snmpでエラーが大量の事象

$ snmpwalk -v 2c -c public 192.168.1.1 SNMPv2-MIB::sysName.0

snmpをインストールし、snmpwalkを実施してみると…

MIB search path: /usr/share/snmp/mibs:/usr/share/snmp/private_mibs
Cannot find module (SNMP-FRAMEWORK-MIB): At line 9 in /usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt
Cannot find module (SNMP-VIEW-BASED-ACM-MIB): At line 16 in /usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt
Did not find 'SnmpAdminString' in module #-1 (/usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt)
Did not find 'vacmGroupName' in module #-1 (/usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt)
Did not find 'vacmAccessContextPrefix' in module #-1 (/usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt)
Did not find 'vacmAccessSecurityModel' in module #-1 (/usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt)
Did not find 'vacmAccessSecurityLevel' in module #-1 (/usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt)
Cannot find module (SNMP-FRAMEWORK-MIB): At line 10 in /usr/share/snmp/mibs/NET-SNMP-EXAMPLES-MIB.txt
Cannot adopt OID in NET-SNMP-EXTEND-MIB: nsExtendLineIndex ::= { nsExtendOutput2Entry 1 }
Cannot adopt OID in NET-SNMP-EXTEND-MIB: nsExtendOutLine ::= { nsExtendOutput2Entry 2 }
Cannot adopt OID in UCD-SNMP-MIB: laIndex ::= { laEntry 1 }
Cannot adopt OID in UCD-SNMP-MIB: laNames ::= { laEntry 2 }
Cannot adopt OID in UCD-SNMP-MIB: laLoad ::= { laEntry 3 }

こんな感じで大量のエラーが出力されることがあると思います。
今回はこれに対する対処のご説明です。

Private MIB(Vendor MIB)の追加

snmpdのインストールが済んでいる前提での話になります。

Private MIBを読み込めるようにする設定

まずはPrivate MIBを読み込ませる設定をします。

$ vi /etc/snmp/snmp.conf

mibs all
mibdirs /usr/share/snmp/mibs:/usr/share/snmp/private_mibs

wqで保存して閉じる

$ mkdir /usr/share/snmp/private_mibs
でPrivate MIBディレクトリの追加

systemctl restaret snmpd
systemctl status snmpd

でサービスの再起動を実施

後は必要なMIBを
/usr/share/snmp/private_mibs
配下に入れていけばOKです。

Private MIBが不足していた場合はこれで改善するはずです。

標準MIBが不足している場合はこちらの対処が必要

標準MIBの追加

MIB search path: /usr/share/snmp/mibs:/usr/share/snmp/private_mibs
Cannot find module (SNMP-FRAMEWORK-MIB): At line 9 in /usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt
Cannot find module (SNMP-VIEW-BASED-ACM-MIB): At line 16 in /usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt
Did not find 'SnmpAdminString' in module #-1 (/usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt)
Did not find 'vacmGroupName' in module #-1 (/usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt)
Did not find 'vacmAccessContextPrefix' in module #-1 (/usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt)
Did not find 'vacmAccessSecurityModel' in module #-1 (/usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt)
Did not find 'vacmAccessSecurityLevel' in module #-1 (/usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt)
Cannot find module (SNMP-FRAMEWORK-MIB): At line 10 in /usr/share/snmp/mibs/NET-SNMP-EXAMPLES-MIB.txt
Cannot adopt OID in NET-SNMP-EXTEND-MIB: nsExtendLineIndex ::= { nsExtendOutput2Entry 1 }
Cannot adopt OID in NET-SNMP-EXTEND-MIB: nsExtendOutLine ::= { nsExtendOutput2Entry 2 }
Cannot adopt OID in UCD-SNMP-MIB: laIndex ::= { laEntry 1 }
Cannot adopt OID in UCD-SNMP-MIB: laNames ::= { laEntry 2 }
Cannot adopt OID in UCD-SNMP-MIB: laLoad ::= { laEntry 3 }

Cannot find moduleに注目

大量にエラーが出ている根本原因は「Cannot find module」に大体記載されています。

今回の例だと以下の2つのMIBが不足しているためにエラーとなっています。
※実際にはもう少しエラーが多かったのですがわかりやすくするために一部だけ抜粋しています。

Cannot find module (SNMP-FRAMEWORK-MIB): At line 9 in /usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt
Cannot find module (SNMP-VIEW-BASED-ACM-MIB): At line 16 in /usr/share/snmp/mibs/NET-SNMP-VACM-MIB.txt

MIBのダウンロード

$ cd /usr/share/snmp/

でMIB保存ディレクトリに移動しwgetなどでMIBをダウンロードしていきます。

wget https://www.circitor.fr/Mibs/Mib/S/xxxx.mib

たったこれだけでエラーがどんどん減っていくはずです。

MIBの探し方

1. MIBの一覧があるWebサイトにアクセス

以下のWebサイトが非常に丁寧にMIBをまとめてくれています。

2. エラーとなっているMIBを検索

3.  該当ページにアクセス

4. Webページの一番上にあるMIBをwgetなどでダウンロードする

$ $ cd /usr/share/snmp/
$ wget https://www.circitor.fr/Mibs/Mib/S/SNMP-FRAMEWORK-MIB.mib

こんな感じのコマンドになります。

まとめ

これでsnmpwalkやsnmpgetを実施するたびに発生する大量のエラーの大半は回避できると思います。
今回はubuntu20.04で検証していますが思っているよりも最初に入っているMIBが少なく大量のエラーが発生する事態となり、今回の記事作成に至りました。

snmpは監視として非常に大事な部分ですので効率よく、楽しく運用していきましょう!

