この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

DDoS対策にも!最新“ADC”特集

2013/06/10


 サーバの負荷分散を図るときの必需品として普及したロードバランサは、ネットワークの上位レイヤに対応してますます緻密な負荷分散を実現するとともに通信の高速化やSSL処理などのサーバ負荷のオフロード機能、そしてアプリケーションレイヤも含めたセキュリティ管理機能も備えるようになり、ADC(Application Delivery Controller/アプリケーションデリバリコントローラ)と呼ばれるツールに発展した。現在ではネットワークサービスの重要なインフラとして認識されるようになったADCだが、その多機能性ゆえに本質的なメリットがかえって見えにくくなってきてもいる。今回は、最新のADCが備える機能と役割とを整理して理解し、コスト効果の高い導入・リプレースの視点を紹介していく。

ADC

※「ADC/DDoS対策にも!最新“ADC”特集」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「ADC/DDoS対策にも!最新“ADC”特集」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1
1-1

ADCの基礎知識

 ネットワークサービスをストレスなく、もちろん中断・停止することもなく常時快適に利用できるようにしたい……。その願いを叶えるためのネットワークサービスインフラの1つがADCだ。ADCのメリットは次の3点に集約されよう。

(1)

サーバの負荷分散による可用性向上、パフォーマンスの維持と向上

(2)

通信の高速化や一部のサーバ処理の肩代わり(オフロード)によるパフォーマンス改善

(3)

セキュリティ管理機能による外部から内部サーバへの攻撃を防止

 これら3点の実現のために、ADCは図1下段に示すような各種の機能を次々に追加してきた。

図1 ADCが備える機能の例
図1 ADCが備える機能の例
資料提供:シトリックス

 図1の上段に見るように、社内やデータセンタにあるサーバ群とユーザとの間をつなぐのがADC。下段にずらりと並んでいるのがADCの代表的な機能だ。他のベンダのADCでもおおよそ似通った機能を備えている。これら機能のうち主要なものを、冒頭の3つのメリットに沿って説明していくことにしよう。

■(2)サーバの負荷分散による可用性向上、パフォーマンス維持とは

○負荷分散を行うメリットは?

 そもそも負荷分散がなぜ必要なのだろうか? サーバの処理能力にはおのずから限界がある。例えばインターネットでの不特定多数向けサービスでキャンペーン開始などのタイミングを境に短期間に数倍、数十倍とアクセスが増えることは珍しくない。そんな場合に1台のWebサーバで対応していると処理能力がピークに達してサービスが停止したりレスポンスを悪化させる。程度の差こそあれ、同様のことはイントラネット内でも起こりえる。
 こうした場合の対応は、同じサービスを行う別のサーバを立ててアクセスを分散させることだ。しかしネットワークとサーバの設定で負荷分散するのは一苦労であるばかりでなく、サーバ追加が続くとやがて複雑化しすぎて破綻しかねない。そこで負荷分散装置であるロードバランサの出番だ。
 ロードバランサは外部からの通信を一手に受け止め、その内容を解釈して、その背後に接続されたサーバ群のうち最も適切に処理できるサーバへと、あらかじめ設定したポリシーにのっとってアクセスを振り分けるものだ。ユーザは1台のサーバにアクセスしているように見えるが、実はアクセスしているのはロードバランサであり、これを介して配下のサーバ群のどれかに接続することになる。ADCはこのロードバランサの仕組みを継承し、さらに高度にしたツールと考えてよい(図2)。

図2 ADCのロードバランス機能のイメージ
図2 ADCのロードバランス機能のイメージ

 負荷分散は配下のサーバ群に次々にアクセスをシンプルに割り振るスタティックな方法(ラウンドロビン方式)のほか、サーバの状況をさまざまな指標(コネクション数や応答時間など)で把握し、その情報に基づいてアクセス時点で最も効率的に処理できるサーバへと割り振るダイナミックな方式がある。後者には何を指標にするかによって多様な方式があり、使い分けが可能だ。このサーバへの振り分けロジックが、ADCはかつてのロードバランサよりもずっと進化している。

