9 フェイルオーバー・コレクタ・システムの構成

この章では、プライマリ・コレクタ・システムが使用できなくなった場合に、ネットワーク・トラフィックの監視を引き継ぐフェイルオーバー・リモート・コレクタ・システムの構成手順を説明します。記載されている手順では、プライマリ・コレクタ・システムのインストールと構成が完了しており、完全に機能していることを想定しています。

フェイルオーバー・レポータ・システムの構成手順は、第8章「フェイルオーバー・システムの構成」を参照してください。

SSLおよびFormsトラフィック

SSLトラフィックおよびOracle Formsトラフィックは、TCPパケット・ストリームの中断によって影響を受けやすいことに注意してください。これは、接続中に状態情報を維持する必要があるためです。したがって、フェイルオーバーまたはフォールバック中に、トラフィックが失われる場合があります。

概要

セカンダリ(すなわちフェイルオーバー)・コレクタ・システムの構成によって、プライマリ・コレクタ・システムが使用できなくなった場合に、ネットワーク・トラフィックの監視をシームレスに引き継げるという利点があります。これにより、高度な運用信頼性が確保できます。このファシリティはリモート・コレクタの場合に限り使用可能な点に注意してください。フェイルオーバー・コレクタ・システムの構成を図9-1に示します。

図9-1 フェイルオーバー・コレクタの構成

「図9-1 フェイルオーバー・コレクタの構成」の説明

サーバー・レベルで、クロスオーバー・ネットワーク・ケーブルをプライマリおよびセカンダリ・コレクタ・システムに接続します。プライマリとセカンダリ・サーバー間で通常の「ハートビート」が継続しているかぎり、セカンダリ・サーバーがネットワーク・トラフィックの監視を開始することはありません。ただし、プライマリ・サーバーの「ハートビート」に障害があったことを検出すると、セカンダリ・サーバーはプライマリ・コレクタの監視タスクを引き継ぎます。このプロセスはフェイルオーバーと呼ばれます。セカンダリ・コレクタはプライマリ・コレクタの仮想IPアドレスを引き継ぎ、これを介してレポータ・システムが通信します。

フェイルバック(すなわちプライマリ・コレクタを元の状態に戻す作業)は手動で行う必要がある点に注意してください。手順は「コレクタのフェイルバックの実施」を参照してください。

前提条件

フェイルオーバー・コレクタのインストールを構成するには、次の条件を満たす必要があります。

• セカンダリTAPまたはコピー・ポートを、監視対象ネットワーク内のプライマリと同じ場所に挿入する必要があります。

• プライマリおよびセカンダリ・コレクタのRUEIソフトウェア・バージョンは同一の必要があります。

• プライマリおよびセカンダリ・コレクタ・システムは、クロスオーバー・ケーブルで直結する必要があります。さらに、両方のシステムをローカルまたはパブリック・ネットワークに接続して、レポータ・システムと接続する必要があります。

• プライマリおよびセカンダリ・コレクタ・システムは、ログ・ファイルやリプレイ・データを書き込むのと同じ共有ストレージに直接アクセスできる必要があります。特に、$RUEI_DATA/collectorディレクトリは、両方のシステムからアクセスできる必要があります。

重要:

フェイルオーバー・システムの構成時は、次の点に注意してください。

• セカンダリ・コレクタへのフェイルオーバーを行うと、プライマリ・コレクタに記録中の最新データが失われます。通常、これは1分以内のトラフィックの情報がこれに該当します。

• フェイルオーバーを行うこと、TCP、HTTP、SSL、およびOracle Formsベースのセッションに接続中に維持する必要がある状態情報が失われます。したがって、フェイルオーバー中はこれらのセッションの詳細が提供されません。

• 上記の点により、一部のページ・ビューが失われます。これらのページにはセッション・ログオンの詳細が含まれている可能性があります。その場合は、セッションが匿名として報告されます。さらに、具体的なユーザー・フロー手順が失われることがあります。

セカンダリ・コレクタのインストール

セカンダリ・コレクタ・システムのインストール手順は、リモート・コレクタ・システムの場合と同一です。

1. Linuxオペレーティング・システムとRUEIコレクタ・ソフトウェアを、両方のコレクタ・システム上にインストールします。手順は「前提条件」を参照してください。

2. セカンダリ・コレクタ・システムのインストール手順を開始する際、/etc/ruei.confファイルがプライマリ・コレクタ・システムのものと同一であることを確認してください。

セカンダリ・コレクタの構成

次を実行します。

1. .sshディレクトリ(「レポータの通信構成(分割サーバー設定のみ)」 に記載の手順に従って作成)を、プライマリ・コレクタからセカンダリ・コレクタにコピーします。同じ場所にコピーする必要がある点に注意してください。

