

ということで、Fortigateの本を読んでひらめいたけど、採用はNetscreen（というか今はSSGですが）にしよっと。
（まあ、最終決定は私ではないんですけどね。）

Fortigateってラックマウントが出来るのは200Aからなんですよね・・・。100Bぐらいのスペックがあれば十分なのにラックマウントキットは提供されていない。その点、Netscreenは、5GTでもラックマウントが出来るようになっているのは、すばらしい。もちろんSSG5も…。iDC設置で、汎用テーブルに置くのはダサいからなぁ・・・）

バランサでおなじみBig-IP

会社の案件で、基幹ネットワークを2系統用意し、スイッチを２つ用意しスタック接続にする。
そのネットワークにサーバを接続したいのだが、どちらかのスイッチが駄目になってもいいように両方のスイッチに同じ機器が接続できて、停止せずに運用することが条件。

WWWサーバは2台用意し、バランサーとしてSX-3640を挟もうと思っていたのだが、こいつだとVRRPがどうもできないよう。

となれば、F5-BigIPを使えばいいと思うのだが、予算オーバー・・・。

こうなると、Linuxでバランサーを作るかと思い調査をしたところ、keepalivedかultramonkeyで実現が出来そう。

でも、keepalivedの場合、Linuxの仕様としてNICに仮想のMACアドレスが振れないため、どちらかの系統がダウンしたら、MACアドレスの再登録パケットを回すらしい。

これもまた、中途半端だなあ・・・。

いっそのこと、それぞれのスイッチが、本番系と待機系になっていれば、チーミング(bound)で対応できるかも・・・。

どれも決めかねる・・・。

最近、東京のお客様先にiDCに設置したサーバで業務システムを動かす環境を設置した。
当面はVPNで事務所での運用で考えていたが、今後外出先でもシステムを”セキュア”に利用したいとのこと。

FirePassを使う手もあるが、なんせ金がかかる。そもそそ稼働しているのはWebアプリなので、そもそもWebサーバ自身をSSL化することで対応できないかと考えた。しかし、SSLで通信が暗号化できたとしても、端末を制限することは出来ない。

そこで、クライアント証明書を発行することで通信の暗号化と端末制限の両方が実現できる。

しかし、まだ経験がないので近いうちに是非試したい物だ。

http://park15.wakwak.com/~unixlife/practical/openssl.html

ラックマウント対応で、エンタープライズ環境に対応したNAS

普段から、バックアップ装置としてお世話になっているバッファロー製のNAS「TS-RHTGL」。

Linuxで動作していて、sambaが稼働しているにもかかわらず、NFSが使えないというのがLinuxユーザとしては悲しいところ。

NFSを対応させるためには、改造ファームを入れるしかないとのことで、Debian化などさせるのが一般的なようだ。

しかし、それをすると当然ながらメーカーの保証も受けられなくなるし、第一ビジネスな環境での利用では厳しい。

しかし、バッファローのホームページを見ると製品情報のところでは掲載がない物の、ダウンロードのページには、

NFSに対応したというコメントが・・・。

これで、やっとLinuxサーバのファイルバックアップが出来る。

（普段のサーバイメージは、TrueImage Server for Linuxで取っているので問題ないが・・・）

あとは、UPS(apcupsd)のネットワーク連携に対応してほしいのと、ディスクをホットスワップに対応してほしいところですね。