3.xを使っているかたは
便利な仕様変更が沢山ありますので早速インストールしていきたいと思います。

• Zabbix 4.0 LTS は2023/10
• Zabbix 3.0 LTS は2021/02

でサポートが終了となりますので、このあたりのバージョンを使用されている方は6.0へのバージョンアップを検討する必要があります。

Zabbix6.0の新機能

• ネイティブHAクラスタの実装
• K8s監視機能の追加
• 関数の変更

このあたりが利用者にとって一番影響のある変更点かと思います。

詳細は、公式Webサイトに記載がありますので参照してください。

https://www.zabbix.com/jp/whats_new_6_0

Zabbix6.0のインストール環境

• OS : Ubuntu 20.04.3 LTS クリーンインストール状態
• DB : My SQL
• Web : Apache

上記の非常に一般的な環境でインストールを実施します。

インストール手順

公式Webサイトに詳細なインストール手順が記載されていますので、これをベースに実施していけば問題ありません。
https://www.zabbix.com/download

本手順もこれをベースにしています。

1. MySQLのインストール、初期設定

MySQLのインストール

MySQLをインストールします。

$ sudo apt install mysql-server

MySQLの初期設定

おまじないとして最初に必ず実施しておきましょう。

$ sudo mysql_secure_installation

Securing the MySQL server deployment.
Connecting to MySQL using a blank password.

VALIDATE PASSWORD COMPONENT can be used to test passwords
and improve security. Would you like to setup VALIDATE PASSWORD component?
Press y|Y for Yes, any other key for No: //パスワード強度チェックの機能ON/OFFです。 今回はNoを選択しましたがお好みで。Please set the password for root here.

New password: //任意のパスワード
Re-enter new password://任意のパスワード

Remove anonymous users? (Press y|Y for Yes, any other key for No) : //anonymousユーザを消すかどうか 今回はyを選択。
Success.

Disallow root login remotely? (Press y|Y for Yes, any other key for No) : //リモートでの rootログインを許可するかどうか 今回はyを選択。

Remove test database and access to it? (Press y|Y for Yes, any other key for No) : //テストDBを削除するかどうか。 yを選択
- Dropping test database...
Success.

Reload privilege tables now? (Press y|Y for Yes, any other key for No) : //再読み込みを行うか。 yを選択
Success.

All done!

2. Zabbixのインストール

リポジトリインストール

Zabbix6.0のリポジトリをインストールします。

$ sudo wget https://repo.zabbix.com/zabbix/6.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_6.0-1+ubuntu20.04_all.deb
$ sudo dpkg -i zabbix-release_6.0-1+ubuntu20.04_all.deb
$ sudo apt update

インストール

Zabbix関連パッケージのインストールを実施します。

$ sudo apt install zabbix-server-mysql zabbix-frontend-php zabbix-apache-conf zabbix-sql-scripts zabbix-agent

初期設定

MySQLの初期設定

$ mysql -uroot -p
Enter password:  //先程設定したパスワード

mysql> create database zabbix character set utf8mb4 collate utf8mb4_bin;
Query OK, 1 row affected (0.01 sec)

mysql> create user zabbix@localhost identified by 'password';
Query OK, 0 rows affected (0.02 sec)

mysql> grant all privileges on zabbix.* to zabbix@localhost;
Query OK, 0 rows affected (0.00 sec)

mysql> quit;

イニシャルスキーマのインポート

$ sudo zcat /usr/share/doc/zabbix-sql-scripts/mysql/server.sql.gz | mysql -uzabbix -p zabbix
Enter password: password

zabbix_server.confへDB情報の設定を追加

$ sudo vi /etc/zabbix/zabbix_server.conf

で以下の設定を変更

#DBPassword=password
コメントアウトを外し
DBPassword=//最初に設定したDBのパスワード
に変更

ZabbixServerの起動

$ sudo systemctl restart zabbix-server zabbix-agent apache2
$ sudo systemctl enable zabbix-server zabbix-agent apache2

$ sudo systemctl status zabbix-server zabbix-agent apache2

でサービスが全て起動していることを確認

ここまででCUIを使った初期設定は終了です。

GUIでの初期設定

http://[IP address  or  FQDN]/zabbix

にWebブラウザからアクセスして初期設定します。

言語選択

希望の言語があれば選択してNext

プリチェック

プリチェックで全てOKなことを確認

DBへの接続情報設定

DBへの接続情報設定です。
基本的にはPasswordだけ入れればOKです。

基本設定

Server name、標準時刻、テーマカラーを設定します。

最終確認

Darkを選んだので背景が黒くなりました。
最終確認し問題なければNext

インストール完了

初回ログイン

• 初期Username : Admin
• 初期Password : zabbix

となっているのでログインしましょう。

インストール完了

素敵なトップページが開けばインストール完了です。

後は粛々とホストの追加、アイテムの追加を行って楽しい監視ライフを!

