Cisco認定パートナー企業のネットワークエンジニアの方にも、社内系インフラエンジニアの方にも、ぜひともご注意を頂きたい「ロードバランサ導入やWAF導入」について、お話させて頂きたいと思います。
ロードバランサ導入やWAF導入にあたり、技術的にこのような点に気をつけましょう!という内容ではなく、これらの製品を導入する際には「人件費が赤字にならないように」という点と技術要件によって「とんでもない難易度になる」という点をお伝えしたいと思います。
L2/L3/L4のネットワーク機器になかったプログラミングの実装
例えば、L2/L3スイッチ、ルータ、Wireless、Firewallなどのネットワーク機器の場合には、マニュアル参照すれば問題なく設定できますし、設定するコンフィグの量は一般的に言って、たかが知れています。設定量が多い場合でも、例えばACL等のように単純設定の集まりようなケースが多いです。
一方、Layer7に踏み込んだロードバランサ(ADCなど)を導入する場合は、技術要件を満たすためにプログラミングが必要になる場合があります。例えば、F5製品のBIG-IPであればそれはTCL(Tool Command Language)プログラミング言語を使用します。いわゆるiRuleです。
https://cn.teldevice.co.jp/maker_detail/f5_irule_guide/
◆ iRuleとは
BIG-IPのトラフィック処理を司る、Traffic Management OS(TMOS)の中に組み込まれ、BIG-IPに実装されたトラフィック処理機能を詳細に制御することが可能なTCL(Tool Command Language)プログラミング言語です。
技術要件によって、これがとても複雑なものとなったり膨大な量になることがあります。
・・・というお話をさせて頂くと「社内に設定サンプルがあるから大丈夫」「すでにL4の負荷分散の導入経験があるから大丈夫」というご指摘を頂きそうですが、当方も強気な20代の頃、導入経験があるしiRuleといっても設定サンプルはあるし、自分がPLとして問題なく案件対応できるだろうと甘い認識で対応した結果、超赤字案件になってしまいました。。
結局、スクリプトとしてとんでもない行数を記述しましたし、試験項目もハンパない量になりましたしあの時の徹夜は本当につらかったです。色々とご迷惑をおかけしました。。
それでは、こういった案件はどのように対応すれば良いのか簡単に以下で紹介します。
先ずは優秀な先輩エンジニアの下で経験することをお勧めします
L2/L3スイッチ、ルータ、Wireless、Firewall、IPS、LBなどの一通りの設計、構築の導入経験ができるとちょっとした自信が生まれますし、どのような案件でも自分がPLとして対応したくなるかもしれませんが、「L7の負荷分散やWAF」の導入に関しては、まずは優秀な先輩の協力を得て案件を進めていくことを強くお勧めします。
ネットワーク機器の導入をベンダーのネットワークエンジニアに頼ることなく、内製している優秀なインフラエンジニアの方もある程度自信があったとしても、「L7の負荷分散やWAF」の案件に関してだけは外部発注することをお勧めします。具体的には、F5 BIG-IP製品であればF5のパートナー企業に依頼することをお勧めします。
WAFに関しては、移行計画と移行設計がとても難易度が高くなる場合もあるので、簡単な設定内容ということがヒアリングで確認できた場合でも必ず十分なサポートが得られる体制で対応することをお勧めします。
異なるメーカーへのリプレース案件は最も注意しましょう!
ここまでの記事内容からして「そもそもヒアリング不足ではないでしょうか・・」と思う方もいらっしゃるかもしれません。すみません、確かに当時の私はそうだったかもしれません。
ですから、みなさんに強くお伝えしたい点として、iRuleなどのプログラミングが発生しそうな技術要件があれば徹底的にヒアリングすることをお勧めします。
また、異なるメーカー機器へのリプレース案件である場合には、守秘義務契約を締結した上でリプレース前の機器の設定情報を可能な限り全て開示してもらうことをお勧めします。というのも、メーカー独自仕様の技術要件を満たすためにスクリプトの記述量が膨大になってしまうケースがあるからです。もっと悲惨なケースとしては、発注を頂いた後に仕様上要件が満たせないことが判明すると手遅れになります。可能な限り、徹底して情報開示して頂きましょう。
以上、簡単ではありますが、負荷分散装置やWAF導入案件の場合は優秀な人員の確保、または十分なサポート体制確保、赤字にならない適正な工数算出などを慎重に行いましょう。