F5 Networks サーバ負荷分散装置 BIG-IP 概要 2002年 5月22日(水) 日本IBMシステムズエンジニアリング株式会社 ネットワーク & システム管理 システム部 グループ#1 小倉 丈栄 Networking Copyright C 2001, IBM Japan, Ltd. 近年のネットワーク事情 サーバ環境 Web化傾向 IP化傾向 通信回線環境 光ファイバー/ADSLの普及 高速通信サービスの新興 IP通信網の拡充 イーサネット(10M/100M/1G)接続サービス 携帯端末の普及 企業ネットワークにもブロードバンドの波が押し寄せている BIG・IP F5 DB BIG・IP F5 DB IBM Japan Systems Engineering Co.,Ltd. ( 1‑2 ) 負荷分散装置の種類 一般的に負荷分散装置には、以下のタイプの製品がある。 ① ソフトウェア型(Software Type) WindowsNT/2000, AIX, Solaris等の汎用OS上で稼動するソフトウェア製品 多機能 かつ 開発容易/対応(Bug Fix)が早い → ② アプライアンス型(Appliance Type) PCベースの専用機タイプ 特定用途に限定されているため取り扱いが容易 多機能 もしくは 高性能 → ③ スイッチ・ベース型(Ethernet Switch base Type) Etherスイッチをベースとしたハードウェア製品 → 単純処理でスループットが高い ※ → 以下は一般的なメリットであり、必ずしも全ての製品に当てはまらない。 IBM Japan Systems Engineering Co.,Ltd. 負荷分散装置製品 ○ WebSphere Edge Server 開発元:IBM ・ Network Dispatcher } ソフトウェア型 ※ND v4ではURLベースの負荷分散機能サポート ・ Contents Based Routing ○ CSS(Content Service Switch) 11000シリーズ 開発元:Cisco Systems ・ CSS 11050 ・ CSS 11150 } スイッチ・ベース型 ・ CSS 11800 ○ BIG-IPシリーズ 開発元:F5 Networks ・ BIG-IP Controller (HA,HA+,Enterpriseなど) → アプライアンス型 ・ BIG-IP 5000 IP Application Swtitch → スイッチ・ベース型 ○ Alteon Web Switching 製品 開発元:Nortel Networks ・ Alteon180シリーズ ・ Alteon780 } スイッチ・ベース型 ・ ACEdirector ○ ServerIronシリーズ 開発元:Foundary Networks ・ ServerIronXL ・ ServerIronXL/G } スイッチ・ベース型 ・ ServerIron400 ・ ServerIron800 IBM Japan Systems Engineering Co.,Ltd. ( 3‑4 ) BIG-IPアプライアンス製品ラインアップ (1/2) 2001年までのアプライアンス製品群 HA ・ ディスパッチング性能 : 9,000コネクション/秒 ・ 最大スループット : 200Mbps ・ CPU - PentiumⅢ (550Mhz) ・ メモリ(最大) : 256MB (768MB) ・ Dual Port 10/100 Ethernet ・ 最大 400 SSLセッション HA+ ・ ディスパッチング性能 : 12,000コネクション/秒 ・ 最大スループット : 350Mbps ・ CPU - PentiumⅢ (850Mhz) ・ メモリ(最大) : 512MB (1GB) ・ 2 Single 10/100 Ethernet ・ 最大 750 SSLセッション Enterprise ・ ディスパッチング性能 : 未確認 ・ 最大スループット : 900Mbps ・ CPU - PentiumⅢ (933Mhz) ・ メモリ(最大) : 1GB (2GB) ・ 2 Single 10/100 Ethernet ・ 最大 750 SSLセッション BIG-IP HAシリーズ (2Uサイズ) BIG-IP Enterprise (4Uサイズ) ※ 全機種 19インチラック搭載可能なサイズ IBM Japan Systems Engineering Co.,Ltd. BIG-IPアプライアンス製品ラインアップ (2/2) 2002年からのアプライアンス製品群 BIG-IP 520 ・ ディスパッチング性能 : 14,000コネクション/秒(秒当たりの最大L7セッション) ・ スループット : N/A ・ CPU - PentiumⅢ (1GHz) ・ メモリ(最大) : 256MB (2GB) ・ 2 Ethernet Port 10/100 Base-T ・ Gigabit Ethernet(オプション) ・ 空スロット数 : 3 ・ 最大 400 SSLセッション BIG-IP 540 ・ ディスパッチング性能 : 18,000コネクション/秒(秒当たりの最大L7セッション) ・ スループット : N/A ・ CPU - PentiumⅢ (1GHz)×2 BIG-IP 520/540 (2Uサイズ) ・ メモリ(最大) : 512MB (2GB) ・ 2 Ethernet Port 10/100 Base-T ・ Gigabit Ethernet(オプション) ・ 3DNSサポート ・ 空スロット数 : 3 ・ 最大 800 SSLセッション IBM Japan Systems Engineering Co.,Ltd. ( 5‑6 ) BIG-IPアプライアンス製品用SSLアクセラレータ SSLアクセラレータ (アプライアンス製品用) 〜 現在提供されるSSLアクセラレータのタイプは次の2種類。 