※解答はIPAのサイトを引用しておりますが、解説は独自ですので参考程度にご覧ください
答: [ア] 改ざんの検知 [イ] L2フォワーディング [ウ] ポート
[エ] 公開 [オ] ポートフォワーディング [カ] DHE
[ア]は「改ざんの検知」が入ります。TLSプロトコルのセキュリティ機能は”共通鍵暗号方式による暗号化”、”証明書の検証による通信相手の認証”、”ハッシュ値の比較による改ざんの検知”を持ちます。よって解答は「改ざんの検知」になります
[イ]は「L2フォワーディング」が入ります。SSL-VPNにはリバースプロキシ、ポートフォワーディング、L2フォワーディングの3方式があります。
[ウ]は「ポート」が入ります。ポートフォワーディング方式は、クライアントPCがSSL-VPNゲートウェイ(SSL-VPN装置)と接続することで、JavaアプレットなどのVPN通信モジュールをクライアントPCで起動し、SSL-VPN装置との間でVPN接続する方式です。SSL-VPN装置は、クライアントPCから送られてきたデータをサーバへ転送する際にアプリケーションのデータのポート番号を変換することが可能です。この仕組みにより、ポートフォワーディング方式ではTCPまたはUDPの任意の「ポート」へのアクセスが可能となります。
ただし、この方式を利用する場合はサーバのIPアドレスとドメイン名を事前にSSL-VPN装置のhostsファイルに定義する必要があります。
[エ]は「公開」が入ります。「公開」鍵は制限なく公開され配布されます。一方で秘密鍵は所有者のみが知る鍵になります。
[オ]は「ポートフォワーディング」が入ります。5ページの前半で”仮想PCへのアクセスのプロトコルはRDPとし、TCPの3389番ポートを利用する”とあり、次の文章でRDPしか利用しないことも記述してあります。[ウ]の解説で記載したように「ポートフォワーディング」方式はTCPまたはUDPの任意のアプリケーションへの接続が可能なためこの方式が利用可能です。
【特徴まとめ】
・リバースプロキシ方式…HTTPS(443番ポート)の利用が必須、Webブラウザだけあれば動作可能だがWebブラウザ上で動作するアプリケーションしか使用できない。メールはWebメールを利用する。
・L2フォワーディング方式…VPNクライアントソフトにある仮想NICに、VPN接続用のIPアドレスが付与され仮想NICを経由してVPNに接続。FTPなど動的にポート番号が変わる場合のアプリケーションの通信にも対応している。
[カ]は「DHE」が入ります。TLS1.3の鍵交換の方法はDHE(Diffie-Hellman鍵共有)、ECDHE(楕円曲線Diffie-Hellman鍵共有)、PSK(事前共有鍵)のいずれかとなっております。
(1) 下線①について、同時に行われる二つのセキュリティ処理について答えよ
答: 暗号化とメッセージ認証
AEADとは、暗号化とメッセージ認証を同時に実行する方式です。Authenticated Encryption with Associated Dataの略で、直訳すると”関連データを使用した認証付き暗号化”となることからも「暗号化と認証」の処理を行っていることが分かります。
(2) 下線②について、電子証明書において識別用情報を示すフィールド名を答えよ
答: サブジェクト
「サブジェクト」フィールドは証明書を識別用情報(ホストを識別する固有の名前)です。 「サブジェクト」フィールドに記述される識別名(DN: Distinguished Name)は、 国名を表すC(Country)や組織名を表すO(Organization)、部門名を表すOU(Organizational Unit) 一般名を表すCN(Common Name)があります。 また、電子証明書のフィールドはサブジェクトフィールドのほかに証明書の有効期限の開始日と終了日が記載されるValidityフィールドや証明書を発行した認証局(CA)の名称が記載されるIssuerフィールドがあります。
(1) 下線③について、クライアント証明書で送信元の身元を一意に特定できる理由を”秘密鍵”という用語を用いて述べよ
