関連する LifeKeeper リソースについて

Chapter 5: 関連する LifeKeeper リソースについて

構 成 の概 要 で触 れたとおり、本 構 成 には4つのLifeKeeperリソースが利 用 されています。

それぞれの機 能 と動 作 概 要 は以 下 の通 りです。

Openswanリソース Route53リソース EC2リソース IPリソース

Openswan リソース

動 作 概 要

Region間 の接 続 を行 うために必 要 なVPN接 続 の監 視 を行 うリソースです。

Openswanリソースは、アクティブ・スタンバイ両 方 のVPNト ンネルの接 続 性 について監 視 を行 っています。対 向 Regionへの接 続 にはOpenswanリソースのステータスがActiveとなっているVPN用 インスタンス側 のVPNト ン ネルを経 由 します。この時 の通 信 経 路 を決 定 しているのが、Route Tableです。Openswanリソースの切 り替 え などに応 じて、必 要 なRoute tableの更 新 をEC2リソースが行 っています。

この時 の、EC2リソースの動 作 については別 途EC2リソースの項 目 を参 照 してください。

Openswan リソースの監 視 とリカバリー動 作

Openswanリソースは 、システムにインスト ールされたOpenswanを使 用 して、構 築 された対 向Regionにあるイ ンスタンスとの間 に構 成 された1つのIPsec-VPNセッションを保 護 することができます。リソースの監 視 内 容 とし て、以 下 のような処 理 をアクティブノード とスタンバイノード の双 方 で実 行 しています。

1. Openswan daemonのプロセス状 態 をチェックします。(このチェックでNGだった場 合 以 後 のチェックを行 わ ずその時 点 で障 害 と判 定 します。)

2. VPNト ンネルを経 由 して対 向 VPN serverのlocal IPにpingを送 信 し、応 答 があるかチェックします。

(最 大 応 答 時 間 はチューニング可 能)

3. 対 向VPN serverのpublic IPにpingを送 信 し、応 答 があるかチェックします。

4. ipsecコマンド を使 用 して、VPNト ンネルが正 常 に張 られているかチェックします。

上 記 いずれかのチェックでNGと判 定 された場 合 、リソース障 害 と判 定 しリソースのリカバリ動 作 (ローカルリカバリ やフェイルオーバ)を行 います。

Openswanリソースのチューニング項 目

アクティブノード またはスタンバイノード のどちらか、あるいは両 方 において障 害 と判 定 した場 合 には、ローカルリカ バリーを行 います。リカバリを実 行 した結 果 からフェイルオーバを行 う条 件 は以 下 となります。

l アクティブノード 、スタンバイノード が共 にリカバリーに成 功 した場 合 は、ローカルリカバリーを成 功 としてフェ イルオーバは行 わない

l アクティブノード でリカバリが成 功 して、スタンバイノード で失 敗 した場 合 はローカルリカバリー成 功 として フェイルオーバは行 わない

l アクティブノード がリカバリに失 敗 して、スタンバイノード で成 功 した場 合 はローカルリカバリーに失 敗 したも のとして、リソースのフェイルオーバーを行 う。

l アクティブノード スタンバイノード の両 方 でローカルリカバリーに失 敗 した場 合 には、ローカルリカバリーの処 理 としては成 功 した結 果 を返 してフェイルオーバーを行 わないようにします。そして、以 後 両 ノード 、また はどちらか一 方 のVPNト ンネルが復 旧 できるまで監 視 とリカバリーが行 われます。

ほぼ全 てのLifeKeeperリソースが、上 述 のローカルリカバリに失 敗 した場 合 にはリソースをバックアップノード へフェ イルオーバしますが、Openswanリソースは、アクティブノード とスタンバイノード の両 方 でVPNト ンネルによる通 信 経 路 の保 護 を行 い、フェイルオーバによって通 信 を継 続 できる場 合 のみフェイルオーバを行 います。そのため、前 述 のようなフェイルオーバの発 生 条 件 となっています。

Openswan リソースのチューニング項 目

状 況 に合 わせて以 下 のチューニングを行 うことができます。チューニングを行 う場 合 には、両 ノード

の/etc/default/LifeKeeperファイルに以 下 のパラメータを追 記 します。変 更 後 保 存 すると、即 時 その値 が有 効 となります。LifeKeeperやOSの再 起 動 は必 要 ありません。

