2018年7月の #ssmjp に参加してきました:今回は DNS がメイン(?)テーマ
7/24のことになりますが、ほぼ月一で開催されている自称「ゆるゆる」のインフラ・運用勉強会、ssmjp の 2018/07 の回に参加してきました。簡単ではありますがレポートしたいと思います。
ちなみに今回は DNS がテーマらしいということで、普通の勉強会ではみられないような以下の参加枠がありました。
- 浸透する枠(DNS関係者) 5名
- 浸透しない枠(DNS関係者) 5名
浸透する枠・しない枠で参加されたかたのために、最前列に専用の席が設けられているくらいの徹底具合でしたw
また、今回は会場を株式会社インターネットイニシアティブ様が提供していてくださりました。
参考URL
DNS Summer Day 2018報告 ー海賊版ブロッキング問題を中心にー
スピーカー
- 石田慶樹氏 日本DNSオペレーターズグループ
内容
6月に開催された DNS Summer Day 2018 の報告が、主催である DNSOPS.JP の石田さんより行われました。
- 今回は、実は別の人間が登壇するはずだった
- 「DNS Summer Day 2018」とは
- ここ数年のトピック
- 脱BIND
- 脱自前運用
- 今年のトピック
- BINDのESVが9.9から9.11へ
- DNSブロッキング
- 来年もやります!スポンサー募集中
- DNSブロッキングについて
- これまでの経緯
- 今年3月に内閣官房長官が会見
- 4月に非常に多くの動き、4/26提訴・ブロッキング差し止め裁判
- 海賊版対策に関する検討会議が始まった
- 「インターネット上の海賊版に関する検討会議」
- 3回目の検討会議は紛糾した
- JANOG 42の議論は資料が上がる予定
- ニコニコ動画の動画内でアンケートをとった時は、約 50%がブロッキング賛成だった
- 検討会議は明日もやる
- > 7/25 第四回
Q&A
- ニコニコ動画の視聴者はコンテンツを作る側が多かったのでは(だから賛成が多かったのでは)?
- > 特にその分析はなされていない
参考
DNS Summer Day 2018 については弊ブログでも記事にしていますので参考にしてください:
CloudFormation と FaaS のはざま - Kubernetes の設計思想を探る -
スピーカー
小山哲治(@koyhoge)さん
資料
内容
- この発表の経緯
- 宣言型デプロイツールの「正しい」使い方 (考え方編) /20180524-ssmjp-deploy - Speaker Deck
- この発表を受けて質問をした
- 「YAMLが複雑になるのは"全部入り"だからでは?」
- 「コンテナとオーケストレーションツールはどう?」
- 返答
- 「その辺の知見は弱いので次回小山さんがしゃべってください」
- 無茶ぶりは嫌いじゃない
- 巨大なymlはいやだ
- 構造化とかしたい
- FaaS (Function as a Service) はどうか
- 万能では無い、簡単にはいかない
- プラットフォームロックインの可能性
- コンテナ+オーケストレーション
- その中間
- OS実行イメージの単位で分離
- 実行イメージをデプロイ・管理するオーケストレーションツール
- Kubernetes (k8s) の説明
- なぜこんなに(構成要素が)多い?
- 実際の稼働ニーズがこれだけあるということ
- サービスメッシュ
- Istio
- マイクロサービスのシステム内でデータの流れを管理する仕組み
- コンテナのオーケストレーションツールが一般的になったので、その上で動くものがでてきた
- まとめ
Q&A
- サービスメッシュについて。分散させたいのかレイヤードにしたいのか?
- 分散はさせたいが中のデータについてもそうしたいのがサービスメッシュ
- 管理は集中させたいのでは?それが落ちたらどうする?筋としてはいいか?
- よくここまでやってるなという心境、複雑、より一般の人にはみえないようにしている
- 実運用やりたいひとがどこまで踏み込んでいいのか?3年後になくなるものに踏み込んでいいのか?
個人的にはこの手の「技術をだれが何処にどの程度採用するか」は、落としどころを一般化することがほぼ不可能で、各々が試行錯誤するしかないという結論に落ち着いてしまっているので、こういった議論を現役の方々が公の場で議論するのは「いいぞどんどんやれ」という年寄りの感想です。どんどんやりましょう!
