今日は、平成19年度秋期テクニカルエンジニア(ネットワーク)午後I 問4を解こうと思います。
問題文および模範解答(解答のみ、解説はありません)は下のリンクからどうぞ。
※IPAのサイトで公開されているPDFにリンクしています
各問解説
設問1
(ア)(イ)
問題文の ア の直後に『DNSの仕組みを利用して、インターネットに公開するWebサーバのホスト名に、複数のWebサーバのIPアドレスを対応させる』とありますので、 ア にはDNSラウンドロビンがあてはまります。
DNSでは、各ドメインごとに情報を分けて管理しています。このドメイン毎の情報をゾーンといい、ゾーンを記述したファイルをゾーンファイルといいます。
よって イ にはゾーンが当てはまります。
ゾーンファイルの中で、1つのホスト名→IPアドレスの情報を記述する部分をAレコードといいます。
DNSラウンドロビンは、同じホスト名で異なるIPアドレスのAレコードを複数記述することで、負荷分散を実現する手法です。
判りやすく言うと、同じホスト名についてのIPアドレスの問い合わせが複数あったとき、
1つ目の問い合わせに対しては1つ目のAレコードに書かれたIPアドレスを答える
2つ目の問い合わせに対しては2つ目のAレコードに書かれたIPアドレスを答える
…
と、順に異なるIPアドレスを答えることで、実際にアクセスされるホストが複数に分散されるわけです。
ゾーンファイルへAレコードを複数記述するだけ、という、容易な方法で導入できるというメリットがある反面、
セッションを利用したアプリケーションなどが正常に動作しない場合がある
均等な負荷分散ができない
分散先サーバの障害検知ができない
分散先サーバが同期(同一内容)していないと正常に動作しない場合がある
などの問題点があります。上記のいくつかは問題文中でも指摘されていますね。
(ウ)
ネットワーク上でファイルを転送するためのプロトコルには ftp(File Transfer Protocol)がありますが、設計された時代が古いため、サーバへの認証情報も含めて通信内容が一切暗号化されていないという致命的な欠陥があります。
そこで現在は、内容を暗号化するように改良された派生プロトコルが複数利用されています。
この問題で問われている sftp もその1つです。sftp は SSH File Transfer Protocol の略で、ファイル転送に Secure Shell プロトコル(SSH)を利用して内容を暗号化しています。
よって ウ には、SSHまたはSecure Shellが当てはまります。
現在のftpクライアントソフトウェアはsftpにも対応しているものが多いのですが、プロトコルとしてはftpとsftpには互換性がありません。
なお、ここで説明したsftpとは別にSimple File Transfer Protocolというものがあり、これもsftpと略されます。紛らわしいので注意して下さい(といっても現在はこのプロトコルはあまり使われていません)。
(エ)
ちょっと判断材料が少ないようにも感じますが、
『送信元TCP エ 』
という記述から、TCPヘッダに含まれる情報の中で『送信元』に関わるものは何か、と考えれば、ポート番号という解答にたどり着けるでしょう。
設問2
設問1(ア)(イ)の解説で触れたとおり、DNSラウンドロビンは『ホスト名の問い合わせに対して、順に違うIPアドレスを答えていく』だけという動作のため、分散先サーバの不具合に自動的に対応することが出来ません。
もともと『同じホスト名に対して異なるIPアドレスのAレコードを複数記述する』という簡単な方法で実現されているので、故障したWebサーバへのアクセスを停止するには
故障したWebサーバのAレコードを削除またはコメントアウトする
ということになります。
手間と時間はかかりますが、理屈は非常に単純です。
設問3
(1)
下線②の『複数のPCからのWebアクセスが一つの送信元IPアドレスから来る』状態には、いくつかの場合が考えられます。
まず、複数のPCがNAPTを利用して接続している場合です。
たとえばプライベートアドレスを割り当てられた内部ネットワークのPCがインターネットにアクセスする必要がある場合を考えてみましょう。内部ネットワークのプライベートアドレスのままではインターネットにアクセスすることができません。そこでルータ等においてプライベートアドレスとグローバルアドレスの変換を行う必要があります。この変換処理を(広義の)NAT(Network Address Translation)といいます。
このとき、変換のためのグローバルアドレスが必要数用意され、プライベートアドレスとグローバルアドレスを1対1で対応させる変換方式を(狭義の)NATといいます。
