2015年3月27日金曜日

SoftLayer TTT: Fundamentalsの内容

SoftLayer TTT: Fundamentals」の続きです。

2日間の教育コース「SoftLayer Fundamentals」では、SoftLayerというIaaSクラウドサービスを使ってシステムを構築します。

エミュレータではなく、本物のSoftLayer環境を使うので、チャットなどのサポートもそのまま使えます。実際、講習中に仮想マシンがなかなか構成できないというトラブルがあり、サポートに問い合わせることになりました。

これがいいことかどうかは分かりませんが、無料のサポートはSoftLayerの大きな特徴なので、気軽に使ってもらっていいと思います。ちょっとしたことは、悩んでいるよりも聞いた方が早いでしょう。

ただし、今のところ日本語チャットはビジネスアワーのみですし、チケットによるサポートは英語で行った方が無難です。返事を見ると、明らかに日本人の名前のこともありますが、日本語での対応はしてないようです。

受講者には、演習環境として、以下のコンポーネントが割り当てられます。

  • デモ用ベアメタルサーバー(講師用)
  • Windows Server 2008 R2仮想マシンテンプレート
    (Webサーバー2種類、DBサーバー、アプリケーションサーバー、講師用)
  • 演習用VLAN(受講生分)
  • ファイアウォール(受講生分)
  • ストレージ
    (受講生分のiSCSIブロックストレージ、ファイルサーバー1台)

受講者の権利は制限されている他、講師用のアカウントにも一部の制限があります。

テキストの最初には、コースの目標が書いてありました。

  • IaaSを使ったシステム構築
    Compute、Storage、Networkの各要素や、セキュリティ、監視、管理など
  • 講義と演習の流れ
    Learn (基礎知識を得る)
    Apply (応用分野を考える)
    Try (実際に試してみる)

「知る→考える→試す」は、大事な学習サイクルですから、とくに強調してあります。

Cycle

ただし「考える」部分は十分な時間が取れないかもしれません。英語版で350ページの内容があります。一般に、講義のみの場合で1日あたり100ページから150ページくらいが一般的ですので、2日で350ページというのは相当な分量です。日本語になるとさらにページが増えることが多いようです。

しかも、演習は全部で8時間くらいかかります。通常の講習時間よりも1時間延長して9:30~17:30にしていますが、それでも十分な時間とは言えません。資料的なページや、あとで読めば十分な内容は飛ばしながら進めていく予定です。

なお、演習は仮想マシンテンプレートを使ったオートスケールや、データベースサーバーにストレージを追加する作業は行いますが、実際のコードを動かすまでには至りません(演習用仮想マシンにコードは含まれていません)。今回は、システム構成をするまでが目標であり、実際にプログラムを動かすところは目標ではないからです。

SoftLayerのユーザーは、LinuxもWindowsも使うと思いますが、演習で使うのはすべてWindows Server 2008 R2英語版です(幸い、キーボードは日本語キーボードを自動的に認識し、正しい配列で使えます)。WindowsユーザーがLinuxのコマンドラインを使うのは結構大変ですが、LinuxユーザーはコマンドにもGUIにも慣れているため、演習を勧めやすいためだと思われます。

TTTでは受講者がPCを持ち込みましたが、グローバルナレッジが提供する教育コースでは1人1台のPCを用意しました。席に余裕があれば、テキストの参照専用にもう1台用意するつもりです(テキストはすべて電子版です)。

演習PCは、Windows 8.1 Updateに重要な修正プログラムを当てたものをスタンドアロン環境で使います。また、ブラウザはInternet Explorerの他、Firefoxが使えるようにしてあります。VPN接続を行うためには、この2種のいずれかが必要なためです。

2015年3月26日木曜日

SoftLayer TTT: Fundamentals

SoftLayerのTTTに行ってきました。TTT(Train the Trainer: 講師向け研修)については「SoftLayer TTT: はじめに」をお読みください。

最初の2日は「SoftLayer Fundamentals」です。こちらは純粋なTTTで、参加者4人は全員トレーナ、米国から2人、コスタリカから1人、日本から1人(私)です。

TTTと言っても、基本的には通常の教育コースと同じように進行します。ただし、演習で引っかかりやすいポイントなんかも示してくれるのはTTTらしいところです。

演習は、持ち込みPCを教室のネットワークにWiFiで接続します。昨年、Microsoft Azureの研修を受けたときもそうでした。そして、どちらも「PCを持ってこい」とは書いていません。いまや、PCを持ち込むのは当然なのでしょうか。