見かけ上はただの名称変更ですが同一価格帯での移行を行うと機能が大幅に劣化されています。
以下に主に小規模事業者を焦点とした主な変更点を記載します。

WorkSpaceへの移行時期

GSuiteの方が明らかに機能で勝っているのでGSuiteを出来る限り長く利用したいところです。

が、2021年1月31日以降Googleによって勝手にWorkSpaceへ移行されるとのことです。(30日前に通知あり)

粘っても数ヶ月なので私は自分の意志でWorkspaceへの以降を行いました。

GSuite BasicとWorkspace Business Starterの機能比較

多くの人に影響のない変更点

• 月額料金 : 680円
  • これは変更なし
• ユーザ数制限 : 無制限→300
  • これもBasicを使っていた層にはほぼ影響なし
• デバイス管理
  • 小規模事業者はデバイス管理まで徹底していることは少ないのでこれも影響は殆どないはずです。

影響の大きな変更点

• Google Drive : 無制限 or 1TB→30GBに制限され、組織専用環境も利用不可に
  • 容量大幅削減の影響が非常に大きいです。
  • 30GBまで制限されてしまうと、業務で使うドキュメントやエビデンスの画像などを全て保存しているような使い方をすると足りなくなってしまう可能性が高いです。
• Google Chat: 利用不可に変更
  • 従業員が数人いるような企業の場合Chatをベースにやり取りをしているパターンも多かったと思います。
    これが利用不可になってしまうのでプランを変更しないと業務すらままならないと言った状況になりかねません。

移行方法

GSuiteからWorkspaceへの移行はGoogleの管理コンソールからワンクリックで実行できます。
非常に簡単で悩むことはありません。

まとめ

私のような完全一人の個人事業主であってもWorkspaceへの移行により業務上困っていることが複数あります。

特にドライブの容量制限は非常に厳しく、別の外部ストレージの利用か容量の購入が必要になります。

このようなSaaSは便利ではありますが、突然のサービス中止、機能劣化が度々起こり得るので常に代替案を検討しながら利用し続ける必要がありますね。

Static Routeの追加

コンフィグの変更

設定ファイル

# cat /etc/systemd/network/10-static-eth0.network

デフォルトコンフィグ

[Match]
Name=eth0

[Network]
Domains=xxx.local
Gateway=xx.xx.xx.xx
Address=xx.xx.xx.yy/24
LinkLocalAddressing=no
DHCP=no

[DHCP]
UseDNS=false

設定内容

[Route]
Gateway=xx.xx.xx.zz
Destination=aa.aa.aa.aa/24

[Route]
Gateway=xx.xx.xx.zz
Destination=bb.bb.bb.bb/24

ここにRouteセクションを追加して、ゲートウェイ、宛先IPを記入していきます。
2つ以上ルートがある場合はまとめて書くことはできなさそうで、毎回Routeセクションを追加する必要があります。

サービス再起動

# systemctl restart systemd-networkd

ルーティングテーブル確認

# route

これでルートが追加されていることが確認できると思います。

まとめ

VMware製品にスタティックルートを書く需要はそれなりにあると思いますが、情報が少なかったので記事にしました。
参考になれば幸いです。

概要

Windows Server 2016を利用している環境で、TeamViewerに接続できない事象が発生しました。
エラー文は「準備ができていません。接続を確認してください。」となっています。
下の画像のような感じですね。

他にも、以下のようなエラーがポップアップウィンドウで出ることもあります。

インターネット接続を確認してください。プロキシサーバーを使用している可能性が高く オプションダイアログに適切な情報を設定してください。

私が遭遇した事象だと同一セグメントに存在しているWindows10は問題なくて、Windows Serverだけ事象が発生していると言う奇妙な状況でかなり調査に手こずりましたので皆様のお役に立てればと思い記事にしました。

TeamViewerが接続できない場合の原因調査と対象方法

項番1-4までが基本的な切り分けで、5が最後に試してみたい原因と対処方法になります。

1.ポートが開放されているか確認

TeamViewerでは以下のポートを使用します。

• TCP/UDP: 5938
• HTTPS(TCP): 443
• HTTP(TCP): 80 (5938が空いていない場合の予備)

これらのポートがルータやFWで開放されているか確認しましょう。

2.Windowsファイアウォールやセキュリティソフトの設定を確認

以下のアプリケーションがWindows上で制限されていないかWindowsファイアウォールやセキュリティソフトの設定を確認します。

• teamviewer.exe
• teamviewer_service.exe
• teamviewer_desktop.exe

3.ファイアウォールやプロキシサーバの設定を確認

プロキシサーバ等の設定で以下ドメインへのアクセスが制限されていないことを確認します。

• *.teamviewer.com
• *.anexia-it.net

4.DNSサーバの指定を確認

まれにTeamViewerへの接続を拒否しているDNSサーバがあるようなので、Public DNSのサーバ指定を変更してみます。

Google Public DNSであれば問題ないようです。
ちなみにDNSのIPは以下になります。

• 8.8.8.8
• 8.8.4.4

5.WindowsのECN機能を無効にする

Windowsではデフォルトで有効になっているECN機能と言うものがあります。
本来は通信安定化のために必要な技術なのですが、これが逆に悪さをしていて接続できない場合があります。

