Chapter 5: 関連する LifeKeeper リソースについて
構 成 の概 要 で触 れたとおり、本 構 成 には4つのLifeKeeperリソースが利 用 されています。
それぞれの機 能 と動 作 概 要 は以 下 の通 りです。
Openswanリソース Route53リソース EC2リソース IPリソース
Openswan リソース
動 作 概 要
Region間 の接 続 を行 うために必 要 なVPN接 続 の監 視 を行 うリソースです。
Openswanリソースは、アクティブ・スタンバイ両 方 のVPNト ンネルの接 続 性 について監 視 を行 っています。対 向 Regionへの接 続 にはOpenswanリソースのステータスがActiveとなっているVPN用 インスタンス側 のVPNト ン ネルを経 由 します。この時 の通 信 経 路 を決 定 しているのが、Route Tableです。Openswanリソースの切 り替 え などに応 じて、必 要 なRoute tableの更 新 をEC2リソースが行 っています。
この時 の、EC2リソースの動 作 については別 途EC2リソースの項 目 を参 照 してください。
Openswan リソースの監 視 とリカバリー動 作
OpenswanリソースはOpenswanによって構 築 された対 向Regionにあるインスタンスとの間 に構 成 された1つの IPsec-VPNセッションを保 護 することができます。リソースの監 視 内 容 として、以 下 のような処 理 をアクティブノー ド とスタンバイノード の双 方 で実 行 しています。
1. Openswan daemonのプロセス状 態 をチェックします。(このチェックでNGだった場 合 以 後 のチェックを行 わ ずその時 点 で障 害 と判 定 します。)
2. VPNト ンネルを経 由 して対 向 VPN serverのlocal IPにpingを送 信 し、応 答 があるかチェックします。
(最 大 応 答 時 間 はチューニング可 能)
3. openswan daemonのプロセス状 態 をチェックします。
4. ipsecコマンド を使 用 して、VPNト ンネルが正 常 に張 られているかチェックします。
上 記 いずれかのチェックでNGと判 定 された場 合 、リソース障 害 と判 定 しリソースのリカバリ動 作 (ローカルリカバリ やフェイルオーバ)を行 います。
Openswanリソースのチューニング項 目
アクティブノード またはスタンバイノード のどちらか、あるいは両 方 において障 害 と判 定 した場 合 には、ローカルリカ バリーを行 います。リカバリを実 行 した結 果 からフェイルオーバを行 う条 件 は以 下 となります。
l アクティブノード 、スタンバイノード が共 にリカバリーに成 功 した場 合 は、ローカルリカバリーを成 功 としてフェ イルオーバは行 わない
l アクティブノード でリカバリが成 功 して、スタンバイノード で失 敗 した場 合 はローカルリカバリー成 功 として フェイルオーバは行 わない
l アクティブノード がリカバリに失 敗 して、スタンバイノード で成 功 した場 合 はローカルリカバリーに失 敗 したも のとして、リソースのフェイルオーバーを行 う。
l アクティブノード スタンバイノード の両 方 でローカルリカバリーに失 敗 した場 合 には、ローカルリカバリーの処 理 としては成 功 した結 果 を返 してフェイルオーバーを行 わないようにします。そして、以 後 両 ノード 、また はどちらか一 方 のVPNト ンネルが復 旧 できるまで監 視 とリカバリーが行 われます。
一 般 的 なLifeKeeperリソースの場 合 、ローカルリカバリに失 敗 した場 合 にはリソースをバックアップノード へフェイ ルオーバしますが、Openswanリソースは、アクティブノード とスタンバイノード の両 方 でVPNト ンネルによる通 信 経 路 の保 護 を行 い、フェイルオーバによって通 信 を継 続 できる場 合 のみフェイルオーバを行 います。そのため、前 述 のようなフェイルオーバの発 生 条 件 となっています。
Openswan リソースのチューニング項 目
状 況 に合 わせて以 下 のチューニングを行 うことができます。チューニングを行 う場 合 には、両 ノード
の/etc/default/LifeKeeperファイルに以 下 のパラメータを追 記 します。変 更 後 保 存 すると、即 時 その値 が有 効 となります。LifeKeeperやOSの再 起 動 は必 要 ありません。
パラメータ名 デフォルト 値 説 明
OPENSWAN_REMOVE_TIMEOUT
15 (秒) remove処 理 のタイムア
ウト 時 間
OPENSWAN_PING_TIMEOUT 5 (秒) pingタイムアウト
OPENSWAN_CHECK_TRY_COUNT
3 (回)
プロセス起 動 後 のVPN ト ンネル疎 通 確 認 の最 大TRY回 数 。 OPENSWAN_CHECK_INTERVAL
15 (秒)
プロセス起 動 後 のVPN ト ンネル疎 通 確 認 のイン ターバル
Route53 リソース
動 作 概 要
Route53リソースは、Region間 でのサービスノード の切 り替 えが発 生 した場 合 、Route 53と依 存 関 係 を持 つ IPリソースの仮 想IPアド レスに対 応 するよう、Amazon Route 53に対 してリソース作 成 時 のDNS Aレコード の 登 録 や、切 り替 えに伴 う更 新 要 求 を行 います。