答: クライアント証明書の公開鍵に対応する秘密鍵は本人しか保有していないから
クライアント証明書は接続元であるクライアントPCの身元がサーバへの接続を許可された正当なPCであることをするための証明書です。 個人PCからSSL-VPN装置に接続する際に、自身にインストールされているクライアント証明書をSSL-VPN装置に送ります。 送信したクライアント証明書が自身の持つ正しい証明書であることを示すために、ハンドシェイクを秘密鍵で暗号化して送ります SSL-VPN装置では、この証明書を公開鍵で復号することができた場合、公開鍵に対応する正当な秘密鍵をもつ通信相手であることを確認できます。 よって解答は「クライアント証明書の公開鍵に対応する秘密鍵は本人しか保有していないから」になります。
(2) 下線④について、クライアント証明書の検証のためにあらかじめSSL-VPN装置にインストールしておくべき情報を答えよ
答: CAのルート証明書
設問2の(2)の解答で記載しましたが、電子証明書には証明対象の名称や証明書の用途、国名や組織名などの識別情報が含まれています。
例えばsubjectフィールドにSubjectに“C=JP, O=JPNIC”と記述がある場合は、JPNICという組織を認証しなければなりません。
このように検証したい証明書に記述された内容を証明書するには上位の証明書が必要になり、一連の証明書を次々に検証していく必要があります。
しかし「CAのルート証明書」という電子署名の(認証局)の証明書を事前にインストールしている場合は認証局自身が身元の保証を行うためこのような上位の認証局による認証を受けません。
(3) 下線⑤について、検証によって提言できるリスクを答えよ
答: なりすまされたSSL-VPN装置に接続してしまうリスク
個人PCについてはクライアント認証で検証できていますが、SSL-VPN装置が偽装されていない正当なサーバであるかについては個人PC側で検証していません。 そのため、攻撃者が用意したなりすまされたSSL-VPN装置から個人PCへなりすまされたSSL-VPN装置のサーバ証明書を送付すると個人PCは偽のSSL-VPN装置へアクセスしてしまうリスクが発生します。 よって解答は「なりすまされたSSL-VPN装置に接続してしまうリスク」となります。
(4) 下線⑥について、TLS1.3で規定されている鍵交換方式に比べて広く復号されてしまう通信の範囲に含まれるデータは何か。”秘密鍵”と”漏えい”という用語を用いて答えよ
答: 秘密鍵が漏えいする前に行われた通信データ
RSA鍵交換方式や、DH公開鍵を静的に用いる鍵交換方式は公開鍵と秘密鍵について静的で同じ鍵を使い回すため、もし秘密鍵が漏えいしてしまうと保存していた過去のデータを順に復号されてしまいます。
一方でTLS1.3で規定されている鍵交換の方法であるDHE(Diffie-Hellman鍵共有)、ECDHE(楕円曲線Diffie-Hellman鍵共有)、PSK(事前共有鍵)は、毎回ランダムな使い捨ての公開鍵と秘密鍵を生成するため、もし秘密鍵が漏えいしたとしても過去の暗号文は解読されません。よって解答は「秘密鍵が漏えいする前に行われた通信データ」となります。
ちなみにこのような秘密鍵が漏えいしたとしても過去に暗号化された通信データは解読されないという鍵交換プロトコルに求められる性質を”前方秘匿性”と呼びます。
(5) 下線⑦について、利用者がCAサービスにCSRを提出するときに署名に用いる鍵は何か。また、CAサービスがCSRの署名の検証に用いる鍵は何か
答: 署名に用いる鍵 : 利用者の秘密鍵
署名の検証に用いる鍵 : 利用者の公開鍵
証明書署名要求(CSR)は、利用者がクライアント証明書を申請するために認証局(CA)に対して送るメッセージのことです。
