Kubernetes障害で泣かないための羅針盤、Observabilityを活用したトラブルシューティングフロー大公開
※岡本、正野、宇都宮はNTTデータ所属 Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する本連載「Cloud Nativeチートシート」。前回から複数回に分けて「Observability(オブザーバビリティ)」「可観測性」にフォーカスして解説しています。 Kubernetesを使っていてトラブルが発生したけど、原因究明をどう進めればいいか分からない……ということはありませんか? コンテナを利用したシステムでは、マイクロサービス化が容易なので、コンポーネントやサービスの数が従来のシステムに比べて非常に多くなります。そのため、障害が発生した場合の原因の究明も大変になります。 そこで今回は、「Observabilityでいろいろとデータが取れるのは分かったけど、何からどう見ていけばいいのか分からない」という方向けに、Kubernetesで実
SOCがSplunkログ基盤の移行先にAWSを検討したワケ
現行のシステムは、2016年ごろから使っており、喫緊で対応が必要となった際に構築されたSplunkの環境が複数存在している状態です。 ログ基盤クラウド化検討プロジェクト ログ基盤はオンプレミスのデータセンター内にあり、今後数年以内に順次End Of Service Life(EOSL)を迎えます。老朽化するインフラの更改に当たり、下記の5つの目標を掲げました。 この目標を達成するプラットフォームとしてオンプレミスとクラウドのどちらが最適なのかを検討することになりました。弊社ではクラウド環境におけるSplunk構築の実績がなかったので、クラウドでの実現性やアーキテクチャを検討、検証することを目的として、「ログ基盤クラウド化検討プロジェクト」(以降、本プロジェクト)が発足しました。 本プロジェクトでは、Amazon Web Services(AWS)のマネージドサービスをうまく活用して、AWS
個人情報の処理に向く「Amazon EC2」の新機能「AWS Nitro Enclaves」、一般提供開始
Amazon Web Services(AWS)は2020年10月28日(米国時間)、同社のIaaS「Amazon EC2」の新機能「AWS Nitro Enclaves」の一般提供を開始したと発表した。個人を特定可能な情報(PII)や医療、金融、知的財産データなど、機密性の高い情報を簡単かつ安全に処理できる。 AWS Nitro Enclavesは、信頼性の高い、高度に分離された堅牢(けんろう)なデータ処理環境を提供し、ユーザーがアプリケーションの攻撃対象領域を縮小できるよう支援する。 Amazon EC2インスタンスにおいてCPUとメモリの分離を実現している「Nitro Hypervisor」技術を使って作成された仮想マシンを利用する。この仮想マシンは永続ストレージを持たず、管理者も運用担当者もアクセスできず、外部ネットワークとは接続できない。ユーザーのインスタンス(下図のInstan
不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは
不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは:「検索コマンドを実行したら約5万回のアラートが流れて大変だった」(1/2 ページ) ホスティングサービスなどを提供するGMOペパボは、セキュリティインシデントを教訓に、OSSのセキュリティ監査基盤「Wazuh」を導入。Wazuhを選択した理由やWazuhの導入後に起きた3つの運用課題を解決した方法について語った。 Japan Perl Associationは2019年1月26日、「YAPC::Tokyo」を開催した。本稿ではGMOペパボのホスティング事業部でテックリードを務める山下和彦氏の講演「Wazuhを利用した大統一サーバ監査基盤」の内容を要約してお伝えする。 GMOペパボでは、2018年1月に起きた不正アクセスを教訓にオープンソースソフトウェア(OSS)のセキュリ
Windows 10に組み込まれた多層かつ高度なマルウェア対策機能
Windows 10に組み込まれた多層かつ高度なマルウェア対策機能:企業ユーザーに贈るWindows 10への乗り換え案内(10)(2/2 ページ) デバイスガード(Device Guard) Windows 10(およびWindows Server 2016)は、「コード整合性(Code Integrity)」(Windows 10 バージョン1709では「Windows Defenderアプリケーション制御」と表現される場合もあります)を使用して、ポリシーベースで未署名のドライバや許可されていないWindowsアプリケーション/ストアアプリの実行をブロックする機能を標準搭載しています。未署名のドライバから保護するコード整合性ポリシーは、「カーネルモードのコード整合性(KMCI)」と呼ばれ、以前のWindowsにも搭載されていました。 Windows 10(およびWindows Serv
