Usamimi.info: チケット
http://marisa.usamimi.info/project/
http://marisa.usamimi.info/project/project/favicon.ico?1616316025
2016-03-10T02:50:24Z
Union -ゲームやろうZE-
Redmine
サポート #229 (終了): postfixの不正アクセスを防ぐ為、ユーザーのアクセス元を国内限定にする
http://marisa.usamimi.info/project/issues/229
2016-03-10T02:50:24Z
Clelia ごりゅ
sakura@usamimi.info
<a name="概要"></a>
<h2 >概要<a href="#概要" class="wiki-anchor">¶</a></h2>
<p>スパムを弾く話はたくさん見つかる<br />個人利用であれば十分ですが<br />共用サーバーにおいては、沢山の利用者のセキュリティ状態も様々である為<br />パスワードが外部に漏れる、類推されるなどして認証を通り抜け<br />スパム送信の踏み台にされる状況がそこそこの頻度で発生しています。</p>
<p>根本原因をどうにかするには今のパスワードに頼るやり方を変える必要がありますが<br />とりあえず、接続元を国内に限定しかつパスワード認証を通ったらメールを送れるようにします。</p>
<a name="設定"></a>
<h2 >設定<a href="#設定" class="wiki-anchor">¶</a></h2>
<pre>
smtpd_restriction_classes =
check_client_jp
check_client_jp =
permit_sasl_authenticated
smtpd_recipient_restrictions =
check_recipient_access hash:/usr/local/etc/postfix/reject_sender,
permit_mynetworks,
check_client_access cidr:/usr/local/etc/postfix/check_client_country,
reject_unauth_destination,
check_policy_service inet:127.0.0.1:10023
</pre>
<p>check_client_access cidr:/usr/local/etc/postfix/check_client_country部分で<br />特定のIPかどうかを判定します。check_client_countryにはJPのIPのみがリストされています。</p>
<p>smtpd_restriction_classes =<br /> check_client_jp</p>
<p>check_client_countryにリストされているIPの場合「check_client_jp」フラグが立ちます。<br />フラグが立つと以下の処理に入ります。</p>
<p>check_client_jp =<br /> permit_sasl_authenticated</p>
<p>メール認証に入り、認証が通れば処理が許可されます。<br />リストされたIPのみがメール認証に入れる、それ以外は後続の処理に回される為<br />国内以外は、アカウントのパスワードを知っていたとしても認証にたどり着けないわけです。</p>
<p>check_client_countryの作成には、参考URLで紹介されている「getApnicCidr.txt」を使いました。<br />全自動でJPの全IPを取得し、リスト化までしてくれるため大変助かりました。</p>
<a name="効果"></a>
<h2 >効果<a href="#効果" class="wiki-anchor">¶</a></h2>
<a name="参考URL"></a>
<h2 >参考URL<a href="#参考URL" class="wiki-anchor">¶</a></h2>
<p><a class="external" href="http://cmf.ohtanz.com/antispam.html">http://cmf.ohtanz.com/antispam.html</a></p>
サポート #218 (終了): 海外からのアタックに対する予防策を考える
http://marisa.usamimi.info/project/issues/218
2015-09-11T01:34:06Z
Clelia ごりゅ
sakura@usamimi.info
<a name="概要"></a>
<h3 >概要<a href="#概要" class="wiki-anchor">¶</a></h3>
<p>海外からの不正アクセスを防ぎ、usamimi.infoの環境を保護する<br />そうする事でサービスが止められてしまわないようにする</p>
<p>どのような理由があってもサービスが停止する事は、usamimi.infoの信用を損ねてしまうので<br />ユーザーさんに失望されないように注意しなければならない。</p>
<a name="発覚までの経緯"></a>