続 運用自動化、不都合な真実 〜 なぜコスト削減目的で運用自動化してはいけないのか
スピーカー
@tcsh さん
資料
内容
- OpsWorksというサービスがあった
- k8sは運用すると開発の300倍くらいつらい、という話を聞いた
- 12月の復習
- 運用自動化、不都合な真実
- 主張2: 工数削減言うな
- 運用工数削減を 自動化や改善の目的にしてはいけない
- 提供価値が増えればいいはず
- コスト削減が目的になったら復活できない
- 運用工数ゼロ = 運用価値ゼロ
- なかなか理解されない
- 登壇のオファーがあったと思ったら外堀を埋められていた
- OPEX (Operating Expenditure / Operationg Expence)
- 運用維持費(ランニングコスト)
- OPEXの削除
- 1: キャッシュアウトの削減(絶対的削減)
- 2: 費用対効果の改善(相対的削減)
- 絶対的削減
- 現場の能力と選択肢も同時に削減
- 経営危機の際には有効
- 「その後復活した現場をしりません」
事業をたたむときに有効
- 削減された工数だけが効果の指標になる
- 逆行が認められなくなる
- 相対的削減
- 一時的な費用増大も許容
- 費用は増大、効果はさらに増大
- 効果を増やすために投資するという選択肢
- 運用におけるコストは人件費が圧倒的に多い
- リソースを何も変えずに改善するのは「無理」
- ひとを増やして改善施策
- まず納期の現状と期待値の把握を
- コスト削減を要求されたとき
- 「納期短縮」で条件闘争
- または「みなさん転職しましょう」
Q&A
- コスト削減のためにクラウドを使おう、という話があった場合
- 「コストでクラウド」は3〜4年前の議論でいまはスピード重視
- 移行して安くなるものとならないものがある
スピーカーの波田野さんは「まず自動化/効率化する」ことを常に念頭に置かれている上で、その手法に偏ることの危険性を訴え続けている方、という印象です。ネガティブな方面の話が続いているけど、次回以降は明るい話がしたい、とおっしゃられていたのが印象的でした。
マインドフルネスのすすめ
スピーカー
@_keihino さん
内容
- 「ストレスはありますか?」
- 「ありますかそうですか」
- 「そんな貴方にマインドフルネス」
- マインドフルネスとは
- "今、この瞬間の体験に意図的に意識を向け、評価をせずに、とらわれのない状態で、ただ観ること"
- 日本マインドフルネス学会 公式サイト
- 要は瞑想(?)
- 効果
- ストレス低減
- 自己肯定感の向上
- やり方
- 調身
- 背筋をまっすぐ
- 力を抜く
- 目は閉じる(とプレゼン資料が見えない)
- 半目でいい
- 調息
- 鼻で息をする
- 深呼吸してもしなくても
- 一定のリズムを最初だけ意識
- 調心
- 雑念があっても「あ、雑念があるな」と受け入れる
- ぼーっとする
- 調身
- 雑念の例
- 「IoTって何?」
- 意識しないこと
- 「瞑想するぞ」と思わないこと
- 現状に不安がある場合
- 不安が勝ってしまう場合がある
- 身体を調整する、と思って体のことを考えると良い
- 身体のこと = 血の巡り = 経絡の一部
- 経絡と気
- スピリチュアル
- まとめ
- 「ストレスフルな日常に瞑想を」
OPNsenseをUTMに入れて使う
スピーカー
@Alice_You さん
内容
- NXG150
- 中身は x86
- NexCom DNA1110
- Intel 鉄板構成なのでたいていのOSが動く
- BIOSまでシリアルコンソールから操作可能
- 38400bps
- ピンヘッダでVGAポートがあるが変換コネクタ必要
- OPNsense
- OPNsense® - Open Source Firewall - High-end Security Made Easy™
- FreeBSDベース
- プラグインで機能拡張可能
- NetBSD由来のCF用イメージ(Nano)がメンテされている
- UIは日本語化されているがマニュアルは英語
- 国内事例ほとんど見つからない
- 事例(1)
- リゾルバ(DNSキャッシュサーバ)として使う
- プラグインで unbound
- 事例(2)
- Radiusサーバ(FreeRadius)
- YAMAHAルータのため
- 事例(3)
- L2TP/IPsecのLNSにする
- LNS = L2TP Network Server
- トランスポートモードでIPsec接続 -> それを経路に L2TP 接続する
- 監視
- Zabbixエージェントをプラグインで導入
- net-snmpプラグインもある
「NXG150 は USBキーボード繋いで CTRL-ALT-DEL で再起動する」というのは、前々々々職あたりで知っておきたかったと思いました。
参考
「DNS浸透いうな」と言うけれど…
スピーカー
@goto_ipv6 さん
資料
内容
- 「そういえばどこに浸透するんだろう?」
- どこに「浸透」したら満足ですか?
