ひとり情シスの味方！お手軽社内サーバ監視・リモートデスクトップ接続

私の所属するチーム（基盤エンジニアリング本部基盤サービス部サービス開発課）では、DX edgeというエッジデータセンターソリューションを開発・運用しています。お客様の社内に設置したエッジデータセンターをIIJが遠隔で運用保守するマネージドサービスも提供しています。リモートから監視・運用するために、IIJ IoTサービスを活用した運用保守用のリモートアクセスする仕組みとゲートウェイ機器（リモートアクセスボックス）を開発しました。

先日、あるお客様から手軽に社内サーバへアクセスするためにこの仕組みが便利そうなので譲ってくださいとお願いされました。そこで、このリモートアクセスボックスを提供したところとても高評価をいただきました。このブログ記事では、リモートアクセスボックスで何ができるのか、またその仕組みを紹介します。

そのお客様は、いわゆる”ひとり情シス”の総務兼IT担当者です。会社はITにかけられる予算や稼働リソースが限られており、外から社内のサーバにアクセスする手段がありません。これまでは、システムトラブルがあった時には24時間365日いつでもすぐにオフィスに駆けつけて対応する必要がありました。その方は、IT担当になってから一度も旅行に行ったことが無いと嘆いていました。でも、DX edgeリモートアクセスボックスを導入したおかげて、ゆっくり温泉旅行に行くこともできそうです。ただし、PCは持っていかないといけないですが。

特長

•  インターネット環境があればどこからでもWebブラウザでアクセス可能
•  IIJの閉域モバイル網でセキュアなアクセス
•  既存の社内ネットワークと別のため、設定変更は最低限で簡単設置/ネットワーク障害時も利用可能
•  なによりも月額数千円という低価格

リモートアクセスボックス用のIPアドレスをひとつ払い出して、社内ネットワークにつなぐだけで利用可能です。

できること

リモートアクセスボックスでできることは、以下の3つです。

1. 社内システムの機器へのアクセス（リモートデスクトップ、SSH接続、ルータ等デバイスの管理画面）
2. 社内システムの機器のCPU、ディスク使用量、ネットワーク使用率やステータスの情報を収集し、グラフ化
3. 社内システムの機器の死活監視、しきい値監視でアラートをメール通知

ユーザは、IIJ IoTサービスのコントロールパネルにWebブラウザでアクセスするだけで、社内のオンプレミス機器のグラフを参照したり、Windows PC/サーバなどにリモートデスクトップ接続、管理画面にアクセスすることができます。また、どこにいてもスマホでメール通知を受けたり、PCから状況確認したりことができるようになるのです。

これは、下図のようにIIJ IoTサービスとRaspberry Piで作ったリモートアクセスボックスの組み合わせで実現しています。

どのように実現しているか

ここから、少し技術的な内容を解説したいと思います。この仕組みはIIJ IoTサービスの機能を使って実現しているのですが、そもそも、なんでIoTサービスが社内システムのリモート運用の仕組みになるんだろう？？と疑問に思われている方も多いかと思います。

IIJ IoTサービス

IIJのIoTサービスはIoTでも特に技術要素が広範囲にわたる「つなぐ」の部分をサービス化しているものです。ISPやクラウド事業者としてのノウハウを元に、IoTビジネスの立ち上げをサポートするIoTプラットフォームです。セキュアな専用ネットワークで、セキュリティ対策も万全。社内システムからクラウドのプラットフォームに至るまで、インターネット接続性のないプライベートネットワークです。リモートアクセスボックスの仕組みでは、このIIJ IoTサービスのセキュアにつなぐ機能を使っているのです。

社内システムへの接続は、IIJ IoTサービスのデバイスコントロールという機能で実現しています。これは、登録してあるデバイスに対し HTTP/HTTPS プロキシ接続をします。この機能で、インターネット経由でリモートアクセスボックスにWebブラウザで安全に接続することができます。

