VMware ESXiに仮想共有ディスクファイルを作成する

VMware ESXiに仮想共有ディスクファイルを作成する

共有ストレージをベースとした仮想ディスクは、CIBの構成でサポートされており、VMFSデータストア上でEagerZeroedThickオプションを使用して作成する必要があります。
これらの操作は、コンソール上で、vmkfstoolsコマンドを実行する方法とユーザーインターフェースとしてvSphere CLIを使用する方法があります。

ここで説明するVMware ESXiで仮想共有ディスクファイルの作成ポイント

・仮想共有ディスクのvmdkファイルを置く場所
　「/vmfs/volumes/datastore1/rac_datastore」
・仮想共有ディスクファイル名
　ocr1.vmdk
・仮想共有ディスクの容量
　10GB

Vmkfstoolコマンドによる仮想共有ディスクファイルの作成

Vmkfstoolコマンドを実行する方法として、ホストへログインして実行する方法とVMware vSphere CLIを起動する方法があります。

■コンソールより仮想共有ディスクファイルを作成方法

 # mkdir /vmfs/volumes/datastore1/rac_datastore
 # vmkfstools -d eagerzeroedthick -c 10G /vmfs/volumes/datastore1/rac_datastore/ocr1.vmdk

　　※共有ディスクの容量1(10G）は、適宜希望の容量へ置き換え可能です。
　　※通常はdatastore1となるが、VCenterで監視している場合は、ESXiのホスト名になるようである。
　　※共有ディスクの設置場所は、任意でありEsxiホストが認識しているストレージであれば、外部ストレージを指定することができます。
■vSphere CLIによる仮想共有ディスクファイルの作成方法
事前にディレクトリ下記のディレクトリを作成しておきます。
/vmfs/volumes/datastore1/rac_datastore

vSphere CLIがインストールされているPCから仮想共有ディスクファイルを作成する

 > cd C:\Program Files\VMware\VMware vSphere CLI\bin
 > vmkfstools.pl --server ESXHost --username username --password passwd -d eagerzeroedthick -c 10G /vmfs/volumes/datastore1/rac_datastore/ocr1.vmdk

　　※vSphereClientを利用している場合は、datastore1の部分がESXiのホスト名となります。



・補足　vmkfstools：　vmkfstoolsは、仮想ディスクの作成/変換ができるコマンドです。

vShereClientによる仮想共有ディスクファイルの作成

■vShereClientによる仮想共有ディスクファイルの作成
対象の仮想マシンは停止しておく
１．vSphere Clientで、新規に仮想ディスクを作成したい仮想マシンを選択します。
２．対象の仮想マシンで右クリックし、[設定の編集] を選択します。
３．仮想マシンプロパティのダイアログ内で、[追加] をクリックし新しいハードウェアの追加を行います。
４．ハードウェアの追加ダイアログ内でデバイスリストからハードディスクの追加を選択します。
５．[新規仮想ディスクを作成] を選択し、次へ進みます。
６．作成したいディスク容量を入力します。
７．[仮想マシンで保存] または、データストアの場所を参照し、[データストアの指定] で、ディスクの格納場所を選択します。
８．シックディスク フォーマットで作成し、 クラスタリング機能をサポートを選択します。
注: ステップ8 は、必ず最後のステップとします。データストアの変更の後では、クラスタリング機能のサポートが選択できなくなります。
９．「詳細オプション」画面で、モード「独立」-「通常」を選択し、「次へ」をクリック
10．仮想ディスクの作成のウィザードを完了します。

仮想共有ディスクファイルを共有ストレージとしての認識させる

上記手順で作成した共有ディスクファイルのvmdkを複数ゲストOSで共有させる設定が必要です。
手順は、下記記事を参考にしてえください。
仮想共有ストレージ設定(ESXi)へ

VMware徹底入門 第3版 VMware vSphere 5.1対応 著者：ヴイエムウェア株式会社 出版日：2012-11-13 出版社：翔泳社

VMware vSphere 構築・運用レシピ 著者：工藤 真臣 出版日：2012-11-15 出版社：インプレスジャパン

AWS S3をWEBホスティングとして利用【アクセス制限】

AWS S3 WEBホスティングとして利用【アクセス制限】

オンラインストレージサービスである Amazon Simple Storage Service (S3)を静的なWebサイトのホスティング として利用する際のアクセス制限の方法を説明します。

AWS S3をWebホスティングとして一般公開する

「AWS Management Console」- 「S3」- 「S3」管理画面表示



左ツリー　「S3の対象Bucket」選択 -「Properties」クリック



「S3の対象Bukets」のプロパティ表示 - 「Permissions」 - 「Edit bucket policy」クリック
　　※Bucket Policyが未作成の場合「Edit Bucket Policy」が「Add Bucket Policy」となります。



「Bucket Policy Editor」ダイアログ起動 - ポリシーを記述する



※ここに下記の「一般公開用のアクセスポリシー」、「特定IPアドレスのみ制限するアクセスポリシー」、「リファラーによる制限のアクセスポリシー」、「複数のポリシーを組み合わせたアクセスポリシー」を記述する。

