社内のActive Directoryを冗長化したいと思ったとき、
「オンプレ2台」ではなく クラウドを使う方法を試してみました。
今回は
さくらのVPSを使ってADを冗長構成にした一連の実務ログをまとめます。
実際には
・リージョンを分けてサーバーを配置
・VPNで社内ネットワークと接続
・通常経路と障害時経路を分けてルーティング
という構成になっています。
構築の途中では
「このやり方で本当にいいのか」
「もう少し簡単な方法はないのか」
と迷いながら進めていました。
同じように
ひとり情シスでAD冗長を考えている人の参考になればと思い、
一連の流れをまとめておきます。
今回の環境は
自分の検証・運用環境でも使っている
さくらのVPS
を前提にしています。
安価にサーバーを増やせるので、
こういう構成を試すにはちょうど良い環境でした。
この構成の全体像
今回の構成はシンプルに言うとこうです。
社内ネットワーク
│
RTXルータ
│
┌─────────────┐
│ │
大阪リージョン 石狩リージョン
VPNサーバー VPNサーバー
strongSwan strongSwan
│ │
ADサーバー ADサーバー
ポイントは2つです。
・リージョンを分けて配置
・VPNを2本張る
そして通常は片方を使い、
障害が起きたらもう一方に切り替える構成にしています。
① さくらのVPSでADを冗長化した構成と費用
最初に作ったのがこの構成です。
・ADサーバー2台
・リージョン分散
・同一セグメント
この部分は
さくらのクラウドの ブリッジ接続を使っています。
そのため
リージョンが違っても同一セグメントとして動作
しています。
構成の全体像や月額費用については
こちらの記事で書いています。
ADの冗長構成というと
どうしても大規模なインフラを想像しますが、
実際に作ってみると
意外とシンプルな構成で動きます。
② strongSwanで社内ルータとVPN接続
次にやったのが
社内ネットワークとの接続
です。
会社側は Yamaha RTX を使っているので
Linux側は strongSwan で接続しました。
ここは正直、
規格合わせが一番大変でした。
IKEの設定
暗号方式
IDの指定方法
このあたりが微妙に噛み合わず、
ログを見ながら何度も調整しています。
構築ログはこちらにまとめています。
IPsec VPNでは
暗号方式やSA寿命などの設定を
対向機器と合わせる必要があります。
このあたりは
機器によって癖が違うので
ログを見ながら合わせるしかありませんでした。
③ VPNがしばらくすると切れる問題
VPNは一度つながっても
しばらくすると切れることがあります。
今回も
「最初は安定しているのに
数時間後に切れる」
という状況が発生しました。
原因は
・ISAKMP SA寿命
・IPsec SA寿命
このあたりの設定差でした。
RTX側と strongSwan側で
寿命の値を調整したところ
安定するようになりました。
このトラブル対応ログはこちらです。
VPNは
つながるまでより、安定させる方が難しい
というのを改めて実感しました。
④ 2リージョンVPNのルーティング設計
最後に悩んだのが
どちらのVPNを使うか
というルーティングです。
今回の方針はシンプルです。
・通常は大阪リージョン
・障害時は石狩リージョン
そのため
ADサーバー側では
デフォルトゲートウェイを2つ設定
会社側のRTXでは
ping監視でルートを切り替える
という構成にしました。
詳しい設定ログはこちらです。
最初は
・BGP
・VRRP
・別の監視構成
なども考えましたが、
ひとり情シス環境では
シンプルな構成の方が運用しやすい
という結論に落ち着きました。
この構成を作ってみて思ったこと
今回の構成は
・AD冗長
・リージョン分散
・VPN冗長
と書くと
少し大げさに見えるかもしれません。
でも実際には
・VPS数台
・VPNサーバー
・ルータ設定
これだけです。
そして一番思ったのは
さくらのVPSは安価に色々構成組めるから面白い。
試して
壊して
直して
このサイクルが回しやすい。
ひとり情シスとしては
こういう環境があるのは本当に助かります。
