クラウドサーバと結ぶVPN環境を「OpenVPN」で構築する(前編):DRBDの仕組みを学ぶ(8)(3/3 ページ)
万一の時にも、業務に影響を与えない/自動的に復旧することを目指す「災害対策システム」。今回はオープンソースのVPNソフトウェア「OpenVPN」を使い、遠隔地のサーバとのVPN環境を構築する具体的な方法を説明します。
OpenVPNの設定ファイルを準備する
OpenVPNの設定ファイルを編集します。一号機は「/etc/openvpn/server.conf」を、二号機は「/etc/openvpn/client.conf」の内容を修正します。
一号機(VPNサーバ)の設定
設定ファイルをviエディタなどで編集します。
「/etc/openvpn/server.conf」ファイルは行数が多いので、今回は変更が必要な項目と重要な項目を抜粋して解説します。なお、示した行番号は「OpenVPN 2.3.10」の設定ファイルを元にしています。今後、行番号と記述に相違が生じる可能性もありますが、その場合は、解説内容と付け合わせながら修正してください。なお、viエディタでは、ファイルを開いた後に「: set number」と入力することで行番号が表示されます。
- 32行目:使用するポート番号を指定します。
port 1194
- 36行目:使用するプロトコルを指定します。
proto udp
- 53行目:使用するデバイス名を指定します。
dev tun0
- 78〜80行目:CA証明書とサーバの証明書および秘密鍵の場所を指定します。
ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key
- 85行目:DHパラメーターの場所を指定します。
dh /etc/openvpn/keys/dh2048.pem
- 101行目:構築するVPN環境のネットワークを指定します。この設定で「10.0.0.0〜10.0.0.255」まで使用可能になります。
server 10.0.0.0 255.255.255.0
- 155行目:VPN用に使うIPアドレスを固定すると指定します。固定するIPアドレスの文字列は後ほど記述します。
client-config-dir /etc/openvpn/keys/ccd
- 231行目:VPN接続が有効であるか確認するための記述です。ここでは、10秒に1回確認し、120秒経過して接続が確認できない場合はダウンしたと判断する設定としました。
keepalive 10 120
- 244行目:TLS認証鍵の場所を指定します。
tls-auth /etc/openvpn/keys/ta.key 0
- 256行目:圧縮を有効にする設定を記述します。
comp-lzo
- 267〜268行目:セキュリティを強化するための権限設定を記述します。
user nobody group nobody
- 299〜301行目:ログレベルとログの場所を指定します。
verb 4 status /var/log/openvpn-status.log
以上で「/etc/openvpn/server.conf」の修正は完了です。最後に、155行目で設定した「client-config-dir」の中に、VPN用固定IPアドレスを指定する設定ファイルを作成します。
# mkdir -p /etc/openvpn/keys/ccd # cd /etc/openvpn/keys/ccd
# vi client ifconfig-push 10.0.0.2 10.0.0.1
これで一号機のOpenVPNの設定は完了です。
後編では、二号機の設定も同様に行い、VPN環境を実際に動作させるまでのテクニックを紹介します。
筆者紹介
澤田健(さわだ けん)
さまざまなIT関連業務経験ののちに2013年よりインフラエンジニアとしての業務に携わる。また、DRBDを始めとするオープンソースソフトウェアのサポート業務にも携わっている。ツイッターでDRBDの情報発信も行っている。TwitterID:@ksawada1979。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
障害時にサブサーバへ自動で切り替える「高可用性WordPressシステム」の作り方 前編
サービスを止めてはならない環境で活躍する冗長化支援ツール「DRBD」。今回は、CMSツールとして多くのWebサイトで利用されている「WordPressサーバ」の高可用性をDRBDで確保する方法を解説します。前編は、必要なソフトウェアのインストールと初期設定までを説明します。
DRBD(Distributed Replicated Block Device)とは何か
障害監視ツールなどと一緒に使うことで、サービスの継続提供を助けるDRBD。Linuxカーネルに統合されている機能ですが、上手に使いこなしているでしょうか? 本連載では、DRBDの動作や使いどころを順を追って紹介していきます。
ミラーリングツール「DRBD」によるデータ保護
「Heartbeat」の適切な導入によってHAクラスタを構成し、Linux上で動作しているサービスの可用性を上げることができます。続いて、肝心のデータそのものを保護できるツール「DRBD」について紹介しましょう。
ここが変わったCentOS 7──「新機能の概要とインストール」編
「CentOS 7」を皆さんどれだけ理解していますでしょうか。CentOS 7は、以前のバージョンから使い勝手がかなり変わりました。本連載では、今さら聞けない/おさらいしたいというインフラエンジニアに向け、CentOS 7の概要と基礎から活用Tipsまでを紹介していきます。- DRBD+iSCSI夢の共演(前編)〜 Windowsドライブをミラーリングで保護 〜
Linux上で動作するオープンソースソフトウエア「DRBD」とiSCSIを組み合わせ、部門内のWindows端末のデータをバックアップするシステムを構築してみよう - OSSとLinuxで高可用システム構築を支援、サードウェア
- Sambaサーバー構築、5つのべからず− 若葉マーク管理者に捧げる
LinuxやUNIXをWindowsのファイルサーバー/プリントサーバーとしてしまうことができる「Samba」は、手軽にファイル共有環境を構築することができ、サーバー管理入門にもぴったりです。インターネット上の関連情報も豊富ですが、しっかり出所を確かめないと誤った設定を招く恐れがあります。