日本でも、IBMがSoftLayerの研修をしていたときは「PCを持ってきてください」というアナウンスがありました。AWS(Amazon Web Services)のセミナーはもっと厳しくて「TeraTermをインストールしてきてください」と言われました。

ちなみに、SoftLayerはタブレット用やスマートフォン用の管理ツールもあります(Android用iPad/iPhone用もあります)。タブレットから使うなら、こちらが便利でしょう。

IMG_2175
▲iPhoneで動くSoftLayerの管理ツール

もちろん、我々教育ベンダーが実施する場合は、こちらでPCを用意します。しかし、将来的には、もしかしたらお客様に端末を持ち込んでもらうことになるかもしれません。

ちなみに、AWSのコースではSSH接続可能なクライアントが必要ですし、Microsoft Azureのコースでは自己署名証明書を作る機能が必要です。SoftLayerのコースは、リモートデスクトップクライアントやVNCが必要ですし、VPNを張るのにもPCが必要です。いずれも、タブレット用のアプリケーションも出ていますが、演習ガイド通りというわけにはいきません。

初日は通常のスケジュールで進んだのですが、1つだけ宿題演習が出ました。演習は本物のSoftLayerを使うので、深夜でも自習ができます。いいのか悪いのかは分かりませんが。

ただし、「スケジュール通り」といっても、朝8時半から夕方6時半まで、昼食はサンドイッチを教室で食べました。米国人はだいたい朝が早いですし「時差ぼけがあるから、朝早い方がいいでしょう」と私に対する配慮もありました。

2日目は、時間が足りなくなって、ほぼすべての演習を飛ばしてしまいました。さすがに早めに終わりましたが、TTTで演習せずに帰るわけにはいきません。翌日に持ち越しとなりました。

20150221_184409000_iOS (800x598)
▲飛行機は往復ともにボーイング787でした。
シアトルのボーイング博物館の見学コースで、ANA向けに製造中の787を見ました。
エコノミークラスでしたが、快適でした。

2015年3月24日火曜日

SoftLayer TTT: 成人教育の原則

SoftLayerの「Train the trainer (TTT)」を受講してきた話の続きです。

日本から米国への便は、基本的に午後に出発し、当日の朝に着きます(時差のためです)。サンノゼ空港に着いたのは10:00頃だったでしょうか。

ホテルまでタクシーに乗り($25フラットレート)、時差ぼけ解消を兼ねて散歩に出ました。公園にはリスがいました。北米ではありふれた光景で、珍しくもありませんが、写真を載せておきます。

DSC01997SDSC01998S

TTT会場は、グローバルナレッジネットワークの施設です。コーヒー、紅茶は無料、さらに簡単な朝食が用意してありました。泊まっていたホテルは朝食料金が含まれていたので、私はホテルで食べました。米国では、トレーニングセンターが朝食を出すのが一般的で、マイクロソフト社内で開催されたトレーニングや、さまざまな技術イベントでも無料の朝食が提供されています。

テキストはUSレターサイズ(ほぼA4)、3穴のバインダーに綴じられています。会社が米国系だった時代を思い、ちょっと懐かしかったのですが、このバインダーが大変大きくて邪魔。帰国後にキンコーズで製本してもらいました。学生の頃は背表紙になる部分に糸鋸で溝を切り、木工用ボンドを使って自分で製本していたのですが、もうそんな元気はありません。

テキストとは別に、「SoftLayer Course Instructor Best Practice」というプリントが配られました。そこには「成人教育(Adult Learning)の原則」が記載されていました。

こうした原則は、SoftLayerに限らない話です。一般的に言われる「成人学習の5原則」と重複する部分もありますが、トレーナに向けてもっとストレートなアドバイスもあります。

  1. 成人の学習者は、欲しいものを望んでいる(目的がはっきりしている)
  2. 成人の学習者は、自分の経験が尊重されること望んでいる
  3. 成人の学習者は、問題に対する解答を求める
  4. 成人の学習者は、学習に即効性を求める
  5. 成人の学習者は、新しい技術の習得に時間がかかる(自尊心を傷つけない)
  6. 成人の学習者は、つまらないと出ていく