<h3 >発覚までの経緯<a href="#発覚までの経緯" class="wiki-anchor">¶</a></h3>
<p>つい先日に「usamimi.infoが少し重いかも?」といった早期警戒的な連絡を頂いたり<br />メインサーバーの通信量が増えていたり<br />負荷分散サーバーが頻繁に落ちたりと、少し怪しい雰囲気はあった。</p>
<p>しかしこの時点では、落ちた原因は夏の暑さでオーバーヒートしているか<br />負荷分散サーバーが落ちた事で通信にバタつきが生じて、重いように感じているのでは<br />といった感じであまり深く考えていなかった。</p>
<p>復帰させた負荷分散サーバーが1時間程度で再び落ちるといった異常な状態に遭遇した為<br />これは何か起きてそうな予感を感じ、負荷分散サーバーの主な仕事であるWEBサーバーのログをチェックしました。<br />結果、wp-login.phpへの大量のアクセスがある事が発覚し、これが原因となって過負荷で落ちている事が本当の原因であることが分かりました。</p>
<a name="対策した内容"></a>
<h3 >対策した内容<a href="#対策した内容" class="wiki-anchor">¶</a></h3>
<ul>
<li>ファイヤーウォール(ipfw)にIPを追加し、1つ1つアタックしてくるIPを除外するやり方<br />結果は、IPをガンガン変えながらアクセスしに来たのでこちらでは対応しきれない状態になりました(マイナーな国ではジンバブエのIPとか。。。</li>
</ul>
<ul>
<li>htaccess(apacheの設定)を使い、国単位でアクセスをブロックするやり方<br />国単位ブロックの機能を使って、不正確セスの多い国ごとアクセスを遮断する<br />効果はてきめんでしたが、日本以外からのアクセスがあるサイトもあった為<br />弊害として正常なアクセスを排除してしまう事態が発生しました。
<ul>
<li>国単位でブロックするのはPOSTのみに限定しGETや他のメソッドは制限しない<br />最終的にはこのようにしました。</li>
</ul></li>
</ul>
<a name="具体的な設定"></a>
<h3 >具体的な設定<a href="#具体的な設定" class="wiki-anchor">¶</a></h3>
<p>apacheに対して以下の設定を施しています。</p>
<pre>
<Directory />
AllowOverride None
Order allow,deny
Allow from all
<Limit POST>
SetEnvIf GEOIP_COUNTRY_CODE CN BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE ID BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE RU BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE KR BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE TW BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE FR BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE UA BlockCountry
Deny from env=BlockCountry
</Limit>
<Files "wp-login.php">
Order deny,allow
Deny from all
SetEnvIf GEOIP_COUNTRY_CODE JP OkCountry
Allow from env=OkCountry
</Files>
</Directory>
</pre>
<a name="ユーザー側での制御"></a>
<h3 >ユーザー側での制御<a href="#ユーザー側での制御" class="wiki-anchor">¶</a></h3>
<p>現状、Limit部分の物はOrderがallow,denyであるため(許可をチェックしてから、許可しないで絞る<br />幾ら許可を増やしても、許可しないを取り消せないと思います。</p>
<p>wp-login.phpはorderを変えてdeny,allowにしている為(許可しないをチェックしてから、許可するを追加する<br />許可する設定をhtaccessに追加してあげれば、後から制限を緩和できます。<br />Limitの方もその設定にしていった方がいいのでしょうかね。</p>
<p>具体例<br /><pre>
<Files "wp-login.php">
SetEnvIf GEOIP_COUNTRY_CODE FR OkCountry
Allow from env=OkCountry
Allow from 192.168.0.111
</Files>
</pre></p>
<a name="参考情報"></a>
<h3 >参考情報<a href="#参考情報" class="wiki-anchor">¶</a></h3>