社内システムの可視化（グラフ）と監視は、デバイスモニタリング機能を使用しています。IoTサービスプラットフォームに送信したデータをグラフ化したり、値のしきい値監視をすることで社内システムのモニタリングができます。リモートアクセスボックスで収集したデータをプラットフォームに送信し、データの可視化（時系列グラフ、地図表示）や、データ状況に応じた通知などのアクション実行が可能となっています。

リモートアクセスボックス

リモートアクセスボックスは、Raspberry Pi 4 Model BとLTEモジュールで構成しています。Linux OSなので扱いやすいと思います。リモートアクセスボックスには、以下の機能が入っています。

1. Cockpit – Linuxサーバー管理のWebベースのGUI
2. Apache Guacamole（ワカモレ） – リモートデスクトップやVNC、SSH、TELNETといったリモートアクセスのゲートウェイとして動作するオープンソースソフトウェア
3. 監視スクリプト – 機器監視のためのスクリプト。定期間隔で取得した監視データをJSON形式でIIJ IoTプラットフォームに送信する
4. ポートフォワーディング – 社内システムにあるネットワーク機器やネットワークカメラのWeb GUIをプロキシする

1. Cockpit

Cockpitは、リモートアクセスボックスをWebインタフェースで監視、管理することができるシステムです。設定管理やターミナル画面からのコマンドラインによるトラブルシューティングができるので何かと便利です。cockpit アドオンのNavigatorもインストールしています。これは、Webブラウザ上で、GUIのようなファイルシステムが使えるのでログファイルをPCに転送したりするのに非常に便利です。

※ IIJ IoTサービス オンラインマニュアル　デバイスコントロール ビューア機能+CockpitによるLinuxリモート管理

2. Apache Guacamole

リモートアクセスボックスが、社内システム（ローカルネットワーク）上のPC、サーバへのリモートデスクトップ接続やVNC接続用のゲートウェイとなります。
IIJ IoTサービスのオンラインマニュアルをもとに設定できますが、Tomcatのバージョン等、ところどころインストールがうまくいかなかったり試行錯誤しながら設定するところがありました。本記事では詳細は割愛しますが、ググっても、古いバージョンでのインストール記事だったり情報が少なくちょっと苦労することがあるかと思います。

 

※ IIJ IoTサービス オンラインマニュアル　デバイスコントロールとGuacamoleを用いたリモートメンテナンス/リモートワーク

デバイスリンク機能を利用して、接続元のPCからリモートデスクトップ接続することもできます。

3. 監視スクリプト

Cronで定期的にSNMPの値を取得して、JSON形式でIoTサービスへデータを送信するスクリプトを作成しています。サーバのCPU使用率、ディスク使用量、実行プロセス数やネットワーク機器のトラフィック量などの情報を取得しIoTサービスのデータストレージに格納します。また、サーバルームのドア開閉や温度といったセンサーデータを取得するといったことも可能です。また、デバイスモニタリング画面でしきい値を設定し、アラートメールを出すこともできます。

4. ポートフォワーディング

社内システムにあるネットワーク機器などの管理用Web GUIやネットワークカメラにアクセスするには、リモートアクセスボックスでポートフォワーディングの設定をします。デバイスコントロールのビューア画面からWebブラウザでアクセスすることができます。

※ IIJ IoTサービス オンラインマニュアル　デバイスコントロール画面（ビューア画面）

さいごに

Raspberry PiやSDカードは商用利用するには正直なところ寿命が長くなく、壊れる可能性もあるといった注意点があります。しかし、ハード自体の価格が手ごろであり扱いやすいといったメリットがあります。手軽にまず始めてみるのにはちょうど良いでしょう。

本記事やIIJ IoTサービスのオンラインマニュアルなどを内容を参考にして、必要なRaspberry Pi、LTEモジュール等（ちなみにメッシュのケースはメーカさんに特注してもらいました。マグネット付きでラックに貼り付けておくことができます）を購入して、構築してみてはいかがでしょうか？
スキルに不安がある、そこまで時間が無いという場合は、弊社でIoTサービスのコントロールパネルの設定や、リモートアクセスボックスに必要なインストールと設定をして、ケーブルに挿せばすぐ利用できる状態でお届けします。これが欲しい！と思った方は、お問い合わせください。