インフラ構築手順書

はじめてのインフラ、サーバ構築時に役に立つように構築手順情報をまとめました。

HOME

[PR]

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

Pacemaker+MySQLレプリケーション構築【ログローテート設定】

Paemakerのログローテート設定

Pacemakerログ出力には、ファイル出力とsyslogの方法がある。ここではsyslog出力設定にして、ログローテートする手順を説明する。
Pacemakerのログローテート設定ポイント

・syslogでログを受け取る設定・syslogの制限設定を解除する・ログローテート対象の重複ログローテートの回避

■pacemaker停止
Pacemakerが既に起動している場合は、停止する。

# /etc/init.d/pacemaker stop

corosyncのログ設定

■corosyncのsyslog出力設定

# vi /etc/corosync/corosync.conf

logging {
        fileline: off
        to_stderr: no
        to_logfile: no
        to_syslog: yes
        syslog_facility: local1
        syslog_priority: info
        #logfile: /var/log/cluster/corosync.log
        debug: off
        timestamp: on
        logger_subsys {
                subsys: AMF
                debug: off
        }
}

pacemakerのsyslog出力設定

■pacemakerのsyslog出力設定

# vi /etc/sysconfig/pacemaker
export PCMK_logfile=none
export PCMK_logfacility=local2
export PCMK_logpriority=info

syslog設定とログローテート

■syslog設定
messagesログにpacemakerログとcorosyncログの出力されないように設定追加と pacemakerログとcorosyncログの受け取り設定を行う。

# vi /etc/rsyslog.conf
*.info;mail.none;authpriv.none;cron.none;local1.none;local2.none /var/log/messages
local1.*                                                /var/log/cluster/corosync.log
local2.*                                                /var/log/cluster/pacemaker.log

・rsyslogのrate-limitingを無効
rsyslogのデフォルトでは、一斉出力されるログを制限する設定がある。この設定があるとログの一部が喪失する恐れがあるので、無効にする。

# vi /etc/rsyslog.conf
$SystemLogRateLimitInterval 0

■ログローテート設定
/etc/logrotate.d/syslogファイルの記述にcorosync.logとpacemaker.logを追加する。

# vi /etc/logrotate.d/syslog

/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
/var/log/cluster/corosync.log
/var/log/cluster/pacemaker.log
{
    sharedscripts
    postrotate
        /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
    endscript
}

・重複設定を削除
cmanのデフォルトのログローテート設定でpacemaker.logとcorosync.logが重複設定されているので回避する /var/log/cluster/*以下すべてをログローテートする設定になっているので、個別指定へ変更する。

# vi /etc/logrotate.d/cman

/var/log/cluster/dlm_controld.log /var/log/cluster/fenced.log /var/log/cluster/gfs_controld.log {
        missingok
        compress
        copytruncate
        daily
        rotate 31
        minsize 2048
        notifempty
}

設定反映

# /etc/init.d/rsyslog restart
# /etc/init.d/pacemaker start

Pacemaker+MySQLレプリケーション構築【目次】

Pacemaker+MySQLレプリケーション構築【環境/基本情報】
Pacemaker+MySQLレプリケーション構築【事前設定】
Pacemaker+MySQLレプリケーション構築【Pacemakerインストール設定】
Pacemaker+MySQLレプリケーション構築【MySQLリソース追加】
Pacemaker+MySQLレプリケーション構築【ログローテート設定】
Pacemaker+MySQLレプリケーション構築【PaceMakerコマンド】

おすすめ書籍

[インフラ/ネットワークエンジニアのためのネットワーク技術&設計入門]の書籍横断比較とレビュー

インフラ/ネットワークエンジニアのためのネットワーク技術&設計入門]トラブルシューティングガイド
著者：みやたひろし
出版日：2013-12-27
出版社：SBクリエイティブ

[[24時間365日] サーバ/インフラを支える技術 ‾スケーラビリティ、ハイパフォーマンス、省力運用 ]の書籍横断比較とレビュー

[24時間365日] サーバ/インフラを支える技術 ‾スケーラビリティ、ハイパフォーマンス、省力運用
著者：安井真伸
出版日：2008-08-07
出版社：技術評論社

[0回]