<p>レン鯖の中で有名な、さくらインターネットさんでは、アクセスを日本のみに絞るサービスを提供しているみたいです。<br /><a class="external" href="https://help.sakura.ad.jp/app/answers/detail/a_id/2258?_ga=1.222648539.1138274740.1441933429">https://help.sakura.ad.jp/app/answers/detail/a_id/2258?_ga=1.222648539.1138274740.1441933429</a><br />無効にすることも可能ですが、デフォルトでは有効になっているみたいですね。<br />安全策なので、都合が悪くなければ有効にするべきだとは思います。<br />デフォルト無効だと、設定してくれるユーザーさんもいれば<br />放置してしまうユーザーさんもいる為、そこを攻撃される心配を考えれば、ですね</p>
<a name="国単位アクセス制限について"></a>
<h3 >国単位アクセス制限について<a href="#国単位アクセス制限について" class="wiki-anchor">¶</a></h3>
<p>GeoIPの機能を使って実現しています。<br />IP単位で管理する必要が無くなる為、大変助かっています。</p>
<p>以下はクレジット</p>
<p>この製品には MaxMind が作成した GeoLite2 データが含まれており、<br /><a class="external" href="http://www.maxmind.com">http://www.maxmind.com</a> から入手いただけます。</p>
サポート #203 (終了): varnishの挙動、設定についてメモ
http://marisa.usamimi.info/project/issues/203
2015-02-20T09:15:04Z
Clelia ごりゅ
sakura@usamimi.info
<a name="キャッシュの制御"></a>
<h2 >キャッシュの制御<a href="#キャッシュの制御" class="wiki-anchor">¶</a></h2>
<p>キャッシュが無かったりして、バックのapacheからデータを取ってくる処理<br />「vcl_fetch」の部分にキャッシュ制御用の処理を書く</p>
<ul>
<li>キャッシュの有効期限を自分で指定する<br />set beresp.ttl = 300s</li>
</ul>
<ul>
<li>指定しない場合のキャッシュの有効期限の優先順位(上から順)
<ul>
<li>The s-maxage variable in the Cache-Control response header</li>
<li>The max-age variable in the Cache-Control response header</li>
<li>The Expires response header</li>
<li>The default_ttl parameter.</li>
</ul>
</li>
<li>Varnishのドキュメントより<br /><a class="external" href="https://www.varnish-software.com/static/book/VCL_Basics.html">https://www.varnish-software.com/static/book/VCL_Basics.html</a></li>
</ul>
サポート #202 (終了): MySQL Clusterの導入を検討する
http://marisa.usamimi.info/project/issues/202
2015-02-16T06:19:19Z
Clelia ごりゅ
sakura@usamimi.info
<a name="概要"></a>
<h2 >概要<a href="#概要" class="wiki-anchor">¶</a></h2>
<p>クラスター化されたMySQL<br />データノード、SQLノード、管理ノードの3つの役割からなり<br />データノードを増やせば、データの格納量が増え<br />SQLノードを増やせば、SQLの処理速度がアップ<br />管理ノードは、調停役</p>
<p>なんといっても、既存のMySQLではついぞ出来なかった完全な冗長構成と<br />後からサーバーを追加する事でパワーアップが容易にできる点がとても魅力的に映ります。</p>
<p>SQL互換も高くなった為、wordpressなどもそのまんまで乗っけられる模様。</p>
<p>サーバーが最小の構成の場合は、既存のMySQL+innodbの組み合わせの方が速くなるみたいです。<br />構成が大規模になる為、今のサーバー環境を考えると大げさか?</p>
サポート #199 (終了): PHP 5.5で標準となったZend OPcacheを有効化する
http://marisa.usamimi.info/project/issues/199
2014-11-13T11:07:29Z
Clelia ごりゅ
sakura@usamimi.info