BIG-IP SSLアクセラレータ 400 約400 新SSLトランザクション/秒 BIG-IP SSLアクセラレータ 800 約800 新SSLトランザクション/秒 ⇒ BIG-IP 540 (HA+,Enterprise)のみ搭載可能 BIG・IP BIG・IP F5 BIG-IP 520 SSL 400 F5 BIG-IP 540 SSL 800 or SSL 400 IBM Japan Systems Engineering Co.,Ltd. BIG-IP Application Switch (1/3) BIG-IP 2000仕様 ・ ディスパッチング性能 - 14000コネクション/秒(秒当たりの最大L7セッション) ・ L7最大スループット - N/A ・ Dual CPU - PentiumⅢ(1GHz) ・ メモリ(最大) - 512MB (2GB) ・ 10/100 BaseTX - 16ポート ・ 1000 BaseSX - 2ポート ・ スイッチ容量 - バックプレーン9.6Gbps ・ SSLアクセラレータ標準装備 基本100 新SSLトランザクション/秒 (最大800 新SSLトランザクション/秒) 広域ロードバランス搭載可能(3DNS) 1 対 多 のポートミラーリング 全ポート L2ワイヤースピード ステートフルフェールオーバー 稼動部品未使用 ※ 負荷分散機能としては、Flushメモリーが使用され、ハードディスクは利用されない。 ハードディスクは3DNS機能等で利用される。 ※ 操作性は従来機種と同等。 IBM Japan Systems Engineering Co.,Ltd. ( 7‑8 ) BIG-IP Application Switch (2/3) BIG-IP 5000仕様 ・ ディスパッチング性能 - 18000コネクション/秒(秒当たりの最大L7セッション) ・ 最大スループット - 1.6Gbps ・ Dual CPU - PentiumⅢ(1GHz)×2 ・ メモリ(最大) - 1GB (2GB) ・ 10/100 BaseTX - 24ポート ・ 1000 BaseSX - 4ポート ・ スイッチ容量 - 片方向8Gbps(双方向16Gbps) ・ SSLアクセラレータ標準装備 基本100 新SSLトランザクション/秒 (最大800 新SSLトランザクション/秒) 広域ロードバランス搭載可能(3DNS) 1 対 多 のポート・ミラーリング 全ポート L2ワイヤースピード ステートフル・フェールオーバー 稼動部品未使用 ※ 負荷分散機能としては、Flushメモリーが使用され、ハードディスクは利用されない。 ハードディスクは3DNS機能等で利用される。 ※ 操作性は従来機種と同等。 IBM Japan Systems Engineering Co.,Ltd. BIG-IP Application Switch (3/3) BIG-IP 5000 Hardware 内部仕様 PIII 1GHz x2 プロセッサ SSLアクセラレータ スイッチ・ファブリック スイッチベースと アプライアンスベース の統合 IBM Japan Systems Engineering Co.,Ltd. ( 9‑10 ) 購入形態一覧 スイッチ・タイプ用オプション SSL400TPS Authorization License (F5-OPT-SSL-400LIC) SSL800TPS Authorization License (F5-OPT-SSL-800LIC) BIG-IP 5000用 2GB Memory (F5-OPT-2GMEM,5000) General Purpose (汎用モデル) スイッチ・タイプ BIG-IP 5000-S(単体) BIG-IP 5000-R(冗長) BIG-IP 2000-S(単体) BIG-IP 2000-R(冗長) アプライアンス・タイプ BIG-IP 520-S(単体) BIG-IP 520-R(冗長) BIG-IP 540-S(単体) BIG-IP 540-R(冗長) Special Purpose (機能限定モデル) BIG-IP Load Balancer 520 BIG-IP FireGuard 520 BIG-IP Cache Controller 520 アプライアンス・タイプ用オプション SSL Accelarator 400 (F5-OPT-SSL-400) SSL Accelarator 800 (F5-OPT-SSL-800) 10/100 Ethernet NIC (F5-OPT-NIC,SINGLE) Dual Port Ethernet NIC (F5-OPT-NIC,DUAL) Gigabit Ethernet NIC (F5-OPT-GNIC) 520用 1GB Memory (F5-OPT-256M-1GMEM) 520用 2GB Memory (F5-OPT-256M-2GMEM) 540用 1GB Memory (F5-OPT-512M-1GBMEM) 540用 2GB Memory (F5-OPT-512M-2GBMEM ※上記メモリー以外の拡張はField Upgradeも可能であるが勧められない。 その他 Failover Cable … 6FT, 10FT, 15FT, 20FT, 30FT, 50FT ※標準でBoxに一本づつ6feets(約182.88cm)のFailover Cableが同梱。 (1feet=30.48cm) IBM Japan Systems Engineering Co.,Ltd. モデル選択基準 BIG-IPモデル選択 必要ポート数 SSLセッションの拡張性 稼動部品(ハードディスク)の使用の可否 バックプレーン能力 ⇒ Positioning Guide(別紙)参照 メモリー選択 ピーク時のHTTPコネクション数 セッション維持コネクション数(Persistence Sessions) 仮想サーバ数(Virtual Seivers) 実サーバ数 BGPや3DNSの使用の可否 SSLアクセラレータ選択 ピーク時のSSLセッション数 IBM Japan Systems Engineering Co.,Ltd. ( 11‑12 ) BIG-IP のソフトウェア BIG-IP v4.0〜のソフトウェア仕様 アプライアンス製品、スイッチ・タイプ製品とも共通OSを搭載する。 これにより、BIG-IPシリーズでは同一のオペレーション運用が可能。 負荷分散関連機能に関しては、ソースコードから全て作られている為 効率的なディスパッチング処理性能が実現される。 Base OS - BSDi バージョン4.1 ( BIG-IP v3.3以前はBSDi 3.0 ) Disk Clash 予防機能拡充 File System /configディレクトリー配下に設定ファイルを集中保存 bigip.conf bigip̲base.conf user.db Configuration Backup/Restore bigpipe config save /install [xxx.ucs] 基本的にバージョンやPTFの戻しはメーカ保証外 ディスクフォーマットとBase OSの再導入からやり直す必要あり IBM Japan Systems Engineering Co.,Ltd. BIG-IP の基本操作(1/3) <BIG-IPへのアクセス方法> 1.Webインターフェース(GUIイメージ) HTTPS 2.コマンドライン Telnet SSH コンソール ※これまではF-Secure SSHが同梱されていたが、今後は不明。 http://www.europe.f-secure.com/products/ ⇒ RS232Cケーブル(9ピン、クロス)をシリアル・ポートに直接接続 ⇒ キーボードとディスプレイを直接接続(アプライアンスタイプのみ) ※RS232Cクロスケーブルは別途用意 コマンド・オペレーション(Webインターフェース以外の方法)による操作イメージ 1. bigpipeコマンドによる設定 2. ファイルのセーブ 3. /config下の定義ファイルの直接編集 <HAモデルの背面> 10/100 イーサネット・ポート フェイルオーバー用ポート ディスプレイ・ポート キーボード・ポート ※実際のアプライアンス標準機器には、ターミナル接続用シリアル・ポートもあり。 IBM Japan Systems Engineering Co.,Ltd. ( 13‑14 ) BIG-IP の基本操作(2/3) Webインターフェース(GUIイメージ) まず、BIG-IPに予め登録したWebアクセス用ID/Passwordパネルが表示される。 その後、以下のようなパネルが表示される。 HTTPS IBM Japan Systems Engineering Co.,Ltd. BIG-IP の基本操作(3/3) 工場出荷時 - パスワード情報 root / default FTBU (First Time Boot Utility) - configコマンド 冗長構成ではBIG-IP用に3種のIPアドレスが必要 (1台目のSelfIP、2台目のSelfIP、共用IP) VLANベースのネットワーク認識 負荷分散機能の基本設定 Node 指定 Pool 指定 VIP(Virtual IP) 指定 External VLAN External Self IPaddres BIG・IP Internal VLAN Server pool IPネットワーク External Self IPaddres Shared IP addres BIG・IP F5 Internal Self IPaddres Shared IP addres F5 Internal Self IPaddres Virtual IP addres Node: ServerA Node: ServerB Node: ServerC IBM Japan Systems Engineering Co.,Ltd. ( 15‑16 ) 負荷分散装置の機能比較 開発元 Network Dispatcher IBM 振分け アルゴリズム 基本的には以下の組合せ による 動的振分けアルゴ リズムを採用 サーバ状態検知 セッション維持 SSLアクセラ レータ搭載 △ (RS/6000へ の外付けオ プション) Pingの応答 TCPポートの応答 アプリケーション レベルでの応答 IPアドレス ネットワークアドレス SSL SessionID Cookie Pingの応答 TCPポートの応答 アプリケーション レベルでの応答 IPアドレス/ポート ネットワークアドレス SSL SessionID Cookie × (外付け) Pingの応答 TCPポートの応答 アプリケーション レベルでの応答 IPアドレス ネットワークアドレス SSL SessionID Cookie ○ 対応インター フェース 冗長構成 アクティブ/ スタンバイ アクティブ/ アクティブ - 価格 128万+HW Ratio (Weight) Least Connection Fastest CPU負荷,Memory状況 