イベントビューアーでセキュリティ監査を行うためのグループポリシー設定
前回までは「セキュリティ対策」のためのグループポリシー設定を紹介してきた。今回は「セキュリティ脅威の検知」に役立つ、グループポリシーの設定を紹介する。 連載目次 ログを記録して不正アクセスの検知に役立てる 近年、標的型攻撃に代表される高度な攻撃手法の登場により、従来のようなセキュリティ対策だけでなく、脅威の存在をいち早く検知して、攻撃の拡大を防ぐことも重要視されるようになってきた。 Windowsでは標準搭載の「イベントビューアー」でコンピューターに保存された「ログ」を参照することで、不正アクセスなどの検知に役立てることができる。今回はコンピューターでログを記録し、イベントビューアーから参照できるようにするためのグループポリシー設定を紹介する。 ログを記録するためのグループポリシー設定 イベントビューアーでは、コンピューターで取得・蓄積されたさまざまなログを参照できる。中でも、セキュリティ
ラックがセキュリティ調査ツールを無料提供、侵害判定とマルウェア分析が可能:全ての企業にとって有用か? - @IT
ラックは2018年11月8日、「侵害判定」と「マルウェア自動分析」の2つの機能を備えるセキュリティ調査ツールを無料で提供するWebサイト「FalconNest」を公開した。これらのツールには、同社が900以上の企業や団体に提供しているセキュリティ監視サービスや、年間約300件の緊急対応サービスによって蓄積した国内のセキュリティ情報を活用した。 侵害判定(Live Investigator)は、ラックが別途提供するWindows向けの「ログ収集プログラム」で収集したログを、クラウドの「自動分析エンジン」にアップロードし、標的型攻撃の痕跡を調査し、結果を表示するサービス。 Windowsのイベントログに不審な点がないかどうかを調査し、不審な認証ログが含まれていれば確認ポイントとともに結果を表示する。このサービスを利用することで、不正行為の証拠を調べるフォレンジック(デジタル鑑識)調査が必要かど
10年以上前からあるLinux Kernelの懸念点が脆弱性として発見された「Stack Clash」――意図的に公開が遅らされた理由
10年以上前からあるLinux Kernelの懸念点が脆弱性として発見された「Stack Clash」――意図的に公開が遅らされた理由:OSS脆弱性ウォッチ(2)(1/2 ページ) 連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。今回は、2017年9月14~15日に開催された「Linux Security Summit」でも話題になっていた「Stack Clash」の詳しい説明と情報をまとめる。 「OSSセキュリティ技術の会」の面和毅です。本連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェア(OSS)の脆弱(ぜいじゃく)性に関する情報を取り上げ、解説していきます。 2017年6月20日に、「Stack Clash」と呼ばれる一連の脆弱性が報告されました。少し時間がたってしまっていますが、2017年9月1
Linux Storage Filesystem/MM Summit 2014からの便り
Linux Storage Filesystem/MM Summit 2014からの便り:Linux Kernel Watch(1/2 ページ) お久しぶりです、Linux Kernel Watchが帰ってきました。3月に行われた「Linux Storage Filesystem/MM Summit 2014」の主なトピックを紹介します。 皆さん、お久しぶりです。私は今ボストンで、米レッドハット常駐という立場でRed Hat Enterprise Linux(RHEL)開発に携わっています。 今回はサンフランシスコ近郊のナパバレーで2014年3月24~25日に行われた「Linux Storage Filesystem/MM Summit 2014」(以下LSF/MM)の中から面白かったトピックをピックアップしてお届けしたいと思います。 LSF/MMはLinux Foundation主催で行
文系女子が、ゼロからプログラマになる方法