<p>かつてusamimi.infoでも導入していた、PHPアクセラレータ<br />PHP本体に組み込まれ比較的安心して使用できるようになった為<br />再びこの機能を有効化するべく、計画を進めていきます。</p>
<a name="メリット"></a>
<h2 >メリット<a href="#メリット" class="wiki-anchor">¶</a></h2>
<ul>
<li>PHPの動作の高速化が期待できる<br />この所、サーバーが遅いという話もちらほら聞いたりしています。</li>
<li>PHP本体に組み込まれている為、PHPのバージョンアップと同時にリリースされる<br />以前はPHPの新しいバージョンが出ても、対応するまではバージョンアップできませんでした。</li>
</ul>
<a name="具体的な有効化手順"></a>
<h2 >具体的な有効化手順<a href="#具体的な有効化手順" class="wiki-anchor">¶</a></h2>
<p>後々書き足します</p>
<a name="具体的な設定項目の意味と設定値"></a>
<h2 >具体的な設定項目の意味と設定値<a href="#具体的な設定項目の意味と設定値" class="wiki-anchor">¶</a></h2>
<p>後々書き足します。</p>
<a name="スケジュール"></a>
<h2 >スケジュール<a href="#スケジュール" class="wiki-anchor">¶</a></h2>
<p><del>今月(11月)中でしょうか・・・・</del><br />php5.5をmakeした時に、デフォルトで一緒にmakeされる為、準備の必要が無く<br />すぐに有効化する事が出来ました。</p>
サポート #196 (終了): DNSサーバーの引っ越し
http://marisa.usamimi.info/project/issues/196
2014-10-29T05:01:49Z
Clelia ごりゅ
sakura@usamimi.info
<a name="作業内容"></a>
<h2 >作業内容<a href="#作業内容" class="wiki-anchor">¶</a></h2>
<ul>
<li>旧サーバー側</li>
<ol>
<li>namedbディレクトリを丸ごとtarなどで固めてからコピーする</li>
</ol></li>
</ul>
<ul>
<li>新サーバー側</li>
<ol>
<li>acl fowに、新サーバーを追加する</li>
<li>rc.confに起動情報を書き込んで起動。</li>
</ol></li>
</ul>
<ul>
<li>既存サーバー</li>
<ol>
<li>resolv.confの中身を書き換える</li>
</ol></li>
</ul>
<ul>
<li>スレーブサーバー</li>
<ol>
<li>mastersのIPを書き換える。</li>
</ol></li>
</ul>
<a name="残件"></a>
<h2 >残件<a href="#残件" class="wiki-anchor">¶</a></h2>
<ul>
<li>旧DNSマスターサーバーをどうするか<br />スレーブとして再構築するのが間違いないか?
<ul>
<li>スレーブでもない、キャッシュサーバーとして新生させました。</li>
</ul></li>
</ul>
サポート #194 (終了): PHP5.5系をデフォルトに変更する
http://marisa.usamimi.info/project/issues/194
2014-10-28T11:19:26Z
Clelia ごりゅ
sakura@usamimi.info
<p>現在のデフォルトは5.3系と既に古く<br />公式のサポートも既に切れたため、インストール済みの5.5系に切り替えを実施する。</p>
<a name="作業内容"></a>
<h2 >作業内容<a href="#作業内容" class="wiki-anchor">¶</a></h2>
<ol>
<li>PHP5.5系の最新版にアップデートしておく。</li>
<li>設定変更する部分を確認する。</li>
<li>MLを使ってアナウンスする。(猶予は1週間くらいを考えるべきか)</li>
<li>設定を変更する</li>
</ol>
<a name="コメント"></a>
<h2 >コメント<a href="#コメント" class="wiki-anchor">¶</a></h2>
<p>最近はどうしても思い立ったらすぐサーバー構成を変更するという事が流石に出来ない為<br />歯がゆい+面倒に感じてしまいますが、がんばりましょう。</p>
<a name="スケジュール"></a>
<h2 >スケジュール<a href="#スケジュール" class="wiki-anchor">¶</a></h2>
<p>今週中にアナウンスはしたい所<br />よって、期日は週末までとし、フェーズが進んだら期日も変更します。</p>
サポート #193 (終了): CPU温度の取得
http://marisa.usamimi.info/project/issues/193
2014-10-28T05:21:44Z
Clelia ごりゅ