- 「浸透」というからには、どこかに「浸透」するはず
浸透先の候補
- アプリケーション
- キャッシュするような言語実装は無いはず
- いつまでキャッシュすればいいか分からないはず
- OracleJVMくらいでは?(OFFに出来る)
- 自力で名前解決する?
- 本来は OS の仕事 = 車輪の再発明
- Webブラウザ
- FirefoxやChromeはキャッシュを持っている
- DNS over HTTPS
- 浸透先候補
- キャッシュするような言語実装は無いはず
- OS
- キャッシュ機能を持ったOS/ディストリビューションもある
- systemd-resolve
- local_unbound
- DNS Client
- 浸透先候補
- キャッシュ機能を持ったOS/ディストリビューションもある
- フルリゾルバ(キャッシュDNS)
- キャッシュを持つことが多い
- 浸透先候補
- ネガティブキャッシュTTL
- 浸透 しない ことの原因のひとつ
- 権威DNS
- キャッシュは持たない
- ゾーン転送は浸透とは違う
- ルートサーバーも同様
その他
- 権威サーバの切り替え手順を間違えると
- 「DNSが浸透しない」
- 「DNSが反映しない」
- ...という状態になる
- 申請 と 作業 は区別しなければならない
- そもそも既存の説明(イラスト)が悪い?
- 登場人物が少なすぎてイメージがわかない
- DNS関係者はいっぱいいる
- これら全てに「浸透」するというのはそもそもおかしい
- ドメイン名だって星の数ほどある
- これらを全部キャッシュで保持できるはずがない
- あなたが使っている
- アプリケーション
- ブラウザ
- OS
- フルリゾルバ/権威サーバ
- これらに、他人のデータが「浸透」してきたらうれしいですか?
- 気持ち悪いですよね?
まとめ
- 「浸透」する先は存在しません
- 「反映」はいろいろな意味を含む
- 適切に使いましょう
- DNSを勉強しましょう!
- 大抵は作業手順や確認手順の誤りが原因
- 「浸透」を待たなくても、作業確認のための正しい手順はあります
- dig
- drill
- 自分でIterativeな問合せ手順をやってみる
- フルリゾルバの気持ちになる
見るべき資料
- 浸透いうな! (@tss_ontap)
- ネガティブキャッシュについて
- JPRS さんの資料
- あきみち (@geekpage) さんのブログ
Q&A
- ネガティブキャッシュTTL
- SOA の minimum TTL だけでなく、これと SOA 自身の TTL の小さい方が有効
DNSの「浸透」問題はなかなか理解が進まないですね。。ただ、エンジニア以外に説明するときに便利に使えてしまう言葉なので、ついつい頼ってしまう場面もあるかと思うので悩ましいです。個人的にはクライアント側のフォワードプロキシ(キャッシュ)が話題に上がらなかったことが不思議だったのと、ネガティブキャッシュ TTL について理解が足りていなかったことが分かって非常に有意義でした。
まとめ
ssmjp は今後も定期的に勉強会を開くとのこと。次回は「本当にあった怖い話」がテーマとのことなので、興味のある方は参加を検討してみては如何でしょうか。
![[レポート] JJUG CCC 2024 Fallに行ってきました](https://devio2024-media.developers.io/image/upload/v1730277254/user-gen-eyecatch/awivhjatkofztrkayhdv.png)
