令和5年春期試験午後問題 問5
問5 ネットワーク
⇱問題PDF
Webサイトの増設に関する次の記述を読んで,設問に答えよ。
Webサイトの増設に関する次の記述を読んで,設問に答えよ。
広告
F社は,契約した顧客(以下,顧客という)にインターネット経由でマーケット情報を提供する情報サービス会社である。F社では,マーケット情報システム(以下,Mシステムという)で顧客向けに情報を提供している。Mシステムは,Webアプリケーションサーバ(以下,WebAPサーバという),DNSサーバ,ファイアウォール(以下,FWという)などから構成されるWebサイトとF社の運用PCから構成される。現在,Webサイトは,B社のデータセンター(以下,b-DCという)に構築されている
現在のMシステムのネットワーク構成(抜粋)を図1に,DNSサーバbに登録されているAレコードの情報を表1に示す。
〔Mシステムの構成と運用〕
最近,顧客から,Mシステムの応答が遅くなることがあるという苦情が,Mシステムのサポート窓口に入ることが多くなった。そこで,F社の情報システム部(以下,システム部という)の運用担当者の主任は,運用PCを使用して次の手順で原因究明を行った。
〔Webサイトの増設〕
D主任の判断を基に,システム部では,これまでのシステムの構築と運用の経験を生かすことができる,現在と同一構成のWebサイトの増設を決めた。システム部のE課長は,C社のデータセンター(以下,c-DCという)にWebサイトcを構築してMシステムを増強する方式の設計を,D主任に指示した。
D主任は,c-DCに b-DCと同一構成のWebサイトを構築し,DNSラウンドロビンを利用して二つのWebサイトの負荷を分散する方式を設計した。
D主任が設計した,Mシステムを増強する構成を図2に示す。
図2の構成では,DNSサーバbをプライマリDNSサーバ,DNSサーバcをセカンダリDNSサーバに設定する。また,運用PCには,新たにbを代替DNSサーバに登録して,bも利用できるようにする。
そのほかに,L3SWの経路表にWebサイトcのDMZへの経路を追加する。
DNSサーバbに追加登録するAレコードの情報を表2に示す。
表2の情報を追加登録することによって,WebAPサーバb,c が同じ割合で利用されるようになる。DNSサーバb,cにはc転送の設定を行い,DNSサーバbの情報を更新すると,その内容がDNSサーバcにコピーされるようにする。
WebAPサーバのメンテナンス時は,作業を行うWebサイトは停止する必要があるので,次の手順で作業を行う。④メンテナンス中は,一つのWebサイトでサービスを提供することになるので,Mシステムを利用する顧客への影響は避けられない。
D主任は,検討結果を基に作成したWebサイトの増設案を,E課長に提出した。増設案が承認され実施に移されることになった。
現在のMシステムのネットワーク構成(抜粋)を図1に,DNSサーバbに登録されているAレコードの情報を表1に示す。
- Mシステムを利用するにはログインが必要である。
- FWbには,DMZに設定されたプライベートアドレスとインターネット向けのグローバルアドレスを1対1で静的に変換するNATが設定されており,表1に示した内容で,WebAPサーバb及びDNSサーバbのIPアドレスの変換を行う。
- DNSサーバbは,インターネットに公開するドメイン example.jp とF社の社内向けのドメイン f-sha.example.lan の二つのドメインのゾーン情報を管理する。
- F社のL3SWの経路表には,b-DCのWebサイトbへの経路と①デフォルトルートが登録されている。
- 運用PCには,②優先DNSサーバとして,FQDNが nsb.f-sha.example.lan のDNSサーバbが登録されている。
- F社の運用担当者は,運用PCを使用してMシステムの運用作業を行う。
最近,顧客から,Mシステムの応答が遅くなることがあるという苦情が,Mシステムのサポート窓口に入ることが多くなった。そこで,F社の情報システム部(以下,システム部という)の運用担当者の主任は,運用PCを使用して次の手順で原因究明を行った。
- 顧客と同じURLである https://a/でWebAPサーバbにアクセスし,顧客からの申告と同様の事象が発生することを確認した。