※AWS S3のWebサイトホスティングでは「.htaccess」が利用できません。またベーシック認証もできないので注意が必要です。

AWS S3のWebホスティングを一般公開するためのアクセスポリシー

※"Resource"の[amz01.cross-searching.net]の部分を対象のBucket名に置き換えてください。

{
  "Version":"2008-10-17",
  "Statement":[{
	"Sid":"PublicReadForGetBucketObjects",
        "Effect":"Allow",
	  "Principal": {
            "AWS": "*"
         },
      "Action":["s3:GetObject"],
      "Resource":["arn:aws:s3:::amz01.cross-searching.net/*"
      ]
    }
  ]
}

AWS S3のWebホスティングをIP制限するためのアクセスポリシー

開発環境やSTG環境でアクセスを制限したい場合は、AWS S3のWebホスティングでは、下記のようにIPでアクセスを制限できます。
複数のIPを設定する場合は、 "aws:SourceIp":の後に記述するIPを[]で囲む必要があります。
※"Resource"の[amz01.cross-searching.net]の部分を対象のBuckets名に置き換え、 "IpAddress"のIPの部分をアクセスを許可したいIPに置き換えてください。

{
"Version": "2008-10-17",
"Id": "",
"Statement": [
  {
   "Sid": "PublicReadForGetBucketObjects",
   "Effect": "Allow",
   "Principal": {
    "AWS": "*"
   },
   "Action": "s3:GetObject",
   "Resource": "arn:aws:s3:::amz01.cross-searching.net/*",
   "Condition" : {
          "IpAddress" : {
                  "aws:SourceIp": [
                       "122.21?.??.??/32",
                       "122.21?.??.??/30",
                       "124.21?.??.??/30",
                       ]
          }
   }
  }
]
}

AWS S3のWebホスティングをリファラーで制限するアクセスポリシー

開発環境やSTG環境でアクセスを制限したい場合は、AWS S3のWebホスティングでは、下記のようにリファラーによるアクセス制限ができます。
複数のリファラーを設定する場合は、 "aws:Referer":の後に記述するURLを[]で囲む必要があります。
※"Resource"の[amz01.cross-searching.net]の部分を対象のBuckets名に置き換え、 "aws:Referer"の[amz01.cross-searching.net]と[pc.cross-searching.net]の部分を対象のドメインに置き換えてください。

{
     "Version": "2008-10-17",
     "Id": "http referer policy example",
     "Statement": [
          {
               "Sid": "Allow get requests originated from amz01.cross-searching.net and pc.cross-searching.net",
               "Effect": "Allow",
               "Principal": "*",
               "Action": "s3:GetObject",
               "Resource": "arn:aws:s3:::amz01.cross-searching.net/*",
               "Condition": {
                    "StringLike": {
                         "aws:Referer": [
                              "http://pc.cross-searching.net/*",
                              "http://amz01.cross-searching.net/*"
                         ]
                    }
               }
          }
     ]
}

AWS S3のWebホスティングを複数のポリシーを組み合わせて制限するアクセスポリシー

AWS S3のWebホスティングにおけるIP制限とリファラー制限のアクセス制限方法を説明してきましたが、ここではそれらを組み合わせたアクセスポリシーの設定方法を説明します。
複数のリファラーを設定する場合は、 "aws:Referer":の後に記述するURLを[]で囲む必要があります。
※"Resource"の[amz01.cross-searching.net]の部分を対象のBuckets名に置き換えてください。
※ "IpAddress"のIPの部分をアクセスを許可したいIPに置き換えてください。
※"aws:Referer"の[amz01.cross-searching.net]と[pc.cross-searching.net]の部分を対象のドメインに置き換えてください。

     "Version": "2008-10-17",
     "Id": "http referer policy example",
     "Statement": [
          {
               "Sid": "Allow get requests originated from amz01.cross-searching.net and pc.cross-searching.net",
               "Effect": "Allow",
               "Principal": "*",
               "Action": "s3:GetObject",
               "Resource": "arn:aws:s3:::amz01.cross-searching.net/*",
               "Condition": {
                    "IpAddress": {
                         "aws:SourceIp":[ 
                       "122.21?.??.??/32",
                       "122.21?.??.??/30",
                       "124.21?.??.??/30",
                       ]                         
                    },
                    "StringLike": {
                         "aws:Referer": [
                              "http://pc.cross-searching.net/*",
                              "http://amz01.cross-searching.net/*"
                         ]
                    }
               }
          }
     ]
}

"aws:SourceIp"と"aws:Referer"の[]の中は、or条件で成立し、"IpAddress"と"StringLike"は、And条件で成立する。

AWS EC2/S3　構築手順【目次】

・AWS S3をWEBホスティングとして利用【基本設定】
・AWS S3をWEBホスティングとして利用【リダイレクト設定】
・AWS S3をWEBホスティングとして利用【アクセス制限】
・AWS S3のおすすめ書籍


