この記事はSoftLayer Advent Calendar 2015 11日目の記事になります。
この3日間グローバルナレッジ社のSoftLayer研修を受けてきました。
そこで今回新しい発見をすることができました。
- ストレージは QuantaStor が使い勝手がいい!(値段が高い)
- VPNとファイアーフォールは vyatta が使える!(値段が高い)
- ロードバランサは Citrix NetScalerがいい!(値段が高い)
お金に余裕があればこのあたりを使えれば問題なく構築できそうです。
コストの制約があるのでなかなか利用する機会に恵まれませんが。。
ただ、こいつらを使わなくても同じようなことは実現可能です。
それらのツールについて、グローバルナレッジ社からいただいた資料が綺麗にまとまっていたので、ざっと下記にまとめました。選択する際の参考にしていただければと思います。
それぞの価格や使い方までまとめてませんので、必要に応じて検索してください。
受講料は高いですが、余裕がある方は一度受講されると勉強になると思います。
サーバ
仮想サーバ: パブリック/パブリック・クラウド
特徴
- プロビジョニングに要する時間が非常に短い(通常15分以内)
- 10 Mbps、100 Mbps、または 1 Gbpsのネットワーク接続がサポートされている
- Auto Scale UI/APIで利用できる。
- さまざまなOSを選択できるので導入しやすい
- ローカルまたはSANストレージ
補足事項 - プライベート・ネットワークまたはパブリック・ネットワークにおいて、ネットワーク・リンクの冗長性はない
- 1次ディスク・オプションは制限され、共有I/Oにローカルな2台のディスクと、パブリックVLAN、プライベートVLAN、そして管理VLANのそれぞれに1本のリンクのみになる。
- マルチテナント環境では、コンプライアンスの実現に対する課題が存在することがある
仮想サーバ: プライベート/プライベート・クラウド
特徴
- 仮想サーバの全てのメリット: パブリック
- シングル・テナント
- 規件上の要件が異なっても使用できる。
補足事項 - プライベート・ネットワークまたはパブリック・ネットワークにおいて、ネットワーク・リンクの冗長性はない
- 1次ディスク・オプションは制限されている。共有I/Oに対しては2台のディスクだけがローカルであり、パブリックVLAN、プライベートVLAN、管理VLANのそれぞれに対してリンクは1本だけである
- 転送先の「プライベート仮想サーバ」は、同じ物理ハイパーバイザー・サーバ上に配置される
- 自動スケール機能を利用するには、必ず自動スケールAPIを使用する必要がある
専用サーバ - 物理サーバ/ベアメタル・サーバ(月間制)
特徴
- シングル・テナント
- あらゆるインスタンス・タイプの中で最も自由度の高いハードウェア構成である
- 電源とネットワーク・オプションを冗長化できる
- ネットワーク速度が最大10 Gbpsである
- PCI規格(および各種の規格)に完全に準拠している
補足事項 - プロビジョニングに要する時間が非常に長い
- 自動スケール機能はない。
専用サーバ - ベアメタル/ベアメタル・サーバ(時間制)
特徴
- プロビジョニングに要する時間が短い(1時間未満)
- シングル・テナント
- PCI規格(および各種の規格)に完全に準拠している
補足事項 - 構成が決まっており、あらかじめ決められたハードウェアの組み合わせのみ注文できる
- プロビジョニング後にRAMおよびディスクをアップグレードできない
- 導入時に特定のネットワークVLANを選択できない
- 自動スケール機能はない。
- すぐに削除してくれないので、数時間分余分に利用料がかかってしまう。
ストレージ
レガシーiSCSI
特徴
- もう使わないほうがいい
NAS
特徴
- CIFS(Windowsネイティブのファイル共有プロトコル)に対してのみサポートされている
補足事項 - そろそろなくなりそう。。
Consistent Performance Storage - ブロック
特徴
- IOPSをきめ細かく制御できる
- iSCSI(ブロック・レベルのストレージ・プロトコル)でサーバに接続される
補足事項 - 複製機能がない
Consistent Performance Storage - ファイル
特徴
- IOPSをきめ細かく制御できる
- NFS(ファイル共有プロトコル)でサーバに接続される
補足事項 - NFSのみ: CIFS機能はサポートされていない
QuantaStor
特徴
- 統合型SoftLayer製品(ストレージ・サーバ・ソフトウェアを自動プロビジョニング)
- ディザスター・リカバリーのための複製
- Object Storageと統合することにより、バックアップおよびアーカイブができる
