検索:

中国ネットワークトラブルの不思議

しばらく日本におりましたが、今週始めに上海入りしました。
早速お客様オフィス引っ越し作業があるので現場に駆けつけます。
毎度のことですが、今回もトラブル発生率100%間違い無しの予感がします。

インターネット回線ですが、サーバーラックには光ケーブルが来ており
光終端装置に接続されております。そこからお客様のFirewallに接続…
ではなく謎の「黒い箱」に接続されております。なんだかイヤな予感です。

回線の契約は複数のグローバル固定IPアドレスですので
おそらくルーターではないかと予想されます。その下にお客様のFirewallが
接続という一般的な構成です。それにしても気になります「黒い箱」の
存在が…Firewallのような気もします。通信会社に「この黒い箱要りません。
弊社でルーター用意するので設定情報教えてください」と言ったら
もちろん…「ダメです」と即答されてしまいました。

交渉しても時間がかかりそうなので「黒い箱」の存在は気にせず
ネットワークの確認作業をすることにしました。
WAN側のIPアドレスが変わるだけですので、それほど難しい作業ではありません。
がしかし何かヘンです。

お客様のネットワークと弊社データセンターをVPNで接続しておりますが、
VPN通信の「一部」がたまに切れます。VPNセッションを強制的に再接続すると
たまに復旧することがあります。以前はADSL回線でしたがこのような
現象はありませんでした。しかも今回は光回線にしているので速度や
安定性は格段に向上しているはずです。

そしてもう1つの問題…DNSの名前解決がたまに「成功」する…です。
たまに「失敗」ではありません。様々な方法を試しましたが、お手上げです。
中国国内にあるDNSサーバーへ名前解決してもタイムアウトする場合があります。
例のスゴイ壁に新機能でも追加したのでしょうか?困ります。
やるならちゃんと検証し安定稼働を確認してから投入して頂きたいものです。

自社のオフィスに戻りサーバーやネットワークの設定を眺め試行錯誤すること
数時間…ネットワークの設定を微妙に変更したところ解決しました。

中国では「どこか」で規制しているかもしれないということを念頭に
ネットワークトラブルシューティングをしなければならず
非常に困難を極めます。設定は間違っていないのに思い通りにいかない時は
本当に困ります。技術力というよりアイデアやヒラメキが必要な気がします。

中国でネットワークトラブルでお困りでしたらご相談ください。

■ あとがき

今回初めて格安航空券に搭乗してみました。狭い。これが第一印象です。
前席の人がリクライニングしたら目の前にドンと壁出現という感じです。
しかも深夜発ですのでまともに睡眠がとれず翌日は仕事になりません。
ですが、安いです。

インターネット回線設備の更新

上海オフィスのインターネット接続に使用している光回線ですが、
ある日突然「設備の更新作業を実施します」との連絡がありました。

上海で光回線というと光回線ではなくLANケーブルが末端まで
敷設されるのが一般的でした。

ですが、ここ数年日本のように光回線が末端まで敷設されるように
なりました。家はすでにLANケーブルから光回線に変更済みでしたが、
その際、いつものようにトラブルに見舞われましたので
今回も当然期待…ではなく覚悟はしておりました。

切り替え作業を実施したところ…お約束の問題発生です。
グローバルIPアドレスを使用する契約なのに
ルーターのWAN側に設定されるIPアドレスが
プライベートIPアドレスになってます。
光回線からLANケーブルに変換する「光回線終端装置」ですが、
これにはルーターの機能もあり「ルーターモード」と
「ブリッジモード」があります。それが初期状態では
「ルーターモード」になっているようです。

後日、通信会社から作業員のお兄さんがやって来て
「光回線終端装置」の設定を変更してくれました。
切り替え後にインターネットへの接続も出来るので
問題無いと思ったのですが….やはりやってくれました。
ルーターのWAN側に既存のインターネット回線(LANケーブル)が
そのまま接続されており「光回線終端装置」から出ている
新しいLANケーブルがルーターのLAN側に接続されています。
実は既存のインターネット回線経由で接続されていたのです。
しかも「光回線終端装置」に無線LANの機能があるので
撤収する際お兄さんを呼び止めて「無線LAN無効にして」と
言ったのですが、「無効にしてある」と言って帰って行きましたが、
もちろんお約束で….有効になっておりました。

後で自分でルーターの配線変更と無線LAN機能の無効化を
しました。ん~お兄さんかなりいい加減です。
たぶん通信会社の社員ではなく出で立ちから見て
アルバイトみたいです。