このCSRに署名に用いるのは「利用者の秘密鍵」になります。また、CSRには利用者の公開鍵が含まれており、CSRを受け取った認証局は「利用者の公開鍵」を取り出してこの署名を検証します。よって、署名に用いる鍵は「利用者の秘密鍵」、検証に用いる鍵は「利用者の公開鍵」になります。鍵の仕組みとしては利用者本人しか知り得ないのが秘密鍵で、その秘密鍵に紐付いた相手に知らせてもよい鍵が公開鍵になります。
(6) 下線⑧について、証明書失効リストに含まれる、証明書を一意に識別することができる情報は何か
答: シリアル番号
「シリアル番号」は、証明書を発行したCA(認証局)によって割り当てられる固有のIDのことです。同じCA証明書によって署名された複数の証明書でシリアル番号が重複することはありませんので一意に識別することができることになります。
(1) 下線⑨について、ユーザテーブルに含まれる情報を答えよ
答: VDI利用者の利用者IDとその利用者の仮想PCのIPアドレスの組
図2を見ますとVDIクライアント(個人PC)からVDIサーバ(テレワークセグメントにある仮想PC)へ接続していることがわかりますが、その際にVIPという仮想IPアドレスを仮想PCに割り当てて接続していることがわかります。
つまり個人PCからテレワーク環境に接続要求があった場合、VDIサーバに複数存在するどの仮想PCに接続するか(どの仮想IPアドレスへ中継するか)を判断する必要になります。
そこでユーザテーブルを使い、クライアント証明書の中に含まれている利用者IDと利用者の仮想PCのIPアドレスをSSL-VPN装置のユーザテーブルに紐付けて登録しておきます。
接続時にSSL-VPN装置のユーザテーブルを参照し、利用者IDから仮想PCのIPアドレスを特定し、NAT変換で利用者IDに紐づけられている適切な仮想PCの仮想IPアドレス(VIP)に変換してパケット中継を行います。
よって解答は「VDI利用者の利用者IDとその利用者の仮想PCのIPアドレスの組」になります。
(2) 下線⑩について、検索のキーとなる情報はどこから得られるどの情報か。また、SSL-VPN装置は、その情報をどのタイミングで得るか。
答:【情報】クライアント証明書から得られる利用者ID情報
【タイミング】Ⅷ
ユーザテーブルに含まれる情報はVDI利用者の利用者IDとその利用者の仮想PCのIPアドレスの組になります。※設問4(1)の解説参照
下線⑩の文章に”ユーザテーブルを検索してIPアドレスを得る”とあるので、検索に必要なキーとなる情報はVDI利用者の利用者IDになります。
また、5ページ中段の[SSL-VPNクライアント認証方式の検討]にて、社員の個人PCには接続元を特定するために社員番号を利用者IDとしてクライアント証明書の中に含めていると記載があるようにVDI利用者の利用者IDは個人PCのクライアント証明書の中に含まれています。よって検索のキーとなる情報は「クライアント証明書から得られる利用者ID情報」となります。また、この情報を取得するタイミングは8ページの図3のSSL-VPNクライアントからSSL-VPN装置へCertificate(証明書)が送付される「Ⅷ」になります。
(1) 下線⑪について、P主任がECMPの利用を前提にしたコスト設定を行う目的を答えよ
答: M社とN社の両方の広域イーサネットを利用すること
ECMP(Equal Cost Multi-Path)とはコストが等しい複数の経路が存在するときにトラフィックを振り分ける機能です。
9ページの[ネットワーク冗長化の検討]にて、”拠点間接続の冗長化のために新たにN社の広域イーサネットを契約する。その回線速度と接続トポロジは現行のM社の広域イーサネットと同等とする”とあります。実際に10ページの図4で確認するとN社とM社の広域イーサネットを通る経路で同等のコストになっていることが分かります。
ネットワークの冗長性をとり、M社とN社の両方の広域イーサネットを利用するため、ECMP機能を利用してこの2つのイーサネットを通るようにトラフィックを振り分けて負荷を分散させることが可能となります。よって解答は「M社とN社の両方の広域イーサネットを利用すること」になります。
(2) 下線⑫について、経路数とコストをそれぞれ答えよ
答: 【経路数】4 【コスト】70