sakura@usamimi.info
<p>メモ</p>
<p><code>kldload coretemp</code></p>
<p>参考URL<br /><a class="external" href="http://d.hatena.ne.jp/sillywalk7/20120503">http://d.hatena.ne.jp/sillywalk7/20120503</a></p>
<p>loadr.confには以下を記述</p>
<p><code>coretemp_load="YES"</code></p>
<p>GRUBを使っているからか<br />なにやらおまじないを掛けるように書かれているのでそれも実行する</p>
サポート #192 (終了): openldapのインストール構築
http://marisa.usamimi.info/project/issues/192
2014-10-27T02:36:12Z
Clelia ごりゅ
sakura@usamimi.info
<p>ldapサーバーを構築します。<br />インストールについてはpkgを使用してインストールしました。<br />pkg install openldap-server</p>
<a name="作業ログ"></a>
<h2 >作業ログ<a href="#作業ログ" class="wiki-anchor">¶</a></h2>
<p>旧サーバーのslapd.confを持って来る<br /><pre>
cp -i slapd.conf /usr/local/etc/openldap/
</pre></p>
<p>DB_CONFIGファイルを準備する<br /><pre>
cp DB_CONFIG.example /var/db/openldap-data/DB_CONFIG
</pre></p>
<p>DBの持ち主を修正<br /><pre>
cd /var/db/openldap-data/
chown ldap:ldap *
</pre></p>
<p>アカウント情報を投入する<br /><pre>
slapadd -l xxxxxxxxxx
</pre></p>
<p>旧サーバーをスレーブにするにはスレーブの設定を投入して再起動でOK</p>
<ul>
<li>各種既存サーバーの設定</li>
</ul>
<ul>
<li>ldap.confの中身を編集し、管理サーバーに向くように変更</li>
<li>account作成スクリプトの中身を編集する、root配下の物以外にもchange系のスクリプトもあるので注意の事(メールアドレス情報とか</li>
</ul>
<a name="メモ"></a>
<h2 >メモ<a href="#メモ" class="wiki-anchor">¶</a></h2>
<p>ldap.confの設定<br /><a class="external" href="http://d.hatena.ne.jp/millsol/20111117/p1">http://d.hatena.ne.jp/millsol/20111117/p1</a></p>
<p>タイムアウトをさっさと行わせて<br />鯖落ち時に出来るだけ早くローカルアカウントを使う方向にする</p>
サポート #191 (終了): Modsecurityの設定を調整する(Geoipとの連携を稼働させる)
http://marisa.usamimi.info/project/issues/191
2014-10-23T07:13:33Z
Clelia ごりゅ
sakura@usamimi.info
<p>スパムを防ぐため、Modsecurityを導入していますが<br />設定がなかなかに難しく、usamimi.infoのコンテンツはごりゅ自身が把握できないほど広大である為<br />思い切った設定が出来ていません。</p>
<p>大規模に絨毯爆撃のごとく行われるスパムアクセスを弾く1つの案として<br />以下を採用しようとしています。</p>
<ul>
<li>POSTでのアクセスでIPアドレスの国情報がJP以外だったら弾く</li>
</ul>
<p>JP以外というのがなかなか曲者で、usamimi.info内部IP(プライベートIP)も当然JPという判断にはなりません<br />そこで以下の様な設定を段階的に投入してみます。</p>
<ul>
<li>POSTでのアクセスでIPアドレスの国情報がCNだったら弾く</li>
<li>POSTでのアクセスでIPアドレスの国情報がRUだったら弾く</li>
<li>POSTでのアクセスでIPアドレスの国情報がFRだったら弾く</li>
</ul>
<p>特定の国だったら弾くというもの、これなら上手く行きそうです。<br />GETを制限してしまうと、アクセスすらできなくなりますがPOSTに限定しています。</p>
サポート #190 (終了): 隔離サーバーkomachiのリプレースを考える
http://marisa.usamimi.info/project/issues/190
2014-10-20T07:49:03Z
Clelia ごりゅ
sakura@usamimi.info
<p>現在の隔離サーバーkomachiは、全サーバー群の中で一番古い世代になっています。<br />各種OSSのアップグレードなども置き去りにされてしまっている為<br />そろそろリプレースを考えなければいけません。</p>