インターネット回線の切り替えやLANのトラブルで
お困りでしたらご相談ください。

■ あとがき

家でしばらく子猫を預かることになりましたので
私が子猫を教育します…の前に既にメロメロです。
子猫に教育されそうです。

中国のインターネット新常識(上海の場合)

最近、日本で中国関連のITセミナーに参加してきました。
そこでは弊社が把握しいる状況とはかけ離れた説明が
されておりましたので「今」について書きます。
予めお断りしますが、上海での現状です。

1.日中間のインターネット

[一般常識]
中国から国外へのインターネット回線が細いので遅い。

[新常識]
通信経路によってはまったく問題なく安定して通信出来る。
日本国内と同じレベルの経路もある。

2.中国のインターネット通信の南北問題

[一般常識]
中国の2大通信会社である中国電信と中国聯通の相互接続点が
混雑などの問題により遅い。

[新常識]
今年の春頃にバックボーンネットワークを増強したようで
以前より安定している。

3.中国のインターネット品質

[一般常識]
中国の通信品質は低い

[新常識]
光回線が普及しておりADSLの時代よりは遥かに安定している。

新常識に当てはまらない場合や問題が発生した場合、
だた通信会社へ問い合わせるのではなく
証拠となるデーターを揃えて問い合わせるのが良いかと思います。
あとは根気が必要です。

■ あとがき

今朝、出勤途中で信号待ちをしていたところ
足元を何かが横切りました。
大きさからして子猫かと思ったら….ネズミちゃんでした。
ワォ!

多要素認証モバイルアクセス

社外から社内のネットワークへアクセスする仕組みに
「多要素認証」は導入されておりますでしょうか。

一般的にはアクセス時の認証として「ID」と「パスワード」の
組み合わせが使われておりますが、これらの情報が漏洩した場合、
本人になりすまして不正アクセスされる危険性があります。

そこでノートPCやスマートフォンにお客様が発行した
「クライアント証明書」がインストールされている
端末からのみアクセス出来るように制限します。
さらに「ID」と30秒おきに変わる「ワンタイムパスワード」で
端末を紛失した場合のリスクに備えます。

導入に必要なリモートアクセスサーバーや認証サーバーは
お客様のオフィスやデーターセンターに設置します。
AWSやSoftLayerなどのパブリッククラウドにもサーバーを
構築することが出来ます。

昔はワンタイムパスワードの導入にはソフトウェアだけでも
高額で大企業が導入するものでしたが、
現在はシステムはすべてオープンソースソフトウェアで
構築しワンタイムパスワードの発行にはスマートフォンアプリを
使用しますので初期投資を抑えられます。

「多要素認証モバイルアクセス」
https://www.evolutionnetworks.net/service/remotenetwork.html

■ あとがき

早速弊社のネットワークに多要素認証を導入しました。
ワンタイムパスワードの発行がスマートフォンアプリというのが
とても便利です。

AWS北京リージョン (その2)

前々回、AWSの北京リージョンについて書きましたが、
その後、問い合わせが増えております。
しかも弊社よりはるかに大きな企業様からのお問い合わせです。
情報収集なのか…もしかして問い合わせ先間違っているとか…
どちらにしてもご相談頂けるだけるということは有り難いです。

ご相談を受けて色々とソリューションを考え
実際に検証しているのですが、解決方法がみつかった時は
ひとりで設定ファイルみながらニヤニヤしてます。
昔はデータセンターで機器を眺めながらだったのですが、
今は仮想化されておりリモートからの作業ですので
コンソールみながらニヤニヤしてます。

楽しんで…ではなく検証してばかりだとアウトプットが無いので
新サービス開始しました。

主なサービスは下記の2つです。

・AWS北京リージョンのアカウント申請サポート
・中国以外からAWS北京リージョンへ高速アクセス

前提条件をクリアして事務手続きに問題なければ
早くてご契約後数日から1週間ほどでご利用いただける予定です。
通信会社様や他のSI会社様だと数週間かかると思いますが、
弊社側設備はプライベートクラウドで準備出来ておりますので
いつでも準備OKです。

■ あとがき

最近、シンガポール関連の問い合わせも増えています。
ということで検証してみたので今度書きます。

SoftLayerのネットワークを自由に設定したい

前回のAWSに続き今回はIBMの「SoftLayer」です。
SoftLayerはIBMに買収される前から気になっておりました。
なぜかと申しますと…リージョン間が専用線で接続されており
しかも無料で使えるからです。

