ネットワークスペシャリスト試験 令和5年度 春期 午後2 問1
【出典:ネットワークスペシャリスト試験 令和5年度 春期 午後2 問1(一部、加工あり)】
問1 マルチクラウド利用による可用性向上に関する次の記述を読んで、設問に答えよ。
A社は、従業員500人のシステム開発会社である。A社では、IaaSを積極的に活用して開発業務を行ってきたが、利用しているIaaS事業者であるB社で大規模な障害が発生し、開発業務に多大な影響を受けた。A社のシステム部では、利用するIaaS事業者をもう1社追加してマルチクラウド環境にし、本社を中心にネットワーク環境も含めた可用性向上に取り組むことになり、Eさんを担当者として任命した。
現在のA社のネットワーク構成を図1に示す。
図1の概要を次に示す。
- A社は本社と2か所の営業所で構成されている。
- D社閉域NWを利用して、本社と2か所の営業所を接続している。R11及びR20といったA社とD社閉域NWとを接続するルータは、D社からネットワークサービスとして提供されている。
- D社閉域NWとB社IaaSは相互接続しており、A社はD社閉域NW経由でB社IaaSを利用している。
- A社ネットワークでは静的経路制御を利用している。
- B社からは、Webブラウザを利用した画面操作によって、IaaS上に仮想ネットワーク、仮想サーバを簡単に構築できる管理コンソールが提供されている。
- A社のシステム部は、受託した開発業務ごとに開発サーバBを構築し、A社の担当部門に引き渡している。開発サーバBの運用管理は担当部門で実施する。
- システム部は、共用のファイルサーバを構築し、A社の全部門に提供している。
- A社の全部門で利用する電子メールやチャット、スケジューラーなどのオフィスアプリケーションソフトウェアはインターネット上のSaaSを利用している。これらのSaaSはHTTPS通信を用いている。
- A社の一部の部門では、担当する業務に応じてインターネット上のSaaSを独自に契約し、利用している。これらのSaaSでは送信元IPアドレスによってアクセス制限をしているものもある。これらのSaaSもHTTPS通信を用いている。
- プロキシサーバAは、従業員が利用するPCやサーバからインターネット向けのHTTP通信、HTTPS通信をそれぞれ中継する。従業員はプロキシサーバとしてproxy.a-sha.co.jpをPCのWebブラウザやサーバに指定している。
- A社は、本社設置のR10を経由してインターネットに接続している。FW10にはグローバルIPアドレスを付与しており、FW10を経由するインターネット宛ての通信はNAPT機能によってIPアドレスとポート番号の変換が行われる。
- キャッシュDNSサーバは、PCやサーバからの問合せを受け、ほかのDNSサーバへ問い合わせた結果を応答する。キャッシュDNSサーバは複数台設置されている。
- コンテンツDNSサーバは、PCやサーバのホスト名などを管理し、PCやサーバなどに関する情報を応答する。コンテンツDNSサーバは複数台設置されている。
- 監視サーバは、ICMPを利用する死活監視(以下、ping監視という)を用いてDMZやIaaSにあるサーバの監視を行っている。監視サーバで検知された異常はシステム部の担当者に通知され、復旧作業などの必要な対応が行われる。
システム部では、ネットワーク環境の可用性向上の要件を次のとおりまとめた。
- 新規にC社のIaaSを契約し、B社IaaSと併せたマルチクラウド環境にし、D社閉域NW経由で利用する。
- A社本社とD社閉域NWとの接続回線を追加し、マルチホーム接続とする。
- インターネット接続を本社経由からD社閉域NW経由に切り替える。
可用性向上後のA社のネットワーク構成を図2に示す。
[B社とC社のIaaS利用]
C社からも、B社と同様に管理コンソールが提供されている。B社IaaSに構築された仮想ネットワーク、仮想サーバとC社IaaSに構築された仮想ネットワーク、仮想サーバはD社閉域NWを経由して相互に通信できる。
Eさんは、B社とC社のIaaS利用方針を次のとおり策定した。
- C社IaaSにファイルサーバCを新たに構築し、ファイルサーバBと常に同期をとるように設定する。A社従業員はファイルサーバB又はファイルサーバCを利用する。
- B社IaaSにプロキシサーバBを、C社IaaSにプロキシサーバCを新たに構築し、プロキシサーバAから切り替える。
- B社IaaSを利用して開発サーバBを、C社IaaSを利用して開発サーバCを構築し、A社の担当部門に引き渡す。
[プロキシサーバの利用方法の検討]
Eさんは、IaaSに構築するプロキシサーバBとプロキシサーバCの利用方法を検討した。プロキシサーバの利用方法の案を表1に示す。
Eさんは、従業員が利用するプロキシサーバを、DNSの機能を利用して制御することを考えた。プロキシサーバに障害が発生した際には、DNSの機能を利用して切り替える。
プロキシサーバに関するDNSゾーンファイルの記述内容を表2に示す。
Eさんは、プロキシサーバの監視運用について検討した。監視サーバで利用できる①ping監視では不十分だと考え、新たにTCP監視機能を追加し、プロキシサーバのアプリケーションプロセスが動作するポート番号にTCP接続可能か監視することにした。また、監視対象として、従業員がプロキシサーバとして指定するホストに加えて、プロキシサーバA、プロキシサーバB、プロキシサーバCのホストを設定することにした。
次に、監視サーバでプロキシサーバBの異常を検知した際に、従業員がプロキシサーバの利用を再開できるようにするための復旧方法として、②DNSゾーンファイルの変更内容を案1、案2それぞれについて検討した。また、③平常時からproxy.a-sha.co.jpに関するリソースレコードのTTLの値を小さくすることにした。
これらの検討の結果、プロキシサーバの負荷分散ができること、及びプロキシサーバの有効活用ができることから案2の方が優れていると考え、Eさんは案2を採用することにした。
