越境社内DNSでAkamai化が逆効果になる事象を発見した

-

まさかこんな影響があるとは思わなかった…

サンフランシスコにある私のオフィスから、San Francisco Chronicleという新聞社のWebサイトへのtraceroute結果


ある日のこと、オフィスで仕事をしていて「どうもWebサイトが開くの遅いよな、ウチのオフィス…」とボンヤリ考えていました。

遅いけれども、別に開かないわけじゃない。ちゃんとWebサイトは表示される。でも、画像がちょっとずつ表示されたり(スパっ、と出るのではなく、がっががっ、と出る、と言えば伝わりますでしょうか)、リンクをクリックしてから一瞬、時間にして1.5秒くらいブラウザが考え込んでから次のページのロードが始まったり、といった具合です。

最初は「Wi-Fiが混雑してるんだろうな、どうせ」と思っていましたが、有線LANにしても同じく遅い。これは何かがおかしいぞ、ということで調べてみることにしました。


まずはPingとTracerouteだよね


ネットワークエンジニアとしては、PingとTraceroute。最近はPingに応答しないWebサーバーも増えてきているので、インターネット上のHTTPを調べる時はいきなりTracerouteで途中の経路まで調べるのが私の中で常態化しています。

とりあえず遅いと感じたのが、私の地元にある地方紙新聞のSan Francisco Chronicle。さすがに地方紙だから地元にあるだろう、と思ってTracerouteしてみたら…。


その結果が、冒頭にも掲出したコチラ。

私のオフィスからwww.sfchronicle.comにtracerouteした結果(再掲)

異常が出ていること、お分かりでしょうか?

11ホップ目で、なんと日本のkddi.ne.jpを通っていて、その直前と直後で100ミリ秒(=0.1秒)のレイテンシ差が出ています。

そして最終到達点はAkamai。最初はなんでこんなことになるのか分からなかったのですが、この画像をFacebookにシェアしたところ、友人の一人から「AkamaiのDNSが日本のサーバーのIPを返している、ということだ」とのご指摘。

このご指摘でピンと来ました。これ、原因はウチの社内DNSです。


どういうことか、というと…


セキュリティ的に詳しく書けないので相当模式化していますが、ざっくり絵にするとウチのネットワーク構成はこんな感じです。

今回のケースを説明するための模式図

まず右下が私のオフィスがあるネットワーク。社内ではWindows中心で、Active Directoryによるドメイン管理を行っています。

一方で私のオフィスはまだ規模が小さいため、ドメインコントローラーは日本にあるものを使っています(図の左下)。そして日米間はIPSec VPNで常時結ばれていて、100~300ミリ秒くらいのレイテンシはあるものの安定して日米間接続は稼働しています(図の中央下)。

Windowsドメインでの運用のためには、クライアントPCにDHCPで配布するDNSサーバーはドメコンにする必要があります。このため、すべてのDNS名前解決クエリは日米間VPNを通って日本から解決されます。

これを示しているのが以下の図。

クライアントPCからHTTPアクセスする際のDNS名前解決の模式図

名前解決で普通にアメリカのIPアドレスが帰ってくれば、HTTPリクエストは日米間VPNを通らず、普通に米国側のインターネットアクセスラインから出ていきます。実際、Google関連サービスなんかは(おそらく)その経路。

※GoogleへのTracerouteは経路上のホスト名が出てこず、すべてIPアドレスなので推測しかできないのですが、レイテンシが100ミリ秒以下とあまり大きくないことからまず間違いないです。


一方で、わざわざTracerouteが日本へ抜けているということは、DNS名前解決クエリで戻ってきたIPアドレス(つまりHTTPリクエストを送る先)のサーバーが日本にあるということ。


ここは推測ですが、Akamai化されているWebサーバーのDNSエントリはCNAMEで定義されていて、実態はAkamaiのキャッシュサーバー群に向いている。そしてAkamaiのゾーンオーソリティは、DNSクエリの発信元IPアドレスを元に、そのクエリ発信元にネットワーク的に最も近いキャッシュサーバーのIPアドレスを返しているのではないかというのが私の仮説です。


