IDCFクラウドを触ってみたメモ
IDCFクラウド http://www.idcf.jp/cloud/ という新し目?のサービスを少し触ってみた。
仮想化
ネットワーク周り
仮想マシンは全てプライベートIPなVLANに接続されている。 IPアドレス範囲は10.0.0.0/8から/21が割り当てられ変更できないので、既に使っている場合はコンフリクトに注意。
IPv6は非対応で、ドキュメントやFAQで触れてないあたり、将来対応する予定も無いようだ。
内向き接続(DNAT)
初期割り当てのIPアドレスでポートフォワード
。
追加購入したIPアドレスでは加えてスタティックNAT
を設定できる。
ポートフォワード
と呼ばれているDNAPT機能では、NAT可能なのはTCPとUDPのみ。つまりICMPなど他のL4プロトコルは通せない。
追加購入したIPアドレスのみ、スタティックNAT
という名前でL3アドレス変換のみを行うDNATに設定できるようだ。
デフォルトでファイアーウォールが有効で全拒否設定になっているので、pingも帰ってこない。TCP・UDP・ICMPポートとIPアドレス範囲で設定ができる。他のL4プロトコルは通せない。
キャリアグレードNATが幅広く導入されてしまった原状、通常のクライアント相手のサービスはTCPとUDPしか選択肢が無いのでまあ十分か。
外向き接続(SNAT)
外向き接続は全て初期割り当てのIPアドレス一つからSNAPTされて出ることになる。追加IPアドレスからは外向き接続はできないようなので、メールサーバAPI制限などを理由にソースIPアドレスを分散したいような用向きには使えない。
追加IPアドレスをスタティックNAT
で固定割り当てすると、SNAT時に追加IPアドレスが優先されるとのこと。(http://www.idcf.jp/cloud/faq/nw_007.html)
外向きSNAPTはTCP・UDP・ICMPは通してくれるようだけれど、他のL4プロトコルを使う外部サービスが利用できない。VPNもover UDP/TCPのものを選択せざるをえない。
He.netのようなProto-41 IPv6トンネルを使えないため、IPv6対応するのが難しくなるのが個人的にはマイナス。
ぱっと見た限りSNATポート範囲は32768以降のようだ。大量のセッションを張ったらどうなるか、あるいは利用規約上大丈夫なのかは不明。要検証。
ネットワークベンチ結果はアカウント作成直後なので制限されているのかもしれない。
$ speedtest-cli Retrieving speedtest.net configuration... Retrieving speedtest.net server list... Testing from SOFTBANK IDC Corp. (210.140.77.228)... Selecting best server based on latency... Hosted by Telin (Tokyo) [6.97 km]: 6.883 ms Testing download speed........................................ Download: 389.43 Mbit/s Testing upload speed.................................................. Upload: 25.99 Mbit/s
ロードバランサ
仮想ルータのDNATがロードバランサを兼ねているようでTCP/HTTPを振り分け可能。
外部からのアクセスをファイアーウォール機能で制限すれば、VLAN内からでもRDBサーバなどの分散にも使える模様。
ストレージ
ルートパーティションは15GB固定の仮想ボリュームとしてOSテンプレートが用意されている。追加ストレージは仮想ボリュームを作成して追加マウントする。
ddで100~200MB/s程度なので、ストレージはSSDではなさそうだけれど十分。
CentOSイメージを見たところ、VMwareのツールが入ってたりデフォルトでpostfixが立ち上がってたり、ログインバナーが入ってたりするくらいか。
IPv6は無効化されていなかったので、意図しないLAN内からのアクセス制限回避に注意。
ISO持ち込みは可能だが、FAQを見る限りserverライセンスでないwindowsはアクセス制限していても禁止の模様。艦これ勢は涙目?
スナップショットとHA
実行中にスナップショットが使えて仮想マシンの複製もできるようだ。
HW障害時は自動フェイルオーバーしてくれるようだが、障害時にどこまで同期されているのか記載が無い。
VMwareのHAそのままならクラッシュ時点のディスクイメージからそのまま再起動と思われる。再起動時にfsckやDBのリプレイが走るだろうから数分くらいはかかりそう。
作成自動化
仮想マシン作成時にSSHキーを追加してくれる機能くらい。 あとはスナップショットからコピーするくらいか。
ただしマシン作成時にSSHキーを設定してもrootパスワード生成は普通に生成され平文メールで送られてくるし、sshd_configが書き換わっているわけでは無さそうなので無効化は必須。
UIコンソール
二段階認証あり。ログイン通知はないけれどアカウントの設定変更・マシン作成通知などはメールで来る。
細かい操作一つ一つにモーダルダイアログ、確認ボタンが表示されるあたり、利便性や可視性より誤操作を防ぎたい感じをうける。
全体をみて
基本的に単一VLAN内の数個のインスタンスで完結する標準的なサービス(ウェブアプリとか)を、簡単に構築したい向け。
最小構成は個人向けも意識した価格設定だけど、VPNでIPv6通したいとかネットワークを細かく弄りたい人は普通にVPS使った方が良さそう。ほかのクラウドもそういうところあるけど。
(修正 2015/06/29 ソースIPアドレスは変更可能な旨、IDCFのサポートアカウントから指摘いただいたので訂正)