CSS 11000 シリーズ BIG-IP Controller シスコ システムズ F5 ネットワークス BIG-IP 5000 IP Application Swtitch F5 ネットワークス Alteon シリーズ ノーテル ネットワークス ServerIron シリーズ ファウンドリ ネットワークス HTTP Header Priority (New/Active) Round Robin Ratio + RR Least Connection Fastest HTTP Header NDからのMIB通知による 連携も将来計画 Round Robin Ratio Priority HTTP Header Least Connection Fastest Least Conn. + Fast. Least Conn. + Fast. +予測 Dynamic Ratio (CPU負荷, Memory状況等) 同上 Round Robin Ratio Least Connection Ratio + Least Conn. Fastest Traffic Volume Round Robin Ratio + RR Least Connection Fastest Least Conn. + Fast. ※新機種で は搭載予定 ( CSS11503, CSS11506 ) アクティブ/ スタンバイ アクティブ/ アクティブ 10baseT 100baseTX 1000baseSX 345万〜 アクティブ/ スタンバイ アクティブ/ アクティブ 10baseT 100baseTX 1000baseSX FDDI 195万〜 ※特製インター フェース Pingの応答 TCPポートの応答 アプリケーション レベルでの応答 IPアドレス ネットワークアドレス SSL SessionID Cookie ○ アクティブ/ スタンバイ アクティブ/ アクティブ 10baseT 100baseTX 1000baseSX 759万〜 (SSLアク セラレータ 付き) Pingの応答 TCPポートの応答 アプリケーション レベルでの応答 IPアドレス/ポート SSL SessionID Cookie × (外付け) アクティブ/ スタンバイ アクティブ/ アクティブ 10baseT 100baseTX 1000baseSX 684万 (Alteon184 の場合) Pingの応答 TCPポートの応答 アプリケーション レベルでの応答 IPアドレス/ポート SSL SessionID Cookie × (外付け) アクティブ/ スタンバイ アクティブ/ アクティブ 10baseT 100baseTX 1000base SX/LX 150万〜 (ポート数 による) IBM Japan Systems Engineering Co.,Ltd. 振分けアルゴリズム BIG-IPのサーバへのディスパッチング・アルゴリズム 静的(スタティック) 1. RoundRobin 2. Ratio 3. HTTPヘッダ・ベースの負荷分散(Rule機能) 動的(ダイナ・ミック) 1. Least Connection 2. Fastest 3. Observerd 4. Predictive 5. Dynamic Ratio Failure Mechanism 1. Minumum Active Number 2. Fallback Host : IBM Japan Systems Engineering Co.,Ltd. ( 17‑18 ) 静的ロードバランス・モード(RoundRobin) RoundRobin:コネクションを全サーバに均等に振り分ける. 各サーバに対して順番に割り振られる. n:n:n IBM Japan Systems Engineering Co.,Ltd. 静的ロードバランス・モード(Ratio) Ratio:コネクションを各サーバにつけた重みに応じて振り分け. 各サーバに対して予め決められた重み付けの割合で割り振る. H:M:L IBM Japan Systems Engineering Co.,Ltd. ( 19‑20 ) HTTPヘッダー・ベースの振分けアルゴリズム (1/2) HTTPリクエスト・ヘッダの内容を参照し、振分け先を判断する。 … 携帯端末(i-mode)サイトのセッション維持には不可欠の機能 (例) HTTP リクエスト・ヘッダ <Microsoft Internet Exprolerの場合> GET /HTP/1.1 Accept: */* Accept-Language:ja Accept-Encoding: gzip User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0) Host: 192.168.10.10 Connection: Keep-Alive Cache-Control: no-cache <NTT DoCoMo i-modeの場合> GET /HTP/1.0 Host: 192.168.10.10 User-Agent: DoCoMo/1.0/N503it/c10 IBM Japan Systems Engineering Co.,Ltd. コンテンツ・ベースの振分けアルゴリズム (2/2) ⇒ BIG-IPではRule機能により簡単な構文で対応 (例) Rule構文 BIG-IP VIP (192.168.10.10) User-Agentに "DoCoMo"含む? if(http̲header User-Agent Contains DoCoMo ){ if(http̲uri Contains cgi ){ use (Pool-imode-cgi) } else{ use (Pool-imode) } } else{ use (Pool-IE-Web) } No Yes URIに "cgi"含む? No Yes Pool-imode-cgi Pool-imode Pool-IE-Web imode/cgi処理 サーバ群 imode用コンテンツ サーバ群 通常のブラウザ用 Webコンテンツ ※ このようなしくみを利用すれば 1つのURLの広告で足りる IBM Japan Systems Engineering Co.,Ltd. ( 21‑22 ) 動的ロードバランス・モード(Least Connections) Least Connections:最もコネクションの少ないサーバに振り分ける. コネクション数をモニターし、そのとき最もコネクション の少ないサーバへ割り振る. IBM Japan Systems Engineering Co.,Ltd. 動的ロードバランス・モード(Fastest) Fastest:最も応答の速いサーバにコネクションを振り分ける. 各サーバのレスポンスをモニターし、そのとき最もレスポンス の良いサーバにコネクションを割り振る. 100M/Full 10M/Full 10M/Full IBM Japan Systems Engineering Co.,Ltd. ( 23‑24 ) 動的ロードバランス・モード(Observed) Observerd:Least ConnectionsとFastestの組み合わせ. F5独自の相関関数に基づき、最もコネクションが少なく、 最も応答が速いベスト・バランスとなるサーバに割り振る. + + + IBM Japan Systems Engineering Co.,Ltd. 動的ロードバランス・モード(Predictive) Predictive:Least ConnectionsとFastestに将来予測を組合わせた割り振り. 統計的にベスト・パフォーマンス・ランキングで向上してきているサーバに 新たなコネクションを割り振る(Observedの改良版). パフォーマンス・ランキング:応答時間とコネクション数に応じて BigIP内で動的に決定される IBM Japan Systems Engineering Co.,Ltd. ( 25‑26 ) 動的ロードバランス・モード(Dynamic Ratio) Dynamic Ratio:サーバのCPU使用率などに基づいた パフォーマンス・モニターによりコネクションを割り振る. モニターの設定 free Memory space CPU usage DISK Space SNMP MIBによりサーバーから情報を収集 IBM Japan Systems Engineering Co.,Ltd. 振分けアルゴリズムの適用領域 HTTP, SSL, UDP (DNS, NTP, LDAP) FTP, Telnet, SSH, SMTP, セッション維持(HTTP, SSL) 大 サーバ 性能に格差 Dynamic Ratio (CPU, Memory) Predictive (予測分析) Observed (Least Conn+Fast) Ratio (重み付け) コネクション の長さ Fastest (高レスポンス) 短い 長い Round Robin Least Connections (最少コネクション) サーバ 性能同等 小 サーバ性能の均一性 IBM Japan Systems Engineering Co.,Ltd. ( 27‑28 ) Failure Mechanism(プライオリティー制御) サーバー・プール構成メンバーに利用するか否かの観点から 優先度(Priority)を設定 Minimum Active Member 同時にサービスを行わせるサーバの台数を指定 Minimum Active Member = 2 Node#1 Node#2 Priority 100 Node#3 Priority 100 通常この2台(#1, #2) Node#4 Priority 10 #1または#2が DOWNすると#3参加 Priority 5 #1、#2、#3 のうち2台DOWNで #4が参加 IBM Japan Systems Engineering Co.,Ltd. Failure Mechanism(FallBackHost制御) 全サーバー・プール構成メンバーDOWN時、自動的にHTTPリダイレクト先を指定 Sorry Server HTTP GET Inetrnet HTTP 302 HTTP GET Node#1 Sorry Server 「申し訳ございません しばらくしてからアクセスください」 Node#2 Node#3 IBM Japan Systems Engineering Co.,Ltd. ( 29‑30 ) セッション維持 BIG-IPのセッション維持機能 1. シンプル・パーシスタンス ソースIPアドレス(NETMASK使用可)で同一サーバーに割り振る 2. SSLパーシスタンス SSLのセッションIDをキーにして同一サーバーを使用する 3. HTTP Cookieパーシスタンス A. Insertモード Big/ipでCookieを付加 B.Rewriteモード Big/ipでCookieに文字列追加 C.Passiveモード サーバ指定のCookieをそのまま使用する D.Hashモード サーバ指定のCookieからCoolkie名やオフセットで位置を特定 ※Passiveモードの場合、BIG-IP独自関数によるCookie情報をサーバ側に 指定しなければならない。 