Post on 02-Jul-2015
©2013 CMScom info@cmscom.jp
Ploneを使った大規模環境でのCMSソリューション
CMSコミュニケーションズ代表 / Advisory Board Member of Plone Foundation寺田 学 terada@cmscom.jp / terada@plone.org
http://www.cmscom.jp2013年8月7日
at Plone Talk 2013.08
オープンソースCMSを使った大規模サイト構 築のノウハウをお伝えします
1 最初に
©2013 CMScom info@cmscom.jp
大規模エンタープライズ
CMSとか言いますが・・・。
1 最初に
©2013 CMScom info@cmscom.jp
どこが?どう使っている?
にお声たえしたいと思います。
1 最初に
©2013 CMScom info@cmscom.jp
本日のテーマは
システム構築のパターン説明、指針解説
コンテンツ編集・承認を多人数でするための方策
などを、解説します。
自己紹介
©2013 CMScom info@cmscom.jp
•寺田 学 @terapyon•Advisory Board Member of Plone Foundation•一般社団法人PyCon JP 代表理事•Ploneコアコミッター、Zopeコアコミッター•(株)CMSコミュニケーションズ代表 http://www.cmscom.jp•一橋大学大学院 社会学研究科 地球社会専攻 元客員准教授•Plone/Zopeの専業Webシステム構築・コンサルティング•大学や政府系サイトなどを手がけています•独自にWeb検索システムの構築もしています•書籍(共著)
2
アジェンダ
©2013 CMScom info@cmscom.jp
•問題提起(大規模とは?)•システム構成•ユーザ認証、ワークフロー•改ざんを防ぐ方策•クラウド技術の活用
3 問題提起
©2013 CMScom info@cmscom.jp
•大規模って何をさすの?•閲覧数がそれなりに多い•ユーザ人数が多い•データの量が多い•情報の承認フローを持ちたい•すぐにデータを反映
3 問題提起
©2013 CMScom info@cmscom.jp
•その他にも•改ざんを防ぎたい •ユーザごとに表示内容を変えたい
Plone (スタンドアローン)
1台の物理サーバ又はクラウドサーバ
4 システム構成
©2013 CMScom info@cmscom.jp
最小構成管理者
管理用アクセスパスワード必要
Apache (Webサーバ)
Ploneコアシステム(アプリケーションサーバ)
ZODB(データベースサーバ)
閲覧者
閲覧者
4 システム構成
©2013 CMScom info@cmscom.jp
大規模構成 管理者
Apache (Webサーバ)
Ploneコアシステム(アプリケーションサーバ)
MySQL/PostgreSQL(スレーブ)
(データベースサーバ)
閲覧者
閲覧者
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Apache (Webサーバ)(ログイン用)
Varnish (キャッシュサーバ)
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Varnish (キャッシュサーバ)
HAProxy (ロードバランサ)
MySQL/PostgreSQL(マスター)
(データベースサーバ)
Memcached(一時保存ファイル)
LDAP(ユーザディレクトリ)
外部SSO認証サーバ
4 システム構成
©2013 CMScom info@cmscom.jp
よくある構成管理者管理用アクセスパスワード必要Apache (Webサーバ)
Ploneコアシステム(アプリケーションサーバ)
ZODB(データベースサーバ)
閲覧者
閲覧者
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Apache (Webサーバ)(ログイン用)Varnish (キャッシュサーバ)
4 システム構成
©2013 CMScom info@cmscom.jp
よくある構成管理者管理用アクセスパスワード必要Apache (Webサーバ)
Ploneコアシステム(アプリケーションサーバ)
ZODB(データベースサーバ)
閲覧者
閲覧者
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Apache (Webサーバ)(ログイン用)Varnish (キャッシュサーバ)
Plone (ZEOインスタンス)
1台の物理サーバ又はクラウドサーバ
4 システム構成
©2013 CMScom info@cmscom.jp
