BIG-IP® Local Traffic Management 設定ガ イ ド バージ ョ ン 10.0.0 MAN-0292-00 製品バージ ョ ン 本マニ ュ アルは、 BIG-IP® Local Traffic Manager のバージ ョ ン 10.0.0 に適用 さ れます。 発行日 本マニ ュ アルは、 2009 年 2 月 25 日に発行 さ れま し た。 利用規約 著作権 Copyright 2009, F5 Networks, Inc. All rights reserved. F5 Networks, Inc. (F5) では、 本マ ニ ュ アルに記載 さ れてい る 情報を正確かつ信頼性の あ る も の であ る と 考え てい ます。 ただ し 、 F5 は、 こ の情報の使用、 あ る いは こ の情報の使用か ら 生 じ る 第三者の特許ま たは他の権利の侵害に関 し ていかな る 責任 も 負い ません。該当す る ユーザ ラ イ セ ン ス に よ り 明確に規定 さ れ る 場合を除 き 、 F5 のすべての特許権、 著作権、 その他の知的財産権 の下、 明示的ま たは暗黙的な ラ イ セ ン ス を一切付与 し ません。 F5 は、 予告な し にいかな る 時点 で も 仕様を変更す る 権利を保有 し ます。 商標 F5、 F5 Networks、 F5 の ロ ゴ、 BIG-IP、 3-DNS、 Acopia、 Acopia Networks、 Application Accelerator、 Ask F5、 Application Security Manager、 ASM、 ARX、 Data Guard、 Enterprise Manager、 EM、 FirePass、 FreedomFabric、 Global Traffic Manager、 GTM、 iControl、 Intelligent Browser Referencing、 Internet Control Architecture、IP Application Switch、iRules、Link Controller、LC、Local Traffic Manager、LTM、 Message Security Module、 MSM、 NetCelera、 OneConnect、 Packet Velocity、 SSL Accelerator、 SYN Check、 Traffic Management Operating System、 TMOS、 TrafficShield、 Transparent Data Reduction、 uRoam、 VIPRION、 WANJet、 WebAccelerator、 お よ び ZoneRunner は、 米国お よ び他の国におけ る F5 Networks, Inc. の商標ま たは登録商標で、F5 か ら 明示的な書面に よ る 同意を受けていない使 用は禁止 さ れてい ます。 特許権 本製品は米国特許番号 6,374,300; 6,473,802; 6,970,933; 7,051,126; 7,102,996; 7,146,354; 7,197,661; 7,206,282; 7,287,084 で保護 さ れてい ます。 そのほかの特許は申請中です。 輸出規制に関する通知 本製品は、 暗号化 ソ フ ト ウ ェ ア を含む場合が あ り ま す。 輸出管理法 (Export Administration Act) に基づ き 、 本製品の米国外への輸出は、 米国政府か ら 違法行為 と みな さ れ る 可能性があ り ます。 無線周波数妨害に関する警告 本製品は Class A 製品です。 米国内の環境では、 本製品に よ っ て電波障害が発生す る 可能性があ り ます。 その場合は適切な対処策が必要です。 FCC への準拠 本製品は、 FCC 規則の第 15 章に定め ら れてい る Class A デジ タ ルデバ イ ス に関す る 規制要件に 基づいて所定の試験を実施 し 、 その適合性が認定 さ れてい ます。 こ れ ら の制限は、 本製品が商用 環境で動作す る 際の有害な無線周波数妨害に対 し て適切な保護機能を提供す る こ と を目的 と し てい ます。 こ のユニ ッ ト は、 無線周波数エネルギーを発生お よ び使用 し 、 場合に よ っ ては放射す る 可能性があ り ます。 そのため、 取扱説明書に従っ た設置や使用を行わない場合、 無線通信に対 し て有害な妨害を生 じ る こ と があ り ます。住宅地域で本製品を使用す る と 無線周波妨害が発生す る 可能性があ り ます。 その場合、 ユーザは妨害状態を回避す る ために必要な手段を講 じ る 必要が あ り ます。 製造元か ら の明示的な承認を受けずに本製品に変更を加え た場合、 FCC 規則の第 15 章に基づい て本製品を操作す る ユーザの権限が無効にな る こ と があ り ます。 BIG-IP® Local Traffic Management 設定ガ イ ド i 謝辞 本製品には、 Bill Paul に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 Jonathan Stone に よ り 開発 さ れた ソ フ ト ウ ェ アが含まれてい ます。 本製品には、 Manuel Bouyer に よ り 開発 さ れた ソ フ ト ウ ェ アが含まれてい ます。 本製品には、 Paul Richards に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 NetBSD Foundation, Inc. お よ びその貢献者に よ り 開発 さ れた ソ フ ト ウ ェ アが含まれ てい ます。 本製品には、 Politecnico di Torino お よ びその貢献者に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 Swedish Institute of Computer Science お よ びその貢献者に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、University of California, Berkey お よ びその貢献者に よ り 開発 さ れた ソ フ ト ウ ェ アが含 ま れてい ます。 本製品には、 Lawrence Berkeley Laboratory の Computer System Engineering Group に よ り 開発 さ れ た ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 NetBSD プ ロ ジ ェ ク ト 用に Christopher G. Demetriou に よ り 開発 さ れた ソ フ ト ウ ェ ア が含まれてい ます。 本製品には、 Adam Glass に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 Christian E. Hopps に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 Dean Huxley に よ り 開発 さ れた ソ フ ト ウ ェ アが含まれてい ます。 本製品には、 John Kohl に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 Paul Kranenburg に よ り 開発 さ れた ソ フ ト ウ ェ アが含まれてい ます。 本製品には、 Terrence R. Lambert に よ り 開発 さ れた ソ フ ト ウ ェ アが含まれてい ます。 本製品には、 Philip A. Nelson に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 Herb Peyerl に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、NetBSD プ ロ ジ ェ ク ト 用に Jochen Pohl に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 Chris Provenzano に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 Theo de Raadt に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 David Muir Sharnoff に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 SigmaSoft の Th. Lockert に よ り 開発 さ れた ソ フ ト ウ ェ アが含まれてい ます。 本製品には、 NetBSD プ ロ ジ ェ ク ト 用に Jason R. Thorpe に よ り 開発 さ れた ソ フ ト ウ ェ アが含まれ てい ます。 本製品には、 And Communications (http://www.and.com) 用に Jason R. Thorpe に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、NetBSD プ ロ ジ ェ ク ト 用に Frank Van der Linden に よ り 開発 さ れた ソ フ ト ウ ェ アが含 ま れてい ます。 本製品には、 NetBSD プ ロ ジ ェ ク ト 用に John M. Vinopal に よ り 開発 さ れた ソ フ ト ウ ェ アが含まれ てい ます。 本製品には、 Christos Zoulas に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 University of Vermont お よ び State Agricultural College と Garrett A. Wollman に よ り 開 発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 Balazs Scheidler <bazsi@balabit.hu> に よ り 開発 さ れ、 GNU Public License に基づいて 保護 さ れてい る ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 Niels Mueller <nisse@lysator.liu.se> に よ り 開発 さ れ、 GNU Public License に基づいて 保護 さ れてい る ソ フ ト ウ ェ アが含ま れてい ます。 次の文で、「 こ の ソ フ ト ウ ェ ア」 と は Mitsumi CD-ROM ド ラ イ バを指 し てい ます。 こ の ソ フ ト ウ ェ アは、 Holger Veit お よ び Brian Moore に よ っ て、 「386BSD」 お よ び類似のオペレーテ ィ ン グ シ ス テ ム用に開発 さ れま し た。 「同様のオペレーテ ィ ン グ シ ス テ ム」 には、 「NetBSD」 、 「FreeBSD」 、 「Mach」 (カーネ ギー メ ロ ン大学 (CMU) 開発) な ど、 主 と し て非営利の研究、 教育用シ ス テ ム が含まれてい ます。 本製品には、 Apache Group に よ っ て Apache HTTP サーバプ ロ ジ ェ ク ト (http://www.apache.org/) 用に開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 GNU Library General Public License (© 1998, Red Hat Software) (www.gnu.org/copyleft/lgpl.html) の下、 Richard H. Porter か ら 使用許諾 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 ii 本製品には、 Perl Artistic License (© 1997, 1998 Tom Christiansen and Nathan Torkington) の下で使 用許諾 さ れた Perl ソ フ ト ウ ェ アの標準版が含ま れてい ます。All rights reserved. 最新の Perl 標準版 は、 http://www.perl.com で入手で き ます。 本製品には、 Jared Minch に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 OpenSSL Toolkit (http://www.openssl.org/) での使用 を 目的 と し て、 OpenSSL プ ロ ジ ェ ク ト に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 Eric Young (eay@cryptsoft.com) に よ り 作成 さ れた暗号化 ソ フ ト ウ ェ アが含 ま れて い ます。 本製品には、GNU Public License で保護 さ れてい る oprofile に基づ く ソ フ ト ウ ェ アが含ま れてい ま す。 本製品 に は、 Tobi Oetiker 氏 (http://www.rrdtool.com/index.html) が 開発 し 、 GNU General Public License に基づ き ラ イ セ ン ス付与 さ れてい る RRDtool が含まれてい ます。 本製品には、 GNU General Public License (GPL) の許可を受けて、 Dr. Brian Gladman か ら 使用許 諾 さ れた ソ フ ト ウ ェ アが含まれてい ます。 本製品には、 Apache Software Foundation <http://www.apache.org/> に よ り 開発 さ れた ソ フ ト ウ ェ ア が含ま れてい ます。 本製品には、 Hypersonic SQL が含ま れてい ます。 本製品には、 Regents of the University of California、 Sun Microsystems, Inc.、 Scriptics Corporation、 そ の他に よ っ て開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 Internet Software Consortium に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れてい ます。 本製品には、 Nominum, Inc. (http://www.nominum.com) に よ り 開発 さ れた ソ フ ト ウ ェ アが含ま れ てい ます。 本製品には、Broadcom Corporation に よ っ て開発 さ れた ソ フ ト ウ ェ アが含ま れてお り 、こ れは GNU Public License で保護 さ れてい ます。 本製品には、 Lawrence Berkeley Laboratory の Computer System Engineering Group に よ り 開発 さ れ た ソ フ ト ウ ェ アが含まれてい ます。Copyright © 1990-1994 Regents of the University of California.All rights reserved. 以下の条件を満たす場合、 修正の有無を問わず、 ソ ー スお よ びバ イ ナ リ 形式での 再配布お よ び使用が許可 さ れてい ます 1. ソ ース ・ コ ー ド の再配布には上記の著作権表示、 こ の条件 リ ス ト 、 お よ び下記の免責条項を維 持 し 明記す る 必要があ り ます。 2. バ イ ナ リ 形式での再配布には、 配布 と 共に提供 さ れ る 文書お よ び / ま たは資料に上記の著作権 表示、 こ の条件 リ ス ト 、 お よ び下記の免責条項を再表示す る 必要があ り ます。 3. 本 ソ フ ト ウ ェ アの機能ま たは使用を説明す る 一切の広告用資料に、以下の確認文を表示す る 必 要があ り ます。 本製品には、 Lawrence Berkeley Laboratory の Computer System Engineering Group に よ り 開発 さ れ た ソ フ ト ウ ェ アが含まれてい ます。 4. 事前に書面での明確な許可を得ない限 り 、本 ソ フ ト ウ ェ アに由来す る 製品の保証や宣伝のため に、 大学や研究所の名前を使用す る こ と はで き ません。 本 ソ フ ト ウ ェ アは理事お よ び貢献者に よ り 「現状の ま ま」 提供 さ れてお り 、 商品性お よ び特定目 的適合性の黙示的保証を含めて こ れに限 ら ず、 あ ら ゆ る 明示ま たは黙示の保証 も 否認 し ます。 い かな る 理由であれ、 契約責任、 厳格責任ま たは不法行為 (過失その他を含む) のいずれの責任理 論に よ る も のであれ、 理事ま たは貢献者は、 た と え損害の可能性を知 ら さ れていた と し て も 、 本 ソ フ ト ウ ェ ア の使用か ら 生 じ る 直接損害、 間接損害、 特別損害、 懲罰的損害 ま たは派生的損害 (代替製品ま たはサービ ス の調達、 使用、 デー タ 、 利益の損失、 ま たは業務の中断を含むが こ れ ら に限定 さ れない) の一切に対 し 責任を負い ません。 本製品には Sony Computer Science Laboratories Inc. に よ り 開発 さ れた ソ フ ト ウ ェ ア が含 ま れてい ます。 Copyright © 1997-2003 Sony Computer Science Laboratories Inc. All rights reserved. 以下の条件 を満たす場合、 修正の有無を問わず、 ソ ースお よ びバ イ ナ リ 形式での再配布お よ び使用が許可 さ れてい ます 1. ソ ース ・ コ ー ド の再配布には上記の著作権表示、 こ の条件 リ ス ト 、 お よ び下記の免責条項を維 持 し 明記す る 必要があ り ます。 2. バ イ ナ リ 形式での再配布には、 配布 と 共に提供 さ れ る 文書お よ び / ま たは資料に上記の著作権 表示、 こ の条件 リ ス ト 、 お よ び下記の免責条項を再表示す る 必要があ り ます。 本 ソ フ ト ウ ェ アは SONY CSL お よ び貢献者に よ り 「現状の ま ま」 提供 さ れてお り 、 商品性お よ び特定目的適合性の黙示的保証を含めて こ れに限 ら ず、 あ ら ゆ る 明示ま たは黙示の保証 も 否認 し ます。 いかな る 理由であれ、 契約責任、 厳格責任ま たは不法行為 (過失その他を含む) のいずれ の責任理論に よ る も のであれ、 SONY CSL ま たは貢献者は、 た と え損害の可能性を知 ら さ れてい た と し て も 、 本 ソ フ ト ウ ェ アの使用か ら 生 じ る 直接損害、 間接損害、 特別損害、 懲罰的損害ま た は派生的損害 (代替製品ま たはサービ ス の調達、 使用、 デー タ 、 利益の損失、 ま たは業務の中断 を含むが こ れ ら に限定 さ れない) の一切に対 し 責任を負い ません。 BIG-IP® Local Traffic Management 設定ガ イ ド iii 目次 目次 1 ロー カル ト ラ フ ィ ッ ク 管理の概要 ロー カル ト ラ フ ィ ッ ク管理について ...................................................................................1-1 ロー カル ト ラ フ ィ ッ ク管理機能の要約 ......................................................................1-1 特定 タ イ プのア プ リ ケーシ ョ ン ト ラ フ ィ ッ クの管理 ..........................................1-2 パ フ ォ ーマ ン スの最適化 .................................................................................................1-3 ネ ッ ト ワー ク セキ ュ リ テ ィ の強化 ...............................................................................1-5 ロー カル ト ラ フ ィ ッ ク管理設定の概要 ...............................................................................1-7 設定ユーテ ィ リ テ ィ の使用 .............................................................................................1-7 ロー カル ト ラ フ ィ ッ ク オブ ジ ェ ク ト の設定 .............................................................1-7 接続 と セ ッ シ ョ ンの タ イ ムアウ ト 設定の管理 ........................................................1-9 は じ めに .............................................................................................................................. 1-11 ネ ッ ト ワー ク マ ッ プ機能の使用 .......................................................................................... 1-13 フ ィ ル タ リ ング メ カ ニズムについて ....................................................................... 1-13 ロー カル ト ラ フ ィ ッ ク オブ ジ ェ ク ト のサマ リ の表示 ....................................... 1-14 ネ ッ ト ワー ク マ ッ プの表示 .......................................................................................... 1-16 ア プ リ ケーシ ョ ン テ ン プ レー ト について ....................................................................... 1-18 ア プ リ ケーシ ョ ン テ ン プ レー ト の メ リ ッ ト .......................................................... 1-18 ア プ リ ケーシ ョ ン テ ン プ レー ト の利用法 .............................................................. 1-18 本ガ イ ド について ..................................................................................................................... 1-22 補足情報の参照 ................................................................................................................ 1-22 表記規則 .............................................................................................................................. 1-23 ヘルプおよびテ ク ニ カルサポー ト リ ソ ースへのア ク セス ....................................... 1-25 2 バーチ ャ ルサーバの設定 バーチ ャルサーバおよび仮想ア ド レ スの概要 .................................................................2-1 バーチ ャルサーバ と は ......................................................................................................2-1 仮想ア ド レ ス と は ...............................................................................................................2-2 バーチ ャルサーバの仕組みについて ..........................................................................2-3 バーチ ャルサーバの タ イ プについて ...................................................................................2-5 ホス ト バーチ ャルサーバ .................................................................................................2-5 ネ ッ ト ワー クバーチ ャルサーバ ...................................................................................2-5 ク ラ ス タ リ ングマルチ プ ロ セ ッ シ ン グの概要 .................................................................2-8 CMP が有効にな っ ている場合のシス テム動作の違いについて .......................2-8 CMP の無効化 と 再有効化 ................................................................................................2-9 冗長シス テムの CMP について ................................................................................... 2-10 バーチ ャルサーバの作成 ....................................................................................................... 2-11 バーチ ャルサーバ と 仮想ア ド レ スの設定について ..................................................... 2-14 バーチ ャルサーバの設定 .............................................................................................. 2-14 仮想ア ド レ スの設定 ....................................................................................................... 2-20 バーチ ャルサーバおよび仮想ア ド レ スの管理 .............................................................. 2-21 バーチ ャルサーバの設定の表示または変更 .......................................................... 2-21 仮想ア ド レ スの設定の表示または変更 ................................................................... 2-23 バーチ ャルサーバ と 仮想ア ド レ スのス テー タ スについて .............................. 2-24 バーチ ャルサーバまたは仮想ア ド レ スの有効化 / 無効化 ............................... 2-25 バーチ ャルサーバまたは仮想ア ド レ スの削除 ..................................................... 2-26 3 ノ ー ド の設定 ノ ー ド の概要 .................................................................................................................................3-1 ノ ー ド の作成 と 変更 ...................................................................................................................3-2 ノ ー ド の設定 .................................................................................................................................3-4 ノ ー ド のア ド レ スの指定 .................................................................................................3-5 ノ ー ド 名の指定 ...................................................................................................................3-5 ヘルス モニ タ の割 り 当て .................................................................................................3-5 アベ イ ラ ビ リ テ ィ 要件の指定 ........................................................................................3-7 重み付けの指定 ...................................................................................................................3-7 コ ネ ク シ ョ ン リ ミ ッ ト の設定 ........................................................................................3-7 BIG-IP® Local Traffic Management 設定ガ イ ド vii 目次 ノ ー ド の管理 .................................................................................................................................3-8 ノ ー ド の リ ス ト を表示する ............................................................................................3-8 ノ ー ド プ ロパテ ィ の表示 .................................................................................................3-8 ノ ー ド ス テー タ スについて ............................................................................................3-9 ノ ー ド の有効化または無効化 ......................................................................................3-11 ノ ー ド の削除 ......................................................................................................................3-11 モニ タ の関連付けの削除 ...............................................................................................3-11 4 ロー ド バラ ン シ ングプールの設定 ロー ド バ ラ ン シ ングプールの概要 ........................................................................................4-1 ロー ド バ ラ ン シ ングプールについて ..........................................................................4-1 ロー ド バ ラ ン シ ングプールの機能 ...............................................................................4-1 ロー ド バ ラ ン シ ングプールの作成 と 変更 ..........................................................................4-2 ロー ド バ ラ ン シ ングプールの作成 と 実装 .................................................................4-2 ロー ド バ ラ ン シ ングプールの変更 ...............................................................................4-3 プール メ ンバシ ッ プの変更 ............................................................................................4-3 プールの設定 .................................................................................................................................4-6 プール名の指定 ...................................................................................................................4-7 ヘルスモニ タ と プール と の関連付け ..........................................................................4-7 アベ イ ラ ビ リ テ ィ 要件の指定 ........................................................................................4-8 SNAT および NAT の許可 ................................................................................................4-8 サービ スが利用不可にな っ た と きの処理の指定 ...................................................4-9 ス ロー ラ ン プ タ イムの設定 ............................................................................................4-9 Type of Service (ToS) レ ベルの設定 ...........................................................................4-9 Quality of Service (QoS) レ ベルの設定 ...................................................................4-10 ロー ド バ ラ ン シ ング方式の指定 .................................................................................4-10 プ ラ イ オ リ テ ィ ベースの メ ンバのア ク テ ィ べーシ ョ ンの指定 ......................4-14 プール メ ンバの指定 ........................................................................................................4-15 プール メ ンバの設定 .................................................................................................................4-16 プール メ ンバの重み付けの指定 .................................................................................4-17 プ ラ イ オ リ テ ィ ベースの メ ンバのア ク テ ィ ベーシ ョ ンの指定 ......................4-17 コ ネ ク シ ョ ン リ ミ ッ ト の指定 ......................................................................................4-17 明示的なモニ タ 関連付けの選択 .................................................................................4-17 プール メ ンバに対する明示的なモニ タ の関連付けの作成 ...............................4-18 アベ イ ラ ビ リ テ ィ 要件の指定 ......................................................................................4-19 プールおよびプール メ ンバの管理 ......................................................................................4-20 プールの管理 ......................................................................................................................4-20 プール メ ンバの管理 ........................................................................................................4-23 モニ タ の関連付けの削除 ...............................................................................................4-27 プールおよびプール メ ンバの統計情報の表示 ......................................................4-27 5 プ ロ フ ァ イルについて プ ロ フ ァ イルの概要 ...................................................................................................................5-1 プ ロ フ ァ イル タ イ プ ..........................................................................................................5-1 デ フ ォル ト プ ロ フ ァ イル .................................................................................................5-3 カ ス タ ムプ ロ フ ァ イル と 親プ ロ フ ァ イル .................................................................5-4 プ ロ フ ァ イルの要約 ..........................................................................................................5-5 プ ロ フ ァ イルの作成 と 変更 ......................................................................................................5-6 デ フ ォル ト プ ロ フ ァ イルを そのま ま使用する ........................................................5-6 デ フ ォル ト プ ロ フ ァ イルを変更する ..........................................................................5-7 カ ス タ ムプ ロ フ ァ イルを作成する ...............................................................................5-8 カ ス タ ムプ ロ フ ァ イルを変更する ...............................................................................5-9 プ ロ フ ァ イルの表示 と 削除 ....................................................................................................5-11 プ ロ フ ァ イルの リ ス ト の表示 ......................................................................................5-11 プ ロ フ ァ イルの削除 ........................................................................................................5-12 プ ロ フ ァ イルの実装 .................................................................................................................5-12 詳細情報 ........................................................................................................................................5-13 viii 目次 6 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ ク の管理 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ ク管理の概要 .................................................................6-1 HTTP 標準プ ロ フ ァ イルの設定 ..............................................................................................6-2 HTTP プ ロ フ ァ イル設定について ................................................................................6-2 HTTP 圧縮の設定 ...................................................................................................................... 6-11 標準的な ク ラ イ ア ン ト と サーバのシナ リ オにおける圧縮 .............................. 6-11 BIG-IP を使用 し た圧縮 ................................................................................................... 6-11 デー タ 圧縮への HTTP プ ロ フ ァ イルの使用 .......................................................... 6-13 デー タ 圧縮戦略の使い方 ....................................................................................................... 6-22 圧縮プ ロバイ ダの概要 ................................................................................................... 6-22 圧縮戦略の選択について .............................................................................................. 6-22 Adaptive 圧縮戦略の概要 ............................................................................................... 6-23 圧縮統計情報の表示 ....................................................................................................... 6-26 RAM キ ャ ッ シ ュ機能の設定 ................................................................................................. 6-28 RAM キ ャ ッ シ ュの基礎 ................................................................................................. 6-28 RAM キ ャ ッ シ ュ設定について .................................................................................... 6-32 RAM キ ャ ッ シ ュへの HTTP プ ロ フ ァ イルの使用 ............................................... 6-32 デー タ 圧縮 と RAM キ ャ ッ シ ュの最適化 ......................................................................... 6-34 http-acceleration プ ロ フ ァ イルの使い方 .................................................................. 6-34 http-wan-optimized-compression プ ロ フ ァ イルの使い方 .................................... 6-35 http-lan-optimized-caching プ ロ フ ァ イルの使い方 ................................................. 6-36 http-wan-optimized-compression-caching プ ロ フ ァ イルの使い方 ..................... 6-37 FTP プ ロ フ ァ イルの設定 ........................................................................................................ 6-38 プ ロ フ ァ イル名の指定 ................................................................................................... 6-38 親プ ロ フ ァ イルの指定 ................................................................................................... 6-38 Translate Extended 値の指定 ......................................................................................... 6-39 デー タ ポー ト の指定 ....................................................................................................... 6-39 FTP ト ラ フ ィ ッ ク のセキ ュ リ テ ィ の有効化 .......................................................... 6-39 SIP プ ロ フ ァ イルの設定 .......................................................................................................... 6-40 SIP プ ロ フ ァ イル設定の概要 ....................................................................................... 6-40 SIP パーシス テ ン スのカ ス タ マ イ ズ .......................................................................... 6-43 RTSP プ ロ フ ァ イルの設定 ..................................................................................................... 6-44 iSession プ ロ フ ァ イルの設定 ................................................................................................. 6-47 7 セ ッ シ ョ ンパーシ ス テ ン スの有効化 セ ッ シ ョ ンパーシス テ ン スの概要 ........................................................................................7-1 パーシス テ ン ス プ ロ フ ァ イルの設定 ..........................................................................7-1 iRules を介 し たセ ッ シ ョ ンパーシス テ ン スの有効化 ............................................7-2 セ ッ シ ョ ンパーシス テ ン ス を有効に し た OneConnect プ ロ フ ァ イルの 使い方 ......................................................................................................................................7-2 パーシス テ ン スの種類 と それらのプ ロ フ ァ イル .............................................................7-4 パーシス テ ン スの種類 ......................................................................................................7-4 セ ッ シ ョ ンパーシス テ ン スの基準について .............................................................7-5 Cookie パーシ ス テ ン ス .....................................................................................................7-7 宛先ア ド レ スのア フ ィ ニ テ ィ パーシス テ ン ス ..................................................... 7-10 ハ ッ シ ュパーシス テ ン ス .............................................................................................. 7-12 Microsoft Remote Desktop Protocol パーシ ス テ ン ス ........................................... 7-14 SIP パーシス テ ン ス .......................................................................................................... 7-17 送信元ア ド レ スのア フ ィ ニ テ ィ パーシス テ ン ス ................................................ 7-19 SSL パーシス テ ン ス ......................................................................................................... 7-20 ユニバーサルパーシス テ ン ス ..................................................................................... 7-21 8 プ ロ ト コ ルプ ロ フ ァ イルの管理 プ ロ ト コ ルプ ロ フ ァ イルの概要 .............................................................................................8-1 Fast L4 プ ロ フ ァ イルの設定 .....................................................................................................8-2 Fast L4 プ ロ フ ァ イル設定について ..............................................................................8-2 BIG-IP® Local Traffic Management 設定ガ イ ド ix 目次 PVA ハー ド ウ ェ ア高速化の設定 ...................................................................................8-5 Fast HTTP プ ロ フ ァ イルの設定 ..............................................................................................8-7 Fast HTTP プ ロ フ ァ イル設定について ........................................................................8-8 HTTP Class プ ロ フ ァ イルの設定 ..........................................................................................8-10 HTTP Class プ ロ フ ァ イルの設定について ...............................................................8-10 ほかの BIG-IP モ ジ ュ ールによ る ト ラ フ ィ ッ ク分類 ............................................8-13 TCP プ ロ フ ァ イルの設定 ........................................................................................................8-14 TCP プ ロ フ ァ イル設定について .................................................................................8-14 tcp-lan-optimized プ ロ フ ァ イルの設定について .....................................................8-19 tcp-wan-optimized プ ロ フ ァ イルの設定について ..................................................8-20 UDP プ ロ フ ァ イルの設定 .......................................................................................................8-21 SCTP プ ロ フ ァ イルの設定 ......................................................................................................8-22 9 SSL ト ラ フ ィ ッ クの管理 SSL ト ラ フ ィ ッ ク管理の概要 ...................................................................................................9-1 ク ラ イ ア ン ト 側およびサーバ側 ト ラ フ ィ ッ クの管理 ..........................................9-1 SSL ト ラ フ ィ ッ ク制御機能の要約 ................................................................................9-2 証明書の検証について ......................................................................................................9-3 証明書の失効について ......................................................................................................9-5 暗号化 と 復号化について .................................................................................................9-5 ク ラ イ ア ン ト 承認について ............................................................................................9-6 SSL セ ッ シ ョ ンパーシ ス テ ン スについて ...................................................................9-6 その他の SSL 機能について .............................................................................................9-6 キーおよび証明書の管理 ..........................................................................................................9-7 既存のキーおよび証明書に関する情報の表示 ........................................................9-7 新規の証明書およびキーに対する要求の作成 ........................................................9-7 証明書の更新 ........................................................................................................................9-9 証明書 と キーのペアの削除 ..........................................................................................9-10 キー、 証明書、 およびアー カ イ ブのイ ンポー ト .................................................9-10 アー カ イ ブの作成 .............................................................................................................9-11 SSL プ ロ フ ァ イルについて .....................................................................................................9-11 HTTP プ ロ フ ァ イルの設定 .....................................................................................................9-13 プ ロ フ ァ イル名の指定 ....................................................................................................9-14 親プ ロ フ ァ イルの選択 ....................................................................................................9-14 証明書の名前の指定 ........................................................................................................9-14 キーの名前の指定 .............................................................................................................9-15 パス フ レーズの指定 と 確認 ..........................................................................................9-15 証明書チ ェ ーンの設定 ....................................................................................................9-15 信頼で き る ク ラ イ ア ン ト CA の指定 .........................................................................9-15 SSL 暗号の指定 ...................................................................................................................9-16 回避策の設定 ......................................................................................................................9-17 ModSSL 方式のエ ミ ュ レーシ ョ ンの有効化 .............................................................9-20 SSL セ ッ シ ョ ンキ ャ ッ シ ュの設定 ..............................................................................9-20 ア ラ ー ト タ イムアウ ト 値の指定 .................................................................................9-21 ハン ド シ ェ イ ク タ イムアウ ト 値の指定 ....................................................................9-22 SSL セ ッ シ ョ ンの再ネゴ シ エーシ ョ ンの強制 .......................................................9-22 SSL シ ャ ッ ト ダウンの設定 ............................................................................................9-23 非 SSL 接続の受け入れ ....................................................................................................9-24 ク ラ イ ア ン ト およびサーバ認証の設定 .............................................................................9-25 Configuring certificate presentation ................................................................................9-26 セ ッ シ ョ ン ご と の認証の設定 ......................................................................................9-27 信頼で き る ク ラ イ ア ン ト CA の リ ス ト のア ド バ タ イ ズ ....................................9-28 認証レ ベルの設定 .............................................................................................................9-29 名前ベースの認証の設定 ...............................................................................................9-29 証明書の失効 ......................................................................................................................9-29 10 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ クの認証 リ モー ト 認証の概要 .................................................................................................................10-1 x 目次 BIG-IP 認証モ ジ ュ ール ................................................................................................... 10-1 認証モ ジ ュ ールの実装 ................................................................................................... 10-2 LDAP 認証モ ジ ュ ールの実装 ................................................................................................ 10-4 LDAP 構成オブ ジ ェ ク ト の作成 .................................................................................. 10-5 LDAP プ ロ フ ァ イルの作成 ........................................................................................... 10-7 RADIUS 認証モ ジ ュ ールの実装 ......................................................................................... 10-10 RADIUS サーバオブ ジ ェ ク ト の作成 ....................................................................... 10-10 RADIUS 構成オブ ジ ェ ク ト の作成 ........................................................................... 10-11 RADIUS プ ロ フ ァ イルの作成 .................................................................................... 10-13 TACACS+ 認証モ ジ ュ ールの実装 ..................................................................................... 10-16 TACACS+ 構成オブ ジ ェ ク ト の作成 ....................................................................... 10-16 TACACS+ プ ロ フ ァ イルの作成 ................................................................................ 10-18 SSL ク ラ イ ア ン ト 証明書 LDAP 認証モ ジ ュ ールの実装 ............................................ 10-21 SSL ク ラ イ ア ン ト 証明書認証 と は ........................................................................... 10-21 SSL ク ラ イ ア ン ト 証明書 LDAP 構成オブ ジ ェ ク ト の作成 .............................. 10-24 SSL ク ラ イ ア ン ト 証明書 LDAP 承認プ ロ フ ァ イルの作成 .............................. 10-26 SSL OCSP 認証モ ジ ュ ールの実装 ...................................................................................... 10-29 OCSP の概要 .................................................................................................................... 10-29 OCSP レ スポン ダオブ ジ ェ ク ト の作成 .................................................................. 10-32 SSL OCSP 構成オブ ジ ェ ク ト の作成 ........................................................................ 10-34 SSL OCSP プ ロ フ ァ イルの作成 ................................................................................. 10-35 CRLDP 認証モ ジ ュ ールの実装 ........................................................................................... 10-38 CRLDP サーバオブ ジ ェ ク ト の作成 ........................................................................ 10-39 CRLDP 構成オブ ジ ェ ク ト の作成 ............................................................................. 10-40 CRLDP プ ロ フ ァ イルの作成 ...................................................................................... 10-41 Kerberos 委任認証モ ジ ュ ールの実装 .............................................................................. 10-44 Kerberos 委任構成オブ ジ ェ ク ト の作成 ................................................................ 10-45 Kerberos 委任プ ロ フ ァ イルの作成 ......................................................................... 10-46 11 その他のプ ロ フ ァ イルの使用 その他の タ イ プのプ ロ フ ァ イルの概要 ............................................................................ 11-1 OneConnect プ ロ フ ァ イルの設定 ....................................................................................... 11-2 NTLM プ ロ フ ァ イルの設定 ................................................................................................... 11-4 Statistics プ ロ フ ァ イルの設定 ............................................................................................... 11-6 Stream プ ロ フ ァ イルの設定 .................................................................................................. 11-7 12 モニ タ の設定 モニ タ の概要 .............................................................................................................................. 12-1 モニ タ タ イ プの要約 ....................................................................................................... 12-2 モニ タ の設定について ................................................................................................... 12-4 モニ タ 実装の概要 ............................................................................................................ 12-4 カ ス タ ムモニ タ の作成 ............................................................................................................ 12-8 特殊な設定に関する留意事項 ............................................................................................ 12-10 宛先の設定 ........................................................................................................................ 12-10 Transparent モー ド と Reverse モー ド ...................................................................... 12-11 Manual Resume の設定 ................................................................................................... 12-12 Check Until Up の設定 ................................................................................................... 12-14 モニ タ のプール と ノ ー ド への関連付け .......................................................................... 12-15 モニ タ の管理 ............................................................................................................................ 12-17 13 NAT の設定 ネ ッ ト ワー ク ア ド レ ス変換 (NAT) の概要 ................................................................... 13-1 NAT と は? ........................................................................................................................ 13-1 受信接続用の NAT について ....................................................................................... 13-2 発信接続用の NAT について ....................................................................................... 13-4 NAT の作成 ................................................................................................................................. 