結構ストレートですね。

ちなみに「成人学習の原則」については、グローバルナレッジの「トレイン・ザ・トレーナー」でももちろん取り入れています。

その他、コース運営についての一般的な注意が書いてありました。

テキストはもちろん英語ですが、日本で開催されるコースについては日本語化されますSoftLayerのコーステキストは日本語です。大事なことなので2回書きました。

日本語テキストはまだ完成していないので、翻訳品質はまだ何とも言えませんが、いいものになっていることを期待しています。

もう一度書きますが、英語以外で提供されるのは、日本語だけです。東京データセンターといい、IBMが日本市場をいかに大切にしているかの表れですね。

SoftLayerの大きな特徴に、チャットによるサポートがありますが、これもビジネスアワーだけとは言え日本語が使えます。

SL2
▲SoftLayerの管理Webサイトにある日本語チャットメニュー

今回のTTTにはコスタリカから来た人がいました。コスタリカでは、コースは通常スペイン語(日常的に使われている言語)ですが、テキストは英語が多いそうです。「学校では英語も併用しているので、大きな問題はないが、そりゃスペイン語(母語)の方がいいよね」という話をしていました。

もっとも、そんなに「日本人は英語ができない」と思われているのかと、ちょっと複雑な気分でもあります。私も含めて、実際そうなんですけど。

2015年3月23日月曜日

SoftLayer TTT: はじめに

「TTT」というのをご存じでしょうか。トレーニング業界でよく使う略称で「train the trainer」つまり「トレーナーのためのトレーニング」という意味です。

TTTには、一般的な講師養成トレーニングと、特定の技術コースの講師向けトレーニングがあり、どちらもTTTと呼ばれます。

グローバルナレッジが行っている「トレイン・ザ・トレーナー ~研修講師養成講座~」は、一般的な講師養成講座ですので、ジャンルを問わず多くのお客様が同じクラスに参加します。

一方、特定の技術コースに対するTTTは一般公募されないのが普通なので、多くの方には馴染みがないかもしれません。

TTTは、教育コース設計者(SME: Subject-matter expert)が、トレーナ向けに実施します。そのため、募集もトレーナ専用のメーリングリストや、トレーニングセンター向けの告知媒体が使われます。

内容は、技術研修が中心ですが、失敗しやすい演習のポイントや、質問が多く出そうなポイントなども教えてもらえます。

4月から実施するIBM SoftLayerのTTTは、米カリフォルニア州、シリコンバレイにあるグローバルナレッジネットワークのサンノゼ教育センターで開催されました。実際は、サンノゼではなく、隣接するサンタクララです。あのあたりは(米国全般にそうなんですが)小さな市が多く、私が泊まったホテルもサニーベールという別の市だったくらいです。一般には、あのあたり一帯を「サンノゼ」と呼ぶようです。

サンノゼは、私が初めて海外出張に行った場所で、実に25年ぶりの訪問です。前回は、ボストン郊外にあるところで5日間のトレーニングを受け、週末に米国大陸を横断し、さらに5日間のトレーニングを受けました。

以前のサンノゼ空港は非常に小さく、タラップで飛行機から降りたくらいです。日本から直接行くなら、サンフランシスコからタクシーで1時間というところでしょうか。

今回は、ANAのサンノゼ直行便を使いました。タクシーの運転手さんに聞いたら、数年前にリニューアルしたそうです。

まだまだ拡張中のようです。帰りに免税店の場所を聞いたら「まだオープンしていない」というので「いつ(何時に)オープンするの?」「6月」と言われました。私は時刻のことを聞いたんですが、日程の問題だったようです。「ちょっと遅すぎる」と言ったら「次来たら開いてるよ」と言われました。

前回の出張では車を借りたのですが、今回は借りませんでした。レンタカーも結構高いですし、ホテルからトレーニング会場までは3Kmくらいですから、タクシーですぐです(もっとも、流しのタクシーは皆無なので電話して呼ぶ必要があります)。

今回は、前夜に受講者と講師の懇親会があったと、初日は全員がホテルのロビーに集合し、車を持っている人に便乗したことから、その流れで毎日乗せてもらいました。だいたい半分くらいの人が車を借りていなかったようです。昔は大半の人が車を借りたものですが、時代も変わったのでしょうか。

指定のホテルはレジデンスタイプで、(1人で泊まるには)無駄に広く、キッチン、冷蔵庫、電子レンジ、IHレンジ、オーブン、食器洗い機が完備しています。米国のキッチンは、日本の魚焼きグリルと同じ感覚で食器洗い機とオーブンが組み込まれています。

米国の料理はご存じの通りの味ですが、野菜など素材はとてもいいので、自分で料理するのも魅力的な選択肢です。ただ、車がないと近くのスーパーにもいけません。タクシーで行く手もありますし、「5マイル以内無料バス」というホテルのサービスもあったのですが、毎夜TTTの復習をしていたこともあって今回は諦めました。

