九州大学における教育・研究・業務における
クラウドの活用
藤村直美九州大学特任教授・名誉教授
情報統括本部
内容
• 九州大学等紹介
• クラウド利用の利点等
• WWWサーバ
• 重要情報もクラウドに
• 教育関連
• サーバ系
• VDI系
• 研究関連
• 業務関連
• クラウド利用の促進
• 今後の計画
2
概要
• WWWサーバをクラウドへ積極的に移行中
• 教育関連でも活用• 認証サーバやMoodleの学習履歴など、重要情報を含むサーバをクラウドに移行
• 教育・学習用にクラウドのVDI環境を提供
• 研究・業務支援として• ファイル共有システム(Proself)
• ホスティングサーバ
• ISMSのグループウェア
• クラウドを活用するに当たって検討した事項とクラウド活用の現状と今後の方針など
3
九州大学のキャンパス位置
4
伊都キャンパス
5
情報統括本部
九州大学の規模
• 研究院• 16研究院
• 学部• 11学部+21世紀プログラム
• 大学院• 19学府
• その他• 4専門職大学院
6
身分 人数
学部生 11,758
修士課程学生 3,931
博士課程学生 2,681
専門職大学院 289
学生の小計 (18,659)
教員 2,036
事務職員 872医療職員 1104その他技術職員 302
職員の小計 (4,314)
総計 22,973
2016年5月1日現在
情報統括本部の活動
• 全学ネットの運用
• 統合認証システム• 職員用SSO-KID(2007年10月)
• 学生用SSO-KID(2014年 3月)
• 全学ソフトウェア• MSのEES
• ウイルス対策ソフト• AdobeのCLP
• 全学基本メール
• ファイル共有システム(Proself)
• Office 365
• 教育学習環境支援• 学生PC必携化(BYOD)
• クラウドの活用
• 九大CSIRT
7
2006年度に設置準備、2007年4月に設置
クラウド利用の利点
• 電気料金
• 設置スペース(免震サーバ室)
• 予算の平滑化(一括購入資金)
• 柔軟な資源の増減が可能 (負荷変動に追随)
• 昼間の利用は多いが、夜間は利用が少ない
• 期間限定で利用(入試の合格発表、1週間)
• 将来の性能増強が可能(Proself)
• ソフトウェアとハードウェアを分離
8
クラウドの選定• 経済合理性があること
• 安心感があること• 市場で受け入れられていること
• 法律上の問題• データセンターの場所問題
• 管轄の裁判所
• 内容の保護(CIA)
• 基本的には自前で運用• Amazon VPC (Virtual Private Cloud) で接続
• SINET経由でVPN接続して、キャンパスの一部と位置付け
• IasS, PasS9
九大のAWS活用の全体図
10
教育利用
研究利用
業務関連
・e-ラーニング
-Moodle, Mahara, BookRoll
-CALL
・認証データ、学習履歴等の保存
・VDI(自分専用)
・Lab.Cloud
→AWS自由利用
- システム情報
- 数理学府
・Jupyter
→研究ノートのAWS移行
- 産学官連携
・WWWサーバ
・ファイル共有
- Proself(作業中)
・ホスティング
・ISMSグループウェア
九大のWWWサーバ
• 学内では1,000以上のWWWサーバが稼働中• これらは学外に情報提供
• 学内で運用されているWWWサーバ• 学部、学科、研究室等で独自に運用
• 数年毎にハードウェアの更新経費が必要
• 運用を担当している若手職員の負担を無視できない
• セキュリティ上の問題(ソフトウェア、コンテンツ)があるサーバが存在する?
• 問題発生時に情報統括本部が直接介入できない
11
WWWサーバの集約
• 情報公開用WWWサーバをクラウド上に集約
• セキュリティを担保(情報統括本部が介入可能に)
• 集約して経費を節減(安価、ピークがない、必要なだ
けの資源を手当て)
• 九大のトップページ
• 総務課の広報担当が内容の管理・更新
• 安定した運用
• 大橋キャンパスのWWWサーバ
• 19ドメインをそれぞれの関係職員が内容を更新
• 外部に出すために認証方式の変更
12
重要情報もクラウドに
• 認証データ、学習履歴などの保存・利用を認可• LDAP, AD
• Moodle, Mahara, BookRoll
• NIIのSINETと直接接続• VPN
• 大学のグローバルIPアドレスを割り当て
• CIAの検討• Confidentiality(機密性)
• Integrity(完全性)
• Availability(利用可能性)
13
Confidentiality(機密性)
• Webサービスなどの通常サービスからの情報漏洩
• AWSの管理者アカウントを利用した情報漏洩
• AWS上の仮想マシンイメージ(AMI・スナップショット・EBSボリューム等)の漏洩
• EBSボリュームの暗号鍵の漏洩
• 仮想マシンへの管理者アクセスによる情報漏洩
• 通信回線の盗聴による情報漏洩
• データが国外に持ち出されることによる情報漏洩
• 廃棄されたボリュームによる情報漏洩
14
Integrity(完全性)
• Webサービスなどからの改ざん
• AWS管理者アカウントからの仮想マシンイメージの不正操作
• 仮想マシンへの管理者アクセスによる改ざん・不正操作
15
Availability(可用性)
• サービスに対する妨害攻撃
• 保守などによる停止
• 電源喪失によるサービス停止
• ネットワーク断によるサービス停止
• 物理サーバ障害によるサービス停止・データ喪失
• AWS管理者アカウントへの侵入によるサービス妨害
• 仮想マシンへの管理者アクセスによるサービス妨害
16
教育関係
• 教育情報システム用サーバ系• Moodle, Mahara, BookRoll
• ホストコンピュータ(プログラミング言語教育)• CALL (Computer Assisted Language Learning)
• 学生用VDI系• Windows 10
• 全ての学生が自分専用のインスタンス• オンプレではライセンス料が高い