○レイヤ7のアプリケーションヘッダとアプリケーションデータまで参照して負荷分散

 従来のロードバランサは、負荷分散を行う基本的な動作として、パケットヘッダ内の宛先アプリケーションポート番号をベースにサーバへとアクセスを振り分ける仕組みを提供してきた。これはネットワークレイヤの第4層までを見るという意味でL4負荷分散と呼ばれている。ADCは、L4に加えてL7、すなわちアプリケーションレイヤ(第7層)にあたるヘッダ領域やペイロード部分(URL、リクエスト中の文字列、HTTP Cookie、User-Agent情報、SOAPメッセージなど)も参照して、より柔軟できめ細かい負荷分散が図れる。例えばUser-Agentがわかれば、PCからのアクセスなのかスマートフォンからなのかを判別して接続先のサーバを選ぶことができることから、アクセスするデバイスで表示できるベストのコンテンツを選んで表示させることが可能となる。SOAPメッセージ内のトランザクションIDをベースに接続先を決めることも可能だ。また、DBへのアクセスの際には、ADCがSQL文を解釈し、参照系、更新系などのように異なるサービスとして用意された最適なサーバを選び、アクセスを割り振ることもできる。ADCが参照するパケットの領域を図3に示す。

図3 ADCが担当するネットワークレイヤ(L2〜L7およびペイロードまで)
図3 ADCが担当するネットワークレイヤ(L2〜L7およびペイロードまで)
※図中の「iRules」はベンダ独自のプログラミング言語。
資料提供:F5ネットワークスジャパン

 なお負荷分散を行うと、アクセスのたびに最も状態のよいサーバが選ばれることになるが、逆にショッピングサイトの場合のようにユーザから一連のアクセスが断続的に行われるようなときに正常に処理できなくなるのではとお思いの方もあるかもしれない。ADCにはセッション維持・管理を行うパーシステンス機能が備わっており、同一のユーザによる一連のアクセスは同一のサーバで処理できるように自動コントロールされる。この仕組みにもL4情報だけでなくHTTP CookieなどのL7情報が生かされている。

○負荷分散で可用性が向上する理由

 負荷分散がうまくできれば複数サーバのリソースを十分に活用できるため、処理の停滞や停止の可能性が少なくなる。加えて、配下のサーバは1台が障害を起こしたとしても、他のサーバが即座に処理を肩代わりできる。そのサービス用に用意されたサーバ群が全部止まらない限りはサービス継続が可能になり、性能は低下するかもしれないがサービス停止には陥らないで済む。これはサーバメンテナンスの際にも好都合だ。メンテのためにサーバを1台停止しても、サービスへの影響が最小限で済む。
 なおADCではサーバの死活はもちろんHTTPやTCP、SIPやSNMP、SOAPなどのアプリケーションの健全性もモニタしている(ヘルスチェック機能)。万一アプリケーションの稼働に異常があれば、別の健全なサーバのアプリケーションで肩代わりすることができる。万が一、サーバ群が全部ダウンした場合でも自動的にSorryサーバに接続して「少々お待ちください」表示のような代替コンテンツを表示する対応も可能だ。

■(2) 通信の高速化や一部のサーバ処理の肩代わり(オフロード)によるパフォーマンス改善

 次のメリットは通信の高速化だ。これは主にサーバにかかる負荷をADCが代替することで実現している。

SSL処理機能

 SSLの公開鍵暗号化のための処理負荷は非常に重く、これがサーバのパフォーマンスを左右することが多かった。ADCにはSSLアクセラレーション機能が搭載されており、サーバの処理を肩代わりできる。高速処理が可能なので、場合によってはサーバ数削減や低スペック化も考慮できる。また、2048bit対応の証明書の使用が一般的になったことで、従来使用されていた1024bit対応の証明書を使用する場合と比較して、ADCに要求されるSSLアクセラレーション能力(TPS: SSL処理の秒当たりトランザクション数)は非常に高くなってきている。現在、ADCの機器選定をするにあたっては、サポートされるTPS数の確認が最も重要な項目の1つとなっている。

TCPの最適化機能・WAN高速化

 TCPコネクション手続きも負担が重い。これを簡略化・高速化するために、ADCにはTCP最適化機能が備えられている。たくさんのTCPコネクションを束にしてサーバに渡す「TCPマルチプレクシング」や、サーバ応答を記録し、ADCが代理応答する「TCPバッファリング」などの技術が使われている。
 なおTCP最適化機能はWAN高速化にも有効だ。WANのこちら側と向こう側にADCを設置し、最適化されたTCPで通信を行えば帯域を有効に利用できる。データの重複排除や特別な圧縮技術などを組み合わせることで、標準的なWAN通信を最大300倍にまで高速化できると謳う製品もある。WAN高速化ツールは別の領域の製品として提供されているが、ADCでも同様の役割が果たせるというわけだ。