図4よりL3SW11からサーバセグメント宛ての経路の数は以下となります。
また、OSPFのコストの加算のタイミングは受信インターフェースを通過したタイミングになります。カッコ内がコストになります。
・PC→L2SW11→(20)L3SW11→L2SW13→L2SW34→(50)L3SW31→サーバ
・PC→L2SW11→(20)L3SW11→L2SW13→L2SW34→(50)L3SW32→サーバ
・PC→L2SW11→(20)L3SW11→L2SW14→L2SW35→(50)L3SW31→サーバ
・PC→L2SW11→(20)L3SW11→L2SW14→L2SW35→(50)L3SW32→サーバ
よってL3SW11上に存在するルーティング経路数は「4」つでコストは「70」となります。
(3) 下線⑬について、フローモードの方が通信品質への影響が少ないと判断した理由を述べよ
答: フローモードはパケット到着順の逆転が起こりにくいから
10ページの下部に”パケットモードはランダムに経路を選択し、フローモードの場合は送信元IPアドレスと宛先IPアドレスからハッシュ値を計算して経路選択を行う”とあります。
文字通りパケットモードはランダムに経路を選択しますので経路選択に偏りが生じ、通話品質に影響がでやすくなります。一方でフローモードでは送信元IPアドレスと宛先IPアドレスの組合わせからハッシュ値を求めるため、経路の選択に偏りが生じずパケット到着順の逆転が起こりづらいため通信品質への影響が少なくなります。よって解答は「フローモードはパケット到着順の逆転が起こりにくいから」になります。
(4) 下線⑭について、利用率がほぼ均一になると判断した理由をL3SWのECMPの経路選択の仕様に照らして述べよ
答: 送信元IPアドレスと宛先IPアドレスから計算したハッシュ値が偏らないから
設問(3)の解説で記載したように、送信元IPアドレスと宛先IPアドレスからハッシュ関数で計算した値は、IPアドレスが変更されない限り、同じ送信元と宛先のIPアドレスの組合わせに対しては同じハッシュ値になります。このようにハッシュ関数が分散せず同じ値になることで、それぞれの組合わせで同じ回線が選ばれる可能性が高くなり、回線の利用率がほぼ均一になります。よって解答は「送信元IPアドレスと宛先IPアドレスから計算したハッシュ値が偏らないから」になります。
(5) 下線⑮について、この設定によるVRRPの動作を”優先度”という用語を用いて述べよ
答: インターフェースの障害を検知したときにL3SW1のVRRPの優先度を下げる
ネットワークの障害を監視することをトラッキングと呼びます。11ページの中段の説明の通り、L3SW31はVRRPマスタとなるように優先度が設定されています。つまりL3SW32よりも高い優先度が設定されている状態です。(L3SW32はバックアップルータに該当)
もしこの状態でL3SW31のインターフェースaとbに障害を検出したときに、トラッキングを働かせるためには、バックアップルータのL3SW2をVRRPマスタとなるように切り替えるためにL3SW1のVRRPの優先度を下げる必要があります。よって解答は「インターフェースの障害を検知したときにL3SW1のVRRPの優先度を下げる」になります。
(1) [ア]~[エ]に入る字句又は数値を答えよ
答: [ア] ハイパーバイザ [イ] VRID [ウ] 255 [エ] A
[ア]は「ハイパーバイザ」が入ります。「ハイパーバイザ」はサーバを仮想化するソフトウエアのことです。ハイパーバイザを使うことで1台の物理的なサーバの中に複数の仮想的なサーバを構築することが可能になります
[イ]は「VRID」が入ります。VRRPはデフォルトゲートウエイを冗長化するプロトコルのことで、VRRPで使用されるグループの識別子を「VRID」と呼びます。「VRID」が同一のVRRPルータは同じグループに所属します。
[ウ]は「255」が入ります。VRRPでは最大255の組が用意できます。