変換に必要な数のグローバルアドレスが用意できない場合は、1つのグローバルアドレスを複数のプライベートアドレスと対応づける必要があります。このとき、内部プライベートアドレスを区別するためにポート番号も変換し、グローバル側でのポート番号とプライベートアドレスを関連付けるようにしたものがNAPT(Network Addresss Port Translation)です。
このように、NAPTを利用したアクセスでは、複数のPCが同じグローバルIPアドレス・異なるポートでインターネットにアクセスします。なお、Ciscoでは同じ技術のことをPAT(Port Address Translation)と称しています。Cisco独自の用語なので、情報処理技術者試験では『NAPT』という用語の方がいいでしょう。IPマスカレードもNAPTと同じものです。
もう1つ、『複数のPCからのWebアクセスが一つの送信元IPアドレスから来る』場合として、複数のPCがプロキシサーバ経由でアクセスしていることが考えられます。
プロキシ(proxy)とは『代理』の意味です。内部ネットワーク上のPCがインターネット上のホストのデータを取得する場合、直接対象のホストにアクセスするのではなく、プロキシサーバにアクセスします。するとプロキシサーバが対象のホストにアクセスしてデータを取得し、プロキシサーバから内部PCにデータが転送されます。
直接内部ネットワークからインターネットにアクセスさせないことで一定のセキュリティが確保できます。またプロキシがキャッシュを保存することでデータ転送量を低減することもできます。
複数のPCが同じプロキシサーバを利用してアクセスした場合、アクセスされた側からみると送信元のIPアドレスは同一(プロキシサーバのアドレス)となります。
(2)
現Webサーバ4台に新Webサーバ2台を追加
新Webサーバは現Webサーバの3倍のTCPコネクションを処理できる
ということは、
現WebサーバのTCPコネクション数:新WebサーバのTCPコネクション数=1:3
のときにCPU利用率が等しくなる、と思われます。
具体的に数を当てはめて考えると判りやすいでしょう。
例えば
現WebサーバのTCPコネクション数=10
のとき、
新WebサーバのTCPコネクション数=30
となるように分散すれば、CPU利用率が等しくなるわけです。
6台全部で考えると、
現Webサーバ1台目のTCPコネクション数=10
現Webサーバ2台目のTCPコネクション数=10
現Webサーバ3台目のTCPコネクション数=10
現Webサーバ4台目のTCPコネクション数=10
新Webサーバ1台目のTCPコネクション数=30
新Webサーバ2台目のTCPコネクション数=30
となるように分散すれば、CPU利用率が均等になるわけです。
このとき、6台全体ではTCPコネクション数は10+10+10+10+30+30=100、
そのうち新Webサーバ1台あたりのTCPコネクション数は30となりますから、
比率では全体の\(\displaystyle\frac{30}{100}\)=30%となります。
設問4
問題文の[アクセスログの取得方法の見直し]には『Webアクセスが発生するごとに、Webサーバからログ解析サーバへsyslogプロトコルを利用して、アクセスログを転送する』とあります。
syslogプロトコルはその名の通りログデータをネットワーク上で転送するための規格で、UDPまたはTCP上で動作します。SSLによるラッパーも存在しますが、syslog単体では情報が暗号化されません。現在のネットワーク構成ではそのような情報がインターネット上を流れることになり、危険です。
つまり、
1つ目の問題点は暗号化せずにアクセスログを転送していることです。
このため、S君は問題点を指摘された後に『ログ解析サーバをデータセンタに移設』することによってsyslogメッセージがインターネット上に転送されないようにしたのです。
また、[アクセスログの取得方法の見直し]には、『Webサーバにアクセスログを保存せず、Webアクセスが発生するごとに(中略)アクセスログを転送する』とあります。Webサーバ側にまったく記録を残さないと、通信障害などでsyslogメッセージがログ解析サーバに届かなかった場合、その情報が完全に失われてしまいます。
つまり、
2つ目の問題点はアクセスログが欠落する可能性があることです。
このため、S君は問題点を指摘された後に『Webサーバにもアクセスログを一定期間保存する』ように修正したのです。
感想
DNS、NAPT、FTPなど広くネットワーク関連の知識を問われる問題でした。IPAが公開している講評では正答率が高かったとありますが、Web系のエンジニアが多く受験していたのでしょうか。
コメント