13-6 BIG-IP® Local Traffic Management 設定ガ イ ド xi 目次 その他の制約事項 .............................................................................................................13-7 NAT の管理 ..................................................................................................................................13-8 NAT の確認 / 変更 ............................................................................................................13-8 NAT の削除 .........................................................................................................................13-8 ロー ド バ ラ ン シ ングプールでの NAT の有効化 / 無効化 ..................................13-9 14 SNAT の設定 セキ ュ アネ ッ ト ワー ク ア ド レ ス変換の概要 ....................................................................14-1 ク ラ イ ア ン ト で開始 さ れた (受信) 接続での SNAT の概要 ..........................14-2 サーバで開始 さ れた (発信) 接続での SNAT の概要 ........................................14-4 SNAT 実装の概要 ..............................................................................................................14-5 SNAT プールの作成 ..................................................................................................................14-7 SNAT の作成 ................................................................................................................................14-9 標準 SNAT の作成 .............................................................................................................14-9 イ ン テ リ ジ ェ ン ト SNAT の作成 .............................................................................. 14-12 SNAT プールのバーチ ャルサーバへの直接割 り 当て ...................................... 14-13 SNAT の管理 ............................................................................................................................. 14-14 SNAT、 SNAT プールの表示または変更 ............................................................... 14-14 変換ア ド レ スの定義または表示 .............................................................................. 14-15 SNAT、 SNAT プール、 変換ア ド レ スの削除 ...................................................... 14-16 ロー ド バ ラ ン シ ングプールでの SNAT または NAT の有効化または 無効化 ................................................................................................................................. 14-17 SNAT 変換ア ド レ スの有効化または無効化 ......................................................... 14-17 SNAT の例 .................................................................................................................................. 14-18 例 1 - SNAT プールを使用する標準 SNAT の確立 ............................................. 14-18 例 2 - イ ン テ リ ジ ェ ン ト SNAT の確立 .................................................................. 14-19 15 ト ラ フ ィ ッ ク ク ラ スの設定 ト ラフ ィ ト ラフ ィ ト ラフ ィ ト ラフ ィ ッ ク ク ラ スの概要 ッ ク ク ラ スの作成 ッ ク ク ラ スの設定 ッ ク ク ラ スの管理 ....................................................................................................15-1 ....................................................................................................15-1 ....................................................................................................15-2 ....................................................................................................15-3 16 レー ト シ ェ ーピ ングの設定 レー ト シ ェ ーピ ングの概要 ....................................................................................................16-1 レー ト ク ラ スの作成 と 実装 ....................................................................................................16-2 レー ト ク ラ ス設定の設定 ........................................................................................................16-4 名前の指定 ..........................................................................................................................16-5 ベース レー ト の指定 ........................................................................................................16-5 上限の指定 ..........................................................................................................................16-5 バース ト サイ ズの指定 ....................................................................................................16-6 方向の指定 ..........................................................................................................................16-8 親 ク ラ スの指定 .................................................................................................................16-8 シ ェ ーピ ングポ リ シーの指定 ......................................................................................16-9 キ ュ ー方式の指定 .............................................................................................................16-9 破棄ポ リ シーの指定 ..................................................................................................... 16-10 レー ト ク ラ スの管理 .............................................................................................................. 16-11 17 iRule の記述 iRule の概要 ..................................................................................................................................17-1 iRule について .....................................................................................................................17-1 基本 iRule 要素 ....................................................................................................................17-2 ト ラ フ ィ ッ クの宛先 と ア ド レ ス変換の指定 ..........................................................17-4 iRule の作成 ..................................................................................................................................17-7 xii 目次 iRules と 管理パーテ ィ シ ョ ンについて .................................................................... 17-7 iRule 評価の制御 ........................................................................................................................ 17-9 設定の前提条件 ................................................................................................................ 17-9 イ ベン ト の指定 ................................................................................................................ 17-9 iRule コ マ ン ド の使用 ............................................................................................................. 17-12 ス テー ト メ ン ト コ マ ン ド ............................................................................................ 17-12 ク エ リ および操作 コ マ ン ド ........................................................................................ 17-12 ユーテ ィ リ テ ィ コ マ ン ド ............................................................................................ 17-13 プ ロ フ ァ イルの処理 .............................................................................................................. 17-14 プ ロ フ ァ イル設定の読み込み ................................................................................... 17-14 プ ロ フ ァ イル設定のオーバー ラ イ ド ..................................................................... 17-14 iRule でのセ ッ シ ョ ンパーシ ス テ ン スの有効化 ........................................................... 17-15 デー タ グループの作成、 管理、 使用 .............................................................................. 17-16 matchclass コ マ ン ド の使用 .......................................................................................... 17-16 デー タ グループの作成 ................................................................................................. 17-17 ス ト レージオプ シ ョ ン ................................................................................................. 17-19 デー タ グループ プ ロパテ ィ の表示 .......................................................................... 17-20 デー タ グループ メ ンバの管理 ................................................................................... 17-21 A ヘルスモニ タ と パフ ォ ーマ ン スモニ タ モニ タ リ フ ァ レ ン ス ..................................................................................................................A-1 バーチ ャルサーバに関する注意事項 .......................................................................A-20 CMP に関する注意事項 ..................................................................................................A-21 MSSQL の前提条件の タ ス ク ........................................................................................A-26 MSSQL モニ タ の設定 と そのデ フ ォル ト 値 .............................................................A-26 MSSQL ログ イ ンの ト ラ ブルシ ュ ーテ ィ ング ........................................................A-28 B モニ タ についての追加留意事項 モニ タ への Dynamic Ratio ロー ド バラ ン シ ングの実装 ................................................ B-1 Real Server モニ タ の実装 ................................................................................................. B-1 WMI モニ タ の実装 ............................................................................................................ B-3 SNMP DCA および SNMP DCA Base モ ニ タ の実装 ............................................. B-10 MSSQL モニ タ の実装 ............................................................................................................... B-11 C OpenSSL ユーテ ィ リ テ ィ の使い方 BIG-IP の OpenSSL について ....................................................................................................C-1 ク ラ イ ア ン ト シス テム証明書の作成 ..................................................................................C-1 Web サイ ト 証明書の作成 ........................................................................................................C-2 証明書失効の使い方 ..................................................................................................................C-3 その他の証明書関連 タ ス クの実行 .......................................................................................C-4 用語集 索引 BIG-IP® Local Traffic Management 設定ガ イ ド xiii 1 ロー カル ト ラ フ ィ ッ ク管理の概要 • ロー カル ト ラ フ ィ ッ ク管理について • ロー カル ト ラ フ ィ ッ ク管理設定の概要 • ネ ッ ト ワー ク マ ッ プ機能の使用 • ア プ リ ケーシ ョ ン テ ン プ レー ト について • 本ガ イ ド について • ヘルプお よ びテ ク ニ カルサポー ト リ ソ ースへの ア ク セス ロー カル ト ラ フ ィ ッ ク管理について BIG-IP ロ ーカル ト ラ フ ィ ッ ク 管理シ ス テ ムは、 特に ロ ーカルネ ッ ト ワ ー ク ト ラ フ ィ ッ ク の管理用に設計 さ れ て い ま す。 ロ ー カ ル ト ラ フ ィ ッ ク 管理 と は、イ ン ト ラ ネ ッ ト な ど の ロ ーカルエ リ アネ ッ ト ワー ク (LAN) を出入 り す る ネ ッ ト ワー ク ト ラ フ ィ ッ ク を管理す る プ ロ セ ス の こ と です。 こ の設定ガ イ ド は、 BIG-IP 製品 フ ァ ミ リ に含 ま れ る ロ ー カ ル ト ラ フ ィ ッ ク 管理製品セ ッ ト に適用 さ れ ます。 BIG-IP で よ く 使用 さ れ る 機能は、ネ ッ ト ワ ー ク サーバ上の負荷を イ ン テ リ ジ ェ ン ト に調整す る ために、 着信ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を イ ン タ ーセプ ト お よ び リ ダ イ レ ク ト す る 機能です。 ただ し 、 サーバの 負荷を調整す る こ と だけが ロ ーカル ト ラ フ ィ ッ ク 管理では あ り ま せ ん。 BIG-IP には、 ヘ ッ ダや コ ン テ ン ツデー タ の検査お よ び変換、 SSL 証明書ベース の認証管理、 HTTP 応答の圧縮な ど を実行す る さ ま ざ ま な機能が用意 さ れてい ます。 こ れ ら の機能を実行す る と き に、 BIG-IP は、 ト ラ フ ィ ッ ク を適切なサーバの リ ソ ース にダ イ レ ク ト す る だけで な く 、 ネ ッ ト ワ ー ク セ キ ュ リ テ ィ を強化 し ま す。 ま た、 通常は Web サーバで実行 さ れ る タ ス ク を実行す る こ と で、サーバの リ ソ ース を解 放 し ます。 注 BIG-IP® LTM は、 BIG-IP 製品フ ァ ミ リ を 構成する 一製品です。 BIG-IP 製品フ ァ ミ リ のすべての製品は、TMOSTM と も 呼ばれる 、強力な Traffic Management Operating System で実行し ま す。 すべての BIG-IP 製品サー ビ ス の 概要に つい て は、『 TMOSTM Management Guide for BIG-IP® Systems』 を 参照し てく ださ い。 BIG-IP シス テム 設定の基本情報につい ては、『 BIG-IP® Systems: Getting Started Guide』 を 参照し てく ださ い。 ロー カル ト ラ フ ィ ッ ク管理機能の要約 BIG-IP を適切に設定す る と 、 以下の よ う な多岐にわた る ト ラ フ ィ ッ ク 管理機能を実行で き ます。 • ト ラ フ ィ ッ ク のバ ラ ン ス を取 る こ と でネ ッ ト ワ ー ク 上のサーバの 負荷を調整 し て分散 さ せ、 ス ケー ラ ビ リ テ ィ を実現 し ます。 • HTTP デー タ 圧縮、 SSL 認証、 SSL 暗号化な ど の標準的なサーバ タ ス ク の負荷を軽減す る こ と で、 サーバのパ フ ォ ーマ ン ス を向上 さ せます。 • ネ ッ ト ワ ー ク 上のサーバの健全性お よ びパ フ ォ ーマ ン ス を 監視 し 、 アベ イ ラ ビ リ テ ィ を実現 し ます。 • セ ッ シ ョ ン と 接続のパーシ ス テ ン ス (接続維持) を確立お よ び管 理 し ます。 • ユーザ名 と パ ス ワー ド お よ び SSL 証明書に基づいた アプ リ ケー シ ョ ン ト ラ フ ィ ッ ク の認証お よ び許可機能を処理 し ます。 • パケ ッ ト ス ループッ ト を 管理し て、特定タ イ プの接続パフ ォ ーマン ス を 最適化し ま す。 BIG-IP® Local Traffic Management 設定ガ イ ド 1-1 第1章 ロー カル ト ラ フ ィ ッ ク管理の概要 • 複数の ク ラ イ ア ン ト リ ク エ ス ト を サーバ側の接続プールに集約す る こ と で、パフ ォ ーマ ン ス を向上 さ せます。 こ の よ う な ク ラ イ ア ン ト 要求の集約機能は、 BIG-IP の OneConnectTM 機能に含まれてい ます。 • 構 成 設 定 を 適 用 し て、 ア プ リ ケ ー シ ョ ン 固 有 の ト ラ フ ィ ッ ク (HTTP ト ラ フ ィ ッ ク 、 SSL ト ラ フ ィ ッ ク な ど) の フ ロ ーを カ ス タ マ イ ズ し ます。 • 業界標準の Tool Command Language (Tcl) に基づいたユーザ作成 ス ク リ プ ト に従っ て、 特定の接続の管理を カ ス タ マ イ ズ し ます。 • マルチプ ロ セ ッ サプ ラ ッ ト フ ォ ーム では、 BIG-IP の TMM (Traffic Management Microkernel) サービ ス の複数の イ ン ス タ ン ス を使っ て ト ラ フ ィ ッ ク を処理す る よ う に設定す る こ と で、 ト ラ フ ィ ッ ク 管 理性能を強化 し てい ます。 こ こ で列挙 し た機能には、ネ ッ ト ワー ク サーバ上の負荷のバ ラ ン ス を 取 る 基本機能を提供す る も の と 、注目すべ き 特別な機能を提供す る も の と があ り ます。 こ れ ら の機能には、 特定 タ イ プのアプ リ ケーシ ョ ン ト ラ フ ィ ッ ク の管理、 サーバパフ ォ ーマ ン ス の最適化、 ネ ッ ト ワー ク のセキ ュ リ テ ィ の強化な ど があ り ます。 続 く 3 つのセ ク シ ョ ン では、 こ の よ う な特別な機能について説明 し ます。 特定 タ イ プのア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の管理 ロ ーカル ト ラ フ ィ ッ ク 管理の主要機能 と し て、アプ リ ケーシ ョ ン固有 の ト ラ フ ィ ッ ク フ ロ ー を カ ス タ マ イ ズす る 構成設定を適用す る こ と があ り ます。 BIG-IP では、 さ ま ざ ま な種類の ト ラ フ ィ ッ ク を、 それ ぞれ異な る 方法で制御す る こ と が可能です。 その場合、 各 タ イ プの ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を管理す る ためのポ リ シーを確立 し ます。 BIG-IP で管理可能な ト ラ フ ィ ッ ク タ イ プの例は、 次の と お り です。 TCP、 UDP、 HTTP、 FTP、 SSL、 Session Initiation Protocol (SIP)。 こ の よ う な異な る ト ラ フ ィ ッ ク タ イ プ を体系的に管理す る 個別のポ リ シーを作成す る こ と に加え て、 次の作業 も 行え ます。 • iRulesTM を作成 し て、 個々のアプ リ ケーシ ョ ン固有の接続に特定 の動作を割 り 当て ます。 iRules では、 特定 タ イ プの ト ラ フ ィ ッ ク の コ ン テ ン ツ (HTTP リ ク エ ス ト ま たは応答な ど) を検索 し 、 それに応 じ て ト ラ フ ィ ッ ク を ダ イ レ ク ト す る こ と が可能です。 • アプ リ ケーシ ョ ン固有の要求にヘ ッ ダデー タ を挿入 し ます。 HTTP リ ク エス ト など のト ラ フ ィ ッ ク にヘッ ダデータ を 挿入し 、 そ のヘッ ダデータ に基づき 要求の送信先を 指定する こ と が可能です。 • セ ッ シ ョ ン のパーシ ス テ ン ス を実装 し ます。 BIG-IP の強力な設定ツール を使用す る と 、 HTTP Cookie、 送信元 IP ア ド レ ス、 宛先 IP ア ド レ ス、 SSL セ ッ シ ョ ン ID な ど のデー タ に基づいて、 セ ッ シ ョ ン のパーシ ス テ ン ス を設定で き ます。 • 1-2 ノ ード またはプール メ ンバの健全性やパフ ォーマン ス を監視し ます。 た と えば、BIG-IP ではネ ッ ト ワー ク 上の Web サーバを監視 し 、タ ー ゲ ッ ト の Web サーバが機能 し ていない と 判断す る と 、 別のサーバ に要求を リ ダ イ レ ク ト し ます。 • 動的比率 ロ ー ド バ ラ ン シ ン グ アルゴ リ ズ ム を使用 し ます。 こ の ア ル ゴ リ ズ ム は特定 タ イ プ の サーバ (Windows Management Infrastructure (WMI) サーバな ど) の現在の負荷を評価 し 、 その評 価に基づ き 要求を リ ダ イ レ ク ト し ま す。 特定 タ イ プのアプ リ ケー シ ョ ン に対応 し てサーバ を監視す る 機能は、 ネ ッ ト ワ ー ク の最適 なパフ ォーマ ン ス を維持す る ための重要な手段 と な り ます。 最後に、 BIG-IP では一連のアプ リ ケーシ ョ ン テ ン プ レー ト を利用で き る よ う にな っ てい ます。テ ン プ レー ト では ウ ィ ザー ド に似た画面が 表示 さ れ、特定アプ リ ケーシ ョ ンの ト ラ フ ィ ッ ク を処理す る よ う にシ ス テ ム を設定す る こ と がで き ます。 BIG-IP が提供す る テ ン プ レー ト には、 BEA WebLogic や Microsoft® IIS な ど があ り ます。 パフ ォ ーマ ン スの最適化 BIG-IP には、 サーバパフ ォ ーマ ン ス を最適化す る ための機能が複数 用意 さ れてい ます。 こ れ ら の機能は、 労働集約型の ト ラ フ ィ ッ ク 管理 タ ス ク (SSL 証明書の検証な ど) の負荷を軽減す る か、 ま たはサーバ 側接続のプー リ ン グ、 再利用、 お よ び全体的なパーシ ス テ ン ス を有効 に し ます。 サーバ タ ス ク の負荷の軽減 BIG-IP では、ネ ッ ト ワ ー ク サーバか ら 以下の タ ス ク の負荷を オ フ ロ ー ド す る こ と がで き ます。 • 証明書失効 リ ス ト (CRL)、Online Certificate Status Protocol (OCSP)、 Certificate Revocation List Distribution Point (CRLDP) 技術のいずれ か を使っ た証明書の失効状態のチ ェ ッ ク を含む、 SSL 証明書ベー ス の認証 • SSL 暗号化お よ び復号化 • リ モー ト LDAP サーバを使用す る SSL 証明書ベース の許可 • HTTP デー タ 圧縮 と RAM キ ャ ッ シ ュ • LDAP お よ び RADIUS サーバな ど、 リ モー ト 認証サーバを使用 し た場合のアプ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証お よ び承認 • Microsoft® Remote Desktop 接続の書 き 換え TCP 接続および HTTP 接続の最適化 BIG-IP では、 TCP 接続 と HTTP 接続を特定の方法で管理 し て、 サー バパ フ ォ ーマ ン ス を最適化 し ま す。 主な ネ ッ ト ワ ー ク 最適化機能に は、OneConnectTM、HTTP パ イ プ ラ イ ニ ン グ、HTTP デー タ 圧縮、RAM キ ャ ッ シ ュ 、 レー ト シ ェーピ ン グ な ど があ り ます。 OneConnect OneConnectTM 機能には、 次の コ ン ポーネ ン ト が含ま れ ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 1-3 第1章 ロー カル ト ラ フ ィ ッ ク管理の概要 ◆ コ ン テ ン ツ ス イ ッ チン グ HTTP ク ラ イ ア ン ト が単一の接続で複数の要求 を 送信す る 場合、 BIG-IP では こ れ ら の要求を個別に処理 し 、 必要に応 じ て異な る 宛 先サーバに送信す る こ と が可能です。 ◆ コ ネ ク シ ョ ン プー リ ン グ こ の機能に よ り BIG-IP は、 開いてはい る が使用 さ れてないサーバ 側の接続を結合 し 、 ほかの ク ラ イ ア ン ト で使用で き る よ う に し ま す。 こ れに よ り 、 ク ラ イ ア ン ト リ ク エ ス ト を処理す る ために必要 なサーバの数を大幅に減 ら す こ と がで き ます。 ◆ OneConnect 変換 HTTP/1.0 要求に対 し て Keep-Alive サポー ト を HTTP Connection ヘ ッ ダに追加す る こ と で、 サーバ側の接続を確実に開いた ま ま に す る 場合があ り ま す。 HTTP Connection ヘ ッ ダ を こ の よ う に操作 す る 機能は、 OneConnect 変換 と 呼ばれてい ます。 こ の機能は コ ネ ク シ ョ ン プー リ ン グ と 連動 し ます。 OneConnect 機能の一般情報については、 第 6 章 「 アプ リ ケーシ ョ ン 層 ト ラ フ ィ ッ ク の管理」 お よ び第 11 章 「 その他のプ ロ フ ァ イ ルの使 用」 を参照 し て く だ さ い。 HTTP パイ プ ラ イ ニ ング OneConnect 機能に加え て、 BIG-IP には、 パ イ プ ラ イ ン化 さ れた要求 を処理す る 機能があ り ます。 つま り BIG-IP では、 前の要求の応答を 待たずに、複数の ク ラ イ ア ン ト リ ク エ ス ト を発行で き る よ う にな っ て い ます。 パ イ プ ラ イ ニ ン グは、 HTTP/1.1 要求のみに使用可能な最適 化機能です。 HTTP パイ プラ イ ニン グの詳細については、 第 6 章「 アプ リ ケーシ ョ ン 層 ト ラ フ ィ ッ ク の管理」 を 参照し てく ださ い。 HTTP デー タ 圧縮 HTTP 応答を圧縮す る よ う に HTTP プ ロ フ ァ イ ルを設定す る と 、 バ ッ ク エ ン ド サーバの負荷を緩和す る こ と がで き ます。BIG-IP が HTTP 応 答を圧縮すれば、 HTTP ト ラ フ ィ ッ ク を処理す る バ ッ ク エ ン ド サーバ が、 デー タ 圧縮に リ ソ ース を使用す る 必要があ り ません。 広域ネ ッ ト ワー ク (WAN) のいずれかの端部に Local Traffic Manager シ ス テ ムが設置 さ れていれば、 iSession 設定プ ロ フ ァ イ ルを設定す る こ と がで き ます。 こ れに よ り 最適化 ト ン ネルが作成 さ れ、 BIG-IP か ら WAN 経由で も う 一方の端部に送 ら れ る デー タ が圧縮 さ れ る こ と に な り ます。 RAM キ ャ ッ シ ュ BIG-IP の RAM に HTTP オブジ ェ ク ト を格納で き ます。その後の接続 では、 こ れ ら のオブジ ェ ク ト を再利用 し 、 バ ッ ク エ ン ド サーバの負荷 を緩和す る こ と がで き ます。 1-4 レー ト シ ェ ーピ ン グ レー ト シ ェーピ ン グ は、特定 タ イ プの接続の ス ループ ッ ト を カ ス タ マ イ ズす る ために、 接続を レー ト ク ラ ス に分類で き る 機能です。 こ の機 能は、 優先 イ ン タ ーネ ッ ト カ ス タ マ用に Web サーバのパフ ォ ーマ ン ス を最適化す る 必要があ る 場合な ど に便利です。 TCP 最適化 BIG-IP には、 順序どお り の配信、 コ ン テ ン ツ ス プー リ ン グ な ど、 重 要な TCP 最適化機能が含ま れてい ます。 ネ ッ ト ワー ク セキ ュ リ テ ィ の強化 セ キ ュ リ テ ィ は、ロ ーカルネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を管理す る 上で 重要な考慮事項です。 そのため、 BIG-IP には、 セ キ ュ リ テ ィ 侵犯の 防止を考慮 し て設計 さ れた機能が数多 く 用意 さ れてい ます。こ れ ら の 機能は、 ユーザやアプ リ ケーシ ョ ンの認証お よ び許可だけでな く 、 侵 入検知や DoS 攻撃の緩和に も 関連 し てい ます。 一般に、 BIG-IP に よ っ てセ キ ュ リ テ ィ 問題が検出 さ れた場合、 以下 の よ う な処理が行われます。 • SSL 証明書の検証に基づいて ク ラ イ ア ン ト リ ク エ ス ト を拒否す る • 許可 さ れていないパケ ッ ト を拒否お よ び廃棄す る • シ ス テ ム管理者に攻撃ま たは侵入に対す る 警報を出す • 不審な ト ラ フ ィ ッ ク を特定の タ ーゲ ッ ト サーバにダ イ レ ク ト す る • 認証の失敗を ロ グに記録す る • SYN フ ラ ッ ド 攻撃を防止す る あ ら ゆ る ネ ッ ト ワー ク 環境で重要な考慮事項は、ユーザ と その ク ラ イ ア ン ト リ ク エ ス ト を認証す る ため、ま たサーバ リ ソ ースへのユーザお よ びア プ リ ケーシ ョ ン ア ク セ ス を制御す る ために使用す る 認証お よ び許可 メ カ ニズ ム です。 こ のため、 BIG-IP では、 Pluggable Authentication Module (PAM) テ ク ノ ロ ジ を サポー ト し てい ます。 ま た、 認証や許可のニーズに対応す る ために選択可能な PAM 認証モ ジ ュ ールの完全なセ ッ ト を提供 し てい ます。 BIG-IP に用意 さ れてい る 認証モジ ュ ールは、 次の と お り です。 • LDAP モジ ュ ール リ モー ト LDAP サーバを使用 し て、 ユーザ名 と パ ス ワ ー ド のユー ザ認証を実行 し ます。 • RADIUS モジ ュ ール Remote Authentication Dial In User Service (RADIUS) サーバを使用 し て、 ユーザ名 と パ ス ワー ド のユーザ認証を実行 し ます。 • TACACS+ モジ ュ ール リ モー ト Terminal Access Controller Access Control System (TACACS+) サーバ を使用 し て、 ユーザ名 と パ ス ワ ー ド のユーザ 認証を実行 し ます。 • SSL ク ラ イ ア ン ト 証明書 LDAP モジ ュ ール リ モー ト LDAP サーバを使用 し て、 ク ラ イ ア ン ト SSL ト ラ フ ィ ッ ク の SSL 証明書ベース の許可を実行 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 1-5 第1章 ロー カル ト ラ フ ィ ッ ク管理の概要 • OCSP モジ ュ ール リ モー ト Online Certificate Status Protocol (OCSP) サーバを使用 し て、 ク ラ イ ア ン ト お よ びサーバの SSL ト ラ フ ィ ッ ク を認証す る た めに、 最新の SSL 証明書の失効ス テー タ ス を提供 し ます。 • CRLDP モジ ュ ール ク ラ イ ア ン ト お よ びサーバのSSL ト ラ フ ィ ッ ク を認証す る ために、 業界標準の Certificate Revocation List Distribution Point (CRLD) 技 術を利用 し て、 SSL 証明書の失効状態を管理 し ます。 • Kerberos 委任モジ ュ ール Microsoft Windows Integrated Authentication を 使 っ て ク ラ イ ア ン ト ト ラ フ ィ ッ ク を認証 し ます。 1-6 ロー カル ト ラ フ ィ ッ ク管理設定の概要 基本ネ ッ ト ワ ー ク を設定 し てお り 、 BIG-IP への管理ア ク セ ス 権を持 ち、 イ ン タ ーフ ェ イ ス ご と に少な く と も デフ ォ ル ト の VLAN 割 り 当 てがあ る 場合、 次の手順 と し て、 内部サーバを タ ーゲ ッ ト と す る ト ラ フ ィ ッ ク の 管理用 ネ ッ ト ワ ー ク を 設定 し ま す。 詳細 に つ い て は、 『BIG-IP® Systems: Getting Started Guide』 を参照 し て く だ さ い。 BIG-IP の中心には、 バーチ ャ ルサーバ と ロ ー ド バ ラ ン シ ン グプール があ り ます。 バーチ ャ ルサーバは、 着信 ト ラ フ ィ ッ ク を受信 し 、 基本 的な送信元 IP ア ド レ スお よ び宛先 IP ア ド レ ス変換を実行 し 、 ロ ー ド バ ラ ン シ ン グ プール内で同 じ グ ループ に属 し て い る サーバ に ト ラ フ ィ ッ ク を ダ イ レ ク ト し ます。 設定ユーテ ィ リ テ ィ の使用 すべてのユーザは、 BIG-IP を初めて使用す る と き に、 ラ イ セ ン ス を 取得 し て設定す る ために Web ベース の設定ユーテ ィ リ テ ィ を使用す る 必要があ り ます。 セ ッ ト ア ッ プ ユー テ ィ リ テ ィ で の管理ネ ッ ト ワ ー ク の設定 と ト ラ フ ィ ッ ク 管理 ソ フ ト ウ ェ アの初期設定に加え、設定ユーテ ィ リ テ ィ を 使っ て BIG-IP のカ ス タ マ イ ズ と 保守を行い ます。設定ユーテ ィ リ テ ィ では、 ほかに も 現在のシ ス テ ムパフ ォ ーマ ン ス を監視 し た り 、 ネ ッ ト ワー ク マ ッ プ (ユーザが作成 し たバーチ ャ ルサーバが、 それ ら のバー チ ャ ルサーバが参照す る プール (お よ びプール メ ンバ) と 共に示 さ れ ます) を確認 し た り す る こ と がで き ます。 設定ユーテ ィ リ テ ィ のユーザプ リ フ ァ レ ン ス 設定の詳細については 『TMOS® Management Guide for BIG-IP® Systems』 を、 サポー ト さ れ る ブ ラ ウ ザの詳細については、 F5 Prime Members Web サ イ ト の リ リ ー ス ノ ー ト を参照 し て く だ さ い。 ロー カル ト ラ フ ィ ッ ク オブ ジ ェ ク ト の設定 基本的な ロ ーカル ト ラ フ ィ ッ ク 管理シ ス テ ム を 設定す る には、 設定 ユーテ ィ リ テ ィ を使用 し ます。 こ のユーテ ィ リ テ ィ を使用す る と 、 構 成オブジ ェ ク ト の完全なセ ッ ト を作成で き ます。こ れは ロ ーカル ト ラ フ ィ ッ ク 管理を実行す る 上で連携 し て機能 し ます。各オブジ ェ ク ト に は構成設定のセ ッ ト が含まれてい ます。こ のセ ッ ト を その ま ま使用す る こ と も で き ますが、 必要に応 じ て変更す る こ と も で き ます。 ロ ーカル ト ラ フ ィ ッ ク オブジ ェ ク ト を設定す る には、オブジ ェ ク ト を 1 種類ずつ設定 し てい き ますが、 場合に よ っ ては アプ リ ケーシ ョ ン テ ン プ レ ー ト 機能を使っ て必要なオブ ジ ェ ク ト を ま と め て設定す る こ と も で き ま す ア プ リ ケ ー シ ョ ン テ ン プ レ ー ト の使用法につい て は、 「 アプ リ ケーシ ョ ン テ ンプ レー ト について 」 (1-18 ページ) を参照 し て く だ さ い。 以下の ロ ーカル ト ラ フ ィ ッ ク オブジ ェ ク ト を設定す る こ と がで き ます。 • バーチ ャ ルサーバ バーチ ャ ルサーバの主要な機能は、 要求を受信 し 、 指定 し た基準 に基づいてそれを プール メ ンバに分散す る こ と です。 BIG-IP® Local Traffic Management 設定ガ イ ド 1-7 第1章 ロー カル ト ラ フ ィ ッ ク管理の概要 • アプ リ ケーシ ョ ン プ ロ フ ァ イ ル アプ リ ケーシ ョ ン タ イ ププ ロ フ ァ イ ルには、 FTP や HTTP な ど の プ ロ ト コ ルを使用す る さ ま ざ ま な アプ リ ケーシ ョ ン タ イ プの動作 を定義す る 設定が含まれ ます。 • セ ッ シ ョ ン のパーシ ス テ ン ス プ ロ フ ァ イ ル セ ッ シ ョ ン のパーシ ス テ ン ス プ ロ フ ァ イ ル を使用す る と 、 さ ま ざ ま な基準 (HTTP Cookie、 送信元 IP ア ド レ ス、 宛先 IP ア ド レ ス な ど) に基づいてセ ッ シ ョ ン のパーシ ス テ ン ス を実装で き ます。 • プ ロ ト コ ルプ ロ フ ァ イ ル プ ロ ト コ ルプ ロ フ ァ イ ルには、レ イ ヤ 4 ト ラ フ ィ ッ ク (TCP、UDP、 SCTP ト ラ フ ィ ッ ク な ど) の動作を定義す る 設定が含まれ ます。 • SSL プ ロ フ ァ イ ル SSL プロ フ ァ イ ルによ っ て、BIG-IP 経由で送信さ れる ク ラ イ ア ン ト 側と サーバ側の両方のデータ の暗号化と 復号化が可能になり ま す。 • 認証プ ロ フ ァ イ ル 認証 タ イ ププ ロ フ ァ イ ルは、 リ モー ト 認証サーバ と BIG-IP の間の 認証の互換性を提供 し ます。 • iRules iRules は、 プールメ ン バの選択基準を 定義し 、 コ ン テ ン ツ 変換、 ロ ギ ン グ 、 カ ス タ ム プロ ト コ ルサポ ート な ど を 実行が可能です。 iRules の詳細について は、 F5 Networks DevCentral の Web サイ ト http://devcentral.f5.com/Default.aspx?tabid=119 を 参照し てく ださ い。 • ロ ー ド バ ラ ン シ ン グプール ロ ー ド バ ラ ン シ ン グ プールには、 処理対象の要求 を 送信で き る サーバが含ま れ ます。 • ノード ノ ー ド は、ネ ッ ト ワー ク 上で有効ま たは無効にす る こ と がで き 、 ス テー タ ス を取得で き る サーバ IP ア ド レ ス を表 し ます。 • モニ タ モニ タ は、 プール メ ンバの現在の健全性 ま たはパ フ ォ ーマ ン ス を 追跡 し ます。 • レー ト ク ラ ス レ ー ト ク ラ ス は、 帯域幅消費の制御に使用す る レ ー ト シ ェ イ ピ ン グ を実行 し ます。 • ト ラフィ ッ ククラス ト ラ フ ィ ッ ク ク ラ ス は、 ユーザ定義の一連の基準に基づ き ト ラ フ ィ ッ ク フ ロ ーの調整を行い ます。 • SNAT SNAT (Secure Network Address Translation) は、 要求の送信元 IP ア ド レ ス を変換 し 、 複数のホ ス ト が同 じ 送信元 IP ア ド レ ス を共有で き る よ う に し ます。 • SSL 証明書 SSL 証明書オブジ ェ ク ト を使用す る と 、 SSL 接続の終端お よ び開 始を目的 と し て、 BIG-IP に SSL 証明書要求を生成 し た り 、 SSL 証 明書を イ ン ス ト ールす る こ と がで き ます。 BIG-IP で ロ ーカル ト ラ フ ィ ッ ク 管理用に設定す る 必要があ る も っ と も 一般的なオブジ ェ ク ト は、 以下の 3 つ と な っ てい ます。 1-8 • バーチ ャ ルサーバ • ロ ー ド バ ラ ン シ ン グプール • プロ フ ァ イル オブジ ェ ク ト を 1 つずつ設定す る か、も し く はアプ リ ケーシ ョ ン テ ン プ レー ト を利用 し て、シ ス テ ム の ロ ーカル ト ラ フ ィ ッ ク オブジ ェ ク ト を設定 し 終え た ら 、ネ ッ ト ワ ー ク マ ッ プ を使っ てそれ ら のオブジ ェ ク ト を 表示す る こ と がで き ま す。 ネ ッ ト ワ ー ク マ ッ プ には、 ユーザが 行っ た ロ ーカル ト ラ フ ィ ッ ク 設定を視覚化 し た も の (バーチ ャ ルサー バやそ れ ら の関連プール な ど) の ほ か、 既存のバーチ ャ ルサーバ、 プール、 ノ ー ド 、iRulesTM に関す る 統計情報 も あわせて表示 さ れ ます。 ネ ッ ト ワ ー ク マ ッ プの詳細については、 「 ネ ッ ト ワー ク マ ッ プ機能の 使用」 (1-13 ページ) を参照 し て く だ さ い。 接続 と セ ッ シ ョ ンの タ イ ムアウ ト 設定の管理 BIG-IP では、 複数の タ イ ム ア ウ ト を設定 し て ア ク テ ィ ブ接続管理を 簡易化で き る よ う にな っ てい ます。接続を ア ク テ ィ ブな状態の ま ま維 持 し つつ、 接続テーブルでその接続を追跡管理す る こ と で、 負荷分散 さ れた接続を明示的に管理 し ます。 接続テーブル には、 ク ラ イ ア ン ト 側 と サーバ側の接続の状態情報、な ら びに ク ラ イ ア ン ト と サーバの関 係が含ま れ ます。 接続テーブルの接続は、 それぞれがシ ス テ ム リ ソ ース を消費 し て、 表 のエ ン ト リ の管理 と 接続状態の監視を行い ます。 BIG-IP は、 貴重な シ ス テ ム リ ソ ース を使いはた し て し ま わない よ う に、接続がア ク テ ィ ブでな く な る タ イ ミ ン グ を見極め、接続を リ タ イ ア さ せ る 必要があ り ます。 接続テーブルのデー タ 量が増え て、 チ ェ ッ ク が行 き と ど かな く な る と 、 メ モ リ やプ ロ セ ッ ササ イ ク ルな ど の リ ソ ース が不足す る 危険 性があ り ます。 セ ッ シ ョ ン パーシ ス テ ン ス を 使用 し てい る 場合は、 パーシ ス テ ン ス テーブルのエ ン ト リ の有効期限 も あわせて管理す る こ と がで き ます。 接続の リ ープ 終了や リ セ ッ ト が通常どお り 行われた接続については、接続テーブル か ら 自動的に削除 さ れます。 し か し 、 大量の接続の場合、 い く つかの 理由に よ っ て、正常に終了せずにア イ ド ル状態が続 く こ と が よ く あ り ま す。 し た が っ て、 接続が ア ク テ ィ ブ で な い と 特定 さ れ た時点で、 BIG-IP はそれ ら を リ ープす る 必要があ り ま す。 リ ーピ ン グ と は、 そ の ま ま ではア イ ド ル状態が続 く こ と にな る 接続を リ タ イ ア ま たは リ サ イ ク ル さ せ る プ ロ セ ス です。 積極的な リ ーピ ン グ を促進す る ために、い く つかの タ イ ム ア ウ ト 値を 設定 し て、指定 さ れた時間を過ぎ て ア ク テ ィ ブではな く な っ た と 思わ れ る 接続を切断す る こ と がで き ます。こ れ ら の タ イ ム ア ウ ト 設定の中 にはユーザが設定で き ない も の も 少数含ま れ る も のの、ほ と ん ど の タ イ ム ア ウ ト 設定については、あ ら ゆ る アプ リ ケーシ ョ ンのニーズに応 じ て積極的に設定す る こ と が可能です。 タ イ ム アウ ト 設定は複数の場所で設定でき る ため、 同じ 1 つの接続に 複数のタ イ ム ア ウ ト 設定が影響を およ ぼす場合があ る こ と を 知っ てお く こ と が重要です。最適なタ イ ム アウ ト 設定と は、シス テム リ ソ ース を BIG-IP® Local Traffic Management 設定ガ イ ド 1-9 第1章 ロー カル ト ラ フ ィ ッ ク管理の概要 保護する ために、 適当な時間 (アプリ ケーショ ン によ っ て異なり ま す) ア イ ド ル状態が続いた後で、 その接続が非ア ク ティ ブであ り リ タ イ ア が必要だと いう こ と を 決定する と いう も のです。 ア イ ド ル タ イムアウ ト オプ シ ョ ン ア イ ド ル接続は、接続を処理す る バーチ ャ ルサーバに関連付け ら れた プ ロ ト コ ルプ ロ フ ァ イ ルま たは SNAT に よ っ て タ イ ム ア ウ ト さ せ る こ と がで き ま す。 バーチ ャ ルサーバが管理 し ていない接続について は、 SNAT 自動マ ッ プ設定 も し く は VLAN グループ設定に基づ く タ イ ム ア ウ ト が可能です。 表 1.1 は、 リ ーピ ン グに影響を与え る ア イ ド ル接続の タ イ ム ア ウ ト 設 定を含むオブジ ェ ク ト の一覧 と な っ てい ます。オブジ ェ ク ト の種類ご と に、 デフ ォ ル ト 値 と 、 その値がユーザに よ る 設定に対応 し てい る か ど う か を示 し てい ます。 設定オブ ジ ェ ク ト の タ イ プ デ フ ォル ト 値 (秒) ユーザに よ る設定 Fast L4、 Fast HTTP、 TCP、 SCTP プ ロ フ ァ イル 300 可 UDP プ ロ フ ァ イ ル 60 可 SNAT 自動マ ッ プ 300 × VLAN グループ 300 × 表 1.1 接続の リ ープに影響す る ア イ ド ル タ イ ム ア ウ ト 設定 接続に適用 さ れ る も っ と も 短い タ イ ム ア ウ ト 値が、常に有効な値 と い う こ と にな り ます。 し か し 場合に よ っ ては、 こ の挙動を変更 し たほ う がいいケース も あ り ます。 た と えば、長時間の接続を処理す る フ ォ ワーデ ィ ン グバーチ ャ ルサー バを設定 し てい る 場合、それ ら の接続はア イ ド ル状態が長 く 続 く こ と にな り ます (SSH セ ッ シ ョ ン な ど)。 こ の よ う な場合、 関連す る プ ロ ト コ ルプ ロ フ ァ イ ル ( こ の場合は TCP) に対 し て長めのア イ ド ル タ イ ム ア ウ ト 値を設定す る こ と が可能です。 し か し 、 SNAT 自動マ ッ プ機能 も 有効にな っ てい る 場合は、 300 秒 と い う デフ ォ ル ト の固定 タ イ ム ア ウ ト 値がその ま ま有効 と な り ます。 その他の タ イムアウ ト 設定 BIG-IP にはほかに 2 つのア イ ド ル タ イ ム ア ウ ト 設定が含ま れますが、 こ れ ら が接続の リ ープに影響を与え る こ と はあ り ません。こ れ ら の設 定が含まれ る のは、 OneConnect と パーシ ス テ ン ス の 2 つのプ ロ フ ァ イ ル タ イ プです。 表 1.2 では、 こ れ ら の設定のデフ ォ ル ト 値 と 、 ユー ザに よ る 設定が可能な値か ど う か を示 し てい ます。 1 - 10 設定オブ ジ ェ ク ト の タ イ プ デ フ ォ ル ト 値 (秒) ユーザに よ る設定 OneConnect プ ロ フ ァ イ ル 無効 可 Cookie Hash、 宛先ア ド レ ス ア フ ィ ニ テ ィ 、 Hash、 SIP、 送信元ア ド レ ス ア フ ィ ニテ ィ 、ユニバーサルパーシ ス テン スプロ フ ァ イル 180 可 MSRDP お よ び SSL パーシ ス テ ン ス プ ロ フ ァ イル 300 可 表 1.2 接続の リ ープに影響 し ないア イ ド ル タ イ ム ア ウ ト 設定 OneConnect タ イ ム ア ウ ト 値は、 ア イ ド ル状態のサーバ側の接続を再 利用のために利用で き る 時間を制御 し ます。 つま り 、 こ の タ イ ム ア ウ ト 値次第では、サーバ側の接続が一定時間ア イ ド ル状態にな っ た後に 閉 じ ら れて し ま う 場合があ る と い う こ と です。 こ の よ う な場合、 その 接続はア ク テ ィ ブに使用 さ れていなか っ たため、ク ラ イ ア ン ト 側のア ク テ ィ ブな接続が影響を受け る こ と はな く 、別のサーバ側の接続が新 し い接続 と し て透過的に選択 も し く は確立 さ れ る こ と に な り ま す。 OneConnect タ イ ム ア ウ ト 設定は、 ほかのプ ロ フ ァ イ ルのア イ ド ル タ イ ム ア ウ ト 設定に合わせ る 必要はあ り ません。 パーシ ス テ ン ス タ イ ム ア ウ ト 設定は、接続ではな く セ ッ シ ョ ンのア イ ド ル タ イ ム ア ウ ト を指定 し ます。 し たが っ て、 た と えセ ッ シ ョ ン内の 接続が切断 さ れた場合で も セ ッ シ ョ ン を継続で き る よ う に、パーシ ス テ ン ス タ イ ム ア ウ ト 値には適用可能な接続ア イ ド ル タ イ ム ア ウ ト 値 よ り わずかに大 き な値を指定す る よ う に し ます。 は じ めに 有効な ト ラ フ ィ ッ ク 管理設定シ ス テ ム を設定す る には、 バーチ ャ ル サーバ と ロ ー ド バ ラ ン シ ン グプール、そ し て場合に よ っ てはプ ロ フ ァ イ ルを作成す る 必要があ り ます。 バーチ ャ ルサーバの設定 バーチ ャ ルサーバを作成す る 際は、 バーチ ャ ルサーバの タ イ プ (ホ ス ト バーチ ャ ルサーバ ま たはネ ッ ト ワー ク バーチ ャ ルサーバ) を指定 し ま す。 その後、 さ ま ざ ま な プ ロ パテ ィ お よ び リ ソ ー ス (ア プ リ ケー シ ョ ン固有のプ ロ フ ァ イ ル、 セ ッ シ ョ ン のパーシ ス テ ン ス、 プール選 択基準を定義す る iRules と 呼ばれ る ユーザ作成ス ク リ プ ト な ど) を付 加で き ます。こ れ ら のプ ロ パテ ィ お よ び リ ソ ース がすべてバーチ ャ ル サーバに関連付け ら れ る こ と で、 BIG-IP に よ る ロ ーカル ト ラ フ ィ ッ ク の管理方法が決定 し ます。 バーチ ャ ルサーバの作成 と 設定には、 設 定ユーテ ィ リ テ ィ の [Virtual Servers] 画面を使用 し ます。 バーチ ャ ルサーバの詳細については、 第 2 章 「バーチ ャ ルサーバの設 定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 1 - 11 第1章 ロー カル ト ラ フ ィ ッ ク管理の概要 ロー ド バラ ン シ ングプールの設定 ロ ー ド バ ラ ン シ ン グプールは、ク ラ イ ア ン ト リ ク エ ス ト を処理す る た めに同 じ グループに ま と め ら れた内部サーバの集合です。プール内の サーバは プール メ ンバ と 呼ばれます。 BIG-IP では、 Round Robin と 呼 ばれ る デフ ォ ル ト の ロ ー ド バ ラ ン シ ン グ アルゴ リ ズ ム を使用 し て、ク ラ イ ア ン ト リ ク エ ス ト を そのプールの メ ンバに送信 し ます。 ロ ー ド バ ラ ン シ ン グプールを実装す る には、 まずプールを作成 し 、 次 にプール名を 既存のバーチ ャ ルサーバに関連付け ま す。 バーチ ャ ル サーバは、関連付け ら れてい る 1 つま たは複数のプールに ク ラ イ ア ン ト リ ク エ ス ト を送信 し ます。 プールには、 プール メ ンバの IP ア ド レ ス、 ロ ー ド バ ラ ン シ ン グモー ド 、 ヘル ス モニ タ お よ びパフ ォーマ ン ス モニ タ な ど、 関連付け ら れた 設定があ り ます。 プールを作成す る 際は、 こ れ ら の設定のい く つかに デフ ォ ル ト 値を使用す る こ と も 、必要に応 じ てデフ ォ ル ト 値を変更す る こ と も で き ます。ロ ー ド バ ラ ン シ ン グプールを作成 し て設定す る に は、 設定ユーテ ィ リ テ ィ の [Pools] 画面を使用 し ます。 ロ ー ド バ ラ ン シ ン グプールの詳細については、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を参照 し て く だ さ い。 プ ロ フ ァ イルの設定 プ ロ フ ァ イ ル は、 HTTP 接続な ど、 特定 タ イ プのネ ッ ト ワ ー ク ト ラ フ ィ ッ ク に適用 さ れ る 構成設定のグループです。バーチ ャ ルサーバで 特定 タ イ プの ト ラ フ ィ ッ ク を管理す る 場合、 適切な プ ロ フ ァ イ ル を バーチ ャ ルサーバに関連付け る と 、バーチ ャ ルサーバに よ っ てそのプ ロ フ ァ イ ルの設定が該当 タ イ プのすべて の ト ラ フ ィ ッ ク に適用 さ れ ます。 た と えば、BIG-IP で HTTP 応答デー タ を圧縮す る 場合、 圧縮が有効に な る よ う に HTTP プ ロ フ ァ イ ルを設定 し 、 そのプ ロ フ ァ イ ルをバー チ ャ ルサーバに関連付け る こ と がで き ます。 その後、 バーチ ャ ルサー バが HTTP リ ク エ ス ト を処理す る と き 、 BIG-IP に よ っ て応答が圧縮 さ れ ます。 各自 の ニ ー ズ に 合 わ せ て 作成 で き る プ ロ フ ァ イ ル の タ イ プ に は、 HTTP、FTP、SIP、RTSP、Persistence、Fast L4、Fast HTTP、HTTP Class、 TCP、 UDP、 SCTP、 Client and Server SSL、 Authentication、 OneConnect、 NTLM、 Statistics、 Stream な ど があ り ます。 プ ロ フ ァ イ ルを作成す る 際は、 設定にデフ ォ ル ト 値を使用す る こ と も 、 必要に応 じ てデフ ォ ル ト 値を変更す る こ と も で き ます。 プ ロ フ ァ イ ルの作成 と 設定には、 設 定ユーテ ィ リ テ ィ の [profiles] 画面のいずれか 1 つを使用 し ます。 プ ロ フ ァ イ ルの設定の詳細については、 第 5 章 「プ ロ フ ァ イ ルについ て 」 お よ び次のいずれかの章を参照 し て く だ さ い。 • 第 6 章 「 アプ リ ケーシ ョ ン層 ト ラ フ ィ ッ ク の管理」 • 第 7 章 「 セ ッ シ ョ ンパーシ ス テ ン ス の有効化」 • 第 8 章 「 プ ロ ト コ ルプ ロ フ ァ イ ルの管理」 • 第 9 章 「SSL ト ラ フ ィ ッ ク の管理」 • 第 10 章 「 アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証」 • 第 11 章 「 その他のプ ロ フ ァ イ ルの使用」 1 - 12 ネ ッ ト ワー ク マ ッ プ機能の使用 設定ユーテ ィ リ テ ィ には 「ネ ッ ト ワー ク マ ッ プ」 と い う 機能が含ま れ ます。 ネ ッ ト ワー ク マ ッ プ機能 では、 ロ ーカル ト ラ フ ィ ッ ク オブジ ェ ク ト のサマ リ に加え て、 BIG-IP 上のバーチ ャ ルサーバ、 プール、 プー ル メ ン バか ら な る 仮想マ ッ プが表示 さ れ ま す。 ロ ーカ ル ト ラ フ ィ ッ ク サマ リ と ネ ッ ト ワ ー ク マ ッ プのいずれについて も 、ユーザ指定の基 準に基づ き 、表示 さ せたい情報を フ ィ ル タ リ ン グす る 検索 メ カ ニ ズ ム を使っ て、 デ ィ ス プ レ イ を カ ス タ マ イ ズす る こ と が可能です。 検索で 一致 し た箇所は青色で表示 さ れ ます。 フ ィ ル タ リ ン グ メ カ ニズムについて ネ ッ ト ワ ー ク マ ッ プ機能で得 ら れた結果を、 フ ィ ル タ バーの [Type] リ ス ト と [Status] リ ス ト 、な ら びに [Search] ボ ッ ク ス を使っ て フ ィ ル タ リ ン グす る こ と がで き ます。 [Search] ボ ッ ク ス では、 具体的な文字 列を入力す る こ と がで き ます (オプシ ョ ン)。 図 1.1 は、 ネ ッ ト ワー ク マ ッ プ画面の フ ィ ル タ リ ン グオプシ ョ ン を示 し てい ます。 図 1.1 ネ ッ ト ワー ク マ ッ プ画面のフ ィ ル タ リ ン グオプシ ョ ン [Search] ボ ッ ク ス を使 う 場合は、検索で使用す る テ キ ス ト 文字列を指 定す る こ と がで き ます。デフ ォ ル ト はア ス タ リ ス ク (*) です。[Status] フ ィ ール ド と [Type] フ ィ ール ド で、 検索の範囲を指定 し ます。 シ ス テ ムは指定 さ れた検索文字列を使い、画面に表示 さ れた結果の フ ィ ル タ リ ン グ を行い ます。 た と えば、IP ア ド レ ス に 10.10 が含ま れ る 無効な ノ ー ド のみを検索 し よ う と し た場合、 それ ら の ノ ー ド と 共に、 プールの メ ン バー、 プー ル、 関連す る バーチ ャ ルサーバ、 お よ びそのバーチ ャ ルサーバに明示 的に適用 さ れた iRule が返 さ れ ます。 結果はバーチ ャ ルサーバ名ご と にアルフ ァ ベ ッ ト 順に ソ ー ト さ れ ます。 BIG-IP では、 IPv4 と IPv6 の両方のア ド レ ス形式で、 名前、 IP ア ド レ ス、 お よ び IP ア ド レ ス と ポー ト の組み合わせで検索を行 う こ と がで き ます。 文字列の検索は、 ア ス タ リ ス ク ワ イ ル ド カー ド 文字でその文 字列を囲んだ場合 と 同 じ よ う に実施 さ れ ます。 た と えば、 「10」 と 指 定す る と 、 「*10*」 と 入力 し たの と 同 じ 検索結果が得 ら れ ます。 ま た、 ア ス タ リ ス ク ワ イ ル ド カー ド 文字 を具体的に指定す る こ と も 可能で す。 た と えば、 「10.10.10.*:80」、 「10.10*」、 「*:80」 の よ う な検索文字 列を使用す る こ と がで き ます。ワ イ ル ド カー ド 文字を具体的に指定 し た場合、 それに従い文字列の検索が行われます。 た と えば、 「10*」 と 指定 し た場合、 シ ス テ ムは先頭に 「10」 がつ く IP ア ド レ ス を持つオ ブジ ェ ク ト を検索す る と 判断 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 1 - 13 第1章 ロー カル ト ラ フ ィ ッ ク管理の概要 ヒント ブ ラ ウ ザが低速に な り 処理 を 停止す る ま で に レ ン ダ リ ン グ で き る デー タ 量には制限があ り ます。大規模な設定を マ ッ ピ ン グ し た場合 こ れ ら の制限に達す る可能性があ る こ と か ら 、メ モ リ 不足に よ っ て設定 全体のネ ッ ト ワー ク マ ッ プを作成で き ない こ と が考え ら れます。その よ う な場合、ネ ッ ト ワー ク マ ッ プサマ リ 画面を使っ て設定の複雑度を 指定で き る こ と を告げ る 警告が表示 さ れ、作成 さ れ る マ ッ プのサ イ ズ を知 る目安 と な り ます。返 さ れ る 結果数が少な く な る よ う に検索基準 を変更 し て、こ れ ら の制限に触れ る こ と のないマ ッ プを作成す る こ と がで き ます。 ロー カル ト ラ フ ィ ッ ク オブ ジ ェ ク ト のサマ リ の表示 初めてネ ッ ト ワー ク マ ッ プ画面を開 く 際には、ロ ーカル ト ラ フ ィ ッ ク オブジ ェ ク ト のサマ リ が表示 さ れ ます。 こ のサマ リ には、 検索 メ カ ニ ズ ム に よ り 指定 さ れたオブ ジ ェ ク ト の タ イ プ、 各種オブジ ェ ク ト の 数、お よ び各種オブジ ェ ク ト で任意の状態にあ る オブジ ェ ク ト の数が 含まれます。 サマ リ には以下のオブジ ェ ク ト のデー タ が表示 さ れます。 • バーチ ャ ルサーバ • Pools • プール メ ンバ • ノード • iRules 注 ロ ーカル ト ラ フ ィ ッ ク サマ リ に含まれ る のは、バーチ ャ ルサーバに よ り 参照 さ れ る オブジ ェ ク ト に限 ら れます。 た と えば、 プールを設定 し た も のの、そのプールを参照す る バーチ ャ ルサーバが存在 し ない と い う 場合には、 ロ ーカル ト ラ フ ィ ッ ク サマ リ にそのプールや、 プール メ ンバー、 関連 ノ ー ド が含まれ る こ と はあ り ません。 図 1.2 (1-15 ページ) は、シ ス テ ム上の ロ ーカル ト ラ フ ィ ッ ク オブジ ェ ク ト について ま と めたネ ッ ト ワ ー ク マ ッ プ画面の表示例です。 1 - 14 図 1.2 ロ ーカル ト ラ フ ィ ッ ク サマ リ の表示例 サマ リ に ま と め ら れたオブジ ェ ク ト の種類ご と に、各状態にあ る オブ ジ ェ ク ト の数が表示 さ れ ます。 表 1.3 では、 サマ リ 画面で ロ ーカル ト ラ フ ィ ッ ク オブ ジ ェ ク ト に対 し て表示 さ れ る 状態 イ ン ジ ケー タ につ いて解説 し てい ます。 ス テー タ ス イ ン ジケー タ 説明 オブジ ェ ク ト は有効で、 利用可能な状態です ( ト ラ フ ィ ッ ク を受 信可能)。 オブジ ェ ク ト は有効ですが、 現在利用す る こ と はで き ません。 た だ し 、 ユーザがア ク シ ョ ン を起 こ さ な く て も 、 後で利用可能にな る 場合があ り ます。 こ の状態のオブジ ェ ク ト と し ては、 コ ネ ク シ ョ ン リ ミ ッ ト を超え たバーチ ャ ルサーバな ど があげ ら れます。 接続数が制限値を下回 る と 、 バーチ ャ ルサーバは再び利用可能にな り ます。 オブジ ェ ク ト は有効ですが、 関連付け ら れたオブジ ェ ク ト に よ っ て 「unavailable」 と マー ク 付け さ れてい る ため、 オ フ ラ イ ンにな っ てい ます。 こ の状態を変え て、 オブジ ェ ク ト が ト ラ フ ィ ッ ク を受 信で き る よ う にす る には、 ユーザがそのオブジ ェ ク ト を有効にす る 必要があ り ます。 オブジ ェ ク ト の状態は不明です。 表 1.3 ロ ーカル ト ラ フ ィ ッ ク サマ リ の状態ア イ コ ン ロー カル ト ラ フ ィ ッ ク オブ ジ ェ ク ト のサマ リ を表示する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し 、 [Network Map] を ク リ ッ ク し ます。 ネ ッ ト ワー ク マ ッ プ画面が開 き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 1 - 15 第1章 ロー カル ト ラ フ ィ ッ ク管理の概要 2. [Status] リ ス ト か ら 状態を選択 し ます。 こ れで、 検索を行 う と その状態のオブジ ェ ク ト のみが返 さ れ る こ と にな り ます。 指定で き る 値は、 Any Status (デフ ォ ル ト 値)、 Available、 Unavailable、 Offline、 Unknown です。 3. [Type] リ ス ト か ら オブジ ェ ク ト の種類を選択 し ます。 こ れで、 検索を行 う と その種類のオブジ ェ ク ト のみが返 さ れ る こ と にな り ます。 指定で き る 値は、 All Types (デフ ォ ル ト 値)、Virtual Servers、iRules、 Pools、Pool Members、Nodes です。 4. 検索結果を さ ら に絞 り 込みたい場合は、 Search ボ ッ ク ス に文 字列を入力 し ます。 た と えば、名前に 10.10 と い う 文字列が含まれ る オブジ ェ ク ト のみを検索す る こ と がで き ます。 注 : パフ ォーマ ン ス上の理由か ら 、 通常、 iRule テ キ ス ト 内に おい て 特定の検索文字列の検索が行われ る こ と は あ り ま せ ん。 特定の文字列を含む iRule も あわせて検索 し たい場合は、 ス テ ッ プ 5 を参照 し て く だ さ い。 そ う でない場合は ス テ ッ プ 6 に進んで く だ さ い。 5. すべての iRule テ キ ス ト を検索す る には、 [Search iRule Definition] ボ ッ ク ス を オ ンに し ます。 注 : こ の設定を有効にす る と 、 検索処理実行時のシ ス テ ムパ フ ォーマ ン ス に影響が出 る可能性があ り ます。 6. [Update Summary] ボ タ ン を ク リ ッ ク し ます。 画面に表示 さ れ た ロ ー カ ル ト ラ フ ィ ッ ク サ マ リ が リ フ レ ッ シ ュ さ れ ます。 ネ ッ ト ワー ク マ ッ プの表示 ネ ッ ト ワー ク マ ッ プ と は、 シ ス テ ム で定義 さ れたバーチ ャ ルサーバ、 プール、 プール メ ンバ、 ノ ー ド 、 iRule の名前 と 状態を視覚的に階層 化 し た も のです。 同マ ッ プでは、 バーチ ャ ルサーバを筆頭に、 すべて のオブジ ェ ク ト が文脈に沿っ て表示 さ れ ま す。 画面上端の [Status]、 [Type]、 [Search] 設定で、 マ ッ プに含まれ る オブジ ェ ク ト を指定す る こ と がで き ます。 マ ッ プ上のオブジ ェ ク ト にカー ソ ルを合わせ る と 、そのオブジ ェ ク ト の情報が含ま れ る テ キ ス ト が表示 さ れます。オブジ ェ ク ト に付いてい る 状態ア イ コ ンにカー ソ ルを合わせ る と 、そのオブジ ェ ク ト の状態に 関す る 情報が含まれ る テ キ ス ト が表示 さ れます。プールのプ ロ パテ ィ 画面で も 、 こ れ と 同 じ テ キ ス ト が表示 さ れ ます。 オブジ ェ ク ト はアルフ ァ ベ ッ ト 順に整理 さ れ、従属関係が階層的に示 さ れ ます。 ネ ッ ト ワ ー ク マ ッ プでの文脈に沿っ たオブ ジ ェ ク ト の表示法には決 ま り があ り 、 最新の画面では、 それ ら のオブジ ェ ク ト に関連す る ほか の状態、 種類、 名前のオブジ ェ ク ト も 一緒に示 さ れ る よ う にな っ てい ます。 なぜな ら ネ ッ ト ワー ク マ ッ プでは、 オブジ ェ ク ト を文脈に沿っ て表示す る 際に、かな ら ずそれ ら に依存す る オブジ ェ ク ト と それ ら が 依存す る オブジ ェ ク ト と 共に表示す る ためです。 1 - 16 た と えば、 利用可能な状態のバーチ ャ ルサーバ 1 台に、 利用可能な状 態のプールが 1 つ と 、利用可能な状態 と オ フ ラ イ ン状態のプール メ ン バが 1 つずつあ る 場合、 [Status] リ ス ト か ら [Offline] を選択す る と 、 オ フ ラ イ ンのプール メ ンバが、利用可能なバーチ ャ ルサーバ と 利用可 能なプール と 共に、 文脈に沿っ て表示 さ れ ます。 こ れは、 利用可能な バーチ ャ ルサーバ と 利用可能な プールがオ フ ラ イ ン のプール メ ン バ に依存 し てい る ためです。 ネ ッ ト ワー ク マ ッ プ を表示するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し 、 [Network Map] を ク リ ッ ク し ます。 ネ ッ ト ワー ク マ ッ プ画面が開 き ます。 2. [Status] リ ス ト か ら 状態を選択 し ます。 こ れで、 検索を行 う と その状態のオブジ ェ ク ト のみが返 さ れ る こ と にな り ます。 指定で き る 値は、 Any Status (デフ ォ ル ト 値)、 Available、 Unavailable、 Offline、 Unknown です。 3. [Type] リ ス ト か ら オブジ ェ ク ト の種類を選択 し ます。 こ れで、 検索を行 う と その種類のオブジ ェ ク ト のみが返 さ れ る こ と にな り ます。 4. 検索結果を さ ら に絞 り 込みたい場合は、[Search] ボ ッ ク ス に文 字列を入力 し ます。 た と えば、名前に 10.10 と い う 文字列が含ま れ る オブジ ェ ク ト のみを検索す る こ と がで き ます。 注 : パフ ォーマ ン ス上の理由か ら 、 通常、 iRule テ キ ス ト 内に おい て 特定の検索文字列の検索が行われ る こ と は あ り ま せ ん。 特定の文字列を含む iRule も あわせて検索 し たい場合は、 ス テ ッ プ 5 を参照 し て く だ さ い。 そ う でない場合は ス テ ッ プ 6 に進んで く だ さ い。 5. すべての iRule テ キ ス ト を検索す る には、 [Search iRule Definition] ボ ッ ク ス を オ ンに し ます。 注 : こ の設定を有効にす る と 、 検索処理実行時のシ ス テ ムパ フ ォーマ ン ス に影響が出 る 可能性があ り ます。 6. [Show Map] ボ タ ン を ク リ ッ ク し ます。 要求 し たネ ッ ト ワー ク マ ッ プが表示 さ れます。 BIG-IP® Local Traffic Management 設定ガ イ ド 1 - 17 第1章 ロー カル ト ラ フ ィ ッ ク管理の概要 ア プ リ ケーシ ョ ン テ ン プ レー ト について アプ リ ケーシ ョ ン テ ンプ レー ト は、ユーザに特定アプ リ ケーシ ョ ンの 関連情報を問い合わせ る 、 ウ ィ ザー ド に似た機能です。 それ ら の情報 を も と に、 BIG-IP でそのアプ リ ケーシ ョ ン の ト ラ フ ィ ッ ク を処理す る よ う に、 自動で設定 さ れ る よ う にな っ てい ます。 アプ リ ケーシ ョ ン テ ン プ レー ト には、Microsoft IIS テ ン プ レー ト な ど があ り ます。 こ のテ ンプ レー ト は、 Microsoft IIS サーバに送信 さ れ る ト ラ フ ィ ッ ク を管理す る ための BIG-IP オブジ ェ ク ト を作成す る ため の も のです。 以下の よ う な複数の ア プ リ ケーシ ョ ン テ ン プ レ ー ト を使用す る こ と がで き ます。 • BEA WebLogic • Microsoft Exchange Outlook Web Access • Microsoft IIS • Microsoft SharePoint • Oracle Application Server • SAP ERP Central Component • SAP Enterprise Portal • VMware VDI ア プ リ ケーシ ョ ン テ ン プ レー ト の メ リ ッ ト アプ リ ケーシ ョ ン テ ン プ レー ト を使えば、 BIG-IP の設定が簡単に行 え ます。 BIG-IP に管理 さ せたいアプ リ ケーシ ョ ン ト ラ フ ィ ッ ク タ イ プに関連す る オブジ ェ ク ト を 1 つずつ作成す る 代わ り に、アプ リ ケー シ ョ ン テ ン プ レー ト を実行す る こ と がで き ます。 アプ リ ケーシ ョ ン テ ン プ レ ー ト は、 その ア プ リ ケーシ ョ ン専用に カ ス タ マ イ ズ さ れた BIG-IP オブジ ェ ク ト を自動で作成 し ます。 使用 し てい る テ ン プ レー ト に よ っ て、 ロ ーカル ト ラ フ ィ ッ ク オブジ ェ ク ト 、 TMOS オブジ ェ ク ト 、 も し く はそれ ら の両方が作成 さ れ る こ と にな り ます。 た と えば、Microsoft IIS アプ リ ケーシ ョ ン テ ンプ レー ト を実行 し た場 合、 ユーザが提供す る 情報 を 使 っ て、 バーチ ャ ルサーバ、 プール、 HTTP プ ロ フ ァ イ ル、 ヘル ス モニ タ が作成 さ れ、 こ れ ら はすべて IIS サーバに送信 さ れ る Web ト ラ フ ィ ッ ク を制御す る よ う にカ ス タ マ イ ズ さ れた も の と な り ます。 ア プ リ ケーシ ョ ン テ ン プ レー ト の利用法 ア プ リ ケーシ ョ ン テ ン プ レ ー ト は設定ユーテ ィ リ テ ィ か ら 実行す る こ と がで き ます。 重要 ア プ リ ケ ー シ ョ ン テ ン プ レ ー ト に よ っ て 作成 さ れ る ロ ー カ ル ト ラ フ ィ ッ ク オブジ ェ ク ト は、 すべて Common 管理パーテ ィ シ ョ ンに置 かれ ま す。 そのため、 ア プ リ ケーシ ョ ン テ ン プ レ ー ト 機能 (テ ン プ 1 - 18 レー ト リ ス ト 画面の表示を含む) を使用す る には、 Common パーテ ィ シ ョ ンのオブジ ェ ク ト を表示・管理す る ためのユーザ ロ ールがユーザ ア カ ウ ン ト に割 り 当て ら れてい る 必要があ り ます。 利用可能なすべてのテ ン プ レー ト を確認す る には、テ ンプ レー ト リ ス ト 画面を表示 し ます。 図 1.3 は、 設定ユーテ ィ リ テ ィ のテ ン プ レー ト リ ス ト 画面の表示例です。 図 1.3 テ ンプ レー ト リ ス ト 画面の表示例 アプ リ ケーシ ョ ン テ ンプ レー ト について の後半では、 アプリ ケーショ ン テ ン プ レー ト 機能の一般情報を紹介 し てい ます。アプ リ ケーシ ョ ンに 特化 し た導入情報を見 る には、www.f5.com にア ク セ ス し て、メ ニ ュ ー バーの [Solutions] を ク リ ッ ク し て く だ さ い。 こ こ で以下の導入ガ イ ド を入手す る こ と がで き ます。 • Deploying the BIG-IP System with BEA WebLogic Server • Deploying the BIG-IP System with Microsoft Internet Information Services (IIS) 7.0 • Deploying F5 with Microsoft Office SharePoint 2007 • Deploying F5 with Oracle Application Server 10g • Deploying F5 with SAP NetWeaver and Enterprise SOA • Deploying F5 with VMware Virtual Desktop Infrastructure (VDI) ア プ リ ケーシ ョ ン テ ン プ レー ト の使用法 アプ リ ケーシ ョ ン テ ン プ レー ト を使用す る には、現在の管理パーテ ィ シ ョ ン を [Common] に設定 し て、設定ユーテ ィ リ テ ィ か ら テ ンプ レー ト を実行 し ます。 利用可能なすべてのテ ン プ レ ー ト がテ ン プ レ ー ト リ ス ト に表示 さ れ ます (図 1.3 を参照)。 次に、 テ ン プ レー ト の名前を ク リ ッ ク し て、 結 果画面に情報を表示 さ せます。 ア プ リ ケーシ ョ ン テ ン プ レー ト を使用する には 1. 現在の管理パーテ ィ シ ョ ンが [Common] に設定 さ れてい る こ と を確認 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 1 - 19 第1章 ロー カル ト ラ フ ィ ッ ク管理の概要 2. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て、 [Templates and Wizards] を ク リ ッ ク し ます。 テ ン プ レー ト 画面が開 き 、 テ ン プ レー ト の一覧が表示 さ れ ます。 3. [Application] カ ラ ム で、 テ ン プ レー ト 名を ク リ ッ ク し ます。 そのアプ リ ケーシ ョ ンの画面が開 き ます。 4. 画面上のすべての設定項目を設定 し ます。 5. [Finished] を ク リ ッ ク し ます。 そのテ ン プ レ ー ト に よ り 作成 さ れたオブジ ェ ク ト の一覧が表 示 さ れ ます。 Microsoft IIS を 初め と す る あ ら ゆ る ア プ リ ケーシ ョ ン テ ン プ レ ー ト で、 そのテ ン プ レー ト に よ る 環境を複数作成す る こ と がで き ます。 た と えば、 Microsoft IIS テ ンプ レー ト を使っ て、 3 つのバーチ ャ ルサー バ用に my_iis1、 my_iis2、 my_iis3 と い う 3 つの環境を個別に作成す る こ と が可能です。 