自部門でソフトウェア開発することが可能でない場合、手に入るソフトウェアを自分たちで工夫して自部門に合ったものに仕上げる必要があります。Salesforce のような既存のプラットフォーム上に内部使用に限定されたカスタムレイヤを追加することも、自社が販売している製品をカスタム化することもあります。DevOps では、このような創意工夫でニーズを満たしてきました。
そういった開発を行うためには独自の「開発と運用」チームが必要になります。
開発と運用 (Development and Operations、DevOps) は比較的新しい概念で、IT 運用部門と開発部門が緊密に結びつく最近の傾向を示しています。双方ともある程度の機能があるネットワーク監視ツールやその他のITツールを使用しますが、DevOps としてはこれらのツールをどう活用しているのでしょうか。
そのあたりのことを知りたくて、Sean Kenworthy 開発オペレーションとリリースエンジニアリング上級管理者に話を聞きました。
DevOps とは?
DevOps の意味合いは、企業によって異なります。
「基本的には、開発のオペレーションを担当するグループがあるということです。」と Kenworthy 上級管理者は言います。「このグループは、開発、インフラストラクチャ、そして研究開発部門などの開発者が機器を使用するプロセスをサポートします。」
これまでは、IT 部門がそういった業務の多くを担当してきました。ただ、IT 担当者は、インフラストラクチャについての専門知識は十分持ち合わせているものの、必ずしもアジャイル開発を含むソフトウェア開発の専門家ではなく、開発グループが効率的に仕事を進めるのに必要なオペレーションなどに関する専門知識が十分あるとは限りません。
「DevOps は、主に環境構築のサポートを行います。開発に必要なすべてのツールに関わります。ハードウェア自体の管理は行いませんが、オペレーティング・システムからトップにあるアプリケーションまで管理します。そして、それらが使用され展開されるプロセスも管理します。」
ですが、SaaS 企業の場合は、物理インフラストラクチャが非常に少なく、DevOps の役割はまったく異なります。DevOps の位置づけは、会社の運営方式によって様々です。
DevOps ではネットワーク監視ツールをどのように使用していますか?
ネットワーク監視は、IT と DevOps の両部門にとって非常に重要です。
Kenworthy 上級管理者のチームは、同社で開発・販売しているネットワーク監視ソフトウェア、WhatsUp Gold を利用してすべてのネットワーク監視を行っています。
「WhatsUp Gold は、何かがダウンしたり、何かがうまくいかなかったり、何かに障害が生じたりしたときだけでなく、全体的にどのように稼働しているかもわかるので、チームのオペレーション全体の要になっています。すべてが効率的に稼働しているか、帯域幅を使用し過ぎているアクティビティはないか、リソースを消費し過ぎてはいないか、などすべてをチェックできます。クラウド上のものも追跡し監視できるようになったことは、本当に大きいです。たくさんのサービスが今では Amazon や Azure を介して行われているので、私たちはそれ (WhatsUp Gold) に深く依存しています。」
どれぐらい深くですか?
「200種類以上のシステムがいたるところで使われおり、すべてを常にチェックすることは不可能です。したがって、『何かおかしいようです、確かめてみてください。』などと言ってくれる賢いツールが必要になります。このツールが心髄です。正直なところ、ネットワーク監視ツールがなかったら、この仕事をどうやって遂行できるのか、想像もつきません。」
問題が見つかったとき、解決にあたるのは開発部門ですか、それともIT部門ですか?
ほとんどのITがコ・ロケーション (ここでは、以降「コ・ロケ」と省略) またはクラウドベースに移行したため、個々のハードウェアを追跡して修復する必要性そのものに変化が生じています。場合によっては、ITインフラストラクチャはラップトップに接続するワイヤレス・アクセスポイントから構成されているということもあります。
ハードウェアに問題が発生した場合は、誰が解決するのでしょうか?それは場合によります。
「たとえば、WhatsUp Gold から、この特定のサービスが停止している、マシンは稼働している、という警告が送信されたとしましょう。チェックしてみてマシンがコ・ロケにあるのがわかりました。コ・ロケはITの担当です。次いで、コ・ロケのハードウェアに問題があるのか、それともOSやサービスの問題なのかという点を明らかにしなければなりません。」
異なる部門間で問題を押しつけ合う不毛なやりとりは不要で、ネットワーク監視ツールが答えを提示してくれます。
「WhatsUp Gold を使って素早くレポートを作成でき、この証拠に基づいて、問題がネットワークレベルのものなのか、vCenter レベルのものなのかを明言できます。そうすれば担当部門は反論せずに対応しようとします。診断情報が提供されるので、ツールは、担当部門にとっても大いに役立ちます。」
ネットワーク監視で DDoS 攻撃を検出
ネットワーク監視ツールは、DDoS (Distributed Denial of Service) 攻撃を受けていたことを DevOps が発見するのにも役立ちました。
WhatsUp Gold 製品はすべてライセンスベースです。シリアル番号を入力して登録すると、ライセンスサーバーとアクティベーションサーバーが自動的に承認します。バックエンドはアプリケーション・サーバーで、コ・ロケにあり、リソースはわが社が保有し、すべてを管理しています。
「7、8ヵ月前になると思いますが、WhatsUp Gold が、ライセンス・アクティベーションサーバーがタイムアウトになり、3-4 分、全然応答しなくなるとレポートしました。でも、手掛かりはまったくありませんでした。ネットワークには問題が見られません。社内と外部に2つの WhatsUp Gold を配置してあったのですが、ネットワークの内部にある WhatsUp Gold はすべて問題なく、正常だと報告します。ライセンス・アクティベーションサーバーにはまったく問題がありません。ですが、外部にある方は、いや、サーバーは毎日、毎日落ちてしまうと報告します。状況はどんどん悪化して頭を抱えました。そこで、2つのファイアウォール、プライマリとフェイルオーバー、があるのですが、の特定のポートとIPを監視することにしました。わかったのは、ファイアウォールが特定のサーバーのトラフィックをフォワードするのを停止してしまうことです。これが、ターニングポイントでした。確かに問題がありました。」
「お客様から、ライセンスをアクティベートできないという苦情も入ってきていました。できるとしてもタイムアウトや遅延があります。お客様に影響が及んでしまったので、ますます緊急性が高くなります。お客様から電話が入れば最優先事項になることは全員が承知しています。」
「そこで、ITと協力して、ITに収集したデータを提示し、状況を説明しました。ITは、データを見るとすぐに、問題が何であるかつきとめました。特定のIPと特定のポートを経由して DDoS 攻撃を受けていたのです。それでファイアウォールがシャットダウンしました。このシャットダウンはITへの警告になるはずでした。ですが、攻撃は非常に多い接続のうち、50から100の接続だけを使っていたので、見つかりにくくなっていました。ITが関与して、全容が判明しました。」
Kenworthy 上級管理者は、「ややこしくて、解決するのが非常に困難な問題でした。このようなことが起きると、私立探偵のように立ち回ることになります。監視ツールがあれば詳細なデータを収集できるので、データを集め回って、やがてパズルの謎が見えてきます。ああ、わかった、これが問題で、こうする必要があるんだ、と言えるときが来ます。」と、まとめます。