色々と試してみたのですが、1つ問題というかAWSと違う
ところがあります。「プライベートIPアドレスを自分で選択出来ない」
です。AWSは自由に決めることが出来ますし
ルーティングも設定することが出来ます。
しかしSoftLayerはプライベートIPアドレスを
選択出来ない…しかもルーティングも設定出来ない。
そもそも仕組みが違うのでどちらが良いかという話ではありません。

やりたいことは下記の3つです。
1.オフィスまたはデータセンターとVPN(IPsec)で接続
2.中国からも快適にアクセスしたい
3.SoftLayerのLAN側IPアドレスは自分で決めたい

「1」と「2」はノウハウがありますので簡単に出来ました。
しかし「3」が問題です。サーバーに自分で決めた
プライベートIPアドレスを設定することは出来ます。
そしてオフィスと東京リージョンをVPNで接続して
通信することも出来ます。しかしその先、
東京リージョンを経由して香港リージョンへ接続するのが困難です。
SoftLayer側のルーティングテーブルを設定出来ないので
何とかしなければなりません。ということで
ソフトウェアルーターの登場です。
SoftLayerでルーターを稼働させて色々と試行錯誤したのですが、
出来ません。SoftLayer内部の設定がどのようになっているか
知ることが出来ないので色々と想像しながらの検証です。
悩むこと数週間…出来ました。今ではSoftLayer内でも
自由にネットワークを設定することが出来ます。

香港やシンガポールなどとの通信でお悩みでしたらご相談ください。
SoftLayerで解決…できるか挑戦してみます。

■ あとがき

今週はAWS Summit Tokyoが開催されます。
もちろん参加します!

AWS北京リージョン

昨年「AWS from チャイナ」というサービスを開始しました。
https://www.evolutionnetworks.net/service/aws.html
中国からAWS東京リージョンへのアクセス速度を改善する
サービスです。昨年の後半サービスを開始しましたが、
問い合わせも増えてきており実績もでてきております。

AWSの北京リージョンをご存知でしょうか?
限定プレビューは 2014 年前半に公開されました。
既にAWSを取得されていてもAWSの管理コンソールで
北京リージョンは表示されません。
他の外資系パプリッククラウドと同様に中国向けの
アカウントを申請する必要があります。

弊社は2014年に限定プレビューに早速申請してみました…
が見事に却下されました。最近、日本からAWS北京リージョンへの
アクセスが遅いという問い合わせを頂きましたので
再度AWS北京を利用をすべく申請してみました…
が再度却下されました。ここで諦めるわけにはいきません。
いつものように中国人スタッフにガンバってもらいました。
中国の営業許可書などが申請に必要なようです。

AWSはVPNで接続するサービスがあるのですが、
北京リージョンには…ありません。
そこで北京リージョンでLinuxインスタンスを
作成しVPN機能をセットアップします。
それに弊社のノウハウを組み合わせ日本から
AWS北京リージョンへ高速アクセスできる環境を構築しました。
日本からAWS北京リージョンへ普通にアクセス出来ます。
この普通というのが中国では難しいです。

■ あとがき

AWS東京リージョンと北京リージョンをVPNで接続することも
出来ると思いますのでご要望があればチャレンジしてみます。

パブリッククラウドとのVPN接続

クラウド…様々なサービスがありますが、
今回はIaaSについてです。IaaSはブラウザの管理画面から
数クリックでサーバーが数分で作成出来ます。
弊社は日本と中国のデータセンターにプライベートクラウドが
ありますので同じことが出来るのですが、それ以外の国には
ありません。

最近は中国以外にも東南アジアから日本または中国との
通信について相談を受けることがあります。
そこで香港やシンガポールのデータセンターを
選択することができるAWSやSoftLayerなどの
パブリッククラウドを利用することにします。

パブリッククラウドでサーバーを作成し
弊社のプライベートクラウドに接続するのですが、
通信はインターネットを利用するので暗号化する
必要があります。パブリッククラウドには
VPNで接続する機能がありますが、別途料金がかかります。
ある程度の規模であれば必要ですが、サーバー1台で
あればコスト的に利用を考えてしまいます。