Route53リソースの監 視 とリカバリ動 作
Route53 リソースの監 視 とリカバリ動 作
Route53リソースは作 成 時 に登 録 したDNS Aレコード の取 得 と仮 想IPアド レスとの関 連 づけの正 常 性 を監 視 しています。リソースの監 視 内 容 として、以 下 のような処 理 を行 っています。
1. Route 53のAレコード で設 定 されているアド レスをAPIで取 得 します。取 得 に失 敗 した場 合 は、デフォ ルト で2秒 の間 隔 を置 いてから、情 報 の再 取 得 を行 います。3回 取 得 を試 行 して取 得 できなかった場 合 、ログに記 録 を残 し監 視 処 理 を終 了 します。
2. Route53リソースと依 存 関 係 があるIPリソースからIPアド レスを取 得 して、 Route53のAレコード で設 定 されているアド レスとIPリソースのIPアド レスを比 較 します。一 致 した場 合 、正 常 であると判 断 して処 理 を正 常 終 了 します。一 致 しなかった場 合 、異 常 であると判 断 しリカバリを開 始 します。
Route53 リソースのチューニング項 目
状 況 に合 わせて以 下 のチューニングを行 うことができます。チューニングを行 う場 合 には、両 ノード の
/etc/default/LifeKeeperファイルに以 下 のパラメータを追 記 します。変 更 後 保 存 すると、即 時 その値 が 有 効 となります。LifeKeeperやOSの再 起 動 は必 要 ありません。
パラメータ名 デフォルト 値 説 明
ROUTE53_TTL 10 (秒) TTL (秒)の設 定 値 。
ROUTE53_RECORD_INTERVAL
2 (回)
Aレコード 更 新 時 の Route 53 API通 信 のイ ンターバル
ROUTE53_RECORD_TRY_COUNT
3 (回)
Aレコード 更 新 時 の Route 53 API通 信 のト ライ回 数
ROUTE53_CHENGEID_INTERVAL
20 (秒)
Route 53 API通 信 のス テータス確 認 時 のイン ターバル
ROUTE53_CHENGEID_TRY_COUNT
4 (回)
Route 53 API通 信 のス テータス確 認 時 のト ライ 回 数
ROUTE53_RECORDCHECK_INTERVAL
2 (秒)
Aレコード の情 報 取 得 時 のRoute 53 API通 信 のインターバル
ROUTE53_RECORDCHECK_TRY_COUNT
3 (回)
Aレコード の情 報 取 得 時 のRoute 53 API通 信 のト ライ回 数
EC2リソース
EC2 リソース
動 作 概 要
OpenswanリソースとRoute 53リソースの子 リソースとして作 成 されるリソースです。
このリソースは各 インスタンス上 で動 作 するリソースが、AZまたはRegionを挟 んで切 り替 えが行 われた場 合 に、
通 信 を継 続 するために必 要 となるルーティング情 報 の更 新 を行 います。この基 本 的 な動 作 は、以 前 より提 供 している「Recovery Kit for EC2」の「ルート テーブルシナリオ」と同 等 となります。詳 細 につきましては、Recovery Kit for EC2管 理 ガイドの情 報 をご確 認 ください。
EC2 リソースの監 視 とリカバリー動 作
Amazon EC2 API Toolsを使 用 し、ルート テーブル内 にある保 護 されているIPルート のターゲット がアクティブサー バのENIに正 しく設 定 されていることを確 認 します。正 しいことが確 認 されない場 合 はEC2のローカルリカバリプ ロセスを実 行 します。
EC2 リソースの切 り替 わりが発 生 した際 の route table の更 新 の動 作
Openswanリソースとともに作 成 されるEC2リソースは、対 向Regionへの通 信 をする際 の出 口 となるENIを更 新 し、Route53とともに作 成 されるEC2リソースはAZ間 で仮 想 IPアド レスが切 り替 えられた場 合 に、関 連 付 けるENIの更 新 を行 います。
リソースの切 り替 えが発 生 した場 合 のroute tableの遷 移 例 は以 下 の通 りです。
1. 最 初 に図 3のサービス用 インスタンスのLK_P_AでRoute53リソースがActive、VPN用 インスタンスの VPN_P_AでOpenswanリソースがActiveであるとします。その場 合 、Route tableは以 下 のような状 態 となります。(デフォルト で設 定 されているVPCとIGWの設 定 は制 御 対 象 ではないため省 略 します。)
Destination Target Description
10.1.0.10/32 LK_P_AのENI Route53リソースがLK_P_A上 でActive 10.2.0.0/16 VPN_P_AのENI OpenswanリソースがVPN_P_A上 でActive 172.17.0.0/24 上 記 と同 じVPN_P_AのENI OpenswanリソースがVPN_P_A上 でActive
2. この状 態 から、OpenswanリソースがVPN_P_AからVPN_P_Bへ切 り替 えられた場 合 、Route tableは 以 下 のようになります。