• サイバーセキュリティで感染の演習
17
教育用クラウド概念図
18
SIGUCCS 2017での発表
• Naomi Fujimura and Satoshi Hashikura, New Educational ICT Environment with Cloud in Kyushu University, Proc. of SIGUCCS ‘17, pp.105-108, ISBN 978-1-4503-4919-2/17/10…$15.00, https://doi.org/10.1145/3123458.3123490
19
Moodleの問題
• 負荷に対応してインスタンスを増減• 使用中のインスタンスが消滅するとセッションが切れる• インスタンスを減らすタイミングが問題
• ロードバランサーでサーバを切り替え• 一時的な作業ファイルがローカルに保存される• 別のサーバに変わると、処理を失敗• サーバ間で作業ファイルを共用するためにネット上の共有ファイルとすると、性能が低下
• 内容が同期されない• キャッシュをほぼ無効にする必要
• 性能低下
• セッションと作業ファイルを維持しながら性能を維持する必要あり
20
VDIの管理ポータル
• ユーザ管理
• Windows管理(個数、延起動時間、月末削除向無効、検索・一括処理)
• Linux管理(個数、延起動時間、月末削除向無効、検索・一括処理)
• クレジット(予算)申請
• 問い合わせ処理
• お知らせ
• データ管理(OS毎クレジット額、累計)
21
VDIのユーザポータル
• WindowsのVDIの作成、起動、停止、削除
• WindowsのVDIの月末削除回避
• クレジットの把握
• クレジットの追加申請
• 問い合わせ
• Linuxインスタンスの作成、起動、停止、終了
22
VDIの大量作成テスト
QUEENS同時作成テスト(東京)
件数作成時間 作成開始時刻 作成完了時刻
1 0:11:49 21:23:04 21:34:53
2 0:12:04 21:23:05 21:35:09
(中略)
198 1:33:33 21:23:26 22:56:59
199 1:52:40 21:23:18 23:15:58
23
• 東京リージョンで2017/8/28 21:23より199台の環境作成テスト• 東京では、最速が 11分、最遅が112分
• ノースバージニアで2017/9/30 21:01:23より200台の環境作成テスト• NVでは、最速が 9分、最遅が49分
QUEENS同時作成テスト(NV)
件数作成時間 作成開始時刻 作成完了時刻
1 0:09:46 21:01:23 21:11:09
2 0:09:54 21:01:23 21:11:17
(中略)
199 0:44:54 21:01:23 21:46:17
200 0:49:10 21:01:23 21:50:33
VDI大量作成時の所要時間(東京)
24
0
26
22
27
21
27
20
2526
4
01
0
5
10
15
20
25
30
0 10 20 30 40 50 60 70 80 90 100 110 120 130
件数
大量作成テスト(東京:NV)
25
(1.8個/分)
(4.1個/分)
研究関係
• Proself• 個人のアカウントでファイルを保存・共有
• メールの添付ファイル対応(share.iii)• 継続的にファイル共有(archive.iii)
• Archiveのハード寿命が来る
• 故障して高額な修理費がかかkった
• オンプレで購入すると高い
• 4TBの実体、公開用URLの移行
• ホスティング• WWW
• メール• DNS
• 42/375ドメイン分がオンプレからクラウドに移行• 機種更新などを契機に自然に移行を推進
26
業務関連(ISMSサーバ)
• 主にISMS適用範囲の部署において文書管理用グループ
ウェアを運用
• ユーザは70名程度、そのうちヘビーユーザは20名程度
• スモールスタートとしてt2.medium で余裕で運用
• t2.medium=2Core、4GB、HDD 300GB
• Xeon E3-1230v5 4Core, 16GB, HDD 1.8TB(RAID5) を業者が提案
• NASや外付けHDDを利用したバックアップ環境がS3の利
用で整理された
• オンプレ環境のVMイメージをインポートしたかったが、
RedHatのバージョンの問題で断念した27
ISMSサーバの経済合理性
• オンプレミスの場合• HW(5年保守込)+OS(RedHat 5年分)+バックアップ環境で約190万
• AWSの場合• 5年で60万円のはずが、業者の保守+S3利用料金が5年で約100万のため、5年で合計160万
28
クラウド利用の問題
• クレジットカード問題
• SIerで解決
• アカウントの作成時に手数料が発生
• AWS DirectConnectの保守
• 保守の内容・時間をあまり管理できない
• 01:00〜04:00 -> 01:00〜05:45(1時間45分超過)
29
調達方法
• 請負契約• 単価を算定
• WindowsのVDI(基本料、従量制使用料)
• Linux系のインスタンス使用料
• ストレッジ、バックアップ
• 総額で安い業者
• 一つずつは安いが、増えてくると政府調達の金額に達する?
• 本来、数分で使えるものが政府調達になると1年かかる
30
クラウドサービス導入支援TF
• クラウドサービスに関する利用者支援• クラウドサービス利用ガイドラインの管理・運用
• クラウドサービスの利用を検討している部局を支援
• Microsoft Azureの利用• Microsoft EES契約の特典であるAzureオプションを情報統括本部内で活用する際のとりまとめ
• Azureを利用する際に必要な情報の収集
31
今後の方針?
• 複数クラウドを活用する可能性を探る• AWSの活用
• Azureの活用
• 情報統括本部提供のサービス用サーバを移行
• 部局のサーバ群の更新を誘導する
• 契約数や金額が増えると調達方法に工夫が必要• 政府調達になる可能性
32