今回の私が遭遇した原因がこれでした。

ECN機能の無効化手順

1. コマンドプロンプトを起動/TeamViewer停止
2. netsh int tcp show global
   でECN機能がEnableになっているかどうか確認。
3. netsh int tcp set global ecncapability=disabled
   を実行し、Disableに変更。
4.  netsh int tcp show global
   でECN機能がDisableに変更されたことを確認。

詳細は以下のマイクロソフト公式サイトを参照お願いします。

まとめ

TeamViewerは誰でも簡単に接続できる優秀なVPN製品です。
そのせいか英語で検索しても同様の事象に陥って解決している回答がどこにも見つかりませんでした。

皆様のお役に立てれば幸いです。

Pulse Secure 導入環境

型番 : PSA3000-V
バージョン : 9.1R5 (build 5459)

VMware ESXi上で利用

要件

1. SSL-VPN接続する。
2. VPN接続時に接続元端末の既存通信に影響を出さないこと。
3. VPN接続先の通信先は特定のIPやポートに絞ること。
4. VPN接続後はSSHやRDPで各サーバにログインすることを想定。
5. Clientにウイルス対策ソフトが入っているかなど検疫をかけることが可能だが今回は省略。

初期構築

OVFインポート

ESXiにOVFをインポートします。
NICがたくさん付いていますがInternalのポート1つ使えれば本番動作可能です。

初期インストール

仮想マシンを起動するとIPや名前など色々と質問されます。
初期接続に必要な情報はInternalのIPとユーザ情報なのでそこだけは最低限設定してください。

基本的にウィザードに従って入力するだけですし、後で変更可能なので詳細は省略します。

WebGUI接続

ウィザードが終了すると画面に接続先のURLが表示されるのでそのとおりに接続します。

https://<IP address>

基本的に今後はこのWebGUI経由で設定をしていきます。

ライセンス認証

Configuration > Licensing > Download License

On demand license downloadsにAuth Codeを入力します。

ネットワーク関係の設定

機器のIP設定

Network > Internal Port > Settings
Network > External Port > Settings
Network > Management Port > Settings

等で機器のIPやDNSの設定が可能です。

ルーティング設定

Network > Routes

でルーティング情報を入力します。

Hosts設定

Network > Hosts

DNSサーバを立てないか、よりセキュアにしたい場合且つ、FQDNでのアクセスが必要な場合Hostsを書くことができます。

Authentication設定

以下のようにたくさんの認証サーバから情報を連携することが可能です。
今回は構築割合の多いLocal AuthenticationとLDAP Serverの2つを取り上げます。

Local Authentication

Pulse Secure内にユーザ情報を持つ一番シンプルな構成です。
LDAPやADを利用しない小さな社内環境やプロジェクトの保守回線用途などで使用することが多いです。

パスワード要件、ロック要件等の設定

Auth Servers > System Local > Settings

Password Options : 長さや数字との混合などのパスワード要件を設定します。

Account Lockout : 何回パスワードを間違えたら何分ロックするかの設定をします。

ユーザ作成

Auth Servers > System Local > Users > New Local User

ユーザを作成します。そこまで高機能ではないですがOTP(ワンタイムパスワード)も利用可能です。

LDAP Server

LDAP Serverとの連携が可能です。
LDAPの情報を自動で持ってきてくれるので社内LANなどユーザの一元管理されている環境では非常に便利です。

LDAP 接続設定

Auth Servers > LDAP Server > Settings

LDAP Server : LDAPのIP or FQDNを入力
LDAP Port : LDAPのPort番号を入力(デフォルト389)
LDAP Server Type : Active Directoryを選択

ここまで入力したらTest Connectionでテストしてみると画面に結果が表示されます。
OKだったら今度はADの属性情報を入れていきます。

Authentication required
Admin DN : cn=xxx,ou=admin,dc=example,dc=jpみたいな感じでLDAPの情報を入れていきます。
Password : Adminのパスワードを入力

Finding user entries

Base DN : ユーザ情報が入っているdcを入力
Filter : どの情報を持ってくるか入力

これでSave Changesをクリックし問題なければそのまま設定が反映されます。
エラーがある場合はエラー内容と共に強制的に設定変更するかの画面が表示されますので設定値を見直し、OKになるまで再チャレンジします。

User Role設定

ユーザの接続に関する設定です。今回はSSL-VPNの場合の設定手順になっています。
Roleは複数作成することで管理者は全サーバに接続可能、一般職は一部サーバにしか接続させないと言った管理が可能です。

VPN Tunneling

User Roles > [Role Name] > General > VPN Tunneling

Split Tunneling : Enable
有効にするとVPNに関係しない通信は接続元端末が行っていた元々の通信経路で通信を行うようになります。
無効にすると全ての通信がVPN経由になるのでよりセキュアにはなりますが、既存通信に影響が出るためあまり使われることはありません。

