お名前.com、さくらのVPS等のサーバーでの開発・設定メモ

　クラウドストレージは便利だけど、直接PCで開くのにはやっぱりWindowsファイル共有が便利なんで、お名前.com VPS上にSambaを乗っけてファイル共有サーバに仕立てようかと思う。
　と言っても、Sambaを直接設置とかセキュリティ的に非常にアレなので、自宅のIX2025ルータとお名前VPS間にIPSec VPNを張って、VPN上だけファイル共有通信を可能にした。
　テスト環境は、お名前2GBプランのデフォルトCentOS6.5導入完了状態とIX2025ルータFW9.0.54、ローカル回線は光コラボのギガスマにフレッツ光対応、固定IPサービス「ZOOT NEXT for フレッツ光」サービスで相互固定IPなので、メインモードIPSecVPNになる。
　お名前VPSの初期導入が完了した状態からスタート。

　パッケージ導入、ZFS-fuse起動設定、fstabの/dataのマウント設定を削除、デフォルトの/dataを削除してzpoolを作成し、zpool/publicを重複除外有効にした。 　ZFS-fuseではfstabマウントでは無く、ZFS-fuse側の設定でマウントする。
　通常、/zpool/zfsの位置にマウントされる（今回なら/zpool/public）　マウント位置設定はzfs mountpoint=/data zpool/publicみたいにしてmountpointに設定する。

　次にIPSecの設定を行う。 設定ファイルの編集 /etc/ipsec.conf

　自宅のローカルは192.168.0.0/23でIX2025は192.168.0.1になっている。
　NAT_Traversal有効、トンネルタイプIPSecでIKE/ESP、プロポーザル設定等のごくごく基本設定。 今回はPSK認証なので/etc/ipsec.secretに共通シークレットを記述。

　あとは、カーネルパラメータを修正する必要があるので、/etc/sysctl.confを編集(上側の修正はipsec verifyコマンドの指示に従っている。　IP_ForwardはOnじゃないとトンネリング出来ない)

　編集後に適用

　あとは、iptablesに穴開けするため、/etc/sysconfig/iptablesを編集。

　IPSecに関係するUDP500とそのNAT Traversalである4500、そしてESPを許可する。
　また、Samba等の為にIPSecトンネルを越えてきた192.168.0.0/23からの接続を全て許可する。
　そして、IX2025のコンフィギュレーションに移って・・・

　プロポーザル関係の設定が中心。
　より強度の高い保護をする場合は、IKEの鍵認証にするとか、プロポーザルをAES/SHAの長いものにするなど、Openswanと共に設定すれば良い。
　とりあえず、これで設定完了なので、VPS側でサービスを起動する。

　数秒でネゴシエーションされて、IX2025のshow ike saでph1/ph2を確認する。
　VPS上にApacheを起動して、phpinfo()とかを設置したURLをローカルのクライアントから見ると、REMOTE_ADDRにLAN内IP(192.168.0.x)が表示されるので確認出来る。
　これで、ルータとVPS間が暗号トンネル上に乗っているので平文通信も気にせず行えるし、FWの穴開けなど気にせずに色々なサービスを動かすことが出来る。
　あとは、ごく普通のSamba設定。
　/etc/samba/smb.conf、pdbedit等やって/zpool/publicをpublic共有する。
　計測では、Samba経由の書き込みでは6MB/s位でZFS-fuseの負荷が1コア100％になって頭打ち。
　さすが、リアルタイムにハッシュを計算して照合してと言う処理が挟まるので負荷が高いな。
　ハッシュ計算のアクセラレーション命令セットを使わないと厳しそうだ。
　Dedup効率の確認は、zpool listを実行すると、DEDUP 3.14Xみたいな感じで表示される。　この数字は、重複除外前／重複除外後のサイズの比率なので、同じデータをコピーすれば2.00X、更にコピーすれば3.00xとなって表示される。
　データを入れるにつれて、データのハッシュデータベースが大きくなっていくためメモリ消費の増加と速度低下が発生するが、1.50x位であれば180GBの領域を使い切ってもメモリは大丈夫そうだった。
　デイリーで世代を取りつつドキュメントディレクトリをROBOCOPYするとか言うのには便利そうだな（この場合、ドキュメントを丸ごと圧縮するとアライメントずれとかで重複除去効率が低下するため、生ファイルをそのままコピーしておいた方が効率が良い）

(379)