HTTP プ ロ フ ァ イルの共有 運用の効率化を図 る ために、 BIG-IP では、 1 つのアプ リ ケーシ ョ ン テ ン プ レー ト に よ る 複数の環境で、そのテ ン プ レー ト に よ っ て作成 さ れた HTTP プ ロ フ ァ イ ルを共有で き る よ う にな っ てい ます。 こ れに よ っ て、 1 つのアプ リ ケーシ ョ ン テ ン プ レー ト に よ っ て作成 さ れた複 数の環境で、 似た よ う な HTTP プ ロ フ ァ イ ルを作成 ・ 保守 し な く て も すみます。 ほ と ん ど のアプ リ ケーシ ョ ン テ ン プ レー ト で作成 さ れ る HTTP プ ロ フ ァ イ ルは、 共有が可能です。 HTTP プ ロ フ ァ イ ルが複数の環境で共 有可能か ど う かは、プ ロ フ ァ イ ル名に _shared_http と い う 文字列が付 いてい る か ど う かで見分け る こ と がで き ます。 た と えば、 Microsoft IIS テ ン プ レー ト を使っ て最初の環境を作成 し た 際に、 「microsoft_iis_http_acceleration_shared_http」 と い う 共有可能 な HTTP プ ロ フ ァ イ ルが作 ら れた と し ます。 その後は、 同 じ よ う な HTTP プ ロ フ ァ イ ルを個別に作成す る のではな く 、 Microsoft IIS テ ン プ レー ト で作 ら れたすべての環境でそのHTTPプ ロ フ ァ イ ルを再利用 す る こ と がで き ます。 ア プ リ ケーシ ョ ン テ ン プ レー ト オブ ジ ェ ク ト の表示 テ ン プ レー ト を使用 し 終え た ら 、そのテ ン プ レー ト で作成 さ れた ロ ー カル ト ラ フ ィ ッ ク オブジ ェ ク ト が、そのオブジ ェ ク ト タ イ プの リ ス ト 画面に表示 さ れ ま す。 た と えば、 ア プ リ ケーシ ョ ン テ ン プ レ ー ト で ロ ー ド バ ラ ン シ ン グ プール を作成 し た場合、 そのプールは設定ユー テ ィ リ テ ィ の [Pools List] 画面に、 BIG-IP での表示が許可 さ れたほか のすべてのプール と 共に表示 さ れ ます。 同 じ テ ン プ レー ト で作成 さ れたオブジ ェ ク ト は、ユーザ指定の同一の プ レ フ ィ ッ ク ス が名前の先頭に付いてい る ため、アプ リ ケーシ ョ ンに 関連付け ら れたオブジ ェ ク ト を見極め る のは簡単です。 Microsoft IIS 環境を作成 し て、 IIS と い う プ レ フ ィ ッ ク ス を指定 し た場合、 その後 は、 同 じ テ ン プ レ ー ト で作成 さ れ る すべてのオブ ジ ェ ク ト の名前に 1 - 20 IIS プ レ フ ィ ッ ク ス が含まれ る こ と にな り ます。 た と えば、 そのテ ン プ レー ト で作成 さ れ る プールの名前は IIS_pool、バーチ ャ ルサーバの 名前は IIS_virtual_server の よ う にな り ます。 ア プ リ ケーシ ョ ン テ ン プ レー ト オブ ジ ェ ク ト の削除 あ る 特定のアプ リ ケーシ ョ ン テ ンプ レー ト を使用 し た後に、そのテ ン プ レ ー ト で作成 し たオブ ジ ェ ク ト を すべて削除す る には、 設定ユー テ ィ リ テ ィ の対象の リ ス ト 画面にア ク セ ス し て、その画面に表示 さ れ た アプ リ ケーシ ョ ン オブジ ェ ク ト を削除す る 必要があ り ます。上の例 の続 き で、 Microsoft IIS テ ン プ レー ト で作成 し たプールを削除す る に は、 [Pools] リ ス ト 画面を表示 し て、 IIS_pool オブジ ェ ク ト を削除 し ま す。 同様に、 バーチ ャ ルサーバを削除す る には、 [Virtual Servers] リ ス ト 画面を表示 し て、IIS_virtual_server オブジ ェ ク ト を削除 し ます。す べての関連オブジ ェ ク ト がシ ス テ ム か ら 削除 さ れ る ま で、こ れを繰 り 返 し ます。 ヒント 設定ユーテ ィ リ テ ィ でネ ッ ト ワー ク マ ッ プ機能を使えば、テ ンプ レー ト に関連す る オブジ ェ ク ト を よ り 簡単に特定す る こ と がで き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 1 - 21 第1章 ロー カル ト ラ フ ィ ッ ク管理の概要 本ガ イ ド について こ のガ イ ド を使用す る 前に、BIG-IP 上でセ ッ ト ア ッ プユーテ ィ リ テ ィ を実行 し て、 基本ネ ッ ト ワー ク と 、 ス タ テ ィ ッ ク お よ びフ ロ ーテ ィ ン グセルフ IP ア ド レ ス、 イ ン タ ーフ ェ イ ス、 VLAN な ど のネ ッ ト ワ ー ク 要素の設定 を 行 っ てお く こ と を お勧め し ま す。 詳細につい て は、 『BIG-IP® Systems: Getting Started Guide』 を参照 し て く だ さ い。 セ ッ ト ア ッ プユーテ ィ リ テ ィ を実行 し た ら 、設定ユーテ ィ リ テ ィ を使 用 し てバーチ ャ ルサーバ、 ロ ー ド バ ラ ン シ ン グプール、 プ ロ フ ァ イ ル な ど の ロ ーカル ト ラ フ ィ ッ ク 管理オブジ ェ ク ト を作成 し て さ ら にシ ス テ ム を カ ス タ マ イ ズで き ます。 最後に、 設定 し た要素を調整 し た り 、 必要に応 じ て新 し い要素を追加 し ます。 BIG-IP の設定を さ ら に調整 し た り カ ス タ マ イ ズ し た り す る 前に、 次 の事項を終え てお く 必要があ り ます。 • 設定ツールを選択す る 。 • 製品ガ イ ド やオ ン ラ イ ンヘルプな ど、 そのほかの参照資料を よ く 理解す る 。 • こ の章に記載 さ れてい る 表記規則を確認す る 。 補足情報の参照 こ のガ イ ド 以外に も 、 BIG-IP を使い こ なすために役立つ資料がい く つかあ り ます。 以下の資料は Local Traffic Manager 製品に関連す る も のであ り 、 F5 Prime Members Web サ イ ト か ら PDF フ ァ イ ル と し てダ ウ ン ロ ー ド し ていただけ ます。 ま た こ れ ら のガ イ ド は、 ブ ラ ウ ザベー ス の設定ユーテ ィ リ テ ィ にア ク セ ス し た と き に、 最初の Web ページ か ら ダ ウ ン ロ ー ド す る こ と も 可能です。 1 - 22 ◆ 『BIG-IP® Systems: Getting Started Guide』 こ のガ イ ド では、 BIG-IP の初期 イ ン ス ト ール、 ラ イ セ ン ス 取得、 設定に必要な あ ら ゆ る 情報を紹介 し てい ます。 ◆ 『TMOSTM Management Guide for BIG-IP® Systems』 こ のガ イ ド には、 BIG-IP のネ ッ ト ワ ー ク お よ びシ ス テ ム関連 コ ン ポーネ ン ト の設定お よ び管理に必要なすべての情報が記載 さ れて い ます。 こ のガ イ ド を使用 し て、 経路や VLAN の設定、 自身の IP ア ド レ ス の割 り 当て、 管理用ユーザア カ ウ ン ト の作成、 冗長シ ス テ ム の管理な ど を行 う こ と がで き ます。 ◆ 『BIG-IP® Local Traffic Manager: Implementations』 こ のガ イ ド では、 デー タ 圧縮を使っ た SSL ト ラ フ ィ ッ ク 処理や、 リ モー ト 認証 さ れ る ユーザ ア カ ウ ン ト への特権の割 り 当て な ど、 具体的な ゴ ールに向け た手順 を 紹介 し て い ま す。 『Configuration Guide for BIG-IP® Local Traffic Management』 に含 ま れ る 詳細情報 と 関連付け ら れてい る こ と か ら 、 特定の ト ラ フ ィ ッ ク 管理を設定 す る のに便利です。 ◆ 『Bigpipe Utility Reference Guide』 こ のガ イ ド では、 bigpipe ユーテ ィ リ テ ィ コ マ ン ド ラ イ ン イ ン タ ー フ ェ イ ス を使用す る ための構文情報を紹介 し てい ます。 ◆ 『Traffic Management Shell (tmsh) Reference Guide』 こ のガ イ ド では、 tmsh ユーテ ィ リ テ ィ コ マ ン ド ラ イ ン イ ン タ ー フ ェ イ ス を使用す る ための構文情報を紹介 し てい ます。 表記規則 重要な情報を容易に識別お よ び理解で き る よ う に、本 ド キ ュ メ ン ト で は次の よ う な表記規則を使用 し てい ます。 例の使用 本 ド キ ュ メ ン ト 内のすべての例には、 専用の ク ラ ス IP ア ド レ ス だけ を使用 し てい ます。 記載 さ れてい る 設定を セ ッ ト ア ッ プす る 場合は、 サン プルア ド レ ス の代わ り に、ユーザ自身のネ ッ ト ワー ク に適 し た有 効な IP ア ド レ ス を使用 し て く だ さ い。 新規用語の識別 定義 さ れてい る 用語を識別 し やすい よ う に、該当用語を太字の斜体で 表記 し てい ます。 例 : バーチ ャ ルサーバ は、 BIG-IP や他のホ ス ト サー バが管理 し てい る コ ン テ ン ツ サ イ ト に関連付け ら れた仮想ア ド レ ス と 仮想ポー ト の特定の組み合わせを指 し ます。 オブ ジ ェ ク ト 、 名前、 コ マ ン ド への参照の識別 文中で識別 し やすい よ う に、 さ ま ざ ま な項目 を太字で表記 し てい ま す。 Web ア ド レ ス、 IP ア ド レ ス、 ユーテ ィ リ テ ィ 名、 変数やキー ワー ド と い っ た コ マ ン ド の一部な ど が太字にな っ てい る こ と があ り ます。 例 : Idle Timeout 値に 5 を設定で き ます。 他の ド キ ュ メ ン ト への参照の識別 別の ド キ ュ メ ン ト ま たは特定の項への参照は、 斜体で表記 し てい ま す。 書籍 タ イ ト ルへの参照は、 太字の斜体で表記 し てい ます。 例 : イ ン ス ト ールについては、 『BIG-IP® Systems: Gettng Started Guide』 を参 照 し て く だ さ い。 コ マ ン ド 構文の識別 完全な コ マ ン ド は、 太字の Courier 文字で表示 し てい ます。 コ マ ン ド 行画面全体を表示す る コ マ ン ド でない場合は、該当す る 画面プ ロ ン プ ト に こ の表記規則は当ては ま ら ないので注意 し て く だ さ い。た と えば 次の コ マ ン ド は、 指定 さ れたプール名の設定を示 し ます。 bigpipe self <ip_address> show もし くは b self <ip_Address> show BIG-IP® Local Traffic Management 設定ガ イ ド 1 - 23 第1章 ロー カル ト ラ フ ィ ッ ク管理の概要 表 1.4 では、 コ マ ン ド 行構文で使用 さ れ る その他の特別な表記規則に ついて説明 し てい ます。 テキス ト 内の 項目 説明 \ コ マ ン ド が次の行に続 き 、 改行を入れずに コ マ ン ド 全体を入力す る こ と を示 し ます。 < > ユーザ定義のパ ラ メ ー タ を示 し ます。 た と えば、 コ マ ン ド に <your name> と あ る 場合、 ユーザの名 前を入力 し ます。 括弧は取 り ます。 | コ マ ン ド を分割 し ます。 [] 括弧内の構文がオプシ ョ ンであ る こ と を示 し ます。 ... 一連の項目を入力で き る こ と を示 し ます。 表 1.4 コ マ ン ド 行構文の表記規則 1 - 24 ヘルプ お よ び テ ク ニ カ ルサポー ト リ ソ ースへの ア ク セス 追加のテ ク ニ カル ド キ ュ メ ン ト お よ び製品情報は、次の場所で入手で き ます。 ◆ ロ ーカル ト ラ フ ィ ッ ク 管理のオ ン ラ イ ンヘルプ 設定ユーテ ィ リ テ ィ には、 画面ご と にオ ン ラ イ ンヘルプがあ り ま す。 オ ン ラ イ ンヘルプか ら 、 画面上の各 コ ン ト ロ ールお よ び設定 の説明を表示で き ます。 左側のナビ ゲーシ ョ ンペ イ ンの [Help] タ ブ を ク リ ッ ク す る と 、 オ ン ラ イ ンヘルプが表示 さ れ ます。 ◆ 設定ユーテ ィ リ テ ィ の [Welcome] 画面 設定ユーテ ィ リ テ ィ の [Welcome] 画面には、次の よ う な便利な Web サ イ ト お よ び リ ソ ースへの リ ン ク が数多 く 含まれてい ます。 • F5 Networks Technical Support Web サ イ ト (英語のみ) • F5 Solution Center (英語のみ) • F5 DevCentral Web サ イ ト • プ ラ グ イ ン、 SNMP MIB、 お よ び SSH ク ラ イ ア ン ト ◆ F5 Prime Members Web サ イ ト 日本のお客様には、 F5 Prime Members Web サ イ ト (https://www.f5networks.co.jp/primemembers/) よ り 、 以下の最新 製品 ド キ ュ メ ン ト を提供 し てい ます。 • 各製品の新旧 リ リ ース ノ ー ト • 各製品ガ イ ド • The Ask F5SM Knowledge Base こ のサ イ ト にア ク セ スす る には、 http://www.f5networks.co.jp/f5pm での登録が必要です。 BIG-IP® Local Traffic Management 設定ガ イ ド 1 - 25 2 バーチ ャルサーバの設定 • バーチ ャルサーバおよび仮想ア ド レ スの概要 • バーチ ャルサーバの タ イ プについて • ク ラ ス タ リ ングマルチ プ ロ セ ッ シ ングの概要 • バーチ ャルサーバの作成 • バーチ ャルサーバと仮想ア ド レスの設定について • バーチ ャルサーバおよび仮想ア ド レ スの管理 バーチ ャルサーバおよび仮想ア ド レ スの概要 バーチ ャ ルサーバは、 BIG-IP® ロ ーカル ト ラ フ ィ ッ ク 管理の構成にお いて最 も 重要な コ ン ポーネ ン ト です。バーチ ャ ルサーバを構成す る 場 合、バーチ ャ ルサーババーチ ャ ルサーバ と 仮想ア ド レ ス と い う 2 つの BIG-IP オブジ ェ ク ト を作成 し ます。 バーチ ャルサーバ と は バーチ ャ ルサーバ は BIG-IP 上の ト ラ フ ィ ッ ク 管理オブジ ェ ク ト であ り 、 1 つの IP ア ド レ ス と サービ ス に よ っ て表わ さ れ ます。 外部ネ ッ ト ワー ク の ク ラ イ ア ン ト は、バーチ ャ ルサーバにアプ リ ケーシ ョ ン ト ラ フ ィ ッ ク を送信 し 、 続いて、 設定に従いその ト ラ フ ィ ッ ク を ダ イ レ ク ト し ます。 多 く の場合、 バーチ ャ ルサーバの主な目的は、 内部ネ ッ ト ワ ー ク のサーバプールに ト ラ フ ィ ッ ク 負荷 を 分散す る こ と です。 バーチ ャ ルサーバを使用す る と 、ク ラ イ ア ン ト リ ク エ ス ト を処理す る ための リ ソ ース のアベ イ ラ ビ リ テ ィ が向上 し ます。 バーチャ ルサーバは、 複数のサーバ間でト ラ フ ィ ッ ク を 分散さ せる だ けでなく 、 ト ラ フ ィ ッ ク 管理のニーズに応じ て、 さ ま ざ ま なタ イ プの ト ラ フ ィ ッ ク を 異なる 方法で処理し ま す。 たと えば、 BIG-IP を 通過す る HTTP リ ク エス ト データ の圧縮を 有効にし たり 、 SSL 接続を 復号化 およ び再暗号化し たり 、 SSL 証明書を 検証する こ と が可能です。 バー チャ ルサーバは、TCP、UDP、HTTP、SSL、SIP、FTP など のト ラ フ ィ ッ ク タ イ プご と に設定グ ループ全体を 適用し て、BIG-IP によ る 該当ト ラ フ ィ ッ ク タ イ プの管理方法に影響を 与える こ と ができ ま す。 バーチャ ルサーバでは、特定のト ラ フ ィ ッ ク タ イ プのセッ ショ ン パーシ ス テン ス を有効にす る こ と も 可能です。 バーチ ャ ルサーバを通 じ て、 HTTP、SSL、SIP、お よ び MSRDP セ ッ シ ョ ン な ど のセ ッ シ ョ ンのパー シ ス テ ン ス を設定で き ます。 さ ら に、 バーチ ャ ルサーバは iRule (個々の接続を特定の方法で検査 お よ びダ イ レ ク ト す る こ と を目的 と し たユーザ作成ス ク リ プ ト ) を適 用で き ます。 た と えば、 TCP 接続の コ ン テ ン ツ で特定の文字列を検索 し 、 その文字列が検出 さ れた場合には、 接続 を 特定のプール ま たは プール メ ンバに送信す る よ う バーチ ャ ルサーバに指示す る iRule を作 成で き ます。 要約す る と 、 バーチ ャ ルサーバでは次の こ と を行え ます。 • 複数のサーバ間で ク ラ イ ア ン ト リ ク エ ス ト を分散 さ せ、 サーバの 負荷のバ ラ ン ス を取 り ます。 • 特定 タ イ プの ト ラ フ ィ ッ ク に対 し て、 各種動作設定を適用 し ます。 • 特定 タ イ プの ト ラ フ ィ ッ ク のパーシ ス テ ン ス を有効に し ます。 • ユーザ作成の iRulesTM に従っ て ト ラ フ ィ ッ ク を ダ イ レ ク ト し ます。 バーチ ャ ルサーバは、 次の よ う な さ ま ざ ま な用途に使用で き ます。 ◆ ト ラ フ ィ ッ ク の ロ ー ド バ ラ ン シ ン グプールへのダ イ レ ク ト 標準バーチ ャ ルサーバ ( ロ ー ド バ ラ ン シ ン グ バーチ ャ ルサーバ と も 呼ばれ ます) は、 ク ラ イ ア ン ト ト ラ フ ィ ッ ク を ロ ー ド バ ラ ン シ ン グ プールに ダ イ レ ク ト す る も の で、 最 も 基本的 な タ イ プ のバー チ ャ ルサーバです。 バーチ ャ ルサーバを初めて作成 し た と き は、 BIG-IP® Local Traffic Management 設定ガ イ ド 2-1 第2章 バーチ ャルサーバの設定 既存のデフ ォ ル ト プール を割 り 当て ま す。 それ以降、 バーチ ャ ル サーバは、 そのデフ ォ ル ト プールに ト ラ フ ィ ッ ク を自動的にダ イ レ ク ト し ます。 ◆ VLAN ノ ー ド と IP ア ド レ ス を共有す る 関連付け ら れた VLAN 内の ノ ー ド と 同 じ IP ア ド レ ス を共有す る よ う に、 フ ォ ワーデ ィ ン グ (レ イ ヤ 2) バーチ ャ ルサーバを設定で き ま す。 こ の場合、 追加の設定作業を行 う 必要が あ り ま す。 具体的 には、 ノ ー ド が存在す る VLAN を含む VLAN グループ を作成 し 、 その VLAN グループにセルフ IP ア ド レ ス を割 り 当て、関連 VLAN でバーチ ャ ルサーバを無効に し ます。 詳細については、 『TMOSTM Management Guide for BIG-IP® Systems』 の VLAN と VLAN グルー プの章を参照 し て く だ さ い。 ◆ 特定の宛先 IP ア ド レ ス に ト ラ フ ィ ッ ク を転送す る フ ォ ワ ーデ ィ ン グ (IP) バーチ ャ ルサーバは、 ロ ー ド バ ラ ン ス す る プール メ ン バが な い と い う 点 を 除い て、 そ の他のバーチ ャ ル サーバ と 同様です。 バーチ ャ ルサーバは、 ク ラ イ ア ン ト リ ク エ ス ト で指定 さ れてい る 宛先 IP ア ド レ ス にパケ ッ ト を直接転送す る だ けです。 フ ォ ワ ーディ ン グバーチ ャ ルサーバ を使用 し て要求を最 初に指定 さ れた宛先 IP ア ド レ ス にダ イ レ ク ト す る 場合、 こ れ ら の 接続は、 ほかのバーチ ャ ルサーバの場合 と 同様に BIG-IP に よ っ て 追加、 追跡、 リ ープ さ れ ま す。 フ ォ ワ ーデ ィ ン グバーチ ャ ルサー バの統計情報を表示す る こ と も で き ます。 ◆ HTTP ト ラ フ ィ ッ ク の処理速度を向上 さ せ る パフ ォーマ ン ス (HTTP) バーチ ャ ルサーバは、Fast HTTP プ ロ フ ァ イ ルを関連付け る バーチ ャ ルサーバです。 バーチ ャ ルサーバ と プ ロ フ ァ イ ルを併用す る と 、 バーチ ャ ルサーバに よ る HTTP リ ク エ ス ト の処理速度が向上 し ます。 ◆ レ イ ヤ 4 ト ラ フ ィ ッ ク の処理速度を向上 さ せ る パフ ォーマ ン ス (レ イ ヤ 4) バーチ ャ ルサーバは、 Fast L4 プ ロ フ ァ イ ルを関連付け る バーチ ャ ルサーバです。 バーチ ャ ルサーバ と プ ロ フ ァ イ ルを併用す る と 、 バーチ ャ ルサーバに よ る レ イ ヤ 4 要求 の処理速度が向上 し ます。 バーチ ャ ルサーバを作成す る 際は、そのバーチ ャ ルサーバか ら の着信 ト ラ フ ィ ッ ク の宛先 と し て機能 さ せ る 1つま たは複数のプールを指定 し ます。 ま た、 汎用プ ロ パテ ィ 、 設定オプシ ョ ン、 お よ びその他の割 り 当て リ ソ ー ス (iRules、 セ ッ シ ョ ン パーシ ス テ ン ス の タ イ プ な ど) も 設定で き ます。 「 バーチ ャ ルサーバの タ イ プについて 」( 2-5 ページ) では、 作成可能 なバーチャ ルサーバのタ イ プと その汎用プロ パティ 、設定オプショ ン 、 およ びリ ソ ース について説明し ま す。 仮想ア ド レ ス と は 仮想ア ド レ ス と は、バーチ ャ ルサーバに関連付け る IP ア ド レ ス です。 た と えば、バーチ ャ ルサーバの IP ア ド レ ス と サービ ス が 10.10.10.2:80 であ る 場合、 IP ア ド レ ス 10.10.10.2 が仮想ア ド レ ス と な り ます。 2-2 バーチ ャ ルサーバ と 仮想ア ド レ ス の間には、 1 対多数の関係を作成で き ます。 た と えば、 3 つのバーチ ャ ルサーバ 10.10.10.2:80、 10.10.10.2:443、お よ び 10.10.10.2:161 を、同 じ 仮想ア ド レ ス 10.10.10.2 に作成で き ます。 仮想ア ド レ ス は、 有効にし たり 、 無効にし たり でき ま す。 仮想ア ド レ ス を 無効にする と 、 こ のア ド レ ス に関連付けら れたバーチャ ルサーバ はいずれも 、 着信ネッ ト ワ ーク ト ラ フ ィ ッ ク を 受け入れる こ と ができ ま せん。 バーチ ャ ルサーバを作成す る 場合、仮想ア ド レ ス は間接的に作成 し ま す。 こ の よ う な場合、 BIG-IP では、 仮想ア ド レ ス を MAC ア ド レ ス に 関連付け ます。こ れに よ り 、BIG-IP は、こ の仮想ア ド レ ス に対す る ARP (Address Resolution Protocol: ア ド レ ス解決プ ロ ト コ ル)要求に応答 し 、 仮想ア ド レ ス に基づいて Gratuitous ARP 要求 と 応答を送信 し ます。 ま た、 ご く まれに ARP ア ク テ ィ ビ テ ィ がシ ス テ ムパフ ォ ーマ ン ス に影 響を及ぼす こ と があ り ますが、 その よ う な場合、 仮想ア ド レ ス に対す る ARP ア ク テ ィ ビ テ ィ を無効にす る こ と がで き ます。こ れは、BIG-IP 上に非常に多数の仮想ア ド レ ス が定義 さ れてい る 場合にのみ発生す る 可能性があ り ます。 バーチ ャルサーバの仕組みについて 外部ネ ッ ト ワ ー ク 上にあ る ク ラ イ ア ン ト のユーザが Web ブ ラ ウ ザ経 由で HTTP ト ラ フ ィ ッ ク 送信す る と い う 状況を検証 し てみ る と 、バー チ ャ ルサーバの仕組みが よ く 分か り ま す。 こ の場合、 BIG-IP は以下 のプ ロ セ ス で動作 し ます。 1. ユーザが Web ブ ラ ウ ザに URL を入力 し て、 接続を開始 し ま す。 ブ ラ ウ ザがその URL を、 BIG-IP で事前に作成 し ておいた バーチ ャ ルサーバのア ド レ ス に分解 し ま す。 こ のバーチ ャ ル サーババーチ ャ ルサーバのア ド レ ス が要求の宛先 IP ア ド レ ス と な り ます。 2. BIG-IP が対応する バーチャ ルサーバ設定を チェ ッ ク し て、 着信 ト ラ フ ィ ッ ク の送信先と なる Web サーバプールを 決定し ま す。 3. BIG-IP がプール設定を チェ ッ ク し て、 内部サーバノ ード の選 択に使用する ロ ード バラ ン シン グ ア ルゴ リ ズム を 決定し ま す。 4. BIG-IP が こ のアルゴ リ ズ ム を使い、 特定のサーバ ノ ー ド を選 択 し ます。 5. BIG-IP が、 要求パケ ッ ト の Destination IP Address ヘ ッ ダに含 ま れ る 宛先 IP ア ド レ ス (つま り 、 バーチ ャ ルサーバのア ド レ ス) を、 選択 さ れた ノ ー ド の実際のア ド レ ス に変更 し ます。 こ の場合、 パケ ッ ト に含 ま れ る 送信元ア ド レ ス (つ ま り 、 その 接続を開始 し た ク ラ イ ア ン ト のア ド レ ス) は変更 さ れずに残 り ます。 6. BIG-IP が、 選択 さ れたサーバ ノ ー ド に着信パケ ッ ト を送信 し ます。 7. BIG-IP をデフ ォ ル ト ゲー ト ウ ェ イ と し て、 サーバ ノ ー ド か ら ク ラ イ ア ン ト に応答が送信 さ れ る 場合、 応答は BIG-IP 経由で 返 さ れ、 逆変換が発生 し ま す。 BIG-IP が、 応答パ ケ ッ ト の Source IP Address ヘ ッ ダに含まれ る 応答の実際の送信元 IP BIG-IP® Local Traffic Management 設定ガ イ ド 2-3 第2章 バーチ ャルサーバの設定 ア ド レ ス (サーバ ノ ー ド のア ド レ ス) を、 バーチ ャ ルサーバ のア ド レ ス に変換 し ま す。 こ れに よ っ て、 応答の送信元ア ド レ ス と 要求の宛先ア ド レ ス が一致す る こ と にな り ま す。 こ れ は、 ク ラ イ ア ン ト が応答を受け入れ る のに必要な要件です。 要す る に、 通常 BIG-IP は要求の宛先ア ド レ ス をサーバ ノ ー ド の実際 のア ド レ ス に変換 し 、実際の 応答の送信元ア ド レ ス をバーチ ャ ルサー バのア ド レ ス に変換 し ます。 つま り 、 外部ネ ッ ト ワー ク の ク ラ イ ア ン ト か ら は、 内部サーバ ノ ー ド のプ ラ イ ベー ト ク ラ ス IP ア ド レ ス が決 し て見え ない よ う にな っ てい ます。 注 常に BIG-IP 経由でサーバ応答が返 さ れ る よ う にす る には、 サーバの デフ ォ ル ト 経路を内部 VLAN のセルフ IP ア ド レ ス に設定す る 必要が あ り ます。サーバが BIG-IP と は別のネ ッ ト ワー ク 上に置かれてお り 、 こ の設定がで き ない場合は、 SNAT を作成す る こ と が可能です。 詳細 については、 第 14 章 「SNAT の設定」 を参照 し て く だ さ い。 2-4 バーチ ャルサーバの タ イ プについて 作成可能なバーチ ャ ルサーバには、 2 つの タ イ プ、 ホ ス ト バーチ ャ ル サーバ と ネ ッ ト ワー ク バーチ ャ ルサーバがあ り ます。 ホス ト バーチ ャルサーバ ホ ス ト バーチ ャ ルサーバ は、 イ ン タ ーネ ッ ト Web サ イ ト や FTP サ イ ト な ど の特定のサ イ ト を表 し 、プールの メ ンバであ る コ ン テ ン ツサー バを タ ーゲ ッ ト に し た ト ラ フ ィ ッ ク を ロ ー ド バ ラ ン ス し ます。 ホ ス ト バーチ ャ ルサーバに割 り 当て る IP ア ド レ ス は、 DNS (Domain Name System: ド メ イ ン名シ ス テ ム) がサ イ ト の ド メ イ ン名に関連付 け る IP ア ド レ ス と 一致す る 必要があ り ます。 BIG-IP は、 そのサ イ ト に対す る 接続要求を受信 し た場合、 ク ラ イ ア ン ト の宛先 IP ア ド レ ス がバーチ ャ ルサーバの IP ア ド レ ス と 一致す る こ と を認識 し 、 以降は バーチ ャ ルサーバが ロ ー ド バ ラ ン スす る コ ン テ ン ツ サーバの1つに ク ラ イ ア ン ト リ ク エ ス ト を転送す る よ う にな り ます。 ネ ッ ト ワー ク バーチ ャルサーバ ネ ッ ト ワ ー ク バーチ ャ ルサーバ は、 IP ア ド レ ス のホ ス ト 部分に ビ ッ ト が設定 さ れていない (つま り 、 IP ア ド レ ス のホ ス ト 部分が 0 であ る ) バーチ ャ ルサーバです。 ネ ッ ト ワー ク バーチ ャ ルサーバには、 2 種類あ り ます。 ク ラ イ ア ン ト ト ラ フ ィ ッ ク を宛先 IP ア ド レ ス の範 囲に基づい て ダ イ レ ク ト す る も の と 、 ク ラ イ ア ン ト ト ラ フ ィ ッ ク を BIG-IP が認識 し ない特定の宛先 IP ア ド レ ス に基づいてダ イ レ ク ト す る も のです。 特定範囲の宛先 IP ア ド レ スに対する ト ラ フ ィ ッ ク のダ イ レ ク ト ホ ス ト ビ ッ ト が 0 に設定 さ れてい る IP ア ド レ ス を使用す る と 、 バー チ ャ ルサーバは、 単一の宛先 IP ア ド レ ス ではな く 、 全範囲の IP ア ド レ ス が宛先にな っ てい る ク ラ イ ア ン ト 接続を ダ イ レ ク ト で き ます (ホ ス ト バーチ ャ ルサーバの場合 と 同様です) 。 し たが っ て、 バーチ ャ ル サーバの IP ア ド レ ス に よ っ て指定 さ れてい る ネ ッ ト ワ ー ク 内の宛先 IP ア ド レ ス が ク ラ イ ア ン ト 接続の タ ー ゲ ッ ト に な っ て い る 場合、 BIG-IP はその接続を、 ネ ッ ト ワ ー ク バーチ ャ ルサーバに関連付け ら れてい る 1 つ以上のプールにダ イ レ ク ト で き ます。 た と えば、 バーチ ャ ルサーバは、 192.168.1.0 ネ ッ ト ワー ク 上の ノ ー ド のいずれかが宛先にな っ てい る ク ラ イ ア ン ト ト ラ フ ィ ッ ク を、特定の ロ ー ド バ ラ ン シ ン グプール (ingress-firewalls な ど) にダ イ レ ク ト で き ます。 ま た、 バーチ ャ ルサーバは、 サブネ ッ ト 192.168.1.0/24 内の 任意のア ド レ ス が宛先にな っ てい る Web 接続を、 プール default_webservers にダ イ レ ク ト す る こ と も で き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 2-5 第2章 バーチ ャルサーバの設定 透過デバイ スの ト ラ フ ィ ッ クのダイ レ ク ト (ワイルド カー ド バーチ ャル サーバ) ネ ッ ト ワー ク バーチ ャ ルサーバには、特定のネ ッ ト ワ ー ク ま たはサブ ネ ッ ト が宛先にな っ てい る ク ラ イ ア ン ト 接続を ダ イ レ ク ト す る だけ でな く 、 バーチ ャ ルサーバに よ っ て認識 さ れない特定の宛先 IP ア ド レ ス (透過デバ イ ス な ど) を持つ ク ラ イ ア ン ト 接続 も ダ イ レ ク ト で き る も のがあ り ます。 こ の タ イ プのネ ッ ト ワ ー ク バーチ ャ ルサーバは、 ワ イ ル ド カー ド バーチ ャ ルサーバ と 呼ばれます。 ワ イ ル ド カー ド バーチ ャ ルサーバ は、 透過ネ ッ ト ワ ー ク デバ イ ス を タ ーゲ ッ ト に し た ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を管理す る ために設計 さ れた、 特殊な タ イ プのネ ッ ト ワー ク バーチ ャ ルサーバです。 透過デ バ イ ス の例 と し ては、 フ ァ イ ア ウ ォ ール、 ルー タ 、 プ ロ キ シサーバ、 キ ャ ッ シ ュ サーバがあ り ます。 ワ イ ル ド カー ド バーチ ャ ルサーバは、 BIG-IP で認識 さ れていない宛先 IP ア ド レ ス があ る ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を管理 し ます。 認識 さ れていない ク ラ イ ア ン ト IP ア ド レ スの処理 ホ ス ト タ イ プのバーチ ャ ルサーバは通常、特定サ イ ト の ト ラ フ ィ ッ ク を管理 し ます。 対応す る サ イ ト の接続要求を受信す る と 、 BIG-IP は、 そ のバーチ ャ ルサーバに よ っ て ロ ー ド バ ラ ン ス さ れ る コ ン テ ン ツ サーバの 1 つに ク ラ イ ア ン ト を転送 し ます。 ただ し 、 透過 ノ ー ド を ロ ー ド バ ラ ン ス す る 際、 BIG-IP は ク ラ イ ア ン ト の宛先 IP ア ド レ ス を認識 し ない こ と があ り ます。 ク ラ イ ア ン ト は、 フ ァ イ ア ウ ォール、 ルー タ 、 ま たはプ ロ キ シサーバの反対側の IP ア ド レ ス に接続す る 可能性が あ り ま す。 こ の よ う な状況では、 BIG-IP は、 ク ラ イ ア ン ト の宛先 IP ア ド レ ス をバーチ ャ ルサーバの IP ア ド レ ス と 一致 さ せ る こ と がで き ません。 ワ イ ル ド カー ド ネ ッ ト ワ ー ク バーチ ャ ルサーバは、 BIG-IP 上のバー チ ャ ルサーバレベルでは着信 IP ア ド レ ス を変換 し ない よ う にす る こ と で、 こ の問題を解決 し ます。 た と えば、 BIG-IP は、 ク ラ イ ア ン ト の宛先 IP ア ド レ ス と 一致す る 特定のバーチ ャ ルサーバ を 検出 し な か っ た場合、 ク ラ イ ア ン ト の宛先 IP ア ド レ ス を、 IP ア ド レ ス 0.0.0.0 で指定 さ れた ワ イ ル ド カー ド バーチ ャ ルサーバ と 一致 さ せ ま す。 次 に、 BIG-IP は、 ク ラ イ ア ン ト のパケ ッ ト を、 ワ イ ル ド カー ド バーチ ャ ルサーバが ロ ー ド バ ラ ン スす る フ ァ イ ア ウ ォ ール ま たはルー タ の1つ に転送 し ま す。 その後、 ク ラ イ ア ン ト のパケ ッ ト は、 実際の宛先 IP ア ド レ ス に転送 さ れ ます。 デフ ォル ト のワイル ド カー ド サーバと ポー ト 固有のワイル ド カー ド サーバについて 作成可能な ワ イ ル ド カー ド バーチ ャ ルサーバには、次の 2 種類があ り ます。 ◆ デフ ォ ル ト の ワ イ ル ド カー ド バーチ ャ ルサーバ デフ ォ ル ト の ワ イ ル ド カー ド バーチ ャ ルサーバは、 ポー ト 0 を使 用 し 、 すべてのサービ ス の ト ラ フ ィ ッ ク を処理す る ワ イ ル ド カー ド バーチ ャ ルサーバです。 ワ イ ル ド カー ド バーチ ャ ルサーバは、デ フ ォ ル ト ではすべての VLAN に対 し て有効にな っ てい ます。 ただ し 、 デフ ォ ル ト の ワ イ ル ド カー ド バーチ ャ ルサーバでサポー ト す る 必要のない VLAN を無効にす る こ と がで き ます。 デフ ォ ル ト の ワ イ ル ド カー ド バーチ ャ ルサーバに対 し て VLAN を無効にす る に 2-6 は、 VLAN 無効化 リ ス ト を作成 し ます。 VLAN 無効化 リ ス ト は、 デ フ ォ ル ト の ワ イ ル ド カ ー ド バーチ ャ ルサーバのみに適用 さ れ ま す。 特定の VLAN のみに関連付け ら れてい る ワ イ ル ド カー ド バー チ ャ ルサーバに対 し て VLAN 無効化 リ ス ト を作成す る こ と はで き ま せん。 デフ ォ ル ト の ワ イ ル ド カー ド サーバ を作成す る 手順につ いては、 「 ワ イ ル ド カー ド バーチ ャ ルサーバの作成」 (2-12 ページ) を参照 し て く だ さ い。 ◆ ポー ト 固有の ワ イ ル ド カー ド バーチ ャ ルサーバ ポー ト 固有の ワ イ ル ド カー ド バーチ ャ ルサーバ は、 特定のサービ ス のみのト ラ フ ィ ッ ク を 処理し ま す。こ のワ イ ルド カ ード バーチャ ルサーバを 定義する 際は、サービ ス 名ま たはポート 番号を 使用し ま す。 ポート 固有のワ イ ルド カ ード バーチャ ルサーバを 使用する と 、 特定タ イ プのネッ ト ワ ーク ト ラ フ ィ ッ ク の統計情報を 追跡し たり 、 発信ト ラ フ ィ ッ ク ( HTTP ト ラ フ ィ ッ ク など ) を フ ァ イ ア ウ ォ ール やルータ ではなく 、キ ャ ッ シュ サーバに直接ルーティ ン グ する こ と ができ ま す。ポート 固有のワ イ ルド カ ード バーチャ ルサーバを 作成 する 手順について は、「 ポー ト 固有の ワ イ ル ド カー ド バーチ ャ ル サーバを作成す る には」( 2-13 ページ) を 参照し てく ださ い。 デ フ ォ ル ト の ワ イ ル ド カー ド バーチ ャ ルサーバ と ポー ト 固有の ワ イ ル ド カー ド バーチ ャ ルサーバの両方を使用す る 場合、標準のバーチ ャ ルサーバ と も ポー ト 固有の ワ イ ル ド カー ド バーチ ャ ルサーバのいず れ と も 一致 し ない ト ラ フ ィ ッ ク はすべて、デフ ォ ル ト の ワ イ ル ド カー ド バーチ ャ ルサーバに よ っ て処理 さ れ ます。 複数 タ イ プのサー ビ ス を処理す る 必要が あ る 透過 ノ ー ド (フ ァ イ ア ウ ォ ール、 ルー タ な ど) を定義す る 場合は、 ノ ー ド の実際のポー ト を 指定 し 、バーチ ャ ルサーバに対 し てポー ト 変換を オ フ にす る こ と をお 勧め し ます。 複数のワ イル ド カ ー ド サーバの作成 同時に動作す る 複数の ワ イ ル ド カー ド バーチ ャ ルサーバ を定義で き ます。 各 ワ イ ル ド カー ド バーチ ャ ルサーバを個々の VLAN に割 り 当 て る 必要があ る ので、それぞれの ワ イ ル ド カー ド バーチ ャ ルサーバは 該当 VLAN のパケ ッ ト のみを処理で き ます。 構成に よ っ ては、 BIG-IP の片側に ワ イ ル ド カー ド バーチ ャ ルサーバ を設定 し て、透過デバ イ ス間の接続を ロ ー ド バ ラ ン スす る 必要があ り ます。 BIG-IP の他方の側に別の ワ イ ル ド カー ド バーチ ャ ルサーバを 作成 し 、 透過デバ イ ス か ら 接続 を受信 し て その宛先に転送す る バー チ ャ ルサーバにパケ ッ ト を転送す る こ と がで き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 2-7 第2章 バーチ ャルサーバの設定 ク ラ ス タ リ ングマルチ プ ロ セ ッ シ ン グの概要 BIG-IP には、 「 ク ラ ス タ リ ン グマルチプ ロ セ ッ シ ン グ (CMP)」 と い う パ フ ォ ーマ ン ス 機能が実装 さ れてい ます。 CMP と は、 シ ス テ ム の CPU ご と に Traffic Management Microkerne (TMM) サービ ス の イ ン ス タ ン ス を個別に作成す る ト ラ フ ィ ッ ク 高速化機能です。 CMP が有効 にな っ てい る 場合、作業負荷がすべての CPU で均等に共有 さ れます。 バーチ ャ ルサーバを作成す る と 、 BIG-IP で CM P 機能が自動で有効 化 さ れます。 CMP が有効にな っ てい る 場合、 TMM サービ ス のすべて の イ ン ス タ ン ス に よ っ て ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク が処理 さ れ ます (バーチ ャ ルサーバの設定方法については、 「バーチ ャ ルサーバ の作成」 (2-11 ページ) を参照 し て く だ さ い)。 CMPが有効にな っ ている場合のシ ス テム動作の違いについて CMP 機能は、 あ く ま で も アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク を高速化す る ための内部パフ ォーマ ン ス機能ですが、シ ス テ ムに対す る 効果が認 め ら れ る ケース も あ り ます。 図 2.1 は bigpipe virtual show all コ マ ン ド の出力であ り 、 バーチ ャ ルサーバ my_virtual に対 し て CMP が有効 にな っ てい る こ と を示 し てい ます。 図 2.1 バーチ ャ ルサーバに対 し て CMP が有効にな っ てい る こ と を示す bigpipe 出力 設定ユーテ ィ リ テ ィ を 使っ て標準パ フ ォ ーマ ン ス グ ラ フ を表示す る と 、 TMM サービ ス の複数の イ ン ス タ ン ス (tmm0 や tmm1 な ど) を 確認す る こ と がで き ます。 図 2.2 (2-9 ページ) は、 複数の CPU と 複 数の TMM イ ン ス タ ン ス のパフ ォ ーマ ン ス を示すパフ ォーマ ン ス グ ラ フ です。 2-8 図 2.2 CMP が有効にな っ たシ ス テ ムのパフ ォーマ ン ス グ ラ フ CMP が有効にな っ てい る 場合は、 次の こ と に注意 し て く だ さ い。 • TMM イ ン ス タ ン ス ご と に複数の統計情報が個別に表示 さ れ る 一 方で、 すべての TMM イ ン ス タ ン ス の合計 と し て、 別の統計情報 が表示 さ れ ます。 • CMP が有効にな っ てい る 場合、 バーチ ャ ルサーバの コ ネ ク シ ョ ン リ ミ ッ ト が TMM サービ ス のすべての イ ン ス タ ン ス に均等に分散 さ れ ます。 • ロ ー ド バ ラ ン シ ン グモー ド に よ っ ては、 CMP が無効のシ ス テ ム と は違 う 動作をす る も のがあ り ます。 注 プール メ ンバに対す る コ ネ ク シ ョ ン リ ミ ッ ト の設定値が小 さ な場合 (8400 プ ラ ッ ト フ ォームで コ ネ ク シ ョ ン リ ミ ッ ト が 2、ま たは 8800 プ ラ ッ ト フ ォームで 4 と いっ た場合な ど) は、 CMP 機能を無効にする こ と を推奨 し ます。 CMP の無効化 と 再有効化 場合に よ っ ては、TMM サービ ス を特定の CPU に割 り 当てたほ う がい いケース があ り ます。 こ れを行 う には、 ハー ド ウ ェ アプ ラ ッ ト フ ォ ー ム が限定 さ れてい る も のの、 CMP を ま と めて無効に し ます。 CMP を 無効にす る には、 bigdb 変数 provision.tmmcount を設定 し て、 bigstart restart コ マ ン ド を実行 し ます。 bigpipe db provision.tmmcount 1 bigstart restart BIG-IP® Local Traffic Management 設定ガ イ ド 2-9 第2章 バーチ ャルサーバの設定 CMP を再度有効にす る には、 以下に示す よ う に、 bigdb 変数の値を 1 か ら 0 に変更 し て、 再び bigstart restart コ マ ン ド を実行 し ます。 bigpipe db provision.tmmcount 0 bigstart restart 冗長シ ス テムの CMP について 冗長シ ス テ ム ユニ ッ ト で CMP 機能が有効にな っ てい る 場合は、 以下 の よ う な シ ス テ ム動作に注意す る よ う に し て く だ さ い。 • ハ イ アベ イ ラ ビ リ テ ィ テーブル (HA) で、TMM サ-ビ ス の各 イ ン ス タ ン ス が個別のエ ン ト リ を持ち ます。 • TMM サービ ス の イ ン ス タ ン ス が 1 つで も 停止すれば、ア ク テ ィ ブ ユニ ッ ト が フ ェ イ ルオーバ し ます。 • TMM サービ ス のすべての イ ン ス タ ン ス が同意 し た場合にのみ、 VLAN フ ェ イ ルセーフ に よ る フ ェ イ ルオーバが ト リ ガ さ れます。 • ハー ド ウ ェ アプ ラ ッ ト フ ォ ーム に よ っ ては、 接続 ミ ラ ー リ ン グが サポー ト さ れ る 場合があ り ます。 2 - 10 バーチ ャルサーバの作成 設定ユーテ ィ リ テ ィ を使用 し て、 バーチ ャ ルサーバを作成す る か、 既 存のバーチ ャ ルサーバの設定 を変更す る こ と がで き ま す。 次の項で は、 バーチ ャ ルサーバを作成お よ び変更す る 手順を説明 し ます。 個々 のバーチ ャ ルサーバのプ ロ パテ ィ お よ び設定については、 「バーチ ャ ルサーバ と 仮想ア ド レ ス の設定について 」 (2-14 ページ) を参照 し て く だ さ い。 既存のバーチ ャ ルサーバの設定の表示については、 「バー チ ャ ルサーバお よ び仮想ア ド レ ス の管理」 (2-21 ページ) を参照 し て く だ さ い。 バーチ ャ ルサーバを作成す る 場合、その設定に多 く のデフ ォ ル ト 値を 使用す る バーチ ャ ルサーバを作成で き ます。 こ れに よ り 、 明示的に設 定すべ き 設定の数が大幅に削減 さ れ る ため、バーチ ャ ルサーバを作成 す る 作業が素早 く 、 し か も 簡単にな り ます。 バーチャ ルサーバを 作成する 場合、 そ のタ イ プを ホ ス ト バーチャ ル サーバま たはネッ ト ワ ーク バーチャ ルサーバに指定でき ま す ( ホス ト およ びネッ ト ワ ーク バーチャ ルサーバの詳細については、 「 ホ ス ト バー チ ャ ルサーバ」( 2-5 ページ) と「 ネ ッ ト ワー ク バーチ ャ ルサーバ」( 2-5 ページ) を 参照し てく ださ い)。 いずれの場合も 、 設定する 必要があ る のは、 バーチャ ルサーバの一意の名前と 、 宛先ア ド レ ス およ びサービ ス ポート だけです。 バーチャ ルサーバのタ イ プがネッ ト ワ ーク であ る 場合、 宛先タ イ プと ネッ ト マス ク も 設定する 必要があり ま す。 重要 バーチ ャ ルサーバが作成 さ れ る と 、 BIG-IP はそのバーチ ャ ルサーバ を現在の管理パーテ ィ シ ョ ンに配置 し ます。パーテ ィ シ ョ ンの詳細に ついては、『 TMOSTM Management Guide for BIG-IP® Systems』 を 参照し てく ださ い。 バーチャ ルサーバを 作成する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Servers] 画面が開 き ます。 2. 画面の右上の [Create] ボ タ ン を ク リ ッ ク し ます。 [New Virtual Server] 画面が開 き ます。 注 : [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 現在のユーザ ロ ールではバーチ ャ ルサーバ を作成す る 権限が与え ら れてい ない こ と を示 し ます。 3. 必要な設定を行い ます。 詳細については、 表 2.1 (2-14 ページ) を参照 し て く だ さ い。 4. 他の設定値を その ま ま使用す る か変更 し ます。 各設定の詳細については、 「バーチ ャ ルサーバ と 仮想ア ド レ ス の設定について 」 (2-14 ページ) を参照 し て く だ さ い。 5. [Finished] を ク リ ッ ク し ます。 注 冗長シ ス テ ムの構成では、最初にユニ ッ ト 1 のバーチ ャ ルサーバを作 成 し ていないかぎ り 、ユニ ッ ト 2 のバーチ ャ ルサーバを作成す る こ と はで き ません。 BIG-IP® Local Traffic Management 設定ガ イ ド 2 - 11 第2章 バーチ ャルサーバの設定 注 関連付け ら れてい る VLAN 内の ノ ー ド と 同 じ IP ア ド レ ス をバーチ ャ ルサーバで使用す る場合には、 追加の設定作業が必要にな り ます。 具 体的には、 ノ ー ド が存在す る VLAN を含む VLAN グループ を作成 し 、 その VLAN グループにセルフ IP ア ド レ ス を割 り 当て、 関連 VLAN で バ ー チ ャ ル サ ー バ を 無 効 に し ま す。 詳 細 に つ い て は、 『TMOSTM Management Guide for BIG-IP® Systems』 を参照 し て く だ さ い。 ワ イル ド カ ー ド バーチ ャ ルサーバの作成 ワ イ ル ド カー ド バーチ ャ ルサーバは、 特殊な タ イ プのネ ッ ト ワ ー ク バーチ ャ ルサーバです。ワ イ ル ド カー ド バーチ ャ ルサーバを作成す る には、 次の 3 つの作業を行 う 必要があ り ます。 • まず、 透過デバ イ ス のア ド レ ス を含むプールを作成 し ます。 • 次に、 (デフ ォ ル ト ま たはポー ト 固有の) ワ イ ル ド カー ド バーチ ャ ルサーバを作成 し ます。 • 最後に、 バーチ ャ ルサーバご と にポー ト 変換が無効にな っ てい る こ と を確認 し ま す。 ポー ト 変換は、 デフ ォ ル ト では無効にな っ て い ます。 次の手順では、設定ユーテ ィ リ テ ィ を使用 し て こ れ ら の作業を行 う 方 法を説明 し ます。ワ イ ル ド カー ド バーチ ャ ルサーバの タ イ プの詳細に ついては、「透過デバ イ ス の ト ラ フ ィ ッ ク のダ イ レ ク ト (ワ イ ル ド カー ド バーチ ャ ルサーバ)」 (2-6 ページ) を参照 し て く だ さ い。 透過デバイ スのプ ールを 作成する には 透 過 デ バ イ ス の プ ー ル を 作 成 す る に は、 [Pools] 画面 を 表示 し て [Create] ボ タ ン を ク リ ッ ク し ます。 詳細については、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を参照 し て く だ さ い。 デフ ォ ルト のワイ ルド カ ード バーチャ ルサーバを 作成する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Servers] 画面が開 き ます。 2. 画面の右上の [Create] ボ タ ン を ク リ ッ ク し ます。 [New Virtual Server] 画面が開 き ます。 注 : [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 現在のユーザ ロ ールではバーチ ャ ルサーバを作成す る 権限が与え ら れてい ない こ と を示 し ます。 3. 必要な設定をすべて行い ます。 [Destination Address] ボ ッ ク ス に IP ア ド レ ス 0.0.0.0 を入力 し て く だ さ い。 ま た、 ネ ッ ト ワ ー ク タ イ プのバーチ ャ ルサーバ を選択 し てい る 場合は、[Mask]ボ ッ ク ス にネ ッ ト マ ス ク 0.0.0.0 を入力 し て く だ さ い。 4. [Finished] を ク リ ッ ク し ます。 2 - 12 ポート 固有のワイ ルド カ ード バーチャ ルサーバを 作成する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Servers] 画面が開 き ます。 2. 画面右上の [Create] を ク リ ッ ク し ます。 [New Virtual Server] 画面が開 き ます。 注 : [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 現在のユーザ ロ ールではバーチ ャ ルサーバ を作成す る 権限が与え ら れてい ない こ と を示 し ます。 3. [Address] ボ ッ ク ス で、 ワ イ ル ド カー ド の IP ア ド レ ス 0.0.0.0 を入力 し ます。 4. [Service Port] 設定で、 ポー ト 番号を入力す る か、 リ ス ト か ら サービ ス名を選択 し ます。ポー ト 0 は、すべての タ イ プのサー ビ ス を処理す る ワ イ ル ド カー ド バーチ ャ ルサーバ を定義 し ま す。 ポー ト 番号を指定す る と 、 ポー ト 固有の ワ イ ル ド カー ド バーチ ャ ルサーバが作成 さ れ ま す。 ワ イ ル ド カー ド バーチ ャ ル サ ー バ バ ー チ ャ ル サ ー バ は、 指 定 さ れ た ポ ー ト の ト ラ フ ィ ッ ク のみを処理 し ます。 5. [Resources] セ ク シ ョ ンの [Default Pool] 設定で、 バーチ ャ ル サーバに適用す る 透過デバ イ ス のプールを選択 し ます。 6. [Finished] を ク リ ッ ク し ます。 ワイ ルド カ ード バーチ ャ ルサーバに対し て ポート 変換を オ フ にする には ワ イ ル ド カー ド ポー ト を使用 し て ワ イ ル ド カー ド バーチ ャ ルサーバ を定義 し た後、 そのバーチ ャ ルサーバに対 し て ポー ト 変換が無効に な っ てい る こ と を確認す る 必要があ り ます。 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Servers] 画面が開 き ます。 2. [Name] カ ラ ム で、 ポー ト 変換を オ フ にす る バーチ ャ ルサーバ を ク リ ッ ク し ます。 [Virtual Servers] 画面が開 き ます。 3. [Enable Translation] セ ク シ ョ ン で、 [Port] ボ ッ ク ス がオ フ に な っ てい る こ と を確認 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 2 - 13 第2章 バーチ ャルサーバの設定 バーチ ャルサーバと 仮想ア ド レ スの設定について バーチ ャ ルサーバ と そのバーチ ャ ルサーバア ド レ ス には、設定可能な プ ロ パテ ィ お よ び設定が数多 く あ り 、 こ れ ら を 設定す る こ と でバー チ ャ ルサーバに よ る ト ラ フ ィ ッ ク の管理方法に影響を与え る こ と が で き ます。 ま た、 バーチ ャ ルサーバに特定の リ ソ ース ( ロ ー ド バ ラ ン シ ン グプール、 パーシ ス テ ン ス プ ロ フ ァ イ ルな ど) を割 り 当て る こ と も で き ます。 こ れ ら のプ ロ パテ ィ 、 設定、 お よ び リ ソ ース を組み合わ せて、 バーチ ャ ルサーバ ま たはその ア ド レ ス の定義 を表 し ま す。 ま た、 そのほ と ん ど にデフ ォ ル ト 値があ り ます。 バーチ ャ ルサーバを作 成す る 際は、 デフ ォ ル ト 値を その ま ま使用す る こ と も 、 必要に応 じ て 調整す る こ と も で き ます。 次の項では、バーチ ャ ルサーバお よ び仮想ア ド レ ス を定義す る プ ロ パ テ ィ 、 構成設定、 お よ び リ ソ ース をすべて列挙 し 、 説明 し ます。 バーチ ャ ルサーバの作成方法については、「バーチ ャ ルサーバの作成」 (2-11 ページ) を参照 し て く だ さ い。 バーチ ャ ルサーバの設定 設定ユー テ ィ リ テ ィ で、 バーチ ャ ルサーバの設定は、 汎用プ ロ パ テ ィ 、 構成設定 (基本お よ び詳細) 、 お よ び リ ソ ース (基本お よ び詳 細) の 3 つのカ テ ゴ リ に分類 さ れてい ます。 次の項では、 こ れ ら 3 つ のカ テ ゴ リ に含まれ る 設定について説明 し ます。 汎用プ ロパテ ィ バーチ ャ ルサーバを作成す る 際には、い く つかの汎用プ ロ パテ ィ を定 義 し ます。表 2.1 に、 こ れ ら の汎用プ ロ パテ ィ を列挙 し て説明 し ます。 プ ロパテ ィ 説明 デフ ォル ト 値 Name バーチャ ルサーバに割り 当てる 一意の名前。こ のプロ パティ は必須です。 デフ ォ ル ト 値な し Destination Type 作成す る バーチ ャ ルサーバの タ イ プ と その IP ア ド レ ス。 選択 し た タ イ プが network の場合、 こ のプ ロ パテ ィ には IP ア ド レ ス のマ ス ク も 含ま れます。バーチ ャ ルサーバの タ イ プの詳細については、「バーチ ャ ルサー バの タ イ プについて 」 (2-5 ページ) を参照 し て く だ さ い。 こ のプ ロ パ テ ィ は必須です。 Host Destination Address バーチ ャ ルサーバの IP ア ド レ ス。 デフ ォ ル ト 値な し Destination Mask ネ ッ ト ワ ー ク バーチ ャ ルサーバの ネ ッ ト マ ス ク 。 こ の プ ロ パ テ ィ は、 ネ ッ ト ワ ー ク バーチ ャ ルサーバのみに適用 さ れ る も の で、 必須です。 ネ ッ ト マ ス ク は、 ホ ス ト ビ ッ ト が実際のゼ ロ であ る か ワ イ ル ド カー ド 表 現であ る か を明確に し ます。 デフ ォ ル ト 値な し Service Port ト ラ フ ィ ッ ク を ダ イ レ ク ト す る 対象のサービ ス名ま たはポー ト 番号。 こ のプ ロ パテ ィ は必須です。 デフ ォ ル ト 値な し 表 2.1 バーチ ャ ルサーバの汎用プ ロ パテ ィ 2 - 14 プ ロパテ ィ 説明 デフ ォル ト 値 State バーチ ャ ルサーバの状態 (Enabled ま たは Disabled) 。 オプシ ョ ン と し て、特定の VLAN に対 し てバーチ ャ ルサーバを有効ま たは無効にで き ま す。 バーチ ャ ルサーバを無効に し た場合、 そのバーチ ャ ルサーバは新 し い接続要求を受け付けな く な り ます。 ただ し 、 down 状態にな る 前に、 現 在の接続は処理を終了で き ます。 Enabled 注 : VLAN が指定 さ れていない場合、 Enabled ま たは Disabled 設定は、 すべての VLAN に適用 さ れます。 表 2.1 バーチ ャ ルサーバの汎用プ ロ パテ ィ (続 き) 構成設定 バーチ ャ ルサーバを作成す る 際には、 多数の設定を構成で き ます。 表 2.2 に、こ れ ら のバーチ ャ ルサーバの構成設定を列挙 し て説明 し ます。 こ れ ら の設定のすべてにデフ ォ ル ト 値が設定 さ れてい ます。こ れ ら の 設定は、 必要がなければ変更す る 必要はあ り ません。 設定 説明 デ フ ォル ト 値 Type バーチ ャ ルサーバ設定の タ イ プ。 選択肢は、 [Standard]、 [IP Forwarding (IP)]、 [Forwarding (Layer 2)]、 [Performance (HTTP)]、 [Performance (Layer 4)]、 お よ び [Reject] です。 詳細については、 「バーチ ャ ルサーバ お よ び仮想ア ド レ ス の概要」 (2-1 ページ) を参照 し て く だ さ い。 [Reject] に設定 し た場合、BIG-IP はバーチ ャ ルサーバの IP ア ド レ ス が宛先にな っ てい る ト ラ フ ィ ッ ク をすべて拒否 し ます。 Standard Protocol バーチ ャ ルサーバで ト ラ フ ィ ッ ク を ダ イ レ ク ト す る 対象 と す る ネ ッ ト ワ ー ク プ ロ ト コ ル名。 サンプルプ ロ ト コ ル名は、 TCP お よ び UDP です。 TCP こ の機能の利点の 1 つは、複数の VPN 間で仮想プ ラ イ ベー ト ネ ッ ト ワー ク (VPN) ク ラ イ ア ン ト 接続を ロ ー ド バ ラ ン ス で き る ため、 シ ン グルポ イ ン ト 障害を防止で き る と い う こ と です。 こ の機能の標準的な用途は、 非変換バーチ ャ ルサーバを使用 し て、IPSEC VPN サン ド イ ッ チにおけ る 複数の VPN ゲー ト ウ ェ イ を ロ ー ド バ ラ ン スす る こ と です。 注目すべ き 重要な点は、 こ の よ う なプ ロ ト コ ルのア ド レ ス変換は、 オプ シ ョ ン で ア ク テ ィ ブにす る こ と がで き ま すが、 一部のプ ロ ト コ ル (AH モー ド の IPSEC な ど) は、 変更 さ れない ま ま の IP ヘ ッ ダに依存す る と い う こ と です。 そ う よ う な場合は、 非変換ネ ッ ト ワー ク バーチ ャ ルサー バを使用す る 必要があ り ます。 こ の設定は、 パ フ ォ ーマ ン ス (HTTP) タ イ プのバーチ ャ ルサーバを作 成す る 際には無効にな っ てい ます。 Protocol Profile (Client) 選択 さ れた プ ロ フ ァ イ ル を ク ラ イ ア ン ト 側のプ ロ フ ァ イ ル と し て指定 す る 設定。 TCP 接続 と UDP 接続のみに適用 さ れます。 パフ ォ ーマ ン ス (HTTP) タ イ プのバーチ ャ ルサーバを作成す る 場合、 こ の値は fasthttp に設定 さ れ、 変更す る こ と はで き ません。 同様に、 パフ ォーマ ン ス (レ イ ヤ 4) タ イ プのバーチ ャ ルサーバを作成す る 場合、 こ の値は fastl4 に 設定 さ れ、 変更す る こ と はで き ません。 詳細については、 第 8 章 「プ ロ ト コ ルプ ロ フ ァ イ ルの管理」 を参照 し て く だ さ い。 TCP Protocol Profile (Server) 選択 さ れた プ ロ フ ァ イ ル を サーバ側のプ ロ フ ァ イ ル と し て指定す る 設 定。 TCP 接続 と UDP 接続のみに適用 さ れます。 こ の設定は、 パフ ォ ー マ ン ス (HTTP) ま たはパフ ォーマ ン ス (レ イ ヤ 4) タ イ プのバーチ ャ ル サーバを作成す る 際には表示 さ れません。 詳細については、 第 8 章 「 プ ロ ト コ ルプ ロ フ ァ イ ルの管理」 を参照 し て く だ さ い。 (Use Client Profile) 表 2.2 バーチ ャ ルサーバの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 2 - 15 第2章 バーチ ャルサーバの設定 設定 説明 デフ ォル ト 値 OneConnect Profile 接続のパーシ ス テ ン ス を管理す る ための既存の OneConnectTM プ ロ フ ァ イ ルの名前。 こ の設定は、 パフ ォーマ ン ス (HTTP) ま たはパフ ォ ーマ ン ス (レ イ ヤ 4) タ イ プのバーチ ャ ルサーバを作成す る 際には表示 さ れま せん。 oneconnect 重要 : OneConnect プ ロ フ ァ イ ルの Maximum Size の設定は、 バーチ ャ ル サーバのアベ イ ラ ビ リ テ ィ に影響を及ぼ し ます。 詳細については、 第 11 章 「その他のプ ロ フ ァ イ ルの使用」 を参照 し て く だ さ い。 NTLM Conn Pool 既存の NTLM プ ロ フ ァ イ ルの名前 OneConnect プ ロ フ ァ イ ル と 組み合わ せて使用す る 場合、 NTLM プ ロ フ ァ イ ルは NT Lan Manager (NTLM) ト ラ フ ィ ッ ク のサーバ側の接続をプール し ます。 None HTTP Profile HTTP ト ラ フ ィ ッ ク を管理す る ための既存の HTTP プ ロ フ ァ イ ルの名前。 こ の設定は、 パフ ォ ーマ ン ス (HTTP) ま たはパフ ォ ーマ ン ス (レ イ ヤ 4) タ イ プのバーチ ャ ルサーバを作成す る 際には表示 さ れません。 詳細につ いては、 第 6 章 「 アプ リ ケーシ ョ ン層 ト ラ フ ィ ッ ク の管理」 を参照 し て く だ さ い。 None FTP Profile FTP ト ラ フ ィ ッ ク を管理す る ための既存の FTP プ ロ フ ァ イ ルの名前。 こ の設定は、 パフ ォ ーマ ン ス (HTTP) ま たはパフ ォ ーマ ン ス (レ イ ヤ 4) タ イ プのバーチ ャ ルサーバを作成す る 際には表示 さ れません。 詳細につ いては、 第 6 章 「 アプ リ ケーシ ョ ン層 ト ラ フ ィ ッ ク の管理」 を参照 し て く だ さ い。 None SSL Profile (Client) ク ラ イ ア ン ト 側の SSL ト ラ フ ィ ッ ク を管理す る ための既存の SSL プ ロ フ ァ イ ルの名前。 こ の設定は、 パフ ォ ーマ ン ス (HTTP) ま たはパフ ォ ー マ ン ス (レ イ ヤ 4) タ イ プのバーチ ャ ルサーバを作成す る 際には表示 さ れません。 詳細については、 第 9 章 「SSL ト ラ フ ィ ッ ク の管理」 を参照 し て く だ さ い。 None SSL Profile (Server) サーバ側の SSL ト ラ フ ィ ッ ク を管理す る ための既存の SSL プ ロ フ ァ イ ルの名前。 こ の設定は、 パ フ ォ ーマ ン ス (HTTP) ま たはパ フ ォ ーマ ン ス (レ イ ヤ 4) タ イ プのバーチ ャ ルサーバを作成す る 際には表示 さ れま せん。 詳細については、 第 9 章 「SSL ト ラ フ ィ ッ ク の管理」 を参照 し て く だ さ い。 None Authentication Profile 認証 メ カ ニズ ム を管理す る ための既存の認証プ ロ フ ァ イ ルの名前。 例 と し て、 リ モー ト LDAP ま たは RADIUS サーバがあ り ます。 こ の設定は、 パ フ ォ ーマ ン ス (HTTP) ま たはパ フ ォ ーマ ン ス (レ イ ヤ 4) タ イ プの バーチ ャ ルサーバを作成す る 際には表示 さ れ ま せん。 詳細については、 第 10 章 「 アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証」 を参照 し て く だ さ い。 None Stream Profile デー タ ス ト リ ーム内 (TCP 接続な ど) で文字列を検索お よ び置換す る と き に使用す る 、既存の Stream プ ロ フ ァ イ ルの名前。こ の設定は、パフ ォ ー マ ン ス (HTTP) ま たはパフ ォ ーマ ン ス (レ イ ヤ 4) タ イ プのバーチ ャ ル サーバを作成す る 際には表示 さ れません。 詳細については、 第 11 章 「 そ の他のプ ロ フ ァ イ ルの使用」 を参照 し て く だ さ い。 None RTSP 既存の RTSP プ ロ フ ァ イ ルの名前 Real Time Streaming Protocol (RTSP) は ス ト リ ー ミ ン グ メ デ ィ ア プ レ ゼ ン テーシ ョ ン用のプ ロ ト コ ルで あ り 、 ク ラ イ ア ン ト シ ス テ ムは RTSP を使用す る こ と で、 リ モー ト の ス ト リ ー ミ ン グ メ デ ィ アサーバを制御 し 、 サーバ上の フ ァ イ ルへの時間ベース の ア ク セ ス を可能に し ます。 None SMTP 既存の SMTP プ ロ フ ァ イ ルの名前 SMTP プ ロ フ ァ イ ルは Simple Mail Transport Protocol (SMTP) に関連す る プ ロ フ ァ イ ルです。 こ の設定は Protocol Security Module の ラ イ セ ン ス があ る 場合にのみ表示 さ れます。詳 None 細については、 『Configuration Guide for BIG-IP® Protocol Security Module』 を参照 し て く だ さ い。 表 2.2 バーチ ャ ルサーバの設定 (続 き ) 2 - 16 設定 説明 デ フ ォル ト 値 SIP Profile SIP ト ラ フ ィ ッ ク を管理す る 既存の SIP プ ロ フ ァ イ ルの名前。 詳細につ いては、 「SIP プ ロ フ ァ イ ルの設定」 (6-40 ページ) を参照 し て く だ さ い。 なお、 [SIP Profile] オプシ ョ ンは、 Standard タ イ プのバーチ ャ ルサーバ でのみ指定で き ます。 None Statistics Profile VLAN Traffic 統計情報プ ロ フ ァ イ ルの名前。 詳細については、 第 11 章 「 その他のプ ロ フ ァ イ ルの使用」 を参照 し て く だ さ い。 バーチ ャ ルサーバを有効ま たは無効にす る 対象の VLAN の名前。 VLAN stats ALL VLANS の詳細については、 『TMOS® Management Guide for BIG-IP® Systems』 を 参照 し て く だ さ い。 Rate Class 着信ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク の ス ループ ッ ト ポ リ シー を実施す る た めに使用 さ れ る 、 既存の レー ト ク ラ ス の名前。 詳細については、 第 16 章 「 レー ト シ ェーピ ン グの設定」 を参照 し て く だ さ い。 None Traffic Class バーチ ャ ル サーバ に 割 り 当 て る ト ラ フ ィ ッ ク ク ラ ス の リ ス ト 。 ト ラ フ ィ ッ ク ク ラ ス で定義 さ れ た 基準 を 満 た す あ ら ゆ る ト ラ フ ィ ッ ク フ ロ ーに対 し て、 分類 ID に よ る タ グ付けが行われます。 詳 し く は第 15 章 「 ト ラ フ ィ ッ ク ク ラ ス の設定」 を参照 し て く だ さ い。 デフ ォ ル ト 値な し Connection Limit バーチ ャ ルサーバに許可 さ れた同時接続の最大数。 0 に設定す る と 、 コ ネ ク シ ョ ン リ ミ ッ ト がオ フ にな り ます。 0 Connection Mirroring 冗長ペアのア ク テ ィ ブユニ ッ ト か ら 予備ユニ ッ ト へ、 接続を ミ ラ ー リ ン グす る 設定。こ の設定は、高い信頼性を保証 し ますが、シ ス テ ムパフ ォ ー マ ン ス に影響を及ぼ し ます。 無効 (チ ェ ッ ク さ れていない) 重要 : 再起動処理の後 も 、 予備ユニ ッ ト が ミ ラ ー接続を維持す る ため、 パフ ォーマ ン ス (レ イ ヤ 4)バーチ ャ ルサーバでのみコ ネ ク シ ョ ン ミ ラ ー リ ン グ を有効にす る こ と をお勧め し ま す。 (詳細については、 こ の表の Type の設定 と 、 「バーチ ャ ルサーバ と は」 (2-1 ページ) を参照 し て く だ さ い)。 ま た、 コ ネ ク シ ョ ン ミ ラ ー リ ン グの専用帯域を確保する ため、 ピ アユニ ッ ト 間にダ イ レ ク ト リ ン ク ( ト ラ ン ク ) を設定する こ と をお勧め し ます。 こ れに よ り 、 パフ ォーマ ン ス の問題や ミ ラ ー リ ン グ さ れた情報 の損失を防ぐ こ と がで き ます。 Address Translation BIG-IP 上のア ド レ ス変換を有効ま たは無効にす る 設定。 こ のオプシ ョ ン は、 BIG-IP が同 じ IP ア ド レ ス を持つデバ イ ス を ロ ー ド バ ラ ン スす る 際 に便利です。 複数サーバのループバ ッ ク デバ イ ス上で重複 し た IP ア ド レ ス が設定 さ れてい る 、 nPath ルーテ ィ ン グ設定で よ く 使用 さ れます。 有効 (チ ェ ッ ク あ り ) Port Translation BIG-IP でのポー ト 変換を有効ま たは無効にす る 設定。バーチ ャ ルサーバ を使用 し て任意のサー ビ ス への接続 を ロ ー ド バ ラ ン ス す る 必要が あ る 場合、 バーチ ャ ルサーバのポー ト 変換をオ フ にす る と 便利です。 有効 (チ ェ ッ ク あ り ) 表 2.2 バーチ ャ ルサーバの設定 (続き ) BIG-IP® Local Traffic Management 設定ガ イ ド 2 - 17 第2章 バーチ ャルサーバの設定 設定 説明 デフ ォル ト 値 Source Port 接続の送信元ポー ト を保持す る か ど う か を指定 し ます。 指定で き る 値は 次の と お り です。 Preserve Preserve: 特定のSNATか ら の送信元ポー ト がすでに使用 さ れてい る 場合 を除 き 、 その送信元ポー ト 用に設定 し た値が保持 さ れます。 そのポー ト が使用 さ れてい る 場合は、 別のポー ト が使われます。 Preserve Strict: その送信元ポー ト 用に設定 し た値が保持 さ れます。 ポー ト が使用 さ れてい る 場合、 接続の処理は行われません。 ポー ト がほかの 接続に よ っ て使用 さ れてい る 場合、 シ ス テ ムはその送信元ポー ト を使用 す る も のの、 その送信元ポー ト を 共有す る 接続の ト ラ フ ィ ッ ク を 宛先 サーバが区別す る こ と はで き ません。 F5 では、 以下のいずれかにあ ては ま る 場合は、 こ の設定の使用を制限す る こ と を推奨 し てい ます。 • ポー ト が UDP ト ラ フ ィ ッ ク 用に設定 さ れてい る 。 • シ ス テ ムが nPath ルーテ ィ ン グ用の設定にな っ てい る 、 も し く は透過 モー ド で動作 し てい る (つま り 、 ほかの レ イ ヤ 3 フ ィ ール ド やレ イ ヤ 4 フ ィ ール ド の変換が行われない)。 • 仮想 IP アド レ ス と ノ ード アド レ ス が 1 対 1 で割り 当てら れている 、も し く はク ラ ス タ リ ン グマルチプロ セッ シン グ (CMP) が無効になっ ている 。 Change: 送信元ポー ト が変更 さ れます。 こ の設定は、 内部ネ ッ ト ワ ー ク ア ド レ ス を難読化す る のに有効です。 SNAT Pool 既存の SNAT プール を バーチ ャ ルサーバに割 り 当 て る か、 も し く は Automap 機能を有効に し ます。 こ の設定を使用す る 場合、 BIG-IP はバー チ ャ ルサーバを経由す る すべてのオ リ ジナル送信元 IP ア ド レ ス を、 そ の SNAT プールの ア ド レ ス に自動でマ ッ プ し ま す。 指定で き る 値は、 None、 Auto Map、 ま たは既存の SNAT プールの名前 と な っ てい ま す。 詳細については、 第 14 章 「SNAT の設定」 を参照 し て く だ さ い。 None Clone Pool (Client) 侵入検知に使用さ れる 機能であ り 、 設定し た 場合、 (ア ド レ ス 変換の前 に) バーチャ ルサーバによ っ てク ラ イ ア ン ト 側のト ラ フ ィ ッ ク が、 指定 さ れたク ロ ーン プールのメ ン バに複製さ れま す。 ク ロ ーン プールは、 通 常のプールと 同じ ト ラ フ ィ ッ ク を 受信し ま す。し たがっ て、ク ロ ーン プー ルを 使っ て検知シス テム にト ラ フ ィ ッ ク を 複製する こ と ができ ま す。 None Clone Pool (Server) を設定す る こ と も 可能です。 Clone Pool (Server) 侵入検知に使用 さ れ る 機能で あ り 、 設定 し た場合、 (ア ド レ ス 変換の後 に) バーチ ャ ルサーバに よ っ てサーバ側の ト ラ フ ィ ッ ク が、 指定 さ れた ク ロ ー ン プールの メ ン バに複製 さ れ ま す。 ク ロ ー ン プールは、 通常の プール と 同 じ ト ラ フ ィ ッ ク を受信 し ます。 し たが っ て、 ク ロ ーンプール を使っ て検知シ ス テ ムに ト ラ フ ィ ッ ク を 複製す る こ と がで き ます。 None Clone Pool (Client) を設定す る こ と も 可能です。 Last Hop Pool ラ ス ト ホ ッ ププールを使用 し て、 ラ ス ト ホ ッ プルー タ に応答 ト ラ フ ィ ッ ク を ダ イ レ ク ト す る 設定。 こ の設定は auto_lasthop の設定を上書 き し ま す。 複数の ルー タ を 使用 し て BIG-IP に接続 を 送信 し て い る 場合は、 auto_lasthop グ ロ ーバル変数が有効にな っ てい る と (デフ ォ ル ト )、 接続 は 受 信 元 ル ー タ と 同 じ ル ー タ を 介 し て 自 動 的 に 送 信 さ れ ま す。 auto-lasthop か ら 1 つ以上のルー タ を除外す る 場合、 ま たはグ ロ ーバル auto_lasthop が何 ら かの理由で無効にな っ てい る 場合 (SSL ゲー ト ウ ェ イ が あ る 場 合 な ど) は、 ラ ス ト ホ ッ プ プ ー ル を 代 用 で き ま す (auto_lasthop が有効にな っ てい る 場合 も 、ラ ス ト ホ ッ ププールが優先 さ れます)。 ラ ス ト ホ ッ ププール を 設定す る 前に、 ま ずルー タ 内部ア ド レ ス を 含む プールを作成す る 必要があ り ます。 表 2.2 バーチ ャ ルサーバの設定 (続 き ) 2 - 18 None リ ソ ース バーチ ャ ルサーバに各種の ト ラ フ ィ ッ ク プ ロ フ ァ イ ル を割 り 当て る 以外に、 プール、 iRule、 お よ び 2 つのパーシ ス テ ン ス プ ロ フ ァ イ ル を割 り 当て る こ と がで き ま す。 バーチ ャ ルサーバに割 り 当て る プー ル、 iRule、 お よ びパーシ ス テ ン ス プ ロ フ ァ イ ルは、 リ ソ ー ス と 呼ば れ ます。 ロ ー ド バ ラ ン シ ン グ タ イ プのバーチ ャ ルサーバを作成 し た場合、バー チ ャ ルサーバに割 り 当て る 必要があ る リ ソ ース の 1 つに、デフ ォ ル ト の ロ ー ド バ ラ ン シ ン グプールがあ り ます。 デフ ォ ル ト プールは、 別の プールを指定す る iRule が存在 し ない場合に、BIG-IP が ト ラ フ ィ ッ ク を送信す る プールです。 iRule を使用 し て、 ト ラ フ ィ ッ ク を プールへ ダ イ レ ク ト す る 場合、 こ の iRule を リ ソ ース と し てバーチ ャ ルサーバ に割 り 当て る 必要があ り ます。 表 2.3 に、 ロ ー ド バ ラ ン シ ン グバーチ ャ ルサーバに割 り 当て可能な特 定の リ ソ ース を列挙 し て説明 し ます。 Resource 説明 デフ ォル ト 値 iRules 接続の ロ ー ド バ ラ ン シ ン グ 中に バーチ ャ ル サーバ で使用す る 既存の iRules の リ ス ト 。 選択 し た iRules のすべてについて、 バーチ ャ ルサーバ 上で対応す る プ ロ フ ァ イ ルを設定す る 必要があ り ます。た と えば、HTTP コ マ ン ド を含む iRule を指定す る 場合は、 バーチ ャ ルサーバ上でデフ ォ ル ト ま たはカ ス タ ムの HTTP プ ロ フ ァ イ ルを設定す る 必要があ り ます。 同様に、 認証 iRule を実装す る 場合は、 デフ ォ ル ト ま たはカ ス タ ムの認 証プ ロ フ ァ イ ルを設定す る 必要があ り ます。 デフ ォ ル ト 値な し 実装す る iRule が [iRules] リ ス ト 内に表示 さ れない場合、その iRule は存 在 し ないので、まず作成す る 必要があ り ます。[iRules] 設定が [New Virtual Server] 画面に表示 さ れな い場合は、 ラ イ セ ン ス を 確認 し て く だ さ い。 iRules の詳細については、 第 17 章 「iRule の記述」 を参照 し て く だ さ い。 HTTP Class Profiles 接続の ロ ー ド バ ラ ン シ ン グ実行時にバーチ ャ ルサーバで使用す る 既存 の HTTP Class プ ロ フ ァ イ ルの リ ス ト 。 詳細については、 第 8 章 「プ ロ ト コ ルプ ロ フ ァ イ ルの管理」 を参照 し て く だ さ い。 デフ ォ ル ト 値な し Default Pool バーチャ ルサーバでデフ ォ ルト プールと し て 使用する プール名。 iRule によ っ て 別のプールにト ラ フ ィ ッ ク を 送信する よ う ダ イ レ ク ト さ れな いかぎ り 、 ロ ード バラ ン シ ン グ バーチャ ルサーバは、 こ のプールにト ラ フ ィ ッ ク を 自動的に送信し ま す。 詳細について は、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を 参照し て く ださ い。 デフ ォ ル ト 値な し Default Persistence Profile BIG-IP で使用す る パー シ ス テ ン ス の タ イ プ。 こ の設定は、 Standard、 Performance (HTTP)、 Performance (Layer 4) のバーチ ャ ルサーバでのみ 指定す る こ と がで き ます。 詳細については、 第 7 章 「 セ ッ シ ョ ンパーシ ス テ ン ス の有効化」 を参照 し て く だ さ い。 None Fallback Persistence Profile 指定 さ れたデフ ォ ル ト パーシ ス テ ン ス を使用で き ない場合に、BIG-IP で 使用す る パーシ ス テ ン ス の タ イ プ。 こ の設定で使用で き る パーシ ス テ ン ス プ ロ フ ァ イ ルは、 Source Address Affinity と Destination Address Affinity の 2 種類 と な っ てお り 、 ほかに None と 指定す る こ と も 可能です。 こ の 設定は、 Standard、 Performance (HTTP)、 Performance (Layer 4) のバー チ ャ ルサーバでのみ指定す る こ と がで き ます。 詳細については、 第 7 章 「 セ ッ シ ョ ンパーシ ス テ ン ス の有効化」 を参照 し て く だ さ い。 None 表 2.3 ロ ー ド バ ラ ン シ ン グバーチ ャ ルサーバに割 り 当て ら れ る リ ソ ース BIG-IP® Local Traffic Management 設定ガ イ ド 2 - 19 第2章 バーチ ャルサーバの設定 仮想ア ド レ スの設定 設定ユーテ ィ リ テ ィ では、仮想ア ド レ ス のプ ロ パテ ィ お よ び設定が表 示 さ れ ます。 表 2.4 に、 仮想ア ド レ ス の汎用プ ロ パテ ィ お よ び構成設 定を列挙 し て説明 し ます。 プ ロパテ ィ 説明 デフ ォル ト 値 Address バーチ ャ ルサーバの IP ア ド レ ス。 サービ ス は含みません。 デフ ォ ル ト 値な し Unit ID こ のア ド レ ス を適用す る 冗長ペアユニ ッ ト の ID。 