memos of technical information
DNS変更する前に、新しいサーバーのテストをする場合に、hostsファイルを設定する時の手順。
(hostsファイルの場所)
C:\Windows\System32\drivers\etc
このファイルは、管理者でないと編集できないので、普通に開くとエラーになる。以下がMicroSoftのヘルプ(Vistaのままだが)。
参考までに、自分がWindows10でやる時の手順。
1)スタートボタンを右クリックし「コマンドプロンプト(管理者)」をクリックする。「ユーザーアカウント制御」のメッセージが出るので、「はい」をクリック。
2)コマンドプロンプロトで、ディレクトリを変更。
cd drivers\etc
3)ノートパッドでhostsを開く
notepad hosts
4)編集して、「ファイル」-「上書き保存」して終了。
ブラウザで前のアドレスでアクセスしていた場合は、一旦ブラウザを閉じて開き直せば設定した新しいアドレスにアクセスするようになる。
サーバーの老朽化あるいはVPS業者の乗換えなどにより、サーバーを移行する場合の手順についてのメモ。
DBサーバー移行時だけ計画停止(メンテナンス)するという条件で、 以下の手順で移行する。
現行サーバーからプログラム、データ等をコピーして、新サーバーで環境を構築する。
この時に、現行DBサーバーからデータをコピーして新DBサーバーに登録するまでの時間を覚えておくこと。この時間が、4)でのサービス停止時間(メンテナンス時間)を決めるのに必要となる。
テスト端末でhostsに以下の設定を追加することで、新サーバーの動作確認を行う。
(テスト端末のhosts設定)
222.222.222.222 XXService.com #新WebサーバーのIPアドレスを設定
Windows10でのhosts設定方法は以下。
新Webサーバーと新DBサーバーで、問題なく動作することを確認する。OS等のバージョンを上げている場合は、その影響がないか念入りに動作確認を行う。
新DBサーバーは一旦停止して、新Webサーバーから現行DBサーバーを見るようにする。現行DBサーバー側で、新Webサーバーからの接続を許可 (DB設定とファイアウォール)する 。
1)と同様に、新Webサーバーにアクセスして動作確認を行う。
DNS設定を現行サーバーから新サーバーに変更することで、ユーザーが徐々に新Webサーバーにアクセスするようになる。
通常であれば1週間ほどでDNSキャッシュは全て更新されて、現行Webサーバーへの ユーザーからのアクセスは完全になくなる。この時間を短くしたい場合は、事前にDNS設定でTTL値を小さくしておく。
現行Webサーバーは、ユーザからのアクセスがなくなった時点でお役御免となる。
事前に、計画停止についてユーザーへの告知(調整)をする。
計画停止時にDBサーバーの切り替え作業を行い、旧サーバーを停止する。
計画停止時の作業内容としては、ざっくり以下。
データ量が多くてDB移行時の停止時間が長くなりすぎる場合あるいは長い停止時間が取れない場合には、レプリケーション機能を使う。
2)と3)の間で、新DBをスレーブに設定することで、
3)Webサーバー並行稼働+現行DBサーバー(マスタ)+新DBサーバー(スレーブ)といった運用にする。
4)DBサーバー切り替えは、以下作業となり、僅かな停止時間で実施できる。
固定IPでのアクセスルートを確保した場合、以下に関してIPアドレス制限をかける。今後、また固定IPの変更、追加もあると思うので個人用メモ。
SSHに関しては、固定IP用サーバーの障害時に困るので、IPアドレス制限はかけずに鍵認証にて対応。将来、固定IP用サーバーを別業者でもう一つ確保して、IPアドレス制限もかけるようにするか。
※これは古いです。最新版(2020年11月)はこちら
クラウド、VPSのセキュリティ対策について、サーバー自体のセキュリティ対策をちゃんとしても、コントロールパネルが乗っ取られたら元も子もない。
そこで、知っている範囲での各社の状況 (2019年2月21日時点)についてのメモ。
| IP制限 | 2段階認証 | ログイン通知 | 操作ログ | |
| お名前.com | × | × | × | × |
| ConoHa | × | 〇 | 〇 | × |
| エックスサーバー | × | × | × | × |
| さくらインターネット | × |
VPS:× クラウド:〇 |
× | 〇 |
| ニフクラ | 〇 | × | × | 〇 |
「お名前.com Navi」にログイン出来たら、後はすべて操作可能。ログインに関する制限、通知等の機能もない。
