平成14年度テクニカルエンジニア(ネットワーク)午後Ⅱ問2

問2 システムの災害対策に関する次の記述を読んで、設問1~5に答えよ。

A社は、中小企業向けに業務アプリケーション提供サービス(以下、ASPという)を実施している。契約企業(以下、ユーザという)は、インターネットを経由して、パソコンのブラウザから利用している。ASP事業のためのシステム(以下、ASPシステムという)は、B社の首都圏インターネットデータセンタ(以下、IDCという)のハウジングサービスを利用し、運用もアウトソーシングしている。図1に、現在のASPシステムの構成を示す。

Webサーバは、ユーザが接続するASPシステムの公開サーバであり、αで示されるセグメントはグローバルIPアドレス、βで示されるセグメントはプライベートIPアドレスを使用している。ASPシステムのためのDNSサーバは、B社の首都圏IDCが運用管理しているものを利用している。DNSサーバは、プライマリとセカンダリの2台とも首都圏IDCに設置されている。

現在、ASP事業のユーザは、約300社になっている。事業が軌道に乗るにつれて、システム停止による被害が、事業経営に大きな影響を及ぼすことが想定されるようになったので、A社は、システム停止を避けるための対策とデータ破壊や消失を防ぐ対策を積極的に実施してきた。現在では、図1に示すとおり、WebサーバとAPサーバを3台構成にし、DBサーバを2台でクラスタ構成にしている。LB、SW及びFWなどのネットワーク機器は、故障率が低いことと交換作業が容易であることから、代替機を確保して障害に対応している。DBサーバには、光ファイバケーブルでRAID装置を直結している。テープ装置は、片方のDBサーバに接続している。データのバックアップは、土曜日の深夜にDB全体をバックアップするフルバックアップ方式で行っている。また、ユーザとの間で締結しているサービス契約に従い、月次更新前にフルバックアップを実施し、バックアップテープ(以下、テープという)を1年間保管している。表1に、現在利用しているRAID装置とテープ装置の仕様を示す。

ASPシステムの運用責任者であるA社のF課長は、これまで、システムの増強を積極的に実施してきた。現在、システムは、安定して稼働しているが、月に約10社ずつユーザが増加している。F課長は、担当者のE君に現状の運用を継続したときに顕在化しそうな問題点の洗い出しを指示した。E君は、F課長に次の3点の懸念事項を説明した。

①テープ装置を接続しているDBサーバに障害が発生したとき、バックアップができなくなる。

②バックアップが週1回なので、1週間分の変更データが失われる危険性がある。
③ユーザは、10か月後に400社を超えることが予想されるので、ディスク容量の拡大が必要になる。

説明を受けたF課長は、E君に対策案の検討を指示した。E君は、対策案を立案するために、RAID装置の使用状況とデータの更新状況を調査し、表2にまとめた。

〔ストレージシステムの見直し〕
E君は、調査結果を基に、①、②及び③の懸念事項を解決するとともに、運用が容易なバックアップ方式を検討することにした。

(1)バックアップ運用の検討
②の懸念事項を解決するためのバックアップ方式を検討した。
データのバックアップ方式には、フルバックアップと変化分バックアップがある。
変化分バックアップは、変化したデータブロックだけをバックアップする方法である。変化分バックアップには、差分バックアップと増分バックアップとがある。差分バックアップは、フルバックアップを行ったときから変更された部分をバックアップする方法である。一方、増分バックアップは、前回のバックアップからの変更部分だけをバックアップする方法である。
障害が発生した場合に、前日のデータ内容に復旧するためのバックアップ運用を次のとおりにした。
 ・月~金曜日は、差分バックアップを行う。テープは、曜日ごとに固定し、毎週同じものを使用する。
 ・土曜日は、フルバックアップを行う。テープは、2セット用意して、毎週交互に使用する。
 ・日曜日は、ASPシステムのサービスを停止するので、バックアップを行わない。

これらをまとめると、表3のとおりになる。

月~土曜日のバックアップはテープ交換も含めて自動で行い、月末はオペレータの操作で行う。月末のバックアップ後、月末用テープは手作業で入れ替え、1年間保管する。このような運用でバックアップを行った場合、テープの破壊がなければ、月末用テープも合わせて、月当たり【b】本のテープが使用される。表3のスケジュールでバックアップを行った場合、表1、2の条件下では、月曜日のバックアップ時間は【c】分になり、土曜日のバックアップ時間は【d】分になる。

(2)ストレージシステム構成の見直し
①、③の懸念事項を解決するために、次の3点を考慮して、RAID装置とテープ装置を使ったストレージシステム構成の見直しを行った。

 (i) DBサーバのニ重化にテープ装置も対応させる。
 (ii) 表3のバックアップ運用を、月末以外は自動で行うことができるようにする。
 (iii) RAID装置の増設が簡単に実施できるようにする。