　ケータイのMVNO的なフレッツ光回線の再販、光コラボレーションが始まりましたね。
　このブログでもさんざん書いているとおり、うちは自宅でも特殊なネットワーク構成なので、プレーンなフレッツ光ネクストにプロバイダ複数接続して利用していましたが、光コラボレーションでは回線の直接契約はプロバイダになるけど、PPPoEプロバイダ自体は契約外の物も利用出来るためハードルがほぼ消えたサービスです。
　で、光コラボにする利点は単純には料金が下がる、欠点は光コラボ契約のプロバイダを解約しにくくなる（現状、設備そのままNTT契約に戻せない）と言う二つの大きなポイントになります。

　今回、私はSo-netの光コラボレーション契約にしました。
　このサービスの料金は、NTT東ではフレッツ光ギガスマート戸建て回線の月額料金＝（So-netでの同回線料金＋プロバイダ料金）と言う事で、従来のSo-net PPPoE部分の月額1080円が安くなる計算です。
更に、So-net光コラボレーションでは、回線自体はNTTなのにもかかわらず、auのケータイが月額割引されるという特徴があります。
私は、メインのスマホとしてauを利用しているため、この回線から月額1200円の割引が受けられるため、トータルで毎月2280円安くなる計算です。　固定IP1個のプロバイダ2本近いコスト削減です。
　提供されるサービスについては、So-netブランドで提供しているフレッツオプションはSo-netに料金を払う、So-netブランドで提供していないフレッツオプションはNTTに払えば継続利用可能と言うややこしい仕組みになっています。
我が家のフレッツサービスは、フレッツ光ファミリーギガスマート回線、セッションプラス、フレッツTV、ひかり電話ベーシック、ひかり電話マイナンバー、ひかり電話ファックス着信お知らせサービスとなっていて、これらサービスは全て継続提供されます。

　既存の設備が比較的新しければ（光のNGN系であれば）、工事は無しで転用手続きにより事務手数料のみで回線変更出来て、ダウンタイム無し（実際、切り替え当日も何事も無かったようにPPPoEセッション繋がりっぱなし）です。

　PPPoEプロバイダやフレッツVPN等の都合でauスマートバリューが利用出来ないユーザに最適の乗り換えプランですね。

(677)

　先日、オフィスのひかり回線をフレッツギガにしたけど、各所に登録している固定IPのプロバイダがギガ非対応のため、ギガとハイスピードを同時に使用しなければならない状態に。
　外回線にフレッツギガとハイスピードがあって、それぞれONUがあるんで、それぞれにNECのIX2215とIX2025をぶら下げて、基本通信をギガ側にしつつ古い固定IPが必要な方をハイスピードに流して、更に冗長化する構成にしてみた。

フレッツギガ＝PR500＝IX2215＝AX3630
　　　　　　　　　　　　　＼　／　｜
　　　　　　　　　　　　　　Ｘ　　｜＝ＶＲ＝クライアント
　　　　　　　　　　　　　／　＼　｜
フレッツハイ＝PR400＝IX2025＝AX3630

　フレッツギガとハイスピードからAX3630までシリアルにぶら下げて、AX3630同士でVRRPした下にPCがぶら下がる構成。
　IX2215とIX2025、AX3630はOSPFをしゃべって上位経路を決定している。
　AX3630の上位側OSPFとVRRPはマニュアル通りだけど、IX2025/2215の経路選択部分はひとひねり必要だった。

※FE1/0.0とGE2.0はローカルインタフェイス、FE0/0.1はPPPoEインタフェイス
　この状態だと、通常の通信はIX2215のデフォルト経路がMetric 10で優先される状態。
　だけど、IX2025でPPPoEインタフェイス経由の目標（8.8.8.8）へのスタティック経路を定義して、OSPFでスタティック経路の再配信とメトリックタイプ1を明示してやると、8.8.8.8宛ての通信はIX2025の方が近いと判断される（メトリックタイプがデフォルトの2だと通常候補に挙がらない）
　OSPFが動いているから、IX2215がダウンすれば全てIX2025経由になるし逆も対応出来る。
　IX2215とIX2025で直接VRRPを組む場合、IX2215に一度入ってIX2025に渡って出て行くという処理で帯域が無駄になるため、上位にL3SWを入れてVRRPさせている。　ルータとスイッチはLAG。
　

(474)

　3.11ですね。
　まずは黙祷。

　地震等の災害と言えば、ネットワークダウンなどの障害も発生し、そんなときに非常回線を確保するのも大事なこと、そんなわけで今回は自宅のIX2215ルータにLTEモデムを接続してバックアップ回線とする設定をメモっておきます。