[エ]は「A」が入ります。AレコードとはDNSレコードのひとつで特定のホスト名に紐付くIPアドレスを定義するレコードになります。この場合はAP0のFQDNに対してVRRPで使用する仮想IPアドレスを紐付けておくことでAP仮想サーバ0aとAP仮想サーバ0bの2台のルータをデフォルトゲートウェイルータとして設定できるため、ネットワーク障害の発生する可能性を下げることができます。
(2) 下線①について、2台のAP仮想サーバを同じホストサーバに収容した場合に起きる問題点を可用性確保の観点から述べよ
答: ホストサーバが停止した場合、AP仮想サーバが2台とも停止する
可用性とは、システムを障害で停止させることなく稼働し続けることをいいます。
図2の通り、ホストサーバaにAP0a、AP1a、ホストサーバbにAP0b、AP1bの2台の仮想APがあります。
例えばAP0a、AP1a(ホストサーバa)でVRID”1”を、AP0b、AP1b(ホストサーバb)で同じVRID”2”を設定している場合、ホストサーバaに障害が発生するとVRID”1”のAP仮想サーバが、ホストサーバbに障害が発生するとVRID”2”のAP仮想サーバが完全に停止してしまいます。
そのため、AP0a(ホストサーバa)とAP0b(ホストサーバb)にVRID”1”、AP1a(ホストサーバa)とAP1b(ホストサーバb)にVRID”2”のようにホストサーバ内で異なるVRIDを設定し、
片側のホストサーバに障害が発生しても残り1台のホストサーバでシステムを継続可能にすることができます。
よって解答は「ホストサーバが停止した場合、AP仮想サーバが2台とも停止する」になります。
(3) 下線②について、マスタが停止したとバックアップが判定する条件を述べよ
答: バックアップがVRRPアドバタイズメントを決められた時間内に受信しなくなる
VRRPを設定した2台のルータを起動するとマスタルータとバックアップルータがお互いにVRRPアドバタイズメントと呼ばれる制御パケットを宛先IPアドレス(224.0.0.1)というVRRP用に割り当てられたマルチキャストアドレス宛に送信します。
するとルータにそれぞれ、メインで稼働するマスタルータとバックアップルータのどちらかの役割が割り当てられます。
バックアップルータに選ばれたルータはVRRPアドバタイズメントの送信を停止し、マスタールータになったルータはVRRPアドバタイズメントをバックアップルータへ一定間隔で送信し続けます。
バックアップルータはマスタルータからの定期的なVRRPアドバタイズメントを一定時間受信できなくなると、マスタルータがダウンしたとみなし、自身をバックアップからマスタールータへ切り替える動作をします。
このように、バックアップルータがマスタとして動作しているAP仮想サーバからVRRPアドバタイズメントを決められた時間内に受信しなくなった場合は、マスタが停止したとバックアップが判定できます。
(1) 下線③について、複数ある全ての仮想ブリッジセグメントで同じIPアドレスを利用して問題ない理由を述べよ
答: 外部にはコンテナサーバが付与したIPアドレスが利用されることはないから
それぞれのコンテナサーバは仮想ルータでネットワークが分割されています。仮想ルータの配下に接続されている機器はプライベートIPになり、外部ネットワークへのアクセスには使用しない文字通りプライベートなIPアドレスになりますので複数ある全ての仮想ブリッジセグメントで同じIPアドレスを使用しても問題ありません。
よって解答は「外部にはコンテナサーバが付与したIPアドレスが利用されることはないから」になります。
(2) 下線④について、共用リバースプロキシはどのヘッダフィールドの情報からWebAPを識別するか
答: ホストヘッダフィールド
ホストヘッダとは HTTP/1.1というバージョンで登場したHTTPリクエストヘッダに含まれる情報の1つです。ホストヘッダは下記のような形式でHTTPリクエストを送信する宛先のFQDNがセットされますので、このヘッダフィールドから宛先のWebAPを一意に識別できます。
GET /top.html HTTP1.1
Host https://dxnote.net ※宛先のFQDN