見直しの結果、(ii)の課題は収納可能なテープ本数が【b】本以上のテープ装置に交換することで解決でき、(i)、(iii)の課題はSAN(StorageAreaNetwork)を導入して、図2の構成にすることで解決できることが分かった。



E君は、ユーザ数の増加と拡張性を考慮した対策案をまとめ、F課長に説明した。
F課長は、対策案の有効性を理解し、実施のためのりん議書を提出して承認を得た。

ストレージシステムにSANを導入した後、ASPシステムは、順調に稼働を続けた。

〔システムの災害対策方式の検討〕
その後、社長から、災害によるシステム破壊のリスクに対する対策の必要性が指摘された。F課長は、E君とASPシステムの災害対策方式の検討を行った。災害対策としては、遠隔地バックアップが効果的であると考えられる。幾つかの遠隔地バックアップ方式の中でも、同一システムを遠隔地に設置してシステム全体をバックアップする方法が、サービス停止を短時間に抑えることができるので、投資金額は大きいが最も効果的であると考えられた。遠隔地にバックアップシステムを設置する場合には、データの整合性の維持が課題になる。そのための方法は幾つか考えられたが、WAN回線を使用したデータの複製(以下、レプリケーションという)による整合性の維持が、最も費用対効果が高い方法であると判断された。
レプリケーションにおいて、最初の同期化が済んだ後は、実際に変更のあったデータブロックだけを複製することによって、WANのトラフィックを最小限に抑える工夫が施されている。レプリケーションのパフォーマンスは、使用可能な帯域幅、ネットワークの構成及び複製するデータ量に影響される。また、レプリケーション方式には、同期レプリケーションと非同期レプリケーションがある。
同期レプリケーションでは、データの複製元になるサーバ(以下、プライマリサーバという)のアプリケーション処理によって更新されたデータが、データの複製先になるサーバ(以下、セカンダリサーバという)に転送され、セカンダリサーバでの更新処理が終了した時点で、アプリケーション処理が次のステップに進むことができる。このように、同期レプリケーションでは、完全なデータの整合性が常に確保されているが、更新が多いときや帯域幅に制約があるときなどは、(a)提供するサービスに影響を与える場合がある。

非同期レプリケーションでは、プライマリサーバで書き込まれた更新データが、いったんキューに登録されネットワーク帯域幅に余裕があるときにセカンダリサーバに転送される。(b)そのため、セカンダリサーバに切り替えるときには、データの整合性を確保するための対応処置が必要になる。非同期レプリケーションでは、レプリケーションがアプリケーション処理と独立して行われるので、アプリケーション処理には影響を与えない。

B社は、全国3か所でIDCを運営しているISPである。B社のIDCは、広帯域の専用線で接続されており、インターネットサービスのためのバックボーンを構成している。図3に、B社のバックボーン回線の構成を示す。バックボーン回線は、東京の首都圏IDCと大阪の関西地区IDCからIX(InterneteXchange)に接続されているので、バックアップシステムは、関西地区IDCに設置するのが適切と判断された。


A社は、IDCバックボーンLANに10Mビット/秒で全ニ重接続する、帯域占有方式でのハウジングサービス契約を行っている。ASPシステムが発生するトラフィックを調査した結果は、次のとおりである。1分間隔で測定したトラフィックを30分単位で平均化すると、最繁時で、ASPシステムに転送されるトラフィックは2.5Mビット/秒、ASPシステムから転送されるトラフィックは3Mビット/秒であった。B社の説明によると、IDCバックボーンLAN及びIDC間を接続するバックボーン回線の帯域には、まだ十分余裕があるとのことである。そのため、バックボーン回線を利用した通信では、利用可能な帯域を狭く見積もっても、ユーザ数が倍増した時点で片側2Mビット/秒の帯域がレプリケーションのために使えることが予想できた。

IDC間でのレプリケーションのための通信で、2Mビット/秒の帯域が利用される場合、レプリケーション処理の伝送効率が80%であれば、表2に示した1日の変更量のレプリケーション時間は、システム運用上、問題ない範囲に抑えられる。また、インターネットを利用したデータ転送では、セキュリティの問題があるが、VPNを利用することで解決できる。
以上の検討から、バックアップシステムを関西地区IDCに設置し、B社のバックボーン回線を利用してレプリケーションを行うことで、ASPシステムの災害対策が実施できると判断できた。B社のバックボーン回線では、帯域の保証が行われないので、トラフィック混雑時のサービスヘの影響を避けるために、レプリケーション方式として、非同期レプリケーションを採用する。非同期レプリケーションのプライマリサーバを運用系システムのDBサーバ、セカンダリサーバを待機系システムのDBサーバとして、レプリケーションのためのプログラムを運用系及び待機系システムのDBサーバで稼働させる。図4に、レプリケーションを利用したASPシステムの災害対策システムの構成案を示す。