1 Availability サービ ス チ ェ ッ ク に基づいた仮想ア ド レ ス のアベ イ ラ ビ リ テ ィ 。 デフ ォ ル ト 値な し State 仮想ア ド レ ス の状態 (enabled ま たは disabled)。 Enabled Advertise Route BIG-IP が こ の仮想ア ド レ ス を ア ド バン ス ド ルーテ ィ ン グ モジ ュ ールに ア ド バ タ イ ズす る ためのバーチ ャ ルサーバの条件。 こ の設定は、 [Route Advertisement] 設定が有効 (チ ェ ッ ク あ り ) にな っ てい る 場合にのみ適 用 さ れます。 指定で き る 値は次の と お り です。 When any virtual server is available (いずれかのバー チ ャ ルサーバが利 用可能な場合) When any virtual server is available (いずれかのバーチ ャ ルサーバが利 用可能な場合) When all virtual server(s) are available (すべてのバーチ ャ ルサーバが利 用可能な場合) Always (常時) Connection Limit こ の仮想ア ド レ ス で BIG-IP に許可 さ れてい る 同時接続の数。 0 ARP 仮想ア ド レ ス の ARP 要求を有効ま たは無効にす る 設定。 無効にな っ て い る 場合、 BIG-IP は、 こ の仮想ア ド レ ス で他のルー タ が送信 し た ARP 要求を無視 し ます。 有効 (チ ェ ッ ク さ れてい る ) Route Advertisement こ の仮想ア ド レ ス へのルー ト を カーネルルーテ ィ ン グ テーブルに挿入 し 、 ア ド バ ン ス ド ルーテ ィ ン グ モ ジ ュ ールが該当す る ルー ト を ネ ッ ト ワ ー ク 上の他のルー タ に再配分で き る よ う にす る 設定。 有効 (チ ェ ッ ク さ れてい る ) 表 2.4 仮想ア ド レ ス の汎用プ ロ パテ ィ と 構成設定 2 - 20 バーチ ャルサーバおよび仮想ア ド レ スの管理 一般に、 バーチ ャ ルサーバお よ び仮想ア ド レ ス を管理す る 際は、 既存 のバーチ ャ ルサーバ ま たは仮想ア ド レ ス の設定を表示す る 必要が あ り ます。 ま た、 場合に よ っ ては、 バーチ ャ ルサーバを削除す る 必要 も あ り ます。 作成 し たバーチ ャ ルサーバで作業す る 場合、 次の こ と を行え ます。 • バーチ ャ ルサーバの設定を表示ま たは変更す る 。 • 仮想ア ド レ ス の設定を表示ま たは変更す る 。 • バーチ ャ ルサーバ と 仮想ア ド レ ス の ス テー タ ス を表示す る 。 • バーチ ャ ルサーバ ま たは仮想ア ド レ ス を有効ま たは無効にす る 。 • バーチ ャ ルサーバ ま たは仮想ア ド レ ス を削除す る 。 注 ユーザ ロ ール と パーテ ィ シ ョ ン ア ク セ ス割 り 当てに基づいて、管理が 許可 さ れてい る バーチ ャ ルサーバ と 仮想ア ド レ ス だけ を操作で き ま す。 Administrator、 Resource Administrator、 ま たは Manager ロ ールが 割 り 当て ら れてい る ユーザア カ ウ ン ト にかぎ り 、バーチ ャ ルサーバ と 仮想ア ド レ ス を管理す る こ と がで き ます。 バーチ ャルサーバの設定の表示または変更 場合に よ っ ては、 バーチ ャ ルサーバの設定を調整す る か、 新 し いバー チ ャ ルサーバ を作成す る か を 決定す る 必要が あ り ま す。 バーチ ャ ル サーバの設定を表示す る 場合、 以下の処理を実行で き ます。 • バーチ ャ ルサーバの リ ス ト を表示す る 。 • バーチ ャ ルサーバのプ ロ パテ ィ と 設定を表示ま たは変更す る 。 • バーチ ャ ルサーバの リ ソ ース を表示す る 。 • バーチ ャ ルサーバの統計情報を表示す る 。 バーチ ャ ルサーバの リ ス ト の表示 ユーザが表示を 許可 さ れてい る 既存のバーチ ャ ルサーバの リ ス ト を 表示で き ま す。 バーチ ャ ルサーバの リ ス ト を表示す る 場合は、 設定 ユーテ ィ リ テ ィ に よ っ て、各バーチ ャ ルサーバに関す る 次の情報が表 示 さ れ ます。 • 状態 • バーチ ャ ルサーバの名前 • バーチ ャ ルサーバが存在す る パーテ ィ シ ョ ン • 宛先 (仮想ア ド レ ス) • サービ ス ポー ト • バーチ ャ ルサーバの タ イ プ • リ ソ ース (関連付け ら れたプール、 HTTP Class プ ロ フ ァ イ ル、 iRules、 お よ びパーシ ス テ ン ス プ ロ フ ァ イ ル) BIG-IP® Local Traffic Management 設定ガ イ ド 2 - 21 第2章 バーチ ャルサーバの設定 注 BIG-IP GTM が稼働し 、 かつリ ス ナが設定さ れている 場合、 そのリ ス ナ は BIG-IP LTM のバーチャ ルサーバの一覧にバーチャ ルサーバと し て表 示さ れま す。 バーチャ ルサーバのリ スト を 表示する には ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、 [Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 こ れで、 [Virtual Servers] 画面が開 き 、 バーチ ャ ルサーバの リ ス ト が表 示 さ れ ます。 バーチ ャ ルサーバプ ロパテ ィ の表示または変更 バーチ ャ ルサーバのプ ロ パテ ィ (バーチ ャ ルサーバに割 り 当て ら れて い る プ ロ フ ァ イ ル タ イ プな ど) を表示で き ます。 ただ し 、 表示で き る のは、 ユーザが表示を 許可 さ れた既存のバーチ ャ ルサーバのプ ロ パ テ ィ だけです。 バーチャ ルサーバプ ロ パテ ィ を 表示ま たは変更する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Servers] 画面が開 き ます。 2. [Name] カ ラ ム で、バーチ ャ ルサーバの名前を ク リ ッ ク し ます。 選択 し たバーチ ャ ルサーバのプ ロ パテ ィ が表示 さ れ ます。 3. バーチ ャ ルサーバのプ ロ パテ ィ を変更す る には、 以下の手順 を実行 し ます。 a) 画面でプ ロ パテ ィ を見つけ、 その値を変更 し ます。 b) [Update] を ク リ ッ ク し ます。 バーチ ャ ルサーバ リ ソ ースの表示または変更 バーチ ャ ルサーバへの リ ソ ー ス と し て割 り 当て ら れてい る デ フ ォ ル ト プール、 デフ ォ ル ト のパーシ ス テ ン ス プ ロ フ ァ イ ル、 お よ びフ ォ ー ルバ ッ ク パーシ ス テ ン ス を表示で き ます。 ま た、 バーチ ャ ルサーバに 関連付け ら れてい る iRule も すべて表示で き ます。 こ れ ら の リ ソ ース を表示す る 手順は、 次の と お り です。 バーチャ ルサーバリ ソ ースを 表示ま たは変更する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Servers] 画面が開 き ます。 2. バーチ ャ ルサーバの名前を ク リ ッ ク し ます。 選択 し たバーチ ャ ルサーバのプ ロ パテ ィ が表示 さ れ ます。 3. メ ニ ュ ーバーで [Resources] を ク リ ッ ク し ます。 選択 し たバーチ ャ ルサーバの追加の設定が表示 さ れ ます。 4. [Load Balancing] セ ク シ ョ ン で、 バーチ ャ ルサーバの リ ソ ース を その ま ま使用す る か変更 し ます。 2 - 22 5. [Update] を ク リ ッ ク し ます。 6. iRule ま たは HTTP Class プ ロ フ ァ イ ルの割 り 当て を変更す る 場 合は、 対応す る [Manage] ボ タ ン を ク リ ッ ク し ます。 7. 既存の iRule ま たは HTTP Class プ ロ フ ァ イ ルを有効化 / 無効化 す る には、 [Move] ボ タ ン (<< ま たは >>) を使用 し ます。 8. [Finished] を ク リ ッ ク し ます。 バーチ ャ ルサーバの統計情報の表示 設定ユーテ ィ リ テ ィ を使用 し て、既存のバーチ ャ ルサーバの統計情報 を表示で き ます。 バーチャ ルサーバの統計情報を 表示する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Server] 画面が開 き ます。 2. [Name] カ ラ ム で、バーチ ャ ルサーバの名前を ク リ ッ ク し ます。 3. [Statistics] メ ニ ュ ーか ら [Virtual Server] を選択 し ます。 バーチ ャ ルサーバの統計情報が表示 さ れ ます。 仮想ア ド レ スの設定の表示または変更 仮想アド レ ス 設定を 表示ま たは変更し たい場合があり ま す。こ のよ う な 場合、 以下のよ う に、 仮想アド レ ス の設定を 操作する こ と ができ ま す。 • 仮想ア ド レ ス の リ ス ト を表示す る 。 • 仮想ア ド レ ス プ ロ パテ ィ を表示ま たは変更す る 。 • 仮想ア ド レ ス統計情報を表示す る 。 仮想ア ド レ スの リ ス ト の表示 作成 し た既存の仮想ア ド レ ス の リ ス ト を表示 し て、任意の設定を調整 で き ます。 仮想ア ド レ ス の リ ス ト を表示す る 場合は、 設定ユーテ ィ リ テ ィ に よ っ て、 そのア ド レ ス の状態 (enabled ま たは disabled) も 表 示 さ れます。 仮想ア ド レ ス のリ ス ト を 表示する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Servers] 画面が開 き ます。 2. メ ニ ュ ーバーで [Virtual Address List] を ク リ ッ ク し ます。 既存の仮想ア ド レ ス の リ ス ト が表示 さ れます。 仮想ア ド レ ス プ ロパテ ィ の表示または変更 仮想ア ド レ ス のプ ロ パテ ィ を表示す る 手順は、 次の と お り です。 BIG-IP® Local Traffic Management 設定ガ イ ド 2 - 23 第2章 バーチ ャルサーバの設定 仮想ア ド レ スプ ロ パテ ィ を 表示ま たは変更する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Servers] 画面が開 き ます。 2. メ ニ ュ ーバーで [Virtual Address List] を ク リ ッ ク し ます。 既存の仮想ア ド レ ス の リ ス ト が表示 さ れます。 3. [Address] カ ラ ム で仮想ア ド レ ス を ク リ ッ ク し ます。 選択 し た仮想ア ド レ ス のプ ロ パテ ィ が表示 さ れ ます。 4. 仮想ア ド レ ス のプ ロ パテ ィ を変更す る には、 以下の手順を実 行 し ます。 a) 画面でプ ロ パテ ィ を見つけ、 その値を変更 し ます。 b) [Update] を ク リ ッ ク し ます。 仮想ア ド レ スの統計情報の表示 設定ユーテ ィ リ テ ィ を使用 し て、既存の仮想ア ド レ ス の統計情報を表 示で き ます。 仮想ア ド レ スの統計情報を 表示する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Servers] 画面が開 き ます。 2. メ ニ ュ ーバーで [Virtual Address List] を ク リ ッ ク し ます。 既存の仮想ア ド レ ス の リ ス ト が表示 さ れます。 3. [Statistics] メ ニ ュ ーか ら [Virtual Address] を選択 し ます。 仮想ア ド レ ス の統計情報が表示 さ れ ます。 バーチ ャ ルサーバ と 仮想ア ド レ スのス テー タ スについて 設定ユーテ ィ リ テ ィ を使用 し て、バーチ ャ ルサーバ ま たは仮想ア ド レ ス の ス テー タ ス を いつで も 確認で き ま す。 こ の情報は、 バーチ ャ ル サーバ ま たは仮想ア ド レ ス の リ ス ト を表示 し て、 [Status] カ ラ ム を確 認す る か、 オブジ ェ ク ト の Availability プ ロ パテ ィ を確認す る こ と で 把握で き ます。 設定ユーテ ィ リ テ ィ では、複数のア イ コ ン のいずれかで ス テー タ ス を 示 し ます。 こ れ ら のア イ コ ンは、 色や形で区別で き ます。 • ア イ コ ン の 形 は、 該当す る ノ ー ド でモニ タ か ら レ ポー ト さ れた ス テー タ ス を示 し ます。 • ア イ コ ンの色は、 ノ ー ド の実際の ス テー タ ス を示 し ます。 ス テー タ ス について こ れ ら のア イ コ ン を確認す る には、 表 2.5 を参照 し て く だ さ い。 設定ユーテ ィ リ テ ィ 内でア イ コ ン を表示す る には、 こ のページの 「バーチ ャ ルサーバプ ロ パテ ィ を表示 ま たは変更す る に は」 (2-22 ページ) お よ び 「仮想ア ド レ ス プ ロ パテ ィ を表示ま たは変 更す る には」 (2-24 ページ) 参照 し て く だ さ い。 2 - 24 ス テー タ ス イ ン ジケー タ 説明 バーチ ャ ルサーバ ま たは仮想ア ド レ ス が有効にな っ てお り 、 ト ラ フ ィ ッ ク を受け入れ る こ と がで き ます。 バーチ ャ ルサーバ ま たは仮想ア ド レ ス が有効に な っ て い ま すが、 現在利用で き ま せん。 た だ し 、 ユーザが処理 を 実行 し な く て も 、 バーチ ャ ルサーバ ま たは仮想ア ド レ ス が後で使用可能にな る 場合 があ り ます。 バーチ ャ ルサーバ ま たは仮想ア ド レ ス が こ の ス テー タ ス を示す例 と し て、 オブジ ェ ク ト の コ ネ ク シ ョ ン リ ミ ッ ト を超え てい る 場合 が あげ ら れ ま す。 接続数が設定 し た制限以下にな る と 、 バーチ ャ ルサーバ ま たは仮想ア ド レ ス が再び利用可能にな り ます。 バーチ ャ ルサーバ ま たは仮想ア ド レ ス が有効に な っ て い ま すが、 関連付け ら れたオブジ ェ ク ト で こ のバーチ ャ ルサーバ ま たは仮想 ア ド レ ス が利用不可 と マー ク さ れた ため、 オ フ ラ イ ン にな っ てい ま す。 バーチ ャ ルサーバ ま たは仮想ア ド レ ス が ト ラ フ ィ ッ ク を受 信で き る よ う に ス テー タ ス を変更す る には、 バーチ ャ ルサーバ ま たは仮想ア ド レ ス を ア ク テ ィ ブに有効化す る 必要があ り ます。 バ ー チ ャ ル サ ー バ ま た は 仮 想 ア ド レ ス は 稼 働 し て い ま す が、 Disabled に設定 さ れてい ます。 通常の動作に復帰す る には、 手動 でバーチ ャ ルサーバ ま たは仮想ア ド レ ス を有効にす る 必要があ り ます。 バーチ ャ ルサーバま たは仮想ア ド レ ス の ス テー タ ス が不明です。 表 2.5 バーチ ャ ルサーバお よ び仮想ア ド レ ス に対す る ス テー タ ス ア イ コ ンの説明 バーチ ャルサーバまたは仮想ア ド レ スの有効化 / 無効化 設定ユーテ ィ リ テ ィ を使用 し て、バーチ ャ ルサーバ ま たは仮想ア ド レ ス を いつで も 有効ま たは無効にで き ます。バーチ ャ ルサーバ ま たは仮 想ア ド レ ス を無効にす る と 、 BIG-IP では、 そのバーチ ャ ルサーバ ま たは仮想ア ド レ ス を タ ーゲ ッ ト と し た ト ラ フ ィ ッ ク を 処理で き な く な り ます。 まず最初に対応す る リ ス ト を設定ユーテ ィ リ テ ィ の画面に表示 し て、 バーチ ャ ルサーバ ま たは仮想ア ド レ ス の有効 / 無効を切 り 替え る こ と がで き ます。 バーチャ ルサーバを 有効ま たは無効にする には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Server] 画面が開 き ます。 2. [Name] カ ラ ム で、 有効ま たは無効す る バーチ ャ ルサーバの名 前を ク リ ッ ク し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 2 - 25 第2章 バーチ ャルサーバの設定 3. [State] 設定を見つけ ます。 こ の設定は、バーチ ャ ルサーバが現在有効にな っ てい る か、無 効にな っ てい る か を示 し ます。 4. リ ス ト 画面に戻 り ます。 5. [Select] カ ラ ム で、 バーチ ャ ルサーバ名に対応す る ボ ッ ク ス を ク リ ッ ク し ます。 6. [Enable] ま たは [Disable] を ク リ ッ ク し ます。 仮想ア ド レ スを 有効ま たは無効にする には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Server] 画面が開 き ます。 2. メ ニ ュ ーバーで [Virtual Address List] を ク リ ッ ク し ます。 既存の仮想ア ド レ ス の リ ス ト が表示 さ れます。 3. [Address] カ ラ ム で、 有効ま たは無効にす る 仮想ア ド レ ス を見 つけ ます。 [State] カ ラ ムは、仮想ア ド レ ス が現在有効にな っ てい る か、無 効にな っ てい る か を示 し ます。 4. [Select] カ ラ ム で、 仮想ア ド レ ス に対応す る ボ ッ ク ス を ク リ ッ ク し ます。 5. [Enable] ま たは [Disable] を ク リ ッ ク し ます。 バーチ ャ ルサーバまたは仮想ア ド レ スの削除 バーチャ ルサーバや仮想アド レ ス は、設定から 永久的に削除でき ま す。 バーチャ ルサーバを 削除する と 、 対応する 仮想ア ド レ ス は、 他のバー チャ ルサーバがその仮想ア ド レ ス に関連付けら れていない場合、 自動 的に削除さ れま す。 バーチャ ルサーバを 削除する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Server] 画面が開 き ます。 2. 削除す る バーチ ャ ルサーバの左側にあ る [Select] ボ ッ ク ス を チ ェ ッ ク し ます。 3. [Delete] を ク リ ッ ク し ます。 [Delete Confirmation] 画面が表示 さ れ ます。 4. [Delete] を ク リ ッ ク し ます。 こ れでバーチ ャ ルサーバが削除 さ れ ま し た。 仮想ア ド レ スを 削除する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Server] 画面が開 き ます。 2 - 26 2. メ ニ ュ ーバーで [Virtual Address List] を ク リ ッ ク し ます。 3. 削除す る 仮想ア ド レ ス の左側にあ る [Select] ボ ッ ク ス をチ ェ ッ ク し ます。 4. [Delete] を ク リ ッ ク し ます。 [Delete Confirmation] 画面が表示 さ れ ます。 5. [Delete] を ク リ ッ ク し ます。 こ れで仮想ア ド レ ス が削除 さ れます。 BIG-IP® Local Traffic Management 設定ガ イ ド 2 - 27 3 ノ ー ド の設定 • ノ ー ド の概要 • ノ ー ド の作成 と 変更 • ノ ー ド の設定 • ノ ー ド の管理 ノ ー ド の概要 ノ ー ド は、BIG-IP の論理オブジ ェ ク ト で、ネ ッ ト ワ ー ク の物理 リ ソ ー ス の IP ア ド レ ス を特定 し ます。 ノ ー ド は明示的に作成す る こ と も 、 ロ ー ド バ ラ ン シ ン グプールにプール メ ンバを追加す る 際に BIG-IP で 自動作成す る よ う に設定 こ と も 可能です。 ノ ー ド と プール メ ンバ と の違いは、 ノ ー ド はデバ イ ス の IP ア ド レ ス のみ (10.10.10.10) で指定 さ れますが、 プール メ ンバの宛先には IP ア ド レ ス と サービ ス (10.10.10:80 な ど) が含まれ る と い う 点です。 ノ ー ド の主要な機能は、 ヘル ス モニ タ と の関連付けです。 サーバの ス テー タ ス を判定す る 方法 と し て、 プール メ ンバ と 同様に、 ノ ー ド をヘ ル ス モニ タ に関連付け る こ と がで き ます。プール メ ンバのヘル ス モニ タ は、デバ イ ス上で実行中のサービ ス の ス テー タ ス を レ ポー ト し ます が、 ノ ー ド に関連付け ら れてい る ヘル ス モニ タ は、 デバ イ ス自体の ス テー タ ス を レ ポー ト し ます。 た と えば、 ICMP ヘル ス モニ タ がプール メ ンバ 10.10.10.10:80 に対応 す る ノ ー ド 10.10.10.10に関連付け ら れてお り 、モニ タ が ノ ー ド をdown 状態 と し て レ ポー ト す る 場合、 モニ タ はプール メ ンバ も down 状態 と し て レ ポー ト し ま す。 反対に、 モ ニ タ が ノ ー ド を up 状態 と し て レ ポー ト す る 場合は、 実行中のサービ ス の ス テー タ に応 じ て、 モニ タ は プール メ ンバを up ま たは down のいずれか と し て レ ポー ト し ます。 設定ユーテ ィ リ テ ィ を使用 し て ノ ー ド を作成 し た後、必要に応 じ て設 定を調整 し ます。 同 じ ユーテ ィ リ テ ィ を使用 し て、 ノ ー ド に関す る 情 報を表示 し た り 、 ノ ー ド を有効ま たは無効に し た り 、 ノ ー ド を削除す る こ と が可能です。 BIG-IP® Local Traffic Management 設定ガ イ ド 3-1 第3章 ノ ー ド の設定 ノ ー ド の作成 と 変更 ノ ー ド は、ロ ー ド バ ラ ン シ ン グプールを作成す る ための基礎 と な り ま す。 ロ ー ド バ ラ ン シ ン グプールに含め る 任意のサーバについて、 まず ノ ー ド を作成す る (そのサーバを ノ ー ド と し て指定す る ) 必要があ り ます。 サーバを ノ ー ド と し て指定 し た後、 その ノ ー ド を プール メ ンバ と し てプールに追加で き ます。 ま た、 ヘル ス モニ タ を ノ ー ド に関連付 けて、 そのサーバの ス テー タ ス を レ ポー ト す る こ と も で き ます。 ロ ー ド バ ラ ン シ ン グプールへの ノ ー ド の追加については、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を参照 し て く だ さ い。 注 最初 に対応す る ノ ー ド を 作成せず に プ ール メ ン バ を 作成す る と 、 BIG-IP が自動的に ノ ー ド を作成 し ます。 ノ ー ド を作成す る には、 設定ユーテ ィ リ テ ィ を使用 し ます。 ノ ー ド を 作成す る と 、BIG-IP に よ っ て、デフ ォ ル ト 設定のグループがその ノ ー ド に自動的に割 り 当て ら れます。 こ れ ら のデフ ォ ル ト 設定は、 その ま ま使用す る こ と も 、 変更す る こ と も で き ます。 ま た、 ノ ー ド を作成 し た後でいつで も 設定を変更で き ます。こ れ ら の設定については、「 ノ ー ド の設定」(3-4 ページ)ま たはオ ン ラ イ ンヘルプ を参照 し て く だ さ い。 BIG-IP の設定には、 基本設定 と 詳細設定があ り ます。 ノ ー ド の作成 時にデ フ ォ ル ト 設定の い く つか を 変更す る 場合は、 必ず画面上で [Advanced] オプシ ョ ン を選択 し て、 構成可能な設定をすべて表示す る よ う に し て く だ さ い。 基本設定お よ び詳細設定の詳細については、 第 1 章 「 ロ ーカル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 重要 ノ ー ド が作成 さ れ る と 、 BIG-IP はその ノ ー ド を現在の管理パーテ ィ シ ョ ン に配置 し ま す。 パーテ ィ シ ョ ン の詳細については、 『TMOSTM Management Guide for BIG-IP® Systems』 を参照 し て く だ さ い。 ノ ード を 作成する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Nodes] を ク リ ッ ク し ます。 [Nodes] 画面が開 き ます。 2. 画面右上の [Create] を ク リ ッ ク し ます。 [New Node] 画面が開 き ます。 注 : [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 現在のユーザ ロ ールでは ノ ー ド を作成す る 権限が与え ら れていない こ と を 示 し ます。 3. [Address] 設定で、 ノ ー ド の IP ア ド レ ス を入力 し ます。 4. その他の設定のそれぞれを指定す る か、 その ま ま使用す る か、 ま たは変更 し ます。 5. [Finished] を ク リ ッ ク し ます。 3-2 既存のノ ード を 変更する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Nodes] を ク リ ッ ク し ます。 [Nodes] 画面が開 き ます。 2. [Address] カ ラ ム でア ド レ ス を ク リ ッ ク し ます。 選択 し た ノ ー ド の設定が表示 さ れます。 3. ノ ー ド の設定を その ま ま使用あ る いは変更 し ます。 4. [Update] を ク リ ッ ク し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 3-3 第3章 ノ ー ド の設定 ノ ー ド の設定 ノ ー ド の設定を行っ て、 必要に応 じ て ノ ー ド を調整で き ます。 デフ ォ ル ト 値を持つ設定については、デフ ォ ル ト 設定を その ま ま使用す る こ と も 変更す る こ と も で き ます。 ま た、 ノ ー ド の設定は、 ノ ー ド の作成 時だけでな く 、 ノ ー ド の作成後にいつで も 変更す る こ と がで き ます。 表 3.1 に、ノ ー ド の構成可能な設定 と そのデフ ォ ル ト 値を列挙 し ます。 こ の表の後に、 特定の設定について説明 し ます。 ノ ー ド の設定 説明 デ フ ォル ト 値 Address ノ ー ド の IP ア ド レ ス を指定 し ます。こ の設定は必須です。 デフ ォ ル ト 値な し Name ノ ー ド の名前を指定 し ます。 デフ ォ ル ト 値な し Health Monitors BIG-IPでデフ ォ ル ト モニ タ と ノ ー ド を関連付け る か、ユー ザが ノ ー ド に特定のモニ タ を割 り 当て る かを定義 し ます。 Node default Select Monitors BIG-IP で ノ ー ド に関連付け る モニ タ を指定 し ます。 こ の 設定は、[Health Monitors] を [Node Specific] に設定 し た場 合にのみ使用で き ます。 デフ ォ ル ト 値な し Availability Requirement BIG-IP に よ っ て ノ ー ド が up 状態 と し て レ ポー ト さ れ る 前 に、ノ ー ド を ト ラ フ ィ ッ ク 受信可能 と し て レ ポー ト す る 必 要が あ る ヘル ス モニ タ の最小数を指定 し ま す。 こ の設定 は、[Health Monitors] を [Node Specific] に設定 し た場合に のみ使用で き ます。 すべて Ratio ノ ー ド に割 り 当て る 重み付け を指定 し ます。 1 Connection Limit ノ ー ド で許可 さ れた同時接続の最大数を指定 し ます。 0 表 3.1 ノ ー ド の構成設定 ノ ー ド を設定す る 前に、変更す る 可能性があ る 特定の ノ ー ド 設定に関 す る 説明を読んでお く と 役立ち ます。 3-4 ノ ー ド のア ド レ スの指定 設定す る ノ ー ド ご と に、IP ア ド レ ス を指定す る 必要があ り ます。 ノ ー ド IP ア ド レ ス の例は、 10.10.10.10 です。 こ の設定のみ必須です。 ノ ー ド 名の指定 設定す る ノ ー ド ご と に、ユニー ク な ノ ー ド 名をつけ る こ と がで き ます (Node_1 な ど)。 ノ ー ド 名は大文字小文字を区別 し 、 文字、 数字、 お よ び下線 (_) のみを含め る こ と がで き ます。 予約済みキー ワ ー ド は 使用で き ません。 ヘルス モニ タ の割 り 当て BIG-IP を使用す る と 、 モニ タ を こ れ ら の ノ ー ド に関連付け る こ と で、 ノ ー ド の健全性ま たはパフ ォーマ ン ス を監視で き ます。 こ れは、 モニ タ を ロ ー ド バ ラ ン シ ン グ プールに関連付け る 場合 と 同様です。 ただ し 、 ノ ー ド の場合は IP ア ド レ ス を監視 し ますが、 プールの場合、 プー ル メ ンバでア ク テ ィ ブにな っ てい る サービ ス を監視 し ます。 BIG-IP には、 監視対象の ト ラ フ ィ ッ ク タ イ プに応 じ て、 ノ ー ド に関 連付け る こ と がで き る 各種の設定済みモニ タ が含まれてい ます。独自 の カ ス タ ム モ ニ タ を 作成 し て ノ ー ド に関連付け る こ と も 可能です。 ノ ー ド に関連付け る こ と がで き ない唯一の設定済みモニ タ は、ノ ー ド の監視用に設計 さ れたモニ タ ではな く 、プール ま たはプール メ ンバを 監視す る ために特に設計 さ れたモニ タ です。 注 ノ ー ド と 関連付け ら れ る モニ タ は、かな ら ず Common パーテ ィ シ ョ ン か、その ノ ー ド が含まれ る パーテ ィ シ ョ ンのいずれかに配置 さ れてい る必要があ り ます。 モニ タ を ノ ー ド に関連付け る には、 2 通 り の方法があ り ます。 同 じ モ ニ タ (すなわち、 デフ ォ ル ト のモニ タ ) を同時に複数の ノ ー ド に関連 付け る 方法 と 、作成す る 各 ノ ー ド にモニ タ を明示的に関連付け る 方法 です。 注 bigpipe ユーティ リ ティ コ マン ド node およ び save を 使用し て同じ モニ タ を 複数のノ ード に割り 当てる 場合( たと えば、bigpipe node all monitor icmp およ び bigpipe save)、 BIG-IP によ っ て、 ノ ード ごと に別個のモニ タ と ノ ード のエン ト リ が bigip.conf フ ァ イ ル内に作成さ れま す。 ヘ ル ス モ ニ タ お よ び パ フ ォ ー マ ン ス モ ニ タ の 詳 細 に つ い て は、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 3-5 第3章 ノ ー ド の設定 デ フ ォル ト モニ タ の指定 こ の章で前述 し た よ う に、最初に親 ノ ー ド を作成せずにプール メ ンバ を作成す る と 、 BIG-IP が自動的に親 ノ ー ド を作成 し ます。 作成す る 各 ノ ー ド に 1 つ以上のモ ニ タ タ イ プ を自動的に割 り 当て る よ う に、 BIG-IP を設定で き ます。 こ れに よ り 、 作成す る 各 ノ ー ド にモニ タ を 明示的に選択す る 必要がな く な り ます。 デフ ォ ル ト で、 すべての ノ ー ド に 1 つ以上のモニ タ を関連付け る に は、 まず最初に、 ノ ー ド に割 り 当て る モニ タ を指定す る 必要があ り ま す (次の 「1 つ以上のデフ ォ ル ト モニ タ を割 り 当て る には 」 を参照)。 こ の処理を実行す る と 、 自動的に作成 さ れ る すべての ノ ー ド に、 指定 さ れたデフ ォ ル ト モニ タ が割 り 当て ら れ ます。 1 つ以上のデフ ォ ルト モ ニタ を 割り 当てる には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Nodes] を ク リ ッ ク し ます。 [Nodes] 画面が開 き ます。 2. メ ニ ュ ーバーで [Default Monitor] を ク リ ッ ク し ます。 3. [Health Monitors] 設定で、 [Available] ボ ッ ク ス か ら ヘル ス モ ニ タ を選択 し ます。 4. [Move] ボ タ ン (<<) を ク リ ッ ク し て、モニ タ 名を [Active] ボ ッ ク ス に移動 し ます。 5. デフ ォ ル ト モニ タ に指定す る 各モニ タ に、 同 じ 手順を繰 り 返 し ます。 6. [Availability Requirement] リ ス ト か ら 、次のいずれか を実行 し ます。 a) [All] を選択す る 。 こ れに よ り 、 ノ ー ド が up であ る と 見な さ れ る 前に、 すべ てのア ク テ ィ ブなモニ タ が正 し く 成功す る 必要があ る こ と が指定 さ れ ます。 b) [At Least] を選択 し 、 数値を入力す る 。 こ れに よ り 、 ノ ー ド が up であ る と 見な さ れ る 前に、 設定 し た数のモニ タ が正 し く 成功す る 必要があ る こ と が指定 さ れ ます。 7. [Update] を ク リ ッ ク し ます。 以下の こ と を念頭に置いて、デフ ォ ル ト モニ タ を使用す る よ う に し て く だ さ い。 • Common パーテ ィ シ ョ ン内のオブジ ェ ク ト の管理権限を持つユー ザが、 ノ ー ド のデフ ォ ル ト モニ タ に指定 さ れたモニ タ (icmp モニ タ な ど) を無効に し た場合、 シ ス テ ム のすべての ノ ー ド が影響を 受け ま す。 ノ ー ド のデフ ォ ル ト モニ タ は常に Common パーテ ィ シ ョ ン に配置す る よ う に し て く だ さ い。 • デ フ ォ ル ト モ ニ タ を 指 定 す る に は、 ユ ー ザ ア カ ウ ン ト に Administrator ロ ールが割 り 当て ら れてい る 必要があ り ます。 3-6 • すべ て の ノ ー ド が同 じ パー テ ィ シ ョ ン に置かれ て い る 場合、 デ フ ォ ル ト モニ タ はそのパーテ ィ シ ョ ン、 も し く は Common パー テ ィ シ ョ ン に配置す る 必要が あ り ま す。 ノ ー ド が別々のパーテ ィ シ ョ ン に置かれてい る 場合は、 デフ ォ ル ト モニ タ は Common パー テ ィ シ ョ ンに配置す る よ う に し ます。 モニ タ の ノ ー ド への明示的関連付け BIG-IP で自動的に ノ ー ド を作成す る のではな く 、 ユーザが明示的に ノ ー ド を作成す る 場合、 ノ ー ド を作成 し 、その [Health Monitors] を設 定す る と き に、 以下のいずれか を実行で き ます。 ◆ 他のモニ タ を ノ ー ド に関連付け る 他のモニ タ (すなわち、 デフ ォ ル ト 以外のモニ タ ) を ノ ー ド に関 連付け る には、 ノ ー ド の設定を作成 ま たは変更す る と き に、 ノ ー ド の [Health Monitors] 値を Node Specific に設定 し ます。 その後、 設定ユーテ ィ リ テ ィ を使用 し て、 その ノ ー ド に関連付け る こ と が で き る モニ タ を リ ス ト か ら 選択で き ます。 ◆ デフ ォ ル ト モニ タ を ノ ー ド に関連付け る デ フ ォ ル ト モ ニ タ を ノ ー ド に関連付け る には、 [Health Monitors] の値を Node Default に設定 し ます。 アベ イ ラ ビ リ テ ィ 要件の指定 [Availability Requirement] を設定す る と 、 BIG-IP に よ っ て ノ ー ド が up 状態 と し て レ ポー ト さ れ る 前に、 ノ ー ド を ト ラ フ ィ ッ ク 受信可能 と し て レ ポー ト す る 必要が あ る ヘル ス モニ タ の最小数 を指定で き ま す。 指定可能な値は、 [All] ま たは指定の数値です。 [At Least] 値を選 択 し た場合は、 数値を指定 し ます。 重み付けの指定 [Ratio] 設定では、 ノ ー ド の重み付け を指定 し ます。 デフ ォ ル ト の設 定は 1 です。 重み付けについては、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプー ルの設定」 を参照 し て く だ さ い。 コ ネ ク シ ョ ン リ ミ ッ ト の設定 [Connection Limit] 設定では、 ノ ー ド に許可 さ れてい る 同時接続の最 大数を指定で き ます。 デフ ォ ル ト 値 0 (ゼ ロ ) を指定 し た場合、 ノ ー ド で受信可能な同時接続の数に制限はあ り ません。 BIG-IP® Local Traffic Management 設定ガ イ ド 3-7 第3章 ノ ー ド の設定 ノ ー ド の管理 ノ ー ド を作成 し 、 必要に応 じ て設定を行っ た後、 追加の管理作業が必 要 と な る 場合があ り ます。 設定ユーテ ィ リ テ ィ を使用 し て、 次の こ と を行え ます。 • ノ ー ド の リ ス ト を表示す る • ノ ー ド プ ロ パテ ィ を表示す る • ノ ー ド ス テー タ ス を表示 し 、 確認す る • 既存の ノ ー ド を有効ま たは無効にす る • 既存の ノ ー ド を削除す る • モニ タ の関連付け を無効にす る 注 ユーザ ロ ール と パーテ ィ シ ョ ン ア ク セ ス割 り 当てに基づ き 、管理が許 可 さ れてい る ノ ー ド のみを管理す る こ と がで き ます。 ノ ー ド の リ ス ト を表示する 表示が許可 さ れてい る 既存の ノ ー ド の一覧 を表示す る こ と がで き ま す。 ノ ー ド の リ ス ト を表示す る 場合、 設定ユーテ ィ リ テ ィ に よ っ て、 各 ノ ー ド に関す る 次の情報が表示 さ れ ます。 • 状態 • ノード ア ド レス • ノ ー ド が配置 さ れたパーテ ィ シ ョ ン • ノード名 BIG-IP で定義 さ れた ノ ー ド の リ ス ト を表示す る には、 次の手順に従 い ます。 ノ ード のリ スト を 表示する には ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、 [Local Traffic] を展開 し て [Nodes] を ク リ ッ ク し ます。 こ れで、 [Nodes] 画面が開 き 、 ノ ー ド の リ ス ト が表示 さ れます。 ノ ー ド プ ロパテ ィ の表示 ノ ー ド の汎用プ ロ パテ ィ を表示す る には、設定ユーテ ィ リ テ ィ を使用 し ます。 こ れ ら のプ ロ パテ ィ と その説明を以下に示 し ます。 3-8 ◆ アド レス ノ ー ド の IP ア ド レ ス。 ◆ パーテ ィ シ ョ ン ノ ー ド が配置 さ れたパーテ ィ シ ョ ン ◆ Availability ノ ー ド の ス テー タ ス。 ◆ Health monitors ノ ー ド に関連付け ら れたヘル ス モニ タ 。 ◆ Current connections ノ ー ド が受信 し た現在の接続数。 ◆ State ノ ー ド で受信す る ト ラ フ ィ ッ ク の状態。 指定で き る 値は以下の と お り です。 • Enabled (すべての ト ラ フ ィ ッ ク を許可) • Disabled (パーシ ス テ ン ス ま たはア ク テ ィ ブ接続だけ を許可) • Forced offline (ア ク テ ィ ブ接続だけ を許可) ノ ード プ ロ パテ ィ を 表示する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Nodes] を ク リ ッ ク し ます。 [Nodes] 画面が開 き ます。 2. [Address] カ ラ ム で、 表示す る ノ ー ド のア ド レ ス を ク リ ッ ク し ます。 選択 し た ノ ー ド の設定が表示 さ れます。 ノ ー ド ス テー タ スについて 設定ユーテ ィ リ テ ィ を使用 し て、ノ ー ド の ス テー タ ス を いつで も 確認 で き ます。 こ の情報は、 ノ ー ド の リ ス ト を表示 し て、 [Status] カ ラ ム を確認す る か、 ノ ー ド の Availability プ ロ パテ ィ を確認す る こ と で把 握で き ます。 設定ユーテ ィ リ テ ィ では、複数のア イ コ ンのいずれかで ス テー タ ス を 示 し ます。 こ れ ら のア イ コ ンは、 色や形で区別で き ます。 • ア イ コ ン の 形 は、 該当す る ノ ー ド でモニ タ か ら レ ポー ト さ れた ス テー タ ス を示 し ます。 • ア イ コ ン の色は、 ノ ー ド の実際の ス テー タ ス を示 し ます。 ノ ード ス テ ータ ス について こ れら のア イ コ ン を 確認する には、 表 3.2 ( 3-10 ページ) を 参照し てく ださ い。 設定ユーティ リ ティ 内でアイ コ ン を 表示する には、 ノ ー ド プ ロ パテ ィ を表示す る には参照し てく ださ い。 ヒント ノ ー ド のアベ イ ラ ビ リ テ ィ を手動で設定す る には、 関連する ヘルス モニ タ の Manual Resume 属性を設定 し ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 3-9 第3章 ノ ー ド の設定 . ス テー タ ス イ ン ジケー タ 説明 ノ ー ド が有効で、 ト ラ フ ィ ッ ク を受信で き ます。 ノ ー ド は有効ですが、 現在使用で き ま せん。 ユーザが処理を実行 し な く て も 、 ノ ー ド が後で使用可能にな る 場合が あ り ま す。 使用 で き ない ノ ー ド が自動的に使用可能にな る 例 と し ては、 ノ ー ド へ の同時接続数が、 ノ ー ド に定義 さ れた [Connection Limit] 設定の値 を下回っ た場合が挙げ ら れます。 ノ ー ド は有効ですが、関連付け ら れたモニ タ が ノ ー ド を down と し て マ ー ク し た た め、 オ フ ラ イ ン に な っ て い ま す。 ノ ー ド が ト ラ フ ィ ッ ク を受信で き る よ う に、 ス テー タ ス を変更す る には、 ユー ザの介入が必要です。 ノ ー ド は [Disabled] に設定 さ れてい ますが、 モニ タ は ノ ー ド を up と し てマー ク し てい ます。通常の動作に復帰す る には、手動で ノ ー ド を有効にす る 必要があ り ます。 ノ ー ド が [Disabled] に設定 さ れてお り 、 down 状態です。 通常の動 作に復帰す る には、 手動で ノ ー ド を有効にす る 必要があ り ます。 ノ ー ド は [Disabled] に設定 さ れてお り 、ユーザが無効に し たか、モ ニ タ が ノ ー ド を up と し てマー ク し た ため、 オ フ ラ イ ンにな っ てい ま す。 通常の動作に復帰す る には、 手動で ノ ー ド を有効にす る 必 要があ り ます。 ノ ー ド の ス テー タ ス は不明です。不明の ノ ー ド ス テー タ ス には、以 下の よ う な原因があ り ます。 ノ ー ド にモニ タ が関連付け ら れていない。 モニ タ の結果が ま だ出力 さ れていない。 ノ ー ド の IP ア ド レ ス の設定が誤っ てい る 。 ノ ー ド がネ ッ ト ワー ク か ら 切断 さ れてい る 。 表 3.2 ノ ー ド の ス テー タ ス ア イ コ ンの説明 3 - 10 ノ ー ド の有効化または無効化 ト ラ フ ィ ッ ク を受け付け る ためには、ノ ー ド を有効にす る 必要があ り ま す。 ノ ー ド が無効にな っ てい る 場合、 BIG-IP では既存の接続を タ イ ム ア ウ ト にす る か正常終了す る こ と がで き ます。 その場合、 接続が 既存のパーシ ス テ ン ス セ ッ シ ョ ンに属 し てい る 場合のみ、ノ ー ド は新 し い接続を受け付け る こ と が可能です。 (無効化 さ れた ノ ー ド は、 こ の点において、 [down] に設定 さ れてい る ノ ー ド と 異な り ます。 down ノ ー ド では、 既存の接続を タ イ ム ア ウ ト にす る こ と はで き ますが、 新 し い接続はい っ さ い受け付け ません)。 ノ ード を 有効ま たは無効にする には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Nodes] を ク リ ッ ク し ます。 [Nodes] 画面が開 き ます。 2. 有効ま たは無効にす る ノ ー ド のア ド レ ス を見つけ ます。 3. 左側のカ ラ ム で [Select] ボ ッ ク ス をチ ェ ッ ク し ます。 4. 画面の下部で、 [Enable] ま たは [Disable] を ク リ ッ ク し ます。 ノ ー ド の削除 プール内で使用 し な く な っ た ノ ー ド は削除で き ます。 ノ ード を 削除する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Nodes] を ク リ ッ ク し ます。 [Nodes] 画面が開 き ます。 2. 有効ま たは無効にす る ノ ー ド のア ド レ ス を見つけ ます。 3. 左側のカ ラ ム で [Select] ボ ッ ク ス をチ ェ ッ ク し ます。 4. 画面の下部で [Delete] を ク リ ッ ク し ます。 確認画面が表示 さ れ ます。 5. [Delete] を ク リ ッ ク し ます。 モニ タ の関連付けの削除 設定ユーテ ィ リ テ ィ を使用 し て、特定の ノ ー ド に明示的に関連付け ら れてい る モニ タ を削除で き ます。特定の ノ ー ド に関連付け ら れてい る モ ニ タ を削除す る 場合、 モ ニ タ の関連付け をすべて削除す る か、 デ フ ォ ル ト モ ニ タ のみが ノ ー ド に関連付け ら れ る よ う に変更す る こ と が可能です。 ま た、 デフ ォ ル ト モニ タ (作成す る ノ ー ド に BIG-IP に よ っ て自動的 に関連付け ら れ る モニ タ ) をすべて削除す る こ と も で き ます。 モニ タ の関連付けの詳細については、「ヘルス モニ タ の割 り 当て 」 (3-5 ページ) を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 3 - 11 第3章 ノ ー ド の設定 ノ ード に対する 明示的なモ ニタ の関連付けを 削除する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Nodes] を ク リ ッ ク し ます。 [Nodes] 画面が開 き ます。 2. 管理す る ノ ー ド のア ド レ ス を ク リ ッ ク し ます。 3. 画面の [Configuration] セ ク シ ョ ン で、 [Health Monitors] 設定 を見つけ ます。 4. [Node Default] ま たは [None] を選択 し ます。 5. [Update] を ク リ ッ ク し ます。 デフ ォ ルト モ ニタ を 削除する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Nodes] を ク リ ッ ク し ます。 [Nodes] 画面が開 き ます。 2. [Default Monitor] メ ニ ュ ーを ク リ ッ ク し ます。 3. [Move] ボ タ ン を使用 し て (>>) 、 [Active] ボ ッ ク ス内のア ク テ ィ ブなモニ タ をすべて [Available] ボ ッ ク ス内に移動 し ます。 4. [Update] を ク リ ッ ク し ます。 3 - 12 4 ロー ド バラ ン シ ングプールの設定 • ロー ド バラ ン シ ン グプールの概要 • ロー ド バラ ン シ ン グプールの作成 と 変更 • プールの設定 • プール メ ンバの設定 • プールおよびプール メ ンバの管理 ロー ド バラ ン シ ングプールの概要 典型的な ク ラ イ ア ン ト サーバ構成のシナ リ オでは、ク ラ イ ア ン ト リ ク エ ス ト は、 リ ク エ ス ト ヘ ッ ダで指定 さ れた宛先 IP ア ド レ ス に送信 さ れ ます。 大量の着信 ト ラ フ ィ ッ ク があ る サ イ ト では、 大量の要求を処 理 し よ う と す る 際に、宛先サーバがす ぐ に過負荷状態にな る 可能性が あ り ます。 こ の問題を解決す る ために、 BIG-IP® ロ ーカル ト ラ フ ィ ッ ク 管理シ ス テ ム では、 指定 さ れた宛先 IP ア ド レ ス だけでな く 複数の サーバに ク ラ イ ア ン ト リ ク エ ス ト を分散 さ せます。ロ ー ド バ ラ ン シ ン グプールを作成す る 際に、 こ れを行 う よ う に BIG-IP を設定 し ます。 ロー ド バラ ン シ ングプールについて ロ ー ド バ ラ ン シ ン グプールと は、 ト ラ フ ィ ッ ク を 受信およ び処理する ために同じ グ ループにま と めら れたデバイ ス( Web サーバなど ) の論 理セッ ト です。ク ラ イ ア ン ト リ ク エス ト で指定さ れた宛先 IP ア ド レ ス にク ラ イ ア ン ト ト ラ フ ィ ッ ク を 送信する 代わり に、 BIG-IP では、 その プールのメ ン バであ る 任意のサーバにリ ク エス ト を 送信し ま す。 こ れ によ り 、 サーバリ ソ ース の負荷を 効率よ く 分散する こ と ができ ま す。 プールを作成す る と き 、 プールにプール メ ンバを割 り 当て ます。 プー ル メ ンバは、 ネ ッ ト ワー ク 上の物理 ノ ー ド (サーバ) を表す論理オブ ジ ェ ク ト です。 さ ら に、 プールを、 BIG-IP 上のバーチ ャ ルサーバ と 関連付け ま す。 プール を バーチ ャ ルサーバに割 り 当て る と 、 BIG-IP は、バーチ ャ ルサーバに入 る ト ラ フ ィ ッ ク を そのプールの メ ンバにダ イ レ ク ト し ま す。 ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク の管理方法に応 じ て、 個々のプール メ ンバは、 1 つま たは複数のプールに属 し ます。 BIG-IP に よ っ て リ ク エ ス ト の送信先 と し て選択 さ れ る 特定のプール メ ン バは、 そのプールに割 り 当て てい る ロ ー ド バ ラ ン シ ン グ方式に よ っ て決定 さ れます。 ロ ー ド バ ラ ン シ ン グ方式 と は、 要求を処理す る プール メ ンバを選択す る ために使用 さ れ る アルゴ リ ズ ム です。た と え ば、 デフ ォ ル ト の ロ ー ド バ ラ ン シ ン グ方式は Round Robin です。 こ の 場合、 BIG-IP は、 次に使用可能なプールの メ ンバに着信要求のそれ ぞれを送信す る ため、要求はプール内のサーバ間で均等に分散 さ れま す。 ロ ー ド バ ラ ン シ ン グ方式の一覧については、 「 ロ ー ド バ ラ ン シ ン グ方式の指定」 (4-10 ページ) を参照 し て く だ さ い。 ロー ド バラ ン シ ングプールの機能 プールに対 し て さ ま ざ ま な操作を実行す る よ う に、 BIG-IP を設定で き ます。 次の操作が可能です。 • ヘル ス モニ タ を プールお よ びプール メ ンバに関連付け る • SNAT 接続を有効ま たは無効にす る • 最初に タ ーゲ ッ ト に し た プール メ ン バが使用不可に な っ た場合、 別のプール メ ンバに接続を再バ イ ン ド す る • パケ ッ ト 内で Quality of Service レベル ま たは Type of Service レベル を設定す る • プールに対 し て ロ ー ド バ ラ ン シ ン グ アルゴ リ ズ ム を指定す る • プール内のプ ラ イ オ リ テ ィ グループにプール メ ンバを割 り 当て る BIG-IP® Local Traffic Management 設定ガ イ ド 4-1 第4章 ロー ド バ ラ ン シ ン グプールの設定 ロー ド バラ ン シ ングプールの作成 と 変更 設定ユーテ ィ リ テ ィ を使用 し て、ロ ー ド バ ラ ン シ ン グプールを作成 し た り 、プール と その メ ンバを変更 し ます。プールを作成す る と 、BIG-IP に よ っ て、 デフ ォ ル ト 設定のグループが、 そのプール と その メ ンバに 自動的に割 り 当て ら れ ます。 こ れ ら のデフ ォ ル ト 設定は、 その ま ま使 用す る こ と も 、 変更す る こ と も で き ます。 ま た、 プールを作成 し た後 でいつで も 設定を変更で き ます。 BIG-IP の設定には、 基本設定 と 詳細設定があ り ます。 プールの作成 時にデ フ ォ ル ト 設定の い く つか を 変更す る 場合は、 必ず画面上で [Advanced] オプシ ョ ン を選択 し て、 構成可能な設定をすべて表示す る よ う に し て く だ さ い。 基本設定お よ び詳細設定の概要については、 第 1 章 「 ロ ーカル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 ロー ド バラ ン シ ン グプールの作成 と 実装 ロ ー ド バ ラ ン シ ン グプールの作成 と 実装は、次の 2 つの作業か ら 成 る プ ロ セ ス です。 • まず、 プールを作成 し ます。 • 次に、 そのプールをバーチ ャ ルサーバに関連付け ます。 重要 プールが作成 さ れ る と 、 BIG-IP はそのプールを現在の管理パーテ ィ シ ョ ン に配置 し ま す。 パーテ ィ シ ョ ン の詳細については、 『TMOSTM Management Guide for BIG-IP® Systems』 を参照 し て く だ さ い。 ロ ード バラ ン シ ン グプ ールを 作成する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Pools] を ク リ ッ ク し ます。 [Pools] 画面が開 き ます。 2. 画面右上の [Create] を ク リ ッ ク し ます。 [New Pool] 画面が開 き ます。 注 : [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 現在のユーザ ロ ールではプールを作成す る 権限が与え ら れていない こ と を 示 し ます。 3. [Configuration] リ ス ト か ら 、 [Advanced] を選択 し ます。 4. [Name] 設定で、 プールの名前を入力 し ます。 5. その他の設定のそれぞれを指定す る か、 その ま ま使用す る か、 ま たは変更 し ます。 プールの設定については、 「 プールの設定」 (4-6 ページ) ま た は こ の画面のオ ン ラ イ ンヘルプ を参照 し て く だ さ い。 6. [Finished] を ク リ ッ ク し ます。 4-2 ロ ード バラ ン シ ン グプ ールを 実装する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Servers] 画面が開 き ます。 2. 適切なバーチ ャ ルサーバの名前を ク リ ッ ク し ます。 選択 し たバーチ ャ ルサーバの設定が表示 さ れます。 3. メ ニ ュ ーバーで [Resources] を ク リ ッ ク し ます。 4. [Default Pool] リ ス ト で、 新規作成 し たプールの名前を選択 し ます。 5. [Update] を ク リ ッ ク し ます。 ロー ド バラ ン シ ングプールの変更 既存のプールに対 し て行っ た任意の設定 ( ロ ー ド バ ラ ン シ ン グ方式を 含む) を 変更で き ま す。 プールの設定につい ては、 「 プールの設定」 (4-6 ページ) ま たはオ ン ラ イ ンヘルプ を参照 し て く だ さ い。 既存の プールへの メ ン バの追加につい ては、 「プール メ ン バシ ッ プの変更」 (4-3 ページ) を参照 し て く だ さ い。 プ ールの設定を 変更する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Pools] を ク リ ッ ク し ます。 [Pools] 画面が開 き ます。 2. 既存のプールの名前を ク リ ッ ク し ます。 そのプールの既存の設定が表示 さ れます。 3. [Configuration] リ ス ト か ら 、 [Advanced] を選択 し ます。 プールの設定が表示 さ れ ます。 4. すべての設定を変更す る か、 ま たはその ま ま使用 し ます。 5. [Update] を ク リ ッ ク し ます。 6. ロ ー ド バ ラ ン シ ン グ 方式 を 変更す る か、 ま た は プ ラ イ オ リ テ ィ グループのア ク テ ィ ベーシ ョ ン を有効 ま たは無効にす る 必要があ る 場合は、 メ ニ ュ ーバーで [Members] を ク リ ッ ク し ます。 7. [Load Balancing Method] お よ び [Priority Group Activation] 設 定を変更す る か、 その ま ま使用 し ます。 8. [Update] を ク リ ッ ク し ます。 プール メ ンバシ ッ プの変更 既存の ロ ー ド バ ラ ン シ ン グプールについては、既存のプール メ ンバを 変更す る か、 ま たは新規 メ ンバを プールに追加す る こ と がで き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 4-3 第4章 ロー ド バ ラ ン シ ン グプールの設定 既存のプール メ ンバの変更 プールの メ ンバの設定を変更す る 場合、 次の こ と を行え ます。 • プール メ ンバを有効ま たは無効にす る • プールか ら メ ンバを削除す る • プール メ ンバの設定値を変更す る 既存のプ ールメ ン バを 変更する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Pools] を ク リ ッ ク し ます。 [Pools] 画面が開 き ます。 2. [Members] カ ラ ム で、 表示 さ れた番号を ク リ ッ ク し ます。 そのプールの既存の メ ンバが リ ス ト さ れ ます。 3. 画面の [Current Members] セ ク シ ョ ン を見つけ ます。 4. プール メ ンバを変更 し ます。 a) プール メ ンバを有効ま たは無効にす る か、 ま たはプールか ら メ ンバを削除す る 場合は、 メ ンバア ド レ ス の左側にあ る ボ ッ ク ス を ク リ ッ ク し ます。 次に、 [Enable]、 [Disable]、 ま たは [Remove] を ク リ ッ ク し ます。 b) プール メ ンバの設定を変更す る 必要があ る 場合は、 ア ド レ ス を ク リ ッ ク し 、 必要に応 じ てプール メ ンバの設定を その ま ま使用す る か変更 し ます。 プール メ ンバの設定について は、 「 プール メ ンバの設定」 (4-16 ページ) を参照 し て く だ さ い。 5. [Update] を ク リ ッ ク し ます。 既存のロー ド バラ ン シ ングプールへの メ ンバの追加 プールの作成時にプール メ ンバを指定で き る だけでな く 、後でプール メ ンバを追加す る こ と も 可能です。 (プールの作成時にプール メ ンバ を指定す る のではな く ) 既存のプールにプール メ ンバを追加す る 場合 は、 そのプール メ ンバに対 し て さ ま ざ ま な設定を行え ます。 明示的に 指定す る 必要があ る 設定は、[Address ] お よ び [Service Port] 設定のみ です。 その他の設定にはすべて、 デ フ ォ ル ト 値が あ り ま す。 こ の値 は、必要に応 じ て、その ま ま使用す る こ と も 調整す る こ と も 可能です。 注 プールの作成時にプール メ ンバを指定す る場合は、プール メ ンバの設 定は表示 さ れず、 BIG-IP に よ っ てデフ ォ ル ト 値が割 り 当て ら れ る だ けです。 ただ し 、 後でプール メ ンバのプ ロ パテ ィ を変更 し て設定を調 整す る こ と が可能です。 詳細については、 「プールお よ びプール メ ン バの管理」 (4-20 ページ) を参照 し て く だ さ い。 ロ ード バラ ン シ ン グプ ールにメ ン バを 追加する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Pools] を ク リ ッ ク し ます。 [Pools] 画面が開 き ます。 4-4 2. [Members] カ ラ ム で、 表示 さ れた番号を ク リ ッ ク し ます。 そのプールの既存の メ ンバが リ ス ト さ れます。 3. 画面の右側で [Add] を ク リ ッ ク し ます。 [New Pool Members] 画面が開 き ます。 4. [Address] ボッ ク ス で、 [New Address] を 選択し て IP ア ド レ ス を 入力する か、 [Node List ] を 選択し て IP ア ド レ ス を 選択し ま す。 5. [Service Port] ボ ッ ク ス で、 ポー ト 番号を入力す る か、 リ ス ト か ら サービ ス を選択 し ます。 6. その他の設定をすべてその ま ま使用す る か、設定 し ます。プー ル メ ンバの設定については、「 プール メ ンバの設定」 (4-16 ペー ジ) を参照 し て く だ さ い。 7. [Finished] を ク リ ッ ク し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 4-5 第4章 ロー ド バ ラ ン シ ン グプールの設定 プールの設定 プールの設定を行っ て、 必要に応 じ てプールを調整で き ます。 デフ ォ ル ト 値を持つ設定については、デフ ォ ル ト 設定を その ま ま使用す る こ と も 変更す る こ と も で き ます。 ま た、 設定の変更は、 プールの作成時 に行 う か、 プールの作成後にいつで も 行 う こ と がで き ます。 設定ユー テ ィ リ テ ィ を使用 し て こ れ ら の設定を行 う 方法については、 「 ロ ー ド バ ラ ン シ ン グプールの作成 と 変更」(4-2 ページ)を参照 し て く だ さ い。 表 4.1 に、 プールに対 し て行え る 設定を列挙 し 、 それぞれの設定につ いて説明 し ます。 プール設定 説明 デ フ ォル ト 値 Name プールのユーザ定義名を指定で き ます。プール名前の指定 は必須です。 デフ ォ ル ト 値な し Health Monitors ヘル ス モニ タ ま たはパフ ォーマ ン ス モニ タ を、個々のプー ル メ ンバだけではな く プール全体に関連付け る こ と がで き ます。 こ れに よ り 、 複数の Web サーバに対 し て健全性 お よ びパ フ ォ ーマ ン ス の監視を設定す る 作業が容易に な り ます。 デフ ォ ル ト 値な し Availability Requirement プール メ ンバが up 状態 と し て定義 さ れ る 前に、 その メ ン バ を利用可能で あ る と し て レ ポー ト す る 必要が あ る モニ タ の数を指定で き ます。 All Allow SNAT 特定のプールを使用す る すべての接続に対 し て SNAT が 自動的に有効 ま たは無効に さ れ る よ う にプール を設定で き ます。 Yes Allow NAT 特定のプールを使用す る すべての接続に対 し て NAT が自 動的に有効 ま たは無効に さ れ る よ う にプール を設定で き ます。 Yes Action on Service Down こ の設定が有効にな っ てお り 、タ ーゲ ッ ト のプール メ ンバ がダ ウ ン し た場合、 BIG-IP に よ っ て別のプール メ ンバを 選択 し 、ク ラ イ ア ン ト 接続を新 し いサーバ接続に再バ イ ン ド す る こ と が試行 さ れ ま す。 指定で き る 値は、 [None]、 [Reject]、 [Drop]、 お よ び [Reselect] です。 None Slow Ramp Time こ のオプシ ョ ン を選択 し た場合、 BIG-IP に よ っ て、 通常 よ り 少ない量の ト ラ フ ィ ッ ク が、新たに有効に さ れたプー ル メ ンバに、 指定 さ れた時間だけ送信 さ れます。 0 IP ToS to Client タ ーゲ ッ ト のプールに基づいて、ク ラ イ ア ン ト へ送 ら れ る パケ ッ ト 内で特定の Type of Service (ToS) レベルを設定 す る よ う にプールを設定で き ます。 Pass Through IP ToS to Server タ ーゲ ッ ト のプールに基づいて、サーバへ送 ら れ る パケ ッ ト 内で特定の Type of Service (ToS) レベルを設定す る よ う にプールを設定で き ます。 Pass Through Link QoS to Client タ ーゲ ッ ト のプールに基づいて、ク ラ イ ア ン ト へ送 ら れ る パケ ッ ト 内で特定の Quality of Service (QoS) レベルを設 定す る よ う にプールを設定で き ます。 Pass Through Link QoS to Server タ ーゲ ッ ト のプールに基づいて、サーバへ送 ら れ る パケ ッ ト 内で特定の Quality of Service (QoS) レベルを設定す る よ う にプールを設定で き ます。 Pass Through 表 4.1 ロ ー ド バ ラ ン シ ン グプールの設定 4-6 プール設定 説明 デフ ォル ト 値 Load Balancing Method デフ ォ ル ト の ロ ー ド バ ラ ン シ ン グ方式を使用す る か、ま た は別の ロ ー ド バ ラ ン シ ン グ方式 を定義 し て、 プ ラ イ オ リ テ ィ ベー ス の メ ンバの ア ク テ ィ べーシ ョ ン を設定で き ま す。 さ ま ざ ま な ロ ー ド バ ラ ン シ ン グ方式を使用 し て、 さ ま ざ ま なプールを設定で き ます。 Round Robin Priority Group Activation プール内のプ ラ イ オ リ テ ィ グループにプール メ ン バ を割 り 当て る こ と がで き ます。 Disabled New Members 作成す る プールご と に、そのプールの メ ンバにす る サーバ を指定す る 必要があ り ます。 プール メ ンバは、 その IP ア ド レ ス に よ っ て指定す る 必要があ り ます。プール メ ンバご と に、 サービ ス ポー ト 、 重み付け、 お よ びプ ラ イ オ リ テ ィ グループ を割 り 当て る こ と も で き ます。 デフ ォ ル ト 値な し 表 4.1 ロ ー ド バ ラ ン シ ン グプールの設定 プールを設定す る 前に、変更す る 可能性があ る 特定のプール設定に関 す る 説明を読んでお く と 役立ち ます。 プール名の指定 プールに対 し て行え る 最 も 基本的な設定は、 プール名です。 プール名 では大文字小文字が区別 さ れ、 文字、 数字、 お よ び下線 (_) のみを 含め る こ と がで き ます。 予約済みキー ワ ー ド は使用で き ません。 定義す る プールご と に一意の名前が必要です。 ヘルス モニ タ と プール と の関連付け モニ タ は、 BIG-IP の主要な機能です。 モニ タ を使用す る と 、 サーバ が up 状態で ト ラ フ ィ ッ ク 受信が可能であ る こ と を確認で き ます。 モ ニ タ を サーバのプール全体に関連付け る 場合、 そのモ ニ タ を個々の サーバに明示的に関連付け る 必要はあ り ません。 その場合は、 プール 設定 Health Monitors を使用 し て、 モニ タ を プール自体に割 り 当て る だけです。 こ れに よ り 、 BIG-IP が各プール メ ンバを自動的に監視す る よ う にな り ます。 BIG-IP には、 監視対象の ト ラ フ ィ ッ ク タ イ プに応 じ て、 プールに関 連付け る こ と がで き る 各種の設定済みモニ タ が含まれてい ます。独自 の カ ス タ ム モ ニ タ を 作成 し て プールに関連付け る こ と も 可能です。 プールに関連付け る こ と がで き ない唯一の設定済みモニ タ タ イ プは、 プールやプール メ ン バではな く ノ ー ド を監視す る ために特に設計 さ れたモニ タ です。 すなわち、 モニ タ の宛先ア ド レ ス には、 IP ア ド レ ス と サービ ス ポー ト ではな く 、 IP ア ド レ ス のみを指定 し ま す。 こ れ に該当す る モニ タ タ イ プは次の と お り です。 • ICMP • TCP Echo • Real Server • SNMP DCA • SNMP DCA Base • WMI BIG-IP® Local Traffic Management 設定ガ イ ド 4-7 第4章 ロー ド バ ラ ン シ ン グプールの設定 BIG-IP では、 さ ま ざ ま な方法でモニ タ の関連付け を設定で き ます。 • 個々のサーバではな く プール全体にモニ タ を関連付け る こ と がで き ます。 その場合、 BIG-IP に よ り 、 そのモニ タ がすべてのプール メ ンバ (後で追加 し た も のを含む) に自動的に関連付け ら れ ます。 同様に、 プールか ら メ ンバを削除 し た場合、 BIG-IP に よ っ てその サーバは監視 さ れな く な り ます。 • プール メ ン バ と し て指定 さ れてい る サーバに よ っ て複数のプ ロ セ ス が同 じ IP ア ド レ スお よ びポー ト に存在す る こ と が許可 さ れてい る 場合は、 各プ ロ セ ス の健全性 ま たは ス テー タ ス を チ ェ ッ ク で き ま す。 こ れを行 う には、 サーバ を複数のプールに追加 し た後、 各 プール内で、 モニ タ を そのサーバに関連付け ま す。 各サーバに関 連付け る モニ タ は、 そのサーバで実行中のプ ロ セ ス の健全性 ま た はパフ ォ ーマ ン ス をチ ェ ッ ク し ます。 • モニ タ を プール全体に関連付け る 場合は、 個々のプール メ ンバ を そのモニ タ への関連付けか ら 除外で き ま す。 その場合、 その特定 のプール メ ンバに対 し て別のモニ タ を関連付け る か、 ま たはその プール メ ン バ を 健全性の監視全体か ら 除外で き ま す。 た と えば、 プール メ ンバ A、 B、 お よ び D を http モニ タ に関連付け、 プール メ ンバ C を https モニ タ に関連付け る こ と がで き ます。 • 複数のモニ タ を同 じ プールに関連付け る こ と がで き ま す。 た と え ば、http モニ タ と https モニ タ の両方を同 じ プールに関連付け る こ と が可能です。 ヘ ル ス モ ニ タ お よ び パ フ ォ ー マ ン ス モ ニ タ の 詳 細 に つ い て は、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 アベ イ ラ ビ リ テ ィ 要件の指定 こ の設定は、 ヘル ス モニ タ の最小数を指定 し ます。 BIG-IP に よ っ て プール メ ンバが up 状態 と し て レ ポー ト さ れ る 前に、 最低で も こ の数 のモ ニ タ がプール メ ン バ を ト ラ フ ィ ッ ク 受信可能 と し て レ ポー ト す る 必要があ り ます。 こ の設定を行 う には、 [Availability Requirement] ボ ッ ク ス内に数値を 入力 し ます。 SNAT および NAT の許可 プール を設定す る 場合、 そのプール を使用す る すべての接続に対 し て、 セキ ュ アネ ッ ト ワ ー ク ア ド レ ス変換 (SNAT) ま たはネ ッ ト ワ ー ク ア ド レ ス変換 (NAT) を無効にす る こ と がで き ます。 こ れを行 う に は、 [Allow SNAT] お よ び [Allow NAT] を設定 し ます。 デフ ォ ル ト で は、 こ れ ら の設定は有効にな っ てい ます。 既存のプールで こ の設定を 変更す る には、 そのプールの [Properties] 画面を表示 し ます。 SNAT 接続ま たは NAT 接続を無効にす る よ う にプールを設定す る 必 要があ る 状況の例 と し ては、特定のサービ ス に対 し てプールにおけ る SNAT 接続ま たは NAT 接続を無効にす る 場合があ り ます。 こ の場合 は、そのサービ ス に対 し てすべての接続を処理す る 別個のプールを作 成 し た後、 そのプールに対 し て SNAT ま たは NAT を無効に し ます。 4-8 SNAT お よ び NAT の概要については、 第 14 章 「SNAT の設定」 を参 照 し て く だ さ い。 サービ スが利用不可にな っ た と きの処理の指定 [Action on Service Down] 設定では、 プール メ ンバ上のサービ ス が利 用不可にな っ た と き に BIG-IP で行 う 処理を指定 し ます。 可能な設定 は次の と お り です。 • None -- BIG-IP は、 ア ク シ ョ ン を実行 し ません。 こ れはデフ ォ ル ト の処理です。 • Reject -- BIG-IP は、 RST (TCP のみ) ま たは ICMP メ ッ セージ を 送信 し ます。 • Drop -- BIG-IP は、 接続を ク リ ーン ア ッ プ し ます。 • Reselect -- BIG-IP は、 別の ノ ー ド を選択 し ます。 こ の設定を行 う には、 [Action on Service Down] 設定で、 リ ス ト か ら 値を選択 し ます。 ス ロー ラ ン プ タ イ ムの設定 プール メ ンバを オ フ ラ イ ン に し てか ら オ ン ラ イ ン に戻 し た場合、プー ルに使用す る ロ ー ド バ ラ ン シ ン グモー ド に よ っ ては、プール メ ンバが 接続要求で過負荷状態に な る 可能性が あ り ま す。 た と え ば、 Least Connections ロ ー ド バ ラ ン シ ン グモー ド を使用す る 場合、BIG-IP に よ っ て新 し い接続はすべて、新たに有効に さ れたプール メ ンバに送信 さ れ ます (理論上、 その メ ンバに最小量の接続があ る ため)。 [Slow Ramp Time] を設定す る と 、 新たに有効に さ れたプール メ ンバ に送信 さ れ る ト ラ フ ィ ッ ク の量が少な く な り ます。 ト ラ フ ィ ッ ク の量 は、プール メ ンバが利用可能にな っ てい る 時間 と ス ロ ー ラ ン プ タ イ ム と の比率 (秒単位) に基づいてい ます。 プール メ ンバがオ ン ラ イ ンに な っ てい る 時間が ス ロ ー ラ ン プ タ イ ム を上回 る と 、プール メ ンバは着 信 ト ラ フ ィ ッ ク 全体を受信 し ます。 こ の設定を行 う には、[Slow Ramp Time] 設定で数値を入力 し ます。 こ の数値は、 ト ラ フ ィ ッ ク を新 し く 有効に し たプール メ ンバへ送 る 前に BIG-IP が待機す る 秒数を表 し ます。 Type of Service (ToS) レ ベルの設定 も う 1 つのプール設定に、 Type of Service (ToS) レベルがあ り ます。 ToS レベルは、ネ ッ ト ワー ク 機器が識別子に基づいて異な る 方法で ト ラ フ ィ ッ ク を識別お よ び処理で き る 手段 と な り ます。 ト ラ フ ィ ッ ク がサ イ ト に入 る と 、 BIG-IP は、 パケ ッ ト に ToS レベル を設定で き ます。 パケ ッ ト の送信先 と な る プールに定義 し た IP ToS to Server ToS レベルを使用 し て、 BIG-IP は、 iRule を適用 し 、 該当す る ToS レベルに基づいて、 ト ラ フ ィ ッ ク をサーバの別のプールへ送 る こ と がで き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 4-9 第4章 ロー ド バ ラ ン シ ン グプールの設定 ま た、 BIG-IP では、 プールで設定 さ れた IP ToS to Client ToS 値に基 づいて、発信 ト ラ フ ィ ッ ク (すなわち、HTTP GETに基づいた リ タ ーン パケ ッ ト ) に タ グ付けす る こ と がで き ます。 その後、 こ の値はア ッ プ ス ト リ ームデバ イ ス に よ っ て検査 さ れ、適切なプ ラ イ オ リ テ ィ が与え ら れ ます。 た と えば、 特定のプールに送信 さ れ る パケ ッ ト に対 し て ToS レベル が設定 さ れ る よ う にプールを設定す る には、 [IP ToS to Client] レベル と [IP ToS to Server] レベルの両方を 16 に設定 し ます。 こ の場合、 ク ラ イ ア ン ト にパケ ッ ト を送信す る と き も 、サーバにパケ ッ ト を送信す る と き も 、 ToS レベルが 16 に設定 さ れ ます。 注 ク ラ イ ア ン ト ま たはサーバのプールで ToS レベルを変更 し た場合、既 存の接続では以前の設定が引 き 続 き使用 さ れます。 Quality of Service (QoS) レ ベルの設定 も う 1 つのプールの設定 と し て、 Quality of Service (QoS) レベルが あ り ます。 ToS レベルに加え て、 QoS レベル も ま た、 ネ ッ ト ワ ー ク 機 器が識別子に基づい て異な る 方法で ト ラ フ ィ ッ ク を識別お よ び処理 で き る 手段 と な り ます。 基本的に、 パケ ッ ト で指定 さ れた QoS レベ ルに よ っ て、 そのパケ ッ ト の ス ループ ッ ト ポ リ シーが実施 さ れ ます。 ト ラ フ ィ ッ ク がサ イ ト に入 る と 、 BIG-IP は、 パケ ッ ト に QoS レベル を設定で き ます。 パケ ッ ト の送信先 と な る プールに定義 し た IP QoS to Server QoS レベルを使用 し て、 BIG-IP は、 該当す る ToS レベルに 基づいて、 ト ラ フ ィ ッ ク をサーバの別のプールへ送 る iRule を適用で き ます。 ま た、 BIG-IP では、 プールで設定 さ れた IP QoS to Client QoS 値に基 づいて、発信 ト ラ フ ィ ッ ク (すなわち、 HTTP GET に基づいた リ タ ー ンパケ ッ ト ) に タ グ付けす る こ と がで き ます。 その後、 こ の値はア ッ プ ス ト リ ームデバ イ ス に よ っ て検査 さ れ、適切なプ ラ イ オ リ テ ィ が与 え ら れ ます。 た と えば、 特定のプールに送信 さ れ る パケ ッ ト に対 し て QoS レベル が設定 さ れ る よ う にプールを設定す る には、[Link QoS to Client] レベ ルを 3 に設定 し 、 [Link QoS to Server] レベルを 4 に設定 し ます。 こ の場合、 ク ラ イ ア ン ト にパケ ッ ト を送信す る と き は QoS レベルが 3 に設定 さ れ、 サーバにパケ ッ ト を送信す る と き は 4 に設定 さ れ ます。 ロー ド バラ ン シ ン グ方式の指定 ロ ード バラ ン シ ン グ は、 BIG-IP の不可欠な 部分です。 BIG-IP でロ ー ド バラ ン シ ン グ を 設定する こ と は、 ロ ード バラ ン シ ン グ シ ナリ オ、 つま り 、 ど のプールメ ン バが特定のバーチャ ルサーバによ っ て ホ ス ト さ れる 接続を 受信する かを 決定する こ と を 意味し ま す。 ロ ード バ ラ ン シ ン グ シ ナリ オを 決定し た 場合は、 そ のシ ナリ オに適し た ロ ー ド バラ ン シ ン グ 方式を 指定でき ま す。 4 - 10 ロ ー ド バ ラ ン シ ン グ方式 は、 BIG-IP に よ っ て ト ラ フ ィ ッ ク の送信先 と す る ノ ー ド を 決定す る ために使用 さ れ る アル ゴ リ ズ ム ま たは公式 です。 個々の ロ ー ド バ ラ ン シ ン グ方式では、 現在の接続カ ウ ン ト な ど、 1 つ以上のダ イ ナ ミ ッ ク 因子を考慮に入れ ます。 BIG-IP の用途は それぞれ固有であ り 、ノ ー ド のパフ ォーマ ン ス は多数の異な る 因子に よ っ て左右 さ れ ます。 し たがっ て、 各種の ロ ー ド バ ラ ン シ ン グ方式を 試行 し て、各自の環境で最適なパフ ォーマ ン ス が得 ら れ る 方式を選択 す る こ と をお勧め し ます。 デ フ ォル ト のロー ド バラ ン シ ング方式の使用 BIG-IP のデフ ォ ル ト の ロ ー ド バ ラ ン シ ン グ方式は、Round Robin です。 こ の方式では、新 し い接続要求のそれぞれを リ ス ト 内の次のサーバに 渡すだけです。 その他すべての ロ ー ド バ ラ ン シ ン グ方式では、 サーバ のキ ャ パシテ ィ やス テー タ ス を考慮に入れ ます。 ロ ー ド バ ラ ン ス 対象機器 の 処理速度 と メ モ リ が ほ ぼ等 し い 場合、 Round Robin モー ド はほ と ん ど の構成において有効です。Round Robin 方式を使用す る 場合は、 こ の項の残 り の部分を飛ば し て、 基本プール 構成に追加す る その他のプール設定を始めて も か ま い ません。 ロー ド バラ ン シ ング方式の選択 複数の異な る ロ ー ド バ ラ ン シ ン グ方式か ら 選択で き ます。処理速度 と メ モ リ が大 き く 異な る サーバで作業す る 場合には、 Ratio ま たは Dynamic Ratio 方式のいずれかに切 り 替え る こ と がで き ます。 注 一部のハー ド ウ ェ アプ ラ ッ ト フ ォームでは、さ ら に別の ロ ー ド バ ラ ン シ ン グ方式を利用で き る場合があ り ます。 ◆ Round Robin こ れはデ フ ォ ル ト の ロ ー ド バ ラ ン シ ン グ 方式です。 Round Robin モー ド では、 新 し い接続要求のそれぞれを リ ス ト 内の次のサーバ に渡す こ と で、 ロ ー ド バ ラ ン ス 対象マ シ ン の配列間で接続を均等 に分散 さ せ ま す。 ロ ー ド バ ラ ン ス 対象機器の処理速度 と メ モ リ が ほぼ等 し い場合は特に、Round Robin モー ド はほ と ん ど の構成にお いて有効です。 ◆ Ratio(member) お よ び Ratio(node) BIG-IP では、 定義 し た重み付けに従っ てマシ ン間で接続を分散 さ せ ま す。 各マ シ ン で経時的に受信 さ れ る 接続数は、 各マ シ ン に対 し て定義 し た重み付けに比例 し てい ま す。 こ れ ら は ス タ テ ィ ッ ク ロ ー ド バ ラ ン シ ン グ方式で あ り 、 サーバのキ ャ パシ テ ィ に比例 し た ス タ テ ィ ッ ク なユーザ割 り 当ての重み付けに基づいて分散が行 われ ます。 Ratio ロ ー ド バ ラ ン シ ン グ と は以下の よ う な も のです。 ロ ー ド バ ラ ン シ ン グ計算は、 各プールに限定す る か ( メ ン バベー ス の計算)、 ま たはサーバが メ ンバであ る すべてのプールに適用で き ます ( ノ ー ド ベース の計算) 。 こ の区別は、 Ratio 方式では特に 重要です。 Ratio (Member) 方式では、 実際の重み付けは、 プール 定義におけ る メ ンバ設定ですが、 Ratio (node) 方式では、 重み付 けは ノ ー ド の設定です。 BIG-IP® Local Traffic Management 設定ガ イ ド 4 - 11 第4章 ロー ド バ ラ ン シ ン グプールの設定 すべての ノ ー ド について、 デフ ォ ル ト の比率設定は 1 です。 Ratio (member) ではな く Ratio (node) ロ ー ド バ ラ ン シ ン グ方式を使用 す る 場合は、 構成内の 1 つ以上の ノ ー ド に対 し て 1 以外の比率を 設定す る 必要があ り ます。 少な く と も 1 つの比率設定を変更 し な い場合、 ロ ー ド バ ラ ン シ ン グ方式には、 Round Robin ロ ー ド バ ラ ン シ ン グ方式 と 同 じ 効果があ り ます。 警告 : ロ ー ド バ ラ ン シ ン グ方式を Ratio (member) ではな く Ratio (node) に設定す る場合、 各 ノ ー ド に対 し て比率設定を定義する 必 要があ り ます。 ◆ Dynamic Ratio (member) お よ び Dynamic Ratio (node) Dynamic Ratio 方式は、 Ratio 方式と 同様です。 た だし 、 重み付け はサーバの継続的な 監視に基づいて いる た め、 絶え ず変化し て い ま す。 こ れはダ イ ナ ミ ッ ク ロ ー ド バ ラ ン シ ン グ方式であ り 、 リ アル タ イ ムサーバパフ ォ ーマ ン ス分析の さ ま ざ ま な側面 ( ノ ー ド ご と の現 在の接続数、 Fastest ノ ー ド 応答時間な ど) に基づいて接続を分散 さ せます。 Dynamic Ratio 方式は、特に RealNetworks® RealSystem® Server プ ラ ッ ト フ ォ ー ム、 Windows Management Instrumentation (WMI) が搭載 さ れた Windows® プ ラ ッ ト フ ォーム、 ま たは SNMP エージ ェ ン ト (UC Davis SNMP エージ ェ ン ト 、 Windows 2000 Server SNMP エー ジ ェ ン ト な ど) が搭載 さ れ た任意の サーバへの ト ラ フ ィ ッ ク を ロ ー ド バ ラ ン スす る ために使用 さ れます。 Dynamic Ratio ロ ー ド バ ラ ン シ ン グ を実装す る には、 ま ず こ れ ら のシ ス テ ム に必要なサー バ ソ フ ト ウ ェ ア を イ ン ス ト ール し て設定 し た後、 適切なパ フ ォ ー マ ン ス モニ タ を イ ン ス ト ール し ます。 詳細については、 付録 B 「モ ニ タ についての追加留意事項」 を参照 し て く だ さ い。 ◆ Fastest (node) お よ び Fastest (application) Fastest 方式では、 プール メ ンバに対す る 未処理の レ イ ヤ 7 要求の 最少数、 お よ びオープン な レ イ ヤ 4 接続の数に基づ き 、 新 し い接 続を渡 し ます。 BIG-IP が レ イ ヤ 7 要求を受信す る と 、 その接続を 処理 し てい る プール メ ンバのカ ウ ン タ が増加 し 、 対応す る レ イ ヤ 7 応答を ノ ー ド か ら 受信 し た時点でその カ ウ ン タ が減少 し ま す。 こ のカ ウ ン タ は、 ノ ー ド に示 さ れた要求の う ち、 現時点で ま だ応答 を受け取っ ていない要求の数を示 し ます。 Fastest 方式は、 ノ ー ド が異な る 論理ネ ッ ト ワ ー ク 間に分散 し てい る 環境で特に有用だ と 考え ら れ ま す。 ロ ー ド バ ラ ン シ ン グ計算は、 各プールに限定す る か ( メ ンバベース の計算)、 ま たはサーバが メ ンバであ る すべての プールに適用で き ます ( ノ ー ド ベース の計算)。 Fastest ロ ー ド バ ラ ン シ ン グ方式には以下のルールが適用 さ れ ます。 • レ イ ヤ 7 プ ロ フ ァ イ ル と TCP プ ロ フ ァ イ ルの両方をバーチ ャ ルサーバに割 り 当て る 必要があ り ます。 • レ イ ヤ 7 プ ロ フ ァ イ ルを設定 し なければ、 バーチ ャ ルサーバで は Least Connections ロ ー ド バ ラ ン シ ン グモー ド が使用 さ れ る こ と にな り ます。 ◆ 4 - 12 Least Connections (member) お よ び Least Connections (node) Least Connections 方式は比較的単純な方式であ り 、 BIG-IP は新 し い接続を、 現在の接続数が最小であ る ノ ー ド に渡 し ます。 Least Connections 方式は、 ロ ー ド バ ラ ン ス対象のサーバ ま たはその 他の機器に同様の機能が あ る 環境において最 も 有効です。 こ れ ら は動的な ロ ー ド バ ラ ン シ ン グ方式です。 ロ ー ド バ ラ ン シ ン グ計算は、 各プールに限定す る か ( メ ン バベー ス の計算)、 ま たはサーバが メ ンバであ る すべてのプールに適用で き ます ( ノ ー ド ベース の計算)。 ◆ Observed (member) お よ び Observed (node) Observed 方式では、接続数に基づき ノ ード がラ ン ク 付けさ れ、 最小接 続数のバラ ン ス のよ いノ ード ほど 、 よ り 多く の接続を 受信し ま す。 Observed 方式 と Least Connections 方式の違いは、 Least Connections 方式が ロ ー ド バ ラ ン シ ン グ実行時に し か接続を測定 し ないのに対 し て、 Observed 方式は各 ノ ー ド に対す る レ イ ヤ 4 接続の数を継続 的に追跡 し 、 ロ ー ド バ ラ ン シ ン グ比率を算出す る 点にあ り ます。 Observed モー ド はあ ら ゆ る 環境で有効に機能 し ますが、 ノ ー ド の パ フ ォ ーマ ン ス が大 き く 変動す る 環境で特に有用だ と 考え ら れ ま す。 こ れ ら は動的な ロ ー ド バ ラ ン シ ン グ方式です。 ロ ー ド バ ラ ン シ ン グ計算は、 各プールに限定す る か ( メ ンバベー ス の計算)、 ま たはサーバが メ ンバであ る すべてのプールに適用 で き ます ( ノ ー ド ベース の計算)。 ◆ Predictive (member) お よ び Predictive (node) Predictive 方式で も 、 Observed 方式 と 同 じ ラ ン キ ン グ方式が用い ら れ、 現在の接続数に従い ノ ー ド が ラ ン ク 付け さ れ ま す。 た だ し 、 Predictive 方式では、 BIG-IP は経時的な ラ ン キ ン グの傾向を分析 し て、 ノ ー ド のパ フ ォ ーマ ン ス が現在向上 し てい る か劣化 し てい る か を判断 し ま す。 よ り 優れた (現在劣化 し てい る のではな く 向上 し てい る ) パ フ ォ ーマ ン ス ラ ン キ ン グ を持つ ノ ー ド が、 よ り 高い 比率の接続を受信 し ます。 Predictive 方式は、 あ ら ゆ る 環境で有効 です。 こ れ ら は動的な ロ ー ド バ ラ ン シ ン グ方式です。 ロ ー ド バ ラ ン シ ン グ計算は、 各プールに限定す る か ( メ ン バベー ス の計算)、 ま たはサーバが メ ンバであ る すべてのプールに適用で き ます ( ノ ー ド ベース の計算)。 ◆ Least Sessions Least Sessions 方式では、 現時点でのパーシ ス テ ン ト セ ッ シ ョ ン数 が最小で あ る ノ ー ド に新 し い接続を渡 し ま す。 こ の ロ ー ド バ ラ ン シ ン グ方式を使用す る には、 パーシ ス テ ン ス 接続を追跡す る パー シ ス テ ン ス プ ロ フ ァ イ ルを バーチ ャ ルサーバが参照す る 必要があ り ま す。 こ の よ う な パー シ ス テ ン ス プ ロ フ ァ イ ル に は、 Source Address Affinity や Universal な ど があ り ます。Least Sessions 方式は、 ロ ー ド バ ラ ン シ ン グの対象 と な る サーバな ど の機器が同様の機能 を持つ環境において、 も っ と も 有効に機能 し ま す。 こ れは動的な ロ ー ド バ ラ ン シ ン グ方式です。 ◆ L3 Address L3 Address 方式では、メ ンバーの IP ア ド レ ス を使っ て、各 メ ンバー に連続 し て接続を渡 し ます こ の IP ア ド レ ス は レ イ ヤ 3 (L3) ア ド レ ス です。 BIG-IP® Local Traffic Management 設定ガ イ ド 4 - 13 第4章 ロー ド バ ラ ン シ ン グプールの設定 プ ラ イ オ リ テ ィ ベースの メ ンバのア ク テ ィ べーシ ョ ンの指定 ト ラ フ ィ ッ ク の ロ ー ド バ ラ ン ス は、プールのすべての メ ンバ間で行 う こ と も 、プ ラ イ オ リ テ ィ 値に従っ て現在ア ク テ ィ ブにな っ てい る メ ン バ間のみで行 う こ と も 可能です。プ ラ イ オ リ テ ィ ベース の メ ンバのア ク テ ィ ベーシ ョ ン では、 プール内の各 メ ンバには、 プ ラ イ オ リ テ ィ 値 が割 り 当て ら れます。 こ のプ ラ イ オ リ テ ィ 値に よ っ て、 プール内の各 メ ンバは、その数で指定 さ れたプ ラ イ オ リ テ ィ グループ内に配置 さ れ ます。 すべて のプール メ ン バが利用可能で あ る (つ ま り 、 有効に な っ てお り 、 up と し て マー ク さ れ、 コ ネ ク シ ョ ン リ ミ ッ ト を超え てい ない) 場合、 BIG-IP に よ っ て、 最高プ ラ イ オ リ テ ィ のグループ (つま り 、 最 高のプ ラ イ オ リ テ ィ 値に よ っ て指定 さ れた グループ) のみの メ ンバす べてに接続が分散 さ れます。Priority Group Activation の値に よ っ て、 その グループに限定 さ れ る ト ラ フ ィ ッ ク に対 し て利用可能の ま ま に す る 必要があ る 最小 メ ンバ数が決定 さ れます。最高プ ラ イ オ リ テ ィ の グループで利用可能な メ ンバの数が最小数を下回っ た場合、BIG-IP に よ っ て ト ラ フ ィ ッ ク は、 2 番目に高いプ ラ イ オ リ テ ィ のグループに も 分散 さ れ ます (以降 も 同様に行われ ます)。 図 4.1 (4-14 ページ) に示 し た設定では、 3 つのプ ラ イ オ リ テ ィ グループ、 3、 2、 お よ び 1 があ り ます。 pool my_pool { lb_mode fastest min active members 2 member 10.12.10.7:80 member 10.12.10.8:80 member 10.12.10.9:80 member 10.12.10.4:80 member 10.12.10.5:80 member 10.12.10.6:80 member 10.12.10.1:80 member 10.12.10.2:80 member 10.12.10.3:80 } priority priority priority priority priority priority priority priority priority 3 3 3 2 2 2 1 1 1 図 4.1 プ ラ イ オ リ テ ィ ロ ー ド バ ラ ン シ ン グのサンプルプール設定 接続は まず、 プ ラ イ オ リ テ ィ 3 (最高プ ラ イ オ リ テ ィ のグループ) の すべてのプール メ ンバに分散 さ れ ます。 利用可能なプ ラ イ オ リ テ ィ 3 の メ ンバ数が 2 よ り 少ない場合、 ト ラ フ ィ ッ ク はプ ラ イ オ リ テ ィ 2 の メ ンバに も ダ イ レ ク ト さ れます。 プ ラ イ オ リ テ ィ 3 グループ と プ ラ イ オ リ テ ィ 2 グループのいずれで も 、 利用で き る メ ンバが 2 未満の場 合、 ト ラ フ ィ ッ ク は、 プ ラ イ オ リ テ ィ 1 グループへダ イ レ ク ト さ れ ま す。 こ の と き 、 BIG-IP は、 高いプ ラ イ オ リ テ ィ のグループ を継続 し て監視 し 、プ ラ イ オ リ テ ィ の高いグループで利用可能な最小 メ ンバ数 にな る たびに、 そのグループへの ト ラ フ ィ ッ ク を制限 し ます。 4 - 14 プール メ ンバの指定 こ の設定を 行 う 際は、 ロ ー ド バ ラ ン シ ン グ プール を構成す る サーバ (つま り 、 プール メ ンバ) を指定 し ます。 プール メ ンバを指定す る に は、 [Address] お よ び [Service Port] 設定を使用 し て、 サーバの IP ア ド レ スお よ びサービ ス ポー ト を指定す る 必要があ り ます。 オ プ シ ョ ン の 設 定 に 重 み 付 け が あ り ま す。 こ の 設 定 は、 Ratio (member)、 Ratio (node)、 ま たは Dynamic Ratio の ロ ー ド バ ラ ン シ ン グ方式 と 、プ ラ イ オ リ テ ィ グループのア ク テ ィ ベーシ ョ ン を選択 し て い る 場合に適用で き ます。こ れ ら の設定の詳細については、次の「 プー ル メ ンバの設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 4 - 15 第4章 ロー ド バ ラ ン シ ン グプールの設定 プール メ ンバの設定 プールに メ ンバを追加す る 場合は、そのプール メ ンバに対 し て さ ま ざ ま な設定を行え ます。 こ れ ら の設定のほ と ん ど は、 ロ ー ド バ ラ ン シ ン グプールの作成後に行い ます。プールの作成時に指定す る 必要があ る 設定は、 [Address] お よ び [Service Port] 設定のみです。 その他の設定 にはすべて、 デフ ォ ル ト 値があ り ます。 こ の値は、 必要に応 じ て、 そ の ま ま使用す る こ と も 、 後で調整す る こ と も 可能です。 プール作成時のプール メ ンバの追加については、 「 ロ ー ド バ ラ ン シ ン グプールの作成 と 実装」 (4-2 ページ) を参照 し て く だ さ い。 既存の プールへの メ ン バの追加につい て は、 「既存の ロ ー ド バ ラ ン シ ン グ プールへの メ ンバの追加」 (4-4 ページ) を参照 し て く だ さ い。 注 プール と その メ ン バは、 常に同 じ パーテ ィ シ ョ ン に置かれ る よ う に な っ てい ます。 表 4.2 に、 プール メ ンバに対 し て行え る 設定を示 し 、 それぞれの設定 について説明 し ます。 汎用プ ロパテ ィ 説明 デ フ ォル ト 値 Ratio プール メ ンバに割 り 当て る 重み付け を指定 し ます。 1 Priority Group プール メ ンバのプ ラ イ オ リ テ ィ グループを指定 し ます。 1 Connection Limit プール メ ンバに許可 さ れた同時接続の最大数を指定 し ます。 0 Health Monitors プール メ ンバがプールに関連付け ら れたモ ニ タ を継承す る か、 別のモニ タ を使用す る か を指定 し ます。 Inherit From Pool Select Monitors 対象のプール メ ンバに関連付け る 1つま たは複数のモニ タ を指定 し ます。こ の設定は、[Health Monitors] を [Member Specific] に設定 し た場合にのみ使用 し ます。 デフ ォ ル ト 値な し Availability Requirement ヘル ス モニ タ の最小数を指定 し ます。BIG-IPに よ っ てプー ル メ ンバが up 状態 と し て レ ポー ト さ れ る 前に、 最低で も こ の数のモニ タ がプール メ ンバ を ト ラ フ ィ ッ ク 受信可能 と し て レ ポー ト す る 必要があ り ます。 表 4.2 個々のプール メ ンバの構成設定 プール メ ン バ を プールに追加 し た後でプール メ ン バの設定を 調整す る には、 「 プール メ ンバプ ロ パテ ィ を表示す る には」 (4-24 ページ) を 参照 し て く だ さ い。 プール メ ンバを追加す る 前に、 変更す る 可能性があ る 特定のプール メ ンバの設定に関す る 説明を読んでお く と 役立ち ます。 4 - 16 プール メ ンバの重み付けの指定 比率ベー ス の ロ ー ド バ ラ ン シ ン グ方式を使用 し て プール内のサーバ に ト ラ フ ィ ッ ク を分散 さ せ る 場合は、 [Ratio] 設定を使用 し てサーバ に重み付け を割 り 当て る こ と がで き ます。 重み付けに よ っ て、 サーバ が受信す る ト ラ フ ィ ッ ク の量が決ま り ます。 重み付け ロ ー ド バ ラ ン シ ン グ方式は、 Ratio (member)、 Ratio (node)、 お よ び DynamicRatio です。 比率ベース の ロ ー ド バ ラ ン シ ン グ方式の 詳細については、 「 ロ ー ド バ ラ ン シ ン グ方式の指定」 (4-10 ページ) お よ び付録 B 「 モニ タ についての追加留意事項」 を参照 し て く だ さ い。 プ ラ イ オ リ テ ィ ベースの メ ンバのア ク テ ィ ベーシ ョ ンの指定 [Priority] 設定では、 プ ラ イ オ リ テ ィ 値を プール メ ンバに割 り 当て ま す。 その後、 プール内で、 プール メ ンバに割 り 当て ら れたプ ラ イ オ リ テ ィ 値に従 っ て ト ラ フ ィ ッ ク が ロ ー ド バ ラ ン ス さ れ ま す。 し たが っ て、 高いプ ラ イ オ リ テ ィ が割 り 当て ら れてい る メ ンバは、 負荷が特定 の レ ベル に達す る ま で ト ラ フ ィ ッ ク を 受信 し ま す。 そ の後、 ト ラ フ ィ ッ ク は、次に高いプ ラ イ オ リ テ ィ を持つグループに割 り 当て ら れ てい る メ ンバにダ イ レ ク ト さ れます。 [Priority Group Activation] 設定を使用す る と 、 BIG-IP が よ り 低い プ ラ イ オ リ テ ィ の メ ン バに ト ラ フ ィ ッ ク を ダ イ レ ク ト し 始め る タ イ ミ ン グ を決定す る 負荷レベルを設定で き ます。 詳細については、 「 プ ラ イ オ リ テ ィ ベー ス の メ ン バの ア ク テ ィ べーシ ョ ン の指定」 (4-14 ページ) を参照 し て く だ さ い。 コ ネ ク シ ョ ン リ ミ ッ ト の指定 [Connection Limit] 設定では、 プール メ ンバに許可 さ れてい る 同時接 続の最大数を指定で き ます。 デフ ォ ル ト 値 0 (ゼ ロ ) を指定 し た場合、 プール メ ンバで受信可能な同時接続の数に制限はあ り ません。 明示的な モニ タ 関連付けの選択 モニ タ を プールに関連付けた場合、 BIG-IP に よ っ てそのモニ タ が各 プール メ ンバ (後でプールに追加す る メ ンバを含む) に自動的に関連 付け ら れます。 ただ し 、 場合に よ っ ては、 プールに割 り 当て ら れてい る モニ タ と は別のモニ タ を、特定のプール メ ンバに割 り 当て る 必要が あ り ます。 その場合は、 [Health Monitors] 設定を使用 し て、 特定のモ ニ タ を プール メ ン バに明示的に割 り 当て る よ う に指定す る 必要が あ り ます。 ま た、 こ の設定を行 う こ と で、 BIG-IP に よ っ て特定のプール メ ンバ にモニ タ が関連付け ら れない よ う にす る こ と も 可能です。 モニ タ を プール メ ンバに明示的に関連付け る には、 [Health Monitors] 設定で [Member Specific] を選択す る こ と で、[Select Monitors] 設定を 表示 し ます。 さ ら に、 次の項の説明に従っ て [Select Monitors] の設定 を行い ます。 BIG-IP に よ っ てプール メ ンバにモニ タ が関連付け ら れない よ う にす る には、 [Health Monitors] を [None] に設定 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 4 - 17 第4章 ロー ド バ ラ ン シ ン グプールの設定 プール メ ンバに対する明示的な モニ タ の関連付けの作成 BIG-IP には、 監視対象の ト ラ フ ィ ッ ク タ イ プに応 じ て、 プール メ ン バに関連付け る こ と がで き る 各種のモニ タ が含まれてい ます。独自の カ ス タ ム モニ タ を作成 し てプール メ ン バに関連付け る こ と も 可能で す。 プール メ ン バに関連付け る こ と がで き ない唯一のモ ニ タ タ イ プ は、プールやプール メ ンバではな く ノ ー ド を監視す る ために特に設計 さ れたモニ タ です。 こ れに該当す る モニ タ タ イ プは次の と お り です。 • ICMP • TCP Echo • Real Server • SNMP DCA • SNMP DCA Base • WMI ヘ ル ス モ ニ タ お よ び パ フ ォ ー マ ン ス モ ニ タ の 詳 細 に つ い て は、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 モニ タ を個々のプール メ ンバに関連付け る には、プール メ ンバの設定 を表示 し て、 [Health Monitors] 設定を [Member Specific] に設定 し ま す。 [Select Monitors ] 設定が表示 さ れます。 プール メ ンバに関連付け る モ ニ タ を 選択 し 、 左矢印 (<<) を 使用 し て、 モ ニ タ 名 を [Active] ボ ッ ク ス に移動 し ます。 [Finished] ま たは [Update] を ク リ ッ ク し て、 選択 し たプール メ ン バのみに対 し て モ ニ タ の関連付け を ア ク テ ィ ブ に し ます。 複数のモニ タ を同 じ プール メ ンバに関連付ける BIG-IP では、1 つ以上のモニ タ を同 じ サーバに関連付け る こ と がで き ます。 設定ユーテ ィ リ テ ィ を使用 し て、 次の こ と を行え ます。 ◆ 複数のモニ タ を単一プールの メ ンバに関連付け る 。 た と えば、 モニ タ http1、 http2、 お よ び http3 を作成 し 、 各モニ タ を異な る 設定に し て、3 つのモニ タ すべて を同 じ プール メ ンバに関 連付け る こ と がで き ま す。 こ の場合、 いずれかのチ ェ ッ ク に失敗 す る と 、 そのプール メ ンバは down と し てマー ク さ れ ます。 ◆ 1 つの IP ア ド レ スお よ びサービ ス を、複数のプールの メ ンバ と し て 割 り 当て る 。 こ の場合は、 各プール内で、 そのプール メ ンバに別のモニ タ を割 り 当て る こ と がで き ます。 た と えば、 サーバ 10.10.10:80 を、 3 つ の別個のプール、 my_pool1、 my_pool2、 お よ び my_pool3 に割 り 当て る と し ます。 こ の場合、 3 つのカ ス タ ム HTTP モニ タ (プール ご と に 1 つのモニ タ ) をすべて同 じ サーバに関連付け る こ と がで き ます。 その結果、 BIG-IP では、 http1 モニ タ を使用 し てプール my_pool1 内のサーバ 10.10.10.:80 の健全性をチ ェ ッ ク し 、 http2 モ ニ タ を使用 し てプール my_pool2 内のサーバ 10.10.10.:80 の健全性 をチ ェ ッ ク し 、 http3 モニ タ を使用 し てプール my_pool3 内のサー バ 10.10.10:80 の健全性をチ ェ ッ ク す る よ う にな り ます。 複数モニ タ の関連付けは、 プール メ ンバを各プールに追加す る 際、 ま たは後でプール メ ンバのプ ロ パテ ィ を変更す る 際に行え ます。 4 - 18 アベ イ ラ ビ リ テ ィ 要件の指定 [Availability Requirement] 設定では、 ヘル ス モニ タ の最小数を指定 し ます。 BIG-IP に よ っ てプール メ ンバが up 状態 と し て レ ポー ト さ れ る 前に、最低で も こ の数のモニ タ がプール メ ンバを ト ラ フ ィ ッ ク 受信可 能 と し て レ ポー ト す る 必要があ り ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 4 - 19 第4章 ロー ド バ ラ ン シ ン グプールの設定 プールおよびプール メ ンバの管理 一般に、 プールお よ びプール メ ンバを管理す る 際は、 既存のプールま たはプール メ ン バの設定 を表示す る 必要が あ り ま す。 場合に よ っ て は、 その他の管理作業 も 行 う 必要があ り ます。 設定ユーテ ィ リ テ ィ を 使用 し て、 次の こ と を行え ます。 • プールを管理す る • プール メ ンバを管理す る • プールお よ びプール メ ンバのモニ タ 関連付け を無効にす る • プールお よ びプール メ ンバの統計情報を表示す る プール と プール メ ンバの管理で重要なのが、プール ま たはプール メ ン バの ス テー タ ス を いつで も 表示 し 、 把握で き る こ と です。 設定ユー テ ィ リ テ ィ では、 複数のア イ コ ンのいずれか を表示 し て、 ス テー タ ス を示 し ます。 こ れ ら のア イ コ ンは、 各プールやプール メ ンバの色や形 で区別で き ます。 • ア イ コ ン の 形 は、 プール ま たはプール メ ンバでモニ タ か ら レ ポー ト さ れた ス テー タ ス を 示 し ま す。 た と えば、 丸形の ア イ コ ン は、 プール メ ンバが up であ る こ と がモニ タ で報告 さ れた こ と を示 し 、 ダ イ ヤモ ン ド 形のア イ コ ンは、プール メ ンバが down であ る こ と が モニ タ で報告 さ れた こ と を示 し ます。 • ア イ コ ン の 色 は、 ノ ー ド の実際の ス テー タ ス を示 し ま す。 た と え ば、緑のア イ コ ンは、ノ ー ド が up であ る こ と を示 し 、赤いア イ コ ン は、 ノ ー ド が down であ る こ と を示 し ます。 ま た、 黒いア イ コ ン は、 ユーザの介入が必要であ る こ と を示 し ます。 ス テー タ ス ア イ コ ン の詳細については、「プールス テー タ ス について 」 (4-22 ページ) と 「 プール メ ンバ ス テー タ ス について 」 (4-24 ページ) を参照 し て く だ さ い。 プールプ ロ パテ ィ の変更については、 「 ロ ー ド バ ラ ン シ ン グプールの 変更」 (4-3 ページ) を参照 し て く だ さ い。 プール メ ンバプ ロ パテ ィ の 変更については、 「既存のプール メ ンバの変更」 (4-4 ページ) を参照 し て く だ さ い。 プールの管理 BIG-IP では、 既存のロ ード バラ ン シン グ プールを 維持する ため、 いく つかのプール固有のタ ス ク を 実行でき ま す。 管理権限を 持つプールに 対し て、 ユーザはプール一覧の確認、 プールプロ パティ の表示、 プー ルス テータ ス の確認、 プールの削除を 行える よ う になっ ていま す。 注 ユーザ ロ ール と パーテ ィ シ ョ ン ア ク セ ス割 り 当てに基づ き 、管理権限 を持つプールのみを管理す る こ と がで き ます。 4 - 20 プールの リ ス ト の表示 表示が許可 さ れてい る 既存のプールの一覧を表示す る こ と がで き ま す。 プールの リ ス ト を表示す る 場合、 設定ユーテ ィ リ テ ィ に よ っ て、 プールに関す る 次の情報が表示 さ れます。 • 状態 • 名前 • プールが配置 さ れたパーテ ィ シ ョ ン • プール メ ンバ数 BIG-IP で定義 さ れたプールの リ ス ト を表示す る には、 次の手順に従 い ます。 プ ールのリ ス ト を 表示する には ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、 [Local Traffic] を展開 し て [Pools] を ク リ ッ ク し ます。 [Pools] 画面が開 き 、 表示権限のあ る プールの一覧が表示 さ れ ます。 プールプ ロパテ ィ の表示 プールの汎用プ ロ パテ ィ を表示す る には、設定ユーテ ィ リ テ ィ を使用 し ま す。 ただ し 、 表示で き る のは、 表示権限の あ る プールのプ ロ パ テ ィ にかぎ ら れ ます。こ れ ら のプールプ ロ パテ ィ と その説明を以下に 示 し ます。 ◆ 名前 プ ー ル に 割 り 当 て た 一 意 の 名 前。 プ ー ル 名 の 例 と し て は、 my_http_pool があ り ます。 ◆ パーテ ィ シ ョ ン プールが配置さ れた管理パーティ ショ ン 。管理パーティ ショ ン の詳 細に つい て は、 『TMOSTM Management Guide for BIG-IP® Systems』 を 参照し てく ださ い。 ◆ アベ イ ラ ビ リ テ ィ 以下に基づいた、 プールの ス テー タ ス。 • プールが有効にな っ てい る か ど う か • 親 ノ ー ド の ス テー タ ス • 関連付け ら れたヘル ス モニ タ か ら の レ ポー ト に基づいた、 プー ル メ ンバの ス テー タ ス プ ールプ ロ パテ ィ を 表示する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Pools] を ク リ ッ ク し ます。 [Pools] 画面が開 き ます。 2. プール名を ク リ ッ ク し ます。 選択 し たプールのプ ロ パテ ィ が表示 さ れます。 BIG-IP® Local Traffic Management 設定ガ イ ド 4 - 21 第4章 ロー ド バ ラ ン シ ン グプールの設定 プールス テー タ スについて プールの ス テー タ ス は、 いつで も 確認で き ます。 プールの ス テー タ ス は、 対応す る メ ンバの ス テー タ ス のみに基づ き ます。 設定ユーテ ィ リ テ ィ を使用す る と 、 プールの Availability プ ロ パテ ィ を表示 し て、 こ の情報 を 確認で き ま す。 ま た、 こ の情報は、 プールの リ ス ト を 表示 し 、 [Status] カ ラ ム を確認す る こ と に よ っ て も 把握で き ます。 設定ユーテ ィ リ テ ィ では、 複数の ア イ コ ン のいずれか を 表示 し て、 プールの ス テー タ ス を示 し ます。 こ れ ら のア イ コ ンは、 色や形で区別 で き ま す。 ア イ コ ン については、 表 4.3 を参照 し て く だ さ い。 設定 ユーテ ィ リ テ ィ 内でア イ コ ン を見つけ る には、 こ のページの 「 プール プ ロ パテ ィ を表示す る には」 (4-21 ページ) を参照 し て く だ さ い。 ス テー タ ス ア イ コ ン の背景情報については、 「 プールお よ びプール メ ン バの管理」 (4-20 ページ) を参照 し て く だ さ い。 ス テー タ ス イ ン ジケー タ 説明 ト ラ フ ィ ッ ク の処理に、 少な く と も 1 つ以上のプール メ ンバが利 用で き ます。 現在、 プール メ ンバは利用で き ま せんが、 ユーザが処理を行わな く て も 、 後でいずれかが利用可能にな り ま す。 使用で き ないプー ル メ ンバが自動的に使用可能にな る 例 と し ては、 プール メ ンバへ の同時接続数が、プール メ ンバに定義 さ れた [Connection Limit] 設 定の値を下回っ た場合があげ ら れます。 すべてのプール メ ンバが利用で き ないため、 ト ラ フ ィ ッ ク を受け 入れ ら れ ま せん。 プール メ ンバが利用で き ない理由 と し ては、 関 連付け ら れた EAV モニ タ で、プール メ ンバの利用不可が検知 さ れ た こ と が あげ ら れ ま す。 プール ス テー タ ス が赤色で あ る 場合、 通 常は、 ユーザの処理が必要 と な り ます。 少な く と も 1 つ以上のプール メ ンバの ス テー タ ス が不明であ り 、そ の他の プール メ ン バは利用で き ま せん。 不明の プール メ ン バ ス テー タ ス には、 以下の よ う な原因があ り ます。 1 つ以上のプール メ ンバにモニ タ が関連付け ら れていない。 モニ タ の結果が ま だ出力 さ れていない。 プール メ ンバの IP ア ド レ ス の設定が誤っ てい る 。 親 ノ ー ド がネ ッ ト ワー ク か ら 切断 さ れた。 表 4.3 プールの ス テー タ ス イ ン ジ ケー タ の説明 プールの削除 既存のプール を 削除す る には、 次の手順に従い ま す。 プールか ら の 個々のプール メ ンバの削除については、「既存のプール メ ンバの変更」 (4-4 ページ) を参照 し て く だ さ い。 プールを削除す る 前に、まずバーチ ャ ルサーバか ら の リ ソ ース と し て のプールを削除す る 必要があ り ます。 プ ールを 削除する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Pools] を ク リ ッ ク し ます。 [Pools] 画面が開 き ます。 4 - 22 2. プール名の左側にあ る カ ラ ム で、 [Select] ボ ッ ク ス をチ ェ ッ ク し ます。 3. [Delete] を ク リ ッ ク し ます。 [Delete Confirmation] 画面が表示 さ れ ます。 4. [Delete] を ク リ ッ ク し ます。 プール メ ンバの管理 BIG-IP では、 既存のプールメ ン バを 維持する ために、 プールメ ン バに 特化し たタ ス ク を 実行でき る よ う になっ ていま す。管理権限のある プー ルメ ン バに対し て、ユーザはプールメ ン バ一覧の確認、プールメ ン バプ ロ パティ の表示、プールメ ン バス テータ ス の確認、プールメ ン バの有効 化 / 無効化、 プールメ ン バの削除を 行える よ う になっ ていま す。 注 ユーザ ロ ール と パーテ ィ シ ョ ン ア ク セ ス割 り 当てに基づ き、管理権限 のあ る プール メ ンバのみを管理す る こ と がで き ます。 プール メ ンバの リ ス ト の表示 表示権限のあ る プール メ ンバの一覧を表示す る こ と がで き ます。プー ル メ ンバの リ ス ト を表示す る 場合、 設定ユーテ ィ リ テ ィ に よ っ て、 各 メ ンバに関す る 次の情報が表示 さ れます。 • 状態 • IP ア ド レ ス と サービ ス • Ratio • プ ラ イ オ リ テ ィ グループ プールに定義 さ れたプール メ ンバの リ ス ト を表示す る には、次の手順 に従い ます。 プ ールメ ン バのリ ス ト を 表示する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Pools] を ク リ ッ ク し ます。 [Pools] 画面が開 き ます。 2. [Name] カ ラ ム で、 該当す る プールの名前を ク リ ッ ク し ます。 3. メ ニ ュ ーバーで [Members] を ク リ ッ ク し ます。 プールの メ ンバが リ ス ト さ れます。 プール メ ンバプ ロパテ ィ の表示 各プールメ ン バの汎用プロ パテ ィ を 表示する には、 設定ユーテ ィ リ ティ を 使用し ま す。こ れら のプロ パティ と その説明を 以下に示し ま す。 ◆ アドレス 関連付け ら れた ノ ー ド の IP ア ド レ ス。 BIG-IP® Local Traffic Management 設定ガ イ ド 4 - 23 第4章 ロー ド バ ラ ン シ ン グプールの設定 ◆ Service port 該当す る サービ ス のポー ト 番号。 ◆ パーテ ィ シ ョ ン プール メ ンバが配置 さ れたパーテ ィ シ ョ ン こ のパーテ ィ シ ョ ン と プール自体のパーテ ィ シ ョ ンは常に一致 し てい ます。 ◆ Parent node プール メ ンバが関連付け ら れた ノ ー ド (IP ア ド レ ス)。 た と えば、 プール メ ンバが 10.10.10.22:80 であ る 場合、 親 ノ ー ド は 10.10.10.22 と な り ます。 ◆ Availability 親 ノ ー ド 、 プール、 お よ びプール メ ンバが関連付け ら れたモニ タ に基づいた、 プール メ ンバの ス テー タ ス。 ◆ Health monitors プール メ ンバに関連付け ら れたヘル ス モニ タ 。 ◆ Current connections プール メ ンバが受信 し た現在の接続数。 ◆ State プール メ ンバで受信す る ト ラ フ ィ ッ ク の状態。 指定で き る 値は以 下の と お り です。 • Enabled (すべての ト ラ フ ィ ッ ク を許可) • Disabled (パーシ ス テ ン ス ま たはア ク テ ィ ブ接続だけ を許可) • Forced offline (ア ク テ ィ ブ接続だけ を許可) プ ールメ ン バプ ロ パテ ィ を 表示する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Pools] を ク リ ッ ク し ます。 [Pools] 画面が開 き ます。 2. [Name] カ ラ ム で、 該当す る プールの名前を ク リ ッ ク し ます。 3. メ ニ ュ ーバーで [Members] を ク リ ッ ク し ます。 プールの メ ンバが リ ス ト さ れます。 4. [Current Members] カ ラ ム で、 プール メ ンバの IP ア ド レ ス と ポー ト 番号を ク リ ッ ク し ます。 選択 し たプール メ ンバのプ ロ パテ ィ が表示 さ れ ます。 プール メ ンバス テー タ スについて プール メ ンバの ス テー タ ス は、 いつで も 確認で き ます。 設定ユーテ ィ リ テ ィ を使用す る と 、 プール メ ンバの Availability プ ロ パテ ィ を表示 し て、 こ の情報を確認で き ます。 ま た、 こ の情報は、 プール メ ンバの リ ス ト を表示 し 、 [Status] カ ラ ム を確認す る こ と に よ っ て も 把握で き ます。 設定ユーティ リ ティ では、複数のアイ コ ン のいずれかを 表示し て、プー ルメ ン バのス テータ ス を 示し ま す。 こ れら のア イ コ ン は、 色や形で区 別でき ま す。 ス テータ ス アイ コ ン の詳細については、 表 4.4( 4-25 ペー ジ) を 参照し てく ださ い。 設定ユーティ リ ティ 内でア イ コ ン を 表示す る には、 こ のページ の 「 プール メ ン バプ ロ パ テ ィ を 表示す る には」 4 - 24 ( 4-24 ページ) を 参照し てく ださ い。 ス テータ ス アイ コ ン の背景情報に ついては、 「 プールお よ びプール メ ンバの管理」( 4-20 ページ) を 参照 し てく ださ い。 ヒント プール メ ンバのアベ イ ラ ビ リ テ ィ を手動で設定す る には、関連す るヘ ル ス モニ タ の Manual Resume 属性を設定 し ま す。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 ス テー タ ス イ ン ジケー タ 説明 State プ ロパテ ィ の設定 プール メ ンバは Enabled に設定 さ れ、 親 ノ ー ド は up と な り 、 モ ニ タ はプール メ ンバを up と し てマー ク し ます。 Enabled (すべての ト ラ フ ィ ッ ク を許可) プール メ ン バは使用で き ま せんが、 ユーザが処理 を 行わ な く て も 、 後で利用可能にな る 場合があ り ます。 こ の ス テー タ ス は、 同 時接続数がプール メ ンバの Connection Limit 設定で定義 さ れた制 限を超え た場合に発生 し ます。 Enabled (すべての ト ラ フ ィ ッ ク を許可) 親 ノ ー ド が down であ る 、 モニ タ がプール メ ンバを down と し て マー ク し た、 ま たはユーザがプール メ ンバを向 こ う に し た ため、 プール メ ンバは利用で き ません。 Enabled (すべての ト ラ フ ィ ッ ク を許可) プール メ ンバは [Disabled] に設定 さ れてい ますが、 モニ タ はプー ル メ ンバを up と し てマー ク し てい ます。 通常の動作に復帰す る には、 手動でプール メ ンバを有効にす る 必要があ り ます。 Disabled (パーシ ス テ ン ス ま たは ア ク テ ィ ブ接続だけ を許可) プール メ ンバは [Disabled] に設定 さ れてお り 、 親 ノ ー ド が down であ る ため、 オ フ ラ イ ンにな っ てい ます。 通常の動作に復帰す る には、 手動でプール メ ンバを有効にす る 必要があ り ます。 Forced Offline (ア ク テ ィ ブ接続 だけ を許可) プール メ ンバは [Disabled] に設定 さ れてお り 、 ユーザが無効に し た ため、オ フ ラ イ ンにな っ てい ます。通常の動作に復帰す る には、 手動でプール メ ンバを有効にす る 必要があ り ます。 Disabled (パーシ ス テ ン ス ま たは ア ク テ ィ ブ接続だけ を許可) プール メ ンバは [Disabled] に設定 さ れてお り 、 親 ノ ー ド が down であ る か、モニ タ がプール メ ンバを down と し てマー ク し た ため、 オ フ ラ イ ンにな っ てい ます。 通常の動作に復帰す る には、 手動で プール メ ンバを有効にす る 必要があ り ます。 Forced Offline (ア ク テ ィ ブ接続 だけ を許可) プール メ ンバ ま たは ノ ー ド にモニ タ が関連付け ら れていないか、 モニ タ の結果が ま だ出力 さ れてい ません。 Enabled (すべての ト ラ フ ィ ッ ク を許可) 表 4.4 プール メ ンバの ス テー タ ス ア イ コ ンの説明 注 黒の状態ア イ コ ンは、関連モニ タ の Manual Resume 属性が有効にな っ てい る こ と を示 し てい ます。 詳細については、 第 12 章 「モニ タ の設 定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 4 - 25 第4章 ロー ド バ ラ ン シ ン グプールの設定 プール メ ンバの有効化または無効化 設定ユーテ ィ リ テ ィ を使用す る と 、各プール メ ンバを有効ま たは無効 にで き ま す。 プール メ ン バ を 有効 ま たは無効にす る 場合、 次の よ う に、 プール メ ンバの State プ ロ パテ ィ の値が間接的に設定 さ れます。 ◆ Enable プール メ ンバの State プ ロ パテ ィ を Enabled (すべての ト ラ フ ィ ッ ク を許可) に設定 し ます。 ◆ Disable プール メ ンバの State プ ロ パテ ィ を Disabled (パーシ ス テ ン スお よ びア ク テ ィ ブ接続のみを許可) に設定 し ます。 無効にな っ てい る プール メ ンバ と 、 モニ タ で down と し て報告 さ れ る プール メ ンバの違いは、 無効にな っ てい る プール メ ンバがパーシ ス テ ン スお よ びア ク テ ィ ブ接続の処理を継続で き る こ と にあ り ます。こ れ と は異な り 、 down と し て報告 さ れたプール メ ンバは、 ま っ た く 接 続を処理 し ません。 プール メ ンバ リ ス ト 画面 と プ ロ パテ ィ 画面の ス テー タ ス ア イ コ ンは、 プール メ ンバが現在有効な っ てい る か、無効にな っ てい る か を示 し ま す。プール メ ンバ ス テー タ ス の詳細については、「プール メ ンバス テー タ ス について 」 (4-24 ページ) を参照 し て く だ さ い。 プ ールメ ン バを 有効ま たは無効にする には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Pools] を ク リ ッ ク し ます。 表示権限を持つプールの一覧が表示 さ れ ます。 2. 有効ま たは無効にす る プール メ ンバの IP ア ド レ ス と ポー ト 番 号を見つけ ます。 3. 左側のカ ラ ム で [Select] ボ ッ ク ス をチ ェ ッ ク し ます。 4. 画面の下部で、 [Enable] ま たは [Disable] を ク リ ッ ク し ます。 プール メ ンバの削除 既存のプール を 削除す る には、 次の手順に従い ま す。 プールか ら の 個々のプール メ ンバの削除については、「既存のプール メ ンバの変更」 (4-4 ページ) を参照 し て く だ さ い。 プールを削除す る 前に、まずバーチ ャ ルサーバか ら の リ ソ ース と し て のプールを削除す る 必要があ り ます。 プ ールメ ン バを 削除する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Pools] を ク リ ッ ク し ます。 [Pools] 画面が開 き ます。 2. [Name] カ ラ ム で、 プール名を ク リ ッ ク し ます。 プールのプ ロ パテ ィ が表示 さ れます。 3. メ ニ ュ ーバーで [Members] を ク リ ッ ク し ます。 プール メ ンバの リ ス ト が表示 さ れ ます。 4 - 26 4. プール メ ンバア ド レ ス の左側にあ る カ ラ ム で、 [Select] ボ ッ ク ス をチ ェ ッ ク し ます。 5. [Delete] を ク リ ッ ク し ます。 [Delete Confirmation] 画面が表示 さ れ ます。 6. [Delete] を ク リ ッ ク し ます。 モニ タ の関連付けの削除 プール ま たはプール メ ン バに対す る 既存のモ ニ タ の関連付け を削除 で き ます。 プールか ら モニ タ を削除す る には、プールのプ ロ パテ ィ ページにア ク セ ス し 、[Active] ボ ッ ク ス内のモニ タ 名を [Available] ボ ッ ク ス内に移 動す る こ と で、 [Health Monitors] 設定を変更 し ます。 個々のプール メ ン バで明示的な モ ニ タ の関連付け を 削除す る には、 プール メ ンバのプ ロ パテ ィ ページにア ク セ ス し 、[Health Monitors] 設 定を [Inherit from Pool] ま たは[None]のいずれかに変更 し ます。[None] を選択す る と 、 そのプールで設定 し てい る すべての監視か ら プール メ ンバが除外 さ れ ます。 プールおよびプール メ ンバの統計情報の表示 設定ユーテ ィ リ テ ィ を使用 し て、既存のプールお よ びプール メ ンバに 関連 し た統計情報を表示で き ます。 プールお よ びプール メ ンバの統計情報を表示す る には、既存のプール の リ ス ト ま たは既存のプール メ ンバの リ ス ト を表示 し ます。 次に、 メ ニ ュ ーバーで [Statistics] を ク リ ッ ク し ます。[Statistics] 画面が開いて、 既存のプールお よ びプール メ ンバすべての統計情報が表示 さ れ ます。 表示 さ れ る 統計情報の タ イ プは次の と お り です。 • ビ ッ ト (着信お よ び発信) • パケ ッ ト (着信お よ び発信) • 接続 (現在、 最大、 合計) BIG-IP® Local Traffic Management 設定ガ イ ド 4 - 27 5 プ ロ フ ァ イルについて • プ ロ フ ァ イルの概要 • プ ロ フ ァ イルの作成 と 変更 • プ ロ フ ァ イルの表示 と 削除 • プ ロ フ ァ イルの実装 • 詳細情報 プ ロ フ ァ イルの概要 BIG-IP® ロ ーカル ト ラ フ ィ ッ ク 管理シ ス テ ム では、 アプ リ ケーシ ョ ン 固有のネ ッ ト ワー ク ト ラ フ ィ ッ ク を、使用 さ れ る プ ロ ト コ ルやサービ ス に応 じ て、 さ ま ざ ま な方法で管理で き ます。 た と えば、 HTTP 応答 デー タ を圧縮 し た り 、 タ ーゲ ッ ト サーバに要求を渡す前に SSL ク ラ イ ア ン ト 証明書を認証す る よ う に BIG-IP を設定で き ます。 BIG-IP には、管理対象の ト ラ フ ィ ッ ク の タ イ プ別に、その ト ラ フ ィ ッ ク の動作を イ ン テ リ ジ ェ ン ト に制御す る ための設定 ツ ールが用意 さ れてい ます。 こ れ ら の ツールはプ ロ フ ァ イ ル と 呼ばれます。 プ ロ フ ァ イ ルは、アプ リ ケーシ ョ ン固有の ト ラ フ ィ ッ ク を管理す る ための機能 を強化す る 、 BIG-IP 提供の設定ツールです。 よ り 具体的に言 う と 、 プ ロ フ ァ イ ル と は、 特定 タ イ プのネ ッ ト ワー ク ト ラ フ ィ ッ ク (HTTP 接 続な ど) の動作を制御す る ための、 (デフ ォ ル ト 値を持つ) ユーザが 構成可能な設定を含むオブジ ェ ク ト の こ と です。プ ロ フ ァ イ ルを設定 し た ら 、 そのプ ロ フ ァ イ ルをバーチ ャ ルサーバに関連付け ます。 こ の 後、 バーチ ャ ルサーバは、 プ ロ フ ァ イ ルに指定 さ れた値に基づいて、 ト ラ フ ィ ッ ク を処理 し ま す。 プ ロ フ ァ イ ル を使用す る と 、 ユーザは ネ ッ ト ワー ク ト ラ フ ィ ッ ク 管理の制御を強化 し た り 、 ト ラ フ ィ ッ ク 管 理作業を よ り 容易かつ効率的に行 う こ と が可能にな り ます。 複数のプロ フ ァ イ ルを 1 つのバーチャ ルサーバに関連付ける こ と がで き ま す。 たと えば、 TCP プロ フ ァ イ ル、 SSL プロ フ ァ イ ルおよ び HTTP プロ フ ァ イ ルを 、同じ バーチャ ルサーバに関連付ける こ と ができ ま す。 プ ロ フ ァ イル タ イ プ BIG-IP では、 複数の タ イ プのプ ロ フ ァ イ ルが用意 さ れてい ます。 プ ロ フ ァ イ ル タ イ プには、 特定のプ ロ ト コ ル (HTTP、 SSL、 FTP な ど) に対応す る も の と 、複数のプ ロ ト コ ルに適用可能な ト ラ フ ィ ッ ク 動作 に関連す る も のが あ り ま す。 例 と し ては、 接続パーシ ス テ ン ス プ ロ フ ァ イ ル、 認証プ ロ フ ァ イ ルがあ り ます。 表 5.1 に、 使用可能なプ ロ フ ァ イ ル タ イ プ を列挙 し て説明 し ます。 プ ロ フ ァ イル タ イ プ 説明 サービ ス プ ロ フ ァ イル HTTP HTTP ト ラ フ ィ ッ ク の動作を定義 し ます。 FTP FTP ト ラ フ ィ ッ ク の動作を定義 し ます。 RTSP RTSP ト ラ フ ィ ッ ク の動作を定義 し ます。 SIP Session Initiation Protocol (SIP) ト ラ フ ィ ッ ク の動作を定義 し ます。 BIG-IP は こ の SIP プ ロ フ ァ イ ルに基づ き SIP ト ラ フ ィ ッ ク の経路を決定 し 、 SIP ト ラ フ ィ ッ ク は Call-ID でパーシ ス ト し ます。 し か し 、 SIP パーシ ス テ ン ス プ ロ フ ァ イ ルを作成す る こ と で、 SIP ト ラ フ ィ ッ ク が Call-ID 以外の値でパーシ ス ト す る よ う に指定す る こ と も 可能です (後述の パーシ ス テ ン ス プ ロ フ ァ イ ル の項を参照)。 iSession 2 つの BIG-IP 間に、 WAN に よ り 分離 さ れた最適化 ト ン ネルを作成 し ます。 表 5.1 BIG-IP で利用で き る プ ロ フ ァ イ ルの タ イ プ BIG-IP® Local Traffic Management 設定ガ イ ド 5-1 第5章 プ ロ フ ァ イルについて プ ロ フ ァ イル タ イ プ 説明 パーシ ス テ ン ス プ ロ フ ァ イル Cookie HTTP Cookie を使用 し てセ ッ シ ョ ンパーシ ス テ ン ス を実装 し ます。 Destination Address Affinity ク ラ イ ア ン ト リ ク エス ト のヘッ ダで指定さ れた宛先 IP ア ド レ ス に基づいて、 セッ ショ ン パーシス テン ス を 実装し ま す。ス ティ ッ キ ーパーシス テン ス と も 呼ばれま す。 Hash ユニバーサルパーシ ス テ ン ス と 同様の方法でセ ッ シ ョ ンパーシ ス テ ン ス を実装 し ます。 ただ し 、 BIG-IP ではハ ッ シ ュ を使用 し てパーシ ス テ ン ス エ ン ト リ を検索 し ます。 Microsoft® Remote Desktop Microsoft® Remote Desktop Protocol セ ッ シ ョ ンのセ ッ シ ョ ンパーシ ス テ ン ス を実装 し ます。 SIP SIP メ ッ セージハン ド リ ン グ を実装 し ます。 ま た、 指定 し た SIP ヘ ッ ダ フ ィ ール ド に基づ き 、 SIP パーシ ス テ ン ス の実装 も 行い ます。 SIP パーシ ス テ ン ス プ ロ フ ァ イ ルを使用す る には、 SIP プ ロ フ ァ イ ル も あわせて作成す る 必要があ り ます (前述の サービ ス プ ロ フ ァ イ ル の項を参照)。 Source Address Affinity ク ラ イ ア ン ト リ ク エ ス ト のヘ ッ ダで指定 さ れた送信元 IP ア ド レ ス に基づいて、セ ッ シ ョ ンパーシ ス テ ン ス を実装 し ます。 シ ンプルパーシ ス テ ン ス と も 呼ばれます。 SSL セ ッ シ ョ ン ID を使用 し て、 終了 し ていない SSL セ ッ シ ョ ンのセ ッ シ ョ ンパーシ ス テ ン ス を実装 し ます。 Universal BIG-IP の Universal Inspection Engine (UIE) を使用 し てセ ッ シ ョ ンパーシ ス テ ン ス を実装 し ます。 プ ロ ト コ ルプ ロ フ ァ イル Fast L4 レ イ ヤ 4 の IP ト ラ フ ィ ッ ク の動作を定義 し ます。 Fast HTTP バーチ ャ ルサーバに よ る ト ラ フ ィ ッ ク 処理速度を向上 さ せます。 HTTP Class ユーザ指定の基準を使用 し て、 ト ラ フ ィ ッ ク のヘ ッ ダ ま たは コ ン テ ン ツ を調べ る こ と で、 宛先に ト ラ フ ィ ッ ク を転送 し ます。 TCP TCP ト ラ フ ィ ッ ク の動作を定義 し ます。 UDP UDP ト ラ フ ィ ッ ク の動作を定義 し ます。 SCTP Streaming Control Transmission Protocol (SCTP) ト ラ フ ィ ッ ク の動作を定義 し ます。 SSL プ ロ フ ァ イル Client ク ラ イ ア ン ト 側のSSL ト ラ フ ィ ッ ク の動作を定義 し ます。「パーシ ス テ ン ス プ ロ フ ァ イ ル」 も 参照 し て く だ さ い。 Server サーバ側の SSL ト ラ フ ィ ッ ク の動作を定義 し ます。「パーシ ス テ ン ス プ ロ フ ァ イ ル」 も 参照 し て く だ さ い。 認証プ ロ フ ァ イル LDAP BIG-IP で、 リ モー ト Lightweight Directory Access Protocol (LDAP) サーバに保管 さ れてい る 認証デー タ に基づいて ト ラ フ ィ ッ ク を認証で き る よ う に し ます。 RADIUS BIG-IP で、 リ モー ト RADIUS サーバに保管 さ れてい る 認証デー タ に基づいて ト ラ フ ィ ッ ク を認証で き る よ う に し ます。 表 5.1 BIG-IP で利用で き る プ ロ フ ァ イ ルの タ イ プ (続 き ) 5-2 プ ロ フ ァ イル タ イ プ 説明 TACACS+ BIG-IP で、 リ モー ト TACACS+ サーバに保管 さ れてい る 認証デー タ に基づいて ト ラ フ ィ ッ ク を認証で き る よ う に し ます。 SSL Client Certificate LDAP BIG-IP で、リ モート LDAP サーバに保管さ れている データ に基づいて、サーバリ ソ ー ス へのク ラ イ ア ン ト のア ク セス を 制御でき る よ う にし ま す。 ク ラ イ ア ン ト 承認資格 情報は、 SSL 証明書と 定義済みのユーザグループおよ びロ ールに基づいていま す。 SSL OCSP BIG-IP で、 リ モー ト Online Certificate Status Protocol (OCSP) サーバに保管 さ れて い る デー タ を使用 し て、 ク ラ イ ア ン ト 証明書の失効ス テー タ ス をチ ェ ッ ク で き る よ う に し ます。 ク ラ イ ア ン ト の資格情報は SSL 証明書に基づ き ます。 CRLDP 業界標準の Certificate Revocation List Distribution Point (CRLDP) 技術を使い、 証明 書失効 リ ス ト (CRL) の ス テー タ ス を管理 し ます。 その他のプ ロ フ ァ イル OneConnect ク ラ イ ア ン ト リ ク エ ス ト でサーバ側接続を再利用で き る よ う に し ます。 BIG-IP で サーバ側接続を再利用で き る 機能は、 Connection PoolingTM と 呼ばれてい ます。 Statistics ユーザ定義の統計情報カ ウ ン タ を提供 し ます。 NTLM ユーザのパス ワー ド を ネ ッ ト ワー ク で送信す る こ と な く 、 暗号化 さ れた要求 / 応答 プ ロ ト コ ルを使っ てユーザの認証を行い ます。 Stream TCP 接続な ど のデー タ ス ト リ ーム内で文字列を検索お よ び置換 し ます。 表 5.1 BIG-IP で利用で き る プ ロ フ ァ イ ルの タ イ プ (続 き) デ フ ォル ト プ ロ フ ァ イル BIG-IP では、 表 5.1 に列挙 し たプ ロ フ ァ イ ル タ イ プご と に、 1 つ以上 のデフ ォ ル ト プ ロ フ ァ イ ルが用意 さ れてい ます。デフ ォ ル ト プ ロ フ ァ イ ル と は、 その設定のデフ ォ ル ト 値を含む BIG-IP 提供のプ ロ フ ァ イ ルの こ と です。 デフ ォ ル ト プ ロ フ ァ イ ルの例 と し て、 http デフ ォ ル ト プ ロ フ ァ イ ルがあ り ます。 デフ ォ ル ト プ ロ フ ァ イ ルは、 次の よ う な方 法で使用で き ます。 • デフ ォ ル ト プ ロ フ ァ イ ルを その ま ま使用す る 。 デフ ォ ル ト プ ロ フ ァ イ ルを参照す る よ う にバーチ ャ ルサーバ を設 定で き ます。 • デフ ォ ル ト プ ロ フ ァ イ ルの設定を変更す る (非推奨)。 デフ ォ ル ト プ ロ フ ァ イ ルを変更す る と 、 元のデフ ォ ル ト プ ロ フ ァ イ ルの設定が失われ ま す。 し たが っ て、 以降にそのデフ ォ ル ト プ ロ フ ァ イ ルに基づい て作成す る カ ス タ ム プ ロ フ ァ イ ルはすべて、 変更 さ れた設定を継承す る こ と にな り ます。 • デフ ォ ル ト プ ロ フ ァ イ ルに基づいて カ ス タ ム プ ロ フ ァ イ ルを作成 す る (推奨)。 こ の方法では、 デフ ォ ル ト プ ロ フ ァ イ ル を保持 し 、 カ ス タ ム プ ロ フ ァ イ ル内でユーザ定義の設定を行え ま す。 カ ス タ ム プ ロ フ ァ イ ルは、 指定 し た親プ ロ フ ァ イ ルの設定値のい く つか を継承 し ます。 カ ス タ ム プ ロ フ ァ イ ルの作成後、 デフ ォ ル ト プ ロ フ ァ イ ルではな く カ ス タ ム プ ロ フ ァ イ ルを参照す る よ う にバーチ ャ ルサーバ を設 定で き ま す。 カ ス タ ム プ ロ フ ァ イ ルの詳細については、 次の 「 カ ス タ ムプ ロ フ ァ イ ル と 親プ ロ フ ァ イ ル」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 5-3 第5章 プ ロ フ ァ イルについて 注 デフ ォ ル ト プ ロ フ ァ イ ルを変更す る こ と はで き ますが、作成 し た り 削 除す る こ と はで き ません。 カ ス タ ムプ ロ フ ァ イル と 親プ ロ フ ァ イル カ ス タ ムプ ロ フ ァ イ ルは、ユーザが指定 し た親プ ロ フ ァ イ ルか ら 派生 し たプ ロ フ ァ イ ルです。 親プ ロ フ ァ イ ルは、 カ ス タ ムプ ロ フ ァ イ ルが 設定 と そのデフ ォ ル ト 値を継承す る 元 と な る プ ロ フ ァ イ ルです。 カ ス タ ム プ ロ フ ァ イ ルを作成す る 場合、プ ロ フ ァ イ ルが親プ ロ フ ァ イ ルか ら 継承 し た 1 つ以上の設定値を変更す る こ と がで き ます。こ の場 合、 変更が必要な設定値 と 変更が必要がない設定値を選択で き ます。 カ ス タ ム プ ロ フ ァ イ ルを作成す る 利点には、親プ ロ フ ァ イ ルの設定値 を その ま ま使用で き る こ と です。 注 カ ス タ ム プ ロ フ ァ イ ルの作成時に親プ ロ フ ァ イ ルを指定 し ない場合、 BIG-IP では、 対応す る デフ ォ ル ト プ ロ フ ァ イ ルを親プ ロ フ ァ イ ル と し て自動的に割 り 当て ます。 た と えば、 HTTP タ イ プのカ ス タ ムプ ロ フ ァ イ ルを作成 し た場合、 デフ ォ ル ト の親プ ロ フ ァ イ ルは http と な り ます。 親プ ロ フ ァ イル と し てのデ フ ォル ト プ ロ フ ァ イルの使用 カ ス タ ム プ ロ フ ァ イ ルの作成時に親プ ロ フ ァ イ ル と し て指定で き る 標準的なプ ロ フ ァ イ ルは、 デフ ォ ル ト プ ロ フ ァ イ ルです。 た と えば、 my_http_profile と い う HTTP タ イ プのカ ス タ ム プ ロ フ ァ イ ルを作成 し た場合、 デフ ォ ル ト プ ロ フ ァ イ ル tcp を親プ ロ フ ァ イ ル と し て使用 で き ます。 こ の場合、 BIG-IP では、 プ ロ フ ァ イ ル tcp が自動的に作成 さ れ、 こ のプ ロ フ ァ イ ルには、 デフ ォ ル ト プ ロ フ ァ イ ル tcp と 同 じ 設 定 と デ フ ォ ル ト 値が含 ま れ ま す。 こ の よ う に、 新 し い カ ス タ ム プ ロ フ ァ イ ルは、 その親プ ロ フ ァ イ ルか ら 設定お よ び値を継承 し ます。 こ の後、 必要に応 じ て、 カ ス タ ム プ ロ フ ァ イ ルで継承 し た値を その ま ま 保持す る こ と も 、 変更す る こ と も で き ます。 親プ ロ フ ァ イル と し てのカ ス タ ムプ ロ フ ァ イルの使用 カ ス タ ム プ ロ フ ァ イ ルを作成す る 場合、デフ ォ ル ト プ ロ フ ァ イ ルでは な く 別の カ ス タ ム プ ロ フ ァ イ ル を親プ ロ フ ァ イ ル と し て指定で き ま す。 唯一の制約は、 親 と し て指定す る カ ス タ ム プ ロ フ ァ イ ルは、 親か ら 派生 し たプ ロ フ ァ イ ル と 同 じ タ イ プのプ ロ フ ァ イ ル と す る 必要が あ る と い う こ と です。 新 し いカ ス タ ム プ ロ フ ァ イ ルを作成 し た ら 、 そ の設定 と デフ ォ ル ト 値は、親 と し て指定 し た カ ス タ ムプ ロ フ ァ イ ルか ら 自動的に継承 さ れ ます。 た と えば、 my_tcp_profile2 と い う プ ロ フ ァ イ ルを作成す る 場合、 カ ス タ ム プ ロ フ ァ イ ル my_tcp_profile を親 と し て指定で き ます。その結 果、 プ ロ フ ァ イ ル my_tcp_profile2 のデフ ォ ル ト 設定値は、 その親プ ロ フ ァ イ ル my_tcp_profile の も のにな り ます。 こ の後で親プ ロ フ ァ イ ルの設定 を 変更 し た場合 (my_tcp_profile) 、 BIG-IP では こ れ ら の変更が子プ ロ フ ァ イ ルに自動的に伝播 さ れ ます。 5-4 たと えば、 カ ス タ ム プロ フ ァ イ ル my_tcpprofile を 作成し 、 こ れを 親プ ロ フ ァ イ ルと し て使用し てカ ス タ ム プロ フ ァ イ ルmy_tcp_profile2を 作 成する 場合、 親プロ フ ァ イ ル my_tcp_profile に対し て後で行っ た変更 はすべて、 プロ フ ァ イ ル my_tcp_profile2 に自動的に伝播さ れま す。 反 対に、 新し いカ ス タ ム プロ フ ァ イ ル( こ の例では、 my_tcp_profile2) の設定を 変更し た場合、 新し いカ ス タ ム プロ フ ァ イ ルは、 こ れら の変 更し た設定の値を 親プロ フ ァ イ ルから 継承し ま せん。 プ ロ フ ァ イルの要約 プ ロ フ ァ イ ルは、特定 タ イ プのネ ッ ト ワー ク ト ラ フ ィ ッ ク の動作に影 響 を 与 え る た め に 使用 で き る 設定 ツ ー ル で す。 デ フ ォ ル ト で は、 BIG-IP に よ っ て、 その ま ま使用で き る プ ロ フ ァ イ ルのセ ッ ト が提供 さ れ ます。 こ れ ら のプ ロ フ ァ イ ルには、 異な る タ イ プの ト ラ フ ィ ッ ク の動作を定義す る さ ま ざ ま な設定が含まれてい ます。プ ロ フ ァ イ ルを 使用 し て、 接続お よ びセ ッ シ ョ ンパーシ ス テ ン ス を有効に し た り 、 ク ラ イ ア ン ト ア プ リ ケーシ ョ ン認証を 管理す る こ と も で き ま す。 バー チ ャ ルサーバにプ ロ フ ァ イ ルを割 り 当て てい る 場合、 BIG-IP に よ り 、 そのプ ロ フ ァ イ ルで定義 さ れてい る 設定に従っ て、プ ロ フ ァ イ ル タ イ プに対応す る ト ラ フ ィ ッ ク が管理 さ れ ます。 プ ロ フ ァ イ ルには、 BIG-IP に付属す る デフ ォ ル ト プ ロ フ ァ イ ル と 、 通常はユーザが作成す る カ ス タ ムプ ロ フ ァ イ ルの2つの タ イ プがあ り ます。 特に HTTP お よ び TCP ト ラ フ ィ ッ ク を よ り 効率 よ く 管理す る ため、 BIG-IP には、 F5 で作成 し た一連のカ ス タ ム プ ロ フ ァ イ ルが用意 さ れ てい ます。 こ れ ら のプ ロ フ ァ イ ルには、 一般的に よ く 使用す る 推奨設 定が含ま れてい ます。 こ れ ら のプ ロ フ ァ イ ルを使用すれば、 新 し いプ ロ フ ァ イ ルを作成す る 必要はあ り ません。 デフ ォ ル ト プ ロ フ ァ イ ルは、それに含まれてい る 値がユーザのニーズ を満た し てい る 場合に便利です。 カ ス タ ム プ ロ フ ァ イ ルは、 デフ ォ ル ト プ ロ フ ァ イ ルに含 ま れてい る 値 と は異な る 値を ユーザが必要 と し てい る 場合に便利です。プ ロ フ ァ イ ルを設定お よ び維持す る 作業を簡 素化す る ために、 BIG-IP では、 カ ス タ ム プ ロ フ ァ イ ルが親プ ロ フ ァ イ ルの設定お よ び値を自動的に継承す る よ う にな っ てい ます。 特定 タ イ プのネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を管理す る ためのプ ロ フ ァ イ ルを作成 し た場合、こ れ ら のプ ロ フ ァ イ ルは次の よ う な方法で使用 で き ます。 • デフ ォ ル ト で有効にな っ てい る デフ ォ ル ト プ ロ フ ァ イ ルを使用す る ために処理を行 う 必要はあ り ません。 BIG-IP では、 デフ ォ ル ト プ ロ フ ァ イ ルを使用 し て、 こ れ ら のプ ロ フ ァ イ ルで指定 さ れてい る 値に従っ て、 対応す る ト ラ フ ィ ッ ク タ イ プ を自動的にダ イ レ ク ト し ます。 • デフ ォ ル ト プ ロ フ ァ イ ルを親プ ロ フ ァ イ ル と し て使用 し て、 カ ス タ ム プ ロ フ ァ イ ル を作成 し 、 そのプ ロ フ ァ イ ルで定義 さ れてい る 値の一部ま たはすべて を変更で き ます。 • その他の カ ス タ ム プ ロ フ ァ イ ルに対 し て親プ ロ フ ァ イ ル と し て使 用す る カ ス タ ム プ ロ フ ァ イ ルを作成で き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 5-5 第5章 プ ロ フ ァ イルについて プ ロ フ ァ イルの作成 と 変更 前の項で説明 し た よ う に、 プ ロ フ ァ イ ル と は、 アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク を管理す る ために役立つ設定ツールです。プ ロ フ ァ イ ルを利 用す る には、 BIG-IP で提供 さ れ る デフ ォ ル ト プ ロ フ ァ イ ルを使用す る か、 ま たは独自のカ ス タ ム プ ロ フ ァ イ ルを作成 し ます。 既存のプ ロ フ ァ イ ルを必要に応 じ て変更す る こ と も 可能です。 具体的には、 次の こ と が可能です。 • デフ ォ ル ト プ ロ フ ァ イ ルを その ま ま使用す る 。 • デフ ォ ル ト プ ロ フ ァ イ ルを変更す る 。 • カ ス タ ム プ ロ フ ァ イ ルを作成す る 。 • カ ス タ ム プ ロ フ ァ イ ルを変更す る 。 注 ユーザ ロ ール と パーテ ィ シ ョ ン ア ク セ ス割 り 当てに基づ き 、管理権限 を持つプ ロ フ ァ イ ルのみを管理す る こ と がで き ます。 次の項では、 プ ロ フ ァ イ ルを作成お よ び変更す る 手順を説明 し ます。 個々のプ ロ フ ァ イ ル設定、お よ びそれ ら の設定が さ ま ざ ま な タ イ プの ト ラ フ ィ ッ ク に与え る 効果については、こ の章の残 り の部分ま たは次 の章のいずれか を参照 し て く だ さ い。 • 第 6 章 「 アプ リ ケーシ ョ ン層 ト ラ フ ィ ッ ク の管理」 • 第 7 章 「 セ ッ シ ョ ンパーシ ス テ ン ス の有効化」 • 第 8 章 「 プ ロ ト コ ルプ ロ フ ァ イ ルの管理」 • 第 9 章 「SSL ト ラ フ ィ ッ ク の管理」 • 第 10 章 「 アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証」 • 第 11 章 「 その他のプ ロ フ ァ イ ルの使用」 デ フ ォ ル ト プ ロ フ ァ イ ル と カ ス タ ム プ ロ フ ァ イ ルの背景情報につい ては、 「 プ ロ フ ァ イ ルの概要」 (5-1 ページ) を参照 し て く だ さ い。 デ フ ォル ト プ ロ フ ァ イルを そのま ま使用する BIG-IP では、各タ イ プのト ラ フ ィ ッ ク にそのま ま 使用でき る デフ ォ ル ト プロ フ ァ イ ルが用意さ れて いま す。 デフ ォ ルト プロ フ ァ イ ルには、 そ のタ イ プのト ラ フ ィ ッ ク の管理に関連し た プロ パテ ィ およ び設定 すべてのデフ ォ ルト 値が含ま れていま す。 デフ ォ ルト プロ フ ァ イ ルを 実装する には、 設定ユーティ リ ティ を 使用し て、 プロ フ ァ イ ルを バー チャ ルサーバに割り 当て ま す。 設定値を 構成する 必要はあ り ま せん。 詳細については、 「 プ ロ フ ァ イ ルの実装」( 5-12 ページ) を 参照し てく ださ い。 バーチ ャ ルサーバの作成ま たは変更については、 第 2 章 「バーチ ャ ル サーバの設定」 を参照 し て く だ さ い。 5-6 デ フ ォル ト プ ロ フ ァ イルを変更する 設定ユーテ ィ リ テ ィ を使用 し て、デフ ォ ル ト プ ロ フ ァ イ ルの値を変更 で き ます。 こ の方法は推奨 し ません。 デフ ォ ル ト プ ロ フ ァ イ ルの変更 は、カ ス タ ム プ ロ フ ァ イ ルの作成 よ り 単純ですばや く 行え る よ う に思 え ますが、 こ れを行 う 場合、 元の値が失われ る と い う 点に注意 し て く だ さ い。 プ ロ フ ァ イ ルを元の状態に リ セ ッ ト す る には、 手動でデフ ォ ル ト プ ロ フ ァ イ ルの設定を再度変更 し て元の値を指定す る 必要が あ り ま す (元のデフ ォ ル ト 値を確認す る には、 こ のガ イ ド 内の関連す る プ ロ フ ァ イ ルの章、ま たはオ ン ラ イ ンヘルプ を参照 し て く だ さ い)。 注 デフ ォ ル ト プ ロ フ ァ イ ルは、 すべて Common パーテ ィ シ ョ ンに置か れ ま す。 詳細 に つ い て は、 『TMOSTM Management Guide for BIG-IP® Systems』 を参照 し て く だ さ い。 デフ ォ ル ト プ ロ フ ァ イ ルの変更お よ び実装は、次の 2 つの作業か ら 成 る プ ロ セ ス です。 • ま ず、 設定ユーテ ィ リ テ ィ を使用 し て、 デフ ォ ル ト プ ロ フ ァ イ ル の設定を変更す る 必要があ り ます。 詳細については、 次の項の 「デ フ ォ ル ト プ ロ フ ァ イ ルを変更す る には 」 を参照 し て く だ さ い。 • 次に、 そのプ ロ フ ァ イ ルをバーチ ャ ルサーバに関連付け る 必要が あ り ま す。 バーチ ャ ルサーバへのプ ロ フ ァ イ ルの関連付けについ ては、 「 プ ロ フ ァ イ ルの実装」 (5-12 ページ) を参照 し て く だ さ い。 デフ ォ ルト プ ロ フ ァ イ ルを 変更する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [HTTP Profiles] 画面が開 き ます。 2. 変更す る デフ ォ ル ト プ ロ フ ァ イ ルを選択 し ます。 • http プ ロ フ ァ イ ルを変更す る 場合は、 名前 http を ク リ ッ ク し ます。 デフ ォ ル ト http プ ロ フ ァ イ ルのプ ロ パテ ィ お よ び設定が表 示 さ れ ます。 • http プ ロ フ ァ イ ル以外のデフ ォ ル ト プ ロ フ ァ イ ルを変更す る 場合は、 メ ニ ュ ーバーで該当す る プ ロ フ ァ イ ル メ ニ ュ ー を ク リ ッ ク し 、 プ ロ フ ァ イ ル タ イ プ を選択 し ま す。 こ こ で プ ロ フ ァ イ ル名を ク リ ッ ク し ます。 選択 し たデフ ォ ル ト プ ロ フ ァ イ ルのプ ロ パテ ィ お よ び設定 が表示 さ れ ます。 3. 必要に応 じ て設定を変更 し ます。 4. [Update] を ク リ ッ ク し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 5-7 第5章 プ ロ フ ァ イルについて カ ス タ ムプ ロ フ ァ イルを作成する デフ ォ ル ト プ ロ フ ァ イ ルを その ま ま、あ る いは設定変更 し て も 使用 し な い場合は、 カ ス タ ム プ ロ フ ァ イ ル を 作成で き ま す。 カ ス タ ム プ ロ フ ァ イ ルを作成 し てバーチ ャ ルサーバに関連付け る こ と で、独自の ト ラ フ ィ ッ ク 管理ポ リ シーのセ ッ ト を実装で き ます。 カ ス タ ム プ ロ フ ァ イ ル を作成す る 場合、 そのプ ロ フ ァ イ ルは子プ ロ フ ァ イ ルであ り 、指定 し た親プ ロ フ ァ イ ルの設定値を自動的に継承 し ます。 ただ し 、 必要に応 じ て子プ ロ フ ァ イ ル内の任意の値を変更で き ます。カ ス タ ム プ ロ フ ァ イ ルお よ び設定値の継承の背景情報について は、 「 カ ス タ ムプ ロ フ ァ イ ル と 親プ ロ フ ァ イ ル」 (5-4 ページ) を参照 し て く だ さ い。 親プ ロ フ ァ イ ルを指定 し ない場合、 BIG-IP では、 作成す る プ ロ フ ァ イ ルの タ イ プ と 一致す る デフ ォ ル ト プ ロ フ ァ イ ルを使用 し ます。 重要 カ ス タ ム プ ロ フ ァ イ ルが作成 さ れ る と 、 BIG-IP はそのプ ロ フ ァ イ ル を現在の管理パーテ ィ シ ョ ンに配置 し ます。パーテ ィ シ ョ ンの詳細に ついては、 『TMOSTM Management Guide for BIG-IP® Systems』 を参照 し て く だ さ い。 カ ス タ ム プロ フ ァ イ ルの実装は、 次の 2 つの作業から 成る プロ セス です。 • ま ず、 設定ユーテ ィ リ テ ィ を使用 し て、 カ ス タ ム プ ロ フ ァ イ ル を 作成す る 必要が あ り ま す。 詳細については、 次の項の 「 カ ス タ ム プ ロ フ ァ イ ルを作成す る には」 を参照 し て く だ さ い。 • 次に、 そのプ ロ フ ァ イ ルを バーチ ャ ルサーバに関連付け る 必要が あ り ま す。 バーチ ャ ルサーバへのプ ロ フ ァ イ ルの関連付けについ ては、 「プ ロ フ ァ イ ルの実装」 (5-12 ページ) を参照 し て く だ さ い。 重要 設定ユーテ ィ リ テ ィ 内で、 各プ ロ フ ァ イ ル作成画面には、 各プ ロ フ ァ イ ル設定の右側にチ ェ ッ ク ボ ッ ク ス があ り ま す。 設定のボ ッ ク ス を チ ェ ッ ク し てか ら その設定の値を指定 し た場合は、以降に親プ ロ フ ァ イ ル内の対応す る 値を変更 し て も 、プ ロ フ ァ イ ルではその値が保持 さ れます。 こ の よ う に、 設定のボ ッ ク ス をチ ェ ッ ク し てお く と 、 継承を 通 じ て親プ ロ フ ァ イ ルに よ っ て その値が上書 き さ れ る こ と があ り ま せん。 カ スタ ムプ ロ フ ァ イ ルを 作成する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで [Local Traffic] を展開 し 、 [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開いて、 デフ ォ ル ト で既存の HTTP プ ロ フ ァ イ ルすべての リ ス ト が表示 さ れます。 2. 作成す る プ ロ フ ァ イ ルの タ イ プ を選択 し ます。 • HTTP タ イ プのプ ロ フ ァ イ ルを作成す る 場合は、 ス テ ッ プ 3 に進みます。 • 別の タ イ プ の プ ロ フ ァ イ ル を 作成す る 場合は、 メ ニ ュ ー バーのプ ロ フ ァ イ ルカ テ ゴ リ を ク リ ッ ク し 、 プ ロ フ ァ イ ル タ イ プ を選択 し ます。 5-8 3. 画面の右側で [Create] を ク リ ッ ク し ます。 新 し いプ ロ フ ァ イ ルを作成す る 画面が表示 さ れ ます。 注 : [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 現在のユーザ ロ ールではプ ロ フ ァ イ ルを作成す る 権限が与え ら れていない こ と を示 し ます。 4. [Name] ボ ッ ク ス で、プ ロ フ ァ イ ルの一意の名前を入力 し ます。 5. [Parent Profile] 設定で、リ ス ト から プロ フ ァ イ ルを 選択し ま す。 デフ ォ ルト プロ フ ァ イ ルま た は別のカ ス タ ム プロ フ ァ イ ルの いずれかを 選択でき ま す。 6. すべての設定の値を指定 ま たは変更す る か、 その ま ま 使用 し ます。 • 値を指定 ま たは変更す る 場合は、 設定を見つけ て、 画面の 右側にあ る [Custom] カ ラ ム でボ ッ ク ス を ク リ ッ ク し 、 値を 入力ま たは変更 し ます。 • 親プ ロ フ ァ イ ルか ら 継承 さ れた値を その ま ま 使用す る 場合 は、 設定を その ま ま に し ます。 [Custom] カ ラ ム のボ ッ ク ス はチ ェ ッ ク し ないで く だ さ い。 7. [Finished] を ク リ ッ ク し ます。 ヒント 別の方法 と し て、設定ユーテ ィ リ テ ィ の [New Profile] 画面か ら [Main] タ ブにア ク セ ス し 、 [Local Traffic] を展開 し 、 [Profiles] メ ニ ュ ー項目 の横にあ る [Create] ボ タ ン を ク リ ッ ク し 、プ ロ フ ァ イ ル タ イ プを選択 す る こ と も で き ます。 カ ス タ ムプ ロ フ ァ イルを変更する カ ス タ ム プ ロ フ ァ イ ルを作成 し てい る 場合は、必要に応 じ て後で設定 ユーテ ィ リ テ ィ を使用 し て、カ ス タ ム プ ロ フ ァ イ ルの設定を調整で き ま す。 