※FQDNとは、ホストとドメインを省略せずにつなげた記述形式のことです。https://www.dxnote.net:443/pre/index.htmlの場合、FQDNはwww.dxnote.net(ホストはwww、ドメインはdxnote.net)になります。
(3) 本文中の[オ] に入れるIPアドレス及び[カ]に入れるポート番号を答えよ
答: [オ] 192.168.0.98 [カ] 8000
[オ]は「192.168.0.98」が入ります。PCからhttp://ap0.u-sha.com/へのアクセスがあった場合、17ページの6行目に記載の通り、U社のネットワーク構成では共用リバースプロキシが、クライアントからのHTTPリクエストを受けて、WebAPコンテナへ振り分ける動作を行っています。よって解答は共用リバースプロキシのIPアドレスである「192.168.0.98」になります。
リバースプロキシとは、インターネット等の外部からのアクセスをWebサーバの代理で受ける機能のことです。
[カ]は「8000」が入ります。18ページの1行目、(7)の説明にあるとおり、PCがAP0と通信を行うときの流れになりますので、宛先IPアドレスが192.168.0.112のときのポートは表4のAP0aが振り分け先になっていることがわかりますので192.168.0.112:8000の「8000」の部分が宛先ポート番号となります。
(4) 下線⑤について、変換後の宛先IPアドレスと宛先ポート番号を答えよ
答: [宛先IPアドレス] 172.16.0.16 [宛先ポート番号] 80
ポートフォワード機能は特定のポートに届いたときにあらかじめ設定しておいたLAN側の機器にパケットを中継する機能です。共用リバースプロキシはPCからの通信を受け、宛先IPアドレスが192.168.0.112、ポート番号8000のコンテナサーバa(物理)宛てへ通信を開始します。この通信を受けた仮想ルータは、図4の(iii)の通りポートフォワード機能で、AP0aへ接続するために仮想ブリッジのAP0a宛てにIPアドレスとポート番号を変換します。表3からAP0aの宛先IPアドレスは172.16.0.16ということがわかり、通信プロトコルはHTTPなので80番ポートを使用することが分かります。図4の(iii)からも変換後の宛先IPアドレスとポート番号が分かります。
(1) 下線⑥について、専用APごとに確認が必要な仮想ルータごとのネットワーク機能を二つ答えよ
答: NAPT機能とポートフォワード機能
16ページの下段に”WebAPコンテナは仮想ルータの上で動作するNAPT機能とTCPやUDPのポートフォワード機能を利用して、PCや共用DBサーバなどといった外部のホストと通信する”とあるように、専用APごとに確認が必要な仮想ルータごとのネットワーク機能はNAPT機能とポートフォワード機能になります。
NAPT機能はLANからインターネットに通信するときに、ヘッダの送信元IPアドレスをグローバルIPアドレスに書き換え、さらに送信元ポート番号も変換する機能です。
ルータはこのときに、変換前と変換後のIPアドレスとポート番号を自身の変換テーブルに記録しておきます。
パケットが目的のサーバに到達し、その応答パケットがルータのグローバルIPアドレスへと返されます。
返信されたパケットの宛先ポート番号と自身の変換テーブルをチェックしてどのPC宛のパケットなのかを判断し、その宛先のIPアドレスに変換してLAN側へ送信します。
ポートフォワード機能は、インターネットから特定のポート番号宛に通信が届いたときにあらかじめ設定しておいたLAN側の機器にパケットを転送する機能です。例えば、宛先ポートが8000宛のパケットは、192.168.0.112の機器へ転送するといった設定ができます。このようにあらかじめ転送するポートとクライアントPCのIPアドレスを登録しておくことで外部からの通信をLAN側の機器との通信が行えるようになります。
(2) 下線⑦について、どのような仕組みが必要か