長くなってしまいました。本題であるSoftLayerのTTTについての内容は次回。

20150215_185921000_iOS
▲2階建ての客室棟、私は1階でした

20150215_185808000_iOS
▲無駄に広いキッチン、何人かで泊まるならいいのですが

2015年3月10日火曜日

もう1つのIaaS: SoftLayerはじめました

クラウドコンピューティングとして提供される仮想マシン(IaaS)の多くは、ネットワークカードを1つしか持っていません。

オプションで追加できる場合もありますが、通常のネットワーク(パブリックネットワーク)に接続することに変わりはありません。管理者は、外部からの着信を禁止したり、クラウド内に独自のネットワークを作ったりすることで、複数のネットワークを実現しています。

オンプレミスのサーバーでは、むしろ複数ネットワークを構成する方が普通です(図)。多くの場合、サービスを提供する「パブリックネットワーク」、システム管理のみを行う「管理用(プライベート)ネットワーク」、そしてストレージを接続する「ストレージネットワーク」を用意します。

クラウドネットワーク

多くのIaaSクラウドサービスは、仮想マシンとして提供されるため、管理用ネットワークを必要としません。また、iSCSIなどを使ったストレージ専用ネットワークも提供しません。

しかし、オンプレミスからの移行を考えると、複数のネットワークがあった方が便利です。

昨年12月に東京データセンターがオープンしたIBM SoftLayerは、「3ネットワークアーキテクチャ」を採用し、サーバーは原則として以下の3本のネットワークを持ちます。

  • パブリックネットワーク
  • プライネートネットワーク
  • 管理ネットワーク

パブリックネットワークは、サーバーがサービスを提供するために利用するネットワークで、最も一般的な構成です。

プライベートネットワークは、SoftLayerが提供するiSCSIデバイスへのアクセスに使われる他、サーバー間通信でも利用されます。

SoftLayerが持つ世界中のデータセンターは、相互に高速な回線で接続されており、SoftLayer利用者は無償で自由に利用できます。たとえば、日米間にサーバーを配置し、コンテンツの複製が無償で可能です。

管理ネットワークは、以下のいずれかの形態で提供され、いずれもプライベートネットワークと直接通信が可能です。

  • 仮想マシンの場合…VPN接続
  • 物理マシンの場合…専用のネットワーク

SoftLayerは、単に時間課金の仮想マシンだけでなく、物理マシンを丸ごと時間課金で使用できます(ベアメタルサーバー)。また、物理マシンを固定して仮想マシンを配置することもできます(占有型仮想マシン)。

ベアメタルサーバーの管理用ネットワークは、マザーボードの専用ポートに接続され、Javaベースのアプリケーションから接続できます。VMware ESXのライセンス付きのサービスも用意されているため、SoftLayerを使ってVMware上の仮想マシンを使うこともできます(SoftLayerのネイティブ仮想マシンンは、AWSと同じくXenです)。

このように、SoftLayerは、サーバー構成がオンプレミスの構成に近く、オンプレミスからの移行に最適です。

グローバルナレッジでは、4月からSoftLayerの研修を開始します。パブリッククラウドのIaaSとしては、Amazon Web ServicesやMicrosoft Azureが有名ですが、IBM SoftLayerも検討してみてください。

ところで、SoftLayerは、3つのネットワークに固有の色を割り当てています。

  • パブリックネットワーク…赤
  • プライネートネットワーク…青
  • 管理ネットワーク…緑

SoftLayerのコースを担当した米国人講師によると「ホワイトボード用のマーカーとして常備されている色だから」ということでした。

もちろん実際は逆で、印象に残る3つの色が赤青緑(光の三原色)で、それにあわせてマーカーもSoftLayerも色を決めたのでしょう。

2015年3月6日金曜日

VDI仮想マシンの再作成

VDI(Virtual Desktop Infrastructure)は、クライアントPCを仮想マシンとして構成し、外部からリモートデスクトップ接続するサービスです。

Windows Server 2012では、VDI環境が大幅に強化され、Windows Server 2008 R2に比べて圧倒的に簡単になりました。

VDI
▲「マイクロソフトデスクトップ仮想化ソリューション」テキストより

VDIには、個人ごとに1台の仮想マシンを固定する「個人用仮想デスクトップ」と、一定台数の仮想マシンを使い回す(たとえば、10台あれば先着10人が使えて、誰かがログオフすれば他の人が使える)「プールされた仮想デスクトップ」があります。