- FWbのログを検査し,異常な通信は記録されていないことを確認した。
- SSHを使用し,③広域イーサ網経由でWebAPサーバbにログインしてCPU使用率を調べたところ,設計値を超えた値が継続する時間帯のあることを確認した。
〔Webサイトの増設〕
D主任の判断を基に,システム部では,これまでのシステムの構築と運用の経験を生かすことができる,現在と同一構成のWebサイトの増設を決めた。システム部のE課長は,C社のデータセンター(以下,c-DCという)にWebサイトcを構築してMシステムを増強する方式の設計を,D主任に指示した。
D主任は,c-DCに b-DCと同一構成のWebサイトを構築し,DNSラウンドロビンを利用して二つのWebサイトの負荷を分散する方式を設計した。
D主任が設計した,Mシステムを増強する構成を図2に示す。
そのほかに,L3SWの経路表にWebサイトcのDMZへの経路を追加する。
DNSサーバbに追加登録するAレコードの情報を表2に示す。
WebAPサーバのメンテナンス時は,作業を行うWebサイトは停止する必要があるので,次の手順で作業を行う。④メンテナンス中は,一つのWebサイトでサービスを提供することになるので,Mシステムを利用する顧客への影響は避けられない。
- 事前にDNSサーバbのリソースレコードのdを小さい値にする。
- メンテナンス作業を開始する前に,メンテナンスを行うWebサイトの,インターネットに公開するドメインのWebAPサーバのFQDNに対応するAレコードを,DNSサーバb上で無効化する。
- この後,一定時間経てばメンテナンス作業が可能になるが,作業開始が早過ぎると顧客に迷惑を掛けるおそれがある。そこで,⑤手順(ⅱ)でAレコードを無効化したWebAPサーバの状態を確認し,問題がなければ作業を開始する。
D主任は,検討結果を基に作成したWebサイトの増設案を,E課長に提出した。増設案が承認され実施に移されることになった。
広告
設問1
〔Mシステムの構成と運用〕について答えよ。
解答例・解答の要点
- FWf
- L3SW,FWb,L2SWb
解説
- デフォルトルートは、ルーティングテーブルに 0.0.0.0/0 を指定して記述する包括ルール的なもので、ルーティングテーブルのどのエントリにも一致しなかったときに選択される転送先を記述します。一般的に、宛先が膨大であるインターネットを宛先とする通信のネクストホップを設定するときに使われます。ネクストホップとは、そのエントリに一致したときに、ルータが次にパケットを転送する機器です。
F社内の運用PCがインターネットアクセスするときには、L3SW → FWf → インターネット と経由しますから、L3SWのデフォルトルートにマッチした場合、そのパケットを次に転送すべき機器は「FWf」となります。
∴FWf - 運用PCには、nsb.f-sha.example.lan のDNSサーバbが優先DNSサーバとして登録されています。nsb.f-sha.example.lanのIPアドレスは、"192.168."から始まるプライベートIPアドレスなので、通信事業者と契約している広域イーサ網を経由して内部ネットワークのようにアクセスします。
したがって、運用PCから送出されたパケットは、L3SW → 広域イーサ網 → FWb → L2SWb を経由して、DNSサーバbに届くことになります。経由する機器が問われていますから、広域イーサ網を除いた、L3SW、FWb、L2SWbが正解です。
∴L3SW,FWb,L2SWb
広告
設問2
〔Mシステムの応答速度の低下〕について答えよ。
- 本文中のaに入れる適切なFQDNを答えよ。
- 本文中の下線③について,アクセス先サーバのFQDNを答えよ。
解答例・解答の要点
- a:miap.example.jp
- apb.f-sha.example.lan
解説
- 〔aについて〕
顧客はインターネット経由でWebサイトbにアクセスします。DNSサーバbには、WebAPサーバbに関連付けられたIPアドレスが2つ存在しますが、外部からのアクセスはグローバルIPアドレスで行われます。したがって、顧客は、WebAPサーバbのグローバルIPアドレスに対応するFQDNである「miap.example.jp」を指定してアクセスすることになります。
