仮想サーバの配置構成における停止の影響、仮想サーバ間のパケット転送制御【ネットワークスペシャリスト試験平成30年度秋期午後2 問2-4】

　情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。

　今回は、「仮想サーバの配置構成における停止の影響、仮想サーバ間のパケット転送制御」を取り上げた「ネットワークスペシャリスト試験平成30年度秋期午後2 問2-4」です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

ネットワークスペシャリスト試験平成30年度秋期午後2 問2-4

問2　サービス基盤の構築に関する次の記述を読んで、設問1～5に答えよ。

（略）

【技術習得を目的とした制御方式の設計】

　テストシステムの構築に当たって、N主任とJさんの2人は最初に、OFの技術習得を目的として、MACアドレスの学習によるパケットの転送制御方式を考えることにした。

　テストシステムは、図1中のP社、Q社及びZ社の3顧客向けのシステムを収容した構成である。テストシステムの構成を図4に、テストシステム中の機器と仮想サーバのMACアドレスを表2に示す。

本番システムにおいて、図4の形態で3顧客の仮想サーバを配置した場合に発生する可能性がある問題を、40字以内で述べよ。また、その問題を発生させないための仮想サーバの配置を、40字以内で述べよ。：（発生する可能性がある問題）物理サーバ3の障害によって、3顧客のシステムが同時に停止してしまう。/（仮想サーバの配置）3顧客向けの仮想サーバを、それぞれ異なった物理サーバに配置する。

　図4の仮想サーバ配置について、問題と対策を考えます。

　3顧客のそれぞれの通信の流れをイメージして、どこか脆弱になっていないか、ボトルネックとなる箇所はないかを探します。

　そうすると、3顧客とも、Webサーバや業務サーバのある物理サーバ1、2と通信するためには、全てFWやLBがある物理サーバ3を経由するところが一番弱い箇所だと想定できると思います。

　物理サーバ3の障害によって、3顧客の通信が同時に停止してしまうことが問題です。

　3顧客の通信が同時に停止しないようにするには、どうすればいいでしょうか。

　それは、単純に考えると、それぞれの顧客の仮想サーバを異なる物理サーバに配置することですが、今度は1台の物理サーバの障害によって、1顧客の通信が停止してしまいます。

　ただ、仮想サーバは物理サーバ間を移動できるので、物理サーバが故障しても、仮想サーバが移動して通信を維持することができます。

　問題で挙げた「3顧客の通信が同時に停止」した場合には、3顧客分の仮想サーバを移動させる必要があります。

　それぞれの顧客の仮想サーバを異なる物理サーバに配置しておけば、1顧客分の仮想サーバを移動するだけで済むので、作業量や影響範囲を十分に抑えることができます。

　図4に示したように、P社にはVLAN IDに100、110、120、Q社にはVLAN IDに200、210、Z社にはVLAN IDに300、310を、それぞれ割り当てる。各顧客のWebサーバと業務サーバ間の通信は発生しない。

　2人は、Fテーブルの構成について検討した。Fテーブルは、OFSのデータ転送動作を確認しやすくするために、最初に処理されるFテーブル０と、パケットの入力ポートに対応して処理されるFテーブル1～4の五つの構成とした。2人がまとめた、五つのFテーブルの役割を表3に示す。

　Fテーブルは、複数のフローエントリ（以下、Fエントリという）からなる。

　Fエントリは、OFSに入力されたパケットがどのFエントリに一致するかを判定するためのマッチング条件、条件に一致したパケットに対する操作を定義するアクション、パケットが複数のFエントリに一致した場合の優先度などで構成される。入力されたパケットが、Fテーブル内の複数のFエントリのマッチング条件に一致した場合は、優先度が最も高いFエントリのアクションが実行される。また、どのマッチング条件にも一致しないパケットは廃棄される。一つのFエントリには、複数のアクションを定義できる。

　OFCとOFSの間では、メッセージの交換が行われる。このメッセージの中には、OFSに対してFエントリを設定するFlow-Modメッセージ、OFSが受信したパケットをOFCに送信するPacket-Inメッセージ、OFCがOFSに対して指定したパケットの転送を指示するPacket-Outメッセージなどがある。

　次に、2人は、3顧客で全てのサーバとの通信が正常に行われたとき（以下、正常通信完了時という）に、OFCによってOFSに生成されるFエントリを、机上で作成した。正常通信完了時のFテーブル0～4を、それぞれ表4～8に示す。

　表8中の項番2は、イーサタイプがARP、VLAN IDが100及び宛先MACアドレスがFF-FF-FF-FF-FF-FFのパケットを、VLANタグを削除してp1から出力することを示している。

　OFSにパケットが入力されると、OFSは表4のFテーブル０の処理を最初に実行する。例えば、図4中のQ社のIPsecルータからOFS1のp2にARPリクエストパケットが入力された場合、そのパケットは、表4中の項番2に一致するので、パケットにVLAN IDが200のVLANタグをセットし、次に表5のFテーブル1で定義された処理を行う。表5のFテーブル1では、項番1に一致するので、当該パケットはPacket-Inメッセージに格納されて、OFCに送信される。OFCは受信したパケットの内容を基に、Flow-ModメッセージでFエントリを生成したり、Packet-OutメッセージなどをOFSに送信したりする。

　N主任とJさんは、作成したFテーブルの論理チェックを行い、五つのFテーブルによってテストシステムを稼働させることができると判断した。

　パケット転送制御方式の机上作成を通してOFの動作イメージが学習できたので、次に、2人は、実際にテストシステムを構築して、動作検証と性能評価を行うことにした。

【出典：ネットワークスペシャリスト試験平成30年度秋期午後2 問2（一部、加工あり）】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2018h30_2/2018h30a_nw_pm2_qs.pdf