よくある構成管理者管理用アクセスパスワード必要Apache (Webサーバ)
Ploneコアシステム(アプリケーションサーバ)
ZODB(データベースサーバ)
閲覧者
閲覧者
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Apache (Webサーバ)(ログイン用)
1台の物理サーバ又はクラウドサーバ
1台の物理サーバ又はクラウドサーバ
Varnish (キャッシュサーバ)
4 システム構成
©2013 CMScom info@cmscom.jp
よくある構成管理者管理用アクセスパスワード必要Apache (Webサーバ)
Ploneコアシステム(アプリケーションサーバ)
ZODB(データベースサーバ)
閲覧者
閲覧者
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Apache (Webサーバ)(ログイン用)Varnish (キャッシュサーバ)
4 システム構成
©2013 CMScom info@cmscom.jp
大規模構成 管理者
Apache (Webサーバ)
Ploneコアシステム(アプリケーションサーバ)
MySQL/PostgreSQL(スレーブ)
(データベースサーバ)
閲覧者
閲覧者
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Apache (Webサーバ)(ログイン用)
Varnish (キャッシュサーバ)
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Varnish (キャッシュサーバ)
HAProxy (ロードバランサ)
MySQL/PostgreSQL(マスター)
(データベースサーバ)
Memcached(一時保存ファイル)
LDAP(ユーザディレクトリ)
外部SSO認証サーバ
4 システム構成
©2013 CMScom info@cmscom.jp
•Apache(Webサーバ)•HTTPリクエストを受け取るフロントサーバ
•Varnish(キャッシュサーバ)•コンテンツのページキャッシュ•HAProxy(ロードバランサ)•セッション機能付きロードバランサ
4 システム構成
©2013 CMScom info@cmscom.jp
大規模構成 管理者
Apache (Webサーバ)
Ploneコアシステム(アプリケーションサーバ)
MySQL/PostgreSQL(スレーブ)
(データベースサーバ)
閲覧者
閲覧者
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Apache (Webサーバ)(ログイン用)
Varnish (キャッシュサーバ)
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Varnish (キャッシュサーバ)
HAProxy (ロードバランサ)
MySQL/PostgreSQL(マスター)
(データベースサーバ)
Memcached(一時保存ファイル)
LDAP(ユーザディレクトリ)
外部SSO認証サーバ
4 システム構成
©2013 CMScom info@cmscom.jp
•MySQL/PostgreSQL(データベースサーバ)•FileStorage(Data.fs)の代わりに、RelStorageを使用し、RDBMSにコンテンツを保存
•Memcached•一時的なデータの保存
4 システム構成
©2013 CMScom info@cmscom.jp
大規模構成 管理者
Apache (Webサーバ)
Ploneコアシステム(アプリケーションサーバ)
MySQL/PostgreSQL(スレーブ)
(データベースサーバ)
閲覧者
閲覧者
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Apache (Webサーバ)(ログイン用)
Varnish (キャッシュサーバ)
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Varnish (キャッシュサーバ)
HAProxy (ロードバランサ)
MySQL/PostgreSQL(マスター)
(データベースサーバ)
Memcached(一時保存ファイル)
LDAP(ユーザディレクトリ)
外部SSO認証サーバ
4 システム構成
©2013 CMScom info@cmscom.jp
•外部SSO•シングルサインオンシステムとの連携•LDAP•ユーザ情報の一元化•人事データ等が別途管理されている場合
4 システム構成
©2013 CMScom info@cmscom.jp
大規模構成 管理者
Apache (Webサーバ)
