8 フェイルオーバー・レポータ・システムの構成

この章では、プライマリ・レポータ・システムが使用できなくなった場合に、ネットワーク・トラフィックの監視をすぐに引き継ぐフェイルオーバー・レポータ・システムの構成手順を説明します。記載されている手順では、プライマリ・レポータ・システムのインストールと構成が完了しており、完全に機能していることを想定しています。プライマリ・レポータのインストール手順は、スタンドアロン・レポータの場合と同一である点に注意してください。フェイルオーバー・コレクタ・システムの構成手順は、第9章「フェイルオーバー・コレクタ・システムの構成」を参照してください。

概要

セカンダリ(すなわちフェイルオーバー)・レポータ・システムの構成によって、プライマリ・レポータ・システムが使用できなくなった場合に、監視対象トラフィックの処理をシームレスに引き継げるという利点があります。これにより、高度な運用信頼性が確保できます。フェイルオーバー・レポータ・システムの構成を図8-1に示します。

図8-1 フェイルオーバー・レポータの構成

「図8-1 フェイルオーバー・レポータの構成」の説明

サーバー・レベルでは、クロスオーバー・ネットワーク・ケーブルでプライマリとセカンダリのレポータ・システムを接続します。プライマリとセカンダリ・サーバー間で通常の「ハートビート」が継続している限り、セカンダリ・サーバーがトラフィックの処理を開始することはありません。ただし、プライマリ・サーバーの「ハートビート」に変更があったことを検出すると、セカンダリ・サーバーはプライマリ・サーバーの処理をすぐに引き継ぎます。このプロセスはフェイルオーバーと呼ばれます。

フェイルバック(すなわちRUEIのインストールを元の状態に戻す作業)は手動で行う必要がある点に注意してください。手順は「レポータのフェイルバックの実施」を参照してください。

前提条件

フェイルオーバー・レポータのインストールを構成するには、次の条件を満たす必要があります。

• プライマリおよびセカンダリ・レポータ・システムは、クロスオーバー・ケーブルで直結する必要があります。さらに、両方のシステムをローカルまたはパブリック・ネットワークに接続して、リモート・コレクタ、処理エンジンおよびデータベース・システムと接続する必要があります。

• RUEIのインストールで使用するデータベースとコレクタは、両方ともリモートになければなりません。

• プライマリおよびセカンダリ・レポータ・システムは、同じストレージ(SANまたはNFS)を共有する必要があります。RUEI_DATA/processor/dataおよびRUEI_DATA/processor/data/sslkeysディレクトリについては、特にその必要があります。

プライマリ・レポータの準備

RUEI_DATA/processor/dataおよびRUEI_DATA/processor/sslkeysディレクトリが、共有ストレージ場所にあることを確認します。

1. 次のコマンドをRUEI_USERユーザーとして発行して、プライマリ・レポータ・システム上のすべての処理を停止します。

   project -stop wg
   

2. プライマリ・レポータ・システム上に共有レポータの場所をマウントします。そのためには、/etc/fstabファイルがbootにマウントされるように編集します。次に例を示します。

   10.6.5.9:/home/nfs /reporter_share nfs rsize=1024,wsize=1024  0 0
   

3. 既存のdataおよびsslkeyディレクトリを共有レポータの場所に移動します。次に例を示します。

   mv RUEI_DATA/processor/data /reporter_share
   mv RUEI_DATA/processor/sslkeys /reporter_share
   

   ここでreporter_shareは、プライマリおよびセカンダリ・レポータ・システム上のデータとSSLキーの共有場所を示します。

セカンダリ・レポータのインストール

セカンダリ・レポータ・システムのインストール手順は、スタンドアロン・レポータ・システムの場合とほとんど同じです。初期設定ウィザードは実行しない点に注意してください。次を実行します。

1. セカンダリ・レポータ・システムのインストール手順を開始する際、/etc/ruei.confファイルがプライマリ・レポータ・システムのものと同一であることを確認してください。

2. セカンダリ・レポータ・システムに、Linuxオペレーティング・システムとRUEIレポータ・ソフトウェアをインストールします。その手順は、第2章「RUEIソフトウェアのインストール」を参照してください。特に、