Destination Target Description
10.1.0.10/32 LK_P_AのENI 1の状 態 から変 化 なし
10.2.0.0/16 VPN_P_BのENI 切 り替 え先 のVPN_P_BのENIへ情 報 が更 新 される 172.17.0.0/24 VPN_P_BのENI 切 り替 え先 のVPN_P_BのENIへ情 報 が更 新 される
3. さらにRoute53リソースがLK_P_AからLK_P_Bへ切 り替 えられた場 合 、Route tableは以 下 のようになり
IPリソース
ます。
Destination Target Description
10.1.0.10/32
LK_P_BのENI 切 り替 え先 のLK_P_B上 で仮 想IPを関 連 付 けるENIに情 報 が更 新 される
10.2.0.0/16 VPN_P_B のENI
2の状 態 から変 化 なし
172.17.0.0/24 VPN_P_B のENI
2の状 態 から変 化 なし
このように切 り替 えに応 じて通 信 のTargetとなる情 報 をEC2リソースが更 新 を行 っています。
IP リソース
動 作 概 要
LifeKeeper Coreに含 まれるIP Recovery Kitを使 用 して作 成 する、ノード 間 で切 り替 え可 能 な仮 想IPアド レス です。これまで提 供 しているIPリソースと大 きな変 更 点 はありませんが、EC2 Cross Regionに対 応 するた め、Regionが異 なる場 所 に拡 張 する場 合 に、拡 張 元 とは異 なる仮 想IPアド レスとサブネット を設 定 できるよう になっています。
その他 、IPリソースの詳 細 につきましては、以 下 のオンラインマニュアルの情 報 をご確 認 ください。
IP Recovery Kit管 理 ガイド
Chapter 6:本 構 成 における設 定 および運 用 上 の留 意 点
Chapter 6: 本構成における設定および運用上の留意点
Quorum/Witness Server の利 用 を検 討 してください
EC2 Cross Regionを使 用 する環 境 では、Regionを挟 んでHAクラスタを構 成 します。
Region間 のコミュニケーションパスは、同 一Region内 のコミュニケーションパスと比 較 すると、途 切 れやすくなるこ とが想 定 されます。
そのためEC2 Cross Region環 境 では、コミュニケーションパスの通 信 が全 て途 切 れてスプリット ブレイン状 態 に 陥 る可 能 性 が、一 般 的 なHAクラスタ構 成 よりも高 くなります。
これを踏 まえて、本 構 成 ではより安 全 に運 用 できるように、LifeKeeperのI/Oフェンシング機 能 の一 つである Quorum/Witness Serverの利 用 をご検 討 ください。
特 に、Quorumモード のTCP_REMOTE設 定 を利 用 すれば、別 途Quorumサーバを立 てずにI/Oフェンシング 機 能 を実 装 できるため、クラウド 環 境 においては利 用 しやすいと考 えられます。Quorum/Witnessの利 用 につい ては以 下 のURLをご確 認 ください。
Quorum/Witness
Route53 リソース起 動 にともなうレコードの更 新 に時 間 がかる場 合 があります
Route53のDNSレコード の更 新 の伝 播 速 度 に関 して、Amazonでは以 下 のような情 報 を提 供 しています。
Amazon Route 53よくある質 問
Q: Amazon Route 53上 のDNS設 定 の変 更 はどのくらい速 く世 界 中 に広 まりますか?
http://aws.amazon.com/jp/route53/faqs/
Route53リソースではRoute53 APIを使 用 してDNSへのレコード 更 新 の状 況 について確 認 していま
す。INSYNCステータスを得 られた場 合 には更 新 が完 了 したと判 断 し、PENDINGステータスが帰 ってきた場 合 には、更 新 状 況 の確 認 のリト ライを行 います。このような仕 様 のため、Route53リソースの起 動 処 理 としては正 しくレコード 更 新 がかけられているにも関 わらず、DNSへの更 新 情 報 の伝 播 に時 間 がかかった場 合 に
は、Route53リソースとしては起 動 失 敗 の状 態 になってしまう場 合 があります。
もし、Route53リソースの起 動 に失 敗 した場 合 には、Route53の管 理 コンソールをみてAレコード が正 しく更 新 さ れていることを確 認 してください。更 新 されている場 合 、サービス自 体 は正 しく提 供 できる状 態 であると考 えられ ます。もう一 度 LifeKeeper GUIからRoute53リソースを起 動 してください。
常 時 前 述 のようなケースでRoute53リソースの起 動 ステータスが失 敗 する場 合 に
は、/etc/default/LifeKeeper ファイルの「ROUTE53_CHANGEID_TRY_COUNT」の値 をデフォルト の4 回 から1回 から2回 、回 数 を増 やす設 定 して、状 況 が改 善 するかご確 認 ください。この設 定 変 更 には
LifeKeeperやOSの再 起 動 は必 要 ありません。