∴a=miap.example.jp - 広域イーサネットは、多数の拠点のネットワークを組織内ネットワークとして仮想的にまとめるサービスですから、広域イーサ網経由でWebAPサーバbにアクセスするときには、プライベートIPアドレスが使用されます。したがって、広域イーサ網を通じてアクセスする場合、WebAPサーバbのプライベートIPアドレスに対応するFQDNである「apb.f-sha.example.lan」を指定してアクセスすることになります。
∴apb.f-sha.example.lan
広告
設問3
〔Webサイトの増設〕について答えよ。
解答例・解答の要点
- b:DNSサーバc
c:ゾーン
d:TTL
- Mシステムの応答速度が低下することがある (20文字)
- ログイン中の利用者がいないこと (15文字)
解説
- 〔bについて〕
代替DNSサーバは、優先DNSサーバにアクセスできない場合や名前解決の要求が応答がなかった場合に、DNSクエリを処理するための予備的なDNSサーバです。主に障害対策として冗長性や可用性を向上させるために設定されます。構成変更前、運用PCには優先DNSサーバとしてDNSサーバbが登録されていました。代替DNSサーバは主に障害対策として設定されるものですから、優先DNSサーバとは別のDNSサーバを設定しなくてはなりません。したがって、新たに代替DNSサーバとして追加すべきは、c-DCで運用することになるもう1台のDNSサーバ、すなわち「DNSサーバc」になります。
∴b=DNSサーバc
〔cについて〕
空欄cの転送を行うと、DNSサーバbの更新情報が、DNSサーバcにコピーされるとあるので、「ゾーン」転送であるとわかります。ゾーン転送は、プライマリDNSサーバ(コンテンツサーバ)とセカンダリDNSサーバ(予備用のコンテンツサーバ)の間で行われる名前解決情報(ゾーン情報)の同期処理です。プライマリDNSサーバがゾーン情報を更新すると、更新したゾーンファイルがセカンダリDNSサーバに自動的にコピーされる仕組みになっています。
∴c=ゾーン
〔dについて〕
表1の注記2には「各リソースレコードのTTL(Time To Live)は,604800が設定されている」とあります。TTLは、DNSサーバから取得した名前解決情報のキャッシュが何秒間有効であるかを表します。1日=86,400秒なので、TTLが604800ということは、1回取得すれば1週間はキャッシュが参照されることになります。
メンテナンスを行う際には片方のWebサイトにアクセスを集め、メンテナンスを行う側のWebサイトにアクセスがない状態にしなければなりません。TTLが長いままだと、DNSサーバのAレコードの値を無効化しても、キャッシュの参照によるメンテナンスを行う側のWebサイトへのアクセスが途切れないため、メンテナンス作業を実施することができません。そのため、少なくともメンテナンスを実施する1週間前までには、TTLの値を小さくしておく下準備が必要となります。
∴d=TTL - メンテナンス中は、2つのWebサイトで負荷分散していたアクセスを、1つのWebサイトで処理することになります。DNSラウンドロビンを使用した負荷分散は、WebAPサーバbの処理能力不足が原因で、顧客からMシステムの応答が遅いという苦情を受けたことによる改善案ですから、1つのWebサイトで運用するメンテナンス作業中は、Mシステムの応答速度が低下してしまうことになります。これが顧客への影響が懸念される事項です。
∴Mシステムの応答速度が低下することがある - DNSのAレコード変更後、事前に短くしておいたTTLの時間が経過すれば、メンテナンス側のWebサイトへの新規セッションはないはずです。しかし、Aレコード変更前にメンテナンス側のWebサイトにアクセスし、現在もそのセッションが続いている人はそのままメンテナンス側のWebサイトにアクセスし続けることになります。
このため、TTLの経過を確認するだけでなく、実際にアクセスが行われなくなったことを確認してから作業を開始しなければ、一部の顧客に迷惑をかけるおそれがあります。サーバのアクセスログを直接確認するなどの方法も考えられますが、Mシステムはログインが必要な仕組みですので、WebAPサーバのログイン履歴などを参照してログイン中の顧客がいないことを確認すればよいと考えられます。
∴ログイン中の利用者がいないこと
広告
広告