- Glusterファイル・システムを使用してNASをスケールアウトする(IOPSが非常に大きいワークロードには不適切)
- ボリュームのスナップショットおよび複製
- iSCSI、NFS(v3、4)、およびSMB2の各ストレージを使用できる(FCも使用できるが、SL内では不可)
- キャッシュ用としてSSDを使用できる
補足事項 - SoftLayerで装置の構成作業と管理作業を行うことはできない
Windows Server 2012 File Server Cluster
特徴
- Microsoft Failover Clusterと統合することにより、高い可用性を確保できる
- 複製(Cluster Shared Volumes(CSV)を含む)
- iSCSI、SMB3、CIFS、およびNFS(v2、3、4.1)の各ストレージを使用できる
補足事項 - ボリュームのスナップショットおよび複製はできない(VMベースのみ)
- クラスターとファイル・サーバ・ソフトウェアを手動で構成する必要がある
ファイアーフォール
Vyatta
特徴
- 専用ファイアウォールであり、ベアメタル・サーバに導入する
- 高可用性(HA)クラスター構成に導入できる
- ルーターおよびファイアウォールは自在に構成変更およびカスタマイズできる
- 10 Gbpsのインターフェース速度で通信できる
- カスタム・ルーティングを使用することにより、SoftLayerのデータセンターとポッドにまたがるネットワークを構築できる
- パブリック・ネットワーク上かプライベート・ネットワーク上かにかかわらず、複数のVLANをサポートしている
- ネットワーク・アドレス変換(NAT)を実行できる
- サイト間VPN(IPSec)およびSSL VPNトンネル(OpenVPNを含む)を作成する際に使用できる
- パブリック・ネットワークとプライベート・ネットワークの両方で使用できる
- ファイアウォール管理者は、ゾーン単位またはインターフェース単位でセキュリティーを定義できる
- 別々のファイアウォール規則定義を個々のIPアドレスまたはユーザー定義ゾーン全体に適用できる
- TCP SYN Cookie機能を利用することにより、SYNフラッド(サービス拒否)攻撃を軽減できる
- タイムアウト機能を利用することにより、ポートごとの接続試行回数を制限できる
- 特定のIPアドレス範囲をブラックリストに登録することにより、ネットワークへの攻撃を軽減できる
- ステートフル・パケット・インスペクション: VLANレベルで保護
- 受信と送信に関するファイアウォール規則
- ファイアウォール帯域幅オプション: 100 Mbps、1 Gbps、および10 Gbps
補足事項
- SoftLayerポータルでは管理できないので、VyattaのHTTPSインターフェースまたはSSHインターフェースを使用する必要がある
- 顧客が管理するソリューション
- 構築作業およびセキュリティー確保作業を行うには、さらなるスキル/トレーニングが必要になることがある
- 構築作業が複雑なので、トレーニングが必要である
Fortinet FortiGate Security Appliance(FSA)
特徴
- 専用物理アプライアンス・ファイアウォール
- 高可用性(HA)構成に導入できる
- サイト間VPN(IPSec)およびSSL VPNトンネルを作成する際に使用できる
- バックアップ/ディザスター・リカバリー/HA目的のため、構成情報をエクスポートできる
- 侵入検知システム(IDS)機能および侵入防止システム(IPS)機能に制限がある
- ステートフル・パケット・インスペクション: VLANレベルで保護
- 受信と送信に関するファイアウォール規則
- ファイアウォール帯域幅は1 Gbps
- ネットワーク・アドレス変換(NAT)を実行できる
補足事項 - SoftLayerポータルでは管理できないので、FortiGateのユーザー・インターフェースを使用する必要がある
- 顧客が管理するソリューション
- インターネットに面しているネットワーク(パブリック・ネットワーク)に対してのみ使用できる
- SoftLayer環境内では複数のVLANはサポートされていない
サービスとしてのファイアウォール(FWaaS) - VLANベース
特徴
- SoftLayerマネージド・ファイアウォール
- ポータルまたはAPI呼び出しを介して、簡単にルールを構成できます。
- パブリックVLAN全体を保護
補足事項
- 高可用性構成には導入できない
- ファイアウォールの特性および機能をカスタマイズできない
- 送信に関するセキュリティーはない(受信フィルタリングのみ)
- 各パブリック・ネットワークに対してVLANごとに購入する必要がある
- サイト間VPN接続を作成する際には使用できない