日本のVPS(仮想専用ホスティングサービス)を徹底比較や 専用・共用・VPSのホスティングサービスを徹底比較の 記事もご覧ください。

よくわかるAmazonEC2/S3入門 ―AmazonWebServicesクラウド活用と実践 著者：藤崎 正範 出版日：2010-06-11 出版社：技術評論社

Amazon EC2/S3/EBS クラウドコンピューティングによる仮想サーバ構築 著者：清水 正人 出版日：2009-08 出版社：ソシム

Apacheの構築手順2【仮想ホスト設定】

Apacheの構築手順 【仮想ホスト設定】

Apacheは、1台のサーバを使って複数のドメイン名を使ったWebサーバとしての機能を提供ができます。
仮想ホスト(バーチャルホスト)には２種類あり、各ウェブサイトに違う IP アドレスがある「IP ベース」と呼ばれる仮想ホスト(バーチャルホスト)と、 １つの IP アドレスに、複数の名前がある「名前ベース」と呼ばれる仮想ホスト(バーチャルホスト)があります。

不要なログの出力を削除する

アクセスログ識別定義
ヘルスチェック等の特定IPからのアクセスログと通常のアクセスログを識別する変数定義する

# vi /etc/httpd/httpd.conf

#ヘルスチェック
SetEnvIf        Remote_Addr      172.18.30.5$   nolog
SetEnvIf        Remote_Addr      172.18.30.1$   nolog
SetEnvIf        Remote_Addr      172.18.31.71$   nolog
SetEnvIf        Remote_Addr      172.18.30.231$   nolog
SetEnvIf        Remote_Addr      172.18.30.232$   nolog
SetEnvIf        Remote_Addr      172.18.30.233$   nolog
SetEnvIf        Remote_Addr      172.18.30.234$   nolog
SetEnvIf        Remote_Addr      172.18.30.235$   nolog

※監視サーバ、ロードバランサーからのヘルスチェックを識別するための設定

ログ設定
cronologは、月別ディレクトリを自動で作成し、ファイル名に日付を付けることができます。

CustomLog "| /usr/local/sbin/cronolog /opt/httpd/logs/%Y%m/access_%Y%m%d.log" combined env=!nolog
CustomLog "| /usr/local/sbin/cronolog /opt/httpd/logs/%Y%m/access_health_%Y%m%d.log" combined env=nolog
ErrorLog "| /usr/local/sbin/cronolog /opt/httpd/logs/%Y%m/error_%Y%m%d.log"

※ディレクティブ内で記述。
※「env=!nolog」上記定義IP以外のログを取得する
※「env=nolog」上記定義IPのログを取得する

ブラウザ経由の特定ファイルへのアクセスを拒否する

ブラウザからの直アクセスを拒否するが、プログラム（例えばCGIファイル）経由でデータファイルを読み込は可能にする。

<Files ~ "\.(dat|log|csv)$">
deny from all
</Files>

各仮想サイトの設定

基本的に現行サイトの設定を適用する。変更点は以下に示す。
・IPベースのバーチャルホスト ・ServerName
・ServerAdmin
・ログの格納ディレクトリとフォーマット
・不要なREQUEST_METHODの遮断

# vi /etc/httpd/conf.d/httpd-vhosts.conf

<VirtualHost *:80>
ServerName www.cross-searching.net
ServerAdmin webmaster@www.cross-searching.net
DocumentRoot "/var/www/httpd/front/"
  # 不要な REQUEST_METHOD を遮断する
  TraceEnable Off
</VirtualHost>

※Trace拒否は、Apache2.0.55以前であれば下記の設定をする。

  RewriteEngine on
  RewriteCond %{REQUEST_METHOD} ^(TRACE|OPTIONS)
  RewriteRule .* - [F]

ディレクトリの一覧表示禁止
仮想サイトの設定でも、ディレクトリ一覧設定がないことを確認
明示的に「-Indexes」を付けて、ディレクトリ一覧されないようにする。

  <Directory "/var/www/html/front/">
           Options -Indexes FollowSymLinks IncludesNoExec
           AllowOverride All
  </Directory>

httpd-vhosts.conf のInclude設定

httpd.confにIncludeの設定内容を記述します。

# vi /etc/httpd/conf/httpd.conf 

Include conf.d/httpd-vhosts.conf

ドキュメントルート作成

ドキュメントルートディレクトリの作成
各仮想サイトのドキュメントルートディレクトリを作成する。
ここではドキュメントルートは「/var/www/httpd/front」とする

# mkdir -p /var/www/httpd/front

ドキュメントルートディレクトリの所有者、グループの変更、パーミッションの変更

# chown opeftp:webgrp /var/www/httpd/front -R
# chmod ug+rw,o-w /var/www/httpd/front -R

※セキュリティ強化のため、HTTPの起動ユーザ・グループ以外の所有者にする。

おすすめのApache関連書籍

サーバ構築の実際がわかる Apache[実践]運用/管理 著者：鶴長 鎮一 出版日：2012-03-23 出版社：技術評論社

できるPRO Apache Webサーバー改訂版 Version2.4/2.2/2.0対応 著者：辻 秀典 出版日：2013-01-25 出版社：インプレスジャパン