Ploneコアシステム(アプリケーションサーバ)
MySQL/PostgreSQL(スレーブ)
(データベースサーバ)
閲覧者
閲覧者
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Apache (Webサーバ)(ログイン用)
Varnish (キャッシュサーバ)
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Varnish (キャッシュサーバ)
HAProxy (ロードバランサ)
MySQL/PostgreSQL(マスター)
(データベースサーバ)
Memcached(一時保存ファイル)
LDAP(ユーザディレクトリ)
外部SSO認証サーバ
4 システム構成
©2013 CMScom info@cmscom.jp
•部分的に置き換えも可能•Apache → nginx•Varnish → Squid / Apache•HAProxy → ロードバランサ•MySQL → NEO•LDAP → 独自認証システム
4 システム構成
©2013 CMScom info@cmscom.jp
•キャッシュサーバ•画像/CSS/JavaScriptなどデータ•動的データ•キャッシュサーバのデータを更新•Purgeしたい
4 システム構成
©2013 CMScom info@cmscom.jp
•実際問題どこまでやればいいの??•最終的には実際に使い始めないとどうなのかは分からないが・・。
4 システム構成
©2013 CMScom info@cmscom.jp
•その他ポイント•zope.conf(buildout.cfg)出来ること•検討項目は?•単純に閲覧が多い?•更新が多い?•CPUコア数・メモリ量に応じた配分
4 システム構成+α
©2013 CMScom info@cmscom.jp
•他の対策は?•ESIの活用•CDN(アカマイ/CloudFrontなど)使用•データベースの分割•ハードウエアの増強
4 システム構成
©2013 CMScom info@cmscom.jp
•Plone 4以降•以前のバージョンに比べ早い•blob化 / Python2.6 or 2.7の活用•テンプレートの見直し
4 システム構成
©2013 CMScom info@cmscom.jp
•ちなみに、SSL対応したければ、フロントに立ててあるApacheで対応するだけ
•アプリケーションサーバには、内部アクセスとして、8080ポートなどで通信を行うので、従来通りとする
4 システム構成
©2013 CMScom info@cmscom.jp
大規模構成 管理者
Apache (Webサーバ)
Ploneコアシステム(アプリケーションサーバ)
MySQL/PostgreSQL(スレーブ)
(データベースサーバ)
閲覧者
閲覧者
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Apache (Webサーバ)(ログイン用)
Varnish (キャッシュサーバ)
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Varnish (キャッシュサーバ)
HAProxy (ロードバランサ)
MySQL/PostgreSQL(マスター)
(データベースサーバ)
Memcached(一時保存ファイル)
LDAP(ユーザディレクトリ)
外部SSO認証サーバ
4 システム構成(まとめ)
©2013 CMScom info@cmscom.jp
•実績のあるオープンソースアプリ活用•Plone自体がコミュニティーで支援•全世界のエンジニアで協力し問題点解決!!
5 ユーザ認証・ワークフロー
©2013 CMScom info@cmscom.jp
•Ploneにはユーザ認証の仕組みがある
•Ploneにはワークフローの仕組みがある
5 ユーザ認証
©2013 CMScom info@cmscom.jp
•LDAPなど既存のディレクトリシステムとの連携が可能
•SQL等の外部DB連携によるユーザ認証も可能
•PAS(PluggableAuthService)と呼ばれる、アドオンの仕組みがある
5 ユーザ認証
©2013 CMScom info@cmscom.jp
•SSO(シングルサインオン)の対応も可能•多くの大学や組織が持っている、各種システムとの連携が出来る
5 ユーザ認証
©2013 CMScom info@cmscom.jp
•ユーザ認証は何のために行う?•コンテンツの編集作業•公開承認作業•システムの管理•閲覧管理•その他、何かの動作を許可する前提
5 ユーザ認証
©2013 CMScom info@cmscom.jp
•ログイン出来たら操作を許可?•どのようにログインユーザと操作を結びつけるのか?