HTTPトラフィックの圧縮

 HTTPトラフィックは標準的なgZip方式で圧縮することができる。圧縮処理もサーバには負担だが、ADCはこれも代行できる。しかも圧縮効果の低いファイルは圧縮処理を省いたり、ネットワーク遅延に自動対応して圧縮を開始したり、また圧縮に対応しないブラウザを見分けるなど、インテリジェントな処理が行える。

コンテンツのキャッシュ

 よく利用されるコンテンツはADC内にキャッシュとして保存できる。端末からリクエストがあればADC内のキャッシュデータを送れば事足りるので、サーバの処理が不要になって高速化できる。

帯域制御

 ADCはネットワーク上のデータのアプリケーションを特定し、遅延が許されないVoIPアプリケーションなどのデータは優先して流し、急を要さない情報系データは控えめに流すといった、ポリシーによる帯域制御が可能になっている。

Webコンテンツの最適化

 WebコンテンツにはJavaScript、スタイルシート、画像、メタデータなど、さまざまな要素が存在する。それらを圧縮したり、不要なものを削除したり、読み込みを制御したりすることで処理時間を短縮することもADCの機能の一部として提供されている。具体的効果として、最適化前に比べてWebページのロードプロセスのHTTPリクエスト数が96から35に削減され、大きく時間短縮を果たした例などがある(図4)。

図4 Webページの最適化によるHTTPリクエスト数と処理時間の削減
図4 Webページの最適化によるHTTPリクエスト数と処理時間の削減
資料提供:SCSK
■(3) セキュリティ管理機能による外部から内部サーバへの攻撃を防止

 3つめのメリットはセキュリティ機能だ。IPSと似ているがシグネチャベースでの検知や制御にとどまらず、ツールへのポリシー設定や自動学習により、未知の攻撃であっても防御可能な仕組みが盛り込まれてきた。

○DDoS攻撃にはロードバランス機能と攻撃防御機能で対抗

 ネットワークで特に被害が目立つ攻撃にDDoS攻撃がある。ADCは持ち前の負荷分散、サーバ負荷軽減機能、また、Delayed Binding機能(クライアント側とサーバ側とのTCPセッションを分離)により、DDoS攻撃を受けている場合でもサービス継続ができる可能性が高い。ある大規模データセンタの例では430Gbpsに及ぶSYN Flood攻撃(代表的なDDoS攻撃)を受けている最中でも、ADCの働きにより40Gbpsの通信ができていたという。単に処理性能が高いというだけでなく、サーバの代理応答や不正パケットを発見次第に廃棄するといった「DDoS対策機能」が多くのADCに搭載されており、攻撃への耐性が高いのだ。最新のADCでは後述するようなファイアウォール機能に加え多彩なDDoS対策機能が備わるようになった。下位レイヤから上位レイヤまで30種類以上のDDoS対策機能の搭載を標榜するベンダもある。ネットワークリソースばかりでなく、サーバなどのシステムリソースを消費させる攻撃にもADCは有効な対策になる。DDoS攻撃は一過性の場合も多いので「耐え忍ぶ」対応をとる企業もあるが、ADCの機能を利用すれば低コストに対策が可能になる。
NSFOCUSが先日公開したDDoS攻撃の傾向をまとめた年次脅威レポート「Threat Report」では、より深刻な損害になることの多いアプリケーション・レイヤ(レイヤ7)に対する攻撃が、DDoS攻撃の中で一番多くの割合を占めており、全攻撃の42.7%にのぼったとのこと。従来のロードバランサでは対応できなかった上位レイヤへの対応もADCなら可能なので、しっかりと対策を行いたい。

○WAF(Web Application Firewall)機能でアプリケーションの脆弱性を狙う攻撃も防御

 また「標的型攻撃」「サイバー攻撃」などと呼ばれる攻撃ではWebアプリケーションの脆弱性を悪用して情報窃取用のウイルスを侵入させる手口が多い。Webアプリケーションに特化して不正アクセスを防ぐWAFが対策ツールの1つになるが、ADCの機能はWAF専用機器とよく似ている。そこでアプリケーションレイヤのリクエストや応答を検査することでWAFの役割も果たせるようにした製品が多くなってきた。
 例えばクレジットカード情報の送信、クッキーの改竄、SQLインジェクションやバッファーオーバーフロー、クロスサイトスクリプティングなどの攻撃が検知され、水際で被害を食い止めることが可能になる