<a name="各種項目"></a>
<h2 >各種項目<a href="#各種項目" class="wiki-anchor">¶</a></h2>
<ol>
<li>隔離アカウントの処理をメインサーバーに戻す</li>
<li>moewikiの処理を別サーバーに委任する</li>
<li>新サーバーの構築 or 現行サーバーを初期化して再構築</li>
<li>隔離アカウントの処理を戻す</li>
</ol>
<a name="コメント"></a>
<h2 >コメント<a href="#コメント" class="wiki-anchor">¶</a></h2>
<p>そもそも、最近はマシンスペックに余裕がある為<br />新たに隔離されるアカウントは皆無である。</p>
<p>広告収入は、4か月に1万円程度のもの<br />維持費や手間を考えると、有り難いけども釣り合いが取れているようには見えない。</p>
サポート #189 (終了): 掲示板、フォーラムの引っ越し
http://marisa.usamimi.info/project/issues/189
2014-10-20T07:23:08Z
Clelia ごりゅ
sakura@usamimi.info
<p>現状機能していないxoopsなどの掲示板機能をredmieのフォーラムに引っ越します。<br />guestでも書き込みできるようにしないといけません。。。。</p>
サポート #188 (終了): wikiの引っ越し
http://marisa.usamimi.info/project/issues/188
2014-10-20T07:21:42Z
Clelia ごりゅ
sakura@usamimi.info
<p>wikiを引っ越し</p>
<p><a class="external" href="http://www.usamimi.info/~sakura/cgi-bin/puki/">http://www.usamimi.info/~sakura/cgi-bin/puki/</a></p>
<p>redmineのwikiに取り込みます。</p>
サポート #187 (終了): 管理サーバーの建造を考える
http://marisa.usamimi.info/project/issues/187
2014-10-17T10:26:37Z
Clelia ごりゅ
sakura@usamimi.info
<p>現在、アカウント情報やユーザーデータ、DNSサーバーなどの全ての情報は<br />メインサーバーであるpatchouliに集約されています。<br />集約されているがゆえに、メインサーバーが落ちると全てのサーバーへのアクセスが困難になる為<br />管理系の情報を分離し、patchouliが落ちてもある程度サービスが維持できるようにする事を考えます。</p>
<p>patchouliは、高いスペックを無駄なく使う為<br />WEBサーバーを抱えるfrandreをjailで内包しています。<br />それゆえ、プログラムの暴走や過度のアクセスなどで道連れにされて落ちる事があり<br />完全な安定性を得る事が出来ませんでした。<br />その反省として、管理に関する部分は分離します。</p>
<a name="希望スペック"></a>
<h2 >希望スペック<a href="#希望スペック" class="wiki-anchor">¶</a></h2>
<ol>
<li>全てのサーバーの中で一番安定させる必要がある</li>
<li>常時稼働し続ける為、省電力を目指す</li>
<li>ユーザーデータを処理するサーバーでは無い為、スペックはそこそこで良い</li>
<li>データ量も少ない為、小さなサーバーを希望</li>
</ol>
<a name="スペックに対するコメント"></a>
<h2 >スペックに対するコメント<a href="#スペックに対するコメント" class="wiki-anchor">¶</a></h2>
NUCで組んでみるのが良さそうか
<ul>
<li>NUCで気になる点は排熱や耐久度<br />排熱については、アルミケースなどを検討してみる<br /><a class="external" href="http://shop.tsukumo.co.jp/special/130307n/">http://shop.tsukumo.co.jp/special/130307n/</a></li>
<li>サーバーマシンではないので耐久度の部分は仕方がない部分はありますが<br />今もサーバーマシンを使っているわけではないので割り切るか</li>
<li>2台組んで冗長化する手も(今度はコストが気になってくる)</li>
</ul>
<a name="候補"></a>
<h2 >候補<a href="#候補" class="wiki-anchor">¶</a></h2>