答: 複数のIPアドレスを設定し、IPアドレスごとに専用APを識別する仕組み
”同じポート番号を使用する専用APが幾つもあるので、これらの専用APに対応できる負荷分散機能をもつ製品が必要”というのが下線⑦の内容になります。専用APはTCP/IPを使った独自プロトコルのため、IPアドレスかポート番号の両方の組合わせで必ず一意に識別させる必要が負荷分散させるための条件になり、ポート番号は同じということなので、「複数のIPアドレスを設定し、IPアドレスごとに専用APを識別する仕組み」が必要になります。
(1) [キ]~[ケ]に入れる適切な字句を答えよ
答: [キ] エコー応答 [ク] SYN・ACK [ケ] GET
[キ]には「エコー応答」が入ります。ICMPはネットワークが正常な状態か診断したり、異常な場合には通知する機能をもつプロトコルで、OSI参照モデルの第3層(ネットワーク層)で動作します。
ICMPにはいくつかタイプ(種類)があり、ping要求で利用されるのは、タイプ0のエコー応答(echo reply)、タイプ8のエコー要求(echo requesut)の2つです。
20ページ下段の文中にあるように、監視サーバは監視対象の機器に対してICMPエコー要求を送信し、それに対して監視対象機器は「エコー応答」を返します。そのため監視サーバは、エコー要求を送信後、一定時間内に「エコー応答」を受信できるかどうかでIPパケットの到達性があるかを確認することができます。
また、ほかにはタイプ5のリダイレクト(redirect)があり、今より最適な経路があればその経路のゲートウェイを通知してくれるものになります。
[ク]には「SYN・ACK」が入ります。TCPはOSI参照モデルの第4層(トランスポート層)で動作します。
1.監視サーバ(接続を要求側)は、ランダムに決めたシーケンス番号を記載したSYNパケット(TCPヘッダのSYNフラグがオンに設定されたパケット)を監視対象の機器へ送る
2.監視対象の機器(接続を受ける側)は、受け取ったシーケンス番号とこれに1を加えたACK番号(確認応答番号)を記載した「SYN・ACK」パケット(SYNフラグとACKフラグがオンになったパケット)を返信する。
3. 監視サーバ(接続を要求側)は「SYN・ACK」を受信しシーケンス番号に1を加えたものとACK番号を記載したACKパケット(ACKフラグがオンになったパケット)を送信することで接続の確立が完了する。
このように監視サーバはSYNパケットを送信し一定時間内に「SYN・ACK」を受信するかどうかでTCP通信ができるかどうかを確認することができます。
[ケ]には「GET」が入ります。HTTP GETメソッドとは、指定されたURIのリソースを要求し、取得することができるHTTPメソッドのひとつです。
監視サーバは監視対象の機器にHTTP GETメソッドを送信し一定時間内にリソースを取得できるかどうかでHTTPサーバが正常に稼働しているかを確認することができます。
(2) 下線⑧について、表5中の項番2、項番4、項番7で障害を検知し、それ以外は正常の場合、どこに障害が発生していると考えられるか
答: コンテナサーバa
コンテナサーバaからping応答がない(項番2)、AP0aとTCPコネクションを確立できない(項番4)、AP0aのリソースが取得できない(項番7)という3つの障害が発生し、それ以外は正常ということで、項番4、項番7の2つではAP0aでの障害が考えられますが、項番2でコンテナサーバaからping応答がないとありますので、「コンテナサーバa」で障害が発生していると考えられます。
(3) 下線⑧について、表5中の項番4、項番7で障害を検知し、それ以外は正常の場合、どこに障害が発生していると考えられるか
答: WebAPコンテナ(AP0a)
設問4(2)と異なる点は、項番2での障害は検知されていないことです。コンテナサーバaからping応答があるためコンテナサーバaは正常に稼働していると考えられます。項番4、項番7の2つからコンテナサーバaで動作をしている「WebAPコンテナ(AP0a)」での障害が考えられます。