○ファイアウォール機能もADCが担当

 最新のADCではファイアウォール機能も製品に取り込んでいる。ADCの性能が向上し続けている一方で、古いファイアウォールが性能のボトルネックになることも少なくない。そこでADCにファイアウォール機能を組み込み、数倍に達する性能で処理速度を改善する取り組みが行われている。
 またADCが担当することで新たなメリットも生まれている。従来のファイアウォールではアプリケーションごとの細かい設定を、必要なつどルールに追加していく運用をしていた。これでは運用年数を重ねるうちにルールがどんどん増加・複雑化し、いつの間にか変更・修正が効かない「塩漬け設定」になっていくこともある。ADCのファイアウォール機能ではルールをアプリケーションごとに定義することが可能なので、ルールを整理して改善を図るのが容易になる。ルールの再利用や廃棄なども簡単なので運用管理の負荷削減にもつながる。
 またADCが持つ各種セキュリティ機能と一体となることにより、運用管理負荷を減らしながらセキュリティ強化を図ることが可能になる(図5、6)。

図5 ADCに統合されたファイアウォール機能
図5 ADCに統合されたファイアウォール機能
資料提供:F5ネットワークスジャパン
図6 ADCのセキュリティ状況可視化の例
図6 ADCのセキュリティ状況可視化の例
資料提供:F5ネットワークスジャパン

 図6のような統合管理は、ファイアウォール、WAF、IPS/IDS、SSLアクセラレータなど個別製品を別々に導入している場合には難しいだろう。トラブルの原因究明や再発防止のためにもセキュリティ管理が統合されていることが重要な意味を持つ。実際、ファイアウォール機能をはじめとするセキュリティ機能をADCに統合した結果、運用管理コストを1/6にまで縮小することに成功した事例がある(オンラインサービス事業者)。
 こうした機能に加えて、DNSキャッシュポイズニングなどDNSの脆弱性を狙う攻撃に対応してセキュリティ強化したDNSSEC(Domain Name System Security Extension)の署名検証などの処理能力を高めるなど、ADCのセキュリティ機能は次々に拡張・強化されている。

コラム:BCPに役立つ広域負荷分散(GSLB/Global Server Load Balancing)

 遠隔地にある拠点のサーバ間でも負荷分散を行う広域負荷分散機能を持つADCも多い。広域で最もパフォーマンスのよいデータセンタを選んで接続したり、最も地理的に近いデータセンタに接続したりできる機能だ。この機能ではあるデータセンタが停止すると、他のデータセンタに自動的に接続がリダイレクトされる。これはBCPの一部としても役立つ機能として注目されている。


…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

ADC/DDoS対策にも!最新“ADC”特集」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ADC」関連情報をランダムに表示しています。

ADC」関連の製品

Barracuda Load Balancer ADC 【バラクーダネットワークスジャパン】 Netwiserシリーズ ロードバランサー 【セイコーソリューションズ】 Barracuda Load Balancer 【バラクーダネットワークスジャパン】
ADC/ロードバランサ ADC/ロードバランサ ADC/ロードバランサ
トラフィックを複数のサーバーへ負荷分散する機能やフェールオーバ機能などに加え、本格的なWAF(Web Application Firewall)機能を標準搭載した高機能なADC製品 中小規模システムに最適なロードバランサー。必要な機能に絞り低コスト導入可能。
CLIと同じ内容が設定できる日本語Web対応。
全国オンサイト保守など設定・運用面でも安心。
トラフィックを複数のサーバへ負荷分散。サーバ障害に備えたフェールオーバ機能やセキュリティ対策に有効な不正侵入防御機能を搭載した低価格・簡単操作のロードバランサ。

ADC」関連の特集


当たり前のように普段からお世話になっているLANスイッチだが、ここにきて規格化を目指す高速化技術やS…



ネットワーク仮想化は、仮想化やクラウド構築の課題を解決するものとして期待され、Windows Ser…



モバイルやソーシャルなどが全盛の今、スイッチやルータなどネットワーク機器の市場はどう変化している?そ…


「ネットワーク機器」関連 製品レポート一覧

このページの先頭へ

ADC/ DDoS対策にも!最新“ADC”特集」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ADC/ DDoS対策にも!最新“ADC”特集」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30005840


IT・IT製品TOP > ネットワーク機器 > ADC/ロードバランサ > ADC/ロードバランサのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