- インターネットに面しているネットワーク(パブリック・ネットワーク)に対してのみ使用できる
サービスとしてのファイアウォール(FWaaS) - ホスト・ベース
特徴
- SoftLayerマネージド・ファイアウォール
- ポータルまたはAPI呼び出しを介して、簡単にルールを構成できます。
- 個々のサーバ/仮想マシンを保護できる
- ファイアウォール構成を各サーバ・インスタンスの所有者に委任できる
補足事項
- 高可用性構成には導入できない
- ファイアウォールの特性および機能をカスタマイズできない
- 送信に関するセキュリティーはない(受信フィルタリングのみ)
- パブリック・ネットワークに接続されている各サーバに対して、サーバごとに購入する必要がある
- サイト間VPN接続を作成する際には使用できない
- インターネットに面しているネットワーク(パブリック・ネットワーク)に対してのみ使用できる
VPN
Vyatta Community OS
特徴
- Vyatta 6.5/6.6は、ポータルから標準イメージとして導入できる
- ソフトウェアに関するコストが発生しない
- 仮想インスタンスに導入できる
- 顧客が管理する(自由度と制御機能が向上)
補足事項 - 技術サポートはコミュニティーが中心となって行っている
- SSHターミナルでのみ管理できる(API/GUI/TACACS+では不可)
- 顧客が管理する(トレーニングが必要になる場合がある)
- 従量制のパブリック・ネットワーク上でVPNトラフィックが伝送される
Vyatta Subscription OS
特徴
- VyattaのWeb GUIを使用して管理する
- SoftLayerによる技術サポートを利用できる
- アップリンクは冗長構成であり、1 Gbpsに対応している
- 豊富なVPN暗号化オプション
- 顧客が管理する(自由度と制御機能が向上)
補足事項 - ベアメタル構成でのみサポートされている
- 従量制のパブリック・ネットワーク上でVPNトラフィックが伝送される
- 顧客が管理する(トレーニングが必要になる場合がある)
Fortinet FortiGate Security Appliance(FSA)
特徴
- アップリンクは冗長構成であり、1 Gbpsに対応している
- 豊富なVPN暗号化オプション
- マネージドおよび非マネージド
補足事項 - (デバイスごとに)1つのフロントエンドVLANへのアクセスしかない。
- 従量制のパブリック・ネットワーク上でVPNトラフィックが伝送される
アウト・オブ・バンドVPN
特徴
- アウト・オブ・バンド・ネットワークが分離している。
- SSL VPNとPPTP VPNを "すぐに利用できる"
- 1 Gbpsの共有アップリンク
補足事項 - 冗長でない。
- 管理用タスクのみに有効である。
ダイレクトリンク
特徴
- 専用線で高速に接続できる。
補足事項 - キャリアと別途契約する必要がある
バックアップ
R1Soft Server Backup Manager(Idera)
特徴
- ブロック・レベル、増分バックアップ、複数の復元ポイント、データセンターのリモート・バックアップ
- 破損を検出するためのディスク・セーフ検査、ディスク・セーフ複製、暗号化、中央管理コンソール
- 費用対効果が高く、SQLプラグインが付属しており、追加ライセンスが不要である
補足事項 - サーバ保守作業とソフトウェア・インストール作業に関する責任が大きくなる
- ネットワーク上でマウントされたボリュームはサポートされない
EVault
特徴
- ファイル・レベル、増分バックアップ、暗号化と圧縮、データセンターのリモート・バックアップ
- サーバ・インフラストラクチャーを追加導入する必要がない
- プロビジョニングが自動化されており、また、ライセンス管理が不要である
補足事項 - サーバ単位でプロビジョニング、エージェントごとにコンソールがある - すべてのエージェントに対して集中化されていない
Object Storage
特徴
- 最も低コストのストレージ・オプションであり、長期間使用するストレージとして理想的である
- SoftLayerの標準イメージとフレックス・イメージを保存できる
補足事項 - Object Storageと連係動作するように設計されたバックアップ・ソフトウェアが必要である
スナップショットおよびイメージ・テンプレート
特徴
- インフラストラクチャーを導入する必要がない
- スナップショットを複製できる。低コストのイメージ・テンプレート
補足事項 - ファイル・レベルの復元オプションがない。増分バックアップ・オプションがある。データベースなど他の環境のためのプラグインがある
リバースプロキシ
Fortinet FortiGate Security Appliance(FSA)
特徴
- ハードウェアにより、SSL処理の負荷が除去される(ファイアウォールと統合)