(1) 下線⑨について、WebAPコンテナで動作するAPの動作確認を行うために必要になるテスト用のPCの設定内容をDNS切替えに着目して述べよ
答: APのIPアドレスとFQDNをPCのhostsファイルに記載する
表6の項番4の状態でPCのWebブラウザからAP0(APサーバ)へアクセスを開始すると、PCはDNSを参照してAP0に対応するIPアドレスを返却し、APサーバへ接続します。しかしAPサーバにあったWebAPはコンテナサーバのWebAPコンテナ(AP0a、AP0b)へ移行しているので、接続先のIPアドレスと異なりAPの動作確認ができません。
※DNSレコードがAP0に紐付くIPアドレスがAPサーバからWebAPコンテナ(実際は共用リバースプロキシ)宛てへ書き換わっていないため、このような動作になります。
項番5のDNSの書き換え作業を行う前に動作確認をしたい場合は、PCのシステムファイルの1種であるhostsファイルの記載で対応します。
hostsファイルとは、OSのシステムファイルの1つで、IPアドレスとそれに対応するドメイン名の対応を記述することが可能なファイルです。
このファイル内に、共用リバースプロキシのIPアドレスとAP0のドメイン名を合わせて記載することで、DNS情報を参照せずにドメイン名でWebAPコンテナにアクセスできるようになります。
そのためDNSレコードが切り替わる前の状態で動作確認をすることが可能となります。
WindowsのPCを持っている人はC:\Windows\System32\drivers\etcにhostsファイルがありますのでぜひ確認してみましょう。
(1) 下線⑩について、APサーバ停止前に確認する内容を述べよ
答: APに対するPCからのアクセスがなくなっていることを確認する
PCからAPへアクセスがある状態でAPサーバを停止すると強制的に通信が遮断されトラブルが発生する原因になります。そのためAPサーバを停止する前に「APに対するPCからのアクセスがなくなっていることを確認する」必要があります。<
(2) 下線⑪について、TTLを短くすることによって何がどのように変化するか
答: キャッシュDNSサーバのDNSキャッシュを保持する時間が短くなる
TTLはDNSにおいて、リソースレコードをキャッシュに保持する時間です。
TTLを短くすると移行前~移行時にAPサーバへアクセスしていたキャッシュは短時間で破棄され、WebAPコンテナ宛へのアクセスに切り替わるのが早くなるため並行稼働する期間も短くなります。
(3) 下線⑫について、3パターンそれぞれでAPの動作確認を行う目的を二つ挙げ、それぞれ述べよ
答: WebAPコンテナ2台が正しく構築されたことを確認するため
共用リバースプロキシの設定が正しく行われたことを確認するため
3パターンというのは22ページの下線⑫の次の文に記載のとおり、全て(2台)のWebAPコンテナが正常に動作している場合、1台目のWebAPコンテナが停止している場合、2台目のWebAPコンテナが停止している場合になります。
まず、どちらも正常に動作している場合の動作確認についてです。
2台のWebAPコンテナが正常に動作している状態で、それぞれのWebAPコンテナへアクセスできればWebAPコンテナが正しく構築されているという確認ができます。
次に、片側のWebAPコンテナが停止している場合、1台目を停止させるとAP0aにはアクセスできず、AP0bにはアクセスできるという動作確認ができ、2台目を停止させるとAP0bにはアクセスできず、AP0aにはアクセスできるという動作確認ができます。
このときに共用リバースプロキシの振り分け設定が正しく行われていれば、PCからのリクエストに応じて、アクセスできないWebAPとアクセスできたWebAPが存在することになり、振り分け設定を共用リバースプロキシで設定できているかの確認ができます。
よって解答は「WebAPコンテナ2台が正しく構築されたことを確認するため」、「共用リバースプロキシの設定が正しく行われていること」の2つになります。