「アカウント設定」から「2段階認証」「ログイン通知メール」が可能。
https://support.conoha.jp/common/guide/account/?btn_id=c-2stepauthentication-sidebar_guide-account
「サーバーパネル」にログイン出来たら、後はすべて操作可能。ログインに関する制限、通知等の機能もない。
VPSとクラウドともに操作ログが閲覧できる。
(VPS)
(クラウド)
https://manual.sakura.ad.jp/cloud/controlpanel/eventlog/eventlog.html
クラウドは2段階認証にも対応。
https://manual.sakura.ad.jp/cloud/controlpanel/settings/2-factor-auth.html
ログインのIPアドレス制限が、「アカウント管理」からアカウントを選択して、「IP許可設定追加」で可能。
https://cloud.nifty.com/service/ip_limit.htm
また、過去6カ月分のコントロールパネルの操作ログが参照できる。
https://cloud.nifty.com/help/log/
ログイン時の通知メールの機能はない。
ConoHaのVPSサーバー(CentOS 7.6)にインストールしたSoftEther VPNでL2TP用のサーバー設定した時の作業メモ。
利用目的としては、 外で公共Wifiを使う時のセキュリティ対策と、サイト管理作業時のIPアクセス制限をVPSサーバーに限定するため。後、東京リージョンのサーバーなので、地方や海外でもradikoでJ-Waveが聴けるというメリットもある。
https://ja.softether.org/4-docs/2-howto/L2TP_IPsec_Setup_Guide/1
管理マネージャーから以下をすべて無効にする。
使わないリスナーは削除する。
「使用する暗号化アルゴリズム」はデフォルトから強いものに変更。
「インターネット接続の維持機能を使用する」のチェックを外す。
「DEFAULT」があれば削除して、新たに適当な名前でデフォルト用Hub(以下、仮にHubDummy)と利用するHub(以下、仮にHubReal)を作成する。
「L2TP サーバー機能を有効にする(L2TP Over IPSec)」を有効にする。
「IPSec事前共通鍵」を適当に設定。
「接続時のユーザー名で仮想HUBが省略された場合に接続する仮想HUBの選択」にHubDummyを設定する。
HubRealの 「仮想Hubの管理」から「仮想NATおよび仮想DHCPサーバー機能」を開いて、
「SecureNAT機能を有効」にする。
「SecureNATの設定」で、「仮想NAT機能を使用する」と「仮想DHCPサーバー機能を使用する」にチェックを入れる。
新しいローカルブリッジを定義する。
以下にあるようにtapデバイスを使うようにした。
仮想HUBにHubRealを選択し、「作成する種類」は「新しいtapデバイスとのブリッジ接続」を選択して、「ローカルブリッジ」を追加する。
HubRealの「仮想HUBの管理」から、ユーザーを作成する。とりあえずはパスワード認証で。
使用するポートは、UDPの500と4500。
サーバーでIPSecのポートを公開する。
firewall-cmd --permanent --add-service=ipsec
firewall-cmd --reload
SoftEtherのサイトのチュートリアルはここ。
https://ja.softether.org/4-docs/2-howto/L2TP_IPsec_Setup_Guide
SoftEtherのサイトはWindows7のままなので、以下サイトが参考に。
http://www.seil.jp/doc/index.html#fn/pppac/use/pppac-client/win10_l2tp.html
ユーザー名は、「ユーザー名@HUB名」を入れる。 事前共有キーは、「IPSec事前共通鍵」のこと。
iOS12.1.4の場合、「設定」から「VPN」で、「VPN構成を追加」で設定できる。タイプは「L2TP」にし、 アカウントは「ユーザー名@HUB名」、 シークレットに「IPSec事前共通鍵」を設定。
SoftEtherのサイトは 、古いiOSで英語版だけど参考まで。
https://ja.softether.org/4-docs/2-howto/L2TP_IPsec_Setup_Guide/2