WebDAV構築手順

自前のオンラインストレージ構築

「DropBox」や「Google Drive」のような無料・安価なオンラインストレージは数多くありますが、個人で使用する上では問題ありません。
しかし企業として利用する際は、社内セキュリティポリシーやコンプライアンス的に許可されない場合があります。
「DropBox」や「Google Drive」のような無料・安価なオンラインストレージでは、下記のような細かなセキュリティ要件を満たしません。

・アクセス元をIPで制限する。
・社内認証(LDAP/AD連携)する。
・アクセスログ、ファイル操作ログを取得する。
・自社専用オンラインストレージである必要がある。
・ウィルス対策ソフトでのウィルス拡散を防止する必要がある。

上記の解決策としては、自前でオンラインストレージサーバを構築することです。自前オンラインストレージとして、下記の二つがあります。
・ApacheでWebDAVを構築する。
・オンラインストレージパッケージ(ownCloud)を導入する。

WebDAV構築手順

ここでは、ApacheでWebDAVを構築する手順を説明します。
ApacheでWebDAVを構築する際のポイントは下記の通りです。
■ファイルロック設定
■セキュリティ設定
　・暗号化通信のみ許可
　・認証：基本認証をAD連携
■ログ出力の制御
■Windowsエクスプローラでアクセス可能
■WebDAVのトラブルシューティング

Apacheの基本設定

Apacheの基本設定は、下記記事を参考に設定してください。・Apache構築手順【基本設定】
・Apache構築手順【仮想ホスト設定】

WebDAVモジュールの有効化

WebDAVモジュールの有効化を確認する。

# vi /etc/httpd/conf/httpd.conf

LoadModule dav_module modules/mod_dav.so
LoadModule dav_fs_module modules/mod_dav_fs.so

ロックファイルディレクトリの指定

WebDAVでロックを行うためのロックファイルを作成するディレクトリを指定する。

# vi /etc/httpd/conf/httpd.conf

<IfModule mod_dav_fs.c>
  #DAV ロックデータベースの位置
  DAVLockDB /var/lib/dav/lockdb
</IfModule>

WebDAVのTimeOUT設定

WebDAVのタイムアウト値を設定する。

# vi /etc/httpd/conf/httpd.conf

#WebDAVのTimeOut設定
DAVMinTimeout 1800

不要ログの排除

WebDAVを運用する際、ファイル閲覧、削除、更新操作のログは必要となると思うが、デフォルトの設定では、それ以外に不要な操作ログが大量に出力される。
例えば、ディレクトリにアクセスした際にファイル一覧を表示しただけでログが出力される。
ファイル数の多いディレクトリの場合、ファイル数に応じで出力が多くなってしまう。
下記「PROPFIND」はログ出力しないようにすれば、不要なログ出力を抑えられる。

SetEnvIf Request_Method PROPFIND nolog
CustomLog "| /usr/local/sbin/cronolog /var/log/httpd/%Y%m/webdav_ssl_access.%Y%m%d.log" combined env=!nolog

WebDAVパスの設定

WebDAVの対象となるディレクトリのエリアス設定とWebDAVの有効化を行う。
またセキュリティ強化のため、SSL通信(暗号化通信)のみ許可する設定にする。
設定場所はグローバル設定または仮想サイトの中に記述する。

# vi /etc/httpd/conf/httpd.conf

 
#WebDAVを利用するエイリアス設定(任意)
Alias /webdav /nfs-data/webdav

<Location /webdav>
  DAV on
  SSLRequireSSL
  Options Indexes
  Header add MS-Author-Via "DAV"
  BrowserMatch "Microsoft Data Access Internet Publishing Provider" redirect-carefully
  BrowserMatch "MS FrontPage" redirect-carefully
  BrowserMatch "^WebDrive" redirect-carefully
  BrowserMatch "^WebDAVFS/1.[0123]" redirect-carefully
  BrowserMatch "^gnome-vfs/1.0" redirect-carefully
  BrowserMatch "^XML Spy" redirect-carefully
  BrowserMatch "^Dreamweaver-WebDAV-SCM1" redirect-carefully
  BrowserMatch "Microsoft Data Access Internet Publishing Provider" redirect-carefully
  BrowserMatch "^WebDrive" redirect-carefully

  <LimitExcept OPTIONS>
    Order deny,allow
    Deny from none
    Allow from all
  </LimitExcept>