   • 第2章「RUEIソフトウェアのインストール」の「Zend Optimizerのインストール」の終わりまでの手順に従います。

   • プライマリ・レポータ・システム上のRUEI_DATAディレクトリから、セカンダリ・レポータ・システムに、cwallet.sso、ewallet.p12、sqlnet.ora、およびtnsnames.oraの各ファイルをコピーします。各ファイルの所有権と権限が、両方のレポータ・システムで同一であることを確認する必要があります。

   • 「レポータ・ソフトウェアのインストール」の手順1～5の指示に従います。

   • 「ネットワーク・インタフェースの構成」の指示に従います。

   • 「国際フォントの有効化(オプションですが推奨)」から「ブラウザの自動転送の構成(オプション)」までの手順をプライマリ・レポータ・システムに対して実行したら、セカンダリ・レポータ・システムに対しても繰り返し実行する必要があります。

レポータ・フェイルオーバーの構成

次を実行します。

1. まだ行っていない場合は、プライマリ・レポータ・システムにRUEI_USERユーザーとしてログインし、次のコマンドを発行して、監視対象トラフィックのすべての処理を停止します。

   project -stop wg
   

2. 「レポータ通信の構成(分割サーバー設定のみ)」の手順を実行中に作成した、プライマリ・レポータ・システム上のRUEI_USERユーザーの.sshディレクトリを、セカンダリ・レポータ・システムにコピーします。同じ場所にコピーする必要がある点に注意してください。

3. RUEI_USERユーザーのuidおよびgid設定がプライマリおよびセカンダリ・レポータ・システムで同じであることを確認します。次に例を示します。

   id moniforce
   uid=501(moniforce) gid=502(moniforce) groups=502(moniforce)
   

4. 両方のレポータ・システムでクロスオーバー・ケーブルに使用する静的IPアドレスを構成します。system-config-networkなどのユーティリティを使用して行えます。

5. /etc/fstabファイルを編集して、RUEI_DATA/processor/dataおよびRUEI_DATA/processor/sslkeysディレクトリがbootにマウントされるようにします。次に例を示します。

   10.6.5.9:/home/nfs /reporter_share nfs rsize=1024,wsize=1024  0 0
   

   ここでreporter_shareは、プライマリおよびセカンダリ・レポータ・システム上のデータとSSLキーの共有場所を示します。

6. 次のコマンドを発行して、セカンダリ・レポータ・システムのローカルなdataおよびsslkeysディレクトリを、共有レポータの場所に移動します。

   rm -rf RUEI_DATA/processor/data
   rm -rf RUEI_DATA/processor/sslkeys
   ln -s /reporter_share/data RUEI_DATA/processor/data 
   ln -s /reporter_share/sslkeys RUEI_DATA/processor/sslkeys 
   

7. セカンダリ・レポータ・システムにRUEI_USERユーザーとしてログインして、次のコマンドを発行します。

   project -new -fromdb UX wg
   

   その結果、プライマリ・レポータのデータベース構成を使用して、セカンダリ・レポータのディスク上の構成ファイルが作成されます。

8. プライマリおよびセカンダリ・レポータの両方で/etc/ruei.confファイルを編集して、仮想、プライマリ、およびスタンバイIPアドレスを指定します。次に例を示します。

   export RUEI_REP_FAILOVER_PRIMARY_IP=192.168.56.201 
   export RUEI_REP_FAILOVER_STANDBY_IP=192.168.56.202 
   export RUEI_REP_FAILOVER_VIRTUAL_IP=10.11.12.23 
   export RUEI_REP_FAILOVER_VIRTUAL_DEV=eth0 
   export RUEI_REP_FAILOVER_VIRTUAL_MASK=255.255.255.0 
   

   RUEI_REP_FAILOVER_PRIMARY_IPおよびRUEI_REP_FAILOVER_STANDBY_IP設定で、2つのレポータ・システム間のクロスオーバー・ケーブルのIPアドレスを指定する必要があります。これらの設定に関する説明は、「RUEIの構成ファイル」を参照してください。両方のレポータ・システムで指定された設定は、RUEI_REP_FAILOVER_VIRTUAL_DEVの設定を除き、同一の必要があります。