パラメータ名 デフォルト 値 説 明

OPENSWAN_REMOVE_TIMEOUT

15 (秒) remove処 理 のタイムア

ウト 時 間

OPENSWAN_PING_TIMEOUT 5 (秒) pingタイムアウト

OPENSWAN_CHECK_TRY_COUNT

3 (回)

プロセス起 動 後 のVPN ト ンネル疎 通 確 認 の最 大TRY回 数 。 OPENSWAN_CHECK_INTERVAL

15 (秒)

プロセス起 動 後 のVPN ト ンネル疎 通 確 認 のイン ターバル

Route53 リソース

動 作 概 要

リージョン間 のスイッチオーバーが生 じた後 、サービスへの接 続 を継 続 して確 保 するためには、新 しいリージョンで 定 義 した仮 想 IPアド レス情 報 に対 応 するAmazon Route 53 DNS情 報 の更 新 が必 要 となります。この機 能 は、Route53リソースで提 供 されています。スイッチオーバーが生 じた場 合 、Route53リソースは、新 しいリージョ

Route53リソースの監 視 とリカバリ動 作

ンの仮 想IPアド レスに対 応 するDNS Aレコード を生 成 し、更 新 を行 うためにAmazon Route 53サービスに信 号 を送 信 します。

Route53 リソースの監 視 とリカバリ動 作

Route53リソースは作 成 時 に登 録 したDNS Aレコード の取 得 と仮 想IPアド レスとの関 連 づけの正 常 性 を監 視 しています。リソースの監 視 内 容 として、以 下 のような処 理 を行 っています。

1. Route 53のAレコード で設 定 されているアド レスをAPIで取 得 します。取 得 に失 敗 した場 合 は、デフォ ルト で2秒 の間 隔 を置 いてから、情 報 の再 取 得 を行 います。3回 取 得 を試 行 して取 得 できなかった場 合 、ログに記 録 を残 し監 視 処 理 を終 了 します。

2. Route53リソースと依 存 関 係 があるIPリソースからIPアド レスを取 得 して、 Route53のAレコード で設 定 されているアド レスとIPリソースのIPアド レスを比 較 します。一 致 した場 合 、正 常 であると判 断 して処 理 を正 常 終 了 します。一 致 しなかった場 合 、異 常 であると判 断 しリカバリを開 始 します。

Route53 リソースのチューニング項 目

状 況 に合 わせて以 下 のチューニングを行 うことができます。チューニングを行 う場 合 には、両 ノード の

/etc/default/LifeKeeperファイルに以 下 のパラメータを追 記 します。変 更 後 保 存 すると、即 時 その値 が 有 効 となります。LifeKeeperやOSの再 起 動 は必 要 ありません。

パラメータ名 デフォルト 値 説 明

ROUTE53_TTL

10 (秒) TTL ( Time To Live ) (秒)の設 定 値 。 ROUTE53_RECORD_INTERVAL

2 (回)

Aレコード 更 新 時 の Route 53 API通 信 のイ ンターバル

ROUTE53_RECORD_TRY_COUNT

3 (回)

Aレコード 更 新 時 の Route 53 API通 信 のト ライ回 数

ROUTE53_CHANGEID_INTERVAL

20 (秒)

Route 53 API通 信 のス テータス確 認 時 のイン ターバル

ROUTE53_CHANGEID_TRY_COUNT

4 (回)

Route 53 API通 信 のス テータス確 認 時 のト ライ 回 数

ROUTE53_RECORDCHECK_INTERVAL

2 (秒)

Route 53 API通 信 によ るAレコード 情 報 取 得 に要 する時 間

ROUTE53_RECORDCHECK_TRY_COUNT

3 (回)

Aレコード の情 報 取 得 時 のRoute 53 API通 信 のト ライ回 数

EC2リソース

EC2 リソース

動 作 概 要

OpenswanリソースとRoute 53リソースの子 リソースとして作 成 されるリソースです。

このリソースは各 インスタンス上 で動 作 するリソースが、AZまたはRegionを挟 んで切 り替 えが行 われた場 合 に、

通 信 を継 続 するために必 要 となるルーティング情 報 の更 新 を行 います。この基 本 的 な動 作 は、以 前 より提 供 している「Recovery Kit for EC2」の「ルート テーブルシナリオ」と同 等 となります。詳 細 につきましては、Recovery Kit for EC2管 理 ガイドの情 報 をご確 認 ください。