10月13日、オラクル青山センターで「オブラブ 収穫祭 ~若手エンジニア、実りの秋~」が開催された。オブラブは、ソフトウェアエンジニア同士の交流の場として、今年で11年目を迎える。今回のイベントでは、若手エンジニアと教育担当者がそれぞれの立場からプレゼンテーションを行い、エンジニアの成長と教育について考えるきっかけとなった。ここでは、永和システムマネジメントの講演をベースに、同社流の教育術を取り上げる。永和システムマネジメントは、ソフトウェア開発受託プロジェクトを基本業務として行っている会社である。 入社2年目の田垣亜季氏は、社会学部出身のいわゆる「文系女子」。大学時代は、まったくプログラミングをしたことがないという。しかし、現在は1人のプログラマとしてイベントカレンダー+ログなどを手掛けている。なぜ、プログラマの道を選んだのか。 彼女は、「自分でWebアプリが作れたらいいなと思ったから」
攻撃ツール「Poison Ivy」に脆弱性、NTTデータ先端技術がレポート公開 - @IT
2012/07/25 NTTデータ先端技術は7月25日、Remote Administration Tool(RAT)の「Poison Ivy」のC&Cサーバに存在する、バッファオーバーフローの脆弱性に関する検証レポートを公開した。 Poison Ivyはバックドアやトロイの木馬に分類されることもある攻撃ツールだ。被害者のPCにインストールされる「クライアント」(いわゆるボット)と、それを制御する攻撃者の「C&Cサーバ」で構成されており、リモートから侵入先のPCを制御したり、情報を盗み取ったりする。2011年に相次いで発生した標的型攻撃に使われていたことでも有名だ。 レポートによると、Poison Ivy 2.3.2には脆弱性があり、C&Cサーバに細工したパケットを送信することにより、任意のコードを実行させ、その制御を奪い取ることが可能だ。この結果、Poison Ivyを利用している悪意あ
「信頼されたPath」という考え方をLIDSで使う - @IT -
第5回 「信頼されたPath」という考え方をLIDSで使う 面 和毅 サイオステクノロジー株式会社 インフラストラクチャービジネスユニット Linuxテクノロジー部 OSSテクノロジーグループ シニアマネージャ 2006/3/25 第4回「VMwareでLIDSに触れてみよう」では、「ステート」という概念とVMwareイメージの使い方を紹介しました。今回は、LIDS-1系列で拡張された「Trusted Path Execution(TPE)」について説明します。 Trusted Pathというセキュリティモデル Trusted Pathは、セキュリティモデルの中の伝統的な保護機能として知られています。これは、米国国防総省の「オレンジブック」によって提唱されたもので、 「ユーザーが端末からシステムに情報を伝達する際に使われるメカニズムで、ユーザーか『信頼されている(Trusted)ソフトウェ
IIJ、日本のRuby PaaS「MOGOK」を秋に立ち上げへ - @IT
IIJは9月5日、開発言語としてRubyが利用できるPaaSの新サービス「MOGOK」を秋からベータサービスとして提供開始することを明らかにした。島根県松江市で始まった「RubyWorld Conference 2011」で、同社サービス本部の藤原秀一氏が講演でサービスの提供予定や技術的な詳細を話した。秋にも予定しているオープンベータ版では、当初サービスを無償で提供する。その後、2012年の第2四半期をめどに有償サービスを開始する。プロセス数、メモリ容量、データベース容量などの追加リソースを有料サービスとして提供予定という。 MOGOKは、同社がすでに提供しているクラウドサービス「IIJ GIO」と共通のサーバ基盤で提供するPaaS。Ruby on Railsアプリケーションの開発支援環境と実行環境を提供する。サーバへのアプリケーションのデプロイは、コマンドラインツールを使ってGitリポジ
2月版 OOM killerとの危険な関係に終止符は打てるか(2/2) - @IT
上川純一 日本ヒューレット・パッカード株式会社 コンサルティング・インテグレーション統括本部 2008/2/29 起動時のfsckって時間かかり過ぎじゃない? 1月のLKMLでは、fsckを高速化するための話題がいくつか出ていました。 Linuxシステムを起動する際には、fsck(file system check)が実行されます。ext3システムであれば、ジャーナル機能があるので通常はほとんど時間はかかりません。しかし、一定期間ごとに1回、もしくは一定の起動回数ごとに1回は、ファイルシステムの整合性を確認するために長時間のfsckが掛かります。 例えば、fsckのタイミングを期間で決めている場合、久しぶりにサーバをリブートすると、問題があってもなくても、起動シーケンスの一部としてfsckが掛かります。このため、なかなかサービスがオンラインにならないという悩みがあります。ただ、ファイルシス
