TRY AND ERROR

自宅NOCオペレータの運用備忘録。

PyConJP2014チュートリアル会場のネットワーク構築

2014年9月12日~15日に開催されたPyConJP2014の会場ネットワークを構築するボランティアをやってきました。カンファレンス会場で構築したネットワークの詳細や技術的な部分については、こちらのCodeZineの記事などのメディア掲載しておりますので、このブログでは9月12日に開催されたチュートリアル会場のネットワークについて解説していきたいと思います。

1.チュートリアル会場

 9月12日に開催されたチュートリアルの会場は、様々な事情により、カンファレンスが開催されたプラザ平成とは別会場となりました。その為プラザ平成とは全く別に設計や構築を行う必要がありました。会場には既設で有線のインターネットがあり、新規にフレッツを引いたりすることは難しいとのことなので、それをそのまま利用する前提で設計を進めましたが、それにはいくつか問題がありました。

・会場の担当者の方はネットワークに余り詳しくなく具体的な仕様は不明。
・あくまでサービスとして提供しているようなものらしく、動作保証やサポートなどはない。

その為、会場既設のネットワークをそのまま利用して無線LANを構築するには以下のようなリスクが想定されました。

・ルータ-が家庭用安価なBBルーターなどを利用している場合、NATの最大セッション数などが不足する可能性がある。
・DHCPのプールアドレス数は不明なため、IPアドレスが枯渇する可能性がある。
・SSHのポートが塞がれているなど何らかのフィルタが掛っていた場合、ハンズオンに支障が出る可能性がある。
・何らかの障害が発生した場合に迅速なサポートが受けられない可能性がある。

さらに、設営時間が60分程とかなり限られた時間となっており、複数の機器を持ち込んでの現地での調整などを行うには時間が全く足りない状況でした。この問題を以下の方法を使って解決することとしました。 また、会場の電波状態が想定より良かったため、接続方法としてLTE対応のルーターを利用する方式も検討しましたが、LTEは周囲の電波環境に左右される(例えば近隣で大きなイベントや事件などがあり、トラフィックがバーストすると同一基地局を利用した通信速度は低下する)ので避けることとしました。

2.VPNを使用したコネクティビティ確保

 上記の問題を解決するため、ソフトイーサ株式会社のVPN製品である、PacketixVPNを利用して下図のような構成でコネクティビティを確保することにしました。7月に開催したDNS勉強会の際も利用した方法に似ている方法で、下図のように会場外のNOCにフレッツを引込みインターネットに接続、PacketixVPNを利用して会場とNOCの間にトンネルを張り、会場のクライアントはトンネル経由を経由して、NOCのフレッツよりインターネットに接続する方式となります。

【会場ネットワーク構成イメージ】 f:id:kt-yamaguchi:20171112233906j:plain

PacketiXVPNは443など絶対に空いているであろうポートを利用してVPNを張る事ができ、この方法を利用すれば、NATのセッション数、DHCPのアドレスプール数、各種フィルタリングなどの数多くの問題を回避可能と考えました。もちろん、会場の既設ネットワーク自体がダウンするような自体が発生すれば対応不能となってしまいますが、そのようなリスクは余り高くは無いと考え、会場側承諾の上、上記の方式を採用することとしました。なお、フレッツに接続する為に利用するルーターは後述のSA-W1と同じく、株式会社インターネットイニシアティブの仮想ルーター、SEIL x86を利用しました。

3.SA-W1の利用

 無線アクセスポイントは、株式会社インターネットイニシアティブよりSA-W1をお借りし利用しました。SA-W1は通常の無線アクセスポイントとは異なり、予めクラウド上のSACMコントロールパネルで設定を仕込んでおくと、ネットワークに接続して電源を入れるだけで、自動的にSACMへ接続。自身の設定を取得して動作します。言い方を変えるとクラウド型のWLCとも呼ぶことができると思います。今回のチュートリアルでは設営時間が非常に限られており、会場に持込む機器を減らしたい(WLCのハードウエアなどは持ち込みたくない)事から、SA-W1が最適な状況でした。

【無線アクセスポイント SA-W1】f:id:kt-yamaguchi:20171112233933j:plain

参考:http://www.sacm.jp/

 また、カンファレンスの行われたプラザ平成とチュートリアルは会場が異なり、設計も2カ所分必要だったこともあり、SACMを利用したSA-W1の利用はホットステージなどの事前構築工数の削減に大きく寄与しました。さらに、万一2項のPacktiXVPNが当日うまく繋がらない事態となった場合には、予め用意しておいたConfigテンプレートを切替えるだけで、会場の既設ネットワークに直接APを接続することができ、最悪の場合のリカバリー手段も確保できました。

 なお、SA-W1は2.4GHzにしか対応していないという大きな欠点がありましたが、事前調査の際に会場の2.4GHz帯の電波状況が比較的良かった事、最大でも人数は100人程度なので2.4GHzでも耐えられるレベルと判断し採用を決定しました。

4.オペレーション

 今回、設営の省力化のため、監視サーバーなどのサーバー類もフレッツ接続を行っているNOCの仮想マシン上で動作させることとし、会場への持込は行わない事としました。会場では仮想環境上にある各種監視ツールにターミナルやブラウザを利用して接続し、情報を表示するだけです。死活監視やトラフィック情報の表示は一定の制限があるものの、SACMのコントロールパネル上でも行うことができ、最終的には構築を省略する事も可能だったと考えています。

【オペレーションの様子 オペレーターはNOCメンバーの秋山さん(現役の学生さんです)】f:id:kt-yamaguchi:20171112233958j:plain

 上記のような様々な努力の甲斐があり、構築作業の大幅な省力化を実現することができ、限られた時間で無事に設営を完了し、チュートリアルの参加者の方が着席する際にはネットワークが利用できる状態にすることができました。またトラフィックが一時的にバーストした際に、会場側の回線の帯域の問題と思われるトラブル(PacketiXVPNのセッションが一時的に不安定となる)がありましたが、その他の大きな問題は無くチュートリアルを終えることができました。

参考までにチュートリアルのトラフィック量は下記の通りとなります。(何れも双方向合計値) IPv6の転送量が比較的伸びているのは主要なサイトのIPv6対応が進んでいる証拠の一つだと考えられます。

IPv4転送量:15.2GByte
IPv6転送量: 3.7GByte

5.終わりに

カンファレンスネットワークでは、設営時間が限られている事や会場に制限がある事も多く、様々な機器を会場に持ち込んで利用することが必ずしも最適ではないケースも数多くあります。管理機能をクラウド上や会場外のNOCに設置された機器にシフトしてしまうことにより、工数を大幅に削減することができるかと思います。今後も他のカンファレンスでネットワークを構築するような事があれば、積極的にこのような方式を採用していければと思います。