　機器構成としては、NEC IX2215ルーターの正面にあるUSBスロットにe-mobile端末(LG)のGL03Dを接続している状態。　ただし、回線部分はドコモMVNOのOCNモバイルSIMカードを挿しています（GL03DはSIMフリー）

　通常の設定にくわえて行うべき設定はこれだけです。
　まずは、USBポートの活性化のためにdevice USB0をno shutdownします。
　次に、SIM事業者の接続情報にあるAPN周りの設定として示されているIDとパスワードをPPPプロファイルとして作成します。
　最後に、USB0デバイス上のUSBモデムインタフェイスであるUSB-Serial0上に通常のPPP設定を行っています。　一般的なPPP接続設定に追加されているのは、mobile文2個ですね。
　mobile cid 1で第一接続設定を定義、pdpは唯一の選択肢でパケット交換、ip型接続を指定し、apnに事業者指定のAPNを入れています。
　mobile numberは発信番号です。　USBモデム毎に違いがありますが、大抵はこの番号で繋がります。

　状態の確認は、show logging/show mobile historyにより行います。　GL03Dの場合、正常接続状態に移行すれば青色LEDが点灯します。
　show loggingに、接続前にSIM busyエラーが何度か記録されますが、その後勝手に繋がります。　恐らく、初期化動作の時間差で、SIM busyが検出されているのかと思います。
　あとは、ip route default USB-Serial0.0とかすればデフォルト経路になります（もちろん、適切に動的ルーティングを定義してメトリックを設定しておけば自動経路選択もできます）

(1210)

　NTTのフレッツで提供されるひかり電話を利用していて、従来型電話機をひかり電話終端装置に取り付けていたけど、ひかりFAXアプリなどをAndroidに入れているところで、そういえば、VoIPなんだからアプリ入れればPCから通話出来て便利じゃ無いかなと思い、色々調べてみました。

　ひかり電話はSIPによるIP電話なので、対応アプリを検索。
　無料で比較的扱いやすいアプリとしてZoiperと言うアプリがありましたので、こちらを導入しました。
Windows/Mac等色々対応、無料のFree版以外に色々な機能が追加されたバージョンもあります。　今回はWindows Free版で導入。

　我が家のネットワーク構成は、フレッツのギガ用ONU統合ルータのPR-500KIをPPPoEブリッジして下に更に業務用ルータ（IX2215等）がぶら下がっている変則構成です。

　まずは、PR-500KIとローカルを通信出来るようにルーティング設定を行います。
　PR-500KIの管理画面で、詳細設定＞DHCPv4サーバ設定を開いて、IPアドレス欄に適当なサブネットのIPを設定します（今回は192.168.2.1/24）
　次にLAN側静的ルーティング設定を開いて、宛先IP・サブネットをクライアントを繋いでいるローカルLANに、ゲートウェイをIX2215の外側IPに指定してやります（GigaEthernetX.1,X.2等がPPPoE用の場合、物理インタフェイスのGigaEthernetX.0部分にIPを割り当てて、これを指定）
　これで、ひかり電話ルータとローカルをルーティングさせます。

　次にSIP周りの設定、PR-500KIの電話設定＞内線設定を開き内線番号3以降（１／２はひかり電話ルータの従来電話機ポートになっている）の編集を開き、ユーザIDとパスワードを設定します。
その他項目は任意、電話番号設定は1番号契約ならそのままです。
　当方はFAX専用としてマイナンバーを追加しているため、通知番号・着信番号を音声用番号に固定しました。

