Umbrellaへの切り替え後にAkamaiが提供するコンテンツとドメインのトラブルシューティング
はじめに
このドキュメントでは、Cisco Umbrellaに切り替えた後に、Akamaiサービスを受けたコンテンツとドメインの問題をトラブルシューティングする方法について説明します。
Akamaiとは何ですか?また、どのように使用されますか?
Akamaiは、Web上の多くのコンテンツプロバイダー向けにコンテンツを保存および提供するコンテンツ配信ネットワーク(CDN)です。これには、ストリーミングビデオ、画像、サイトコンテンツ、スクリプト、広告などが含まれます。Akamaiは、Amazon CloudFrontやLimelight Networksなど、多くの人気サイトのバックボーンを提供する多くのCDNの1つです。
CDNは、大量のトラフィックのスパイク(ニュース速報がある場合など)を含む非常に高いトラフィックを持つため、Webサイトによって使用されます。 Web管理者は、サイトをホストするための独自のホスティングインフラストラクチャ(ピーク時に対応できる十分な処理能力を必要とするが、同時に大部分の時間はアイドル状態のままにしておく)に料金を支払うのではなく、CDNを使用するため、実際に使用するリソースに対してのみ料金を支払うことになります。時間が遅くなると、コンテンツは少ないリソースで送信され、ピーク時にはCDNがリソースをスケールアップして、誰にでも簡単にサービスを提供できるようになります。その結果、サイトのアップタイムが大幅に向上し、Web管理者のコストを削減できます。Akamaiは、このタイプのCDNの中でも非常に大きなCDNの1つです。
WebサイトがAkamaiを使用しているかどうかを確認するには、edgesuite.net、akamai.net、edgekey.net、amakaiedge.net(通常はすべての.net)などのCNAMEとしてサブドメインを指しているwww.sitename.comを探します。 Akamai CNAMEがあるかどうかを確認するには、domain.comではなくwww.domain.comを検索してください。
注:サイトによっては、サイト内の画像またはビデオコンテンツに対してのみAkamaiを使用し、画像のみがCNAMEを介してAkamaiによって提供されるドメインを参照します。
Cisco Umbrellaの使用はAkamaiコンテンツに影響しますか。Umbrellaから返されるIPアドレスがISPのIPアドレスと異なるのはなぜですか。
Cisco Umbrellaを使用しても、いずれかのドメインリストによってAkamaiドメインがブロックされていない限り、Akamaiコンテンツそのものには影響しません。追加されたドメインはすべて、すべてのサブドメイン(例: *.domain)に対して自動的にワイルドカードとなるので、ブロックリストに「akamai.net」と入力すると、Web上の多くのサイトが壊れることに注意してください。
また、ISPのDNSサーバとCisco UmbrellaがAkamaiトラフィックを処理する方法が異なる場合もあります。ISPのDNSが異なるコンテンツをロードする結果になる場合もあります。ISPのDNSサーバから返されるIPアドレスが、シスコへの問い合せ時に受信したアドレスと異なることはよくあります。しかし、これはシスコの結果が正しくないことを意味します。その逆です。結果は異なりますが、これはCisco/OpenDNSとAkamaiがEDNSクライアントサブネット(ECS)を使用してGlobal Internet Speedup Projectに参加しているためです。 DNS要求から返されたIPに影響を与える方法については、この記事を引き続き参照してください。
これは赤舞にだけ影響するのでしょうか?
No.これは、ECSを使用するすべてのCDNプロバイダーに影響を与える可能性があります。Akamaiは最も一般的な出来事です。
ECSとは何ですか。どのような違いがありますか。
ECSはEDNS Client Subnetの略で、世界中に分散しているWebサイト(特にCDN)の機能と速度を向上させることを目的としたGlobal Internet Speedup Projectの一環として設立されたプロジェクトです。
ECSを使用しない場合:現在のDNSサーバからDNSが要求され、ドメインの権威DNSサーバに照会して接続先のサーバのIPアドレスを返します。このサーバは、照会されたDNSサーバのサーバに近く、現在の場所から非常に離れている可能性があります。照会されたDNSサーバは、どのリージョンのコンテンツサーバを使用して応答を提供するかを決定します。エンドユーザは、コンテンツを提供するサーバから非常に離れているため、速度が遅くなる可能性があります。たとえば、ブラジルのユーザAが、マイアミのDNSサーバであるローカルDNSサーバセットに照会するとします。マイアミのDNSサーバは、ドメインのマイアミに近い応答IPアドレスを返します。ユーザAは、ダウンロードが非常に遅く、米国から来ていることに不満を感じています。
ECSを使用する場合:再帰DNSサーバに対するDNSには、権威DNSサーバへのDNS要求に付加された送信元サブネット(通常は/24)があります。ドメインの権威サーバは、エンドユーザの要求を処理するのに最も近くて最適なサーバであると判断した場合に、カスタム応答で応答します。ユーザは任意の場所でDNSサーバにクエリーを実行し、コンテンツを提供するローカルサーバを引き続き取得できます。たとえば、ブラジルのユーザAが、マイアミのDNSサーバであるローカルDNSサーバセットに照会するとします。DNSサーバでは、マイアミでECSが有効になっており、ユーザがブラジルのサブネットから来ているドメインに対して権限を持つDNSサーバに渡されます。次に、ブラジルのサンパウロにあるデータセンターのドメインに対する応答IPアドレスを返します。ユーザAは、マイアミのDNSサーバがECSをサポートし、コンテンツプロバイダーからのダウンロードが高速であることに満足しています。
Cisco Umbrellaを使用する際に発生する可能性のある問題は何ですか。
Cisco UmbrellaのグローバルDNSネットワークとAkamaiはECSに対応しているため、現在のDNSの出力サブネットに最適なサーバIPで応答します。これは、特定のISPとのロードバランシングを行う場合や、ISPの終端でルーティングの問題が発生している場合に問題になる可能性があります。たとえば、1つのISPが内部Akamaiサーバを持ち、ISPのDNSサーバを使用するすべてのユーザをこのローカルサーバに誘導できます。その後、他のAkamaiサーバのIPをブロックして、すべての人にローカルのAkamaiサーバを使用させて交通費を節約させます。
シスコに切り替える際には、エンドユーザサブネットに対して最適なサーバは何かをAkamaiに直接尋ね、Akamaiが直接回答します。特にロードバランスされた接続では、AkamaiはISPが正しくルーティングしていない有効なIPを返すことができます。
このシナリオでは、Cisco Umbrellaに切り替えた後、Akamaiが提供するコンテンツが断続的にロードされません。最も一般的な現象は、リッチコンテンツのないHTMLのワイヤフレームとしてロードするなどのニュースページです。最も一般的に見られる問題は、ISP Time Warner Cable(RoadRunner)です。
Cisco UmbrellaからAkamaiコンテンツ用に返されるIPはこうした場合に有効であり、ISPは接続を確立していないためタイムアウトすることに注意してください。この種の問題が実際に発生していることを確認するには、モバイルデータの携帯電話など、異なる種類のネットワーク接続を使用しているデバイスで同一のIPをテストします。
Cisco UmbrellaへのDNS要求に対する応答でIPアドレスを取得できない場合、これは別の問題です。support@umbrella.comにお問い合わせください。このケースは、Cisco Umbrellaが有効なAkamai IPアドレスで応答しているときにページがロードされない場合にのみ適用されます。
この問題が発生した場合、誰が支援できますか。
この問題の解決を支援できるのは、ISPだけです。これは、DNS要求がISPがタイムアウトした先のIPアドレスを返す一方で、他の地域は同じIPに接続できるためです。Cisco Umbrellaは、DNS要求への応答として有効なIPアドレスを返すという役割を果たしています。ISPは、このIPアドレスにデータをルーティングする部分をまだ完了していません。ISPへの加入は、インターネットリソースへのアクセスを許可することですが、これはISP側で許可を行う障害となります。
ISPは、ネットワークとピア間のルーティングをトラブルシューティングできる唯一のベンダーです。Cisco Umbrellaには可視性がなく、このルーティングの問題を修復することはできません。有効なIPアドレスを返していて、そのアドレスにルーティングできないことを示すことしかできません。
例:Domain.comは、IP 1.2.3.4を指すa1234.a.akamaiedge.netのCNAMEです。1.2.3.4への接続はタイムアウトします。tracerouteを実行すると、ISPを経由して8ステップ先に進みますが、戻り値の取得は停止します。
問題と解決策の例:ISPと話した後、問題はISPのIP範囲に、ISPのスペース内でAkamaiからユーザのIPに戻るリターンルートがないことです。ISPは、次の2つのオプションを提示しました。1)AkamaiがこのIPに戻るルートを追加するのを待つ、または2)ISPの範囲内のIPを、Akamaiからのリターンルートが機能するIPに変更する。
ISPとの連携にサポートが必要ですか。Akamai A-recordから返されたIPがAkamaiからリゾルバを通じて有効であることを説明し、証拠を提供することができます。
トラブルシューティングのヒント
この問題が影響を与えると思いますか。しかし、確信を持てずにですか。トラブルシューティングに役立つヒントを次に示します。これらの手順は、サポートチームがお客様を支援するために必要です。この情報を収集したら、support@umbrella.comに問い合わせてください。
- 問題のあるドメインに対して
nslookupクエリを使用してみてください。この例では、執筆時点でAkamaiを活用しているサイトであるwww.foxnews.comを使用します。- nslookup www.foxnews.com
- nslookup www.foxnews.com
8.8.8.8 - nslookup www.foxnews.com
208.67.222.222 - nslookup www.foxnews.com
208.67.220.220
tracerouteの使用:OSに応じて、tracert(Windows)またはtraceroute(OS X)を使用します。 この例では、FQDNと、ステップ1で取得したIPアドレスをトレースしようとしています。- tracert www.foxnews.com
tracert<nslookupwww.foxnews.comの結果IP>tracert<nslookupwww.foxnews.com 8.8.8.8の結果IP>tracert<nslookupwww.foxnews.com 208.67.222.222の結果IP>
- 到達できないドメインとIPのリストを収集すると、ISPによってブロックされている共通のAkamaiホストインフラストラクチャを共有できます。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
26-Sep-2025
|
初版 |
フィードバック