さらに、Eさんは、自動でプロキシサーバを切り替えるために④DNSとは異なる方法で従業員が利用するプロキシサーバを切り替える方法も検討した。プロキシサーバを利用する側の環境に依存することから、DNSゾーンファイルの書換えによる切替えと併用することにした。
表2中の案2の初期設定について、負荷分散を目的として一つのドメイン名に対して複数のIPアドレスを割り当てる方式名を答えよ。:DNSラウンドロビン
案2は、表1から「平常時からプロキシサーバB及びプロキシサーバCを利用し、片方に障害が発生した際には正常稼働しているもう片方を利用するように切り替える。」というもので、プロキシサーバB、C間で負荷分散することからDNSラウンドロビンであることが想定できます。
プロキシサーバについては、「従業員はプロキシサーバとしてproxy.a-sha.co.jpをPCのWebブラウザやサーバに指定している。」という記述があり、DNSサーバへの問合わせは「proxy.a-sha.co.jp」であることを前提に、表2の「案2の初期設定」を確認します。
最初の2行が、「proxy.a-sha.co.jp」というFQDN(設問ではドメイン名)に対して「192.168.1.145」「192.168.2.145」という二つのIPアドレスを割り当てています。
「192.168.1.145」がプロキシサーバB、「192.168.2.145」がプロキシサーバCということでしょう。
これによってDNSサーバは「proxy.a-sha.co.jp」の問合せに対し、二つのIPアドレスを順番に回答して、負荷分散します。
下線①について、ping監視では不十分な理由を40字以内で答えよ。:プロキシサーバのアプリケーションプロセスが停止した場合に検知できないから
「監視サーバで利用できる①ping監視では不十分だと考え、新たにTCP監視機能を追加し、プロキシサーバのアプリケーションプロセスが動作するポート番号にTCP接続可能か監視することにした。」
プロキシサーバの監視運用について、これまでのping監視からTCP監視によるアプリケーション動作状況までの監視とすることにしたようです。
現状のping監視については、「監視サーバは、ICMPを利用する死活監視(以下、ping監視という)を用いてDMZやIaaSにあるサーバの監視を行っている。監視サーバで検知された異常はシステム部の担当者に通知され、復旧作業などの必要な対応が行われる。」という記述のとおり、IPレベルでのサーバの死活監視を行っていました。
今回のマルチクラウドへの移行の背景となった障害については、「A社では、IaaSを積極的に活用して開発業務を行ってきたが、利用しているIaaS事業者であるB社で大規模な障害が発生し、開発業務に多大な影響を受けた。」とあり具体的な障害内容は説明されていませんが、マルチクラウド化に併せて、監視範囲をアプリケーションレベルまで拡張することで可用性向上を目指したということでしょう。
下線②について表2の案1の初期設定を対象に、ドメイン名proxy.a-sha.co.jpの書換え後のIPアドレスを答えよ。:192.168.2.145
「次に、監視サーバでプロキシサーバBの異常を検知した際に、従業員がプロキシサーバの利用を再開できるようにするための復旧方法として、②DNSゾーンファイルの変更内容を案1、案2それぞれについて検討した。」
案1は、表1から「平常時はプロキシサーバBを利用し、プロキシサーバBに障害が発生した際にはプロキシサーバCを利用するように切り替える。」というものです。
表2から案1の初期設定を確認すると、ドメイン名「proxy.a-sha.co.jp」は「192.168.1.145」、つまりプロキシサーバBとなっています。
「従業員がプロキシサーバの利用を再開できるようにするための復旧方法」と紛らわしい表現ですが、要は従業員がプロキシサーバとして指定している「proxy.a-sha.co.jp」を継続して使用できるようにするための方法ですので、プロキシサーバCのIPアドレスである「192.168.2.145」を設定します。
下線③について、TTLの値を小さくする目的を40字以内で答えよ。:キャッシュDNSサーバがキャッシュを保持する時間を短くするため
「また、③平常時からproxy.a-sha.co.jpに関するリソースレコードのTTLの値を小さくすることにした。」
DNSでは、リソースレコードごとにTTL(Time To Live)を設定して、名前解決で問合せした結果を保持(キャッシュ)する時間を指定することができます。
TTLを長くすると、キャッシュDNSサーバがコンテンツDNSサーバに問合わせるする頻度を減らすことができますが、その分コンテンツDNSサーバの変更結果を反映するのに時間がかかります。
今回、DNSゾーンファイルの変更によってプロキシサーバを切り替えるため、TTLの値を小さくして、キャッシュDNSサーバがキャッシュを保持する時間を短くします。
下線④について、DNSとは異なる方法を20字以内で答えよ。また、その方法の制限事項を、プロキシサーバを利用する側の環境に着目して25字以内で答えよ。:プロキシ自動設定機能を利用する。/対応するPCやサーバでしか利用できない。
「さらに、Eさんは、自動でプロキシサーバを切り替えるために④DNSとは異なる方法で従業員が利用するプロキシサーバを切り替える方法も検討した。」
自動でプロキシサーバを切り替える方法には、ブラウザのPAC(Proxy Auto-Configuration:プロキシ自動設定)があります。
PACでは、WebサーバにPACファイルを配置し、ブラウザの設定画面でそのPACファイルを指定します。
PACファイルには複数のプロキシサーバを定義、先頭から優先的に使用されるようにし、当該プロキシサーバが使用不可の時に次のプロキシサーバに切り替えて接続するような動作が可能です。
PACの制限事項についてプロキシサーバを利用する側の環境、つまり、PCやサーバの環境に着目します。
PACの設定はブラウザで行うため、当然ですがブラウザを利用しないPCやサーバでは利用できないことになります。