　ここまで来ればZoiperを設定するだけです。
　Zoiperをインストールして、初期設定をスキップ、マニュアル設定を行います。　初期画面のメニュー、SettingsからPreferencesを開き次の通り設定していきます。
・Accounts>Generalタブ>SIP account options
Domain:192.168.2.1(ひかり電話ルータのIP)
Username:3（前の手順で設定した内線番号）
Password:前の手順で設定したパスワード
Caller ID Name:任意
・Outbound oprions
Auth.username:前の手順で設定したユーザID
　この状態でRegisterボタンを押して、右上の表示がRegisteredになればひかり電話アダプタとの認証が確立して発着信が可能になります。
　あとは、実際に通信するためのコーデック設定などを追加設定していきます。
　ExtraタブではRegister on startupだけチェックしておけば良いかと思います。
　Codecタブでは、AudioのSelectedはu-lawに、Videoは全て外しておきます（この部分は詰めていないので他の設定もあるかも）
　最後にAdvancedタブの設定。
　ドロップダウンではSend KPMLの右ではUse DTMF Inbandを選択（キーパッドの送信方法で、Inbandだと音声化して送信する。　この設定をしないと、通話中にキー操作でメニューを選択するような再配達ダイヤルなどが使えない）
Force RFC-3264の右のドロップダウンでは、Don’t use STUNを選択する（STUNはUDPのNAT traversalだけど、STUNサーバが無いと利用出来ない、今回のローカル通信では単なるルーティングでNATしないので必ず無効にする。　この辺の設定を使うと、ルーティング設定と併せて出先から自宅の電話を発着信出来るようになる）
　とりあえず、ここまでの設定でケータイへの発着信通話が可能になった。
　あとは、ルータのトラフィックが大きい場合には優先制御を実施出来る。　PreferencesのAdvanced>NetworkでトラフィックのQoS/DSCP値設定があるので、ここに値を入れてやればパケットに当該値が付くので、ルータのQoS機能で音声パケットを識別して帯域保証など自由に設定出来る。
　PCのヘッドセットを使えば、PC作業中にすぐに電話の発着信が出来るし、電話番号もPCのコピペで発信したり、キーボード打ちでいけるので自動音声ダイヤルなども快適に利用出来る。　最近のケータイでは音声定額なのでそっちの方がお得感もあるけど、0570等のサービスでは定額対象外で、ケータイより固定電話の方が料金がかなり安くできるため、うまく利用していきたいところ。

(6785)

　自宅サーバとしてラックマウントサーバが結構あるけど、消費電力やら稼働音の問題もあって常時起動はアレかなーと思い始めて、さくらの専用サーバを導入することにしました。

　従来はVPSを複数契約していたんですが、本数が増えてくるとさくらの専用サーバのコスパは十分対抗可能と言うことで（そこそこ仕様でイニシャル０の月次4万円付近、翌年からは約半額）、職場での導入に合わせて検証がてら自分でも契約してしまいました。
　NECの1/2Uラック型(1Uを左右に分割してそれぞれ入れられるタイプ)の筐体のようで、ブレードほど高密度じゃないけどバランスの良さそうなサーバです。

　さくらの表示ではXeon 2.5GHz 6cと言う事になっていましたが、実際に納品された物のcpuinfoを確認するとE5-2430v2でした。　ちなみに、2CPU構成を選択したため、全体では2.5GHz 12C/24T 30MB cache構成と言う結構リッチな感じに。　メモリは48GB構成で、ドライブはIntel S3500 480GB SSDとSATA 1TBがそれぞれRAID1構成です。
　上位回線は100Mbps共有と言うことでしたが、VPSからデータを転送している限り帯域いっぱい使えました。
　さくらの専用サーバはIPMI KVMが開放されていて、バーチャルメディアで好きなOSを入れられます。　今回は、構成的に盛っているので追加IPも契約して、KVM仮想構成にしてリソース集約しました。

　ベースを導入時に取得したUnixBenchはこちら

　まぁ、サーバ用の多コア化でシングル性能は以前計測したE3-1290v3よりも順当にクロック分低下、お名前.com VPS16GBプラン相当になっています。
　こう見ると、お名前のコスパが専用サーバと同等という結果（10VC・16GB・1TBで1万5千円に対して、こちらが24T・48GB・1.5TBで4万円）　そして、2年目以降の価格ではさくら圧勝。
　こっちのコスパが凄いとみるか、お名前VPSが凄いとみるか、個人的には両方凄すぎと感じますが・・・
　職場利用ではここにMSP費用などが乗ってきますが、個人用はまぁそこまで気にしなくてイイよと言う事で、Zabbixで自宅とテスト用VPSと相互監視してます。

　ちなみにマルチの計測は、UnixBenchが16スレッドまでしか対応しないので、こちらの24Tを全部計測することは出来ませんが、10c明示指定にて計測して4800程となり、前回計測したお名前16GBの5000とほぼ同じ結果でした。　と言うわけで、お名前VPSの16GBプランでキャパシティオーバーとなったときに同じ費用感で移行できる先がさくら専用サーバですね。　逆に、性能はそこまで必要ないけど、専用環境が欲しいというのであればお名前.com VPSは専用サーバ業界トップクラスと同等のコスパで、必要な性能分購入出来る便利さがあると言えますね。　最低利用期間も違いますし（さくら初期0は12ヶ月、お名前VPSは2ヶ月）
　よりスケールの大きい8C16Tx2構成、メモリ100GB超、HDD48TB、ローカル10G等のサーバ本体オプションの他、上位回線1Gアップグレードや専用グローバルネットワーク、安価なCISCO ASA/A10 AXの共有利用もあり、オプション豊富のため、アプリケーションに合わせた構成が組めます。　セルフで管理出来るのであれば非常にコスパのイイサービスですね。
　標準仕様だとVPSと大差ない時間で納入されるのもポイントですね（E5-2430v2シングル、16GB、SAS600GBの標準仕様はリアルに1時間かからず納品されました）