プ ロ フ ァ イ ル を バーチ ャ ルサーバにすでに関連付け てい る 場 合、 その作業を繰 り 返す必要はあ り ません。 重要 設定ユーテ ィ リ テ ィ 内で、 各プ ロ フ ァ イ ル作成画面には、 各プ ロ フ ァ イ ル設定の右側にチ ェ ッ ク ボ ッ ク ス が あ り ま す。 設定のボ ッ ク ス を チ ェ ッ ク し てか ら その設定の値を指定 し た場合は、以降に親プ ロ フ ァ イ ル内の対応す る値を変更 し て も 、プ ロ フ ァ イ ルではその値が保持 さ れます。 こ の よ う に、 設定のボ ッ ク ス をチ ェ ッ ク し てお く と 、 継承を 通 じ て親プ ロ フ ァ イ ルに よ っ て その値が上書 き さ れ る こ と が あ り ま せん。 BIG-IP® Local Traffic Management 設定ガ イ ド 5-9 第5章 プ ロ フ ァ イルについて カ スタ ムプ ロ フ ァ イ ルの設定を 変更する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [HTTP Profiles] 画面が開 き ます。 2. 変更する プロ フ ァ イ ルタ イ プのメ ニュ ー (Services、Persistence、 Protocols、SSL、ま たは Authentication)から 、プロ フ ァ イ ルタ イ プ を 選択し ま す。 選択し た タ イ プ の 既存の プ ロ フ ァ イ ルの リ ス ト が 表示さ れ ま す。 3. [Name] カ ラ ム で、 変更す る プ ロ フ ァ イ ルの名前を ク リ ッ ク し ます。 選択 し たプ ロ フ ァ イ ルの設定お よ び値が表示 さ れ ます。 4. すべての設定の値を変更す る か、 その ま ま使用 し ます。 • 値を変更す る 場合は、 設定を見つけ て、 画面の右側に あ る [Custom] カ ラ ム でボ ッ ク ス を ク リ ッ ク し 、値を変更 し ます。 • 親プ ロ フ ァ イ ルか ら 継承 さ れた値を その ま ま 使用す る 場合 は、 設定を その ま ま に し ます。 [Custom] カ ラ ムのボ ッ ク ス はチ ェ ッ ク し ないで く だ さ い。 • 値を親プ ロ フ ァ イ ル値に リ セ ッ ト す る 場合は、 画面の右側 にあ る [Custom]カ ラ ム でチ ェ ッ ク ボ ッ ク ス を ク リ ア し ます。 5. [Update] ボ タ ン を ク リ ッ ク し ます。 5 - 10 プ ロ フ ァ イルの表示 と 削除 設定ユーテ ィ リ テ ィ を使用 し て、 プ ロ フ ァ イ ルの リ ス ト を表示 し た り 、 BIG-IP か ら プ ロ フ ァ イ ルを削除す る こ と がで き ます。 注 ユーザ ロ ール と パーテ ィ シ ョ ン ア ク セ ス割 り 当てに基づ き、管理権限 を持つプ ロ フ ァ イ ルのみを管理す る こ と がで き ます。 プ ロ フ ァ イルの リ ス ト の表示 既存のプ ロ フ ァ イ ルの リ ス ト を表示す る こ と がで き ます。プ ロ フ ァ イ ルの リ ス ト を表示す る と 、 設定ユーテ ィ リ テ ィ では、 各プ ロ フ ァ イ ル に関す る 次の情報が表示 さ れ ます。 • プ ロ フ ァ イ ル名 • プ ロ フ ァ イ ルが配置 さ れたパーテ ィ シ ョ ン • プ ロ フ ァ イ ルの タ イ プ (パーシ ス テ ン ス お よ び認証プ ロ フ ァ イ ル のみ) • 親プ ロ フ ァ イ ル BIG-IP で定義 さ れたプ ロ フ ァ イ ルの リ ス ト を表示す る には、 次の手 順に従い ます。 ヒント 既存のプ ロ フ ァ イ ルを リ ス ト 表示す る場合、プ ロ フ ァ イ ル リ ス ト の上 に表示 さ れ る [Search] ボ ッ ク ス を使用で き ます。[Search] ボ ッ ク ス を 使用す る と 、 リ ス ト を フ ィ ル タ リ ン グす る文字列を指定 し て、 文字列 と 一致す る オブジ ェ ク ト のみを表示で き ます。デフ ォ ル ト 設定はア ス タ リ ス ク (*) で、 すべてのオブジ ェ ク ト が表示 さ れます。 プ ロ フ ァ イ ルのリ ス ト を 表示する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [HTTP Profiles] 画面が開 き ます。 2. HTTP プ ロ フ ァ イ ル以外のプ ロ フ ァ イ ルを リ ス ト す る 場合、ス テ ッ プ 3 お よ び 4 を実行 し ます。 3. メ ニ ュ ーバーで、 表示す る プ ロ フ ァ イ ルの カ テ ゴ リ を ク リ ッ ク し ます。 た と えば、 TCP プ ロ フ ァ イ ルの リ ス ト を表示す る 場合、 [Protocol] を ク リ ッ ク し ます。 4. メ ニ ュ ーか ら プ ロ フ ァ イ ル タ イ プ を選択 し ます。 該当す る プ ロ フ ァ イ ル タ イ プの リ ス ト 画面が開 き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 5 - 11 第5章 プ ロ フ ァ イルについて プ ロ フ ァ イルの削除 デフ ォ ルト プロ フ ァ イ ルを 除き 、既存のプロ フ ァ イ ルを 削除でき ま す。 プ ロ フ ァ イ ルを 削除する には 1. 前述の手順に従っ て、 関連す る プ ロ フ ァ イ ルの リ ス ト を表示 し ます。 2. 削除す る カ ス タ ム プ ロ フ ァ イ ルの左側にあ る [Select] ボ ッ ク ス を ク リ ッ ク し ます。 3. [Delete] を ク リ ッ ク し ます。 確認画面が表示 さ れ ます。 4. [Delete] を ク リ ッ ク し ます。 プ ロ フ ァ イルの実装 特定 タ イ プの ト ラ フ ィ ッ ク に対 し て プ ロ フ ァ イ ル を作成 し てい る 場 合、そのプ ロ フ ァ イ ルを 1 つ以上のバーチ ャ ルサーバに関連付け る こ と でプ ロ フ ァ イ ルを実装 し ます。 プ ロ フ ァ イ ルをバーチ ャ ルサーバに関連付け る には、そのプ ロ フ ァ イ ルを参照す る よ う にバーチ ャ ルサーバを設定 し ます。バーチ ャ ルサー バがその タ イ プの ト ラ フ ィ ッ ク を受信す る たびに、 BIG-IP に よ っ て その ト ラ フ ィ ッ ク にプ ロ フ ァ イ ル設定が適用 さ れ る ので、その動作が 制御 さ れ ます。 し たが っ て、 プ ロ フ ァ イ ルに よ っ て、 ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク タ イ プご と に機能が定義 さ れ る だけでな く 、こ れ ら の機能 がバーチ ャ ルサーバで も 利用可能にな り ます。 プ ロ フ ァ イ ルを バーチャ ルサーバに割り 当てる には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Virtual Servers] を ク リ ッ ク し ます。 [Virtual Servers] 画面が開 き ます。 2. [Name] カ ラ ム で、バーチ ャ ルサーバの名前を ク リ ッ ク し ます。 選択し た バーチャ ルサーバのプロ パテ ィ およ び設定が表示さ れま す。 3. 割 り 当て る プ ロ フ ァ イ ル タ イ プの設定を見つけ て、 デフ ォ ル ト プ ロ フ ァ イ ル ま たはカ ス タ ム プ ロ フ ァ イ ルの名前を選択 し ます。 4. 画面下部の [Update] を ク リ ッ ク し ます。 注 バーチ ャ ルサーバの作成時にバーチ ャ ルサーバにプ ロ フ ァ イ ル を割 り 当て る こ と も で き ます。 特定の種類の ト ラ フ ィ ッ ク では複数のプ ロ ト コ ルお よ びサー ビ ス を 使用す る ため、 ユーザは多 く の場合、 複数のプ ロ フ ァ イ ル を作成 し て、 単一のバーチ ャ ルサーバに関連付け ます。 5 - 12 た と えば、 ク ラ イ ア ン ト アプ リ ケーシ ョ ン で TCP、SSL、お よ び HTTP プ ロ ト コ ルお よ びサービ ス を使用 し て要求を送信す る 場合が あ り ま す。 そのため、 こ の タ イ プの ト ラ フ ィ ッ ク では、 TCP、 Client SSL、 お よ び HTTP に基づいた 3 つのプ ロ フ ァ イ ルが必要にな り ます。 各バーチ ャ ルサーバでは、そのバーチ ャ ルサーバに現在関連付け ら れ てい る プ ロ フ ァ イ ルの名前を リ ス ト し ます。ユーザは設定ユーテ ィ リ テ ィ を使用 し て、プ ロ フ ァ イ ル リ ス ト か ら プ ロ フ ァ イ ルを追加ま たは 削除で き ます。 BIG-IP では、 特定のバーチ ャ ルサーバに対 し て許可 さ れてい る プ ロ フ ァ イ ル タ イ プの組み合わせに関 し て特定の要件が あ り ます。 ト ラ フ ィ ッ ク を ダ イ レ ク ト す る 際に、プ ロ フ ァ イ ル リ ス ト 内に表示 さ れない特定 タ イ プのプ ロ フ ァ イ ル を バーチ ャ ルサーバが必要 と す る 場合は、 BIG-IP に よ っ て関連す る デフ ォ ル ト プ ロ フ ァ イ ルが使用 さ れ、 プ ロ フ ァ イ ル リ ス ト にプ ロ フ ァ イ ルが自動的に追加 さ れ ます。 た と えば、 ク ラ イ ア ン ト アプ リ ケーシ ョ ンか ら TCP、SSL、お よ び HTTP を介 し て ト ラ フ ィ ッ ク が送信 さ れ る 場合、 ユーザが SSL プ ロ フ ァ イ ルお よ び HTTP プ ロ フ ァ イ ルのみを割 り 当て てい る と き は、BIG-IP に よ っ てデフ ォ ル ト プ ロ フ ァ イ ル tcp がプ ロ フ ァ イ ル リ ス ト に自動的に 追加 さ れます。 少な く と も 、 バーチ ャ ルサーバはプ ロ フ ァ イ ル を 参照す る 必要が あ り 、 そのプ ロ フ ァ イ ルは UDP、 FastL4、 Fast HTTP、 ま たは TCP プ ロ フ ァ イ ル タ イ プに関連付け ら れてい る 必要があ り ます。 し たが っ て、 バーチ ャ ルサーバにプ ロ フ ァ イ ルを関連付けていない場合、BIG-IP で は、 UDP、 FastL4、 Fast HTTP、 ま たは TCP デフ ォ ル ト プ ロ フ ァ イ ル がプ ロ フ ァ イ ル リ ス ト に追加 さ れ ます。 BIG-IP で選択 さ れ る デフ ォ ル ト プ ロ フ ァ イ ルは、 バーチ ャ ルサーバ のプ ロ ト コ ル設定に よ っ て異な り ます。 プ ロ ト コ ルが UDP に設定 さ れてい る 場合、 BIG-IP では、 udp プ ロ フ ァ イ ルがプ ロ フ ァ イ ル リ ス ト に追加 さ れ ます。 プ ロ ト コ ルが UDP 以外に設定 さ れてい る 場合、 プ ロ フ ァ イ ル リ ス ト に FastL4 プ ロ フ ァ イ ルが追加 さ れ ます。 詳細情報 各タ イ プのプロ フ ァ イ ルの設定について は、 次の章を 参照し て く だ さ い。 • 第 6 章 「 アプ リ ケーシ ョ ン層 ト ラ フ ィ ッ ク の管理」 • 第 7 章 「 セ ッ シ ョ ンパーシ ス テ ン ス の有効化」 • 第 8 章 「プ ロ ト コ ルプ ロ フ ァ イ ルの管理」 • 第 9 章 「SSL ト ラ フ ィ ッ ク の管理」 • 第 10 章 「 アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証」 • 第 11 章 「 その他のプ ロ フ ァ イ ルの使用」 BIG-IP® Local Traffic Management 設定ガ イ ド 5 - 13 6 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 • ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ ク管理の概要 • HTTP 標準プ ロ フ ァ イルの設定 • HTTP 圧縮の設定 • デー タ 圧縮戦略の使い方 • RAM キ ャ ッ シ ュ機能の設定 • デー タ 圧縮 と RAM キ ャ ッ シ ュの最適化 • FTP プ ロ フ ァ イルの設定 • SIP プ ロ フ ァ イルの設定 • RTSP プ ロ フ ァ イルの設定 • iSession プ ロ フ ァ イルの設定 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ ク管理の概要 BIG-IP® ロ ーカル ト ラ フ ィ ッ ク 管理シ ス テ ム には、 アプ リ ケーシ ョ ン 層 ト ラ フ ィ ッ ク を イ ン テ リ ジ ェ ン ト に制御す る ためのい く つかの機 能が備わっ てい ます。 こ れ ら の機能の例 と し ては、 HTTP リ ク エ ス ト へのヘ ッ ダの挿入、 HTTP サーバ応答の圧縮があ り ます。 こ れ ら の機能は、 各種設定プ ロ フ ァ イ ル を通 し て利用で き る よ う に な っ てい ます。 プ ロ フ ァ イ ル と は、特定 タ イ プの ト ラ フ ィ ッ ク (HTTP ト ラ フ ィ ッ ク な ど) に対応す る 値 を持つ設定の グループです。 プ ロ フ ァ イ ルでは、 BIG-IP で対象の ト ラ フ ィ ッ ク タ イ プ を管理す る 方法 を定義 し ます。 アプ リ ケーシ ョ ン層 ト ラ フ ィ ッ ク の管理は、以下のプ ロ フ ァ イ ル タ イ プ を使っ て行い ます。 • HTTP (Hyptertext Transfer Protocol) • FTP (File Transfer Protocol) • SIP (Session Initiation Protocol) • RTSP (Real Time Streaming Protocol) • iSession 注 ま た、 BIG-IP®Protocol Security Module の ラ イ セ ン ス が あ る 場合は、 SMTP プ ロ フ ァ イ ルを使用す る こ と がで き ます。 SMTP プ ロ フ ァ イ ル の設定については、『Configuration Guide for BIG-IP® Protocol Security Module』 を参照 し て く だ さ い。 こ れ ら のアプ リ ケーシ ョ ン層プ ロ フ ァ イ ルに加え て、 BIG-IP にはア プ リ ケ ー シ ョ ン ト ラ フ ィ ッ ク の管理に役立つ そ の他の機能群が備 わっ てい ます。 こ れ ら の機能群には、 HTTP サービ ス と FTP サービ ス の健全性をチ ェ ッ ク す る ためのヘル ス モニ タ や、ヘ ッ ダや コ ン テ ン ツ デー タ の問い合わせや操作を行 う ための iRulesTM な ど があ り ます。詳 細については、 本ガ イ ド の残 り の章を参照 し て く だ さ い。 注 「Fast HTTP プ ロ フ ァ イ ル」 と い う プ ロ フ ァ イ ルが存在 し 、こ れは HTTP プ ロ フ ァ イ ル の 一種 で す が、 Fast HTTP プ ロ フ ァ イ ル の 使用法 は HTTP プ ロ フ ァ イ ルの も の と は異な り ます。 Fast HTTP プ ロ フ ァ イ ル の詳細については、 第 8 章 「プ ロ ト コ ルプ ロ フ ァ イ ルの管理」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 6-1 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 HTTP 標準プ ロ フ ァ イルの設定 HTTP プ ロ フ ァ イ ルを設定す る と 、 HTTP ト ラ フ ィ ッ ク 管理を各自の ニーズに合わせ る こ と がで き ます。 こ れ ら の設定は、 設定ユーテ ィ リ テ ィ の [New HTTP Profile] 画面上で、 [General Properties]、 [Settings]、 [Compression]、 [RAM Cache] の カ テ ゴ リ に分け ら れて い ま す。 プ ロ フ ァ イ ルの作成時、ま たはプ ロ フ ァ イ ルの作成後にプ ロ フ ァ イ ルの設 定を変更す る こ と で、 こ れ ら の設定を行え ます。 プ ロ フ ァ イ ルの設定 に関す る 手順については、 第 5 章 「 プ ロ フ ァ イ ルについて 」 を参照 し て く だ さ い。 [HTTP Profile] 画面の [Properties] お よ び [Settings] 領域に表示 さ れ る プ ロ フ ァ イ ル設定については、 値が存在 し ない場合は指定す る か、 必要 に応 じ てデフ ォ ル ト 値を変更す る こ と がで き ます。その他の HTTP プ ロ フ ァ イ ル設定については、 「HTTP 圧縮の設定」 (6-11 ページ) お よ び 「RAM キ ャ ッ シ ュ機能の設定」 (6-28 ページ) を参照 し て く だ さ い。 BIG-IP では、 以下の 4 種類の HTTP プ ロ フ ァ イ ルを実装す る こ と が で き ます。 • http • http-acceleration • http-wan-optimized-compression • http-lan-optimized-caching • http-wan-optimized-compression-caching こ れ ら のプ ロ フ ァ イ ルはその ま ま実装す る こ と も で き ます し 、ニーズ に応 じ て設定値を変更 し て、カ ス タ ム プ ロ フ ァ イ ルを作成す る こ と も 可能です。 • 標準 HTTP プ ロ フ ァ イ ルを実装す る 場合は、 次の 「HTTP プ ロ フ ァ イ ル設定について 」 を参照 し て く だ さ い。 • HTTP 圧縮機能を実装す る 場合は、 「HTTP 圧縮の設定」 (6-11 ペー ジ) を参照 し て く だ さ い。 • RAM キ ャ ッ シ ュ 機能を実装す る 場合は、 「RAM キ ャ ッ シ ュ 機能の 設定」 (6-28 ページ) を参照 し て く だ さ い。 • HTTP 最適化プ ロ フ ァ イ ルを実装す る 場合は、 「デー タ 圧縮 と RAM キ ャ ッ シ ュ の最適化」 (6-34 ページ) を参照 し て く だ さ い。 HTTP プ ロ フ ァ イル設定について デフ ォ ル ト の http プ ロ フ ァ イ ルを その ま ま使用す る こ と も 、 カ ス タ ム HTTP プ ロ フ ァ イ ルを作成す る こ と も で き ます。こ の http プ ロ フ ァ イ ルは、 親プ ロ フ ァ イ ルか ら 設定値を継承 し ないため、 デフ ォ ル ト プ ロ フ ァ イ ル と 見な さ れ ます。 表 6.1 (6-3 ページ) に、 HTTP タ イ プのプ ロ フ ァ イ ルのプ ロ フ ァ イ ル 設定を示 し ます。 デフ ォ ル ト 値を持つ設定については、 デフ ォ ル ト 設 定 を その ま ま 使用す る こ と も 変更す る こ と も で き ま す。 こ の表の後 に、 設定の説明 と 、 それ ら を変更す る ための手順を示 し ます。 6-2 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルのユーザ定義名を指定 し ます。プ ロ フ ァ イ ル の名前はユーザが指定す る 必要があ り ます。 デフ ォ ル ト 値な し Parent Profile カ ス タ ム プ ロ フ ァ イ ルの派生元 と す る プ ロ フ ァ イ ル を指 定 し ます。 http Basic Auth Realm ク ラ イ ア ン ト 認証の認証レルム を指定 し ます。 デフ ォ ル ト 値な し Fallback Host すべての ノ ー ド が停止 し た場合、も し く は選択 し た ノ ー ド が停止 し て関連モ ニ タ が ま だその こ と を検出 し ていない 場合に、 フ ォ ールバ ッ ク ホ ス ト と し て HTTP 302 応答を送 信す る よ う に指定 し ます。 デフ ォ ル ト 値な し Fallback on Error Codes [Fallback Host] 設定で指定し た ホ ス ト に HTTP 応答がリ ダイ レ ク ト さ れる 原因と な る HTTP エラ ーコ ード を 指定 し ま す。 デフ ォ ル ト 値な し Request Headers Insert HTTP リ ク エ ス ト に挿入す る ヘ ッ ダ文字列を指定 し ます。 デフ ォ ル ト 値な し Request Headers Erase HTTPリ ク エス ト から 消去する ヘッ ダ文字列を 指定し ま す。 デフ ォ ル ト 値な し Response Headers Allowed BIG-IP が HTTP 応答で許可す る ヘ ッ ダ を指定 し ます。 デフ ォ ル ト 値な し Response Chunking HTTP 応答に対す る チ ャ ン ク の処理方法を指定 し ます。指 定で き る 値は、 [Unchunk]、 [Rechunk]、 [Selective]、 お よ び [Preserve] です。 Selective OneConnect Transformations 接続を開いた ま ま にす る ためにHTTPヘ ッ ダ変換を実行 し Enabled (チ ェ ッ ク あ り) ます。 こ の機能では、 One ConnectTM プ ロ フ ァ イ ルの設定 が必要にな り ます。 Redirect Rewrite HTTP リ ダ イ レ ク シ ョ ン を変更で き ます。指定で き る 値は、 [Matching]、 [All]、 [Nodes]、 ま たは [None] です。 なし Encrypt Cookies BIG-IP が ク ラ イ ア ン ト シ ス テ ムに送信す る 特定の Cookie を暗号化 し ます。 デフ ォ ル ト 値な し Cookie Encryption Passphrase Cookie 暗号化のパ ス フ レーズ を指定 し ます。 デフ ォ ル ト 値な し Confirm Cookie Passphrase [Cookie Encryption Passphrase] ボ ッ ク ス で指定 し たパ ス フ レーズ を確認 し ます。 デフ ォ ル ト 値な し Maximum Header Size BIG-IP で HTTP ヘ ッ ダに許可す る 最大サ イ ズ をバ イ ト 単 位で指定 し ます。 32768 Pipelining HTTP パ イ プ ラ イ ニ ン グ を有効ま たは無効に し ます。 Enabled Insert XForwarded-For コ ネ ク シ ョ ンプー リ ン グで使用す る ため、HTTP リ ク エ ス ト に XForwarded-For ヘ ッ ダ を挿入 し ます。こ の機能に よ り 、 ク ラ イ ア ン ト の IP ア ド レ ス が XForwarded-For ヘ ッ ダの値 と し て追加 さ れます。 Disabled LWS Maximum Columns HTTP リ ク エ ス ト に挿入 さ れ る HTTP ヘ ッ ダに対 し て許可 さ れ る 最大幅を指定 し ます。 80 LWS Separator ヘ ッ ダが許可 さ れた最大幅を超え る 場合に、BIG-IPに よ っ て HTTP ヘ ッ ダ間で使用 さ れ る 区切 り 文字を指定 し ます。 \r\n Maximum Requests 単一の Keep-Alive 接続に許可 さ れ る HTTP リ ク エ ス ト の 最大数を指定 し ます。 0 Encryption 表 6.1 HTTP プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 6-3 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 設定 説明 デ フ ォル ト 値 Protocol Security チ ェ ッ ク さ れてい る (有効にな っ てい る ) 場合、 Protocol Security Module の セ キ ュ リ テ ィ プ ロ フ ァ イ ル を 使 っ て HTTP ト ラ フ ィ ッ ク のセキ ュ リ テ ィ 脆弱性をチ ェ ッ ク し ま す。 こ のオプシ ョ ンは Protocol Security Module の ラ イ セ ン ス があ る 場合にのみ利用可能です。 チ ェ ッ ク し ない 表 6.1 HTTP プ ロ フ ァ イ ルの設定 (続 き) HTTP プ ロ フ ァ イ ルを設定す る 前に、 変更す る 可能性があ る 特定の設 定に関す る 説明を読んでお く と 役立ち ます。 プ ロ フ ァ イル名の指定 HTTP プ ロ フ ァ イ ルを作成す る には、 プ ロ フ ァ イ ルの一意の名前を指 定す る 必要があ り ます。 [Name] 設定は、 HTTP プ ロ フ ァ イ ルの作成 時に値を ア ク テ ィ ブに指定す る 必要があ る 2 つの設定の う ちの 1 つで す。 その他の設定にはすべて、 デフ ォ ル ト 値があ り ます。 プ ロ フ ァ イ ル名を指定す る には、 [Name] 設定で、 プ ロ フ ァ イ ルの一 意の名前を入力 し ます。 親プ ロ フ ァ イルの指定 作成す る 各プ ロ フ ァ イ ルは、 親プ ロ フ ァ イ ルか ら 派生 し ます。 デフ ォ ル ト の http プ ロ フ ァ イ ルを親プ ロ フ ァ イ ル と し て使用す る か、 すで に作成 し てい る 別の HTTP プ ロ フ ァ イ ルを使用す る こ と がで き ます。 親プ ロ フ ァ イ ルを指定す る には、[Parent Profile] 設定でプ ロ フ ァ イ ル 名を選択 し ます。 ベーシ ッ ク 認証のレルムの指定 [Basic Auth Realm] 設定の値は、 ユーザが指定 し た文字列です。 こ の 文字列は、BIG-IP に よ っ て ク ラ イ ア ン ト 認証の一部 と し て ク ラ イ ア ン ト に送信 さ れます。 こ の設定を行 う には、 [Basic Auth Realm ] 設定で値を入力 し ます。 フ ォ ールバ ッ ク ホス ト の指定 HTTP プ ロ フ ァ イ ル内で設定可能な も う 1 つの機能は、 HTTP リ ダ イ レ ク シ ョ ン です。 HTTP リ ダ イ レ ク シ ョ ン では、 HTTP ト ラ フ ィ ッ ク を別のプ ロ ト コ ル識別子、 ホ ス ト 名、 ポー ト 番号、 ま たは URI パ ス に リ ダ イ レ ク ト で き ます。 フ ォ ールバ ッ ク ホ ス ト への リ ダ イ レ ク シ ョ ンは、対象 と な る プールの すべての メ ンバが利用で き ない場合、ま たは選択 し たプール メ ンバが 使用で き ない場合に発生 し ま す (使用で き ない (利用不可) と い う 用語は、 メ ンバが無効にな っ てい る か、down と マー ク さ れてい る か、 対応す る コ ネ ク シ ョ ン リ ミ ッ ト を超え た こ と を示 し ます) 。 1 つ以上 のプール メ ンバが利用不可であ る 場合、 BIG-IP は、 HTTP 応答 Status Code 302 Found に よ り 、HTTP リ ク エ ス ト を フ ォールバ ッ ク ホ ス ト へ リ ダ イ レ ク ト す る こ と がで き ます。 6-4 HTTP リ ダ イ レ ク シ ョ ンは し ば し ば、LB_FAILED iRule イ ベン ト が生 成 さ れた場合に も 発生 し ますが、 以下の よ う に、 こ の イ ベン ト がな く て も リ ダ イ レ ク シ ョ ン が発生す る こ と があ り ます。 • TCP3WHS が完了 し た後、 ノ ー ド が少な く と も フル応答ヘ ッ ダ を 送信す る 前に選択 し た ノ ー ド が RST を送信 し た と き • BIG-IP が要求ま たはパ イ プ ラ イ ン要求の本文部分を受信 し てい る 際に、 選択 し た ノ ー ド に到達で き ない と 判断 し た と き HTTP ト ラ フ ィ ッ ク が フ ォ ールバ ッ ク ホ ス ト に リ ダ イ レ ク ト さ れ る よ う に BIG-IP を設定す る 場合、 IP ア ド レ ス ま たは完全修飾 ド メ イ ン 名 (FQDN) を指定で き ます。 指定 し た値は、 サーバに よ っ て応答で 送信 さ れ る Location ヘ ッ ダの値にな り ます。 た と えば、 リ ダ イ レ ク シ ョ ン を http://redirector.siterequest.com と し て指定で き ます。 フ ォ ールバ ッ ク エ ラ ー コ ー ド の指定 タ ーゲ ッ ト サーバが利用不可能にな っ た場合に ト ラ フ ィ ッ ク を リ ダ イ レ ク ト す る のに加え、フ ォ ールバ ッ ク ホ ス ト への リ ダ イ レ ク ト を ト リ ガす る サーバ応答の HTTP エ ラ ー コ ー ド を指定す る こ と がで き ま す。 [Fallback Error Codes] 設定で指定す る 一般的なエ ラ ー コ ー ド に は、 500、 501、 502 があ り ます。 [Fallback Error Codes] ボ ッ ク ス にエ ラ ー コ ー ド を入力す る 際、 コ ー ド と コ ー ド の間に スペース を入れ る よ う に し ます (例 : 500 501 502)。 ま たエ ラ ー コ ー ド の範囲を指定す る こ と も で き ます (例 : 505-515)。 HTTP リ ク エ ス ト へのヘ ッ ダの挿入 HTTP プ ロ フ ァ イ ルにおけ る オプシ ョ ン の設定は、 HTTP ヘ ッ ダ挿入 です。 挿入す る HTTP ヘ ッ ダには、 ク ラ イ ア ン ト IP ア ド レ ス を含め る こ と が で き ま す。 接 続 が セ キ ュ ア ネ ッ ト ワ ー ク ア ド レ ス 変 換 (SNAT) を経由 し 、 元の ク ラ イ ア ン ト IP ア ド レ ス を保持す る 必要が あ る 場合には、 HTTP ヘ ッ ダに ク ラ イ ア ン ト IP ア ド レ ス を含め る と 便利です。 一般に、 ヘ ッ ダ挿入に指定す る フ ォ ーマ ッ ト は、 引用符付 き 文字列で す。 ただ し 、 Tool Command Language (Tcl) 表現をヘ ッ ダに挿入 し て、 希望の値に ダ イ ナ ミ ッ ク に解決す る こ と も で き ま す。 設定済みの HTTP プ ロ フ ァ イ ルをバーチ ャ ルサーバに割 り 当てた場合、 プ ロ フ ァ イ ルで指定 さ れたヘ ッ ダは、BIG-IP に よ っ てプール ま たはプール メ ン バに送信 さ れ る 任意の HTTP リ ク エ ス ト に挿入 さ れます。 注 ク ラ イ ア ン ト IP ア ド レ ス な ど の文字列を HTTP リ ク エ ス ト に挿入す る こ と に加えて、 SSL 関連ヘ ッ ダ を HTTP リ ク エ ス ト に挿入す る よ う に BIG-IP を設定で き ます。 た と えば、 ク ラ イ ア ン ト 証明書、 暗号仕 様、 ク ラ イ ア ン ト セ ッ シ ョ ン ID な ど の挿入が可能です。 こ れ ら の タ イ プのヘ ッ ダ を挿入す る には、iRule を作成す る必要があ り ます。iRule コ マ ン ド を使用 し てヘ ッ ダ挿入を実行す る詳細については、 第 17 章 「iRule の記述」 と 、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 6-5 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 HTTP リ ク エ ス ト にヘ ッ ダ を挿入す る には、 [Request Headers Insert] 設定で値を入力 し ます。 HTTP ヘ ッ ダから の コ ン テ ン ツの消去 も う 1 つのオプシ ョ ンの設定は、 [Header Erase] 設定です。 こ の設定 を使用す る と 、ク ラ イ ア ン ト か ら サーバに送信中の HTTP リ ク エ ス ト か ら ヘ ッ ダの コ ン テ ン ツ を消去す る よ う にプ ロ フ ァ イ ル を設定で き ます。 こ の機能では、 ネ ッ ト ワー ク を介 し て HTTP リ ク エ ス ト を転送 す る 前に、 要求か ら ヘ ッ ダ コ ン テ ン ツ を消去で き ま す。 こ の よ う な ヘ ッ ダ に は、 情報が転送 さ れ る 前に消去す る 必要が あ る 機密情報 (ユーザ ID、 電話番号な ど) が含ま れてい る こ と があ り ます。 こ の設定を使用す る と 、 指定 さ れたヘ ッ ダの コ ン テ ン ツ が BIG-IP に よ っ て消去 さ れ、 その コ ン テ ン ツ が空白で置 き 換え ら れます。 ヘ ッ ダ 自体は保持 さ れ ます。 注 こ の機能は、サーバか ら ク ラ イ ア ン ト に送信中の HTTP 応答には適用 さ れません。 消去対象の コ ン テ ン ツ を持つ ク ラ イ ア ン ト ヘ ッ ダは、引用符付 き 文字 列 と し て指定す る 必要があ り ます。 HTTP リ ク エ ス ト か ら ヘ ッ ダ を消 去す る には、 [Request Headers Erase] 設定で値を入力 し ます。 HTTP レ スポン スのヘ ッ ダの許可 設定ユーテ ィ リ テ ィ を使っ て、 BIG-IP で許可 さ れ る HTTP レ ス ポ ン ス の ヘ ッ ダ を 指定す る こ と が で き ま す。 ヘ ッ ダ を 指定す る に は、 [Response Headers Allowed] ボ ッ ク ス に値を入力 し ます。 複数のヘ ッ ダ を指定す る 場合は、 ヘ ッ ダ と ヘ ッ ダの間に スペース を入れ ます。 た と えば、 「Content-Type Set-Cookie Location」 と 入力す る と 、 Content-Type、Set-Cookie、Location の 3 つのヘ ッ ダが許可 さ れ ます。 チ ャ ン ク の設定 HTTP 応答の コ ン テ ン ツ を圧縮す る 場合な ど では、 HTTP アプ リ ケー シ ョ ンデー タ を検査 し た り 変更 し た り す る 必要があ り ます。こ の よ う な検査や変更では、 応答を チ ャ ン ク 解除す る (つま り 、 チ ャ ン ク エ ン コ ー ド し ない) 必要があ り ます。 [Response Chunking] 設定を使用す る と 、 BIG-IP では、 チ ャ ン ク さ れた応答に対 し て処理を実行す る 前 に、 その応答をチ ャ ン ク 解除で き ます。 こ の設定の指定可能な値は、 [Unchunk]、 [Rechunk]、 [Selective]、 お よ び [Preserve] です。 デフ ォ ル ト 値は [Selective] です。 表 6.2 に、 こ れ ら の値のそれぞれを示 し 、 元の応答がチ ャ ン ク さ れて い る かチ ャ ン ク 解除 さ れてい る かに応 じ て、 BIG-IP で行われ る 処理 を説明 し ます。 6-6 設定 元の応答がチ ャ ン ク さ れている場合 元の応答がチ ャ ン ク 解除 さ れている場合 Unchunk BIG-IP では応答をチ ャ ン ク 解除 し 、 HTTP コ ン テ ン ツ を処理 し 、 応答をチ ャ ン ク 解除 さ れてい る も の と し て渡 し ます。 すべてのデー タ が ク ラ イ ア ン ト に 送 信 さ れ る と (Connection: Close ヘ ッ ダで示 さ れます) 接続が終了 し ます。 BIG-IP では HTTP コ ン テ ン ツ を処理 し 、 応答を その ま ま渡 し ます。 Rechunk BIG-IP では応答を チャ ン ク 解除し 、 HTTP コ ン テン ツ を 処理し 、 チャ ン ク ト レ ーラ ヘッ ダを 再追加し た 後、 応答を チャ ン ク さ れて いる も の と し て 渡し ま す。 チャ ン ク 拡張はすべて 失われ ま す。 BIG-IP では、 転送エ ン コ ー ド お よ びチ ャ ン ク ヘ ッ ダ を出力側で追加 し ます。 Selective [Rechunk] と 同 じ です。 BIG-IP では HTTP コ ン テ ン ツ を処理 し た後、 応答を その ま ま渡 し ます。 Preserve BIG-IP で は応答 を チ ャ ン ク さ れ た ま ま に し 、 HTTP コ ン テ ン ツ を処理 し 、 応答を その ま ま渡 し ます。 HTTP 圧縮が有効にな っ てい る 場合で も 、 BIG-IP では応答を圧縮 し ません。 BIG-IP では HTTP コ ン テ ン ツ を処理 し た後、 応答を その ま ま渡 し ます。 表 6.2 BIG-IP のチ ャ ン ク 動作 OneConnect 変換の有効化または無効化 こ の設定は OneConnectTM 機能の一部を有効ま たは無効にす る も ので あ り 、 HTTP/1.0 接続に対 し てのみ適用 さ れ ます。 こ の設定が有効に な っ てお り 、 バーチ ャ ルサーバに OneConnect プ ロ フ ァ イ ルが割 り 当 て ら れてい る 場合、 ク ラ イ ア ン ト 接続 を開い た ま ま に し てお く ため に、 Connection ヘ ッ ダの変換が実行 さ れ ま す。 具体的には以下の よ う に変換 さ れ ます。 1. ク ラ イ ア ン ト が HTTP/1.0 要求を送信 し ます。 2. サーバが、 先頭に Connection: Close ヘ ッ ダがあ る 応答を送信 し ます。 3. BIG-IP が Connection: Close ヘ ッ ダ を Connection: Keep-Alive に変換 し ます。 4. OneConnect プ ロ フ ァ イ ルの利用を通 し て、 サーバ側の接続が 切 り 離 さ れ、 ほかの要求の対応に使われてい る 有効なサーバ 側の接続のプールに送 ら れた後、最終的に ク ロ ーズ し ます。 こ のプ ロ セ ス は ク ラ イ ア ン ト か ら は見え ない よ う にな っ てい ま す。 5. ク ラ イ ア ン ト 側の接続は開いた ま ま と な り 、 サーバ側の接続 が開いていて、 その ク ラ イ ア ン ト か ら の さ ら な る 要求を受け 入れ る こ と がで き る と い う 前提の も と 動作 し ます。 こ の設定のデフ ォ ル ト 値は、 [Enabled] です。 OneConnect 変換の有効 化 / 無効化を行 う には、 [OneConnect Transformations] 設定を有効に し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 6-7 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 重要 こ の設定を有効にす る には、 OneConnectTM プ ロ フ ァ イ ルを あわせて 設定 し 、 コ ネ ク シ ョ ンプー リ ン グ を有効にす る必要があ り ます。 コ ネ ク シ ョ ンプー リ ン グお よ び OneConnect プ ロ フ ァ イ ルの設定の詳細に ついては、 第 5 章 「プ ロ フ ァ イ ルについて」 を参照 し て く だ さ い。 OneConnectTM 機能の概要については、 第 1 章 「 ロ ーカル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 HTTP リ ダ イ レ ク シ ョ ンの書き換え 場合に よ っ ては、ク ラ イ ア ン ト リ ク エ ス ト は HTTPS プ ロ ト コ ルか ら 、 ノ ン セ キ ュ ア なチ ャ ン ネルであ る HTTPプ ロ ト コ ルに リ ダ イ レ ク ト さ れ る こ と があ り ます。 要求を セ キ ュ ア なチ ャ ン ネルで維持す る には、 元の HTTPS プ ロ ト コ ルに リ ダ イ レ ク ト さ れ る よ う に、 リ ダ イ レ ク シ ョ ン が書 き 換え ら れ る よ う に し ます。 リ ダ イ レ ク シ ョ ン の書 き 換 え は、 リ ダ イ レ ク シ ョ ン 応答の HTTP Location ヘ ッ ダのみで行われ、 リ ダ イ レ ク シ ョ ン の コ ン テ ン ツ では行 われ ません。 BIG-IP で HTTP リ ダ イ レ ク シ ョ ン を書 き 換え ら れ る よ う にす る には、 設定ユーテ ィ リ テ ィ を使用 し て、 書 き 換え時の URI の処理方法を指 定 し ます。 こ の機能が有効にな っ てい る 場合、 プ ロ ト コ ル名 と ポー ト 番号が書 き 換え ら れ ます。 こ の設定の指定可能な値は、[Matching]、[All]、[Nodes]、ま たは [None] です。 書き換え る URI の選択 HTTP リ ダ イ レ ク シ ョ ン を書 き 換え る よ う に BIG-IP を設定す る 場合、 最初に ク ラ イ ア ン ト に よ っ て要求 さ れた URI と 一致す る URI のみ(オ プシ ョ ンの末尾の ス ラ ッ シ ュ を省いた も の) を書 き 換え る か、 すべて の URI を書 き 換え る か を指定 し ます。 後者の場合は、 常に リ ダ イ レ ト 先の URI が書 き 換え ら れ ます。 こ れ ら の URI は、 最初に要求 さ れ た URI と 一致す る 場合 と 同様に書 き 換え ら れます。 URI にホ ス ト 名ではな く ノ ー ド IP ア ド レ ス が含まれ る 場合は、 その IP ア ド レ ス をバーチ ャ ルサーバア ド レ ス に変更す る よ う に BIG-IP を 設定で き ます。 表 6.3 に、 BIG-IP がポー ト 443 を リ ス ン し 、 [Rewrite Redirections] 設 定が有効にな っ てい る 場合に、ク ラ イ ア ン ト リ ク エ ス ト の リ ダ イ レ ク シ ョ ン が ど の よ う に変換 さ れ る かの例を示 し ます。 元の リ ダ イ レ ク シ ョ ン リ ダ イ レ ク シ ョ ンの書き換え http://www.myweb.com/myapp/ https://www.myweb.com/myapp/ http://www.myweb.com:8080/myapp/ https://www.myweb.com/myapp/ 表 6.3 BIG-IP がポー ト 443 を リ ス ン し てい る場合の HTTP リ ダ イ レ ク シ ョ ンの書 き換え例 6-8 表 6.4 に、 BIG-IP がポー ト 4443 を リ ス ン し 、 書 き 換え機能が有効に な っ てい る 場合、ク ラ イ ア ン ト リ ク エ ス ト の リ ダ イ レ ク シ ョ ンが ど の よ う に変換 さ れ る かの例を示 し ます。 元の リ ダ イ レ ク シ ョ ン リ ダ イ レ ク シ ョ ンの書き換え http://www.myweb.com/myapp/ https://www.myweb.com:4443/myapp/ http://www.myweb.com:8080/myapp/ https://www.myweb.com:4443/myapp/ 表 6.4 BIG-IP がポー ト 4443 を リ ス ン し てい る 場合の HTTP リ ダ イ レ ク シ ョ ンの書 き換え例 プ ロ ト コ ル名の書き換え HTTP リ ダ イ レ ク シ ョ ン を 書 き 換え る よ う に設定 さ れて い る 場合、 BIG-IP に よ っ て HTTP プ ロ ト コ ル名が HTTPS に書 き 換え ら れ ます。 た と えば、 ク ラ イ ア ン ト が要求を https://www.sample.com/bar に送信 し 、 ノ ン セ キ ュ ア なチ ャ ン ネルであ る http://www.sample.com/bar/ に 最初に リ ダ イ レ ク ト さ れ る 場合があ り ます。ク ラ イ ア ン ト リ ク エ ス ト を セキ ュ ア なチ ャ ン ネルに維持す る 場合は、 リ ダ イ レ ク ト さ れた URI を書 き 換え て https://www.sample.com/bar/ に移動す る よ う に、BIG-IP を設定で き ま す (末尾の ス ラ ッ シ ュ が追加 さ れてい る こ と に注意 し て く だ さ い)。 Cookie の暗号化 と 復号化 設定ユーテ ィ リ テ ィ を使っ て、 BIG-IP が ク ラ イ ア ン ト シ ス テ ム に送 信す る 複数の Cookie を 暗号化す る こ と がで き ま す。 暗号化 さ れた Cookie が ク ラ イ ア ン ト か ら 返信 さ れ る と 、 BIG-IP はそれ ら の Cookie を復号化 し ます。 Cookie を暗号化す る には、 [Encrypt Cookie] 設定を使っ て、 BIG-IP で 暗号化す る Cookie の名前を指定 し ます。 複数の Cookie を指定す る 場 合は、 Cookie と Cookie の間に スペース を入れます。 Cookie 名の指定が終わ っ た ら 、 [Cookie Encryption Passphrase] ボ ッ ク ス と [Confirm Cookie Encryption Passphrase] ボ ッ ク ス を使っ て、そ の Cookie のパ ス フ レーズ を入力 し ます。 最大ヘ ッ ダサイ ズの指定 Maximum Header Size 設定では、 BIG-IP で HTTP ヘ ッ ダに許可 さ れ る 最大サ イ ズ を指定で き ます。 デフ ォ ル ト 値は 32768 (バ イ ト 単位) です。 パイ プ ラ イ ニ ングのサポー ト の有効化 通常は、 前の要求が応答を受信す る ま で、 ク ラ イ ア ン ト が要求を開始 す る こ と はで き ません。 HTTP/1.1 パ イ プ ラ イ ニ ン グ を使用 し た場合、 前の要求が応答を受信 し ていな く て も 、ク ラ イ ア ン ト は複数の要求を 開始す る こ と がで き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 6-9 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 ただ し 、 開始 さ れた要求が連続 し て処理 さ れ る こ と に変わ り はな く 、 前の要求が応答を受信す る ま で キ ュ ー内の要求が処理 さ れ る こ と は あ り ません。 BIG-IP でパ イ プ ラ イ ニ ン グのサポー ト を有効に し ておけば、宛先サー バでパ イ プ ラ イ ニ ン グ を有効にす る 必要はあ り ません。 パ イ プ ラ イ ニ ン グ を有効化 / 無効化す る には、[Pipelining] 設定でボ ッ ク ス をチ ェ ッ ク し ます。 デフ ォ ル ト では、 こ の機能は [Enabled] に設 定 さ れてい ます。 XForwarded For ヘ ッ ダの挿入 コ ネ ク シ ョ ン プー リ ン グ を使用 し て ク ラ イ ア ン ト が既存のサーバ側 接続を利用で き る よ う にす る 場合、 XForwarded For ヘ ッ ダ を要求に 挿入で き ます。 こ のヘ ッ ダ を挿入す る よ う に BIG-IP を設定す る と 、 タ ーゲ ッ ト サーバでは、接続を開始 し た ク ラ イ ア ン ト 以外の ク ラ イ ア ン ト か ら 来 る 要求を識別で き ます。デフ ォ ル ト では [Disabled] に設定 さ れてい ます。 LWS 最大カ ラ ムの設定 [LWS Maximum Columns] 設定では、 HTTP リ ク エ ス ト に挿入 さ れ る ヘ ッ ダに対 し て許可 さ れ る 最大カ ラ ム数を指定 し ます。 [LWS Maximum Columns ] を設定す る には、最大値を指定 し ます。 こ の設定のデフ ォ ル ト 値は、 [80] です。 LWS セパレー タ の設定 [LWS Separator] 設定では、 ヘ ッ ダが [LWS Maximum Columns] 設定 で指定 さ れてい る 最大幅を超え る 場合に、 BIG-IP が HTTP ヘ ッ ダ間 で使用す る 区切 り 文字を指定 し ます。 [LWS Separator] 設定を設定す る には、区切 り 文字の値を指定 し ます。 こ の設定にはデフ ォ ル ト 値はあ り ません。 最大 リ ク エ ス ト 数の指定 [Maximum Requests] 設定では、 単一の Keep-Alive 接続に許可す る 要 求の最大数を指定 し ます。 指定 さ れた制限に達 し た場合、 最終応答に は Connection: close ヘ ッ ダが含ま れ、その後に接続の ク ロ ーズが続 き ます。 デフ ォ ル ト 設定の 0 を指定 し た場合、 Keep-Alive 接続ご と に無 限数の要求が許可 さ れ ます。 6 - 10 HTTP 圧縮の設定 標準的な ク ラ イ ア ン ト と サーバのシナ リ オでは、 HTTP コ ン テ ン ツ を 圧縮お よ び圧縮解除す る よ う にブ ラ ウ ザ と サーバ を 設定で き ま す。 HTTP 圧縮に よ っ て送信デー タ の量が少な く な る ので、 帯域幅の使用 量が大幅に抑え ら れ ます。 次の 2 つの項では、 HTTP 圧縮 タ ス ク を実 行す る よ う に BIG-IP を設定す る 場合の利点について説明 し ます。 標準的な ク ラ イ ア ン ト と サーバのシナ リ オにおける圧縮 ク ラ イ ア ン ト と サーバの環境で HTTP 圧縮が有効にな っ てい る 場合、 ブ ラ ウ ザは Accept-Encoding ヘ ッ ダ を ク ラ イ ア ン ト リ ク エ ス ト に挿入 し 、 ブ ラ ウ ザで認識可能な圧縮方式を指定 し ます。 その結果、 サーバ はヘ ッ ダ を読み取 り 、圧縮方式の 1 つを使用 し て応答本文を圧縮 し ま す。 そ の後サーバは、 Content-Encoding ヘ ッ ダ を 応答に挿入 し て、 サーバに よ っ て使用 さ れた圧縮方式を ブ ラ ウ ザに通知 し ます。ブ ラ ウ ザは、 圧縮 さ れた応答を受信す る と 、 Content-Encoding ヘ ッ ダ を読み 取 り 、 それに従っ てデー タ を圧縮解除 し ます。 BIG-IP を 使用せずに HTTP 圧縮を 有効にする 場合は通常、宛先サーバ 上に圧縮ソ フ ト ウ ェ ア を イ ン ス ト ールし て設定する 必要があ り ま す。 BIG-IP を使用 し た圧縮 BIG-IP のオプシ ョ ン機能 と し て、 タ ーゲ ッ ト サーバか ら HTTP 圧縮 タ ス ク の負荷を軽減で き ます。 BIG-IP 上で HTTP 圧縮を設定す る た めに必要なすべての作業お よ び圧縮 ソ フ ト ウ ェ ア自体は、 BIG-IP に 集約 さ れてい ます。 デー タ 圧縮の設定時には、 以下の こ と も あわせて行え ます。 • 特定の タ イ プのデー タ を包含す る か除外す る か を設定 • 希望す る 圧縮の質 と 速度の レベルを指定 HTTP 圧縮オプシ ョ ン を有効にす る 主な方法は、 HTTP プ ロ フ ァ イ ル の [Compression] 設定を [Enabled] に設定す る こ と です。 こ の設定を 行 う と 、HTTP プ ロ フ ァ イ ルの [URI List] 設定 も し く は [Content List] 設定で指定 し た値が [Request-URI] 応答ヘ ッ ダか [Content-Type] 応答 ヘ ッ ダの値 と 一致す る 、あ ら ゆ る 応答の HTTP コ ン テ ン ツ が圧縮 さ れ る こ と にな り ます。 注 [URI List] 設定や [Content List] 設定では、パタ ーン 文字列も し く は正規 表現で文字列を 指定する よ う にし ま す。 リ ス ト タ イ プでは、 パタ ーン 文字列の大文字 と 小文字が区別 さ れます。 た と えば、 www.f5.com と い う パ タ ーン文字列は www.F5.com と は別の も の と し て扱われます。 大文字 と 小文字の区別を無効にす る には、 Linux regexp コ マ ン ド を使 用 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 11 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 重要 HTTP プ ロ フ ァ イ ルを設定 し て圧縮を有効に し た場合、「Speed」 と い う デフ ォ ル ト の圧縮戦略が使用 さ れ る こ と にな り ます。 Speed 圧縮戦略 では、 BIG-IP は可能なかぎ り ハー ド ウ ェ ア圧縮プ ロ バ イ ダ を利用 し て、 パフ ォーマ ン ス を最大化 し ます。 圧縮戦略を変更す る には コ マ ン ド ラ イ ン イ ン タ ーフ ェ イ ス を使用 し ます。使用可能な圧縮戦略の詳細 については、 「デー タ 圧縮戦略の使い方」 (6-22 ページ) を参照 し て く だ さ い。 特定の接続に対 し て HTTP 圧縮を有効にす る には、 HTTP:compress enable コ マ ン ド を 指定す る iRule を 作成 し ま す。 詳細につい ては、 第 17 章 「iRule の記述」 と 、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 を参照 し て く だ さ い。 HTTP 圧縮が BIG-IP で有効にな っ てい る 場合、 BIG-IP では、 一連の 手順が実行 さ れ ます。 1. まず、 BIG-IP は ク ラ イ ア ン ト リ ク エ ス ト の Accept-Encoding ヘ ッ ダ を読み取 り 、 deflate ま たは gzip 圧縮方式のいずれかの 仕様を検索 し 、 いずれかの方式が優先 と し て マー ク さ れてい る か ど う か を調べます。 2. HTTPプ ロ フ ァ イ ルの[Keep Accept Encoding]設定が[Disabled] に設定 さ れてい る 場合、 BIG-IP は要求か ら Accept-Encoding ヘ ッ ダ を削除 し 、 その要求を サーバに渡 し ます。 Accept-Encoding ヘ ッ ダ を削除す る と 、 サーバに よ っ て HTTP 圧縮が実行 さ れた り 、 Content-Encoding ヘ ッ ダが応答に挿入 さ れ る こ と を回避で き ます。 3. BIG-IP は、 サーバ応答を受信す る と 、 選択 し てい る 圧縮方式 を指定す る Content-Encoding ヘ ッ ダ を挿入 し ます。BIG-IP は、 ク ラ イ ア ン ト リ ク エ ス ト の Accept-Encoding ヘ ッ ダで gzip ま たは deflate のいずれかの圧縮方式の仕様を検索す る こ と で、 圧縮方式を選択 し ま す。 ク ラ イ ア ン ト リ ク エ ス ト で圧縮方式 が指定 さ れていない場合、BIG-IP は gzip ま たは deflate 方式を 使用 し て応答デー タ を圧縮 し ます。 こ の場合、 BIG-IP で使用 さ れ る デフ ォ ル ト の方式は gzip と な り ます。 4. 最後に、 BIG-IP は応答を圧縮 し 、 ク ラ イ ア ン ト に送信 し ます。 その後 ク ラ イ ア ン ト は、 応答の Content-Encoding ヘ ッ ダ を読 み取 り 、使用 さ れてい る 圧縮方式を判断 し 、それに従っ てデー タ を圧縮解除 し ます。 BIG-IP の HTTP 圧縮機能を使用す る 場合、 指定 し た特定の タ イ プの URI ま たはフ ァ イ ルを含め る こ と も 、 除外す る こ と も で き ます。 URI やフ ァ イ ル タ イ プに よ っ てはすでに圧縮 さ れてい る も の も あ る ため、 除外が行えれば便利です。すでに圧縮 さ れてい る デー タ の圧縮に CPU リ ソ ース を使用す る こ と はお勧め し ません。通常その コ ス ト が メ リ ッ ト を 上回 る た めです。 除外に対 し て指定で き る 正規表現の例には、 .*\.pdf、 .*\.gif、 .*\.html があ り ます。 6 - 12 デー タ 圧縮のその他の設定方法 BIG-IP にデー タ 圧縮を実装す る 場合、第一の方法はカ ス タ ム HTTP プ ロ フ ァ イ ルを作成す る こ と ですが、ほかに も 以下の よ う な方法でデー タ 圧縮を実装す る こ と がで き ます。 ◆ デフ ォ ル ト の http-wan-optimized-compression プ ロ フ ァ イ ルを その ま ま 実装す る こ と がで き ま す。 こ のプ ロ フ ァ イ ルには、 デー タ 圧 縮を最適化す る ための設定が最初か ら 含ま れてい ます。 こ の場合、 設定の手間は省け ま すが、 圧縮対象のデー タ タ イ プ を細か く 制御 す る こ と がで き ません。 詳細については、 「http-wan-optimized-compression プ ロ フ ァ イ ルの使い方」 (6-35 ペー ジ) を参照 し て く だ さ い。 ◆ http-wan-optimized-compression プ ロ フ ァ イ ルを も と にカ ス タ ム プ ロ フ ァ イ ル を作成 し 、 圧縮設定を変更す る こ と がで き ま す。 詳細 については、 「http-wan-optimized-compression プ ロ フ ァ イ ルの使い 方」 (6-35 ページ) を参照 し て く だ さ い。 ◆ よ り 高度な圧縮実装を行 う には、デフ ォ ル ト のhttpプ ロ フ ァ イ ルを も と にカ ス タ ム プ ロ フ ァ イ ルを作成 し た後に、 コ マ ン ド ラ イ ン イ ン タ ーフ ェ イ ス を使っ て別の圧縮戦略を設定 し ま す。 圧縮戦略 が違えば、 で き る かぎ り 効率的な圧縮を提供す る ために、 シ ス テ ム がハー ド ウ ェ アお よ び ソ フ ト ウ ェ ア圧縮プ ロ バ イ ダ を使用す る 方法 も 変わ っ て き ます。 詳細については、 「デー タ 圧縮戦略の使い 方」 (6-22 ページ) を参照 し て く だ さ い。 デー タ 圧縮への HTTP プ ロ フ ァ イルの使用 前述し たよ う に、 データ 圧縮を 実装する ひと つの方法が、 デフ ォ ルト の http プロ フ ァ イ ルに基づいてカ ス タ ム プロ フ ァ イ ルを 作成する こ と です。表 6.5 に、作成し たカ ス タ ム HTTP プロ フ ァ イ ル内で指定可能な 圧縮設定を 示し ま す。 こ れら の設定を 行う 場合は、 デフ ォ ルト 値が存 在し ない場合に値を 指定する か、 ま たはデフ ォ ルト 値を 変更し ま す。 設定 説明 デ フ ォル ト 値 Compression HTTP 圧縮機能を有効ま たは無効に し ます。 Disabled URI Compression 特定の Request-URI 要求を包含ま たは除外す る ための 設定を表示 し ます。 指定で き る 値は、 [URI List] ま たは [Not Configured] です。 Not Configured URI List [URI Compression] 設定が [Enabled] に設定 さ れてい る 場合、 圧縮対象の URI、 お よ び URI 圧縮に包含 し た り URI 圧縮か ら 除外す る 応答の タ イ プ を指定 し ます。 デフ ォ ル ト 値な し 注 : パ ターン文字列を使用する 場合、 リ ス ト タ イ プの大 文字 と 小文字が区別 さ れ ます 詳細については、 本章の 前の項を参照 し て く だ さ い。 Content Compression 特定の Content-Type 応答を包含ま たは除外す る ための 設定を表示 し ます。 指定で き る 値は、 [Content List] ま たは [Not Configured] です。 Not Configured 表 6.5 HTTP プ ロ フ ァ イ ルの圧縮設定 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 13 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 設定 説明 デフ ォル ト 値 Content List [Content Compression] 設定が [Enabled] に設定さ れてい る 場合、圧縮対象のコ ン テン ツ のタ イ プ、およ びコ ン テン ツ 圧縮に包含し たり コ ン テン ツ 圧縮から 除外する 応答の タ イ プを 指定し ま す。 [Include List] ボ ッ ク ス では、 デ フ ォ ル ト 値は次の と お り です。 注 : パ タ ーン文字列を使用する 場合、 リ ス ト タ イ プの大 文字 と 小文字が区別 さ れ ます 詳細については、 本章の 前の項を参照 し て く だ さ い。 text/ application/(xml|x-javascript) Preferred Method 応答を圧縮す る ために使用す る 圧縮方式を指定 し ます。 指定で き る 値は、 [gzip] お よ び [deflate] です。 gzip Minimum Content Length 圧縮対象と し て受け付け可能なサーバ応答の最小長 (バ イ ト 単位) を 指定し ま す。 こ の長さ は、 コ ンテンツ の長さ のみに適用さ れ、 ヘッ ダには適用さ れま せん。 1024 Compression Buffer Size 圧縮サ イ ズ を指定す る Content-Length ヘ ッ ダ を応答に 挿入す る か ど う かが BIG-IP に よ っ て決定 さ れ る 前に、 バ ッ フ ァ に格納 さ れ る 最大圧縮バ イ ト 数を指定 し ます。 4096 gzip Compression Level 圧縮の量 と レー ト を指定 し ます。 1 - Least Compression (Fastest) gzip Memory Level サーバ応答の圧縮時に、 BIG-IP が内部圧縮バ ッ フ ァ に 使用す る メ モ リ を キ ロ バ イ ト 単位で指定 し ます。 8 gzip Window Size サーバ応答の圧縮時に BIG-IP が使用す る ウ ィ ン ド ウ サ イ ズ を キ ロ バ イ ト 単位で指定 し ます。 16 Vary Header キ ャ ッ シ ュ 可能なサーバ応答への Vary ヘ ッ ダの挿入を 有効ま たは無効に し ます。 Enabled HTTP/1.0 Requests HTTP/1.0 ク ラ イ ア ン ト リ ク エ ス ト への応答の圧縮を有 効ま たは無効に し ます。 Disabled Keep Accept Encoding 有効にな っ てい る 場合、 タ ーゲ ッ ト サーバは BIG-IP の 代わ り に HTTP 圧縮を実行で き ます。 Disabled Browser Workarounds ブ ラ ウ ザの回避策を実装 し ます。 Disabled (解除) CPU Saver チ ェ ッ ク さ れてい る 場合(有効にな っ てい る 場合)、CPU 使 用率 が 監 視 さ れ、 CPU 使用 率 が [CPU Saver High Threshold] ま たは [CPU Saver Low Threshold] のいずれ かに達す る と 、 圧縮速度が自動的に調整 さ れます。 Enabled (チ ェ ッ ク あ り ) CPU Saver High Threshold 圧縮対象の コ ン テ ン ツ量お よ び適用 さ れ る 圧縮量が変 更 さ れ る よ う にす る CPU 使用量を指定 し ます。 90 CPU Saver Low Threshold ユーザ定義の圧縮値が復元 さ れ る よ う にす る CPU 使用 量を指定 し ます。 75 表 6.5 HTTP プ ロ フ ァ イ ルの圧縮設定 (続 き) HTTP プ ロ フ ァ イ ルを設定す る 前に、 変更す る 可能性があ る 圧縮設定 に関す る 説明を読んでお く と 役立ち ます。 圧縮機能の有効化または無効化 [Compression] 設定を指定す る と 、 BIG-IP に よ っ てサーバ応答の圧縮 が実行 さ れ ます。 指定で き る 値は次の と お り です。 6 - 14 ◆ Enabled こ の 値を 設定する と 、 HTTP プ ロ フ ァ イ ルの [URI List] ま た は [Content List]設定で指定し た値と 一致する 応答すべてのHTTPサー バコ ン テン ツ の圧縮が BIG-IP によ っ て実行ま たは抑止さ れま す。 ◆ Disabled [Compression] 設定が [Disabled] に設定 さ れてい る 場合、BIG-IP で は HTTP 圧縮が実行 さ れ ません。 ◆ Selective こ の値を設定す る と 、HTTP::compress コ マ ン ド を含むiRuleに よ っ て指定 さ れた場合のみ、 BIG-IP で HTTP 圧縮が実行 さ れます。 HTTP 圧縮を有効にす る には、 [Compression ] 設定で [Enabled] を選 択 し ます。 iRule コ マ ン ド HTTP::compress <enable> を使用 し て圧縮 を有効にす る 場合は、 [Selective] を選択 し ます。 URI 圧縮の使用 圧縮を有効にす る 場合、 BIG-IP に よ っ て特定の種類のサーバ応答が 圧縮 さ れない よ う に指定で き ます。 [URI Compression] 設定を使用 し て、 その値を [URI List] に設定す る こ と で、 ク ラ イ ア ン ト リ ク エ ス ト の URI で指定 さ れてい る 特定の応答を圧縮に包含 し た り 圧縮か ら 除 外す る よ う に BIG-IP に指示で き ます。 具体的には、 正規表現を入力す る こ と で、 BIG-IP で圧縮に包含 し た り 圧縮か ら 除外 し た り す る サーバ応答の タ イ プ を指定で き ます。た と えば、正規表現 .*.htm を入力す る こ と で、すべての .htm 応答を BIG-IP で圧縮す る よ う に指定で き ま す。 こ の場合、 BIG-IP に よ り 、 該当す る 応答 タ イ プが各 ク ラ イ ア ン ト リ ク エ ス ト 内で指定 さ れてい る URI と 比較 さ れ、 一致が検出 さ れ る と 、 処理が行われます。 正規表現はすべて、 Advanced Regular Expression (ARE) 構文で指定 す る 必要があ り ます。 URI 圧縮機能を使用す る には、 [URI Compression ] 設定で [URI List] を選択 し ます。 その後、 [Include List] ボ ッ ク ス ま たは [ Exclude List] ボ ッ ク ス を使用 し て、正規表現を入力 し ます。リ ス ト (URI ま たは コ ン テ ン ツ) を指定 し ない場合、 BIG-IP ではすべての応答が圧縮 さ れ ま す。 コ ン テ ン ツ リ ス ト の詳細につい ては、 「 コ ン テ ン ツ 圧縮の使用」 (6-16 ページ) を参照 し て く だ さ い。 HTTP 圧縮への URI 指定応答の包含 [URI compression] 設定が有効にな っ てい る場合、 [Include List] に 1 つ以上の値を入力す る と 、 ク ラ イ ア ン ト リ ク エ ス ト 行の URI 部分 と 一致す る応答のみが BIG-IP に よ っ て圧縮 さ れます。 [Include List] ボ ッ ク ス では、 値を正規表現の形式で指定 し ます。 た と えば、 [Include List ] ボ ッ ク ス に値 .*.txt、 .*.htm、 お よ び .*.html が含 ま れてお り 、 こ れ ら の表現が ク ラ イ ア ン ト リ ク エ ス ト 内の URI と 一 致す る 場合、 指定 さ れた正規表現 と 一致す る URI に対す る 応答のみ が BIG-IP に よ っ て圧縮 さ れます。 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 15 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 こ の設定を問題な く 適用す る ために、 BIG-IP では [Include List] ボ ッ ク ス で指定 さ れてい る 値の少な く と も 1つで一致を検出す る 必要があ り ます。 BIG-IP に よ っ て一致が検出 さ れない場合、 応答は圧縮 さ れ ません。 HTTP 圧縮からの URI 指定応答の除外 [URI compression] 設定が有効にな っ てい る 場合、 [Exclude List] に 1 つ以上の値を入力す る と 、ク ラ イ ア ン ト リ ク エ ス ト 行の URI 部分 と 一致す る 応答が BIG-IP に よ っ て圧縮か ら 除外 さ れ ます。 [Exclude List] ボ ッ ク ス では、 値を正規表現の形式で指定 し ます。 た と えば、 [Exclude List ] ボ ッ ク ス に値 .*.pdf が含まれてお り 、 その表 現が ク ラ イ ア ン ト リ ク エ ス ト 内の URI と 一致す る 場合、こ れ ら の URI に対す る .pdf 応答はすべて、BIG-IP に よ っ て圧縮か ら 除外 さ れ ます。 こ の設定を問題な く 適用す る ために、 BIG-IP では [Exclude List] ボ ッ ク ス で指定 さ れてい る 値の少な く と も 1つで一致を検出す る 必要があ り ます。 BIG-IP に よ っ て一致が検出 さ れない場合、 応答は圧縮か ら 除外 さ れ ません。 コ ン テ ン ツ圧縮の使用 圧縮を有効にす る 場合、 BIG-IP に よ っ て特定の種類のサーバ応答が 圧縮 さ れない よ う に指定で き ま す。 [Content Compression] 設定を使 用 す る と 、 そ の 値 を [Content List] に 設 定 し て、 サ ー バ 応 答 の Content-Type ヘ ッ ダで指定 さ れてい る 特定の応答を圧縮に包含 し た り 圧縮か ら 除外す る よ う に、 BIG-IP に指示で き ます。 具体的には、 正規表現を入力す る こ と で、 BIG-IP で圧縮に包含 し た り 圧縮か ら 除外 し た り す る サーバ応答の タ イ プ を指定で き ます。た と えば、正規表現 .*.htm を入力す る こ と で、すべての .htm 応答を BIG-IP で圧縮す る よ う に指定で き ます。 こ の場合、 BIG-IP に よ り 、 該当す る 応答 タ イ プが各サーバ応答内で指定 さ れてい る Content-Type ヘ ッ ダの値 と 比較 さ れ、 一致が検出 さ れ る と 、 処理が行われます。 正規表現はすべて、 Advanced Regular Expression (ARE) 構文で指定 す る 必要があ り ます。 コ ン テ ン ツ圧縮機能を使用す る には、 [Content Compression] 設定で [Content List] を選択 し ます。 その後、 [Include List] ボ ッ ク ス ま たは [ Exclude List] ボ ッ ク ス を使用 し て、 正規表現を入力 し ます。 リ ス ト (URI ま たは コ ン テ ン ツ) を指定 し ない場合、 BIG-IP ではすべての応 答が圧縮 さ れます。 コ ン テ ン ツ リ ス ト の詳細については、 「URI 圧縮 の使用」 (6-15 ページ) を参照 し て く だ さ い。 HTTP 圧縮への Content-Type 応答の包含 圧縮が有効にな っ てい る 場合、[Include List] ボ ッ ク ス で 1 つ以上の値 を指定す る と 、 サーバの Content-Type ヘ ッ ダの値 と 一致す る 応答の みが BIG-IP に よ っ て包含 さ れます。 こ の設定の値は、 こ れ ら のヘ ッ ダ値の リ ス ト です。 た と えば、 [Include List] ボ ッ ク ス に 値 application/pdf お よ び image/** が含ま れてい る 場合、 こ れ ら の コ ン テ ン ツ タ イ プの応答のみが圧縮 さ れ ます。 6 - 16 すべてのテ キ ス ト タ イ プ を包含す る には、 こ の設定に値 text/.* を割 り 当て ます。 HTTP 圧縮から の Content-Type 応答の除外 圧縮が有効にな っ てい る 場合、 [Exclude List] ボ ッ ク ス で 1 つ以上の 値を指定す る と 、 サーバの Content-Type ヘ ッ ダの値 と 一致す る 応答 が BIG-IP に よ っ て除外 さ れます。 こ の設定の値は、 こ れ ら のヘ ッ ダ 値の リ ス ト です。た と えば、[Exclude List]ボ ッ ク ス に値application/pdf お よ び image/** が含ま れてい る 場合、 こ れ ら の コ ン テ ン ツ タ イ プの 応答は圧縮か ら 除外 さ れます。 すべてのテ キ ス ト タ イ プ を除外す る には、 こ の設定に値 text/.* を割 り 当て ます。 優先圧縮方式の指定 [ Preferred Method] 設定を使用す る と 、 応答の圧縮時に BIG-IP で使 用す る 圧縮方式を指定で き ます。 2 つの指定可能な値は、 [gzip] お よ び [deflate] です。 デフ ォ ル ト 値は [gzip] です。 圧縮に対する最小 コ ン テ ン ツ長の指定 圧縮が有効にな っ てい る 場合、 [Minimum Content Length] 設定では、 BIG-IP で圧縮対象のサーバ応答に必要 と さ れ る 最小長 (非圧縮バ イ ト 数) を指定 し ます。 BIG-IP に よ り 、 サーバ応答の Content-Length ヘ ッ ダでサーバ応答の コ ン テ ン ツ長が検出 さ れます。 し たが っ て、 応 答ヘ ッ ダで指定 さ れてい る コ ン テ ン ツ長が [Minimum Content Length] 設定に割 り 当て ら れてい る 値 よ り 小 さ い場合、 BIG-IP は応答 を圧縮 し ません。 バ イ ト 単位の長 さ は、 コ ン テ ン ツ の長 さ のみに適用 さ れ、 ヘ ッ ダには適用 さ れません。 た と えば、 デフ ォ ル ト 値 1024 を使用す る と 、 少な く と も 1024 バ イ ト を含む HTTP コ ン テ ン ツ を持つ応答のみが BIG-IP に よ っ て圧縮 さ れ ます。 場合に よ っ ては、Content-Length ヘ ッ ダに応答の コ ン テ ン ツ長が示 さ れ な い こ と が あ り ま す。 こ の よ う な場合は、 サ イ ズ にか か わ ら ず、 BIG-IP では応答が圧縮 さ れ ます。 最小の コ ン テ ン ツ長を指定す る には、 [Minimum Content Length] 設 定で数値を入力 し ます。 圧縮バ ッ フ ァ サイ ズの指定 圧縮が有効にな っ てい る 場合、 [Compression Buffer Size] 設定では、 Keep-Alive 接続を保持 し て Content-Length ヘ ッ ダ を書 き 換え る か ど う かが BIG-IP に よ っ て決定 さ れ る 前に、 バ ッ フ ァ に格納 さ れ る 最大 圧縮バ イ ト 数を指定 し ます。 た と えば、 デフ ォ ル ト 値 4096 を使用す る と 、 BIG-IP に よ っ て接続を 保持 し て Content-Length ヘ ッ ダ を書 き 換え る か ど う かが決定 さ れ る 前に、 最大 4096 バ イ ト の圧縮デー タ がバ ッ フ ァ に格納 さ れ ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 17 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 BIG-IP が Content-Length ヘ ッ ダ を書 き 換え る か ど う か を決定す る 場 合、 ([Response Chunking] プ ロ フ ァ イ ル設定を使用 し て) 応答チ ャ ン ク が有効にな っ てい る か ど う かに左右 さ れます。 表 6.6 に、 圧縮バ ッ フ ァ サ イ ズお よ び応答チ ャ ン ク に関す る BIG-IP の動作を示 し ます。 圧縮 さ れた応答のサイ ズ 圧縮 さ れた応答がチ ャ ン ク さ れてい るかど う か 最大バ ッ フ ァ サ イ ズ以上 チ ャ ン ク さ れてい る 接続を開いた ま ま に し ます (Connection ヘ ッ ダが [Close] に設定 さ れていない場合)。 チ ャ ン ク さ れていない Connection ヘ ッ ダの値を [Close] に変 更す る こ と で、 接続を閉 じ ます。 チ ャ ン ク さ れてい る 圧縮応答サ イ ズ を持つ Content-Lengthヘッ ダを挿入し ま せん。 チ ャ ン ク さ れていない 圧縮応答サ イ ズ を持つ Content-Length ヘ ッ ダ を挿入 し ます。 最大バ ッ フ ァ サ イ ズ よ り 小 さ い BIG-IP の処理 表 6.6 最大バ ッ フ ァ サ イ ズに基づいた BIG-IP の動作 詳細については、圧縮に対す る最小 コ ン テ ン ツ長の指定 を参照 し て く だ さ い。 圧縮バ ッ フ ァ サ イ ズ を指定す る には、 [Compression Buffer Size] 設定 で数値を入力 し ます。 圧縮レ ベルの指定 [gzip Compression Level] 設定を使用 し て、 デー タ の圧縮率お よ び圧 縮 速 度 を 指 定 で き ま す。 指 定 で き る 値 は、 [1 - Least Compression (Fastest)]、 [9 - Most Compression (Slowest)]、 お よ び [Other] です。 デ フ ォ ル ト の圧縮レベルは、 [1 - Least Compression (Fastest)] です。 1 か ら 9 ま での任意の整数を指定で き ます。 結果は次の と お り です。 • 指定す る 値が小 さ いほ ど、 デー タ の圧縮率は下が り 、 パ フ ォ ーマ ン ス速度は上が り ます。 し たが っ て、 値 1 を指定す る と 、 最小の 圧縮率、 最高のパフ ォ ーマ ン ス にな り ます。 • 指定す る 値が大 き いほ ど、 デー タ の圧縮率は上が り 、 パ フ ォ ーマ ン ス速度は下が り ます。 し たが っ て、 値 9 (指定可能な最大値) を 指定す る と 、 最高の圧縮率、 最低のパフ ォ ーマ ン ス にな り ます。 警告 [1 - Least Compression (Fastest)] 以外の値を選択す る と 、 シ ス テ ムパ フ ォーマ ン ス が劣化す る 可能性があ り ます。 ヒント デー タ 圧縮のための gzip レベルの使用法を変更す る こ と が可能です。 こ れを行 う には圧縮戦略を設定 し ます。 圧縮戦略 と は、 HTTP 応答に 使用す る圧縮プ ロ バ イ ダ (ハー ド ウ ェ ア ま たは ソ フ ト ウ ェ ア) を特定 6 - 18 す る も のであ り 、 利用可能な戦略には、Speed (デフ ォ ル ト 戦略)、Size、 Ratio、 Adaptive があ り ます。 圧縮戦略の設定方法については、 「デー タ 圧縮戦略の使い方」 (6-22 ページ) を参照 し て く だ さ い。 gzip 圧縮の メ モ リ レ ベルの指定 [gzip Memory Level] 設定では、 gzip ま たは deflate 圧縮方式を使用す る 場合に、 BIG-IP がデー タ の圧縮に使用す る メ モ リ の量を キ ロ バ イ ト 単位で指定 し ます。 [gzip Memory Level] 設定の値は、 2 のべ き 乗の 整数で、 1 ~ 256 の範囲のバ イ ト 数であ る 必要があ り ます。 一般に、 指定す る 値が大 き いほ ど、 BIG-IP で よ り 多 く の メ モ リ が使 用 さ れ、 圧縮速度お よ び圧縮率が上が り ます。 逆に、 指定す る 値が小 さ いほ ど、 BIG-IP で使用 さ れ る メ モ リ は少な く な り 、 圧縮速度お よ び圧縮率が下が り ます。 デフ ォ ル ト 値は 8 です。 メ モ リ レベルを指定す る には、 [gzip Memory Level] 設定で数値を選 択 し ます。 gzip 圧縮のウ ィ ン ド ウサイ ズの指定 [gzip Window Size] 設定では、gzip ま たは deflate 圧縮方式を使用 し て サーバ応答を圧縮す る 場合に、 BIG-IP が使用す る ウ ィ ン ド ウ サ イ ズ の値を キ ロ バ イ ト 単位で指定 し ます。[gzip Window Size] 設定の値は、 2のべ き 乗の整数で、1~128の範囲のバ イ ト 数であ る 必要があ り ます。 一般に、 指定す る 値が大 き いほ ど、 BIG-IP で よ り 多 く の メ モ リ が使 用 さ れ、 圧縮率が上が り ま す。 反対に、 指定す る 値が小 さ い ほ ど、 BIG-IP で使用 さ れ る メ モ リ は少な く な り 、 圧縮率が下が り ます。 デ フ ォ ル ト 値は 16 です。 ウ ィ ン ド ウ サ イ ズ を指定す る には、 [gzip Window Size] 設定で数値を 選択 し ます。 Vary ヘ ッ ダの有効化または無効化 圧縮が有効にな っ てい る 場合、 [Vary Header] 設定に よ っ て、 圧縮 さ れたサーバ応答に Vary: Accept-Encoding ヘ ッ ダが挿入 さ れ ます。 応 答内に Vary ヘ ッ ダ がすで に存在す る 場合は、 BIG-IP に よ っ て値 Accept-Encoding がそのヘ ッ ダに付加 さ れます。 Vary: Accept-Encoding ヘ ッ ダ をサーバ応答に挿入す る 理由は、 RFC2616 に よ る 推奨事項 (サーバ駆動型ネ ゴ シエーシ ョ ン を受け る キ ャ ッ シ ュ 可能な応答のすべてに Vary ヘ ッ ダ を挿入す る べ き で あ る ) に従 う ためです。 HTTP 圧縮が適用 さ れ る サーバ応答は、 こ のカ テ ゴ リ に分類 さ れ ます。 [Vary Header] 設定が無効にな っ てい る 場合、 BIG-IP は Vary ヘ ッ ダ をサーバ応答に挿入 し ません。 Vary ヘ ッ ダ を無効にす る には、 [Vary Header] 設定で [Enabled] ボ ッ ク ス を ク リ ア し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 19 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 HTTP/1.0 要求に対する圧縮の許可 [HTTP/1.0 Requests] 設定 は、 下位互換 性 の た め に 含 ま れ て お り 、 HTTP/1.0 ク ラ イ ア ン ト リ ク エ ス ト への応答に対 し て HTTP 圧縮を許 可 し ます。 こ の設定のデフ ォ ル ト 値は [Disabled] です。 こ の設定が [Enabled] に設定 さ れてい る 場合、 次のいずれかの状況の みで、 BIG-IP で応答が圧縮 さ れます。 • サーバが Connection: close ヘ ッ ダで応答す る • 応答 コ ン テ ン ツ が [Compression Buffer Size] 設定の値 よ り 大 き く ない HTTP/1.0 要求に対 し て圧縮を有効にす る には、 [HTTP/1.0 Requests] 設定でボ ッ ク ス をチ ェ ッ ク し ます。 Accept-Encoding ヘ ッ ダの保持 通常は、 HTTP 圧縮を有効にす る と 、 BIG-IP に よ っ て HTTP リ ク エ ス ト か ら Accept-Encoding ヘ ッ ダが除去 さ れ ます。 こ れに よ り 、 BIG-IP では、タ ーゲ ッ ト サーバの代わ り に HTTP 圧縮を実行で き る よ う にな り ます。 デフ ォ ル ト では、[Keep Accept Encoding] 設定は無効にな っ てい ます。 BIG-IP ではな く タ ーゲ ッ ト サーバで HTTP 圧縮を実行可能にす る に は、 こ の設定を有効に し ます。 ブ ラ ウザの回避策の実装 [Browser Workarounds] 設定を有効にす る と 、 コ ン テ ン ツ の圧縮時に 発生す る 一般的なブ ラ ウ ザ問題に対す る 組み込みの回避策が BIG-IP で使用 さ れ ます。 デフ ォ ル ト 設定は無効にな っ てい ます (解除) 。 具 体的に言 う と 、 こ の設定を有効にす る と 、 次の条件のいずれかが発生 し た場合、 BIG-IP はサーバ応答を圧縮 し ません。 6 - 20 • ク ラ イ ア ン ト ブ ラ ウ ザが Netscape® バージ ョ ン 4.0x であ る 。 • ク ラ イ ア ン ト ブ ラ ウ ザが Netscape バージ ョ ン 4.x (つま り 、 バー ジ ョ ン 4.10 以上) であ り 、 サーバ応答の Content-Type ヘ ッ ダが text/html ま たは text/plain に設定 さ れていない。 • ク ラ イ ア ン ト ブ ラ ウ ザが Microsoft® Internet Explorer® (任意のバー ジ ョ ン) であ り 、 サーバ応答の Content-Type ヘ ッ ダが text/css ま たは application/x-javascript のいずれかに設定 さ れてお り 、 ク ラ イ ア ン ト 接続で SSL が使用 さ れてい る 。 • ク ラ イ ア ン ト ブ ラ ウ ザが Microsoft® Internet Explorer® (任意のバー ジ ョ ン) であ り 、 サーバ応答の Content-Type ヘ ッ ダが text/css ま たは application/x-javascript のいずれかに設定 さ れてお り 、サーバ 応答の Cache-Control ヘ ッ ダが no-cache に設定 さ れてい る 。 CPU Saver [CPU Saver] 設定を有効にす る と 、 CPU 使用率が監視 さ れ、 CPU 使用 率が [CPU Saver High Threshold] ま たは [CPU Saver Low Threshold] のいずれかで定義 さ れてい る パーセ ン テージに達す る と 、圧縮速度が 自動的に調整 さ れ ま す。 デ フ ォ ル ト で は有効に設定 さ れ て い ま す (チ ェ ッ ク さ れてい ます)。 CPU Saver High Threshold [CPU Saver High Threshold] 設定では、 圧縮対象の コ ン テ ン ツ量お よ び適用 さ れ る 圧縮量が自動的に低減 さ れ始め る CPU 使用率を指定 し ます。 デフ ォ ル ト 設定は 90 パーセ ン ト です。 CPU Saver Low Threshold [CPU Saver Low Threshold] では、 ユーザ定義の速度で コ ン テ ン ツ圧 縮が再開 さ れ る CPU 使用率を指定 し ます。デフ ォ ル ト 設定は 75 パー セ ン ト です。 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 21 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 デー タ 圧縮戦略の使い方 標準のHTTPプ ロ フ ァ イ ル設定プ ロ バ イ ダ よ り も さ ら に細か く デー タ 圧縮方法を制御 し たい場合は、デフ ォ ル ト 戦略以外の圧縮戦略を有効 に し ます。 デフ ォ ル ト の圧縮戦略は [Speed] です。 本項では、 BIG-IP で利用可能な圧縮プ ロ バ イ ダ、 4 種類の圧縮戦略、 お よ び Adaptive 圧縮戦略の詳 し い使い方について説明 し ます。 注 圧縮戦略の設定に使用で き る ツールは BIG-IP コ マ ン ド ラ イ ン イ ン タ ーフ ェ イ ス のみ と な っ てい ます。 戦略を明示的に設定 し ない場合、 あ る いは コ マ ン ド ラ イ ン イ ン タ ーフ ェ イ ス ではな く 設定ユーテ ィ リ テ ィ を使っ て圧縮を設定す る場合は、 Speed がデフ ォ ル ト 戦略 と し て 使用 さ れます。 圧縮プ ロバイ ダの概要 BIG-IP では、 圧縮プ ロ バ イ ダ を利用 し て HTTP サーバ応答の圧縮を 行い ます。圧縮プ ロ バ イ ダ はハー ド ウ ェ ア カー ド も し く は ソ フ ト ウ ェ アプ ロ グ ラ ム の形態を と り 、 こ れ ら を マルチプ ロ セ ッ サ BIG-IP シ ス テ ム に イ ン ス ト ール し て、 HTTP デー タ の圧縮を 実行で き る よ う に な っ てい ます。 BIG-IP でのデー タ 圧縮に使用可能な ソ フ ト ウ ェ アお よ びハー ド ウ ェ アの圧縮プ ロ バ イ ダには以下の も のがあ り ます。 ◆ ハー ド ウ ェ ア圧縮カー ド ハー ド ウ ェ ア圧縮カー ド を使 う こ と で、 デー タ 圧縮の速度が向上 し ます。 ハー ド ウ ェ ア圧縮カー ド は、 6400、 6800、 8400 の BIG-IP プ ラ ッ ト フ ォ ー ム で オ プ シ ョ ン と し て提供 さ れ てお り 、 8800 プ ラ ッ ト フ ォ ームには標準搭載 さ れてい ます。 ◆ zlib zlib ツールは、BIG-IP シ ス テ ム ソ フ ト ウ ェ アに含まれ る ソ フ ト ウ ェ ア圧縮プ ロ バ イ ダです。 ハー ド ウ ェ ア圧縮カー ド が ビ ジー状態で それ以上デー タ を圧縮で き ない場合にのみ、zlib が使用 さ れ る よ う にな っ てい ます。 ハー ド ウ ェ ア圧縮プ ロ バ イ ダは、ソ フ ト ウ ェ ア圧縮プ ロ バ イ ダに く ら べて圧縮品質の レベルが低 く な っ てい る ため、 注意が必要です。 こ れ に対 し て、 ソ フ ト ウ ェ ア圧縮プ ロ バ イ ダでは、 質の高い圧縮を提供す る ためにハー ド ウ ェ ア圧縮プ ロ バ イ ダ よ り も 多 く のシ ス テ ム リ ソ ー ス を必要 と し ます。 bigpipe ユーテ ィ リ テ ィ を使っ て、 シ ス テ ムに配置 さ れたハー ド ウ ェ ア圧縮プ ロ バ イ ダ を確認す る こ と がで き ます。 圧縮戦略の選択について コ マ ン ド ラ イ ン イ ン タ ーフ ェ イ ス を使っ て BIG-IP の圧縮設定を行 う 場合、 Speed、 Size、 Ratio、 Adaptive の 4 つの圧縮戦略か ら 1 つを選 択す る こ と がで き ま す。 BIG-IP では、 ユーザが選択 し た 圧縮戦略 を 使用 し て、ど の圧縮プ ロ バ イ ダ を使っ て任意の HTTP 応答を処理す る 6 - 22 か を決定 し ます。 HTTP 応答はい っ たん圧縮プ ロ バ イ ダに割 り 当て ら れ る と 、応答が完了す る ま でその圧縮プ ロ バ イ ダに関連付け ら れた ま ま と な り ます。 表 6.7 で、 4 つの圧縮戦略について説明 し てい ます。 圧縮戦略 説明 Speed デフ ォ ル ト の圧縮戦略です。 可能なかぎ り ハー ド ウ ェ ア圧縮プ ロ バ イ ダが利用 さ れ、 ハー ド ウ ェ アが ビ ジー状態の場合にのみ、 ソ フ ト ウ ェ ア圧縮プ ロ バ イ ダ を使っ て HTTP サーバ応答の圧縮が行なわれます。 Speed は、 一括圧 縮を行 う 場合や CPU オーバーヘ ッ ド を制限す る 場合に も っ と も 適 し た圧縮戦略です。 Size BIG-IP は、 TMM と Offload の比率を使い、 で き る だけ多 く の圧縮を こ の ソ フ ト ウ ェ アで実行 し ま す。 ソ フ ト ウ ェ アがビ ジー状態の場合にのみ、 ハー ド ウ ェ ア圧縮プ ロ バ イ ダ を使っ て HTTP サーバ 応答の圧縮が行なわれます。 Size 戦略を使用す る こ と で、 CPU オーバーヘ ッ ド の負担が軽減 さ れ ます。 Ratio 重み付け ラ ウ ン ド ロ ビ ン法を使っ て、 デー タ 圧縮に使用す る 圧縮プ ロ バ イ ダ を決定 し ます。 Ratio 戦略を使用 し た場合、 CPU オーバーヘ ッ ド が制限 さ れ る と 同時に、 圧縮率が上が り ます。 Adaptive BIG-IP では、 最初に ソ フ ト ウ ェ ア圧縮プ ロ バ イ ダ を使っ て HTTP サーバ応答の圧縮を行い ます。 HTTP プ ロ フ ァ イ ルで設定 し た gzip 圧縮レベル と 、シ ス テ ムに実装 さ れたハー ド ウ ェ ア圧縮プ ロ バ イ ダの両方に基づ き 、 ハー ド ウ ェ ア圧縮プ ロ バ イ ダへの切 り 替えが行われます。 シ ス テ ムの負荷が上昇す る と 、 BIG-IP は希望の gzip 圧縮レベル (HTTP プ ロ フ ァ イ ルで指定) を 下げて対応 し ます。 ハー ド ウ ェ ア圧縮プ ロ バ イ ダの利用は、 ユーザが指定 し た gzip 圧縮レベル、 も し く は系統的に下げ ら れた gzip 圧縮レベルがそのプ ロ バ イ ダで提供可能な場合にかぎ ら れます。 Adaptive 戦略を使えば、 BIG-IP での圧縮処理を細か く 制御す る こ と がで き ます。 表 6.7 圧縮戦略の説明 Adaptive 圧縮戦略の概要 Adaptive 圧縮戦略では、BIG-IP が ソ フ ト ウ ェ ア と ハー ド ウ ェ アの両方 の圧縮プ ロ バ イ ダ を可能なかぎ り 効率的な方法で利用 し て、最高品質 の圧縮を提供 し つつ、ロ ー ド バ ラ ン シ ン グのための リ ソ ース を確保で き る よ う に指定 し ます。 Adaptive 圧縮を有効にす る と 、 BIG-IP は指 定 し た品質レベル (gzip レベル) に基づ き 、 有効な圧縮プ ロ バ イ ダか ら 1 つを選択 し て HTTP サーバ応答を圧縮 し ます。 Adaptive 圧縮は、 ハー ド ウ ェ ア圧縮カー ド が実装 さ れた BIG-IP 6400、 6800、 8400 で も っ と も 有効に機能 し ます。 Adaptive 圧縮を使用す る には、 次の タ ス ク を実行 し ます。 • BIG-IP で Adaptive 圧縮を有効にす る 。 • HTTP プ ロ フ ァ イ ルを作成 し て、 gzip 圧縮レベルを設定す る 。 Adaptive 圧縮設定の詳細につい て は、 「Adaptive 圧縮の設定」 (6-26 ページ) を参照 し て く だ さ い。 Adaptive 圧縮戦略を設定す る と 、 以下の よ う な効果があ り ます。 ◆ シ ス テ ム の負荷が低下す る と 、Adaptive 圧縮戦略に よ っ てサーバ応 答の圧縮品質を段階的に上げ る こ と がで き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 23 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 ◆ シ ス テ ムの負荷が上昇す る と 、Adaptive 圧縮戦略に よ っ てサーバ応 答の圧縮品質を段階的に下げ る こ と がで き ます。 こ れに よ っ て、増 加 し た ト ラ フ ィ ッ ク の ロ ー ド バ ラ ン シ ン グにシ ス テ ム リ ソ ー ス を あ て る こ と が可能です。 ◆ ト ラ フ ィ ッ ク 量が ピー ク に達 し た場合、お よ び HTTP プ ロ フ ァ イ ル で設定 し た gzip 圧縮レベルに基づ き 、 ハー ド ウ ェ ア圧縮プ ロ バ イ ダ を使っ てデー タ の圧縮が開始 さ れます。 プ ラ ッ ト フ ォ ームご と の違いについて Adaptive 圧縮戦略を設定す る 場合、 BIG-IP で使用 さ れ る 圧縮プ ロ バ イ ダは、 ユーザが設定 し た gzip レベル (圧縮の品質 と 速度の望ま し いバ ラ ン ス) だけでな く 、 プ ラ ッ ト フ ォ ームの種類に よ っ て も 変わ っ て き ます。 表 6.8 では、 各プ ラ ッ ト フ ォーム がデー タ 圧縮に使用す る 圧縮プ ロ バ イ ダについて説明 し てい ます。 BIG-IP プ ラ ッ ト フ ォ ーム 6400/6800 8400 8800 使用 さ れる圧縮プ ロバイ ダ ハー ド ウ ェ ア圧縮カー ド が イ ン ス ト ール さ れていれば、 そのハー ド ウ ェ ア カー ド が使用 さ れ ま す。 ハー ド ウ ェ ア カー ド が ビ ジー状態であ っ た り 、 ハー ド ウ ェ ア カー ド が イ ン ス ト ール さ れて いない場合には、 zlib が使われます。 ハー ド ウ ェ ア圧縮カー ド が イ ン ス ト ール さ れていれば、ユーザが設定 し た gzip レベルに応 じ て、 そのハー ド ウ ェ ア カー ド か zlib のいずれかが使用 さ れます。 ハー ド ウ ェ ア カー ド が イ ン ス ト ー ル さ れていない場合は、 zlib が使われます。 設定 さ れた gzip レベルに応 じ て、 ハー ド ウ ェ ア カー ド か zlib のいずれかが使われます。 ハー ド ウ ェ ア カー ド が ビ ジー状態の場合は、 zlib が使われます。 表 6.8 BIG-IP プ ラ ッ ト フ ォームで使用 さ れ る圧縮プ ロ バ イ ダ gzip レ ベルの概要 Adaptive 圧縮の仕組みを理解す る には、 HTTP プ ロ フ ァ イ ルでの gzip 圧縮 レ ベル設定について把握す る 必要が あ り ま す。 設定ユーテ ィ リ テ ィ を使っ た HTTP プ ロ フ ァ イ ルの設定 (gzip 圧縮レベルの設定を含 む) については、 『Configuration Guide for BIG-IP® Local Traffic Management』 を参照 し て く だ さ い。 Adaptive 圧縮を有効にす る と 、ユーザが HTTP プ ロ フ ァ イ ルで設定 し た gzip 圧縮レベルが使用 さ れ ますが、 その際の使用法はシ ス テ ムに ど のハー ド ウ ェ ア圧縮プ ロ バ イ ダが実装 さ れてい る かに よ っ て違っ て き ます。 HTTP プ ロ フ ァ イ ルの作成時に、 gzip 圧縮レベルを 9 ~ 0 の範囲で設定 し ます。 gzip 圧縮レベルが高ければ高いほ ど、 圧縮品質 も 上昇 し 、決め ら れた品質に到達す る ために よ り 多 く の リ ソ ース が必 要にな り ます。 6 - 24 た と えば、BIG-IP の RAM キ ャ ッ シ ュ 機能を利用 し て応答デー タ を格 納 し てい る 場合は、 gzip 圧縮レベルを 9 に設定 し ます。 こ れは、 RAM キ ャ ッ シ ュ に格納 さ れ る デー タ は応答で継続的に再利用 さ れ る こ と か ら 、 それ ら のデー タ の圧縮で き わめて高い品質が求め ら れ る ため です。 BIG-IP での ト ラ フ ィ ッ ク フ ロ ーが増加す る と 、 圧縮品質はプ ロ フ ァ イ ルで設定 し た gzip 圧縮レベルか ら 自動的に低下 し ます。 指定 さ れ た圧縮 レ ベルにハー ド ウ ェ ア圧縮プ ロ バ イ ダ で対応で き る ポ イ ン ト に ま で gzip 圧縮レベルが低下す る と 、 BIG-IP は ソ フ ト ウ ェ ア圧縮プ ロ バ イ ダ では な く ハー ド ウ ェ ア 圧縮プ ロ バ イ ダ を 使用 し て、 HTTP サーバ応答の圧縮を行い ます。 BIG-IP 6400、 6800、 8400 での gzip レ ベルの指定 ハー ド ウ ェ ア カー ド が実装 さ れた BIG-IP 6400、6800、8400 で Adaptive 圧縮を有効にす る と 、そのシ ス テ ム での圧縮が HTTP プ ロ フ ァ イ ルの gzip 圧縮レベル設定に影響を受け る こ と にな り ます。 表 6.9 (6-25 ページ) に、 6400、 6800、 8400 プ ラ ッ ト フ ォ ームにおけ る gzip 圧縮レベルの影響について ま と めてい ます。 gzip レ ベル 圧縮プ ロバイ ダへの影響 9~2 ソ フ ト ウ ェ ア圧縮プ ロ バ イ ダは、指定 し た レベル と シ ス テ ム負荷の両方に基づ き 、圧縮を実行 し ます。 ソ フ ト ウ ェ ア 圧縮プ ロ バ イ ダに よ っ て処理 さ れ る タ ス ク の数が一定値 (bigdb キー 「Compression.ProviderBusy」 に よ り 定義) を 超え る と 、ハー ド ウ ェ ア圧縮プ ロ バ イ ダが応答の圧縮を開 始 し ます。 負荷が減 り 、 利用可能な リ ソ ース が増えれば、 ソ フ ト ウ ェ ア圧縮プ ロ バ イ ダがふた たび応答の圧縮を開 始 し ます。 1 bigdb 設定キー 「Compression.Adaptive.AHA.UseAtGzip1」 が有効にな っ ていないかぎ り 、 BIG-IP は ソ フ ト ウ ェ ア圧 縮プ ロ バ イ ダ を ハー ド ウ ェ ア圧縮プ ロ バ イ ダ よ り 先に使 用 し よ う と し ます。 こ のキーが有効にな っ ていれば、 ハー ド ウ ェ ア圧縮プ ロ バ イ ダが使用 さ れます。 0 BIG-IP は、 ハー ド ウ ェ ア圧縮プ ロ バ イ ダ を ソ フ ト ウ ェ ア 圧縮プ ロ バ イ ダ よ り 先に使用 し よ う と し ます。 ま た、 ハー ド ウ ェ ア圧縮プ ロ バ イ ダ使用時には、最小限の圧縮が実行 さ れます。 注 : gzip レベルを 0 に設定 し た場合、 あ る 程度の圧縮が常 に実行 さ れ る こ と にな り ます。 表 6.9 6400、 6800、 8400 シ ス テ ムにおけ る gzip レベルの影響 BIG-IP 8800 での gzip レ ベルの指定 ハー ド ウ ェ ア カー ド が実装 さ れた BIG-IP 8800 で Adaptive 圧縮を有効 にす る と 、 同シ ス テ ム での圧縮が HTTP プ ロ フ ァ イ ルの gzip 圧縮レ ベル設定に影響を受け る こ と にな り ます。 表 6.10 (6-26 ページ) に、 8800 プ ラ ッ ト フ ォ ーム におけ る gzip 圧縮 レベルの影響について ま と めてい ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 25 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 gzip レ ベル 圧縮プ ロバイ ダへの影響 9~4 gzip 圧縮レベルを 9 ~ 4 に設定す る と 、 シ ス テ ム負荷が上昇 し 始め る ま で、 ソ フ ト ウ ェ ア圧 縮プ ロ バ イ ダが圧縮を実行 し ます。 シ ス テ ム負荷の上昇が始ま る と 、 それに従い gzip レベル (つま り 圧縮品質) が低下 し ます。 ソ フ ト ウ ェ ア圧縮プ ロ バ イ ダに よ っ て処理 さ れ る タ ス ク の数が一定値 (bigdb キー 「Compression.ProviderBusy」 に よ り 定義) を超え る と 、 ハー ド ウ ェ ア圧縮プ ロ バ イ ダが応答 の圧縮を開始 し ます。 ソ フ ト ウ ェ ア圧縮プ ロ バ イ ダに よ っ て処理 さ れ る タ ス ク の数がその値 を下回っ た時点で、 ソ フ ト ウ ェ ア圧縮プ ロ バ イ ダが応答の圧縮を再開 し ます。 3~0 gzip 圧縮レベルを 3 ~ 0 に設定す る と 、 タ ス ク の数が一定値 (bigdb キー 「Compression.ProviderBusy」 に よ り 定義) を超え る ま で、 ハー ド ウ ェ ア圧縮プ ロ バ イ ダが圧 縮を実行 し ます。 その後、 ソ フ ト ウ ェ ア圧縮プ ロ バ イ ダが応答の圧縮を開始 し ます。 ハー ド ウ ェ ア圧縮プ ロ バ イ ダに よ っ て処理 さ れ る タ ス ク の数がその値を下回 っ た時点で、 ハー ド ウ ェ ア圧縮プ ロ バ イ ダが応答の圧縮を再開 し ます。 注 : ハー ド ウ ェ アプ ロ バ イ ダは 1 と 0 の gzip レベルをサポー ト し てい ません。 し たがっ て、 1 ま たは 0 を指定 し た と し て も 、 ハー ド ウ ェ アプ ロ バ イ ダは実際には 2 よ り も わずかに上の レベルでデー タ の圧縮を行い ます。 ハー ド ウ ェ ア圧縮プ ロ バ イ ダがビ ジー状態にな っ た場合 は、 ソ フ ト ウ ェ アプ ロ バ イ ダが レベル 1 ま たは 0 で圧縮を行 う こ と がで き ます。 表 6.10 8800 シ ス テ ムにおけ る gzip レベルの影響 Adaptive 圧縮の設定 Adaptive 圧縮の設定では、カ ス タ ム HTTP プ ロ フ ァ イ ルの圧縮設定だ けでな く 、 コ マ ン ド ラ イ ン イ ン タ ーフ ェ イ ス も あわせて使用 し ます。 コ マ ン ド ラ イ ン イ ン タ ーフ ェ イ ス を使用す る のは、 圧縮戦略を Speed (デフ ォ ル ト ) か ら Adaptive に変更す る 場合です。 Adaptive 圧縮戦略では、 HTTP プ ロ フ ァ イ ルで指定 し た [gzip Compression Level] 設定が使用 さ れ ます。 gzip レベル と [gzip Compression Level] 設定の詳細については、「gzip レベルの概要」(6-24 ページ) と 「圧縮レベルの指定」 (6-18 ページ) を参照 し て く だ さ い。 圧縮統計情報の表示 BIG-IP の圧縮計情報を表示す る には、 bigpipe ユーテ ィ リ テ ィ を使用 し ます。 ト ラ フ ィ ッ ク ス ループ ッ ト の情報のほか、 ハー ド ウ ェ ア圧縮 プ ロ バ イ ダ ご と の合計圧縮率 も あわせて確認す る こ と が可能です。 表 6.11 (6-26 ページ) で、 表示 さ れ る 圧縮統計情報について説明 し て い ます。 圧縮統計情報 説明 pre BIG-IP が受信 し た圧縮 さ れていない ト ラ フ ィ ッ ク の量。 post BIG-IP が送信 し た圧縮 さ れた ト ラ フ ィ ッ ク の量。 表 6.11 圧縮統計情報の説明 6 - 26 圧縮統計情報 説明 null BIG-IP が圧縮ヘ ッ ダに ラ ッ プ し た圧縮 さ れていない コ ン テ ン ツの量。 注 : BIG-IP は コ ン テ ン ツ を圧縮ヘ ッ ダに ラ ッ プ し ますが、 許可 さ れた圧縮量 ( メ ガバ イ ト ) を超えた場合、 も し く は CPU サーバがア ク テ ィ ブにな っ てい る 場合は、 それ ら の コ ン テ ン ツ が圧縮 さ れ る こ と はあ り ません。 saved 圧縮前の コ ン テ ン ツ量 と 圧縮後の コ ン テ ン ツ量の比率。 表 6.11 圧縮統計情報の説明 (続 き ) 図 6.1 は bigpipe コ マ ン ド http show コ マ ン ド の結果例です。 圧縮統 計情報は出力の最終行に示 さ れ ます。 GLOBAL HTTP STATISTICS | requests (total, max in conn, GET, POST) = (0, 0, 0, 0) | requests (v0.9, v1.0, v1.1) = (0, 0, 0) | responses (v0.9, v1.0, v1.1) = (0, 0, 0) | responses (2xx, 3xx, 4xx, 5xx) = (0, 0, 0, 0) | response size ( | ( <1k, 0, 1-4k, 0, 4-16k, 16-32k, 32-64k) 0, 0, 0) | Set-Cookie header insertions = 0 | RAM cache (entries, size, evict) = (0, 0, 0) | RAM cache hit count (hits, misses, misses all) = (0, 0, 0) | RAM cache byte count (hits, misses, misses all) = (0, 0, 0) COMPRESSION STATISTICS -| total bytes (pre, post, null, saved) = (0, 0, 0, 0.00%) 図 6.1 BIG-IP 8800 に対する http show コ マ ン ド の出力例 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 27 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 RAM キ ャ ッ シ ュ機能の設定 こ の項では、 BIG-IP で RAM キ ャ ッ シュ 機能のプロ パティ を 設定する 方法について説明し ま す。RAM キ ャ ッ シュ と は、BIG-IP の RAM に格 納さ れている HTTP オブジェ ク ト のキ ャ ッ シュ で、 バッ ク エン ド サー バの負荷を 軽減する ために、 以降の接続で再利用さ れる も のです。 RAM キ ャ ッ シ ュの基礎 BIG-IP で RAM キ ャ ッ シ ュ 機能を設定す る 前に、以下の よ う な概念を 考慮に入れ る 必要があ り ます。 • ど の よ う な場合に RAM キ ャ ッ シ ュ を使用す る か • ど の よ う な項目がキ ャ ッ シ ュ 可能か • キ ャ ッ シ ュ の メ カニズム どのよ う な場合に RAM キ ャ ッ シ ュ機能を使用するか RAM キ ャ ッ シ ュ 機能 を 使用す る と 、 バ ッ ク エ ン ド サーバへの ト ラ フ ィ ッ ク 負荷を軽減で き ます。サ イ ト のオブジ ェ ク ト に対す る 需要が 高い場合、 サ イ ト に大量の ス タ テ ィ ッ ク コ ン テ ン ツ があ る 場合、 ま た はサ イ ト のオブジ ェ ク ト が圧縮 さ れてい る 場合に、こ の機能は役立ち ます。 ◆ 高需要オブジ ェ ク ト こ の機能は、 特定の コ ン テ ン ツ に対す る 需要が高い時間帯が あ る サ イ ト に役立ち ます。 RAM キ ャ ッ シ ュ が設定 さ れてい る 場合、 コ ン テ ン ツ サーバは有効期限ご と に 1 度だけ、 BIG-IP に コ ン テ ン ツ を配信す る 必要があ り ます。 ◆ ス タ テ ィ ッ ク コ ンテンツ サ イ ト が大量の ス タ テ ィ ッ ク コ ン テ ン ツ (CSS フ ァ イ ル、JavaScript フ ァ イ ル、 イ メ ージ、 ロ ゴ な ど) で構成 さ れてい る 場合に も 、 こ の機能が役立ち ます。 ◆ コ ン テ ン ツ圧縮 圧縮可能なデー タ については、 RAM キ ャ ッ シ ュ では圧縮デー タ の 受け付けが可能な ク ラ イ ア ン ト 用にデー タ を格納で き ます。 RAM キ ャ ッ シ ュ を BIG-IP の圧縮機能 と 併用 し た場合、 BIG-IP お よ び コ ン テ ン ツ サーバの負荷が軽減 さ れ ます。 キ ャ ッ シ ュ可能な項目 RAM キ ャ ッ シ ュ 機 能 は、 RFC 2616、 Hypertext Transfer Protocol -HTTP/1.1 に記述 さ れてい る キ ャ ッ シ ュ 仕様に完全に準拠 し てい ます。 つま り 、 次の コ ン テ ン ツ タ イ プ を キ ャ ッ シ ュ す る よ う に RAM キ ャ ッ シ ュ 機能を設定で き ます。 • 200、 203、 206、 300、 301、 お よ び 410 応答 • GET メ ソ ッ ド への応答 (デフ ォ ル ト ) • キ ャ ッ シ ュ コ ン テ ン ツ で包含が指定 さ れてい る か、 iRule で指定 さ れてい る URI に対す る その他の HTTP メ ソ ッ ド 6 - 28 • User-Agent 値お よ び Accept-Encoding 値に基づ く コ ン テ ン ツ。RAM キ ャ ッ シ ュ では、 Vary ヘ ッ ダに対 し て異な る コ ン テ ン ツ が保持 さ れ ます。 RAM キ ャ ッ シ ュ でキ ャ ッ シ ュ さ れない項目は、 次の と お り です。 • キ ャ ッ シ ュ コ ン ト ロ ールヘ ッ ダで指定 さ れたプ ラ イ ベー ト デー タ • HEAD、 PUT、 DELETE、 TRACE お よ び CONNECT メ ソ ッ ド (デ フ ォル ト ) RAM キ ャ ッ シ ュ メ カ ニズムについて デフ ォ ル ト の RAM キ ャ ッ シ ュ 設定では、HTTP GET メ ソ ッ ド への応 答のみがキ ャ ッ シ ュ さ れ ます。 ただ し 、 HTTP 以外の メ ソ ッ ド を含む 他の メ ソ ッ ド を キ ャ ッ シ ュ す る 場合で も 、 RAM キ ャ ッ シ ュ を使用で き ます。 こ れは、 HTTP プ ロ フ ァ イ ル内の URI Include ま たは Pin リ ス ト の URI を指定す る か、 iRule を作成す る こ と で実行で き ます。 こ の項の残 り の部分では、 次の質問に回答 し ます。 • BIG-IP が実際にキ ャ ッ シ ュ す る のは ど の応答ですか。 • HTTP プ ロ フ ァ イ ルの Include リ ス ト に URI を追加す る と ど う な り ますか。 • Pin List、 Include List、 お よ び Exclude リ ス ト を処理す る 場合、 BIG-IP が使用す る 優先順位はど の よ う にな っ てい ますか。 BIG-IP がキ ャ ッ シ ュ するのはどの応答ですか。 BIG-IPは、HTTP リ ク エ ス ト と その応答を評価 し て、ど の応答を キ ャ ッ シ ュ す る か を判断 し ます。 表 6.12 に、 応答を キ ャ ッ シ ュ に包含す る か、 除外す る か を決定す る 前に、 BIG-IP が使用す る 要求 と 応答内の 基準を示 し ます。 基準 アクシ ョ ン タ イ ミ ング BIG-IP が、HTTP_REQUEST イ ベン ト 内で CACHE::disable コ マ ン ド を呼び出す。 除外 常時 要求が、HTTP プロ フ ァ イ ルの Exclude リ ス ト の項目に合致する 。 除外 常時 要求が、 HTTP プ ロ フ ァ イ ルの Pin リ ス ト の項目に合致す る 。 包含 常時 要求が、HTTPプ ロ フ ァ イ ルのInclude リ ス ト の項目に合致す る 。 包含 常時 要求が、 標準外の HTTP メ ソ ッ ド を含む、 GET 以外の メ ソ ッ ド を指定す る 。 除外 常時。 ただ し 、 Pin ま たは Include リ ス ト の 項目 か、 iRule で オーバー ラ イ ド さ れ る 場合を除 く 。 BIG-IP が、 CACHE_REQUEST イ ベン ト で ト リ ガ さ れた iRule を処理す る 。 包含 常時 HTTP リ ク エス ト の基準 表 6.12 応答を キ ャ ッ シ ュす る か ど う かを決定す る 要求お よ び応答の基準 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 29 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 基準 アクシ ョ ン タ イ ミ ング Vary ヘ ッ ダの値が、 User-Agent や Accept-Encoding 要求ヘ ッ ダのみで構成 さ れ る 。 1つの URL に複数の応 答を含め る 常時 Vary ヘ ッ ダの値が、 同 じ リ ソ ース の後続の応答で変化す る 。 既存のキ ャ ッ シ ュ エン ト リ を無効化する 常時 Vary ヘ ッ ダの値が、 他の要求ヘ ッ ダや特殊な値 * (ア ス タ リ ス ク ) で構成 さ れ る 。 除外 常時 除外 常時 HTTP 応答の基準 応答が、 次以外の ス テー タ ス コ ー ド を含む。 200 (OK) 203 (Non-Authoritative Information) 206 (Partial Content) 300 (Multiple Choices) 301 (Permanent Redirect) 410 (Gone) 応答の Content-Length ヘ ッ ダの値が 0 であ る 。 除外 応答のオブジ ェ ク ト サ イ ズが、設定 さ れた応答の最大お よ び最 小オブジ ェ ク ト サ イ ズ と 最大キ ャ ッ シ ュ サ イ ズ を超え てい る 。 除外 注 : オブジ ェ ク ト サ イ ズ と い う 用語は、 応答ヘ ッ ダ と 応答の本 文の両方を示 し ます。 常時。 ただ し 、 応答が Content-Length ヘ ッ ダ を含 ま ない場合を除 く (すなわ ち、 Transfer-Encoding が チ ャ ン ク さ れてい る か、 応 答がサーバの接続終了に依 存 し てい る 場合)。 オブジ ェ ク ト サ イ ズが最大 キ ャ ッ シ ュ サ イ ズ を超え て い る 場合は、 常時。 そ う でない場合、 Pin ま た は Include リ ス ト の項目か、 iRule でオーバー ラ イ ド さ れ る 場合を除 き 、 常時。 応答が、 無効な値を持つ Expires ヘ ッ ダ を含む。 除外 常時。 ただ し 、 Pin ま たは Include リ ス ト の項目か、 iRule でオーバー ラ イ ド さ れ る 場合を除 く 。 要求が、 ク エ リ 文字列を含むが、 応答に Expires ヘ ッ ダが含ま れない。 除外 常時。 ただ し 、 Pin ま たは Include リ ス ト の項目か、 iRule でオーバー ラ イ ド さ れ る 場合を除 く 。 応答が、 no-store、 no-cache、 ま たは private の値を持つ Cache-Control ヘ ッ ダ を含む。 除外 常時。 ただ し 、 Pin ま たは Include リ ス ト の項目か、 iRule でオーバー ラ イ ド さ れ る 場合を除 く 。 要求が、 Authorization ヘ ッ ダ を含み、 応答の Cache-Control ヘ ッ ダに s-maxage、 must-revalidate、 public の値がない。 除外 常時。 ただ し 、 Pin ま たは Include リ ス ト の項目か、 iRule でオーバー ラ イ ド さ れ る 場合を除 く 。 表 6.12 応答を キ ャ ッ シ ュ す る か ど う かを決定す る要求お よ び応答の基準 (続き ) 6 - 30 HTTP プ ロ フ ァ イルの Include リ ス ト に URI を追加する と ど う な り ますか。 HTTP プ ロ フ ァ イ ルの Include リ ス ト に含まれ る URI の場合、 BIG-IP は、 すべての要求 メ ソ ッ ド で応答を キ ャ ッ シ ュ し ます。 その他の制約 条件 も すべて適用 さ れます。 BIG-IP が使用する優先順位はどのよ う にな っ ていますか。 URL リ ス ト を使用 し て、 BIG-IP でキ ャ ッ シ ュ す る 応答を決定す る 場 合、 BIG-IP では、 次の優先順位を降順で使用 し ます。 • Exclude リ ス ト • Pin リ ス ト • Include リ ス ト コ ン テ ン ツに基づいた BIG-IP のア ク シ ョ ンについて BIG-IP は、 コ ン テ ン ツ の タ イ プに応 じ て、 キ ャ ッ シ ュ コ ン テ ン ツ に 何 ら かのア ク シ ョ ン を実行 し ます。 表 6.13 は、 こ れ ら のア ク シ ョ ン を示 し ます。 アクシ ョ ン キ ャ ッ シ ュ コ ン テ ン ツの タ イ プ 削除 BIG-IP は、 キ ャ ッ シ ュ コ ン テ ン ツ か ら すべての Cookie ヘ ッ ダ を削除 し ます。 変更 BIG-IP は、 接続時に ホ ッ プバ イ ホ ッ プヘ ッ ダ を削除 し ま す。 こ れ ら のヘ ッ ダには、 Connection、 Keep-Alive、 お よ び Transfer Encoding があ り ます。 追加 BIG-IP の現在の時間を含む Date ヘ ッ ダ を追加 し ます。 ま た、 項目がキ ャ ッ シ ュ に格納 さ れてい る 時間を反映す る Age ヘ ッ ダ も 追加 し ます。 こ の設定は、 HTTP プ ロ フ ァ イ ルではデフ ォ ル ト で有効にな っ てい ます。プ ロ フ ァ イ ルで [Insert Age Header] を 無効にす る と 、 こ の設定を無効化で き ます。 その ま ま格納 BIG-IP は、 その他すべてのヘ ッ ダ を受け取っ た ま ま、 変更せずに格納 し ます。 表 6.13 ヘ ッ ダ タ イ プに基づいた RAM キ ャ ッ シ ュ ア ク シ ョ ン RAM キ ャ ッ シ ュから の項目の消去 RAM キ ャ ッ シ ュ では、 キ ャ ッ シ ュ 内で使用頻度の低い項目が削除 さ れ ます。 こ れに よ り 、 新 し い項目を キ ャ ッ シ ュ す る よ う 選択 し た場合 に、 キ ャ ッ シ ュ 内の ス ペー ス が古い項目で占有 さ れ る こ と を防ぎ ま す。 ま た、 キ ャ ッ シ ュ では ス コ ア リ ン グ シ ス テ ム を使用 し て、 一定期 間の後に古い項目を削除 し ます。キ ャ ッ シ ュ さ れた項目が こ の経過時 間制限に達す る と 、 期限切れにな り 、 キ ャ ッ シ ュ か ら 削除 さ れ ます。 HTTP プ ロ フ ァ イ ルの属性を使用す る と 、 各キ ャ ッ シ ュ イ ン ス タ ン ス のサ イ ズや、 BIG-IP がキ ャ ッ シ ュ か ら 期限切れ項目を削除す る 期間 を 制御 で き ま す。 こ れ ら の属性 の 詳細 に つ い て は、 次 の 項 「RAM キ ャ ッ シ ュ設定について 」 (6-32 ページ) を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 31 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 RAM キ ャ ッ シ ュ設定について RAM キ ャ ッ シ ュ を設定す る には、HTTP プ ロ フ ァ イ ルの RAM キ ャ ッ シ ュ 設定を行 う 必要があ り ます。 こ れ ら の設定では、 キ ャ ッ シ ュ を オ ン に し た り 、特定の実装に対 し て キ ャ ッ シ ュ を微調整す る こ と が可 能です。 HTTP プ ロ フ ァ イ ル内で RAM キ ャ ッ シ ュ オブジ ェ ク ト を設 定す る 以外に、 bigpipe ユーテ ィ リ テ ィ コ マ ン ド を使用 し た り 、 bigdb 設定 キ ー を 設定 し た り 、 iRules を 作成す る こ と が で き ま す。 RAM キ ャ ッ シ ュ 機能に関連 し た bigdb キーについ て は、 『Bigpipe Utility Reference Guide』 の付録 B を参照 し て く だ さ い。 RAM キ ャ ッ シ ュ に iRuleTM を作成す る 詳細については、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 を参照 し て く だ さ い。 キ ャ ッ シ ュ に格納 さ れ る デフ ォ ル ト の項目は、 HTTP GET 応答です。 ただ し 、特定の URI に対 し て POST メ ソ ッ ド お よ び GET メ ソ ッ ド を キ ャ ッ シ ュ す る 場合は、 URI リ ス ト 内で URI を指定で き ます。 RAM キャ ッ シュ は以下のいずれかの方法で実装する こ と ができ ま す。 • デフ ォ ル ト の http プ ロ フ ァ イ ルを も と にカ ス タ ムプ ロ フ ァ イ ルを 作成 し 、 RAM キ ャ ッ シ ュ 設定を変更 し ます。 • http-lan-optimized-caching プ ロ フ ァ イ ルを その ま ま実装 し ます。こ のプ ロ フ ァ イ ルは、 RAM キ ャ ッ シ ュ を最適化す る よ う に最初か ら 設定 さ れてい ます。 • http-lan-optimized-caching プ ロ フ ァ イ ルを も と にカ ス タ ム プ ロ フ ァ イ ルを作成 し 、 RAM キ ャ ッ シ ュ 設定を変更 し ます。 詳細については、 「http-lan-optimized-caching プ ロ フ ァ イ ルの使い方」 (6-36 ページ) と 次の項の 「RAM キ ャ ッ シ ュ への HTTP プ ロ フ ァ イ ル の使用」 を参照 し て く だ さ い。 RAM キ ャ ッ シ ュへの HTTP プ ロ フ ァ イルの使用 前述 し た よ う に、RAM キ ャ ッ シ ュ を実装す る ひ と つの方法が、デフ ォ ル ト の http プ ロ フ ァ イ ルに基づいて カ ス タ ムプ ロ フ ァ イ ルを作成す る こ と です。 表 6.14 に、 作成 し た カ ス タ ム HTTP プ ロ フ ァ イ ル内で 指定可能な RAM キ ャ ッ シ ュ 設定を示 し ます。 こ れ ら の設定を行 う 場 合は、 デ フ ォ ル ト 値が存在 し な い場合に値 を 指定す る か、 ま たはデ フ ォ ル ト 値を変更 し ます。 設定 説明 デフ ォル ト 値 RAM Cache RAM キ ャ ッ シ ュ 機能を有効ま たは無効に指定 し ます。 Disabled Maximum Cache Size RAM キ ャ ッ シ ュ の最大サ イ ズ ( メ ガバ イ ト 単位) を指定 し ま す。 キ ャ ッ シ ュ が最大サ イ ズに達す る と 、 最 も 古いエ ン ト リ が削除 さ れ始め ます。 100 Maximum Entries RAMキャ ッ シュ に格納でき る エン ト リ の最大数を 指定し ま す。 10000 表 6.14 HTTP プ ロ フ ァ イ ルの RAM キ ャ ッ シ ュ設定 6 - 32 設定 説明 デフ ォル ト 値 Maximum Age キ ャ ッ シ ュ コ ン テ ン ツ が有効 と みな さ れ る 時間 (秒単位) を 指定 し ます。 3600 Minimum Object Size キ ャ ッ シ ュ 対象 と し て 適格 と みな さ れ る 最小オ ブ ジ ェ ク ト (バ イ ト 単位) を指定 し ます。 500 Maximum Object Size キ ャ ッ シ ュ 対象 と し て 適格 と みな さ れ る 最大オ ブ ジ ェ ク ト (バ イ ト 単位) を指定 し ます。 50000 URI Caching RAM キ ャ ッ シ ュ 内の特定の URI が BIG-IP で保持 さ れ る か除 外 さ れ る か を指定 し ます。 こ のプ ロ セ ス は、通常はキ ャ ッ シ ュ 対象 と し て不適格な URI を キ ャ ッ シ ュ す る こ と 、 ま たは通常 はキ ャ ッ シ ュ 対象 と し て適格な URI を キ ャ ッ シ ュ し ない こ と を BIG-IP に強制 し ます。 Not Configured URI List BIG-IP がキ ャ ッ シ ュ に包含す る かキ ャ ッ シ ュ か ら 除外す る ユ ニ フ ォーム リ ソ ース識別子 (URI) を指定 し ます。 デフ ォ ル ト 値な し Pin リ ス ト RAM キ ャ ッ シ ュ に無制限に格納 さ せ る 応答の URI を リ ス ト し ます。 Include List 通常 は キ ャ ッ シ ュ 対象 と し て 不適格 で、 BIG-IP に よ っ て キ ャ ッ シ ュ さ れ る URI を リ ス ト し ます。 Include List に URI を 追加す る と 、 BIG-IP は、 HTTP 以外の メ ソ ッ ド を含め、 GET メ ソ ッ ド お よ びその他の メ ソ ッ ド を キ ャ ッ シ ュ し ます。 Exclude List 通常はキ ャ ッ シ ュ 対象 と し て適格で、 BIG-IP に よ っ て キ ャ ッ シ ュ さ れない URI を リ ス ト し ます。 Ignore Headers RAM キ ャ ッ シ ュ が有効にな っ てい る 場合に、BIG-IP に よ っ て ク ラ イ ア ン ト 側の Cache-Control ヘ ッ ダが処理 さ れ る 方法を 指定 し ます。 All BIG-IP に よ っ てすべての Cache-Control ヘ ッ ダが無視 さ れ る よ う に指定 し ます。 Cache-Control:max-age Cache-Control:max-ageヘ ッ ダのみが無視 さ れ る よ う に指定 し ます。 None すべての Cache-Control ヘ ッ ダが受け入れ ら れ る よ う に指定 し ます。 All Insert Age Header 有効になっ ている 場合、Date ヘッ ダおよ び Age ヘッ ダがキ ャ ッ シュ エン ト リ に挿入さ れる よ う に指定し ま す。 Date ヘッ ダに は、BIG-IP 上の現在の日時が含ま れま す。Age ヘッ ダには、コ ン テン ツ がキ ャ ッ シュ に格納さ れている 時間が含ま れま す。 Enabled Aging Rate キ ャ ッ シ ュ エ ン ト リ がエージ ン グ さ れ る 速度 を 指定 し ま す。 エージ ン グ速度の範囲は、 0 (最 も 遅いエージ ン グ) ~ 10 (最 も 速いエージ ン グ) です。 9 表 6.14 HTTP プ ロ フ ァ イ ルの RAM キ ャ ッ シ ュ設定 (続 き ) BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 33 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 デー タ 圧縮 と RAM キ ャ ッ シ ュの最適化 BIG-IP には、F5 がユーザ用に作成 し た一連のカ ス タ ム HTTP プ ロ フ ァ イ ルが含まれてい ます。こ れ ら のプ ロ フ ァ イ ルは、デー タ 圧縮 と RAM キ ャ ッ シ ュ のパフ ォ ーマ ン ス を最適化す る ための も のです。 F5 に よ り 定義 さ れた こ れ ら のプ ロ フ ァ イ ルは、http デフ ォ ル ト プ ロ フ ァ イ ル に基づいてお り 、 圧縮 と RAM キ ャ ッ シ ュ の最適なパフ ォ ーマ ン ス を 確保す る ために事前設定 さ れてい ます。こ れ ら のプ ロ フ ァ イ ルには以 下の も のがあ り ます。 • http-acceleration • http-wan-optimized-compression • http-lan-optimized-caching • http-wan-optimized-compression-caching http-acceleration プ ロ フ ァ イルの使い方 http-acceleration は HTTP タ イ ププロ フ ァ イ ルであり 、 BIG-IP でユーザ 用 に 事 前 作 成 さ れ た カ ス タ ム プ ロ フ ァ イ ル と な っ て い ま す。 http-acceleration プロ フ ァ イ ルを 実装する こ と で、カ ス タ ム プロ フ ァ イ ルを 作成し なく ても 、 HTTP ト ラ フ ィ ッ ク を 加速する こ と ができ ま す。 場合に よ っ ては、 別の BIG-IP シ ス テ ム モジ ュ ール (BIG-IP WebAccelerator) で http-accleration プ ロ フ ァ イ ルを有効にす る こ と も 可能です。 http-acceleration プ ロ フ ァ イ ルは http プ ロ フ ァ イ ルの設定 と それ ら の デ フ ォ ル ト 値 を継承 し てい ま すが、 設定値の一部は変更 さ れてい ま す。 こ のプ ロ フ ァ イ ルは、 HTTP 高速化を最適化 し つつ、 ほかの設定 には http プ ロ フ ァ イ ルのデフ ォ ル ト 値を使いたい と い う 場合に適 し てい ます。 http-accleration プ ロ フ ァ イ ルを その ま ま使用す る か、 も し く は http-accleration プ ロ フ ァ イ ルを親プ ロ フ ァ イ ル と し て別の カ ス タ ム プ ロ フ ァ イ ルを作成す る こ と も 可能です。 http-acceleration プ ロ フ ァ イ ルのデフ ォ ル ト 値は、 ほ と ん ど が http プ ロ フ ァ イ ルのデフ ォ ル ト 値 と 同 じ ですが、 い く つか違 う も の も あ り 、 それ ら を表 6.15 に ま と めてい ます。 設定 説明 デフ ォル ト 値 RAM Cache RAM キ ャ ッ シ ュ 機能を有効ま たは無効に指定 し ます。 Enabled Minimum Object Size キ ャ ッ シ ュ 対象 と し て適格 と みな さ れ る 最小オブ ジ ェ ク ト (バ イ ト 単位) を指定 し ます。 0 Maximum Object Size キ ャ ッ シ ュ 対象 と し て適格 と みな さ れ る 最大オブ ジ ェ ク ト (バ イ ト 単位) を指定 し ます。 4194304 表 6.15 http プ ロ フ ァ イ ルの も の と 異な る http-acclerator プ ロ フ ァ イ ルの値 6 - 34 http-wan-optimized-compression プ ロ フ ァ イルの使い方 http-wan-optimized-compression は HTTP タ イ ププ ロ フ ァ イ ルであ り 、 BIG-IP でユーザ用に事前作成 さ れた カ ス タ ム プ ロ フ ァ イ ル と な っ て い ます。 http-wan-optimized-compression プ ロ フ ァ イ ルを実装す る こ と で、 カ ス タ ム プ ロ フ ァ イ ル を 作成 し な く て も 、 デー タ 圧縮の パ フ ォ ーマ ン ス を最適化す る こ と がで き ます。 http-wan-optimized-compression プ ロ フ ァ イ ルは http プ ロ フ ァ イ ルの 設定 と それ ら のデフ ォ ル ト 値を継承 し てい ますが、設定値の一部は変 更 さ れてい ます。 こ のプ ロ フ ァ イ ルは、 デー タ 圧縮を最適化 し つつ、 ほかの設定には http プ ロ フ ァ イ ルのデフ ォ ル ト 値を使いたい と い う 場合に適 し てい ます。 http-wan-optimized-compression プロ フ ァ イ ルを そのま ま 使用する か、 も し く は http-wan-optimized-compression プロ フ ァ イ ルを 親プロ フ ァ イ ルと し て別のカ ス タ ム プロ フ ァ イ ルを 作成する こ と も 可能です。 http-wan-optimized-compression プ ロ フ ァ イ ルのデフ ォ ル ト 値は、 ほ と ん ど が http プ ロ フ ァ イ ルのデフ ォ ル ト 値 と 同 じ ですが、 い く つか 違 う も の も あ り 、 それ ら を表 6.16 に ま と めてい ます。 設定 説明 デフ ォル ト 値 Compression HTTP 圧縮機能を有効ま たは無効に し ます。 Enabled Compression Buffer Size 圧縮サ イ ズ を指定す る Content-Length ヘ ッ ダ を応答に挿 入す る か ど う かが BIG-IP に よ っ て決定 さ れ る 前に、 バ ッ フ ァ に格納 さ れ る 最大圧縮バ イ ト 数を指定 し ます。 131072 HTTP/1.0 Requests HTTP/1.0 ク ラ イ ア ン ト リ ク エ ス ト への応答の圧縮を有効 ま たは無効に し ます。 Enabled gzip Compression Level 圧縮の量 と レー ト を指定 し ます。 1 - Least Compression (Fastest) gzip Memory Level サーバ応答の圧縮時に、 BIG-IP が内部圧縮バ ッ フ ァ に使 用す る メ モ リ を キ ロ バ イ ト 単位で指定 し ます。 16 gzip Window Size サーバ応答の圧縮時に BIG-IP が使用す る ウ ィ ン ド ウ サ イ ズ を キ ロ バ イ ト 単位で指定 し ます。 64 Vary Header キ ャ ッ シ ュ 可能なサーバ応答への Vary ヘ ッ ダの挿入を有 効ま たは無効に し ます。 Enabled Response Chunking HTTP 応答に対す る チ ャ ン ク の処理方法を指定 し ます。指 定で き る 値は、 [Unchunk]、 [Rechunk]、 [Selective]、 お よ び [Preserve] です。 Selective 表 6.16 http プ ロ フ ァ イ ルの も の と 異な る http-wan-optimized-compression プ ロ フ ァ イ ルの値 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 35 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 http-lan-optimized-caching プ ロ フ ァ イルの使い方 http-lan-optimized-caching は HTTP タ イ プ プ ロ フ ァ イ ル で あ り 、 BIG-IP でユーザ用に事前作成 さ れた カ ス タ ム プ ロ フ ァ イ ル と な っ て い ます。 http-lan-optimized-caching プ ロ フ ァ イ ルを実装す る こ と で、 カ ス タ ム プ ロ フ ァ イ ル を 作成 し な く て も 、 RAM キ ャ ッ シ ュ の パ フ ォ ーマ ン ス を最適化す る こ と がで き ます。 http-lan-optimized-caching プ ロ フ ァ イ ルは http プ ロ フ ァ イ ルの設定 と それ ら のデフ ォ ル ト 値を継承 し てい ますが、設定値の一部は変更 さ れてい ます。 こ のプ ロ フ ァ イ ルは、 RAM キ ャ ッ シ ュ を最適化 し つつ、 ほかの設定には http プ ロ フ ァ イ ルのデフ ォ ル ト 値を使いたい と い う 場合に適 し てい ます。 http-lan-optimized-caching プ ロ フ ァ イ ルを その ま ま使用す る か、 も し く は http-lan-optimized-caching プ ロ フ ァ イ ルを親プ ロ フ ァ イ ル と し て別のカ ス タ ム プ ロ フ ァ イ ルを作成す る こ と も 可能です。 http-lan-optimized-caching プ ロ フ ァ イ ルのデフ ォ ル ト 値は、 ほ と ん ど が http プ ロ フ ァ イ ルのデフ ォ ル ト 値 と 同 じ ですが、 い く つか違 う も の も あ り 、 それ ら を表 6.17 に ま と めてい ます。 設定 説明 デフ ォル ト 値 RAM Cache RAM キ ャ ッ シ ュ 機能を有効ま たは無効に指定 し ます。 Enabled Maximum Cache Size RAM キ ャ ッ シ ュ の最大サ イ ズ ( メ ガバ イ ト 単位) を指定 し ます。 キ ャ ッ シ ュ が最大サ イ ズに達す る と 、 最 も 古いエン ト リ が削除 さ れ始め ます。 10 Maximum Age キ ャ ッ シ ュ コ ン テ ン ツ が有効 と みな さ れ る 時間 (秒単位) を 指定 し ます。 86400 Minimum Object Size キ ャ ッ シ ュ 対象 と し て適格 と みな さ れ る 最小オブ ジ ェ ク ト (バ イ ト 単位) を指定 し ます。 0 Maximum Object Size キ ャ ッ シ ュ 対象 と し て適格 と みな さ れ る 最大オブ ジ ェ ク ト (バ イ ト 単位) を指定 し ます。 2000000 表 6.17 http プ ロ フ ァ イ ルの も の と 異な る http-lan-optimized-caching プ ロ フ ァ イ ルの値 6 - 36 http-wan-optimized-compression-caching プ ロ フ ァ イルの使い方 http-wan-optimized-compression-caching も ま た HTTP プ ロ フ ァ イ ルの 一種であ り 、 http、 http-wan-optimized-compression、 http-lan-optimized-caching の 3 つのプ ロ フ ァ イ ルのデフ ォ ル ト 設定値 を組み合わせた も の と な っ てい ます。 こ のプ ロ フ ァ イ ルは、 デー タ 圧 縮 と RAM キ ャ ッ シ ュ の両方を最適化 し つつ、ほかの設定には http プ ロ フ ァ イ ルのデフ ォ ル ト 値を使いたい と い う 場合に適 し てい ます。 こ のプ ロ フ ァ イ ルのデフ ォ ル ト 設定値については、 「HTTP プ ロ フ ァ イ ル設定について 」 (6-2 ページ)、 「http-wan-optimized-compression プ ロ フ ァ イ ルの使い方」(6-35 ページ)、お よ び「http-lan-optimized-caching プ ロ フ ァ イ ルの使い方」 (6-36 ページ) を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 37 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 FTP プ ロ フ ァ イルの設定 BIG-IP には、 File Transfer Protocol (FTP) ト ラ フ ィ ッ ク の管理に使用 す る ためのプ ロ フ ァ イ ル タ イ プが含まれ ます。FTP プ ロ フ ァ イ ルの設 定は、 各自のニーズに合わせて調整で き ます。 デフ ォ ル ト 値を持つ設 定については、デフ ォ ル ト 設定を その ま ま使用す る こ と も 変更す る こ と も で き ます。 設定の変更は、 プ ロ フ ァ イ ルの作成時に行 う か、 プ ロ フ ァ イ ルの作成後にいつで も 行 う こ と がで き ます。プ ロ フ ァ イ ルの設 定に関す る 手順については、 第 5 章 「プ ロ フ ァ イ ルについて 」 を参照 し て く だ さ い。 表 6.18 に、 構成可能な設定お よ びそれぞれの概要 と デフ ォ ル ト 値を 列挙 し ます。 こ の表の後に、 特定の設定について説明 し ます。 汎用プ ロパテ ィ 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルのユーザ定義名を指定 し ます。 プ ロ フ ァ イ ル名 の指定は必須です。 デフ ォ ル ト 値な し Parent Profile カ ス タ ム プ ロ フ ァ イ ルの派生元 と す る プ ロ フ ァ イ ル を 指定 し ます。 ftp Translate Extended FTP プ ロ ト コ ルを使用す る 際の IPv4 と IPv6 の ク ラ イ ア ン ト お よ びサーバ間の互換性を確保 し ます。 Enabled Data Port FTP サービ ス を代替ポー ト 上で実行可能に し ます。 20 Protocol Security チ ェ ッ ク さ れてい る (有効にな っ てい る ) 場合、 BIG-IP® Protocol Security Module のセ キ ュ リ テ ィ プ ロ フ ァ イ ルを使っ て、 FTP ト ラ フ ィ ッ ク のセキ ュ リ テ ィ 脆弱性をチ ェ ッ ク し ま す。 こ のオプシ ョ ンは Protocol Security Module の ラ イ セ ン ス があ る 場合にのみ利用可能です。 Disabled 表 6.18 FTP プ ロ フ ァ イ ルの設定 FTP プ ロ フ ァ イ ルを設定す る 前に、変更す る 可能性があ る 特定の ノ ー ド 設定に関す る 説明を読んでお く と 役立ち ます。 プ ロ フ ァ イル名の指定 FTP プ ロ フ ァ イ ルを作成す る には、プ ロ フ ァ イ ルの一意の名前を指定 す る 必要があ り ます。 [Name] 設定は、 FTP プ ロ フ ァ イ ルの作成時に 値を ア ク テ ィ ブに指定す る 必要があ る 2 つの設定の う ちの 1 つです。 その他の設定にはすべて、 デフ ォ ル ト 値があ り ます。 親プ ロ フ ァ イルの指定 作成す る 各プ ロ フ ァ イ ルは、 親プ ロ フ ァ イ ルか ら 派生 し ます。 Parent Profile 設定で、デフ ォ ル ト の ftp プ ロ フ ァ イ ルを親プ ロ フ ァ イ ル と し て選択す る か、 すでに作成 し てい る 別の FTP プ ロ フ ァ イ ルを選択す る こ と がで き ます。 6 - 38 Translate Extended 値の指定 (IPv4 のア ド レ ス と は異な り 、 IPv6 のア ド レ ス は 32 ビ ッ ト に制限 さ れていないため、 IP バージ ョ ン が混合 し た構成で FTP を使用す る 場 合、 互換性の問題が生 じ る こ と があ り ます。 [Translate Extended] 設定は、デフ ォ ルト で有効になっ ており 、IPv4 と IPv6 の両方のシス テム がク ラ イ ア ン ト - サーバ構成に含ま れる 場合、 BIG-IP によ っ て FTP コ マン ド が自動的に変換さ れま す。 たと え ば、 IPv4 を 搭載し たク ラ イ ア ン ト シス テム が IPv6 を 搭載し たサーバに FTP PASV コ マン ド を 送信し た場合、 こ の PASV コ マン ド は、 IPv6 シス テ ム の同じ FTP コ マン ド に相当する EPSV に自動で変換さ れま す。 EPRV と PORT の FTP コ マ ン ド について も 同 じ よ う に変換が行われ ます。 こ の設定のデ フ ォ ル ト 値 ([Enabled]) を変更す る 必要が あ る 可能性 はほ と ん ど あ り ません。こ の設定を無効にす る 必要があ る のは、EPSV コ マ ン ド を IPv4 シ ス テ ム に送信す る 場合 (FTP サーバのテ ス ト 時な ど) だけです。 デー タ ポー ト の指定 Data Port 設定を使用す る と 、 FTP サービ ス を代替ポー ト 上で実行で き ます。 デフ ォ ル ト のポー ト 番号 20 を使用す る か、 別のポー ト 番号 を指定で き ます。 FTP ト ラ フ ィ ッ クのセキ ュ リ テ ィ の有効化 BIG-IP に BIG-IP Application Security Manager の ラ イ セ ン ス が含まれ る 場合、 アプ リ ケーシ ョ ン セキ ュ リ テ ィ 設定の [Advanced Firewall] 機能 を使っ て、FTP ト ラ フ ィ ッ ク のセ キ ュ リ テ ィ ス キ ャ ン を有効にす る こ と が で き ま す。 詳 細 に つ い て は、 『Configuration Guide for BIG-IP® Application Security Management』 の 「Working with the Advanced Firewall」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 39 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 SIP プ ロ フ ァ イルの設定 BIG-IP には、 Session Initiation Protocol (SIP) ト ラ フ ィ ッ ク の管理に 使 用 す る た め の サ ー ビ ス プ ロ フ ァ イ ル が 含 ま れ ま す。 Session Initiation Protocol (SIP) は、 複数の参加者で構成 さ れ る セ ッ シ ョ ン を管理す る アプ リ ケーシ ョ ン レ イ ヤプ ロ ト コ ルであ る ため、 リ アル タ イ ム の メ ッ セー ジ、 音声、 デー タ 、 お よ び映像が有効化 さ れ ま す。 セ ッ シ ョ ン は電話や イ ン ス タ ン ト メ ッ セージに よ る 単純な双方向の 会話の場合 も あれば、 音声、 デー タ 、 ビデオで構成 さ れ る 複雑で コ ラ ボ レ ーテ ィ ブ な マルチ メ デ ィ ア カ ン フ ァ レ ン ス コ ールの場合 も あ り ます。 アプ リ ケーシ ョ ン レベルセ ッ シ ョ ン であ る SIP セ ッ シ ョ ンは、 3 つの レ イ ヤ 4 プ ロ ト コ ル (SCTP、 TCP、 UDP) のいずれか 1 つを使っ て 実行 さ れ ます。 SIP セ ッ シ ョ ン を ど の よ う に処理す る かは SIP プ ロ フ ァ イ ルで設定 し ます。指定 さ れた レ イ ヤ 4 プ ロ ト コ ルプ ロ フ ァ イ ル を使い、 必要なポー ト を解放 し て BIG-IP 経由でデー タ を伝送で き る よ う にバーチ ャ ルサーバを設定 し ます。バーチ ャ ルサーバに SIP プ ロ フ ァ イ ルを割 り 当て る 際に、SCTP、TCP、UDP のいずれかのプ ロ フ ァ イ ル も 一緒にサーバに割 り 当て る こ と がで き ます。こ れ ら のプ ロ ト コ ルプ ロ フ ァ イ ルを サーバに割 り 当て ない場合、 BIG-IP に よ っ ていず れか 1 つが自動的に割 り 当て ら れ る よ う にな っ てい ます。プ ロ ト コ ル プ ロ フ ァ イ ルの詳細については、 第 8 章 「 プ ロ ト コ ルプ ロ フ ァ イ ルの 管理」 を参照 し て く だ さ い。 SIP プ ロ フ ァ イ ルに よ っ て、BIG-IP が Call-ID を使っ て SIP セ ッ シ ョ ン の パー シ ス テ ン ス を 処理す る よ う に自動 で 設定 さ れ ま す。 Call-ID は、アプ リ ケーシ ョ ン間でや り 取 り さ れ る 一連の メ ッ セージ を 1 つの グループに ま と め る グ ロ ーバル一意識別子です。 SIP セ ッ シ ョ ン の パーシ ス テ ン ス が BIG-IP で ど の よ う に処理 さ れ る か を、 カ ス タ マ イ ズで き る よ う にな っ てい ます。 カ ス タ マ イ ズ を行 う には、 SIP パーシ ス テ ン ス プ ロ フ ァ イ ルを作成 し ます。 SIP パーシ ス テ ン ス プ ロ フ ァ イ ルを使用す る には、SIP プ ロ フ ァ イ ル も あわせて使用す る 必要があ り 、 SIP プ ロ フ ァ イ ル と SIP パーシ ス テ ン ス プ ロ フ ァ イ ルの両方を 1 つの バーチ ャ ルサーバに割 り 当て ます。 SIP パーシ ス テ ン ス の設定の詳細 については、「SIP パーシ ス テ ン ス のプ ロ フ ァ イ ル設定について 」(7-17 ページ) を参照 し て く だ さ い。 SIP プ ロ フ ァ イル設定の概要 設定ユーテ ィ リ テ ィ の [New SIP Profile] 画面では、SIP 設定が [General Properties] と [Settings] の 2 つのカ テ ゴ リ に分け ら れてい ます。 SIP プ ロ フ ァ イ ルの作成時には、 設定を その ま ま使用す る こ と も 、 変更す る こ と も で き ま す。 ま た、 後日プ ロ フ ァ イ ル を 変更す る こ と も 可能で す。 プ ロ フ ァ イ ル設定の具体的な手順については、 第 5 章 「 プ ロ フ ァ イ ルについて 」 を参照 し て く だ さ い。 表 6.19 (6-41 ページ) では、 SIP プ ロ フ ァ イ ルで指定可能な設定を、 それぞれの概要 と デフ ォ ル ト 値 と 共に一覧に し てい ます。こ の表の後 に、 SIP プ ロ フ ァ イ ルの設定お よ びそれ ら の変更手順について詳 し く 説明 し てい ます。 6 - 40 汎用プ ロパテ ィ 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルのユーザ定義名を指定 し ます。こ の設定は必 須です。 デフ ォ ル ト 値な し Parent Profile カ ス タ ム プ ロ フ ァ イ ルの派生元 と す る プ ロ フ ァ イ ル を指 定 し ます。 sip Maximum Size (Bytes) BIG-IP で対応可能な SIP メ ッ セージの最大サ イ ズ を指定 し ます。SIP メ ッ セージのサ イ ズが こ の値を上回 る 場合は、 接続が中断 さ れます。 65535 バ イ ト Dialog Aware SIP ダ イ ア ロ グ情報を ス ヌープ し て、 それ ら を既知の SIP ダ イ ア ロ グに転送す る よ う に指定 し ます。こ の設定を有効 にす る と 、 [Community] 設定が画面に表示 さ れます。 Disabled (チ ェ ッ ク な し) Community そのプ ロ フ ァ イ ルが所属す る プ ロ キ シ機能グループ を示 す文字列を指定 し ます。 こ の設定は、 [Dialog Aware] 設定 が有効にな っ てい る 場合にのみ表示 さ れます。 デフ ォ ル ト 値な し Terminate on BYE BYE ト ラ ンザ ク シ ョ ン終了時の接続の切断を有効化 / 無 効化 し ます。 BYE ト ラ ンザ ク シ ョ ン と は、 2 つのアプ リ ケーシ ョ ン間の接続を閉 じ る 準備が整っ た時点で、一方の ア プ リ ケーシ ョ ン が相手の ア プ リ ケーシ ョ ン に送信す る メ ッ セージの こ と です。 BIG-IP が BYE ト ラ ンザ ク シ ョ ン に遭遇 し た場合、 [Terminate on BYE] 設定が有効にな っ ていれば、 接続が切断 さ れます。 こ のパ ラ メ ー タ は UDP 接続でのみ使用 さ れ る も ので あ り 、 TCP 接続では使用で き ません。 Enabled (チ ェ ッ ク あ り) Insert Via Header SIP 応答への Via ヘ ッ ダの挿入を有効化 / 無効化 し ます。 Via ヘ ッ ダは メ ッ セージの発信元を示す も のであ り 、 応答 メ ッ セージでは こ の経路情報が使用 さ れます。 Disabled User Via [Insert Via Header ] 設定を有効にす る 際に、 SIP 要求の先 頭の Via ヘ ッ ダの値 と し て挿入す る 文字列を指定 し ます。 こ の値は、 SIP プ ロ ト コ ルのほか、 仮想ア ド レ ス と ポー ト を指定す る も のです。 デフ ォ ル ト 値な し Secure Via Header SIP 応答への Secure Via ヘ ッ ダの挿入を有効化 / 無効化 し ま す。 Secure Via Header は メ ッ セージ の発信元 を示す も のであ り 、 SSL/TLS と 共に使用す る こ と で、 シ ス テ ム を保 護す る こ と がで き ます。応答 メ ッ セージでは こ の経路情報 が使用 さ れます。 Disabled (チ ェ ッ ク な し) Insert Record-Route Header 後続 の SIP 要 求 メ ッ セ ー ジ の ネ ク ス ト ホ ッ プ を 示 す Record-Route SIP ヘ ッ ダの挿入を有効化 / 無効化 し ます。 Disabled (チ ェ ッ ク な し) 表 6.19 SIP プ ロ フ ァ イ ルの設定 SIP プ ロ フ ァ イ ルの設定に取 り 掛か る 前に、 変更す る 可能性のあ る 設 定値についての説明を読んでお く と 役立ち ます。 プ ロ フ ァ イル名の指定 SIP プ ロ フ ァ イ ルを作成す る には、 プ ロ フ ァ イ ルの一意の名前を指定 す る 必要があ り ます。 [Name] は、 SIP プ ロ フ ァ イ ルの作成時に積極 的に値を指定す る 必要があ る 唯一の設定です。その他の設定にはすべ てデフ ォ ル ト 値があ り ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 41 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 プ ロ フ ァ イ ル名を指定す る には、 [Name] 設定で、 プ ロ フ ァ イ ルの一 意の名前を入力 し ます。 親プ ロ フ ァ イルの指定 作成す る 各プ ロ フ ァ イ ルは、 親プ ロ フ ァ イ ルか ら 派生 し ます。 デフ ォ ル ト の sip プ ロ フ ァ イ ルを親プ ロ フ ァ イ ル と し て使用す る か、 すでに 作成 し てい る 別の SIP プ ロ フ ァ イ ルを使用す る こ と がで き ます。 親プ ロ フ ァ イ ルを指定す る には、[Parent Profile] 設定でプ ロ フ ァ イ ル 名を選択 し ます。 最大 メ ッ セージサイ ズの指定 BIG-IP は、65535 バ イ ト 以下の着信 SIP メ ッ セージに対応 し ます。SIP メ ッ セージのサ イ ズが こ の値を上回 る 場合は、 接続が中断 さ れ ます。 シ ス テ ム で 許 容 可 能 な 最 大 メ ッ セ ー ジ サ イ ズ を 変 更 す る に は、 [Maximum Size (Bytes)] ボ ッ ク ス に別の値を入力 し ます。 ダ イ ア ロ グス ヌ ーピ ン グの有効化 [Dialog Aware] 設定を有効にす る と 、BIG-IP は SIP ダ イ ア ロ グ情報を ス ヌ ープ し て、 SIP メ ッ セージ を既知の SIP ダ イ ア ロ グに自動で転送 し ま す。 こ の 設 定 を 有 効 に す る と 、 設 定 ユ ー テ ィ リ テ ィ で [Community] 設定が表示 さ れ ます。 コ ミ ュ ニ テ ィ 文字列の指定 [Community] 設定で、プ ロ キ シ機能グループの名前を指定す る こ と が で き ます。 複数のバーチ ャ ルサーバで、 それぞれが SIP タ イ ププ ロ フ ァ イ ルを参照す る 必要があ り 、それ ら のプ ロ フ ァ イ ルの 2 つ以上を 同 じ プ ロ キ シ機能グループに所属 さ せたい場合に、こ の設定を使用 し ます。 こ の設定は、 [Dialog Aware] 設定が有効にな っ てい る 場合にの み表示 さ れ ます。 接続終了基準の指定 セ ッ シ ョ ン を開始 し た アプ リ ケーシ ョ ン ( ク ラ イ ア ン ト ) も し く はそ のセ ッ シ ョ ン に応答 し た ア プ リ ケーシ ョ ン (サーバ) の ど ち ら かが BYE ト ラ ンザ ク シ ョ ン を発行 し た時点で、 BIG-IP は SIP 接続を終了 さ せます。 こ れは、 UDP で SIP セ ッ シ ョ ン を実行 し てい る 場合には 適切に機能 し ますが、 SCTP 接続 も し く は TCP 接続で SIP を実行 し て い る 場合は [Terminate on BYE] 設定を無効にす る 必要があ り ます。 [Terminate on BYE] 設定を無効にす る には、 [Custom] ボ ッ ク ス を ク リ ッ ク し て、 [Enabled] ボ ッ ク ス を オ フ に し ます。 SIP ヘ ッ ダの取 り 扱い SIP プ ロ フ ァ イ ルのオプシ ョ ン機能の 1 つにヘ ッ ダの挿入があ り 、 SIP 要求にヘ ッ ダ を挿入す る か ど う か を指定で き る よ う にな っ てい ます。 具体的には、 Via ヘ ッ ダ、 Secure Via ヘ ッ ダ、 Record-Route ヘ ッ ダの 6 - 42 挿入を有効化 / 無効化す る こ と が可能です。 設定済みの SIP プ ロ フ ァ イ ルをバーチ ャ ルサーバに割 り 当てた場合、そのプ ロ フ ァ イ ルで指定 さ れたヘ ッ ダが、 BIG-IP に よ っ てプール ま たはプール メ ンバに送信 さ れ る SIP 要求に挿入 さ れます。 SIP メ ッ セージへの Via ヘ ッ ダの挿入 SIP メ ッ セージの発信元を示す Via ヘ ッ ダ を SIP 要求に挿入す る よ う に、 BIG-IP を設定す る こ と がで き ます。 こ の経路情報を使っ て、 SIP 応答はセ ッ シ ョ ン イ ニ シエー タ の ロ ケーシ ョ ン を特定 し ます。 デフ ォ ル ト では、 [Insert Via Header ] 設定は無効にな っ てい ます。 こ の設定を有効にす る には [Custom] ボ ッ ク ス を ク リ ッ ク し ます。 ユーザ値の指定 [Insert Via Header] 設定を有効に し た ら 、 次に [User Via] 値を指定 し ます。 [User Via] 値 と は、 先頭の Via ヘ ッ ダの値 と し て SIP 要求に挿 入す る 文字列で あ り 、 SIP プ ロ ト コ ル と あ わせて、 仮想ア ド レ ス と ポー ト を 指定す る た めの も のです。 [User Via] 文字列は、 た と えば SIP/2.0/UDP 10.10.10.10:5060 の よ う にな り ます。 SIP メ ッ セージへの Secure Via ヘ ッ ダの挿入 (TCP 経由で) SSL/TLS を使っ てサーバ ノ ー ド でセキ ュ アチ ャ ン ネル を作成す る 場合、SIP要求に Secure Viaヘ ッ ダ を挿入す る よ う に BIG-IP を設定す る こ と がで き ま す。 [ Secure Via Header] 設定は、 SIP メ ッ セージの発信元を示す も のです。 デフ ォ ル ト では、[Secure Via Header ] 設定は無効にな っ てい ます。 こ の設定を有効にす る には [Custom] ボ ッ ク ス を ク リ ッ ク し ます。 SIP メ ッ セージへの Record-Route ヘ ッ ダの挿入 ま た、 SIP 要求に Record-Route ヘ ッ ダ を挿入す る よ う に BIG-IP を設 定す る こ と も で き ま す。 [Insert Record-Route Header] 設定は、 後続 の SIP 要求のネ ク ス ト ホ ッ プ を指定す る も のです。 デフ ォ ル ト では、 [Insert Record-Route Header] 設定は無効にな っ て い ます。 こ の設定を有効にす る には [Custom] ボ ッ ク ス を ク リ ッ ク し ます。 SIP パーシ ス テ ン スのカ ス タ マ イ ズ BIG-IP での SIP セッ ショ ン のパーシス テン ス の扱い方を カ ス タ マイ ズ する こ と ができ ま す。 こ のカ ス タ マイ ズは、「 SIP パーシス テン ス プロ フ ァ イ ル」 と 呼ばれる 特定のパーシス テン ス プロ フ ァ イ ルを 作成する こ と で行いま すが、 SIP パーシス テン ス プロ フ ァ イ ルを 使う 場合は、 必 ず SIP サービ ス プロ フ ァ イ ルを 作成・ 使用し なければなら ないため、注 意が必要です (「SIP プ ロ フ ァ イ ル設定の概要」( 6-40 ページ) を 参照)。 そのためには、 両方のプロ フ ァ イ ルを 作成し 、 それら を 同じ バーチャ ルサーバに割り 当てま す。SIP パーシス テン ス プロ フ ァ イ ルの詳細につ いては、 「SIP パーシ ス テ ン ス 」( 7-17 ページ) を 参照し てく ださ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 43 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 RTSP プ ロ フ ァ イルの設定 BIG-IP には、 Real Time Streaming Protocol (RTSP) ト ラ フ ィ ッ ク の管 理に使用す る た め の プ ロ フ ァ イ ル タ イ プ が含 ま れ ま す。 Real Time Streaming Protocol (RTSP) は ス ト リ ー ミ ン グ メ デ ィ アプ レ ゼ ン テー シ ョ ン用のプ ロ ト コ ルであ り 、 ク ラ イ ア ン ト シ ス テ ムは RTSP を使用 す る こ と で、 リ モー ト の ス ト リ ー ミ ン グ メ デ ィ ア サーバ を 制御 し 、 サーバ上の フ ァ イ ルへの時間ベース のア ク セ ス を可能に し ます。 BIG-IP の RTSP プ ロ フ ァ イ ルは、 以下の機能を サポー ト し てい ます。 • UDP 経由の ス ト リ ー ミ ン グ メ デ ィ アの設定。 こ の場合、 制御接続 を使っ て必要なポー ト を解放 し 、 BIG-IP 経由でデー タ を伝送で き る よ う に し ます。 • 制御接続経由の イ ン タ リ ーブデー タ (基本的には TCP 経由の ス ト リ ー ミ ン グ メ デ ィ ア) • RTSP ポー ト (554) を経由 し た、 RTSP over HTTP の Real Networks ト ンネ リ ング バーチ ャ ルサーバに RTSP プ ロ フ ァ イ ルを割 り 当て る 場合、TCP プ ロ フ ァ イ ル も あわせて割 り 当て る 必要があ り ます。TCP プ ロ フ ァ イ ルを 割 り 当てずにい る と 、 自動で割 り 当て ら れ る よ う にな っ てい ます。 表 6.20 では、 RTSP プ ロ フ ァ イ ルで指定可能な設定を、 それぞれの概 要 と デフ ォ ル ト 値 と 共に一覧に し てい ます。 汎用プ ロパテ ィ 説明 デ フ ォル ト 値 Name プ ロ フ ァ イ ルのユーザ定義名を指定 し ます。プ ロ フ ァ イ ル 名の指定は必須です。 デフ ォ ル ト 値な し Parent Profile カ ス タ ム プ ロ フ ァ イ ルの派生元 と す る プ ロ フ ァ イ ル を指 定 し ます。 rtsp Idle Timeout 接続が削除対象 と し て適格にな る 前に、 UDP 接続がア イ ド ル状態であ る 秒数を指定 し ます。 300 Maximum Header Size 接続が切断 さ れ る ま でに BIG-IP で対応可能な、 RTSP 要 求 も し く は応答のヘ ッ ダの最大サ イ ズ を バ イ ト 単位で指 定 し ます。 4096 Maximum Queued Data 接続が利用不可能であ る と 判断 さ れ、その後切断 さ れ る ま でに、 BIG-IP がバ ッ フ ァ に格納す る 最大デー タ 量を指定 し ます。 32768 Unicast Redirect ユニ キ ャ ス ト ス ト リ ーム を使用 し ていて、こ の設定を有効 にす る と 、ス ト リ ームデー タ の宛先ア ド レ ス と ポー ト を ク ラ イ ア ン ト で指定す る こ と がで き ます。 ただ し 、 セキ ュ リ テ ィ 上の理由か ら 、要求の送信元が宛先ア ド レ ス と し て使 用 さ れます。 無効 (チ ェ ッ ク さ れて いない) Multicast Redirect マルチキ ャ ス ト ス ト リ ーム を使用 し ていて、こ の設定を有 効にす る と 、ク ラ イ ア ン ト が ス ト リ ームデー タ 用に異な る 宛先を指定す る こ と が許可 さ れます。 