IBM Japan Systems Engineering Co.,Ltd. サーバ状態の検知 サーバ・ノード/サービス状態の検知 1. Server(Node):ICMP(PING) 2. Service(Port):Socket Connect 3. Extend Contens Verification URLベースでのチェック 4. Extend Contens Verification FTP、SNMP、SMTP、POP3、etc IBM Japan Systems Engineering Co.,Ltd. ( 31‑32 ) SSLアクセラレータ BIG-IP SSLアクセラレータ構成 SSLアクセラレータ アプライアンス型の場合、SSLアクセラレターをオン・ボードで搭載 スイッチ型の場合、ライセンスのロードによりSSLセッション数拡張 証明書の生成 公認の証明機関(CA)からのX509証明書取得 BIG-IP内部での仮証明書の生成 BIG-IPがサポートする公認証明機関 ・ Verisign (http://www.verisign.com) プロキシーの設定 ・ Digital Signature Trust Company (http://secure.digsigtrust.com) SSLゲートウェイとHTTP用サーバ ・ GlobalSign (http://www.globalsign.com) GTE Cybertrust (http://www.cybertrust.gte.com) プール間で内部的に橋渡しされる ・・ Entrust (http://www.entrust.net) よう構成 HTTP HTTPS(暗号化) SSL ゲートウェイ BIG・IP F5 HTTP用 サーバプール ※BIG-IP内部生成による仮証明書の利用は最大10年。テスト利用を目的とする場合に推奨される。 IBM Japan Systems Engineering Co.,Ltd. Redundancy構成 Active-Standby … 一時点で活動状態(Active)にある負荷分散装置は片側のみで、もう一方は非活動状態(Standby)。 Active機が障害の際にStandby機に動的に切替り、障害が発生する迄そのままActiveでありつづける。 マニュアル切替えは可能だが、プライマリー機の概念は無く、自動的な切戻り動作はしない。 ⇒ Network DispatcherではActive機をプライマリーとして構成しておき、復旧時にマニュアルか自動で 切戻すことができる。 Synchronizing configurations between two units Hardware Failover Network or VLAN based Failover … LANインターフェース経由でパケットを状態監視し、一定期間パケット不通を障害と判断し切替る。 Gateway Router Failsafe … ルータ間の状態監視による応答が無い場合、ルータ障害と判断し、同時に負荷分散装置も切替る。 Mirroring connection and persistence information … 負荷分散装置の障害により、バックアップ機に切替り後も セッション維持状態を確保。 (→次頁) Active-Active Active:活動状態 BIG・IP A F5 Failover cable … 通常時、各負荷分散装置が活動状態(Active)にあり、 擬似サーバIPアドレスを各々に持つ。一方の障害時は F5 相互にバックアップする。 Standby:非活動状態 ⇒ BIG-IPでは、MACマスカレードは、Active-Activeモード では非対応。 MAC masquerade address:冗長構成のピア間でMACアドレスを共有すること B BIG・IP C IBM Japan Systems Engineering Co.,Ltd. ( 33‑34 ) Redundancy構成におけるセッション情報の引継ぎ セッション情報マップ A Active BIG・IP F5 B BIG・IP F5 C Standby 負荷分散装置の障害により、バックアップ機に切替り後も セッション維持状態を確保。 ND CSS BIG-IP Alteon S-Iron ○ × ○ ○ ○ ※CSSでのStatefull failoverは将来予定 IBM Japan Systems Engineering Co.,Ltd. サーバメンテナンスのための新規コネクション拒否 A BIG・IP B F5 C サーバCのメンテナンスをしたい サーバCへの既存セッションを維持しながら(セッション維持) 新規コネクションについては、サーバCに割り振らない。 ND ○ ※1 CSS BIG-IP × ○ Alteon ○ ※2 S-Iron ○ ※1.NDはv4からサポート ※2.最新コードでサポート IBM Japan Systems Engineering Co.,Ltd. ( 35‑36 ) Webサーバ以外のネットワーク装置の負荷分散 Firewall 装置 サーバ群 … Firewall Sandwich構成により、 同じFirewallに応答が返らない といけない。 ⇒ BIG-IPでは「Last Hop」機能 によりMACアドレスを記憶して 実現する。 A BIG・IP BIG・IP F5 BIG・IP F5 BIG・IP F5 B F5 C ルータ 負荷分散装置 Firewall 負荷分散装置 VPN(IPsec)装置 VPN装置群 … IPsec通信ではIP+ESPという低レイヤ(L3ベース) 処理が行われ、且つTCP/UDPセッション開始から 継続してセッション維持を行わなければならない。 ⇒ BIG-IPではTCP/UDPコネクションを引き継いで IPsec通信のセッション維持が実現できる。 TCP/UDP セッション開始 BIG・IP F5 負荷分散装置 A B IPsec 暗号化通信 (IP+ESP) ND CSS BIG-IP Alteon S-Iron Firewall × ○ ○ ○ ○ VPN × × ○ × ○ C IBM Japan Systems Engineering Co.,Ltd. セキュリティーへの配慮 不正アクセス DoS攻撃 A BIG・IP F5 B C Edge Serverでは以下の機能をサポート コネクションをOpenのまま何ら通信が無い場合、タイムアウトにより、強制的に コネクションを切断する。 サーバを過負荷から守るため、最大同時接続コネクション数の制限を設ける。 転送レートの上限を設ける。 セッションフローを監視し、TCPのSYNとFINの差をチェックして、大量にSYNが 検出された場合にコネクションを切断する。 ※BIG-IPでのAdvanced DoS Supportは将来計画 IBM Japan Systems Engineering Co.,Ltd. ( 37‑38 ) スイッチ・ベース型の負荷分散装置の比較 ● CSS 11154 ・ ・ ・ ・ Power PC×1 256 MB RAM 2Gbpsアップリンク 10/100 FEポート×12 ● ServerIronXL ・ ・ ・ ・ (開発元:Cisco Systems) 普通のパフォーマンス VPN装置のロードバランスは不可 高価なSSLオプション (開発元:Foundary Networks) Power PC×1 64 MB RAM 2Gbpsアップリンク(オプション) 10/100 FEポート×16 ● Alteon ACE Switch184 (開発元:Nortel Networks) ・ ポートレベルASIC×9, RISC×2 ・ 各ポート 4MB RAM ・ 10/100/1000 FEポート×9 ● BIG-IP 5000 ・ ・ ・ ・ ・ 集中処理アーキテクチャ 集中処理アーキテクチャ 普通のパフォーマンス SSL統合性に欠く 分散処理アーキテクチャ 高パフォーマンス 他の機能を実行するために幾つかの機能 を無効にしなければならない SSL搭載なし (開発元:F5 Networks) Intel PentiumⅢ(1GHz)×2 1 GB RAM (最大2GB) 256MB Flash ※SLB機能にはHD使用せず 4Gbpsアップリンク 10/100 FEポート×24 集中処理アーキテクチャ 高パフォーマンス SSLアクセラレータ標準搭載 IBM Japan Systems Engineering Co.,Ltd. ハードウェア・アーキテクチャ (1/2) Power PC 集中処理アーキテクチャ << CSSの場合 >> 低パワープロセッサー(Power PC) Network Processorがボトルネック 40M bps/ポート Network Processor Network Processor バックプレーン 5G bps 40M bps/ポート Network Processor Giga port 10/100M port 分散アーキテクチャ 低パワープロセッサー 全ポートが均等に作業しないと パフォーマンスに問題が生じる ⇒ 負荷分散環境で特定ポートに トラフィックが集中した場合 パフォーマンスが劣化する NP NP NP NP NP NP NP NP IBM Japan Systems Engineering Co.,Ltd. ( 39‑40 ) ハードウェア・アーキテクチャ (2/2) BIG-IP5000の集中処理アーキテクチャ 1GHzのプロセッサー×2 各ポートが必要に応じて2つのプロセッサーを有効利用 ⇒ バックプレーンのボトルネックの問題を解消 SSLアクセラレータを標準装備 ⇒ SSL暗号化/復号化を分散処理 負荷分散処理には稼動部品無使用 ⇒ Flashメモリーを利用 Flash メモリ SSL アクセラレータ Pentium Ⅲ Optional Disk Pentium Ⅲ 4G bps光コネクタ 4G bps光コネクタ 10/100M port スイッチ ファブリック Giga port IBM Japan Systems Engineering Co.,Ltd. パフォーマンス評価指標 (1/2) レイヤ4 最大コネクション・レート 負荷分散装置がクライアントからの新規TCPリクエストを各サーバ にディスパッチすることができる1秒あたりの最大TCPコネクション の割合。(connection/sec) <クライアント側> トラフィック・シミュレータ <サーバ側> サーバ・ノード 負荷分散装置 SYN SYN SYN/ACK SYN/ACK 時間 ACK ACK IBM Japan Systems Engineering Co.,Ltd. ( 41‑42 ) パフォーマンス評価指標 (2/2) レイヤ7 最大コネクション・レート 負荷分散装置がクライアントからの新規httpリクエストを各サーバ にディスパッチすることができる1秒あたりの最大httpコネクションの 割合。(http/sec) <クライアント側> トラフィック・シミュレータ <サーバ側> サーバ・ノード 負荷分散装置 SYN SYN SYN/ACK SYN/ACK ACK HTTP GET 時間 ACK HTTP GET HTTP GET RESP HTTP GET RESP ACK FIN/ACK ACK FIN/ACK ACK ACK IBM Japan Systems Engineering Co.,Ltd. パフォーマンス評価テスト結果 (1/2) 大手第三者評価機関 Miercom社 のテスト結果 L4テスト方法 …24クライアントから24サーバに対して、1ポート当り12,000リクエスト (計288,000個のTCPリクエスト)を送信し、負荷分散装置が1秒以内 に確立できるコネクションを判定。 