EC2 リソースの監 視 とリカバリー動 作

Amazon EC2 API Toolsを使 用 し、ルート テーブル内 にある保 護 されているIPルート のターゲット がアクティブサー バのENIに正 しく設 定 されていることを確 認 します。正 しいことが確 認 されない場 合 はEC2のローカルリカバリプ ロセスを実 行 します。

EC2 リソースの切 り替 わりが発 生 した際 の route table の更 新 の動 作

Openswanリソースとともに作 成 されるEC2リソースは、対 向Regionへの通 信 をする際 の出 口 となるENIを更 新 し、Route53とともに作 成 されるEC2リソースはAZ間 で仮 想 IPアド レスが切 り替 えられた場 合 に、関 連 付 けるENIの更 新 を行 います。

リソースの切 り替 えが発 生 した場 合 のroute tableの遷 移 例 は以 下 の通 りです。

1. 最 初 に図 3のサービス用 インスタンスのLK_P_AでRoute53リソースがActive、VPN用 インスタンスの VPN_P_AでOpenswanリソースがActiveであるとします。その場 合 、Route tableは以 下 のような状 態 となります。

(注 記 ：VPCとIGWの設 定 につきましては、デフォルト 値 が設 定 されており、また制 御 対 象 ではないた め省 略 します。)

Destination Target Description

10.1.0.10/32 LK_P_AのENI Route53リソースがLK_P_A上 でActive 10.2.0.0/16 VPN_P_AのENI OpenswanリソースがVPN_P_A上 でActive 172.17.0.0/24 上 記 と同 じVPN_P_AのENI OpenswanリソースがVPN_P_A上 でActive

2. この状 態 から、OpenswanリソースがVPN_P_AからVPN_P_Bへ切 り替 えられた場 合 、Route tableは 以 下 のようになります。

Destination Target Description

10.1.0.10/32 LK_P_AのENI 1の状 態 から変 化 なし

IPリソース

Destination Target Description

10.2.0.0/16 VPN_P_B のENI

スイッチオーバーのターゲット であるのVPN_P_BのENIへ情 報 が更 新 される

172.17.0.0/24 VPN_P_B のENI

スイッチオーバーのターゲット であるVPN_P_BのENIへ情 報 が更 新 される

3. さらにRoute53リソースがLK_P_AからLK_P_Bへ切 り替 えられた場 合 、Route tableは以 下 のようになり ます。

Destination Target Description

10.1.0.10/32 LK_P_B のENI

スイッチオーバーのターゲット であるのLK_P_B上 で仮 想IPを関 連 付 け るENIに情 報 が更 新 される

10.2.0.0/16 VPN_P_B のENI

2の状 態 から変 化 なし

172.17.0.0/24 VPN_P_B のENI

2の状 態 から変 化 なし

このように切 り替 えに応 じて通 信 のTargetとなる情 報 をEC2リソースが更 新 を行 っています。

IP リソース

動 作 概 要

IPリソースとは、LifeKeeper Core製 品 に含 まれるIPリカバリキット を使 用 して生 成 した仮 想IPアド レスです。すべ てのLifeKeeperリソースと同 様 に、IPリソースインスタンスは、クラスタ内 のすべてのノード 間 で切 り替 えることが可 能 です。IPリソースインスタンスをEC2 Cross Region構 成 で使 用 する場 合 、作 成 中 に指 定 した仮 想IPアド レ スは、リソースが他 のリージョン内 のノード に切 り替 えられると有 効 になりません。したがって、このような構 成 にお いて、他 のリージョン内 のノード へのリソース拡 張 が生 じた場 合 、LifeKeeperでは、該 当 するネット ワークセグメン ト 内 に存 在 する適 切 な仮 想IPアド レスを指 定 することが可 能 です。

さらに詳 細 な情 報 につきましては、IP Recovery Kitテクニカルド キュメンテーションをご覧 ください