弊社では起業当初FirewallやVPN装置をLinuxで
構築しておりました。そこでパブリッククラウドで作成した
LinuxサーバーにVPN機能をセットアップし
弊社のネットワークスとVPNで接続することにします。
費用以外にもLinuxを使うメリットがあります。
パブリッククラウドにはサーバーやストレージ、
ネットワークなど様々な機能がありますが、
パブリッククラウド特有の作法や制限があります。
時にはやりたいネットワーク構成に出来ない場合もあります。
Linuxであれば今までのノウハウで色々出来るので
パブリッククラウドの制限をクリアすることが
出来る場合があります。
中国と東南アジア間のインターネット経路は
あまり良くないので色々と工夫が必要です。
パブリッククラウドを使って色々と試行錯誤しているのですが
すごく楽しいです。

■ あとがき

前回、「通信の南北問題解決したかも」と書きましたが、
一ヶ月以上経過した現在…なんと絶好調です。
ただし中国でのサービスは改善ではなく改悪されることが
多いので安心出来ません。
本当に解決したのかな?….解決したことを期待します。

通信の南北問題解決したかも

中国国内のインターネットについてですが、
昔、中国では北は中国聯通(ChinaUnicom)、南は中国電信(ChinaTelecom)
というようにサービス地域が限定されておりました。
今は限定されておりません。ただし中国聯通(ChinaUnicom)と
中国電信(ChinaTelecom)間のインターネット接続が遅いという問題が
ありますというか…あった?と申しますのも12/29 から12/30にかけ
バックボーンで何か作業した可能性があり現在、中国聯通と中国電信間の
インターネット接続が絶好調です!
解決したかも…一時的に…この状況がこのまま続くことを
期待したいところですが、そろそろ中国は春節です。
毎度のことですが、イベントの前後数週間は
インターネットの調子が悪くなるというのがお決まりパータンです。
今回はどうなるのでしょうか?期待しましょう!

中国で仕事をするようになり早10数年ですが、
昼から夜間にかけ遅延やパケットロスがだんだん酷くなり
深夜に回復するというパータンがここ数年続いておりました。
記憶では数年前はバックボーンが原因で遅くなるということは
あまり目立たなかったのですが、ここ数年は
中国でITサービスを提供している日系企業様がセミナーや
ホームページで情報発信しているとおり通信の南北問題というのが
盛んに言われるようになりました。

日本だとインターネットが遅ければインターネット回線を
増速すれば解決するというも1つの方法ですが、
中国ではそう簡単には行きません。ただ遅いと言っても原因は
色々あり対策も様々です。さらにここ数年はクラウドへの接続が
遅いという相談も受けます。そうなると中国国内だけではなく
国外へのインターネット接続も関係します。ということは…
例のスゴイ壁が気になります。でもこのスゴイ壁もアップグレード
しているようで速度にはあまり影響していないと思います。
私の感覚ではなく監視システムのデーターがそのように申しております。

弊社はこの「遅い」というのを気合と根性…ではなく
様々なデーターと経験をもとに解決するサービスを提供しております。

■ あとがき

毎年1~2月は何故か問い合わせが急増します。
そろそろ春節ですのでネットワークの監視を強化します。

ホームページのURLを変えずに高速化

「日本のサーバーに中国語のホームページを置いているが
中国からのアクセスが遅い」または「日本にある社内向けのWebシステムに
中国からのアクセスが遅い」という相談を受けることがあります。

中国語のホームページを日本のサーバーで運用するのは
追加であまり費用がかからない。ICPの申請が必要ないなどメリットが
ありますが、中国からのアクセスが遅いのであればチャンスを
逃すことになります。日本にある社内向けWebシステムへのアクセスが
遅いのであれば業務に影響がでると思われます。

ある程度の規模であればCDN(コンテンツデリバリーネットワーク)の
利用が一般的と思いますが、それなりの費用がかかります。

費用をおさえて解決するのであれば中国向けのURLを用意し
中国にあるサーバーにデーターを置くことで解決するかと思います。
ただしURLが変更になったり日本のデーターとどのように同期するか
などの問題が発生します。

そこでこれらの問題を解決する方法として中国にあるDNSサーバーを
利用しているPCやスマートフォンなどの端末からは中国のサーバーへ
アクセス、それ以外は日本のサーバーへアクセスするという仕組みです。
データベースサーバーは日本に置いておき外部に公開するWebサーバー
またはProxyサーバーを中国に設置するという構成になります。
具体的な構成については個別にご相談頂ければと思います。
弊社のクラウドサービスはこの方法で運用しております。

■ あとがき

今年はスマートフォン・タブレット向けの開発にチャレンジします。