5 ユーザ認証
©2013 CMScom info@cmscom.jp
•権限関係の関連キーワード•ユーザ•グループ•ロール(役割)•パーミッション(権限)•上記の4つの組み合わせにより操作許可
5 ユーザ認証
©2013 CMScom info@cmscom.jp
•権限関係の関連キーワード その2•ローカルロール•オブジェクト単位の共有設定•上位継承•ワークフローの状態(State)による条件•複数のワークフロー•コンテンツタイプごと/フォルダごと
5 ユーザ認証
©2013 CMScom info@cmscom.jp
•操作許可までの動き•ユーザはロールを持っている•ロールに応じたパーミッションがマッピングされ、操作の許可がされる•共有設定で指定のオブジェクトにロールが割り当てる• 例えば編集の際のパーミッション(Modify Portal Content)はEditorロールを持つユーザに許可
5 ユーザ認証
©2013 CMScom info@cmscom.jp
•その他•複数の認証システムの組合せが可能•IPアドレスによるユーザ認証も可能
5 ワークフロー
©2013 CMScom info@cmscom.jp
•デフォルトで複数のワークフローがある•自由にカスタマイズが可能•独自のワークフローの記述が出来る•ZMI / XML / CSVなどで•コンテンツタイプごとに使用するワークフローが選択できる
5 ワークフロー
©2013 CMScom info@cmscom.jp
2段階承認の例
非表示中
内部承認待ち
最終承認待ち
公開中
内部公開中
提出
内部公開
公開
承認
状態(State): コンテンツの状態を表す
遷移(Transition): ワークフローの遷移を表す
5 ワークフロー
©2013 CMScom info@cmscom.jp
•状態(State)は、コンテンツの状態を表す•パーミッション(権限) - ロール(役割)のマッピングを上書きし、閲覧権限や編集権限などを状態によって変化させる
5 ワークフロー
©2013 CMScom info@cmscom.jp
2段階承認の例
非表示中
内部承認待ち
最終承認待ち
公開中
内部公開中
提出
内部公開
公開
承認
状態(State): コンテンツの状態を表す
遷移(Transition): ワークフローの遷移を表す
5 ワークフロー
©2013 CMScom info@cmscom.jp
•遷移(Transition)は、ワークフローの遷移を表す
•別の状態(State)に遷移させるもの•遷移の条件を以下の方法で決める•パーミッション(権限)•ロール(役割)•スクリプト(条件を記載したPython)
5 ワークフロー
©2013 CMScom info@cmscom.jp
2段階承認の例
非表示中
内部承認待ち
最終承認待ち
公開中
内部公開中
提出
内部公開
公開
承認
状態(State): コンテンツの状態を表す
遷移(Transition): ワークフローの遷移を表す
5 ユーザ認証・ワークフロー(まとめ)
©2013 CMScom info@cmscom.jp
•状態(State)と遷移(Transition)を理解すれば、ワークフローは作れる
•ユーザに操作を許可させるには、ユーザが持つロールを経由して行う
•認証と操作許可は完全に分離されている
6 改ざんを防ぐ方策
©2013 CMScom info@cmscom.jp
•ログインアカウントをきっちり管理•定期的にパスワードを変更する•認証を外部にまかせて、信頼を担保(SSOなど)
6 改ざんを防ぐ方策
©2013 CMScom info@cmscom.jp
•ログインさせない•指定のIPアドレスからのみ接続許可
•データベースを読み取り専用(リードオンリー)モードで使う
6 改ざんを防ぐ方策
©2013 CMScom info@cmscom.jp
大規模構成 管理者
Apache (Webサーバ)
Ploneコアシステム(アプリケーションサーバ)
MySQL/PostgreSQL(スレーブ)
(データベースサーバ)
閲覧者
閲覧者
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Apache (Webサーバ)(ログイン用)
Varnish (キャッシュサーバ)
Ploneコアシステム(アプリケーションサーバ)
Ploneコアシステム(アプリケーションサーバ)
Varnish (キャッシュサーバ)
HAProxy (ロードバランサ)
MySQL/PostgreSQL(マスター)
(データベースサーバ)
Memcached(一時保存ファイル)
LDAP(ユーザディレクトリ)
読み取り専用
ログインURL禁止 IP制限
7 クラウドサーバの活用
©2013 CMScom info@cmscom.jp
•IaaSと言われる、ほとんどのクラウドサーバで運用可能
•アプリケーションサーバの増強には、クラウド環境は手軽で簡単
•テスト・ステージングサーバを立ち上げるのがすぐに出来便利
7 クラウドサーバの活用
©2013 CMScom info@cmscom.jp
•PaaSでもPloneが動作する環境はある•個々に癖があるので注意が必要
7 クラウドサーバの活用
©2013 CMScom info@cmscom.jp
•選定のポイント•柔軟にアプリケーションサーバが増やせるか?•OSイメージでバックアップする方法があるか?•課金体系は、使用するアプリケーションに合っているか?
8 Plone流
©2013 CMScom info@cmscom.jp
•Ploneには文化がある!!
•使う側、カスタマイズする側、管理側に、この文化が適用出来れば最強!!
8 Plone流
©2013 CMScom info@cmscom.jp
•オープンソースの活用で、長期間メンテナンスが可能なシステム構築を・・。
8 Plone流
©2013 CMScom info@cmscom.jp
10年以上進化をし続けている
Ploneに感謝!!
ご清澄ありがとうございました。