<p>Core i5<br />NUC Kit D54250WYKH<br /><a class="external" href="https://www.ark-pc.co.jp/i/31400573/">https://www.ark-pc.co.jp/i/31400573/</a><br />Core i3<br />NUC Kit D34010WYKH<br /><a class="external" href="https://www.ark-pc.co.jp/i/31400574/">https://www.ark-pc.co.jp/i/31400574/</a></p>
<p>45k程度として、これにメモリとHDDが必要になります。<br />排熱を考えるとSSDをチョイスしたい所</p>
<p>合せるメモリ(DDR3L 8GB)<br />SMD-N8G28CP-16KL-D<br /><a class="external" href="https://www.ark-pc.co.jp/i/11702332/">https://www.ark-pc.co.jp/i/11702332/</a></p>
<p>よく見るとELPIDAがある。。。<br /><a class="external" href="https://www.ark-pc.co.jp/i/11702273/">https://www.ark-pc.co.jp/i/11702273/</a></p>
<p>合せるSSD、せっかく2.5inchが積めるなら<br />PX-128M6Pro (128GB)<br /><a class="external" href="https://www.ark-pc.co.jp/i/13511093/">https://www.ark-pc.co.jp/i/13511093/</a></p>
<p>用途はたくさんありますが、スペックはそこまで必要ないと判断します。(frandreを抱えたりはしない方針)<br />その為i3の方で進めて、55k程度になる予定。</p>
<a name="用途"></a>
<h2 >用途<a href="#用途" class="wiki-anchor">¶</a></h2>
<ol>
<li>アカウント情報管理(ldap server)
<ol>
<li>子チケット登録しました。</li>
</ol>
</li>
<li>KVMスイッチへの中継(iOS機器からIP KVMへ繋ぎたい)<br />iOS <del>>(リモートデスクトップ)</del>> 管理サーバー <del>>(専用ソフトorブラウザ(java))</del>> IPKVMスイッチ -> 問題を起こしているサーバー<br />KVMはキーボード、ビデオ、マウスの略で、IP対応ではコンソールそのものをリモートから操作できる<br />高い代物でしたが、BIOS画面すらリモート操作できるので、サーバーメンテナンスの強い味方<br />リモートデスクトップの部分については「FreeRDP」を使うのが良さそう?<br />iOS/Android用のクライアントもあるみたいです。
<ol>
<li><abbr title="FreeRDPのサーバー実装">XRDP</abbr></li>
<li>Microsoft リモートデスクトップ (IOSの実装)<br />なんとMS公式のクライアントで接続できます。</li>
<li>X.orgとxfce4の組み合わせで構築<br />KVMからではマウスが動かない不具合。。。<br />とはいえ、管理サーバーのXにはRDPで接続して行うので、コンソールは不要であるため問題解決に時間は割かないことにした。</li>
</ol>
</li>
<li>DHCPサーバー
<ol>
<li>構築しました。pkgで入れた後は設定ファイルとDBファイルをまるっとコピーして動作OKになっています。</li>
</ol>
</li>
<li>監視システムの再構築(zabbix)<br />zabbixを入れるにはDBが必要だが負荷が結構大きいので<br />MySQLは今のDBサーバーとは分けて専用に管理サーバー内構築する</li>
<li>DNSサーバー<br />既存のDNSサーバーも残すがプライマリなサーバーはこちらにする。<br />子チケット登録しました。</li>
</ol>
<a name="運用方針"></a>
<h2 >運用方針<a href="#運用方針" class="wiki-anchor">¶</a></h2>
<ol>
<li>OSはFreeBSD<br />しかし今回Xを必要としているのでPC-BSDで入れる事も視野に入ってきます。</li>
<li>パッケージシステムを使ってアップデートを簡単にする<br />極力ソースインストールは行わない。</li>
<li>freebsd-updateを使う為、カーネルはカスタムしない<br />こうする事でOSのアップデートも容易にする</li>
<li>アップデート中はサーバーが落ちる為、機能の冗長化は必要<br />普段使われないスタンバイするサーバーの為に新たに組むのは勿体ないので既存のサーバーを残す方向で進める</li>
</ol>
サポート #186 (終了): patchouliのリプレースを検討する
http://marisa.usamimi.info/project/issues/186
2014-10-17T10:20:05Z
Clelia ごりゅ
sakura@usamimi.info