Route Precedence : Endpoint routes
ルーティングがローカル環境と重複した場合どちらを優先するかの設定です。
Endpointにしておいた方が既存の通信に影響が出ないため重大なトラブルになりにくいです。

User Realm設定

ユーザの認証方法を設定する項目です。

General

User Realms > [Realm Name] > General

Authentication : Authenticationで作成したルールを選択します。

Authentication Policy

User Realms > [Realm Name] > Authentication Policy >

必要な場合のみの設定項目です。
接続元IPの許可設定やHost Check(ウイルス対策ソフト入っているかなど)、Webブラウザ指定などより強固なアクセス制限が設定できます。

Role Mapping

User Realms > [Realm Name] > Authentication Policy > Rope Mapping > Role Mapping Rule

UsernameやUser attributeがManagerに合致していたらUser Role : ManagerにStaffに合致していたらUser Role : Staff-Roleにと言った感じの紐付けをする設定です。
特にRoleを分けない場合はUsernameが*(アスタリスク)ならこのRoleとしてしまえばOKです。

Sign In設定

ユーザが利用するためのURLやHTMLを設定する項目です。

Sign In Pages

Signing In > Sign-In Pages > New Sign-In Page

ユーザRealm毎に専用のログイン画面を表示させることが可能です。
ロゴや文も変更可能なのでPulse Secureの存在を隠した専用のログイン画面にすることができます。

Sign-in Policies

Signing In > Sign-in Policies > New Sign-In Policy

Sign-in URL : https://example.com/pulsesecure/のpulsesecure部分を入力します。
Realm毎にURLを分けることが可能になっています。

Sign-in page : どのページを表示させるか選択します。

Resource Policies設定

VPNの接続先やVPN用Pool IPの設定など各種肝になる設定をする項目になります。
今回はSSL-VPNに関するところのみ記載します。

VPN Tunneling Access Control

Resource Policies > VPN Tunneling Access Control

Resources : VPN接続後アクセスできるIPやFQDNを入力します。
以下のように多彩な入力が可能になっています。

VPN Tunneling Connection Profiles

IPv4 address assignment : VPN接続後のIP Poolを指定します。
DHCPサーバがあればDHCPサーバを、手入力の場合は192.168.1.1-128のような感じで入力します。

Connection Settings : SSL

DNS Settings :
IVE DNS Settingsを選択した場合はPulse Secureと同じDNSサーバを参照します。
専用のNDSサーバを参照させたい場合はManual DNS Settingsに値を入力します。

Split Tunnel DNS Search Order : Search client DNS first, then the device
Split Tunnelを使用した場合接続元とPulse SecureどちらのDNSを優先するか選択します。
Search client DNS first, then the deviceを選択したほうが接続元を優先するので既存通信に影響がでる事故にはなりにくいです。

Roles : このルールに該当させるRoleを選択します。

VPN Tunneling Split Tunneling

Resource Policies > VPN Tunneling Split Tunneling

Split Tunnelingを設定した場合のみ必要です。

Resources : VPN経由の通信にする宛先IPやFQDNを入力します。
こちらも多彩な入力方法があるので行数少なく複雑なルール設定ができるようになっています。

Roles : このルールに該当させるRoleを選択します。

これで最低限の設定は完了になります。
取り敢えず繋がるはずなので、細かい要件がある場合はマニュアルを参照し設定してください。

接続手順

実際にPulse Secure経由でVPN接続をしてみます。

1.サインイン

Sign-in Policiesで設定したURLにアクセスします。
Username , Passwordを入力しSign Inをクリックします。

2.SSL-VPN接続

開始をクリックします。

初回アクセス時はダウンロードをクリックしPulse Secure Clientのインストールして下さい。
2回目以降は待っていると自動でPulse Secure Clientが起動します。

3. VPN接続完了

WindowsのタスクバーにPulse Secureのアイコンがあると思います。
これが緑色の矢印になっていたら接続完了です。

後は接続先にSSHなりRDPなりでアクセスしてみてください。

まとめ

今回はPulse Secureで取り敢えずSSL-VPN接続する手順をまとめました。
Pulse Secureでしか使わないようなワードや考え方があるので最初はとっつきにくい製品だと思われます。
しかし、検疫チックなことからOTPやクライアント証明書認証など細かな設定が沢山できるVPN機器としてはかなり高機能な製品になっています。
この機器でしか要件を満たせないことも多いため、テレワークが主流になってきている今は導入する機会が多いと思います。

日本語の資料が結構少ない製品なので参考になれば幸いです。

vSphere 7へのアップグレード手順まとめ

ソフト、ハードのコンパチビリティ確認からバージョンアップ後の処理まで非常にわかりやすくまとまっています。
特に外部PSC使っていた方やWindows版のvCenterを使っていた方向けの情報もまとめられているのがすごいです。

フリーランスネットワークエンジニアとして活動している人の割合は非常に少ないと思いますので少しでも参考になれば幸いです。

業務について

基本的には常駐案件が殆どです。
DC系の常駐が特に多く長期案件がほとんどの印象でした。
私も実際1社にほぼフルタイムでコミットし、空き時間に小さな拠点、店舗のNW機器リプレースなんかの小さな案件をなんとか見つけ出す感じになります。