2. プライマリ・コレクタ・システムで、次のコマンドを発行してコレクタの「ホスト・キー」を、レポータ・システム上のグローバルなknown_hostsファイルに追加します。

   . /etc/ruei.conf
   ifconfig ${RUEI_COL_FAILOVER_VIRTUAL_DEV}:0 $RUEI_COL_FAILOVER_VIRTUAL_IP \
   netmask $RUEI_COL_FAILOVER_VIRTUAL_MASK up
   sleep 2
   arping -c 3 -A -I $RUEI_COL_FAILOVER_VIRTUAL_DEV $RUEI_COL_FAILOVER_VIRTUAL_IP
   

   レポータ・システム上で、arp -aまたはpingコマンドを使用して、プライマリ・コレクタ・システムの仮想IPアドレスに到達できることを確認します。

   次に、次のコマンドを発行します。

   ssh-keyscan -t rsa,dsa Collector-virt-ip-address >> /etc/ssh/ssh_known_hosts
   

   RUEI_USERユーザーとして、仮想コレクタIPアドレスが~/.ssh/known_hostsファイルでは指定されていないことを確認します。

   レポータ・システムから、プライマリ・システムに、RUEI_USERユーザーとして、SSH接続を確立してみてください。ホスト・キーに関する警告やプロンプトが表示されずに、自動的にログインできるはずです。

   プライマリ・コレクタ・システム上で、次のコマンドを使用して仮想IPアドレスをシャットダウンします。

   ifconfig ${RUEI_COL_FAILOVER_VIRTUAL_DEV}:0
   $RUEI_COL_FAILOVER_VIRTUAL_IP netmask $RUEI_COL_FAILOVER_VIRTUAL_MASK down
   

   上記の手順をセカンダリ・コレクタ・システムでも繰り返します。完了したら、/etc/ssh/ssh_known_hostsファイルで、4つのキーが仮想IPアドレス用に指定されているはずです。

3. RUEI_USERユーザーのuidおよびgid設定がプライマリおよびセカンダリ・コレクタ・システムで同じであることを確認します。次に例を示します。

   id moniforce
   uid=501(moniforce) gid=502(moniforce) groups=502(moniforce)
   

   重要

   稼動中のコレクタ・システムで、RUEI_USERユーザーのUIDを変更する必要がある場合、

   • 次のコマンドをRUEI_USERユーザーとして発行します。

     appsensor stop wg
     sslloadkeys -f
     

     プロンプトが表示されたら、yes (略さずに)と入力する必要があります。

   • /var/opt/ruei/collectorの下のすべてのファイルとディレクトリのuser:group所有権を、新しいUIDに変更します。

   • rootユーザーとして次のコマンドを発行します。

     /etc/init.d/crond restart
     

4. 両方のコレクタ・システムでクロスオーバー・ケーブルに使用する静的IPアドレスを構成します。system-config-networkなどのユーティリティを使用して行えます。

5. 共有ストレージをRUEI_DATA/collectorディレクトリ上にマウントし、起動時にマウントされるように/etc/fstabファイルを編集します。次に例を示します。

   10.6.5.9:/home/nfs /var/opt/ruei/collector/data nfs rsize=1024,wsize=1024  0 0
   

   
   

   重要: この手順より前にコレクタが稼動しており、$RUEI_DATA/collectorディレクトリが共有になっていない場合は、既存のディレクトリ・コンテンツを上記のようなマウント時点までコピーする必要があります。セキュリティ担当者は、このコピー・プロセスにサーバーのSSLキーが含まれていることを認識しておく必要があります。

   
   

   この手順より前にコレクタが稼動しており、$RUEI_DATA/collectorディレクトリが共有になっていない場合は、既存のディレクトリ・コンテンツを上記のようなマウント時点までコピーする必要があります。セキュリティ担当者は、このコピー・プロセスにサーバーのSSLキーが含まれていることを認識しておく必要があります。

   あるいは、共有ストレージにリプレイ・データのストレージを格納するのに十分な帯域幅がない場合、かわりにREPLAYディレクトリをローカルな場所にsymlinkできます。この場合は、HTTPログ・ファイルとログだけが共有ディスクに書き込まれます。ただし、この構成を指定すると、フェイルオーバー起動前に記録されたリプレイ・データは失われ、フェイルオーバー以降のセッションだけにアクセスできます。さらに、これらのリンクは工場出荷時のデフォルトにリセットされるので、初期のコレクタ設定時にはディレクトリが存在しません。

6. プライマリおよびセカンダリ・コレクタ・システムの両方で/etc/ruei.confファイルを編集して、仮想、プライマリ、およびスタンバイIPアドレスを指定します。次に例を示します。