9. 次のコマンドを発行して、プライマリ・レポータ・システム上の監視対象トラフィックの処理を再開します。

   project -start wg
   

10. ruei-reporter-failover.shスクリプトを両方のレポータ・システムにインストールします。たとえば/usr/local/sbinディレクトリなどです。これはRUEI zipファイル内にあります(「RUEIソフトウェアの解凍」を参照)。

11. 次の入力内容を、プライマリおよびセカンダリ・レポータ・システムのrootユーザーのcrontabファイルに追加します。

    * * * * * /usr/local/sbin/ruei-reporter-failover.sh
    

    これによって、セカンダリ・レポータがハートビート信号をプライマリ・レポータに60秒間隔で送信し、プライマリ・レポータが使用できなくなった場合に、RUEIの監視対象トラフィックの処理を引き継ぎます。

    60秒以上待機します。

12. レポータGUIへのすべてのユーザー・アクセスが、指定された仮想IPアドレス経由で行われていることを確認します。これは、プライマリ・レポータが使用できなくなった場合に、セカンダリ・レポータに自動的にフェイルオーバーを行うために必要です。

13. 両方のレポータ・システム上のRUEI_DATA/processor/log/failover.logファイルを確認します。これらのファイルには、"ping"コマンドの結果が含まれています。エラー・メッセージがないことを確認してください。たとえばフェイルオーバー構成設定の漏れに関するものなどです。

14. プライマリ・レポータ上の/sbin/ifconfigコマンド出力をチェックし、仮想IPアドレスが正しく構成されていることを確認します。次に例を示します。

    /sbin/ifconfig
    eth0      Link encap:Ethernet  HWaddr 08:00:27:F7:B0:14
              inet addr:192.168.56.201  Bcast:192.168.56.255  Mask:255.255.255.0
              inet6 addr: fe80::a00:27ff:fef7:b014/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:80 errors:0 dropped:0 overruns:0 frame:0
              TX packets:311 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:12793 (12.4 KiB)  TX bytes:26268 (25.6 KiB)
    
    eth0:0    Link encap:Ethernet  HWaddr 08:00:27:F7:B0:14
              inet addr:10.11.12.23  Bcast:192.168.56.255  Mask:255.255.255.0
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
    

15. プライマリ・レポータからリモート・コレクタの登録をすべて解除し、仮想IPアドレスを使用して再度登録します。

16. プライマリ・レポータ・システムをシャットダウンし、セカンダリ・レポータが監視対象トラフィックの処理を開始したことを確認します。プライマリ・システムに到達できず、セカンダリ・システムが起動されているという警告がイベント・ログに報告されます。その後、フェイルバックを実行して、RUEIのインストールを元の状態に戻す必要があります。

17. 仮想レポータのホスト名またはIPアドレスが反映されるように、レポータURLを更新します(「システム」、「メンテナンス」、「電子メール設定」の順番に選択)。

レポータ・フェイルバックの起動

RUEIのインストールを元の状態に戻すためには、プライマリ・レポータ・システムへのフェイルバックを手動で行う必要があります。次を実行します。

1. rootユーザーとして次のコマンドを使用して、セカンダリ・サーバーのグローバルRUEI構成設定をロードします。

   . /etc/ruei.conf
   

2. プライマリおよびセカンダリ・レポータ・システム間のハートビート・メカニズムが正しく機能していることを確認します。そのために、RUEI_REP_FAILOVER_PRIMARY_IPおよびRUEI_REP_FAILOVER_STANDBY_IP IPアドレスでお互いに'ping'が行えることを確認してください。

3. フォールバックを起動するには、active-failover-serverファイルを削除し、次のコマンドを発行してセカンダリ・サーバー上の仮想インタフェースをシャットダウンします。

   rm $RUEI_DATA/processor/data/active-failover-server
   ifconfig $RUEI_REP_FAILOVER_VIRTUAL_DEV:0 down