フリーランス憧れの自宅でバリバリみたいな感じはネットワーク、インフラ系のエンジニアには難しい印象です。
なので実際のところ感覚的にはSESに近いですね。
ただし、場所の縛りや時間の縛りは強制ではないので現地作業が不要な日は自宅でリモートワークしたり、出社の時間を自分で決めたりすることができるので精神的には非常に楽です。

売上について

基本的に1社常駐フルコミットなのでほぼ変動はありませんでした。
小さな案件を片手間でこなしたときに副収入的な感じで売上が増えるだけなので非常に安定しています。
固定費も殆どかからないので赤字になることはほぼないはずです。

世間ではコロナで大騒ぎしていますが、ネットワーク、インフラ系は特に大きな影響を感じません。
飲食系の案件が急遽ストップしてしまったくらいで生活に困るような打撃は一切受けませんでした。
テレワーク環境特需で逆にいつもの倍くらい売り上げている嬉しい悲鳴を上げている人も多い気がします。

確定申告について

もちろんフリーランス(個人事業主)なので確定申告を行う必要があります。
とは言っても売上は月に数件ですし、経費も(接待交際費、リモートワーク時のカフェ代、通勤代、消耗品)非常に数も少ないので自分一人で帳簿を付けていて殆ど手間に感じることはないと思います。
正社員時代に行っていた月末月初の交通費や勤怠の入力とそこまで手間は変わりません。
※自分の事業の精算になるので間違えなどにはより一層気を使う必要がありますが･･･

フリーランスになってよかったこと

キャリアパスを明確に描ける

個人的にはこれが一番よかったと思えます。

正社員で出世を目指すとなると多くの場合は技術者からマネージャーへの転身を求められますし、数字重視の経営層と損益なんて殆ど気にしない担当社員の板挟みになっている状況をよく聞きます。
しかも、中間管理職自身も技術者上がりなので数字やマネジメントに強くないことが多いです。
私が色々な会社を見てきた感じも社内の基幹システムに数字、工数を入れてなんとなく全PRJいい感じに利益が出ていて予算達成していればOKくらいの人が多い印象でした。
こういう人が多い中きちんと数字にも強い人が役員まで出世してるのかなと個人的に思ってます。

基幹システムを触って利益を出せる(見れる)=経営目線では全くないと思っているので自分のキャリアはこうしたくないなと言う思いが強かったです。
フリーランスは正社員の頃と違い案件を自分で選択できますし取引先の基幹システムを触る必要はないので技術に特化した業務ができます。

赤字になったら自業自得な分、自由にできるだけなのでそこらの人より数字に強く、PRJ管理ができ利益が出せることが大前提です。

責任を自分で取れる

会社員時代は問題を起こした場合、本人そっちのけで部長など役職者が謝罪に行ったり、色々と調整をしてなんとかしてくれたりします。
むしろペーペーの私が謝罪に行っても門前払いですね。

私は、自分でやってしまった失敗は自分で責任を持ってなんとかしたいタイプなのでこの状況が非常に嫌でした。
酷い部下が付いた場合は結局上司が責任取るだけなのでてきとうにやっておけばいいやなんてことが成り立ってしまう構図なんですよね。
上司の立場でも部下の立場でもこんなの嫌すぎます。

個人の場合はそうは行きませんので自分で全ての責任を追う必要があります。
これによって非常に良い緊張感を持って業務に取り組めています。

事務処理に忙殺されない

正社員の場合なにかと事務処理が多いです。
物を1つ買うにも稟議だ専決だなどやることが多いです。
新事業や技術をやろうとするなら損益分岐点や社内企画書、社内への根回しなど更にやることが増えます。
多くの会社はPRJ単体での損益を気にするので黒字になりにくい新技術用検証環境構築などの費用を出すのは一苦労です。

個人の場合は全てを考えるのが自分自身になるので、検証用の機器をすぐに購入できます。
PRJ単体での利益ではなく全体での利益ですぐに物事を考えられるので検証環境や新技術の勉強で赤字を掘っても全体が赤字にならなければOKなので自分の気力次第ですぐに勉強が開始できます。

フリーランスの場合は確定申告や青色決算、見積り、請求等の事務処理が必要で大変と思われがちですが、会社員時代の方が事務処理にかかる時間は長かったです。

会社の利益を削る行動に腹が立たなくなる

中には生活残業をしていたり、ほとんど成果を上げずに工数だけ大量に消化する社員もいるわけです。
正社員の多くは月給制で業務時間も固定なので成果を上げようが遊んでようが費用が発生してしまうんですね。
また、研修費の名目で費用が割り当てられてるからと言った理由だけで本人が行きたくもない研修に参加させたり、そのおかげで行きたい研修に行けない人が出てきたりと結構無駄なことが多いです。

これらをなくしたところで自分の月給がすぐに上がるわけではないのですが、利益を削る行動を取られるとやっぱり損した気持ちになります。
こういう状況に非常に腹が立っていたのですが、フリーランスの立場になるとそういう人たちとは別会計になるので一切気にならなくなります。
仮に自分が従業員を雇用する立場になったとしてもそういう人を雇用しなければよい話になります。

