ネットワークスペシャリスト試験 令和5年度 春期 午後2 問2
【出典:ネットワークスペシャリスト試験 令和5年度 春期 午後2 問2(一部、加工あり)】
[ECサーバの増強構成とLBの設定]
X主任が設計した内容をW課長に説明したときの、2人の会話を次に示す。
X主任:LBを利用してECサーバを増強する構成を考えました。購買担当者がECサーバにアクセスするときのURLの変更は不要です。
W課長:DNSサーバに対しては、図4のレコードを追加するだけで良いのでしょうか。
X主任:そうです。ECサーバの増強後も、図2で示したゾーン情報の変更は不要ですが、③図2中の項番5と項番11のリソースレコードは、図3の構成では図1とは違う機器の特別なIPアドレスを示すことになります。また、④図4のリソースレコードの追加に対応して、既設ECサーバに設定されている二つの情報を変更します。
W課長:分かりました。LBではソースNATを行うのでしょうか。
X主任:現在のECサーバの運用を変更しないために、ソースNATは行わない予定です。この場合、パケットの転送を図5の経路にするために、⑤既設ECサーバでは、デフォルトゲートウェイのIPアドレスを変更します。
W課長:次に、ECサーバのメンテナンス方法を説明してください。
X主任:はい。まず、メンテナンスを行うECサーバを負荷分散の対象から外し、その後に、運用PCから当該ECサーバにアクセスして、メンテナンス作業を行います。
W課長:X主任が考えている設定では、運用PCからECサーバとは通信できないと思いますが、どうでしょうか。
X主任:うっかりしていました。導入予定のLBはルータとしては動作しませんから、ご指摘の問題が発生してしまいます。対策方法として、ECサーバに設定するデフォルトゲートウェイを図1の構成時のままとし、LBではソースNATを行うとともに、⑥ECサーバ宛てに送信するHTTPヘッダーにX-Forwarder-Forフィールドを追加するようにします。
W課長:それで良いでしょう。ところで、図3の構成では、増設ECサーバにもサーバ証明書をインストールすることになるのでしょうか。
X主任:いいえ。増設ECサーバにはインストールせずに⑦既設ECサーバ内のサーバ証明書の流用で対応できます。
W課長:分かりました。負荷分散やセッション維持などの方法は設計済みでしょうか。
X主任:構成が決まりましたので、これからLBの制御方式について検討します。
下線③について、どの機器を示すことになるかを図3中の機器名で答えよ。また、下線③の特別なIPアドレスは何と呼ばれるかを、本文中の字句で答えよ。:LB/仮想IPアドレス
「ECサーバの増強後も、図2で示したゾーン情報の変更は不要ですが、③図2中の項番5と項番11のリソースレコードは、図3の構成では図1とは違う機器の特別なIPアドレスを示すことになります。」
ECサーバの増強前と増強後の構成を図1と図3で確認します。
ECサーバ増強前の構成では、ECサーバを宛て先とする通信はECサーバが直接応答していますが、ECサーバ増強後の構成ではLBが応答することになります。
これに対応するために、ecsvのリソースレコード(項番5、項番11)はLBのIPアドレスになります。
そして、LBのIPアドレスとしては、本文中に「導入するLBには、負荷分散用のIPアドレスである仮想IPアドレスで受信したパケットをECサーバに振り分けるとき、送信元IPアドレスを変換する方式(以下、ソースNATという)と変換しない方式の二つがある。」とあるように、仮想IPアドレスになります。
下線④について、ホスト名のほかに変更する情報を答えよ:IPアドレス
「また、④図4のリソースレコードの追加に対応して、既設ECサーバに設定されている二つの情報を変更します。」
図4のリソースレコードのうち、既設ECサーバを示すのは2行目になります。
ここで示されているのは、ホスト名(ecsv1)とIPアドレス(192.168.1.5)です。
既設ECサーバのIPアドレスは、ECサーバ増強前は表1から「192.168.1.2」でしたので、IPアドレスの変更が必要となります。
下線⑤について、どの機器からどの機器のIPアドレスに変更するのかを、図3中の機器名で答えよ。:FWzからLB
「現在のECサーバの運用を変更しないために、ソースNATは行わない予定です。この場合、パケットの転送を図5の経路にするために、⑤既設ECサーバでは、デフォルトゲートウェイのIPアドレスを変更します。」
LBでソースNATを行わないということは送信元であるPCのIPアドレスがそのままECサーバに到達することになり、ECサーバからの応答は宛先IPアドレスがPCのグローバルIPアドレスになるため、デフォルトゲートウェイ経由での通信となります。
デフォルトゲートウェイは、同じセグメントにあるレイヤ3のデバイスです。
図5から、既設ECサーバのデフォルトゲートウェイはLBとすることは明らかでしょう。
では、変更前のデフォルトゲートウェイはどうでしょう。
図1を確認するとECサーバと同じセグメントでレイヤ3のデバイスは、FWzしかありません。
下線⑥について、X-Forwarder-Forフィールドを追加する目的を、35字以内で答えよ。:ECサーバに、アクセス元PCのIPアドレスを通知するため
「対策方法として、ECサーバに設定するデフォルトゲートウェイを図1の構成時のままとし、LBではソースNATを行うとともに、⑥ECサーバ宛てに送信するHTTPヘッダーにX-Forwarder-Forフィールドを追加するようにします。」
話を整理すると、運用PCから当該ECサーバにアクセスするメンテナンス作業において、「導入予定のLBはルータとしては動作しませんから、ご指摘の問題(←運用PCからECサーバとは通信できない)が発生してしまいます。」という課題があります。
つまり、ECサーバのデフォルトゲートウェイをLBとした場合、ECサーバから運用PCへの通信がLBに渡りますが、LBはルータとしては動作しないため、運用PCへ転送することができないということです。
この対策として、ECサーバのデフォルトゲートウェイを図1の構成時のFWzとした上で、LBでソースNATを行う、つまり、ECサーバへの通信においては、ECサーバの宛先はLB経由となり、デフォルトゲートウェイは使用しないようにします。
これにより、ECサーバでは送信元IPアドレスがLBのIPアドレスになりますが、問題文の前半に「ECサーバは、アクセス元のIPアドレスなどをログとして管理している。」とある運用ができなくなります。
ここで、LBにおいてECサーバ宛てに送信する通信にアクセス元のIPアドレスを通知する仕組みとして、HTTPヘッダーにX-Forwarder-Forフィールドを追加します。
下線⑦について、対応するための作業内容を、50字以内で答えよ。:既設ECサーバにインストールされているサーバ証明書と秘密鍵のペアを、LBに移す。
「増設ECサーバにはインストールせずに⑦既設ECサーバ内のサーバ証明書の流用で対応できます。」
LBによるサーバ負荷分散を行う構成においては、サーバ証明書はLBに実装するのが一般的です。
LBではパケットの中身を見て振り分け処理を行うことが多いですが、自身でサーバ証明書を持つことでHTTPS通信の中身を見ることができます。
そして、具体的にはサーバ証明書と一緒に、ペアとなる秘密鍵もLBに実装する必要があります。