   RUEI_COL_FAILOVER_PRIMARY_IP=192.168.56.201 # crossover cable primary
   RUEI_COL_FAILOVER_STANDBY_IP=192.168.56.202 # crossover cable secondary
   RUEI_COL_FAILOVER_VIRTUAL_IP=10.11.12.23    # (virtual) IP to access Collector
   RUEI_COL_FAILOVER_VIRTUAL_DEV=eth0
   RUEI_COL_FAILOVER_VIRTUAL_MASK=255.255.255.0
   

   RUEI_COL_FAILOVER_PRIMARY_IPおよびRUEI_COL_FAILOVER_STANDBY_IP設定で、2つのコレクタ・システム間のクロスオーバー・ケーブルのIPアドレスを指定する必要があります。これらの設定に関する説明は、「RUEIの構成ファイル」を参照してください。両方のコレクタ・システムで指定された設定は同一の必要があります。

7. レポータとコレクタ間のすべての通信が、指定された仮想IPアドレス経由で行われていることを確認します。これは、プライマリ・コレクタが使用できなくなった場合に、セカンダリ・コレクタに自動的にフェイルオーバーを行うために必要です。このために、既存のコレクタ・システムの再構成が必要になる場合があります。

8. ruei-collector-failover.shスクリプトを両方のコレクタ・システムにインストールします。たとえば/usr/local/binディレクトリなどです。これはRUEI zipファイル内にあります(「RUEIソフトウェアの解凍」を参照)。

9. 次の入力内容を、プライマリおよびセカンダリ・コレクタ・システムのrootユーザーのcrontabファイルに追加します。

   * * * * * /usr/local/bin/ruei-collector-failover.sh
   

   これによって、セカンダリ・コレクタがハートビート信号をプライマリ・コレクタに60秒間隔で送信し、プライマリ・コレクタが使用できなくなった場合に、RUEIの監視対象トラフィックの処理を引き継ぎます。

   60秒以上待機します。

10. プライマリ・コレクタ上の/sbin/ifconfigコマンド出力をチェックし、仮想IPアドレスが正しく構成されていることを確認します。次に例を示します。

    $ /sbin/ifconfig
    eth0      Link encap:Ethernet  HWaddr 08:00:27:F7:B0:14
              inet addr:192.168.56.201  Bcast:192.168.56.255  Mask:255.255.255.0
              inet6 addr: fe80::a00:27ff:fef7:b014/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:80 errors:0 dropped:0 overruns:0 frame:0
              TX packets:311 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:12793 (12.4 KiB)  TX bytes:26268 (25.6 KiB)
    eth0:0    Link encap:Ethernet  HWaddr 08:00:27:F7:B0:14
              inet addr:10.11.12.23  Bcast:192.168.56.255  Mask:255.255.255.0
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
    

11. レポータからプライマリ・リモート・コレクタの登録を解除し、仮想IPアドレスを使用して再度登録します。

12. プライマリ・コレクタ・システムをシャットダウンし、セカンダリ・コレクタが監視対象トラフィックの処理を開始したことを確認します。プライマリ・システムに到達できず、セカンダリ・システムが起動されているという警告がイベント・ログに報告されます。その後、フェイルバックを実行して、RUEIのインストールを元の状態に戻す必要があります。

コレクタ・フェイルバックの起動

RUEIのインストールを元の状態に戻すためには、プライマリ・コレクタ・システムへのフェイルバックを手動で行う必要があります。次を実行します。

1. プライマリ・コレクタ・システムで、次のコマンドを発行します。

   . /etc/ruei.conf 
   echo $RUEI_COL_FAILOVER_PRIMARY_IP > \ /var/opt/ruei/collector/active-failover-server
   

2. セカンダリ・コレクタ・システムで、次のコマンドを発行します。

   . /etc/ruei.conf
   ifconfig ${RUEI_COL_FAILOVER_VIRTUAL_DEV}:0 $RUEI_COL_FAILOVER_VIRTUAL_IP \ netmask $RUEI_COL_FAILOVER_VIRTUAL_MASK down
   

3. プライマリ・コレクタ・システム(/etc/ruei.confファイルをロードした状態)で、次のコマンドを発行します。

   ifconfig ${RUEI_COL_FAILOVER_VIRTUAL_DEV}:0 $RUEI_COL_FAILOVER_VIRTUAL_IP \
   netmask $RUEI_COL_FAILOVER_VIRTUAL_MASK up
   sleep 2
   arping -c 3 -A -I $RUEI_COL_FAILOVER_VIRTUAL_DEV $RUEI_COL_FAILOVER_VIRTUAL_IP