@IT:オリジナルセキュリティモジュールの作成(1/2)
第2回 オリジナルセキュリティモジュールの作成 Linuxカーネルには、バージョン2.6から「Linux Security Module」(LSM)というセキュリティフレームワークが導入されています。この連載ではLSMの仕組みを紹介するとともに、これを活用してオリジナルのセキュリティモジュールを作り上げていきます(編集部) 村上 純一 株式会社フォティーンフォティ技術研究所 研究開発部 αUnit シニア・リサーチエンジニア 2008/4/24 前回「知られざるセキュリティフレームワーク『LSM』の役割」では、LSMが開発された経緯やその基本的な仕組みについて解説しました。今回は、実際にLSMを利用して、簡単なサンプルとなるセキュリティモジュールを作成してみたいと思います。
@IT:知られざるセキュリティフレームワーク「LSM」の役割(2/2)
第1回 知られざるセキュリティフレームワーク「LSM」の役割 村上 純一 株式会社フォティーンフォティ技術研究所 研究開発部 αUnit シニア・リサーチエンジニア 2008/3/18 ソースコードで見るLSMの動作 では、SELinuxがどのようにLSMを利用しているのか、実際のコードを交えて見てみましょう。 まず、カーネルソースをダウンロードして展開する必要があります。ここでは、CentOS 5.1での手順を紹介します。 % cd ~ % mkdir rpmbuild/{BUILD,RPMS,SOURCES,SPECS,SRPMS} % echo "%_topdir %(echo $HOME)/rpmbuild" > .rpmmacros % sudo yum install rpm-build % rpm -i http://mirror.centos.org/centos/5/up
コンソールが消灯するのを防ぐには
コンソールをしばらく操作しないと画面が真っ黒になる。これを防ぐには、settermコマンドを使用する。 settermコマンドの-blankオプションで、スクリーンが消灯するまでの時間を分単位で指定する。例えば、1分間コンソールを操作しないとスクリーンが消灯するようにさせるには、以下のように実行する。
楽天版MapReduce・HadoopはRubyを活用 - @IT
2008/12/01 楽天は11月29日、東京・品川の本社で開催した技術系イベント「楽天テクノロジーカンファレンス2008」において、近い将来に同社のEコマースサービス「楽天市場」を支える計画があるRubyベースの大規模分散処理技術「ROMA」(ローマ)と「fairy」(フェアリー)について、その概要を明らかにした。 レコメンデーションの処理自体はシンプル 楽天市場では現在、2600万点の商品を取り扱い、4200万人の会員に対してサービスを提供している。この規模の会員数・商品点数でレコメンデーション(商品の推薦)を行うのは容易ではない。 ※記事初出時に楽天市場の会員数を4800万人としてありましたが、これは楽天グループのサービス利用者全体の数字でした。楽天市場の会員数は正しくは4200万人とのことです。お詫びして訂正いたします。 レコメンデーションの仕組みとして同社は、一般的でシンプルなア
セキュリティを強化して公共の場所にPCを設置する
公共の場所に設置するコンピュータや、学校/図書館の教育用コンピュータ、ショーや店頭でのデモ用途など、不特定多数のユーザーに対して、だれでも利用できるようにするためには、コンピュータに対して特別なセキュリティ設定を施しておく必要がある。システムが破壊されたり、ウイルスに感染したりするかも知れないし、あるユーザーが保存した情報や操作履歴などが、別のユーザーに漏えいしないようにも注意する必要があるからだ。 標準的なWindows XPコンピュータはこのような用途には向かないが、Micrsoft Shared Computer Toolkit(以下SCTと略記)というアドオンを導入すれば、一般ユーザーの操作を制限したり、システムに対する破壊を防ぎ、ログオン・セッションごとにユーザーの操作した結果をすべてキャンセルするなどの機能が実現できる。 Microsoft Shared Computer To
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メールにかけられた呪文「MIME〜前編」