〔VPNの検討〕

VPNは、暗号化と認証機能をもつ暗号技術を利用すれば実現できる。暗号化の方法は複数あり、暗号化処理をどの層で行うかによって分類できる。例えば、SSHはアプリケーション層、SSLはソケット層、IPsecは【 e 】層での暗号化が行われそれぞれ異なった特徴をもっている。今回のレプリケーションでは、インターネットVPNで広く利用されているIPsecを利用することにした。IPsecでは、暗号ペイロード(以下、ESP(Encapsulating Security Payload)という)と認証ヘッダによって、IPパケットの機密性を保障する仕組みをもっている。ESPでは、IPパケットの暗号化で盗聴を防ぐことができ、また、認証ヘッダ中の認証データでパケットの【 f 】を検出することができる。
IPsecには、トンネルモードとトランスポートモードがある。トンネルモードは、IPパケット全体を暗号化する方式である。トランスボートモードは、IPヘッダを暗号化せず、IPデータだけを暗号化する方式である。運用系と待機系のASPシステム間でのVPNは、FWの負荷の増加を抑えるために、VPN装置を導入してレプリケーションデータがFWを通過しないように設定する。VPN装置ではNATが実装されていないので、この構成ではトランスポートモードが利用できない。そのため、トンネルモードを利用する。図5に、IPsecを利用したときのレプリケーションデータの流れを示す。


VPNは、VPN装置間で設定される。このとき、図5のア、イ、ウの位置におけるIPパケット構成を、それぞれ、図6、7に示す。図6、7の①、③は送信元IPアドレス、②、④はあて先IPアドレスを示す。


〔災害時のシステム切替方法の検討〕
待機系システムのハードウェア構成は、冗長化せずに運用系システムよりも簡略化する。しかし、アプリケーションプログラムやDBは、同一のものにして、同等の機能をもたせる。災害などによって、運用系システムや設置した環境のどこかに大きな障害が発生して、運用系システムでサービスの提供ができなくなったときには、待機系システムに切り替えることでサービスが継続できるようにする。

ユーザパソコンの設定変更を行うことなく待機系システムに切り替えるためには、DNSへの登録データの変更が必要である。しかし、この変更を行ってもユーザパソコンのブラウザの接続先が、(c)すぐには待機系システムに切り替わらない場合がある。さらに、待機系システムを稼働させ、サービスの提供を再開するときには、ユーザヘの影響を最小限に抑えるために、適切な通知が必要になる。
以上の検討を基に、F課長は、B社のバックボーン回線を利用した非同期レプリケーションによるASPシステムの災害対策方式をまとめた。

設問1 バックアップと暗号化処理に関する次の問いに答えよ。
(1) 表3中及び本文の【 a 】~【 d 】に入れる適切な数値を答えよ。答えは、小数点以下を切り上げて整数で答えよ。
(2) 本文中の【 e 】、【 f 】に入れる適切な字句を答えよ。

設問2 データバックアップに関する次の問いに答えよ。
(1) 変化分バックアップの方法として差分バックアップを行うことにした理由を、30字以内で述べよ。
(2) 遠隔地バックアップを行った場合も、テープヘのデータのバックアップを継続する。その理由を、データ保護の観点から50字以内で述べよ。

設問3 レプリケーションによる災害対策に関する次の問いに答えよ。
(1) 本文中の下線(a)の影響とは何か。具体的な内容を、35字以内で述べよ。
(2) 本文中の下線(b)の対応処置がなぜ必要か。40字以内で述べよ。
(3) 本文中の記述において、1日の変更量のレプリケーション時間が何分になるかを求めよ。

設問4 VPNに関する次の問いに答えよ。
(1) 図5の構成では、VPN装置にNATが実装されていないと、トランスポートモードが利用できない。その理由を、30字以内で述べよ。
(2) 図6、7中の①~④に対応するIPアドレスを、図5中のa~jの中から答えよ。

設問5 災害時における、システム切替方法と課題に関する次の問いに答えよ。
(1) 本文中の記述以外に、DNSの構成に関して、B社に依頼しておかなければならない対策内容は何か。40字以内で述べよ。
(2) 待機系システムヘの切替えのために、変更しなければならないDNSの登録データは何か。60字以内で述べよ。
(3) 本文中の下線(c)の原因は何か。40字以内で述べよ。
(4) 待機系システムヘの切替えを円滑に行うために、A社とB社が協力して実施しておくべきことは何か。20字以内で述べよ。
(5) 本文中で採用した非同期レプリケーション方式の特徴から、待機系システムヘの切替えをユーザに通知するとき、ユーザの業務で問題を発生させないためにユーザに依頼すべき作業内容は何か。60字以内で述べよ。

最新過去問の解答と詳細解説はGene製作のテクニカルエンジニア(ネットワーク)
平成15,16,17年度分午後問題完全解説集!

詳細はこちら→http://www.n-study.com/library/2006/05/post.html

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA