Comments
Description
Transcript
TECHNICAL BRIEF
TECHNICAL BRIEF トランスペアレントに構成できる機器のハイアベイラビリティ ロードバランス イントロ BIG-IP システムは、インターネット機器のアレイをコントロールするためにトランスペアレント・ノード・モードを使いま す。この場合、BIG-IP システムは、トランスペアレントに設定されたファイアウォール、プロキシ・キャッシュ・サー バ、そしてコンテンツもしくはメールのフィルタ・サーバのロードバランスや管理を行います。BIG-IP は、適正に動作 している機器に対してだけ自動的にトラフィックを振り向ける事で、トランスペアレントに設定された機器に対して、 スケーラビリティとフォールト・トレラント機能を提供します。 ノーマル・モードで、BIG-IP はトランスペアレントではないファイア・ウォールのロードバランス機能を提供します。ト ランスペアレントではないファイア・ウォールは、クライアントにとっては丁度サーバのように見えるので、BIG-IP が 多くのトランスペアレントでないファイア・ウォールの前に置かれた場合には、BIG-IP はそのクライアントのサーバと して見えます。 トランスペアレント・ノード・モードはまったく異なります。トランスペアレントなファイア・ウォールが、クライアントには ルータに見えるように、BIG-IP システムは、トランスペアレント・ファイア・ウォールの前に置かれた場合、そのクライ アントのルータのように見えます。 トランスペアレントな機器はどのようにして使うか トランスペアレント・プロキシ・ファイア・ウォールは、新しい世代のファイア・ウォールです。これは、イントラネットに ファイア・ウォールの保護を与え、インターネット利用者にトランスペアレントなインターネットへのアクセスを提供し ます。トランスペアレントなアクセスを提供するには、それらの機器が残りのイントラネットに"ルータ"ニして見える必 要があります。我々は、それらの機器を"ルータのような機器"ニ呼びます。 トランスペアレントなプロキシ・キャッシャは大変これに似ています。そしてその機能は、時としてファイア・ウォール と連動しています。それらの機器は、インターネットとイントラネットの間のトラフィックを減少させます。キャッシュ・ サーバは、インターネットから web ページをダウンロードし、そしてキャッシュの中に保存し、複数の内部ユーザにイ ンターネットから何度もダウンロードすることなくサービスを提供します。 トランスペアレントな、ファイア・ウォールやプロキシ・キャッシュ・サーバの使用の増加、及びその機器たちが元々も っているハイアベイラビリティとスケーラビリティに対する要求により、BIG-IP システムは、これらの機器にインテリ ジェントでハイアベイラビリティなロードバランス機能を提供する為に、徐々に活用され始めました。 トランスペアレント・ノード・ロードバランスはどう動作するか? この機能により、BIG-IP はトランスペアレント・プロキシ・ファイアウォールやトランスペアレント・プロキ・シキャッシ ュ・サーバ、ルータといった'ルータのような機器'のアレイをより信頼性が措けて、もっとスケーラビリティを発揮でき るようにします。トランスペアレント・ノードのロードバランスは、BIG-IP のノーマル・ロードバランスの機能と同時に 使用することができます。BIG-IP は、トランスペアレント・ファイアウォールのアレイの前とイントラネット・サーバの アレイの前に、同時に使用するように構成する事が可能です。 F5 Networks Japan K.K. 1 TECHNICAL BRIEF アベイラビリティ ファイアウォールまたは、キャッシュ・サーバが正常に機能しているかを判断する為に、BIG-IP は特定の IP アドレ スとポートの組み合わせをテストする事ができます。BIG-IP は、トランスペアレントではないリクエストをネットワーク 機器に発します。ECV(Extended Content Verification )機能は、このテストの確度を上げる為に使用する事が可 能です。もしキャッシュ・サーバやファイアウォールが設定された時間内に応答を返さない場合、BIG-IP は代わりに 他の機器へリクエストを振り向けます。 たとえば、BIG-IP はクライアントのように振る舞って、ある web のページをリクエストしたり、キャシュにそのページ をインターネットからとらせたりする事で 、トランスペアレントな web キャッシュのアベイラビリティを確認する事がで きます。