  Order deny,allow
  Deny from none
  Allow from all
</Location>

基本認証設定

上記のLocation内に基本認証の記述を行う。
下記記述はActiveDirectory連携した基本認証の記述である。

<Location /webdav>
#省略(上記参照)
#基本認証（AD連携）
AuthType Basic
AuthName "ActiveDirectory Auth"
AuthBasicProvider ldap
AuthLDAPURL "ldap://dc-01.hoge.co.jp:389/OU=clients,DC=hoge,DC=co,DC=jp?sAMAccountName?sub?(objectClass=*)"
AuthLDAPBindDN "hoge\testapache"
AuthLDAPBindPassword "password"
AuthzLDAPAuthoritative Off
Require ldap-group CN=webdav-g,OU=clients,DC=hoge,DC=ati,DC=co,DC=jp
</Location>

■ActiveDirectory連携した基本認証に関する記事
　・CentOSとAD連携について
　・CentOSをドメイン参加させずにKerberos認証する
　・ApacheでAD連携(LDAP認証)
　・ApacheでAD連携(Kerberos認証)
　・SAMBAで2台目DCサーバを構築する

WebDAVディレクトリの設定

HTTPDデーモンのユーザとグループは「apache:apache」であることを前提として説明します。
■WebDAVディレクトリの作成

# mkdir -p /nfs-data/webdav

■所有者、権限変更

# chown apache:apache /nfs-data/webdav
# chmod 711 /nfs-data/webdav

WebDAV設定の反映

#  /etc/init.d/httpd restart

クライアント側の設定

自己証明書のルート証明書インストール

WebDAVに自己証明書を導入した場合、Windows７以降ではアクセスができないようになっています。
その場合は、自己証明書のルート証明書をインストールする必要があります。
■IEの[信頼済みサイト]に登録
・IE(インターネットエクスプローラ)起動
・[ツール]メニュー - [インターネットオプション]選択
・[インターネットオプション]ダイアログ起動 - [セキュリティ]タブ - [信頼済みサイト]選択 - [サイト]クリック
・[このWebサイトをゾーンに追加する]の入力欄にWEBDAVのURLを記入 - [追加] - [閉じる] ・[インターネットオプション]ダイアログに戻り - [OK]
・IE(インターネットエクスプローラ)再起動

■自己証明書のルート証明書インストールする
WEBDAVサイトにIEでHTTPSアクセスし、自己証明書のルート証明書インストールします。
WEBDAVサイトにHTTPSアクセスした状態で下記作業を行います。
・アドレスバー右横にある鍵アイコンをクリック - 「証明書の表示」・証明書ダイアログ - 「全般」タブ - [証明書のインストール]
・[証明書のインポートウィザードの開始]画面　- [次へ]
・[証明書ストア]画面 - [証明書をすべて次のストアに配置する] - [参照]クリック
・[証明書ストアの選択]ダイアログ - [信頼されたルート証明基幹] - [OK]
・[証明書ストア]画面 - [次へ]
・[証明書のインポートウィザードの完了]　- [完了]クリック
・セキュリティ警告 - [はい]
・「正しくインポートされました。」ダイアログがでれば完了
※「認証ストア」画面で「証明書の種類に基づいて、自動的に証明書ストアを選択する」を選択するとうまく動作しません。

ネットワークドライブ設定

・[マイネットワーク] - [ネットワークドライブの割り当て]
・[ネットワークドライブの割り当て]起動 - 下記情報入力 - [完了]
　　ドライブ：Z
　　フォルダー：https://webdav.hoge.co.jp/webdav/
・認証ダイアログ - 基本認証のアカウント入力 - [OK]

WebDAVのトラブルシューティング

WEBDAVが利用できない場合の多くは、①HTTPSが自己証明書で基本認証設定していること、②WebClintsが起動していないことです。
①は証明書を購入してインストールする。または自己証明書のルート証明書をインストールすることで解決できます。
　自己証明書のルート証明書をインストール手順は上記を参照してください。
②WebClientサービスを「手動」に設定する