L7テスト方法 …12クライアントから12サーバに対して、1ポート当り12,000リクエスト (計144,000個のHTTPリクエスト)を送信し、負荷分散装置が1秒以 内に確立できるhttpコネクションを判定。 レイヤ4 最大コネクション・レート (connection/sec) レイヤ7 最大コネクション・レート (http/s) CSS11800 Cisco Systems 4,320 2,400 ServerIron 400 Foundry Networks 154,848 5,400 Alteon ACEswitch184 Nortel Networks 81,624 11,280 http://www.mier.com/ ※1 ※1. 30回の試験中、全体の99.99%のディスパッチング処理ができたことは1度も無かった。全HTTP リクエストの0.01%(14.4パケット)以上をドロップ。この値は、99.96%の実行率より得られた数値。 IBM Japan Systems Engineering Co.,Ltd. ( 43‑44 ) パフォーマンス評価テスト結果 (2/2) 幕張テスト環境におけるSS&WSCC協力よる検証テスト結果 L7テスト方法 … 10クライアントから3サーバに対して、1ポート当り10,000×nのHTTPリクエスト (計100,000×n個のHTTPリクエスト)を送信し、負荷分散装置が1秒以内に 確立できるhttpコネクションと平均応答時間を判定。 n=10 n=20 n=30 n=50 n=100 n=200 n=250 CSS11150 平均応答時間(ms) 3.5 6.5 9.0 13.7 26.0 45.6 56.0 CSS11150 最大コネクション(http/s) 2400 3000 3200 3400 4100 4400 4400 BIG-IP HA 平均応答時間(ms) 3.9 4.3 5.0 6.2 11.0 21.3 27.0 BIG-IP HA 最大コネクション(http/s) 2500 4600 5870 7800 8500 8800 9000 BIG-IP 5000 平均応答時間(ms) 3.1 3.8 3.5 3.4 6.5 8.9 11.6 BIG-IP 5000 最大コネクション(http/s) 3200 5150 8550 14500 18000 18800 19000 Network Dispatcher 平均応答時間(ms) Network Dispatcher 最大コネクション(http/s) IBM Japan Systems Engineering Co.,Ltd. 各社のコスト比較 負荷分散装置一台にSSLアクセラレータを搭載した場合の価格 構成 F5 BIG-IP5000 Cisco CSS 11152 Cisco CSS 11154 価格 追加物 24ポート 10/100 & 4ポート 1G 1-2 GB RAM なし 16ポート 10/100 & 2ポートG 512MB 〜 2GB RAM なし 16ポート 10/100 128MB RAM Adv Feature SSH Rackmaunt Kit Console Kit Document 12ポート 10/100 & 2ポート 1G 128MB RAM Adv Feature SSH Rackmaunt Kit Console Kit Document Alteon AceSwitch184 9ポート 10/100/1000 4MB RAM/ポート なし Alteon ACE Director 4 8ポート 10/100 & 1ポート 1G なし SSL 合計 標準装備 (SSL100 搭載,最大 800) 標準装備 (SSL100 搭載,最大 800) ※さらにRedundancy構成だと倍の差がつく。 IBM Japan Systems Engineering Co.,Ltd. ( 45‑46 ) BIG-IPの強み 1)振分けアルゴリズム ⇒ 各種適用業務に対応できる幅広い振分けアルゴリズムのサポート ⇒ 高いディスパッチング処理能力(パフォーマンス) 2)サーバ状態検知機能 ⇒ 正確なサーバの状態監視が可能(コンテンツ・ベース、APIベース) 3)セッション維持機能 ⇒ 各種Cookie機能のサポートにより適切なセッション維持が可能 ※ バーチャル・サーバ間を移動した場合でもセッション維持できる (例)HTTPで商品を選択し、SSLで電子決済を行う。 4)セキュリティー機能 ⇒ SSLアクセラレータ搭載 5)信頼性/運用性 ⇒ 冗長化構成が標準仕様 ⇒ セッション情報の引継ぎが可能 6)拡張性 ⇒ 自社開発の高可用性FastEther/GigaBitEtherカードを実装 ⇒ 携帯端末(I-modeなど)への高い対応実績 IBM Japan Systems Engineering Co.,Ltd. Ending Message ご受講ありがとうございました。 当コースはこれで終わりです。 BIG-IPに関する技術的な質問は Smart Answer(CSYSカテゴリ)にて 2002/5よりサービス提供しております。 Networking Copyright C 2001, IBM Japan, Ltd. ( 47‑48 )
© Copyright 2024 Paperzz