お金に詳しくなる

日本では金融に関する教育が殆どなく会社員量産教育なんて言われたりします。
実際その通りで源泉徴収と言う最強のシステムにより会社員は税金を天引きされた状態で支給されるので、税金について意識することが殆どありません。
個人事業主になるとこの辺りの知識が最低限必要になるのでお金に詳しくなります。
これは結構大きなことだと思います。

実際にもともといた会社の人に業務用のPCは経費だみたいな話をしたら「どっからお金もらえるの?すごくね?」なんて言われたこともあります。
経費=会社からお金が貰える=本人はただで買い物できる。と思っているんです。
実際会社員時代の経費は本人が建て替えたものを後で支給されるだけなのでお金が貰えると判断するのも無理のない話です。

フリーランスになって微妙なこと

福利厚生や資格取得支援制度がない

今までは数十万円もする研修を会社のお金で受けられたり、資格取得すると報奨金が貰えたり、福利厚生で保養所に格安で宿泊できるなど色々な制度がありました。
結婚したり出産した場合も祝金が出ますね。
また、厚生年金基金もないので老後にもらえるお金は少ないです。
フリーランスはこういったことが全くないので、研修もコストに見合った成果が得られるかなどを真剣に考える必要が出てきます。

売上の安定に不安がある

フリーランスの立場は非常に弱いです。
失業保険などの保証がほぼなく守ってくれるのは下請法くらいですかね。
その分や間接費などで正社員時代には抑えられていた売上がフルに入ってくるので、きちんとお金の管理はしておく必要があると感じています。

私は小規模企業共済とiDeCo、NISAに満額いれつつ当面のキャッシュとして半年くらいは無収入でもしなないくらいの金額を確保しています。
これで十分かはわかりませんが正社員の頃よりは確実に意識しておく必要があります。

思っているより所得は高くない

売上ベースで1,000万を超えるフリーランスの人はそれなりにいると思います。
少なくとも正社員の支給1,000万よりは身近にいます。

正社員の場合はここから健康保険や国民年金、厚生年金、住民税など各種税金をを差し引いて手取りとなります。
個人事業主の場合はこれに加えて経費も差し引いたものが実際の手取りとなります。
退職積立金も厚生年金基金もないのでそれに変わるもの(小規模企業共済など)に積み立てる必要もありますね。
また、経費率の非常に低い業種であるフリーランスエンジニアですが、それでも売上の3割くらいは経費になると思います。

そう考えていくと実際の所得は思っているより高くないなーと言う印象です。

ローンが組みにくい

私はまだ2年目の駆け出し個人事業主ですので、ローンを組むのが結構大変です。

一般的なローンは確定申告書3期分を求められ、売上、所得が安定していることを最優先に見られるようです。
私の場合1期分しかありませんのでそもそも土台に上がれないパターンが多いです。

又、サラリーマンの場合は総支給、個人事業主の場合は税金や経費等を払い込んだ後の残り金ベースで計算されます。
なので、節税を頑張りすぎると残り金が少なすぎてローン組めなくなります。
個人事業主にも小規模企業共済など絶対に返ってくる積立金があるのですがこれを所得と見なしてくれないので残り金ベースで計算されてしまうとサラリーマンより殆どの確率で不利です。

フリーランスになった総評

私はフリーランスになってよかったと断言できます。

日本の税制や申告制度に詳しくなりますし、自由に使えるお金も増えました(銀行預金にするか小規模企業共済やiDeCoに回すかなど将来のためのお金も自分で選択できます)し、理不尽上司に嫌なことを言われ続けることもないですし精神的にはかなり良い状態を保てています。
もちろん自己責任の部分も大きいので納期が近いときなどは会社員時代以上にピリピリすることもありますが、これは自分で望んだ環境なので嫌ですが苦痛ではありません。

自分でやりたいことが明確になっていて自分で業務を実行したい人はフリーランスと言うのは非常によい環境になると思います。

フリーランスを考えている人はならないで後悔するよりなって後悔した方がよいと思いますので是非前向きに検討してみてはいかがでしょうか。
人生一度きりですのでやりたいことを思いっきりやる人生にしたいと思いながらフリーランス2年目も頑張りたいと思います。

Error: Unable to find a match: postgresql-server

となってしまいインストールできないことがあります。

CentOS8ではAppStreamと言う概念が作られていて、標準ではそこを見に行ってしまうためにこのエラーが発生します。

対策

dnf --repo pgdg12 install postgresql12-server

このようにリポジトリを明示的に指定しインストールすることで対処可能です。

毎回このコマンドを打つのが面倒な場合は

dnf module disable postgresql

でPostgreSQLに関するモジュールを無効化しておきましょう。

今回の目玉はやはりKubernetesのネイティブサポートです。

遂にVMwareが仮想化からコンテナに完全シフトしています。

これまでのvSphere6.7までのメジャーバージョンアップと訳が違うので、これまでVMware製品に精通していた方は大きな勉強し直しを強いられることになると思います。