　後は、職場の方ではDB用にioDrive2なんかも発注してあるので、そっちのベンチも取って後日アップします。

(400)

　年末押し迫ってきて、大掃除シーズンですね。
　ヘビーにPCを使っているユーザはPCの大掃除も大事、そんなわけで自宅マシンのバックアップ、大掃除、ついでにドライブ交換を実施しました。
　バックアップ作業は2通り、システムドライブのバックアップはAcronis True Image 2015 Unlimitedを使って、フルイメージバックアップを取りました。　データドライブについては、GoogleApps UnlimitedのGoogleDriveへCloudBerryを使って転送しまくりです。　ここでもフレッツさん大活躍の上に、800Mbpsとかの帯域で10TB単位で送信しても制限も喰らわないZoot nextさん最強です。

　大掃除に合わせて、今回SSDの交換を実施しました。
　選定したドライブはSamsungの850シリーズ2種類、850PROと850EVOです。　500GBと512GBモデルで、それぞれ31800円と41000円でした。
容量単価的にやや高価な部類のSSDですが、代理店のITGマーケティングさんでキャッシュバックキャンペーン中で、それぞれ3000円のキャッシュバックがあります（※容量モデル毎に異なるのと、1人1台限定）

　さて、EVOとPRO、違いは基本的に保証で、EVOが5年保証、PROが10年保証(150TBW)になっています。
　従来の840PROはエンタープライズラインにも登録されていて、サーバ利用でも73TBWまで保証になっていたけど、850PROはコンシューマーラインのみに表示されていてその点明記無しなのがちょい心配ではあります→確認した結果、845DCシリーズのリリースに伴い、サーバ用途はそちらで対応するために、850はPROでもサーバ利用は無保証となったようです。　残念。
　メインの作業用PCであるThinkPadW530にPROを入れて、サブのBTOノートにEVOを投入。　元は昨年末に入れた840EVO 500GBなので、まだ買い換えるには早い感じもするのですが、メイン側は24×365動作で1年間で30TB程に達していたため、予防保守的意味合いで交換しました。

　移行作業は普通に、TrueImageのレスキューメディアUSBメモリと、外付けUSB3.0SATAケーブルで850と共に取り付けてフルコピーを実施。　TrueImage2015のレスキューメディアはW530のUSB3.0に対応しているため、ほぼ使い切った500GBのSSDをフルコピーしても1時間かからずに全て転送出来ます。
　転送完了後はドライブ交換して普通に起動、SamsungのサポートツールであるMagicianを導入します。　こちらは、統合型ツールでファームウェア更新やオーバープロビショニングの設定などが出来るので、ほぼ必須ツール。
SamsungのSSDはオーバープロビショニングを設定すると、性能がかなり向上するため、このツールで設定するのがオススメです。
　コントローラレベルの全域AES暗号化とか、オーバーヒートプロテクションも対応していて、エンタープライズドライブみたいな感じがするのはEVOもPROも同じですね。

　簡単なベンチマーク的には840とさほどの違いは感じません。　まぁ、接続がSATA3なので、元から帯域上限だったというのが原因でしょう。
　しかし、開発関連のMySQLを入れたり、結構大きいモジュールをビルドしたりすると目に見えて速くなってるんですよね、850PROの方。　IOレイテンシが改善されているのだと思うのですが、リアルユースでは連続性能よりも高負荷対応とレイテンシ圧縮の方が効果が大きいので、単純な単位時間の転送速度やIOPSでは見えない性能差がここに出ているのでしょう。　ルータの家庭用と業務用のショートパケット性能の違いみたいなのがここにもあるのですね。

　今回のドライブは150TBW保証ですので、データセンター向け(Intel S3500)の約半分では有りますが、私の割とヘビーな使用状況でも5年イケる計算ですので、業務レベルのPCでも安心して使えるレベルに達したかなと言う感じです（公式外ですが、SSD寿命測定サイトの情報では128GBモデルでも500TBWは余裕有り、故障まで2PBWとか言う情報もありますので、512では2PBWとか普通にいけるかもしれません）
　私の業務用PCの交換サイクルは3年のため(CPUの陳腐化ペースから本体拡張保守を3年にしている)、この辺の機種であれば本体寿命期間に保証上限を超えること無くドライブ交換が不要になり良いかなと思います。

(324)