ニフクラとヤマハルーターで作るセキュアなオフィス環境 登壇レポート | トラブルシュートに強くなろう(濱田康貴氏)

みなさんこんにちは。6月19日に「クラウドのネットワークやルーターでハマりがちな人向け勉強会@銀座」でお話してきましたのでレポートいたします。当日の様子は 【レポート】第17回ニフクラ エンジニア ミートアップ「クラウドのネットワークやルーターでハマりがちな人向け勉強会@銀座」 (ニフクラブログ) でも紹介されていますので、ご覧ください。

当日発表した内容のうち作業の手順は以下の通りです。

  1. ニフクラ上でネットワーク構築
  2. VPN(IPsec)設定
  3. ファイルサーバー構築

また、VPNを張るまでの工程にない手順として、ニフクラ側でのルーティング設定を行う必要があることをハマりポイントとしてご紹介しました。

なぜクラウド上にファイルサーバーを構築するのか

一般的に、WEBサーバーはインターネット上に、ファイルサーバーは自社拠点内に構築するイメージを持たれている方が多いと思います。ファイルサーバーを自社拠点内に持つ理由としては

  • そもそも自社でしか扱わない情報を保存するのだから、自社内にファイルサーバーを置くという判断は合理的である
  • 社員全員が毎日出社し、会社の中でしかファイルを扱わないのだから外に情報を持つのはとんでもない

に収斂されると考えます。しかし、

  • ファイルを読み書きするために外回りから直帰できず会社に寄らなければいけない
    • 子供の送り迎えや通院などの時間が取れず生活に支障をきたす
    • 業務がロケーションに縛られることによるコスト増

というデメリットも生じます。そこで、

  • ファイルサーバーをクラウド(IaaS上)に持つ
  • 自社拠点または社員自宅とクラウドはVPNで接続する

これにより、利便性とセキュリティの両立を図ります。

ハマりどころをチェックしよう

ニフクラに限らず、クラウド環境とVPNを張る際にハマりがちなのが、「おかしい、VPNは張れているはずなのにサーバーに繋がらない」というトラブルです。トラブルシュートの経験が少ないと焦りがちですが、ハマりどころを挙げると意外とシンプルですので、落ち着いて切り分けていきましょう。

  1. そもそもインターネットに出ていけるか
    1. 対向ルーターのグローバルIPアドレスにpingが届くか
    1. 対向ルーター以外にもpingを飛ばす、SSH接続するなどで部分障害か全体障害かを切り分ける
  2. VPNは張れているか
    1. クラウド上の管理画面、ルーターともに接続ステータスを確認しよう
    1. ログを確認して、エラーの内容を理解しよう
  3. 対向ルーターのLAN側IPアドレスにpingが届くか
    1. VPNが張れている前提でpingを飛ばしてみる
  4. クラウド側の仮想サーバーにpingが届くか
    1. 仮想サーバーのファイアウォール設定を一旦解除して自拠点からVPN経由でpingを飛ばす
    1. 仮想サーバーのファイアウォール設定をした上で、VPN経由でpingを飛ばす
  5. クラウド側の仮想サーバーから自拠点へVPN越しにpingを飛ばす

おおよそこれらの手順でだいたいの切り分けができると思います。上記手順の4か5で繋がらない、というケースは、ルーティングの設定がされていないか、ルーティングの設定がおかしいかのどちらかであることがほとんどです。

トラブルシュートの基本

クラウドに限らず、ネットワーク越しのトラブルシュートは、自ホストのみならず相手先があってのことなので、切り分けに苦手意識を持つ方も多いでしょう。しかし落ち着いて

  • 発信契機はどちらかを理解する
    • 自社拠点->クラウド
    • クラウド->自社拠点
  • どのレイヤーでおきている障害かを切り分ける
  • pingだけで判断しない
    • 必ず、本来やりたいこと(利用するプロトコル)で確認する
    • WEBの場合、データベース接続を行うケースもあるので、単一のプロトコルだけで安易に判断しない
  • エラーメッセージは必ず読む そして意味を理解する
  • そもそもそのサービスが提供できるまでの状態遷移を理解する

これらを心がけることで、「調べたけどよくわかりませんでした」のほとんどは撲滅することができます。

ニフクラとヤマハルーターで、業務効率を改善しませんか?