実際、Akamai社は全世界に20万台を超えるキャッシュサーバーを持っており、そのどれにクライアントからアクセスさせるかがAkamaiの技術のキモであるはず。そのくらいのことはやっていてもおかしくありません。


つまり、Akamai化されているWebサイトへのアクセスは、現状だと全て日本のキャッシュサーバーにデータを取りに行ってしまう。せっかくSan Francisco ChronicleやAppleが見る人にAkamaiで高速化を提供してくれているのに、こちら側のLAN構成によりそれが逆効果になってしまっている、という現象です。


Akamaiの仕様にツベコベいってもしょうがないし、そもそもわざわざ日本のDNSを見に行っているこっちの構成の方がイレギュラーなので、これはまぁ仕方ない。


とはいえWindowsドメインを運用するためには、少なくとも動的DNSを米国側に立てる必要がある。BINDとかで立てても良いが、どうせならドメコンを立てた方が耐障害性も高くなるので好ましい。


解決策は、と言うと…


要するに、こういう構成にする必要があるってこと。

ドメコンを米国側に立てた構成

そしてDNSクエリを模式化した絵がこちら。

米国のドメコンを通じた名前解決の流れ


米国にあるドメコンからAkamaiに対する名前解決クエリが飛ぶので、Akamai DNSが返してくるDNSの期待値は米国にあるAkamaiサーバーのIP。それが返ってくれば、HTTPリクエストもわざわざ日米間トンネルを通ることなく、直接インターネットに出ていくはず。


ドメコン立てるのもカンタンではないので、まだこの構成は試せていませんが、追って対策後についてもブログ記事にまとめてみようと思います。


しかしまぁ、なんというか。


インターネットもずいぶんと複雑化したものですね。AkamaiのようなCDNやらWAPやらIDSやら、セキュリティを高めたり利便性を高めたりするために色々なレイヤーが重なり合って、インターネットが持つ「シンプルさ」はとうの昔に捨て去られた、ということを改めて実感した次第です。


…とはいえ、ドメコンをわざわざ太平洋越しに見に行くようにした私の設計もちょっとどうかとは思いますけどね…。だって運用する時間もなければドメコン立てるような規模でもないんだもん…。







このブログの人気の投稿

ドメイン参加PCで時刻同期先のTime Serverが Local CMOS Clock になってしまった場合の対処方法

-
イメージ
 長らくハマってましたが   ここがLocal CMOS Clockになってしまい、時刻がズレる症状に悩まされ。 会社で使っているWindows PCはほぼすべてActive Directoryに参加させていて、時刻が自動的に同期される設定になるはずなんです。 こちらが正常、というか期待される状態。 一部隠していますが、Time Serverにドメインコントローラーが表示されるのが期待される動作。 調べても w32tm コマンドを使ってゴニョゴニョ したり、 手動でTime Serverをドメコンに指定 させなおしたり、というあたりが引っかかってたんですが、私が遭遇したケースはどちらでも解決せず。 で、ふとこの問題が出るPCのネットワーク設定を見てみたところ、静的IP指定になっているのはいいんですが(これは意図通り)、DNSサーバーがドメコンになっていない。 Ncpa.cpl > ネットワークアダプタを右クリック > Properties > IPv4 > Properties ウチで入れているSD-WANのゲートウェイを向いている。SD-WANにて社外DNSと社内DNSを別々に指定していて、社内DNSの名前解決はちゃんとドメコンに向いているのでDNS的にはこれでも問題なく社内・社外ともに名前解決はできている。 ただ、どうもActive Directoryの動作上はよろしくないようですな。 DNSサーバーにドメコンのIPアドレスを直指定し、しばらく待ったら上記の通りTime Serverにドメコンのうちのひとつが設定され、無事に時刻同期が復活しました。 こんなこともあるんですな。はーやれやれ。 これ、リモートワークとかが進んで、長らくVPNに繋がなかったりすると普通に発生し得るよね。Microsoftさん、何とかしてよ。NTPサーバーは別にドメコンじゃなくても良いでしょうに。
続きを読む