WebDAV サイトにドライブをマップしようとする際に、次のエラーが発生することがあります。

System error 67 has occurred.（システムエラー67 が発生しました。）
ネットワーク名が見つかりません。

これは、次のいずれかの状況が原因で発生します。

・接続しようとしているサーバーに IIS がインストールされていないか、または IIS が実行されていません。
・クライアントシステムに WebDAV リダイレクターがインストールされていません。
・クライアントシステムで WebClient サービスが実行されていません。
・Web サイトで WebDAV が有効になっていません。
・基本認証を使用しており、HTTPS ではなく HTTP を使用して Web サイトに接続しようとしています。

オンラインストレージに関するおすすめ書籍

GoogleドライブPERFECT GUIDE
著者：石井英男
出版日：2012-07-04
出版社：ソフトバンククリエイティブ

Dropbox Perfect GuideBook
著者：大重美幸
出版日：2014-06-15
出版社：ソーテック社

[0回]

HAクラスタリングソフトの比較

HAクラスタリングソフトの比較

システムの中で重要な箇所をHAクラスタリング構成とすることで、顧客へのサービスが全面的にストップしてしまうことを避ける設計がされています。
そのHAクラスタリングには、フェイルオーバークラスタと負荷分散クラスタの2つに分類できます。
HA（High Availability）クラスタ
　

フェイルオーバークラスタ	高可用性：1台が停止してもシステム全体が止まることはなく，処理を継続させる	共有ディスクタイプ
		データミラータイプ
		遠隔クラスタ
負荷分散クラスタ	拡張性，高速性：接続するコンピュータの台数を増やして，性能の向上を図る	ロードバランスクラスタ
負荷分散クラスタ	拡張性，高速性：接続するコンピュータの台数を増やして，性能の向上を図る	並列データベースクラスタ

■HAクラスタリング比較
HAクラスタリングソフトとしてPaceMaker、ClusterPro、LifeKeeperの比較を下記表に示します。<tdSAP※6

比較項目		PaceMaker	ClusterPro	LifeKeeper
全般	提供方法	オープンソース	商用ソフト	商用ソフト
	提供ベンダ	LINBIT社※１	NEC	サイオステクノロジー
	対応OS	Linux	Linux,Windows	Linux,Windows
監視	最大ノード数	最大16ノード	最大32ノード	最大32ノード
	アプリケーション監視	○	○	○
	ノード監視	○	○	○
	ディスク監視	○	○	○
	ネットワーク監視	○	○	○
	スプリットブレイン対応	○	○	○
	リソース監視	○	○	○
	自動フェイルオーバ	○	○	○
	データミラー型クラスタ	○	○	○
リソースエージェント	DBサーバ	PostgreSQL,MySQL,Oracle	PostgreSQL,MySQL,Oracle,SQL Server※1	PostgreSQL,MySQL,Oracle,SQL Server※6
	WEBサーバ	Apache	Apache,IIS※2	Apache,IIS※6
	アプリサーバ	Tomcat	Tomcat,Weblogic,Jboss,OracleAS※3
	FTPサーバ	Proftpd,Pure-FTPD	vsftpd※2	IIS(FTP)※6
	ファイルサーバ	RA提供無し（initスクリプト(LSB)を利用すれば可能）	Samba※4	Samba※6
	メールサーバ	RA提供無し（initスクリプト(LSB)を利用すれば可能）	Postfix,Dovecot,Sendmail※2	Postfix,IIS(SMTP)※6
	データ連携	-	HULFT7動作確認済み	HULFT7
	データ同期	DRBD,rsync	○※5	○※7
	仮想化	Xen,KVM	Vmware,Xen,KVM,Microsoft Hyper-V	Vmware,Xen,KVM,Microsoft Hyper-V
	対応していないリソースの対応	CFSスクリプト作成	不明	LifeKeeper Generic ARK
構築/運用	設定・管理方法	コマンドベース（運用レベルで利用可能なGUIあり）	PoWebブラウザによる管理画面/コマンドライン	Java ベースのGUI 管理画面/コマンドライン
構築/運用	バグ修正、パッチの提供	○	○	○

※0　PeaceMakerはオープンソースですが、LINBIT社でサポートを受けられます。
※1 CLUSTERPRO X Database Agent 3.1
※2 CLUSTERPRO X Internet Server Agent 3.1
※3 CLUSTERPRO X Application Server Agent
※4 CLUSTERPRO X File Server Agent 3.1
※5 CLUSTERPRO X Replicator 3.1
※6 ARK
※7 LifeKeeper Data Replication

[5回]