コンテナが怖くて避けていたネットワークやインフラエンジニアにもこの波が大きく押し寄せてきましたね。

VMware Tanzu PortfolioとCloud Foundation 4 with Tanzuの2製品群に組み込まれています。

まだまだグローバルでも情報が少なく、きちんと整理された説明がされているところが殆どありません。

私も全然理解しきれていないので参考になりそうなWebサイトを随時リンクしていこうと思います。

VMware Tanzu PortfolioとCloud Foundation 4 with Tanzuの参考サイト

1.Cloud Watch

ヴイエムウェアの今後20年を支えるアプリとインフラのポートフォリオ――、「Tanzu Portfolio」「Cloud Foundation 4 with Tanzu」を発表

複雑な製品群をそれぞれどんな役割のものなのか、どういうときに使うものなのか丁寧に説明してくれています。

今のところ取っ掛かりとしてはこのページが抜群にわかりやすいです。

vSphere7 の変更点

※VMware主催のウェビナーやいろいろなところから集めてきたドキュメントをもとに記事を更新しています。
誤り等がある可能性がありますのでご了承下さい。

vCenter Serverプロファイルの追加

複数のvCenterに対する設定が一括で可能になったようです。

プロファイルはJSON形式とのことでした。

複数vCenter運用だと一番面倒なのが各vCenterのプロファイル管理です。

これがESXiのイメージプロファイルのように一元管理できるようになったのは非常に大きなアップデートになりますね。

コンテンツライブラリの機能拡張

今までまともに使えていなかったコンテンツライブラリですが、今度こそはきちんと使えるようになっているようです。

テンプレートの管理だけでなくバージョニングもできるようになりました。

ある程度の規模になるとテンプレートからのデプロイは日常的に行われる作業になると思います。

これをバージョン管理ができるコンテンツライブラリ上でできるようになるのは結構大きなアップデートです。

vCenter ApplianceのマルチNIC対応(最大4つ)

VCSAは今までNICが1つ(VCHAを組む場合のみ2つ)しかNICが付けられませんでした。

この制限が開放されて最大4つまでNICが持てるようになっています。

昔ながらのWindowsベースのvCenterではできたいた事ができなくなっており、意外と不便なポイントでした。

私も複数NICを使ったvCenter5.0を採用していたので、そこからアップグレードするときにNW構成から見直す必要がでてきてかなり苦戦した記憶があります。

SSOドメインの登録解除、リポイントが可能に

今まで一度登録したSSOドメインを変更するのは非常に大変でした。

これがvCenter CLIを使用することで簡単にできるようになっています。

運用上必要なことがでてくるので地味に嬉しいアップデートです。

外部PSCの廃止

遂に外部PSCが廃止され、組み込みPSCのみの採用となりました。

6.5では外部PSC推奨→6.7では非推奨→7.0では廃止と中々に迷走していましたが遂に廃止と言う結論になりましたね。

外部PSCは非常に管理が大変で煩雑になる要素だったので廃止も妥当だと思います。

vCenterを複数立てた場合は内部PSC同士で良いようにしてくれるらしいので、大きなパフォーマンス劣化などはなさそうです。

DRSの機能改善

DRSも大きくアップデートされています。

• 5分間隔のDRSを1分間隔に変更
• クラスタベースの管理から仮想マシンのワークロード単位での管理に変更
  これにより、各VMがよりパフォーマンスの出せるホストへ移行する動きを取ります。
  クラスタの負荷均一化を目指していた従来のDRSとはアプローチが大きく異なっています。

DRSに関してはもともと大きな不満はありませんでしたが、より負荷を公平に分散できるような評価値に変更されたようです。

DirectPath I/OでのDRS、HAサポート

GPUなどをESXi経由で使うときに使うDirectPath I/Oですが、今までは制限がキツすぎて仮想化のメリットが殆ど出せませんでした。

今回から仮想マシンが直接PCI-eデバイスを見ることができるようになり、DRS、HAのサポート対象となりました。

これにより仮想化のメリットが十分に活かされたGPU環境が用意できます。

vMotionの強化

今までは大きな仮想マシンを移行するときに1秒程度固まることがあったと思います。

これがネックでOracleやSAP HANAなどのvMotionを躊躇するケースが多くありました。

vMotionのプロセスを大きく変更することにより、大幅に固まる時間を削減することができるようになったとのことです。

今回のアップデートで1秒以上の固まりを無くすことを目標としているとのことでした。

Identity Federation

ADFSをネイティブサポートするようになったとのことです。

これによりVMwareのSSOだけ孤立していて何のためのSSOなんだ状態だった部分が大きく改善されますね。

ライフサイクル管理の改善

クラスター単位であるべき状態をモニタリングし、ドライバやファームウェアの管理も含めて適切な状態を維持してくれるようです。

DELLとHPE製品もこの機能の中に組み込まれており、一元管理しやすいようになっています。

アップデートがあればその通知もされますし、クラスター単位で自動アップデートもできる機能だけきくと優れものです。

が、実際問題ライフサイクル管理機能に任せた自動アップデートなんて怖すぎて多くの日本企業は運用に乗せられないでしょう。

個人的にはイケイケなので是非使いたいのですが、事故があった時にどうしようもなくなるので難しいところですね。