OSSのクラウド基盤「Eucalyptus」を使う(1)--全体構成を理解する

箕浦真(VA Linux Systems Japan)
2009-06-10 11:31:02
  • このエントリーをはてなブックマークに追加

2. 本連載での構成

 以上がEucalyptusの大元の構想のようですが、現在のところ、仕様や実装上の制約がいろいろあって、実際に取れる構成は限られてしまっています。そのいくつかを挙げてみます。

  • マシンイメージ (EC2でいうAMI)、カーネルイメージ、initrdイメージは、NCがCLCに同居しているWalrusから直接取得するため、NCからCLCに通信できる必要がある。
  • NCからCLCへのマシンイメージなどの転送は、平文で行われる。マシンイメージにはデリケートな情報が含まれる可能性があるので、この間のネットワークは盗聴ができないようなものである必要がある。
  • 仮想ネットワークのすべての機能を利用できるMANAGEDモードにおいては、図1のPrivate networkの部分にCCがVLANを構築する。VLANのIDは、CCが勝手に割り当て、これを制御することはできない。このため、Private networkの部分は、単一のセグメントからなる必要があり、できれば専用のネットワークであることが望ましい。また利用するスイッチは、VLANタグのついたパケットを素通しするものでなければならない。
  • 図1のPrivate networkの部分をEucalyptus専用にすることは、セキュリティ面でも意味がある。Eucalyptus関連の(デリケートな情報も含む)パケットが、Eucalyptusとは関係のないホストから覗き放題になることを防ぐためである。もちろん、そのような悪意のユーザーやホストを考慮しなくてもよい環境であればその限りではない。
  • VLANを利用しないMANAGED-NOVLANモードもあるが、この場合、各インスタンスがNC-CLCの通信(主にマシンイメージの転送やEBSのやりとり)などデリケートな情報を含むパケットを覗き見することができるようになる。またセキュリティグループごとのインスタンス間トラフィックの分離もできない。
  • MANAGEDモード、MANAGED-NOVLANモードでは、CCとNCは同居できない。
  • EBSの機能はAoE(ATA over Ethernet)を利用して実装されている。AoEのイニシエータ(クライアント)はNCの動作するホストOS、ターゲット(サーバ)はCLCに同居するため、EBSを利用するためにはNCとCLCは同一セグメントのイーサネットで接続されていなければならない。また、AoEのセキュリティは非常に甘いため、NCとCLCの間のネットワークは十分にセキュアでなければならない。さらにAoEのスロットの割り当てはCLCが行い、制御できないため、AoEを既に利用しているネットワークでは使えない。
  • CLCとCCが同一ホストに同居しないと、インスタンスはインスタンスメタデータやユーザーデータにアクセスできない。
  • 現在のところ、Eucalyptusの各コントローラに対する要求を受け付けるHTTPサーバとして、特別に設定されたApache httpdを用いる必要がある。特別な設定とは、特権ユーザー(root)の権限で動かすことである。通常のOSにバンドルされたApacheは使えないため、リモート脆弱性が発見された場合に備えて社外などには公開しないようにすることが望ましい。
  • 1.5 (1.5.x) では、複数クラスタを持つことはできない

 以上を考慮すると、実際に取れるのは、図2に示すように、単一のフロントエンドノードと、複数の計算ノードからなる単一クラスタ構成しかなくなります。

【図2】Eucalyptusの全体構成(現状) 【図2】Eucalyptusの全体構成(現状)(クリックで拡大表示します)

 フロントエンドノードには、通常の社内ネットワーク向けと、Eucalyptus専用ネットワーク向けの2つのネットワークインターフェースが必要となります。また、WalrusとEBSという永続的なストレージが両方とも同居することになりますので、用途によっては特にストレージの性能(容量・速度)が重要になるものと思われます。CCについては大した処理をするわけではありませんので、同居にさほど問題はないでしょうが、インスタンスと外部との通信はすべてここを通るので、用途によってはルーティングの負荷が上がる可能性があります。

 計算ノードはインスタンスを動かす関係上、CPUとメモリが重要になります。インスタンスストレージのために、計算ノードのローカルディスク上にイメージファイルが作られますので、ある程度のディスクも必要になるでしょう。

 この構成を理解するために、次回以降は、Eucalyptusの仮想ネットワークとEBSの実装方式を説明していきます。

筆者紹介

VA Linux Systems Japan 高橋浩和・小田逸郎・箕浦真(MAIL
各種OS、仮想化、Linux Kernelおよびオープンソースにおける高度な技術と経験を基盤とした、技術コンサルティング、開発、インテグレーションとソフトウェアソリューションを提供。VA Linuxは、2000年9月に設立され、Linux Kernelや仮想化に関するグローバルレベルの技術力をベースにLinuxおよびオープンソース業界を牽引する中核企業として成長を続けている。

  • 新着記事
  • 特集
  • ブログ