<p>メインサーバーであるpatchouliは稼働から5年以上は経過しています。<br />最近は、HDDの書き込み速度が低下している?のか動作が少し怪しく<br />サーバーの動作が詰まったりする事が起きている為、すっかりアップデートできなくなっているOSバージョンアップによる刷新も考えて<br />新しいマシンの構成を考えます。</p>
<a name="希望検討スペック"></a>
<h2 >希望、検討スペック<a href="#希望検討スペック" class="wiki-anchor">¶</a></h2>
<ol>
<li>CPUは主流のクラスを使う<br />Core i7 4790とか??</li>
<li>HDDかSSDを3台使用する<br />3台必要である為、グレードを上げるとコストに大きく響く<br />今のユーザー領域ならSSDで収められそう<br />将来、容量が増加していく見通しならHDDにするべきだけど</li>
<li>メモリは大きく載せたい<br />メモリのサイズは、DBサーバーを同居させるか否かに掛かっている<br />DBサーバー単独で1台組めるほど贅沢は出来ないので、同居する方向で考えておくべき</li>
<li>WEBサーバー機能は分離するか、否か<br />frandreをどうするか
<ol>
<li>別マシンに持って行ってもらう<br />新マシンのスペックが勿体ない、、、</li>
<li>これからもjailを使って同居する<br />今と同じようにダウンする確率が上昇する</li>
</ol></li>
</ol>
<a name="候補"></a>
<h2 >候補<a href="#候補" class="wiki-anchor">¶</a></h2>
<ul>
<li>Intel NUCで進める。
<ul>
<li>省電力化+省スペース化<br />省電力化は運用コストが減る<br />省スペース化は取り回しや場所を移動するのに便利<br />今のpatchouliの性能はfrandreを含めないのならオーバースペック<br />もし、IntelNUCでスペックが不足するようなら別途アプリケーション用のサーバーを立ち上げる<br />確認する限りではIntelNUCは今のpatchouliのスペックと同じかそれ以上になる見込み<br />気になるのは排熱や耐久性、管理サーバーのreimuを経過観察する。</li>
</ul></li>
</ul>
<ul>
<li>候補マシン<br /><strong>NUC5i5RYH</strong><br />3月出荷とあるので</li>
</ul>
<ul>
<li>スペックに関して<br />ストレージがM2 SSDと2.5inch HDD/SSDしか積めない<br />patchouliのストレージ(通称GreatLibrary)はHDDx3のzfs raid-z構成<br />内臓ストレージにはOSやシステムを積み込みます。<br />m2 SSDにはOS類を、2.5inchの方はZFSのlogやcacheもしくはバックアップデータを入れることを検討<br />USB3.0 x 4ある為、そちらにHDDをぶら下げて対応する。<br />使用するUSBHDDケースは以下を検討<br />OWL-ESL25S/U3<br /><a class="external" href="http://www.owltech.co.jp/products/esl25s_u3/">http://www.owltech.co.jp/products/esl25s_u3/</a><br />3台搭載可能なHDDケースも検討しましたが<br />5Gbpsの帯域を共有することを考えると、別々のポートに1台ずつの方がよいのかなと考えています。</li>
</ul>
<p>メモリは16GBを搭載</p>
<a name="ストレージ"></a>
<h2 >ストレージ<a href="#ストレージ" class="wiki-anchor">¶</a></h2>
<p>できればSSD x 3で進めたい<br />OSはFreeBSDを継承しつつZFSを引き続き採用</p>
<p>パフォーマンスを高める為ZILを設定したい<br />ZILには苦い思い出アリ、データが吹っ飛んだ事件<br />最終的に直近のバックアップから復旧するも、以後ZILを設定する事は無かった。<br />ZFSのバージョンも進みオンラインでZILを外したり付けたりできるようになったので、今なら問題ないかも</p>
<p>SSDの寿命は5年といわれている<br />現在のpatchouliになったのは2009年末、ちょうど運用5年くらいになる<br /><a class="external" href="http://www.usamimi.info/~sakura/cgi-bin/puki/?%BC%A1%A4%CEusamimi.info">http://www.usamimi.info/~sakura/cgi-bin/puki/?%BC%A1%A4%CEusamimi.info</a><br />書き換え量で寿命が延びたり短くなったりするため<br />この辺りを見積もる必要がありそう<br />zfsのスナップショットを見る限りでは、1日辺り100MB前後のデータが変わっているみたいだけども<br />これが書き換え量になるのかは分からない。</p>