フィットネストラッカーアプリを比較してみた、という話

-
イメージ
意外と差があるもんですね 今回比較するアプリ3種、左からFitbit、Google Fit、Runtastic ちょっと自分の体重…というか腹回りというか首(顔)回りの肉付きが気になってきたので(顔の肉ってどうやって落とすんじゃー!)、多少ムリヤリにでも全体的に脂肪を落とそうと決意。 せっかくですから、楽しみながら、時には目的と手段を意図的に入れ替えながら、ガジェットやらスマホアプリやらで遊んでみよう、と思い立ち、いろいろ調べてみました。 今回はその中から、特に外部ツール無しでも使えるフィットネストラッカーアプリを比較しての考察についてまとめてみます。対象としたのは以下3つのアプリ。「なぜこの3つ?」と聞かれるとあまり考えていないのですが、Fitbit / Google FitはGoogle Playで検索した上位2つ、Runtasticは日本の友人たちが使っていたから、というだけの理由です。 Fitbit - Android版 / iPhone版 基本的には対応リストバンド/デバイスの存在が前提のアプリですが、基本的な機能はそれなしでも使えるようです。セットアップ時にすっ飛ばせます。 Google Fit - Android版 Google謹製のフィットネストラッカーアプリ。Fitbitをはじめ外部デバイスにも対応、もちろんそれらなしでAndroidスマートフォン単体でも十分な機能を使えます。UIがGoogleのMaterial Designベースで、GmailのInboxアプリと似た使い勝手で心地よいです。 Runtastic - Android版 / iPhone版 フィットネストラッカーとしては割と老舗の部類じゃないかと思います。どちらかというと友人たちとの共有や連携が強い印象、一部の機能は有料版のみサポートです。 いきなり比較表 まどろっこしいことは嫌いな私なので、いきなり一覧表に行きます。◎は完璧、○は実用上問題ないけどもう一工夫欲しい、▲はイマイチ、空欄は未対応です。 各アプリの機能比較 2016/03/20時点の最新版をベースに比較しています Fitbit Google...
続きを読む

カリフォルニアでREAL IDを申し込んでみた(後日談追記)

-
イメージ
※2018年12月21日 後日談 を追記しました。 申し込みは意外にあっさりと San JoseのSenser RdにあるCalifornia DMV DLPCにて 戸籍制度のないアメリカでは、Drivers License つまり自動車運転免許証が事実上の身分証明書扱いになっていて、米国内においては外国人(米国を訪問する人)にとってのパスポートと同等程度の効力を発揮します。 米国内の国内線航空便に乗る際の身分証明として お酒を買う際の年齢証明として ホテルにチェックインする際の身分証明として クレジットカード使用時の正当な所有者であることの証明として ところが、過去カリフォルニアを含むいくつかの州では、不法移民であっても州内に在住していれば、運転免許証を取得できるルールになっていたようです。 9.11同時多発テロ以降、安全対策強化を進めてきた米国連邦政府は最近になっていよいよその対策を実行に移してきており、2020年10月以降、国内線航空便に乗る際など特定のシーンにおいては、REAL IDという基準を満たした運転免許証でないと身分を証明できないことになりました。 このあたりの経緯は、 JETROサンフランシスコ事務所が出しているリアルIDの記事 が大変参考になります。 国内線搭乗にあたっては、政府機関発行のパスポート(米国以外を含む)でも大丈夫なようですが、私のように飛行機に乗る出張が多いと、その都度パスポートを持ち歩くのも正直不安です。なくしたら再発行手続きが運転免許証よりはるかに大変。 ちょうど私が持っているカリフォルニア州発行の運転免許証の有効期限が2018年10月で切れるので、話のタネに、とREAL IDを申請してきました。その顛末をまとめておきたいと思います。 全体の流れ 流れは大まかに以下のようになります。 更新通知の手紙を受け取る(DMVはこの手紙の発送を保証しない、つまり届かなくても文句は言えないようなのですが) DMVのWebサイトで事前に必要情報を入力しておく(更新当日にDMVのオフィスでも入力できるようですが、事前にやっておいた方が圧倒的にラク) 出来れば予約を取る(更新当日の待ち時間が短くなりやすいようです) 書類を事前に用意する(超重要) DMVオフ...
続きを読む