プールされた仮想デスクトップ」は、誰が使っても同じ環境になるように、全仮想マシンを同時に更新する仕組みが用意されています(実際には更新ではなくて、入れ換え)。

入れ替えのタイミングは、以下の2種類が選択できます。

  • ユーザーが仮想デスクトップからログオフするとき
  • スケジュールに基づく

VDI-UPDATE

ユーザーが仮想デスクトップからログオフするとき

開始時刻と終了時刻を指定し、この範囲で入れ替えを行います。開始時刻を現在時刻よりも前に設定すれば、即座に更新が始まります。

終了時刻の扱いについて、具体的な動作を記述したドキュメントが見当たらないので、実際に試してみました。システムに負荷をかけないように、指定された時刻の範囲で徐々に更新されていくようですが、即座に更新されることもありました。

ただし、ログオン中の仮想デスクトップマシンは、ユーザーがログオフするまで更新は行われません。指定された終了時刻を過ぎていても、ログオフすれば更新が始まります。

スケジュールに基づく

ログオン中のユーザーがいても、強制ログオフして更新を行います。

こちらは、今すぐ実行するか、更新予定時刻を指定するか、どちらかを選びます。

なお、テンプレートとなる仮想マシンにはスナップショットがあっても構いません。仮想マシンに展開するときにスナップショットが統合されます。

更新時は、大量のファイルコピーが発生しますが、Windows Server 2012のオフロードデータ転送(ODX)に対応したストレージデバイスを使う場合は、LANではなくSAN内でデータ転送を行えるため、大幅に速度が向上する場合があります。

2015年3月3日火曜日

リモートデスクトップ接続ファイルの電子署名

リモートデスクトップサービスに接続するための情報を保存したテキストファイル(RDP)は、改ざん防止のため電子署名を追加できます。

RDPファイルは、リモートデスクトップ接続クライアントで[オプション表示]を行うことで保存できます。

RDP

RDPファイルに接続先ホスト名まで保存しておけば、ダブルクリックするだけでホストに接続できます。

しかし、システム管理者が「ここに接続してね」と配布したRDPファイルを使ってみたら、接続先で個人情報を聞かれた、実はRDPファイルは改ざんされており、本来の接続先とは違うホストにつながるようになっていたらどうでしょう。かなり危険な状態になります。

RDPファイルに電子署名を付けることで、こうした危険性に気付きやすくなります。

▼署名なしのRDPファイルを実行した場合
署名なし

いかにも怪しそうです。

▼署名付きのRDPファイルの場合
署名あり

だいぶいい感じです。

署名付きRDPファイルの中身を直接書き換えてみます。

▼RDPファイルの接続先をメモ帳で変更
改ざん

エラーになりました。ただし、セキュリティ上問題ない変更については警告は出ないみたいです。

RDPファイルの署名手順は意外に知られていないので紹介します。

基本的な作業は以下の3ステップです。

  1. 証明書のインストール
  2. 証明書の拇印(Thumbprint)の取得
  3. RDPファイルに署名

1. 証明書のインストール

まず、RDPファイルに署名作業を行うコンピュータに電子証明書をインストールします。信頼できるコンピュータであれば何でも構いません。

2. 証明書の拇印(Thumbprint)の取得

次に、[証明書]の管理ツールを構成します。

  1. MMCコマンドを実行
  2. [ファイル]メニューから[スナップインの追加と削除]を選択 (またはCtrl-M)
  3. [証明書]スナップインを選択した[追加]をクリック
  4. [コンピューターアカウント]を選択して[次へ]をクリック
  5. [ローカルコンピューター]を選択して[完了]をクリック
  6. [OK]をクリック

次に、自分のコンピュータの証明書に含まれる「拇印(Thumbprint)」を取得します。

  1. [コンソールルート]-[証明書(ローカルコンピューター)]-[個人]-[証明書]を展開
  2. 自分のコンピューターをダブルクリック
  3. [詳細]タブを選択
  4. 一番下にある[拇印]を選択
  5. 拇印を選択し、Ctrl-Cでクリップボードにコピー(右クリックメニューは出ない)

コピーした拇印からスペースを取り除きすべて大文字にします。大文字しか受け付けないことはヘルプなどに記載されていないので注意してください。

PowerShellを使うことで、この作業を自動化できます。

【実行例】
$tp = "fc ff 52 c9 05 f9 ac b0 f0 86 6f f1 ad 4f ee ca ee 6b 0a 9b"
$tp = $tp.ToUpper().Replace(" ","")

赤字は実際の拇印に置き換えてください。

3. RDPファイルに署名

最後に、以下のコマンドを実行して、RDPファイルに署名を追加します(管理者権限が必要です)。

rdpsign /sha1 スペースを除いて大文字に変換した拇印 RDPファイル /v
(/vは詳細表示オプション)

【実行例】
rdpsign /sha1 FCFF<<中略>>0A9B  default.rdp /v