BIG-IP は、実際のユーザのリクエストをそこに送る前に、取ってきたページのコンテンツを確認して、キャッ シュ自身とキャッシュとインターネットの間のコネクションが正常に動作している事を確かめます。 管理性 BIG-IP の広範囲にわたる管理性と融通性のある設定機能は、インターネット・サイトの管理の複雑さを低減しま す。1台の BIG-IP で、ファイアウォールのアレイ、キャッシュ・サーバのアレイ、インターネット・サーバのアレイを同 時にコントロールできます。 トランスペアレントデバイスの設定を有効にする場合、BIG-IP は、クライアントからのリクエストを 3 段階の技法によ り処理します。 (1) 幾つかの特定のバーチャル IP アドレスとポート番号の組み合わせ(VIP)が、幾つかのイントラネット・サーバに マッピングされます(通常の BIG-IP の設定のように)。VIP に向けたクライアントのリクエストは、利用可能なイントラ ネット・サーバの1台にロードバランスされます。 (2) 幾つかの特定のポート番号が、幾つかのトランスペアレント・ファイアウォールや幾つかのトランスペアレント・ キャッシュ・サーバにマッピングされます。手法(1)の VIP に合わないクライアントのリクエストは、そのポート番号に 設定されされている利用可能なトランスペアレント・ファイファイアウォールやトランスペアレント・キャッシュ・サーバ の 1 つにロードバランスされます。 (3) ワイルドカード VIP(いかなる IP アドレスとポート番号の組み合わせにも合う VIP)が、幾つかのトランスペアレ ント・ファイアウォールやトランスペアレント・キャッシュ・サーバにマッピングされます。手法(1)(2)の何れとも合わな いクライアントのリクエストは、ワイルドカード VIP 用に設定されていて利用可能なトランスペアレント・ファイアウォ ールやトランスペアレント・キャッシュ・サーバにロードバランスされます。 柔軟な設定ができる BIG-IP システムにより同時に以下のサポートが可能です: · トランスペアレントなサービスと非トランスペアレントなサービスが混在しているファイアウォール群 · クライアントからのトランスペアレントであるなしのリクエストの混在をサポートしているキャッシュ・サーバ 群 · web サーバ、外向けのメールサーバ(SMTP)、内向けのメールサーバ(POP や IMAP)やニュースサーバ といった他のサーバ群 F5 Networks Japan K.K. 2 TECHNICAL BRIEF 最も重要なこととして、BIG-IP は、特定のサービスへのリクエストを特定のサーバ・グループ振り向けるよ う構成する事が可能であり、 そしてトランスペアレントもしくは非トランスピアレントなリクエストを同じまた は異なる機器グループに振り向けるように設定する事ができます。 その他の利点 · サイトでトランスペアレントもしくは非トランスペアレントな多くの異なったタイプの機器を同時に使うことが できます。これは、同時にトランスペアレント・ファイアウォール、web キャッシュ・サーバ、メール・フィル タ、アプリケーション・プロキシ、イントラネット web、メール、その他のバックボーン・サーバ等に、ハイアベ イラビリティを提供するのと同時にロードバランスを行うことが可能です。 · トランスペアレント・ノード・モードを使うことでシステム管理は、外向けのトラフィックを分離させることが可 能になります。たとえば、http は web キャッシュ・サーバへ、SMTP は安全なメール・プロキシへ、POP は POP プロキシへ、その他のトラフィックはファイアウォールへそれぞれ送ることが可能です。 · トランスペアレント・ノード・モードは、サイトの外向けネットワークのセットアップを意のままに完全に変え ることができます。 それは、ルータから出て行くネクスト・ホップのルート変更を必要としませんし、新たに ファイアウォールやその他の機器を追加する必要もありません。完全な設定がなされ、BIG-IP にロードさ れる事で、リブートなどすることなくすぐに反映されます。 加えてトランスペアレント・ノード・モードのロードバランスは以下を提供します: · ファイアウォールを含めて、サポートできるトランスペアレントな機器に台数の制限はありません。 · 複数のファイアウォール間のエージェント・ソフトウェアにより発生するトラフィックにより制限される事な く、ファイアーウォー・ソリューションにスケーラビリティを与える事が可能です。 · ギガビット及びファースト・イーサ・チャネルで 100Mbps を超える成長するトラフィックにも対応。 · 保守やその他の理由で特定な機器やバーチャル・パス(即ち、全ての外向け Http)のコネクションが切れ ることはありません。 · それらを安全にネットワークの内側に置きながらも、イントラネット・web サーバや他のバックボーン、 DMZ サーバへハイアベイラビリティでインテリジェントなロードバランスを実現します。 · 複数の異なるファイアウォールのベンダの機器をサポートする事により、新しいファイアウォール技術を 導入して行く事の手助けとなります。また、複数のシリアルにリンクされたファイアーウォール機器とは逆 にダイバース・パラレル・セキュリティ(Diverse Parallel Security)を実現します。 · シームレスなインスタレーション、インテグレーション、そしてあなたのネットワーク・トポロジーの転換を可 能にします。 · BIG-IP は、ネットワーク環境におけるセキュリティ強化の手助けとなります。 · 新しいファイアーウォールのソフトウェア・バージョンや新しいセキュリティの設定を導入、テストできる事 により、 ファイアーウォールのアップグレードを容易にしてくれます。 F5 Networks Japan K.K. 3 TECHNICAL BRIEF · トランスペアレント・デバイスのパーシステンス。 この機能により、クライアントからのコネクションは同じフ ァイアーウォールに送られ、認証と、ステイトの問題を緩和してくれます。 · デスティネイション・アドレス・アフィニティ(Destination Address Affinity)のサポート。 この機能は、定義 できるインターネット・アドレスに向かうトラフィックをあるトランスペアレント機器に送る場合には有用で、 キャッシュのヒット率を大幅に向上させてくれます。 · エージェント無しの技術により、ファイアウォール・ソフトウェア、オペレーティングシステム、ネットワーク・ ドライバー等のソフトウェア上に書かれるソフトウェアに依存する事を無くします。 概念図 トランスペアレント・ノードとは何か? トランスペアレント・ノードは、BIG-IP にとってはルータのように見え、いかなるデスティネイションに向かうパケットも 受け付けます。それらは、通常プロキシのように動作します。例えば、:トランスペアレント・プロキシ・ファイアウォー ル、プロキシ・キャッシュ・サーバ、ルータ、ステイト確認を行うファイアーウォール。 F5 Networks Japan K.K. 4 TECHNICAL BRIEF ワイルドカード VIP ワイルドカード VIP ではノード IP が、BIG-IP がパケットを送るネクスト・ホップ・アドレスとなります。ノード・ポートは、 BIG-IP がノードに対してピングすることによってアベイラビリティを確認するポートです。ワイルドカード VIP を使うこ とでディスティネーション・アドレスとポートは、内向けのパケットに対して書き替えられることはありません。ソース・ アドレスとポートは、外向けパケットに対して書き換えられる事はありません。ノードは、ディスティネーションとして 扱われる代わりにネクスト・ホップ・ルータとして扱われます。 ネットワーク・トポロジ BIG-IP のひとつのインターフェースは、ファイアウォールかキャッシュサーバの内側のネットワークに直接つながり ます。BIG-IP のもう一方のインターフェースは、ファイアウォールかキャッシュのクライアントがいる側のイントラネッ トと接続されます。他の方法として、もしイーサネット・スイッチを使っていれば、BIG-IP のそれぞれのインターフェー スは、同一の物理ネットワークに接続できます。 イントラネットにとっては、BIG-IP はルータに見えます。イントラネットにあるルータやホストのディフォルト・ルート は、BIG-IP 自身の IP アドレスに向くべきです(もしくは、BIG-IPHA の構成ではシェアード IP アドレス)。 ファイアウォールやキャッシュ・サーバにとっても、BIG-IP はルータのように見えます。それらは、全てのトラフィック が BIG-IP を経由してイントラネットに向かうようなルートとなるように設定されなければなりません。 ファイアウォールやキャッシュ・サーバの外側のネットワーク・トポロジは、何ら影響をうけません。インターネットに 対しては、それらの機器はそれら自身のプロキシの性質上ホストとして見えます。 F5 Networks Japan K.K. 5