- 高可用性(HA)クラスター構成に導入できる
- IPS/IDS機能に制限がある
補足事項 - 認証ゲートウェイ機能がない
- SSLトラフィックはWebサーバに届かない
- プロキシー機能がない
- 顧客が構成を管理する
Citrix NetScaler VPX
特徴
- 1台でアプリケーションを高速化できる(ロード・バランサーと統合)
- 高可用性(HA)クラスター構成に導入できる
- ロード・バランシングにより、プロキシーとして動作する
- Platinumエディションの場合、レイヤー7DDoS攻撃を防御できる
- 共にアプリケーション・ファイアウォール機能が備わっている
- Standardエディションの場合、SSL処理の負荷を除去できると共にゲートウェイ機能が備わっている
補足事項 - 顧客が構成を管理する
ロードバランサ
Fortinet FortiGate Security Appliance(FSA)
特徴
- ハードウェアにより、SSL処理の負荷が除去される(ファイアウォールと統合)
- 高可用性(HA)クラスター構成に導入できる
補足事項 - 認証ゲートウェイ機能がない
- SSLトラフィックはWebサーバに届かない
- プロキシー機能がない
- IPS/IDS機能に制限がある
- アプライアンス構成
Citrix NetScaler VPX
特徴
- 1台でアプリケーションを高速化できる(ロード・バランサーと統合)
リバース・プロキシーとして動作する - Standardエディションの場合、SSL処理負荷を除去できると共にゲートウェイ・モードを使用できる
- Platinumエディションの場合、レイヤー7DDoS攻撃を防御できると共にアプリケーション・ファイアウォール機能が備わっている
- 高可用性(HA)クラスター構成に導入できる
- レイヤー4およびレイヤー7において、トラフィック・シェーピングとキューの優先順位付けを行うことができる
- 仮想アプライアンスとして導入した場合、コストを削減し、保守作業を軽減することができる
- SoftLayerにおけるパブリック・ネットワークまたはプライベート・ネットワーク(あるいはその両方)に同時に導入できる
- レイヤー4およびレイヤー7においてロード・バランシングが行われる
スループットが最大3 Gbpsであり、Webアプリケーションの配信を最適化できる - クラスター構成にすることにより、NetScalerを最大32台までスケールアウトできる
- GSLB機能を利用すれば、サーバやサイトに障害が発生しても稼働を継続できる(Platinumエディション)
- グローバル・トラフィックを全社レベルで管理できる
- 地理的な場所と比率/ウェイトでバランスをとることが可能です。
補足事項 - アプライアンス構成を顧客が管理する
- サイト実装ごとに1つまたは複数のデバイスが必要になる。
- 個々のアプライアンスとしての価格になる。
- SoftLayerの自動スケール機能とは統合されない
ローカル・ロード・バランサー
特徴
- SoftLayerのマネージド・サービスとして導入される
- レイヤー4の主要なサービスに対してロード・バランシングが行われる
- SoftLayer Auto Scale機能と完全に統合されます。
- Webブラウザーのセッションを維持する、ロード・バランシング・オプションがある
- スループットの秒あたりの必要な接続数に基づいて購入する
- サーバ・プール内のサーバを必要に応じて追加または削除できる
- 大規模導入の場合、専用ハードウェアを購入できる
- Webサーバに転送するトラフィックを再度暗号化することはできない
- 高可用性(HA)クラスター構成に導入できる
- SSL暗号化処理の負荷を除去できるアップグレード・オプションがある
補足事項 - パブリック・ネットワーク上のトラフィックに対してのみロード・バランシングを行うことができる(プライベート・ネットワーク上のトラフィックに対してロード・バランシングを行うことはできない)
- データセンターごとに導入する必要がある
- レイヤー4でのみトラフィック・シェーピングが行われる(レイヤー7では行われない)
Nginx
特徴
- オープン・ソースなので、購入するライセンスはない。
- ワークロードに合わせて完全にカスタマイズできる。
- 地理的な場所と比率/ウェイトでバランスをとることが可能である。
補足事項 - SoftLayerを通じてのサポートは利用できない。
- 自動スケールの統合はない。
- より高度なメンテナンスが必要となる(オペレーティング・システムも管理する必要がある)。
- 管理コンソールはない(CLIと構成ファイルのみ)
Dyn.com
特徴
- 地理的な場所と比率/ウェイトでバランスをとることが可能である。
補足事項 - プライベート・ネットワークにプロビジョニングはない。