Disabled (チ ェ ッ ク な し) 表 6.20 RTSP プ ロ フ ァ イ ルの設定 6 - 44 汎用プ ロパテ ィ 説明 デフ ォル ト 値 Session Reconnect こ の設定が有効にな っ ていて、切断 さ れていた制御接続が 再開 さ れ る と 、 BIG-IP は再開 し た制御接続を正 し いサー バにパーシ ス ト し ます。一般的な ク ラ イ ア ン ト では こ の動 作はサポー ト さ れません。 Disabled (チ ェ ッ ク な し) Real HTTP Persistence こ の設定を有効にす る と 、 Real Networks ト ン ネル処理 さ れた RTSP over HTTP が、RTSP ポー ト 経由で自動的にパー シ ス ト さ れます。 デフ ォ ル ト 値は Enabled です。 こ の設 定を無効に し た場合、 ユーザは iRule を使っ てデフ ォ ル ト 動作を オーバー ラ イ ド す る こ と がで き ます。 Enabled (チ ェ ッ ク あ り) Check Source チ ェ ッ ク さ れて い る (有効に な っ て い る ) 場合、 BIG-IP は メ ッ セージの発信元を調べて、その メ ッ セージが ク ラ イ ア ン ト と サーバの ど ち ら か ら 送信 さ れたかを見極め ます。 Enabled (チ ェ ッ ク あ り) Proxy RTSP プ ロ フ ァ イ ルが RTSP プ ロ キ シ設定 と 関連付け ら れ てい る か ど う か を指定 し ま す。 指定で き る 値は、 [None]、 [External]、 [Internal] です。 None Proxy Header SETUP 要求に挿入す る ヘ ッ ダ名を指定 し ます。 名前は必 ず X- 文字列で始ま る 必要があ り ます。 通常、 こ のヘ ッ ダ の値は ク ラ イ ア ン ト IP ア ド レ ス に関す る 情報で構成 さ れ、 他の RTSP プ ロ フ ァ イ ルに よ っ て読み出 さ れます。 なお、 こ のヘ ッ ダは、サーバに要求が送信 さ れて処理が行われ る 前に削除 さ れ る よ う にな っ てい ます。 デフ ォ ル ト 値な し RTP Port Microsoft® Media Services サーバが使用す る ポー ト 番号を 指定 し ま す。 通常 Microsoft Media Services では、 固定の Realtime Transport Protocol (RTP) ポー ト 番号が使われ ま すが、 こ の設定に よ り 、 固定 RTP ポー ト 番号の代わ り に 使用す る ポー ト 番号を指定す る こ と がで き ます。 0 RTCP Port RTP Port 値 と 対にな る RTCP ポー ト を指定 し ます。 通常 Microsoft Media Services で は、 固定 の Real-Time Control Protocol (RTCP) ポー ト 番号が使われますが、 こ の設定に よ り 、固定 RTCP ポー ト 番号の代わ り に使用す る ポー ト 番 号を指定す る こ と がで き ます。 0 表 6.20 RTSP プ ロ フ ァ イ ルの設定 (続 き) RTSP プ ロ フ ァ イ ルの設定では、 RTSP ク ラ イ ア ン ト と メ デ ィ アサー バのほか、 ア カ ウ ン テ ィ ン グ と 認証の タ ス ク を管理す る RTSP プ ロ キ シが含ま れ る のが一般的 と な っ てい ます。 こ の よ う な設定では、 多 く の場合、サーバか ら の ス ト リ ー ミ ン グ メ デ ィ アが RTSP プ ロ キ シサー バを迂回 し て直接 ク ラ イ ア ン ト に渡 さ れ る こ と にな り ます。 こ の設定を実装す る には、 2 台のバーチ ャ ルサーバ (外部ネ ッ ト ワー ク と の間で送受信 さ れ る ト ラ フ ィ ッ ク の処理用 と 、内部ネ ッ ト ワ ー ク と の間で送受信 さ れ る ト ラ フ ィ ッ ク の処理用) を作成 し 、 BIG-IP を 設定 し ます。 各バーチ ャ ルサーバに、 別々の RTSP プ ロ フ ァ イ ルを割 り 当て ます。 こ の設定では、 RTSP プ ロ フ ァ イ ルは以下の よ う に動作 し ます。 • 外部バーチ ャ ルサーバの RTSP プ ロ フ ァ イ ルは、 内部バーチ ャ ル サーバの RTSP プ ロ フ ァ イ ルに ク ラ イ ア ン ト IP ア ド レ ス の情報を 渡 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 45 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 • 内部バーチ ャ ルサーバの RTSP プ ロ フ ァ イ ルは、 要求か ら ク ラ イ ア ン ト IP ア ド レ ス の情報を抽出 し て、 メ デ ィ アサーバの応答を処 理 し 、 BIG-IP の指定 さ れたポー ト を解放 し ます。 こ れ ら のポー ト が解放 さ れ る こ と で、 サーバか ら ク ラ イ ア ン ト へのデー タ 送信の 際に、 ス ト リ ー ミ ン グ メ デ ィ アが RTSP プ ロ キ シサーバを迂回で き る よ う にな り ます。 こ の ク ラ イ ア ン ト IP ア ド レ ス情報は、RTSP プ ロ フ ァ イ ルで指定 し た [Proxy Header] 設定に保存 さ れます。 6 - 46 iSession プ ロ フ ァ イルの設定 BIG-IP には、 WAN に よ り 分離 さ れた 2 台の BIG-IP 間に最適化 ト ン ネルを作成す る iSession プ ロ フ ァ イ ル タ イ プが含ま れ ます。具体的に は、iSession プ ロ フ ァ イ ルを有効にす る と BIG-IP は以下の よ う に動作 し ます。 • キ ュ ーに入れ ら れたデー タ を ホール ド す る 。 • 入力 ワ イ ヤ速度に基づ き 、 特定の タ イ プ と 量のデー タ を圧縮す る 。 表 6.21 では、 iSession プ ロ フ ァ イ ルで指定可能な設定を、 それぞれの 概要 と デフ ォ ル ト 値 と 共に一覧に し てい ます。 汎用プ ロ パテ ィ 説明 デフ ォ ル ト 値 Name プ ロ フ ァ イ ルのユーザ定義名を指定 し ます。プ ロ フ ァ イ ル 名の指定は必須です。 デフ ォ ル ト 値な し Parent Profile カ ス タ ム プ ロ フ ァ イ ルの派生元 と す る プ ロ フ ァ イ ル を指 定 し ます。 isession Mode こ のプ ロ フ ァ イ ルを使っ て WAN経由の ト ラ フ ィ ッ ク を最 適化す る よ う に指定 し ます。 Enabled Compression 対称圧縮に使用す る 方式を指定 し ます。 deflate off: 圧縮を行い ません。 deflate: deflate デー タ 圧縮アルゴ リ ズ ム を使用 し ます。 lzo: Lempel-Ziv-Oberhumer (lzo) デー タ 圧縮アルゴ リ ズ ム を使用 し ます。 bzip2: bzip2 デー タ 圧縮アルゴ リ ズ ム を使用 し ます。 adaptive: 現在の ト ラ フ ィ ッ ク に も っ と も 適 し た圧縮アル ゴ リ ズ ム を使用 し ます。 Port Transparency ク ラ イ ア ン ト が指定 し た宛先ポー ト がWANの向 こ う 側で も 保持 さ れ る よ う に指定 し ます。 Enabled Reuse Connection ロ ーカル と リ モー ト の 2 つの WAN Optimization Module 間 の接続を保存 ・ 再利用す る よ う に指定 し ます。 Enabled Target Virtual 終了 し た iSession ト ラ フ ィ ッ ク 用に、 ク ラ イ ア ン ト 側の BIG-IP がサーバ側の BIG-IP 上の タ ーゲ ッ ト バーチ ャ ル サーバを選択す る のに使用す る 照合基準を指定 し ます。 none none: BIG-IP は、 終了 し た iSession ト ラ フ ィ ッ ク を直接 サーバに送信 し ます。 host match no isession: iSession プ ロ フ ァ イ ルを持たないホ ス ト バーチ ャ ルサーバのみを照合 し ます。 host match all: すべ て の ホ ス ト バー チ ャ ル サ ーバ か ら 、 も っ と も 近い も のを選択 し ます。 match all: すべてのバーチ ャ ルサーバか ら 、 も っ と も 近い も の を選択 し ます。 Endpoint Pool 2 つの BIG-IP 間の ト ン ネルのエン ド ポ イ ン ト と し て機能 す る プールを指定 し ます。 こ の設定は、ペア ト ン ネ リ ン グ に使用 さ れ ま す。 指定で き る 値は、 None、 お よ び定義済 みのプールご と のエ ン ト リ と な っ てい ます。 None 表 6.21 iSession プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 6 - 47 第6章 ア プ リ ケーシ ョ ン層 ト ラ フ ィ ッ クの管理 iSessions プ ロ フ ァ イ ルを使用 し た Local Traffic Manager のペア ト ン ネ リ ン グ 設 定 の 詳 し い 実 装 手 順 に つ い て は、 『BIG-IP® Local Traffic Manager: Implementations』 を参照 し て く だ さ い。 6 - 48 7 セ ッ シ ョ ンパーシ ス テ ン スの有効化 • セ ッ シ ョ ンパーシ ス テ ン スの概要 • パーシス テ ン スの種類 と それら のプ ロ フ ァ イル セ ッ シ ョ ンパーシ ス テ ン スの概要 BIG-IP® の ロ ー カ ル ト ラ フ ィ ッ ク 管理機能 シ ス テ ム を 使用す る と 、 セ ッ シ ョ ンパーシ ス テ ン ス を設定で き ます。セ ッ シ ョ ンパーシ ス テ ン ス を設定す る と 、 BIG-IP は ク ラ イ ア ン ト リ ク エ ス ト に対応 し た特定 のプール メ ンバな ど のセ ッ シ ョ ンデー タ を追跡 し て格納 し ます。セ ッ シ ョ ンデー タ を追跡 し て格納す る 主な理由は、 セ ッ シ ョ ン の存続中、 ま たは後続のセ ッ シ ョ ン中に、 ク ラ イ ア ン ト リ ク エ ス ト が必ず同 じ プール メ ンバに送信 さ れ る よ う にす る ためです。 さ ら に、 セ ッ シ ョ ンパーシ ス テ ン ス では、 ユーザ設定やユーザ名、 パ ス ワー ド な ど、 その他の種類の情報を追跡 し 、 格納で き ます。 BIG-IP は数種類のセ ッ シ ョ ンパーシ ス テ ン ス を備え、それぞれがセ ッ シ ョ ンデー タ に関す る 特定 タ イ プの ス ト レ ージ要件に対応す る よ う に設計 さ れてい ます。 実装す る パーシ ス テ ン ス の種類は、 シ ョ ッ ピ ン グ カー ト や航空券の予約におけ る 項目な ど、ク ラ イ ア ン ト 固有の情報 を ど こ に、 ど の よ う に格納す る かに よ っ て異な り ます。 た と えば航空券の予約情報は、すべてのサーバがア ク セ ス で き る バ ッ ク エ ン ド デー タ ベース内に格納す る こ と 場合 も あれば、ク ラ イ ア ン ト が最初に接続 し た特定サーバ上や、 ク ラ イ ア ン ト のマシ ン の Cookie 内に格納す る こ と も あ り ま す。 パーシ ス テ ン ス を 有効に し た場合、 戻っ て き た ク ラ イ ア ン ト は ロ ー ド バ ラ ン シ ン グ をバ イ パ ス し 、代わ り に直前に接続 し たサーバに接続 し て保存 し た情報にア ク セ ス し ます。 BIG-IP は指定 さ れた期間のセ ッ シ ョ ンデー タ を保持 し ます。 セ ッ シ ョ ンパーシ ス テ ン ス を設定す る 主な手段は、パーシ ス テ ン ス プ ロ フ ァ イ ルを設定 し て、こ れをバーチ ャ ルサーバに割 り 当て る と い う も のです。バーチ ャ ルサーバを通過す る すべての ト ラ フ ィ ッ ク ではな く 、特定 タ イ プの ト ラ フ ィ ッ ク のパーシ ス テ ン ス のみを有効にす る 場 合は、 iRule を記述 し ます。 パーシ ス テ ン ス プ ロ フ ァ イルの設定 パーシ ス テ ン ス プ ロ フ ァ イ ル は、ユーザがプ ロ フ ァ イ ルをバーチ ャ ル サーバに割 り 当て る と 自動的にパーシ ス テ ン ス を有効にす る 設定済 みのオブジ ェ ク ト です。 パーシ ス テ ン ス プ ロ フ ァ イ ルを使用す る と 、 パーシ ス テ ン ス の種類を実装す る プ ロ グ ラ ム を記述す る 必要が あ り ません。 BIG-IP が提供す る 各種パーシ ス テ ン ス はそれぞれ対応す る デフ ォ ル ト のパーシ ス テ ン ス プ ロ フ ァ イ ルを含みます。こ れ ら のパーシ ス テ ン ス プ ロ フ ァ イ ルは、 それぞれその タ イ プのパーシ ス テ ン ス に対す る BIG-IP の動作を定義す る 設定 と 設定値を含みま す。 デフ ォ ル ト のプ ロ フ ァ イ ル を使用す る こ と も 、 デ フ ォ ル ト に基づい た カ ス タ ム プ ロ フ ァ イ ルを作成す る こ と も で き ます。 詳細については、 本ガ イ ド の次の章を参照 し て く だ さ い。 • パーシ ス テ ン ス プ ロ フ ァ イ ルを設定す る には、 「パーシ ス テ ン ス の 種類 と それ ら のプ ロ フ ァ イ ル」 (7-4 ページ) を参照 し て く だ さ い。 • プ ロ フ ァ イ ルの概要を知 る には、 第 5 章 「 プ ロ フ ァ イ ルについて 」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 7-1 第7章 セ ッ シ ョ ンパーシ ス テ ン スの有効化 iRules を介 し たセ ッ シ ョ ンパーシ ス テ ン スの有効化 バーチ ャ ルサーバ を通過す る すべてのセ ッ シ ョ ン に対 し てパーシ ス テ ン ス の タ イ プ を有効にす る パーシ ス テ ン ス プ ロ フ ァ イ ル を 設定す る 代わ り に、 iRule を 記述 し て特定の要求に対す る (特定の Cookie バージ ョ ン のみを含む HTTP ト ラ フ ィ ッ ク に対 し て な ど) パーシ ス テ ン ス の タ イ プ を有効にす る こ と がで き ます。 ま た、 iRule を使用 し て、 SSL 終了要求を有効にす る こ と も で き ます。 つま り BIG-IP が復号化 と 再暗号化を実行 し て、 お よ び SSL 証明書認 証を処理 し て終了す る よ う に要求で き ます。こ の タ イ プの iRule では、 HTTP ヘ ッ ダの挿入 iRule コ マ ン ド を使用 し て SSL セ ッ シ ョ ン ID を HTTP リ ク エ ス ト にヘ ッ ダ と し て挿入で き ます。 こ の章の後半では、パーシ ス テ ン ス プ ロ フ ァ イ ルを使用 し たパーシ ス テ ン ス の有効化を中心に説明 し ます。iRule を作成 し て、パーシ ス テ ン ス を有効にす る 詳細については、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 と 、 第 17 章 「iRule の記述」 を参照 し て く だ さ い。 セ ッ シ ョ ンパーシ ス テ ン ス を有効に し た OneConnect プ ロ フ ァ イルの使い方 セ ッ シ ョ ンパーシ ス テ ン ス を設定す る と 、 BIG-IP は ク ラ イ ア ン ト リ ク エ ス ト に対応 し たプール メ ン バな ど のセ ッ シ ョ ンデー タ を 追跡 し て格納 し ます。バーチ ャ ルサーバに対 し てパーシ ス テ ン ス プ ロ フ ァ イ ル を 設定す る こ と で、 そのセ ッ シ ョ ン の存続中、 ま たは後続のセ ッ シ ョ ン で、ク ラ イ ア ン ト リ ク エ ス ト が必ず同 じ プール メ ンバに送信 さ れ る よ う にな り ます。 HTTP リ ク エ ス ト の Request-URI ヘ ッ ダにセ ッ シ ョ ンデー タ が保存 さ れ る よ う にな っ てい ます。 し か し 、 Cookie と ユニバーサルパーシ ス テ ン ス では、 BIG-IP が こ のヘ ッ ダ内のセ ッ シ ョ ンデー タ を無視 し 、 想定外の ノ ー ド に要求を送信す る 場合があ り ます。 た と えば、 ク ラ イ ア ン ト が イ ン タ ーネ ッ ト プ ロ キ シデバ イ ス 経由でバーチ ャ ルサーバ に要求を送信 し た場合な ど に、 こ の よ う な問題が発生 し ます。 こ れを 防止す る には、 OneConnect プ ロ フ ァ イ ルを作成 し て、 OneConnect プ ロ フ ァ イ ル と パーシ ス テ ン ス プ ロ フ ァ イ ルの両方を バーチ ャ ルサー バに割 り 当て ます。 続 く 2 つのセ ク シ ョ ン では、 OneConnect プ ロ フ ァ イ ルがセ ッ シ ョ ン パーシ ス テ ン ス に与え る 影響について解説 し てい ます。 OneConnect プ ロ フ ァ イルを使用 し ない HTTP 解析 バーチ ャ ルサーバが OneConnect プ ロ フ ァ イ ル を 参照 し な い場合、 BIG-IP は TCP 接続ご と に ロ ー ド バ ラ ン シ ン グ を実行 し ます。 TCP 接 続の負荷が分散 さ れ る と 、 その接続に含まれ る すべての要求が同 じ 1 つのプール メ ンバに送信 さ れ ます。 た と えば、 バーチ ャ ルサーバが OneConnect プ ロ フ ァ イ ルを参照せず に、 ク ラ イ ア ン ト リ ク エ ス ト がプール A の ノ ー ド A に最初に送信 さ れ る 場合、 BIG-IP は ノ ー ド A に対 し て Cookie を挿入 し ます。 7-2 続いて、 同 じ TCP 接続で、 BIG-IP がプール B の ノ ー ド B に対す る Cookie を含む要求を次に受信 し た際、 BIG-IP はその Cookie 情報を無 視 し て、 ノ ー ド B ではな く ノ ー ド A に要求を送信 し ます。 OneConnect プ ロ フ ァ イルを使用 し た HTTP 解析 OneConnect プ ロ フ ァ イ ルを使用す る こ と で こ の問題を解消す る こ と がで き ます。 バーチ ャ ルサーバが OneConnect プ ロ フ ァ イ ルを参照す る 場合、 BIG-IP は TCP 接続内の要求ご と に ロ ー ド バ ラ ン シ ン グ を実 行す る こ と がで き ます。 つま り 、 HTTP ク ラ イ ア ン ト が単一の接続で 複数の要求を送信す る と 、 HTTP リ ク エ ス ト がそれぞれ個別に処理 さ れ る こ と にな り ます。 必要に応 じ て、 BIG-IP は HTTP リ ク エ ス ト を 異な る 宛先サーバに送信 し ます。 た と えば、バーチ ャ ルサーバが OneConnect プ ロ フ ァ イ ルを参照 し て、 ク ラ イ ア ン ト リ ク エ ス ト がプール A の ノ ー ド A に最初に送信 さ れ る 場合、 BIG-IP は ノ ー ド A に対 し て Cookie を挿入 し ます。 続いて、 同 じ TCP 接続で、 BIG-IP がプール B の ノ ー ド B に対す る Cookie を含 む要求を次に受信 し た際、 BIG-IP はその Cookie 情報を使っ て、 ノ ー ド B に正 し く 要求を送信 し ます。 ト ラ ブルシ ュ ーテ ィ ングの ヒ ン ト BIG-IP が Request-URI ヘ ッ ダのパーシ ス テ ン ス情報を無視 し 、間違っ た ノ ー ド に要求を送信 し た場合の問題を緩和す る には、以下の こ と を 行い ます。 • OneConnect プ ロ フ ァ イ ルをバーチ ャ ルサーバに関連付け る 。 • HTTP プ ロ フ ァ イ ルの [OneConnect Transformations] 設定が有効に な っ てい る こ と を確認す る 。 OneConnect プ ロ フ ァ イ ル と HTTP プ ロ フ ァ イ ルの設定については、 『Configuration Guide for BIG-IP® Local Traffic Management』 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 7-3 第7章 セ ッ シ ョ ンパーシ ス テ ン スの有効化 パーシ ス テ ン スの種類 と それらのプ ロ フ ァ イル パーシ ス テ ン ス のプ ロ フ ァ イ ル設定を構成 し 、BIG-IP 上にセ ッ シ ョ ン のパーシ ス テ ン ス を設定で き ます。こ れ ら の設定はプ ロ フ ァ イ ルの作 成時に行 う か、ま たはプ ロ フ ァ イ ルの設定を変更す る こ と でプ ロ フ ァ イ ルの作成後に行え ます。プ ロ フ ァ イ ルの設定に関す る 手順について は、 第 5 章 「プ ロ フ ァ イ ルについて 」 を参照 し て く だ さ い。 パーシ ス テ ン スの種類 パーシ ス テ ン ス プ ロ フ ァ イ ル を使用 し て有効にで き る パーシ ス テ ン ス の種類は次の と お り です。 7-4 ◆ Cookie パーシ ス テ ン ス Cookie パーシ ス テ ン ス では、 ク ラ イ ア ン ト の コ ン ピ ュ ー タ に格納 さ れた HTTP Cookie を使用 し て、 ク ラ イ ア ン ト が Web サ イ ト で以 前にア ク セ ス し た同 じ サーバに再接続で き る よ う に し ます。 ◆ 宛先ア ド レ ス のア フ ィ ニテ ィ パーシ ス テ ン ス ス テ ィ ッ キーパーシ ス テ ン ス と も 呼ばれ る 宛先ア ド レ ス のア フ ィ ニテ ィ パーシ ス テ ン ス は、 TCP プ ロ ト コ ル と UDP プ ロ ト コ ルを サ ポー ト し 、 パケ ッ ト の宛先 IP ア ド レ ス のみに基づいて同 じ サーバ にセ ッ シ ョ ン要求を送信 し ます。 ◆ ハ ッ シ ュ パーシ ス テ ン ス ハ ッ シ ュ パーシ ス テ ン ス では、 既存の iRule に基づいたパーシ ス テ ン ス ハ ッ シ ュ を作成で き ます。 ◆ Microsoft® Remote Desktop Protocol パーシ ス テ ン ス Microsoft® Remote Desktop Protocol (MSRDP) パーシ ス テ ン ス では、 Microsoft® Remote Desktop Protocol (RDP) サー ビ ス を 実行す る ク ラ イ ア ン ト と サーバ間でのセ ッ シ ョ ン を追跡 し ます。 ◆ SIP パーシ ス テ ン ス SIP パーシ ス テ ン ス は、 UDP、 SCTP、 TCP を 介 し て送信 さ れ た Session Initiation Protocol (SIP) メ ッ セージ を受信す る サーバに使 用 さ れ る 種類のパーシ ス テ ン ス です。 ◆ 送信元ア ド レ ス のア フ ィ ニ テ ィ パーシ ス テ ン ス シ ン プルパー シ ス テ ン ス と し て も 知 ら れ る 送信元 ア ド レ ス の ア フ ィ ニテ ィ パーシ ス テ ン ス は、 TCP プ ロ ト コ ル と UDP プ ロ ト コ ル を サポー ト し 、 パケ ッ ト の送信元 IP ア ド レ ス のみに基づいて同 じ サーバにセ ッ シ ョ ン要求を送信 し ます。 ◆ SSL パーシ ス テ ン ス SSL パーシ ス テ ン ス は、 SSL セ ッ シ ョ ン ID を使用 し て、 終了 し て いない SSL セ ッ シ ョ ン を追跡す る タ イ プのパーシ ス テ ン ス です。 終了 し た SSL セ ッ シ ョ ン でパーシ ス テ ン ス を有効にす る 詳細につ いては、 第 9 章 「SSL ト ラ フ ィ ッ ク の管理」 お よ び第 17 章 「iRule の記述」 と 、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 を参照 し て く だ さ い。 ◆ ユニバーサルパーシ ス テ ン ス ユニバーサルパーシ ス テ ン ス では、 パケ ッ ト で永続す る も の を定 義す る 数式を記述で き ます。iRulesTM の場合 と 同 じ 数式の構文を使 用 し て記述 さ れ る 数式では、 連続 し たバ イ ト を セ ッ シ ョ ン識別子 と し て定義 し ます。 セ ッ シ ョ ンパーシ ス テ ン スの基準について 実装す る パーシ ス テ ン ス の種類に関係な く 、 BIG-IP が指定 さ れた ク ラ イ ア ン ト か ら 同 じ プール メ ン バにすべての要求を送信す る 際に使 用す る 基準を指定で き ます。 こ れ ら の基準は、 ク ラ イ ア ン ト 接続を制 御す る バーチ ャ ルサーバに基づ き ま す。 こ れ ら の基準を 指定す る に は、 Match Across Services、 Match Across Virtual Servers、 お よ び Match Across Pools プ ロ フ ァ イ ル設定を使用 し て く だ さ い。 こ れ ら の 設定を理解す る こ と は、パーシ ス テ ン ス プ ロ フ ァ イ ルの設定に役立ち ます。 Match Across Services 設定の指定 Match Across Services プ ロ フ ァ イ ル設定を有効にす る と 、 BIG-IP は 接続を制御す る バーチ ャ ルサーバが最初のパーシ ス テ ン ス 接続を制 御す る バーチ ャ ルサーバ と 同 じ 仮想ア ド レ ス を持つ場合にだけ、パー シ ス テ ン ス の時間制限内に同 じ ク ラ イ ア ン ト か ら 受信 し たすべての パーシ ス テ ン ス接続要求を同 じ ノ ー ド に送信 し よ う と し ます。ク ラ イ ア ン ト か ら 異な る 仮想ア ド レ ス を有す る 他のバーチ ャ ルサーバに送 信 さ れ る 接続要求、 ま たはパーシ ス テ ン ス を使用 し ない接続要求は、 プールに定義 さ れてい る ロ ー ド バ ラ ン シ ン グ方法に従 っ て ロ ー ド バ ラ ン ス さ れます。 た と え ば、 パー シ ス テ ン ス が有効化 さ れ て い る バーチ ャ ルサーバ v1:http が http_pool ( ノ ー ド n1:http と n2:http を含む) を参照 し 、 パーシ ス テ ン ス が有効化 さ れてい る バーチ ャ ルサーバ v1:ssl がプール ssl_pool ( ノ ー ド n1:ssl と n2:ssl を含む) を参照す る バーチ ャ ルサー バマ ッ ピ ン グ を設定す る と し ます。 ク ラ イ ア ン ト がv1:httpへの最初の接続を 確立する と 、プールhttp_pool に 割り 当て ら れて い る ロ ード バラ ン シ ン グ ア ルゴ リ ズ ム に よ っ て n1:http がノ ード と し て選択さ れま す。こ の場合、ク ラ イ ア ン ト が v1:ssl に接続する と 、 BIG-IP はロ ード バラ ン シン グ 方法ではなく 、 最初の接 続で確立さ れた パーシ ス テ ン ス セッ シ ョ ン を 使用し て 接続要求を 受 信する プールメ ン バを 決定し ま す。BIG-IP は 3 番目の接続要求を n1:ssl に送信し ま す。 こ のノ ード はパーシス テン ス セッ ショ ン を 共有する ク ラ イ ア ン ト の最初の接続を 現在制御する n1:http ノ ード と 同じ ノ ード を 使用し ま す。 こ の後、 同 じ ク ラ イ ア ン ト が別の仮想ア ド レ ス (た と えば、 v2:ssl) でバーチ ャ ルサーバに接続す る と 、 BIG-IP は、 ロ ー ド バ ラ ン シ ン グ 法を使っ て接続要求を受信す る ノ ー ド を判断 し 、新 し いパーシ ス テ ン ス セ ッ シ ョ ン の追跡を開始 し ます。 BIG-IP が新 し いパーシ ス テ ン ス セ ッ シ ョ ン を開始す る のは、 要求 さ れたバーチ ャ ルサーバが、 最初の パーシ ス テ ン ス接続要求 (v1) を ホ ス テ ィ ン グす る バーチ ャ ルサーバ と は異な る 仮想ア ド レ ス (v2) を使用す る ためです。 BIG-IP® Local Traffic Management 設定ガ イ ド 7-5 第7章 セ ッ シ ョ ンパーシ ス テ ン スの有効化 重要 Match Across Services 設定を有効にす る には、 同 じ 仮想ア ド レ ス を使 用 し てい る バーチ ャ ルサーバ、お よ び SSL パーシ ス テ ン ス を使用 し て い る バーチ ャ ルサーバがバーチ ャ ルサーバマ ッ ピ ン グ内に同 じ ノ ー ド ア ド レ ス を含んでい る 必要があ り ます。 注 Cookie プ ロ フ ァ イ ルの場合、 こ の設定は Cookie Hash 方式だけに適用 さ れます。 Match Across Virtual Servers 設定の指定 ク ラ イ ア ン ト に よ っ て開始 さ れた個々の接続を ど のバーチ ャ ルサー バが制御 し ていて も 、同 じ ク ラ イ ア ン ト か ら 要求 さ れたすべてのセ ッ シ ョ ン に対す る パーシ ス テ ン ス を維持す る よ う に BIG-IP を設定で き ます。 Match Across Virtual Servers 設定を有効にす る と 、 BIG-IP は パーシ ス テ ン ス の制限時間内で、同 じ ク ラ イ ア ン ト か ら 受信 し たすべ て のパーシ ス テ ン ス 接続要求を同 じ ノ ー ド に送信す る こ と を 試み ま す。 パーシ ス テ ン ス を利用 し ない ク ラ イ ア ン ト か ら の接続要求は、 現 在選択 さ れてい る ロ ー ド バ ラ ン シ ン グ方法に従っ て ロ ー ド バ ラ ン ス さ れ ます。 注 Cookie プ ロ フ ァ イ ルの場合、 こ の設定は Cookie Hash 方式だけに適用 さ れます。 警告 設定を有効にす る には、 TCP ま たは SSL パーシ ス テ ン ス でプールを 使用 し てい る バーチ ャ ルサーバがバーチ ャ ルサーバマ ッ ピ ン グ内で 同 じ メ ンバア ド レ ス を含んでい る必要があ り ます。 Match Across Pools 設定の指定 Match Across Pools 設定を有効にす る と 、 BIG-IP は、 所定のパーシ ス テ ン ス レ コ ー ド を含むプールを使用で き ます。デフ ォ ル ト では無効に 設定 さ れてい ます (解除)。 警告 こ の設定を有効にす る と 、バーチ ャ ルサーバが指定 し た も のではない プールに ク ラ イ ア ン ト ト ラ フ ィ ッ ク が送信 さ れ る可能性があ り ます。 Cookie プ ロ フ ァ イ ルの場合、 こ の設定は Cookie Hash 方式だけに適 用 さ れ ます。 7-6 Cookie パーシ ス テ ン ス BIG-IP では、 HTTP Cookie パーシス テン ス を 使用する よ う に設定でき ま す。 Cookie パーシ ス テ ン ス では、 ク ラ イ ア ン ト のコ ン ピ ュ ータ に格 納さ れた HTTP Cookie を 使用し 、 ク ラ イ ア ン ト が Web サイ ト で以前 にア ク セス し たのと 同じ プールメ ン バに再接続でき る よ う にし ま す。 Cookie パーシ ス テ ン ス には次の 4 つの方法があ り ます。 • HTTP Cookie Insert 方式 • HTTP Cookie Rewrite 方式 • HTTP Cookie Passive 方式 • Cookie Hash 方式 使用す る 方法に よ っ て、Cookie が ク ラ イ ア ン ト に戻 さ れた際に BIG-IP が こ れを処理す る 方法が変わ り ます。 注 F5 では、HTTP リ ク エ ス ト の ロ ー ド バ ラ ン シ ン グが正 し く 行われ る よ う に、 Cookie プ ロ フ ァ イ ルに加え て OneConnect プ ロ フ ァ イ ルを設定 す る こ と を推奨 し てい ます。 詳細については、 「セ ッ シ ョ ンパーシ ス テ ン ス を有効に し た OneConnect プ ロ フ ァ イ ルの使い方」 (7-2 ペー ジ) を参照 し て く だ さ い。 Cookie プ ロ フ ァ イル設定について Cookie パーシ ス テ ン ス を実装す る には、 デフ ォ ル ト の Cookie プ ロ フ ァ イ ルを使用す る か、 カ ス タ ムプ ロ フ ァ イ ルを作成 し ます。 表 7.1 は、 Cookie プ ロ フ ァ イ ルを構成す る 設定項目 と 値を示 し ます。 設定 説明 デ フ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ま す。 こ の設定は必須 です。 デフ ォ ル ト 値な し Persistence Type パーシ ス テ ン ス の種類を指定 し ます。 こ の設定は必須です。 Cookie Cookie Method BIG-IP が使用す る Cookie 処理の種類を指定 し ます。 詳細に ついては、 次の項の 「Cookie Method 設定の指定」 を参照 し て く だ さ い。 HTTP Cookie Insert Cookie Name BIG-IP が検索ま たは挿入す る Cookie 名を指定 し ます。 こ の値は プール名に 基づ い て 自動的 に 生 成 さ れます。 Expiration Cookie の有効期限を設定 し ます。 HTTP Cookie Insert お よ び HTTP Cookie Rewrite 方式だけに適用 さ れます。 デフ ォ ル ト (チ ェ ッ ク あ り ) を使用す る と 、 BIG-IP では、 セ ッ シ ョ ン Cookie で指定 さ れた有効期限が使用 さ れます。 Enabled (チ ェ ッ ク あ り) Hash Offset Cookie パーシ ス テ ン ス の場合、こ の設定は Cookie Hash 方式 だけに適用 さ れます。 0 表 7.1 Cookie パーシ ス テ ン ス プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 7-7 第7章 セ ッ シ ョ ンパーシ ス テ ン スの有効化 設定 説明 デフ ォル ト 値 Hash Length Cookie パーシ ス テ ン ス の場合、こ の設定は Cookie Hash 方式 だけに適用 さ れます。 0 Timeout こ れ ら の設定は、 Cookie Hash 方式だ け に適用 さ れ ま す。 パー シ ス テ ン ス エ ン ト リ の待機時間 を 秒単位で指定 し ま す。 タ イ ム ア ウ ト 値設定の詳細については、 第 1 章 「 ロ ー カル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 180 Mirror Persistence 有効な場合 (チ ェ ッ ク あ り ) 、 ア ク テ ィ ブユニ ッ ト が待機 モー ド にな っ た と き に、 BIG-IP がパーシ ス テ ン ス レ コ ー ド を ピ アに ミ ラ ー リ ン グす る こ と を指定 し ます。 Cookie プ ロ フ ァ イ ルの場合、 こ の設定は Cookie Hash 方式だけに適用 さ れます。 Disabled (解除) Match Across Services 同 じ 仮想 IP ア ド レ ス に送信 さ れ る ク ラ イ ア ン ト IP ア ド レ ス か ら のすべてのパーシ ス テ ン ス 接続が、 同 じ ノ ー ド に送信 さ れ る よ う に指定 し ます。 Cookie プ ロ フ ァ イ ルの場合、 こ の設定は Cookie Hash 方式だけに適用 さ れます。 詳細につ いては、 「Match Across Services 設定の指定」 (7-5 ページ) を 参照 し て く だ さ い。 Disabled (解除) Match Across Virtual Servers 同 じ ク ラ イ ア ン ト IP ア ド レ ス か ら のすべてのパーシ ス テ ン ス 接 続 が 同 じ ノ ー ド に 送 信 さ れ る よ う に 指 定 し ま す。 Cookie プ ロ フ ァ イ ルの場合、 こ の設定は Cookie Hash 方式 だけに適用 さ れます。詳細については、「Match Across Virtual Servers 設定の指定」 (7-6 ページ) を参照 し て く だ さ い。 Disabled (解除) Match Across Pools BIG-IP が こ のパーシ ス テ ン ス エ ン ト リ を含むプールを使用 で き る よ う に指定 し ます。 Cookie プ ロ フ ァ イ ルの場合、 こ の設定は Cookie Hash 方式だけに適用 さ れます。 詳細につ いては、 「Match Across Pools 設定の指定」 (7-6 ページ) を 参照 し て く だ さ い。 Disabled (解除) Override Connection Limit チ ェ ッ ク さ れてい る (有効にな っ てい る ) 場合、 プール メ ンバの コ ネ ク シ ョ ン リ ミ ッ ト がオーバー ラ イ ド さ れ る よ う に指定 し て、 ク ラ イ ア ン ト をパーシ ス ト さ せ る こ と がで き ま す。 仮想接続ご と の制限は厳格に維持 さ れ、 オーバー ラ イ ド さ れ る こ と はあ り ません。 Disabled (解除) 表 7.1 Cookie パーシ ス テ ン ス プ ロ フ ァ イ ルの設定 (続 き) Cookie Method 設定の指定 Cookie プ ロ フ ァ イ ル内で Cookie Method 設定を 4 つの値の う ちの 1 つ に設定で き ます。 HTTP Cookie Insert 方式 プ ロ フ ァ イ ル内で HTTP Cookie Insert 方式を指定 し た場合、 ク ラ イ ア ン ト の接続先のサーバに関す る 情報が、サーバか ら の HTTP 応答の ヘ ッ ダに Cookie と し て挿入 さ れます。 Cookie には BIGipServer <pool_name> と い う 名前が付け ら れ、接続を処理す る サーバのア ド レ ス と ポー ト を含みます。 Cookie の有効期限は BIG-IP に設定 さ れた タ イ ム ア ウ ト に基づいて設定 さ れ ます。 HTTP Cookie Insert は、 Cookie Method 設定のデフ ォ ル ト 値です。 7-8 プ ロ フ ァ イ ル設定 Mirror Persistence、 Match Across Services、 Match Across Virtual Servers、 お よ び Match Across Pools は、 HTTP Cookie Insert 方式には適用 さ れ ません。 こ れ ら の設定は、 Cookie Hash 方式 だけに適用 さ れ ます。 ヒント こ の種のプ ロ フ ァ イ ルは、 Performance (HTTP) タ イ プのバーチ ャ ル サーバに割 り 当て る こ と がで き ます。 HTTP Cookie Rewrite 方式 HTTP Cookie Rewrite 方式を指定す る と 、BIG-IP はサーバか ら ク ラ イ ア ン ト に送信 さ れた BIGipCookie と い う 名前の Set-Cookie ヘ ッ ダ を イ ン タ ーセプ ト し 、 その Cookie の名前 と 値を書 き 換え ます。 新 し い Cookie には BIGipServer<pool_name> と い う 名前が付け ら れ、接続を 処理す る サーバのア ド レ ス と ポー ト を含みます。 重要 で き る限 り 、 HTTP Cookie Passive 方式ではな く こ の方法を使用す る こ と をお勧め し ます。 HTTP Cookie Rewrite 方式では、 サーバに よ っ て作成 さ れ る Cookie を設定す る 必要があ り ます。HTTP Cookie Rewrite 方式を成功 さ せ る には、BIG-IP が書 き 換え を行 う ため、Web サーバか ら の空白の Cookie が必要です。Apache バ リ ア ン ト では、次のエ ン ト リ を httpd.conf フ ァ イ ルに追加す る こ と に よ っ て Cookie を各 Web ページのヘ ッ ダに追加 で き ます。 Header add Set-Cookie BIGipCookie=0000000000000000000000000... (Cookie は合計で 120 個のゼ ロ を含む必要があ り ます。) 注 下位互換性のために、 空白の Cookie が含むゼ ロ の数を 75 個にす る こ と も で き ます。 ただ し 、 こ のサ イ ズの Cookie では、 iRules と パーシ ス テ ン ス を一緒に使用す る こ と はで き ません。 プ ロ フ ァ イ ル設定 Mirror Persistence、 Match Across Services、 Match Across Virtual Servers、 お よ び Match Across Pools は、 HTTP Cookie Rewrite 方式には適用 さ れません。 こ れ ら の設定は、 Cookie Hash 方 式だけに適用 さ れ ます。 HTTP Cookie Passive 方式 HTTP Cookie Passive 方式 を 指定 し た場合、 サーバか ら の応答内で Set-Cookie ヘ ッ ダへの空白の挿入や検索は実行 さ れ ません。 こ の方式 では Cookie は設定 さ れ ません。 こ の方式では、 サーバは正 し いサー バ情報 と タ イ ム ア ウ ト で書式化 さ れた Cookie を提供 し ます。 重要 で き る 限 り 、 HTTP Cookie Passive 方式ではな く HTTP Cookie Rewrite 方式を使用す る こ と をお勧め し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 7-9 第7章 セ ッ シ ョ ンパーシ ス テ ン スの有効化 HTTP Cookie Passive 方式を成功 さ せ る には、 Cookie 内に適切なサー バ情報を含んだ Web サーバか ら の Cookie が必要です。 設定ユーテ ィ リ テ ィ を使用す る 場合は、 エ ン コ ー ド が自動的に追加 さ れ る Cookie 文字列のテ ン プ レー ト を生成 し 、こ のテ ン プ レー ト を編集 し て実際の Cookie を作成 し て く だ さ い。 た と えば次の文字列は、 エ ン コ ー ド が自動的に追加 さ れ る 生成済み Cookie テ ン プ レー ト で、 こ の場合 [pool name] はサーバを含むプール の名前、336260299 はエ ン コ ー ド さ れたサーバア ド レ ス、お よ び 20480 はエ ン コ ー ド さ れたポー ト です。 Set-Cookie:BIGipServer[poolname]=336268299.20480.0000; expires=Sat, 01-Jan-2002 00:00:00 GMT; path=/ こ のテ ン プ レー ト か ら Cookie を作成す る には、 実際のプール名 と 有 効期限の日時を入力 し ます。 ま たは、 次のア ド レ ス (a.b.c.d) の数式を使用 し てエ ン コ ー ド を実行 す る こ と も で き ます。 d*(256^3) + c*(256^2) + b*256 +a ポー ト を エ ン コ ー ド す る には、ポー ト を格納 し て元に戻す 2 バ イ ト を 使用 し ます。 し たが っ て、 ポー ト 80 は 80 * 256 + 0 = 20480 にな り ま す。 ポー ト 1433 (5 * 256 + 153) は 153 * 256 + 5 = 39173 にな り ます。 Apache バ リ ア ン ト では、 次のエ ン ト リ を httpd.conf フ ァ イ ルに追加 す る こ と に よ っ て Cookie を各 Web ページのヘ ッ ダに追加で き ます。 Header add Set-Cookie: "BIGipServer my_pool=184658624.20480.000; expires=Sat, 19-Aug-2002 19:35:45 GMT; path=/" プ ロ フ ァ イ ル設定 Mirror Persistence、 Match Across Services、 Match Across Virtual Servers、 お よ び Match Across Pools は、 HTTP Cookie Passive 方式には適用 さ れ ません。 こ れ ら の設定は、 Cookie Hash 方式 だけに適用 さ れます。 Cookie Hash 方式 Cookie Hash 方式を指定 し た場合、 Cookie 値は継続的に特定の ノ ー ド にマ ッ ピ ン グ さ れ ます。 ク ラ イ ア ン ト がサ イ ト に戻 る と 、 BIG-IP は、 Cookie 情報を使用 し て ク ラ イ ア ン ト を所定の ノ ー ド に戻 し ま す。 こ の方式では、 Web サーバが Cookie を生成す る 必要があ り ます。 HTTP Cookie Insert 方式を使用 し た場合の よ う に Cookie が自動的に作成 さ れ る こ と はあ り ません。 宛先ア ド レ スのア フ ィ ニ テ ィ パーシ ス テ ン ス 宛先ア ド レ ス のア フ ィ ニテ ィ パーシ ス テ ン ス を使用す る と 、サーバの 配列を最適化で き ます。宛先ア ド レ ス のア フ ィ ニテ ィ パーシ ス テ ン ス は ス テ ィ ッ キーパーシ ス テ ン ス と し て も 知 ら れ、 特定の宛先 IP ア ド レ ス についての要求を、要求を送信 し た ク ラ イ ア ン ト に関係な く 同 じ サーバに送信 し ます。 こ のタ イ プのパーシス テン ス は、 キャ ッ シン グサーバを ロ ード バラ ン シン グする 場合に最も 有益です。キャ ッ シン グサーバは Web要求を イ ン タ ーセプト し 、 使用可能であればキャ ッ シュ さ れている Web ページを 返 し ます。 こ れ ら のサーバでのキ ャ ッ シ ュ の有効性を改善す る には、 7 - 10 同様の要求を同 じ サーバに繰 り 返 し 送信す る 必要があ り ます。宛先ア ド レ ス のア フ ィ ニテ ィ パーシ ス テ ン ス タ イ プ を使用す る と 、配列内の 各サーバ上の Web ページではな く 1 つのサーバ上の Web ページ を キ ャ ッ シ ュ で き ま す。 こ れに よ っ て、 他のサーバは キ ャ ッ シ ュ 内の Web ページ を複製す る 必要がな く な り 、 メ モ リ の無駄を省 く こ と が で き ます。 宛先ア ド レ スのア フ ィ ニ テ ィ プ ロ フ ァ イル設定について 宛先ア ド レ ス のア フ ィ ニテ ィ パーシ ス テ ン ス を実装す る には、デフ ォ ル ト の dest_addr プ ロ フ ァ イ ルを使用す る か、 カ ス タ ムプ ロ フ ァ イ ル を作成 し ます。 表 7.2 は、 宛先ア ド レ ス ア フ ィ ニテ ィ プ ロ フ ァ イ ルを 構成す る 設定項目 と 値を示 し ます。 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Persistence Type パーシ ス テ ン ス プ ロ フ ァ イ ルの種類を指定 し ます。こ の設 定は必須です。 Destination Address Affinity Mirror Persistence 有効な場合 (チ ェ ッ ク あ り )、 ア ク テ ィ ブユニ ッ ト が待機 モー ド にな っ た と き に、 BIG-IP がパーシ ス テ ン ス レ コ ー ド を ピ アに ミ ラ ー リ ン グす る こ と を指定 し ます。 Disabled (解除) Match Across Services 同 じ 仮想 IP ア ド レ ス に送信 さ れ る ク ラ イ ア ン ト IP ア ド レ ス か ら のすべてのパーシ ス テ ン ス接続が、同 じ ノ ー ド に送 信 さ れ る よ う に指定 し ます。 Disabled (解除) Match Across Virtual Servers 同じ ク ラ イ アン ト IPアド レ ス から のすべてのパーシス テン ス 接続が同じ ノ ード に送信さ れる よ う に指定し ま す。 Disabled (解除) Match Across Pools BIG-IP が こ のパーシ ス テ ン ス エ ン ト リ を含むプールを使 用で き る よ う に指定 し ます。 Disabled (解除) Mask 既存のパーシ ス テ ン ス エ ン ト リ と 照合す る 前に、 BIG-IP が使用す る マ ス ク を指定 し ます。 255.255.255.255 Timeout パーシ ス テ ン ス エ ン ト リ の持続時間を秒単位で指定 し ま す。 タ イ ム ア ウ ト 値設定の詳細については、 第 1 章 「 ロ ー カル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 180 指定で き る 値は次の と お り です。 Specify: パーシ ス テ ン ス エ ン ト リ が期限切れに な る ま で の秒数を指定 し ます。 Indefinite: パーシ ス テ ン ス エ ン ト リ に期限切れが な い こ と を指定 し ます。 Override Connection Limit チ ェ ッ ク さ れてい る (有効にな っ てい る ) 場合、 プール メ ン バの コ ネ ク シ ョ ン リ ミ ッ ト がオーバー ラ イ ド さ れ る よ う に指定 し て、ク ラ イ ア ン ト をパーシ ス ト さ せ る こ と が で き ま す。 仮想接続ご と の制限は厳格に維持 さ れ、 オー バー ラ イ ド さ れ る こ と はあ り ません。 Disabled (解除) 表 7.2 宛先ア ド レ ス のア フ ィ ニテ ィ パーシ ス テ ン ス プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 7 - 11 第7章 セ ッ シ ョ ンパーシ ス テ ン スの有効化 ハ ッ シ ュパーシ ス テ ン ス ハ ッ シ ュ パーシ ス テ ン ス では、 persist uie iRule コ マン ド を 使用する 既 存の iRule に基づき パーシス テン ス ハッ シュ を 作成する こ と ができ ま す。ハッ シュ パーシス テン ス はユニバーサルパーシス テン ス と 同じ よ う に使用さ れま すが、ハッ シュ パーシス テン ス では返さ れる パーシス テン ス キーがデータ そのも のではなく データ のハッ シュ 値と なり ま す。 図 7.1 は、 ハ ッ シ ュ パーシ ス テ ン ス を実装す る iRule の例です。 rule my_persist_irule { when HTTP_REQUEST { persist uie [HTTP::header myheader] } } 図 7.1 ハ ッ シ ュ パーシ ス テ ン ス用の iRule の例 ハ ッ シ ュ パーシ ス テ ン ス用の iRule 実行後は、 bigpipe persist show all コ マ ン ド を入力 し て、デー タ その も のではな く デー タ のハ ッ シ ュ 値が 使用 さ れてい る こ と を確認す る こ と がで き ます。 た と えば、デー タ 文字列 data1 と data2 を指定す る iRule があ る 場合、 bigpipe persist show all コ マ ン ド を実行す る と 、こ れ ら の文字列のハ ッ シ ュ 値 (2356372769 と 1996459178) がパーシ ス テ ン ス値 と し て表示 さ れ ます。 図 7.2 は こ の コ マ ン ド の出力です。 # b persist show all PERSISTENT CONNECTIONS -Mode: hash Value: 2356372769 Virtual: 10.1.1.41:http Node: 10.10.10.190:http Age: 2sec Mode: hash Value: 1996459178 Virtual: 10.1.1.41:http Node: 10.10.10.180:http Age: 2sec 図 7.2 パーシ ス テ ン ス にハ ッ シ ュ値が使用 さ れてい る出力結果 ハッ シ ュ パーシ ス テ ン ス を 使用し て おり 、 BIG-IP が接続のパーシ ス テ ン ス テ ーブルにエン ト リ を 見つけ ら れず、 フ ォ ールバッ ク パーシ ス テ ン ス によ り プールメ ン バを 選択でき な い場合、 指定し た ロ ード バラ ン シ ン グ 方式ではな く 、ハッ シ ュ 値を 使用し て 、プールメ ン バが 選択さ れま す。 前 述 の 例 に 基 づ い て、 パ ー シ ス テ ン ス テ ー ブ ル に ハ ッ シ ュ 値 2356372769 のエ ン ト リ が含まれてお ら ず、プール中のア ク テ ィ ブ ノ ー ド 数が同 じ であ る 場合、パーシ ス テ ン ス に こ のハ ッ シ ュ 値を取 る セ ッ シ ョ ン が常に、 ( ノ ー ド が ア ク テ ィ ブで あれば) ノ ー ド 10.10.10.190 にパーシ ス テ ン ス さ れます。 Hash プ ロ フ ァ イル設定について ハ ッ シ ュ パーシ ス テ ン ス を実装す る には、デフ ォ ル ト のハ ッ シ ュ プ ロ フ ァ イ ル を 使用す る か、 カ ス タ ム のプ ロ フ ァ イ ル を 作成 し ま す。 表 7.3 は、 Hash プ ロ フ ァ イ ルを構成す る 設定項目 と 値を示 し ます。 7 - 12 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Persistence Type パーシ ス テ ン ス プ ロ フ ァ イ ルの種類を指定 し ます。こ の設 定は必須です。 Hash Match Across Services 同 じ 仮想 IP ア ド レ ス に送信 さ れ る ク ラ イ ア ン ト IP ア ド レ ス か ら のすべてのパーシ ス テ ン ス接続が、同 じ ノ ー ド に送 信 さ れ る よ う に指定 し ます。 Disabled (解除) Match Across Virtual Servers 同 じ ク ラ イ ア ン ト IP ア ド レ ス か ら のすべてのパーシ ス テ ン ス接続が同 じ ノ ー ド に送信 さ れ る よ う に指定 し ます。 Disabled (解除) Match Across Pools BIG-IP が こ のパーシ ス テ ン ス エ ン ト リ を含むプールを使 用で き る よ う に指定 し ます。 Disabled (解除) Hash Algorithm ハッ シュ パーシス テン ス のロ ード バラ ン シン グ に使用する アルゴ リ ズム を 指定し ま す。 ハッ シュ 結果がこ のアルゴ リ ズム の入力値と なり ま す。指定でき る 値は次のと おり です。 デフ ォ ル ト • Default: プール メ ンバの イ ンデ ッ ク ス を使用 し て、 ア ルゴ リ ズ ムの入力値 と な る ハ ッ シ ュ 結果を取得 し ます。 • CARP: Cache Array Routing Protocol (CARP) を使用 し て、 アルゴ リ ズ ムの入力値 と な る ハ ッ シ ュ 結果を取得 し ます。 Hash Offset パケ ッ ト 内の開始オ フ セ ッ ト を指定 し ます。ハ ッ シ ュ パー シ ス テ ン ス の ロ ー ド バ ラ ン シ ン グ実行時には、 こ こ か ら ハ ッ シ ュ が開始 さ れ る こ と にな り ます。デフ ォ ル ト 値 0 は オ フ セ ッ ト がない こ と を示 し ます。 0 Hash Length パ ケ ッ ト 内のデー タ の長 さ を バ イ ト 単位で指定 し ま す。 ハ ッ シ ュ パーシ ス テ ン ス の ロ ー ド バ ラ ン シ ン グ実行時に は、 こ れを使っ てハ ッ シ ュ 値が算出 さ れます。 0 Hash Start Pattern ハ ッ シ ュ パ タ ー ン の開始位置 を 記述す る 文字列式 (Tcl regex) を指定 し ま す。 ハ ッ シ ュ パーシ ス テ ン ス の ロ ー ド バ ラ ン シ ン グ実行時には、 こ の開始位置が使用 さ れます。 デフ ォ ル ト 値な し Hash End Pattern ハ ッ シ ュ パ タ ー ン の終了位置 を 記述す る 文字列式 (Tcl regex) を指定 し ま す。 ハ ッ シ ュ パーシ ス テ ン ス の ロ ー ド バ ラ ン シ ン グ実行時には、 こ の終了位置が使用 さ れます。 デフ ォ ル ト 値な し Hash Buffer Limit ハ ッ シ ュ パ タ ーン の位置を検索す る 際の最大デー タ 量を 指定 し ます。 0 Hash More 現在のハ ッ シ ュ 処理終了後に別のハ ッ シ ュ 処理を実行す る よ う に指定 し ます。 無効 (チ ェ ッ ク さ れて いない) iRule パーシ ス テ ン ス エ ン ト リ を決定す る ために実行す る iRule を指定 し ます。 None Timeout パーシ ス テ ン ス エ ン ト リ の待機時間を秒単位で指定 し ま す。 タ イ ム ア ウ ト 値設定の詳細については、 第 1 章 「 ロ ー カル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 180 指定で き る 値は次の と お り です。 Specify: パーシ ス テ ン ス エ ン ト リ が期限切れに な る ま で の秒数を指定 し ます。 Indefinite: パーシ ス テ ン ス エ ン ト リ に期限切れが な い こ と を指定 し ます。 表 7.3 Hash パーシ ス テ ン ス プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 7 - 13 第7章 セ ッ シ ョ ンパーシ ス テ ン スの有効化 設定 説明 デ フ ォル ト 値 Override Connection Limit チェ ッ ク さ れて いる ( 有効にな っ て いる ) 場合、 プール メ ン バのコ ネ ク シ ョ ン リ ミ ッ ト がオーバーラ イ ド さ れる よ う に指定し て 、 ク ラ イ ア ン ト を パーシ ス ト さ せる こ と ができ ま す。仮想接続ご と の制限は厳格に維持さ れ、オー バーラ イ ド さ れる こ と はあ り ま せん。 Disabled (解除) 表 7.3 Hash パーシ ス テ ン ス プ ロ フ ァ イ ルの設定 Microsoft Remote Desktop Protocol パーシ ス テ ン ス MSRDP パーシ ス テ ン ス では、 Microsoft® Remote Desktop Protocol (RDP) サービ ス を実行 し てい る Windows® ク ラ イ ア ン ト と サーバ と の間で ト ラ フ ィ ッ ク の ロ ー ド バ ラ ン シ ン グ と パー シ ス テ ン ス セ ッ シ ョ ン の維持を効率的に実行で き ます。 MSRDP パーシ ス テ ン ス機能 を有効にす る 際に推奨 さ れ る シナ リ オは、 Windows Server 2003 ま た は Windows Server 2008 を実行す る メ ンバで構成 さ れ る ロ ー ド バ ラ ン シ ン グプールを作成す る と い う も のであ り 、こ こ ではすべての メ ンバ が Windows ク ラ ス タ に所属 し 、 Windows セ ッ シ ョ ンデ ィ レ ク ト リ に 参加す る こ と にな り ます。 MSRDP パーシ ス テ ン スの メ リ ッ ト 通常、 Microsoft Terminal Services を実行す る Windows サーバでは、 セ ッ シ ョ ン ブ ロ ー カ (Windows Server 2003 で は 「Terminal Services Session Directory」、 Windows Server 2008 では 「TS Session Broker」 と 呼ばれてい ます) を利用 し て、 ユーザセ ッ シ ョ ンが特定のサーバに 割 り 当て ら れ る よ う にす る こ と がで き ま す。 ク ラ イ ア ン ト が誤 っ た タ ー ミ ナルサーバに対 し て接続要求を開始す る と 、そのサーバが ク ラ イ ア ン ト を正 し いサーバに リ ダ イ レ ク ト し ます。 し か し 、 BIG-IP を使用 し てい る 場合は、 ロ ー ド バ ラ ン シ ン グプール 内の個々のサーバではな く 、BIG-IP のバーチ ャ ルサーバに ク ラ イ ア ン ト を リ ダ イ レ ク ト す る 必要があ り ます。こ の よ う な リ ダ イ レ ク ト が行 われ る よ う にす る には、 MSRDP プ ロ フ ァ イ ルを設定 し ます。 MSRDP プ ロ フ ァ イ ル と 共に、 セ ッ シ ョ ン ブ ロ ーカがパーシ ス テ ン ス記録の 保持用に提供す る ト ー ク ン が使用 さ れ ます。セ ッ シ ョ ン ブ ロ ーカ ト ー ク ン が存在 し ないセ ッ シ ョ ン が開始 さ れた場合、 BIG-IP はそのプー ルで設定 さ れてい る ロ ー ド バ ラ ン シ ン グ方式に基づ き 、 ど の よ う な ロ ー ド バ ラ ン シ ン グ を行 う か を決定 し ます。 つま り 、 MSRDP パーシス テン ス と セッ ショ ン ブロ ーカ を 併用する と 、 セッ ショ ン ブロ ーカを 単独で使用する 場合よ り も 、ロ ード バラ ン シン グ の選択肢の範囲が広がり 、 拡張性と 柔軟性が向上する こ と になり ま す。 サーバプ ラ ッ ト フ ォ ームの問題 デフ ォ ル ト では、 BIG-IP で MSRDP パーシ ス テ ン ス を有効にす る と 、 プール内の各サーバで セ ッ シ ョ ン ブ ロ ー カ が設定 さ れて い る 限 り 、 ロ ー ド バ ラ ン シ ン グ方式の設定に従い接続の負荷が分散 さ れ ま す。 Terminal Services Session DirectoryはWindows Server 2003で、TS Session Broker は Windows Server 2008 で、 それぞれ限定 し て提供 さ れてい る 機能です。 し たが っ て、 プール内のサーバが Windows Server 2003 か 7 - 14 Windows Server 2008 のいずれかでなければ、 MSRDP パーシ ス テ ン ス をデフ ォ ル ト モー ド で使用す る こ と はで き ません。 ま た、 ク ラ イ ア ン ト シ ス テ ム では、あ ら ゆ る Windows Server 2003 ま たは Windows Server 2008 シ ス テ ム に付属す る リ モー ト デ ス ク ト ッ プ ク ラ イ ア ン ト ソ フ ト ウ ェ アが実行 さ れてい る 必要があ り ます。 ただ し 、 MSRDP パーシ ス テ ン ス を有効にす る 必要はあ る が、 サーバ プ ラ ッ ト フ ォ ームが旧バージ ョ ンの Windows (Session Directory ま た は TS Session Broker が 使用 不可) を 実行 し て い る と い う 場合 は、 MSRDP パーシ ス テ ン ス を 非デ フ ォ ル ト モー ド にす る こ と がで き ま す。 こ の場合、 BIG-IP は ク ラ イ ア ン ト が指定 し たユーザ名を経由 し て同 じ Windows サーバに ク ラ イ ア ン ト を接続 し ます。MSRDP パーシ ス テ ン ス を非デフ ォ ル ト モー ド で有効にす る (つま り 、 サーバでセ ッ シ ョ ン ブ ロ ーカが利用で き ない) と 、 ロ ー ド バ ラ ン シ ン グ と リ ダ イ レ ク シ ョ ン の機能が制限 さ れ る ため、デフ ォ ル ト モー ド で使用す る 方が よ り 望ま し い と いえ ます。 セ ッ シ ョ ン ブ ロー カ を有効に し た MSRDP パーシ ス テ ン スの設定 MSRDP パーシ ス テ ン ス をデフ ォ ル ト モー ド で有効にす る には、 ロ ー ド バ ラ ン シ ン グプール内の各 Windows サーバでセ ッ シ ョ ン ブ ロ ーカ を設定す る 必要があ り ます。 セ ッ シ ョ ン ブ ロ ーカの設定に加え、 その 他の Windows 設定 タ ス ク を こ れ ら のサーバで実行 し ま す。 ただ し 、 Windows サーバを設定す る 前に、ロ ー ド バ ラ ン シ ン グプールを作成 し た り 、Windows サーバを そのプールの メ ンバ と し て指定す る と い っ た タ ス ク を実行す る こ と に よ っ て、 BIG-IP を設定す る 必要があ り ます。 次の 2 つの項では、RDP を 使用し た Windows ク ラ イ ア ン ト / サーバの 設定に関し て、 MSRDP パーシス テン ス を デフ ォ ルト モード で有効に する ために必要な BIG-IP のシス テム 設定タ ス ク について説明し ま す。 セ ッ シ ョ ン ブ ロー カ を無効に し た MSRDP パーシ ス テ ン スの設定 サーバにセ ッ シ ョ ン ブ ロ ーカがない場合、サーバは他のサーバ と セ ッ シ ョ ン を共有で き ないため、サーバへの接続が切断 さ れた場合に リ ダ イ レ ク シ ョ ン を 実 行 で き ま せ ん。 セ ッ シ ョ ン 共 有 の 代 わ り に、 Windows ク ラ イ ア ン ト はユーザ名の形式でデー タ を BIG-IP に提供 し ます。 BIG-IP は こ れに よ っ てその ク ラ イ ア ン ト を同 じ サーバに継続 的に接続す る こ と がで き ます。 MSRDP パーシ ス テ ン ス が こ の よ う に 動作す る よ う に有効化す る こ と は、 非デフ ォ ル ト モー ド です。 MSRDP プ ロ フ ァ イル設定について MSRDP パーシ ス テ ン ス を実装す る には、 デフ ォ ル ト の msrdp プ ロ フ ァ イ ル を 使用す る か、 カ ス タ ム のプ ロ フ ァ イ ル を作成 し ま す。 表 7.4 は、 プ ロ フ ァ イ ルの MSRDP タ イ プ を構成す る 設定項目 と 値を示 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 7 - 15 第7章 セ ッ シ ョ ンパーシ ス テ ン スの有効化 設定 説明 デ フ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Persistence Type パーシ ス テ ン ス プ ロ フ ァ イ ルの種類を指定 し ます。こ の設 定は必須です。 Microsoft Remote Desktop Mirror Persistence 有効な場合 (チ ェ ッ ク あ り )、 ア ク テ ィ ブユニ ッ ト が待機 モー ド にな っ た と き に、 BIG-IP がパーシ ス テ ン ス レ コ ー ド を ピ アに ミ ラ ー リ ン グす る こ と を指定 し ます。 Disabled (解除) Match Across Services 同 じ 仮想 IP ア ド レ ス に送信 さ れ る ク ラ イ ア ン ト IP ア ド レ ス か ら のすべてのパーシ ス テ ン ス接続が、同 じ ノ ー ド に送 信 さ れ る よ う に指定 し ます。 Disabled (解除) Match Across Virtual Servers 同じ ク ラ イ アン ト IPアド レ ス から のすべてのパーシス テン ス 接続が同じ ノ ード に送信さ れる よ う に指定し ま す。 Disabled (解除) Match Across Pools BIG-IP が こ のパーシ ス テ ン ス エン ト リ を含むプールを使 用で き る よ う に指定 し ます。 Disabled (解除) Timeout パーシ ス テ ン ス エ ン ト リ の持続時間を秒単位で指定 し ま す。 タ イ ム ア ウ ト 値設定の詳細については、 第 1 章 「 ロ ー カル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 300 指定で き る 値は次の と お り です。 Specify: パーシ ス テ ン ス エ ン ト リ が期限切れに な る ま で の秒数を指定 し ます。 Indefinite: パーシ ス テ ン ス エ ン ト リ に期限切れが な い こ と を指定 し ます。 Has Session Directory サーバが Session Directory を実行す る か ど う かを指定 し ます。 Enabled (チ ェ ッ ク あ り) Override Connection Limit チ ェ ッ ク さ れてい る (有効にな っ てい る ) 場合、 プール メ ンバの コ ネ ク シ ョ ン リ ミ ッ ト がオーバー ラ イ ド さ れ る よ う に指定 し て、ク ラ イ ア ン ト をパーシ ス ト さ せ る こ と が で き ま す。 仮想接続ご と の制限は厳格に維持 さ れ、 オー バー ラ イ ド さ れ る こ と はあ り ません。 Disabled (解除) 表 7.4 MSRDP パーシ ス テ ン ス プ ロ フ ァ イ ルの設定 7 - 16 SIP パーシ ス テ ン ス Session Initiation Protocol (SIP) は、 複数の参加者で構成 さ れ る セ ッ シ ョ ン を管理す る アプ リ ケーシ ョ ン レ イ ヤプ ロ ト コ ルであ る ため、 リ アル タ イ ムの メ ッ セージ、 音声、 デー タ 、 お よ び映像が有効化 さ れま す。セ ッ シ ョ ンは電話や イ ン ス タ ン ト メ ッ セージに よ る 単純な双方向 の会話の場合 も あれば、 音声、 デー タ 、 ビデオで構成 さ れ る 複雑で コ ラ ボ レ ーテ ィ ブ な マルチ メ デ ィ ア カ ン フ ァ レ ン ス コ ールの場合 も あ り ます。 SIP を使用 し た場合、 アプ リ ケーシ ョ ンは SCTP、 TCP、 ま たは UDP を介 し て メ ッ セージ を交換す る こ と で、 相互に通信を行い ます。 SIP パーシ ス テ ン ス はサーバプールで利用可能なパーシ ス テ ン ス の一 種です。 SIP パーシ ス テ ン ス は、 UDP を介 し て送信 さ れた SIP メ ッ セージ を受信す る プ ロ キ シサーバに対 し て設定す る こ と がで き ます。 現在 BIG-IP では、 UDP、 TCP、 SCTP 経由で送信 さ れた SIP メ ッ セー ジのパーシ ス テ ン ス をサポー ト し てい ます。 SIP パーシ ス テ ン スのプ ロ フ ァ イル設定について SIP パーシ ス テ ン ス を実装す る には、 デフ ォ ル ト プ ロ フ ァ イ ルであ る Persistence Type か SIP を利用す る か、、も し く はカ ス タ ム プ ロ フ ァ イ ルを作成 し ます。 表 7.5 に、 SIP パーシ ス テ ン ス プ ロ フ ァ イ ルを構成 す る 設定項目 と 値を ま と めてい ます。 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Persistence Type パーシ ス テ ン ス プ ロ フ ァ イ ルの種類を指定 し ます。こ の設 定は必須です。 SIP Parent Profile カ ス タ ム プ ロ フ ァ イ ルの派生元 と す る プ ロ フ ァ イ ル を指 定 し ます。 sip_info Match Across Services 同 じ 仮想 IP ア ド レ ス に送信 さ れ る ク ラ イ ア ン ト IP ア ド レ ス か ら のすべてのパーシ ス テ ン ス接続が、同 じ ノ ー ド に送 信 さ れ る よ う に指定 し ます。 Disabled (解除) Match Across Virtual Servers 同 じ ク ラ イ ア ン ト IP ア ド レ ス か ら のすべてのパーシ ス テ ン ス接続が同 じ ノ ー ド に送信 さ れ る よ う に指定 し ます。 Disabled (解除) すべてのバーチャ ルサーバに対し てパーシス テン ス を 設定 する と 、 ク ラ イ アン ト によ っ て開始さ れた個々の接続がど のバーチャ ルサーバで制御さ れている かに関係なく 、 ト ラ フ ィ ッ ク 管理シス テム は同じ ク ラ イ アン ト が要求する すべ ての接続のパーシス テン ス を 維持する こ と になり ま す。 Match Across Pools BIG-IP が こ のパーシ ス テ ン ス エ ン ト リ を含むプールを使 用で き る よ う に指定 し ます。 Disabled (解除) すべてのプールに対 し てパーシ ス テ ン ス を設定す る と 、ク ラ イ ア ン ト に よ っ て開始 さ れた個々の接続が ど のプール で制御 さ れてい る かに関係な く 、ト ラ フ ィ ッ ク 管理シ ス テ ム は同 じ ク ラ イ ア ン ト が要求す る すべての接続のパーシ ス テ ン ス を維持す る こ と にな り ます。 表 7.5 SIP パーシ ス テ ン ス プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 7 - 17 第7章 セ ッ シ ョ ンパーシ ス テ ン スの有効化 設定 説明 デ フ ォル ト 値 SIP Info SIP セ ッ シ ョ ン をパーシ ス ト さ せ る SIP ヘ ッ ダ フ ィ ール ド を指定 し ます。以下のヘ ッ ダ フ ィ ール ド か ら 選択 し て く だ さ い。 From Call-ID: セ ッ シ ョ ンが Call-ID でパーシ ス ト す る よ う に指 定 し ます。 SIP-ETag: セ ッ シ ョ ンがSIP-ETagでパーシ ス ト す る よ う に 指定 し ます。 To: セ ッ シ ョ ンが SIP セ ッ シ ョ ンの宛先でパーシ ス ト す る よ う に指定 し ます。 From: セ ッ シ ョ ンが SIP セ ッ シ ョ ンの発信元でパーシ ス ト す る よ う に指定 し ます。 Subject: セ ッ シ ョ ン が SIP セ ッ シ ョ ン のサブジ ェ ク ト で パーシ ス ト す る よ う に指定 し ます。 Specify: セ ッ シ ョ ンが SIP ヘ ッ ダにおけ る ユーザ指定の文 字列でパーシ ス ト す る よ う に指定 し ます。 Timeout パーシ ス テ ン ス エ ン ト リ の持続時間を秒単位で指定 し ま す。 タ イ ム ア ウ ト 値設定の詳細については、 第 1 章 「 ロ ー カル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 180 指定で き る 値は次の と お り です。 Specify: パーシ ス テ ン ス エ ン ト リ が期限切れに な る ま で の秒数を指定 し ます。 Indefinite: パーシ ス テ ン ス エ ン ト リ に期限切れが な い こ と を指定 し ます。 Override Connection Limit チ ェ ッ ク さ れてい る (有効にな っ てい る )場合、プール メ ン バの コ ネ ク シ ョ ン リ ミ ッ ト がオーバー ラ イ ド さ れ る よ う に指定 し て、ク ラ イ ア ン ト をパーシ ス ト さ せ る こ と がで き ます。仮想接続ご と の制限は厳格に維持 さ れ、 オーバー ラ イ ド さ れ る こ と はあ り ません。 Disabled (解除) 表 7.5 SIP パーシ ス テ ン ス プ ロ フ ァ イ ルの設定 (続 き) タ イ ム ア ウ ト 値を指定す る こ と に よ っ て、BIG-IP は異な る 種類の SIP フ ァ イ ナル メ ッ セージが 1 つあ る だけで各受信パケ ッ ト を テ ス ト す る 必要がな く な り 、旧 SIP パーシ ス テ ン ス エ ン ト リ に関連付け ら れた リ ソ ース を開放で き ます。 デフ ォ ル ト の タ イ ム ア ウ ト 値は 180 秒で す。 タ イ ム ア ウ ト 値を変更す る 場合、 デフ ォ ル ト 以上の値を指定す る こ と をお勧め し ます。 重要 UDP ト ラ フ ィ ッ ク を処理す る バーチ ャ ルサーバの場合、SIP プ ロ フ ァ イ ルの Timeout 設定値 (秒) が最低で も UDP プ ロ フ ァ イ ルの Idle Timeout 設定値 と 同 じ 値にな っ てい る こ と を必ずチ ェ ッ ク す る よ う に し ます。 こ れに よ っ て、 SIP ト ラ フ ィ ッ ク のパーシ ス テ ン ス が正 し く 行われてい る こ と を確認で き ます。 7 - 18 送信元ア ド レ スのア フ ィ ニ テ ィ パーシ ス テ ン ス 送信元ア ド レ ス のア フ ィ ニ テ ィ パーシ ス テ ン ス はシ ン プルパーシ ス テ ン ス と し て も 知 ら れ、送信元 IP ア ド レ ス のみに基づいてセ ッ シ ョ ン を追跡 し ます。ク ラ イ ア ン ト が送信元ア ド レ ス のア フ ィ ニ テ ィ パーシ ス テ ン ス を サ ポー ト す る バーチ ャ ルサーバへの接続 を 要求す る と 、 BIG-IP は ク ラ イ ア ン ト が以前に接続 し ていないか ど う か を確認 し 、接 続 し ていた場合は、 ク ラ イ ア ン ト を同 じ プール メ ンバに返 し ます。 送信元ア ド レ ス のア フ ィ ニテ ィ パーシ ス テ ン ス と SSL パーシ ス テ ン ス を一緒に使用す る こ と も あ り ます。 SSL セ ッ シ ョ ン ID が タ イ ム ア ウ ト し てい る 、 ま たは戻 さ れた ク ラ イ ア ン ト がセ ッ シ ョ ン ID を提供 し ない場合、BIG-IP に ク ラ イ ア ン ト の IP ア ド レ ス に基づいて元のプー ル メ ンバに ク ラ イ ア ン ト を ダ イ レ ク ト さ せ る 必要があ り ます。ク ラ イ ア ン ト の送信元ア ド レ ス の ア フ ィ ニ テ ィ パーシ ス テ ン ス レ コ ー ド が タ イ ム ア ウ ト にな っ ていない限 り 、 BIG-IP は ク ラ イ ア ン ト を適切な プール メ ンバに戻す こ と がで き ます。 パーシ ス テ ン ス の設定はすべてのプ ロ ト コ ルに適用 さ れ ます。パーシ ス テ ン ス の タ イ マーが 0 よ り 大 き い値に設定 さ れてい る 場合、パーシ ス テ ン ス はオ ン にな り ます。パーシ ス テ ン ス の タ イ マーが 0 に設定 さ れてい る 場合、 パーシ ス テ ン ス はオ フ にな り ます。 パーシ ス テ ン ス マ ス ク 機能は、送信元ア ド レ ス のア フ ィ ニ テ ィ パーシ ス テ ン ス を実装す る バーチ ャ ルサーバについてのみ機能 し ます。パー シ ス テ ン ス マ ス ク を追加す る こ と に よ っ て、 送信元 IP ア ド レ ス の範 囲を特定 し 、プールに接続す る 際に 1 つの送信元ア ド レ ス のア フ ィ ニ テ ィ パーシ ス テ ン ス接続 と し て一緒に管理で き ます。 送信元ア ド レ スのア フ ィ ニ テ ィ パーシ ス テ ン ス プ ロ フ ァ イ ル設定に ついて 送信元ア ド レ ス の ア フ ィ ニ テ ィ パーシ ス テ ン ス を実装す る には、 デ フ ォ ル ト の source_addr プ ロ フ ァ イ ルを使用す る か、 カ ス タ ム プ ロ フ ァ イ ルを作成 し ます。 表 7.6 は、 送信元ア ド レ ス ア フ ィ ニテ ィ プ ロ フ ァ イ ルを構成す る 設定項目 と 値を示 し ます。 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Persistence Type パーシ ス テ ン ス プ ロ フ ァ イ ルの種類を指定 し ます。こ の設 定は必須です。 Source Address Affinity Match Across Services 同 じ 仮想 IP ア ド レ ス に送信 さ れ る ク ラ イ ア ン ト IP ア ド レ ス か ら のすべてのパーシ ス テ ン ス接続が、同 じ ノ ー ド に送 信 さ れ る よ う に指定 し ます。 Disabled (解除) Match Across Virtual Servers 同じ ク ラ イ アン ト IPアド レ ス から のすべてのパーシス テン ス 接続が同じ ノ ード に送信さ れる よ う に指定し ま す。 Disabled (解除) Match Across Pools BIG-IP が こ のパーシ ス テ ン ス エ ン ト リ を含むプールを使 用で き る よ う に指定 し ます。 Disabled (解除) 表 7.6 送信元ア ド レ ス のア フ ィ ニテ ィ パーシ ス テ ン ス プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 7 - 19 第7章 セ ッ シ ョ ンパーシ ス テ ン スの有効化 設定 説明 デ フ ォル ト 値 Timeout パーシ ス テ ン ス エ ン ト リ の持続時間を秒単位で指定 し ま す。 タ イ ム ア ウ ト 値設定の詳細については、 第 1 章 「 ロ ー カル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 180 指定で き る 値は次の と お り です。 Specify: パーシ ス テ ン ス エ ン ト リ が期限切れに な る ま で の秒数を指定 し ます。 Indefinite: パーシ ス テ ン ス エ ン ト リ に期限切れが な い こ と を指定 し ます。 Mask 既存のパーシ ス テ ン ス エ ン ト リ と 照合す る 前に、 BIG-IP が使用す る マ ス ク を指定 し ます。 None Map Proxies プ ロ キ シのマ ッ ピ ン グ を有効ま たは無効に し ます。 Enabled (チ ェ ッ ク あ り) Override Connection Limit チ ェ ッ ク さ れてい る (有効にな っ てい る ) 場合、 プール メ ンバの コ ネ ク シ ョ ン リ ミ ッ ト がオーバー ラ イ ド さ れ る よ う に指定 し て、ク ラ イ ア ン ト をパーシ ス ト さ せ る こ と が で き ま す。 仮想接続ご と の制限は厳格に維持 さ れ、 オー バー ラ イ ド さ れ る こ と はあ り ません。 Disabled (解除) 表 7.6 送信元ア ド レ ス のア フ ィ ニテ ィ パーシ ス テ ン ス プ ロ フ ァ イ ルの設定 SSL パーシ ス テ ン ス SSL パーシ ス テ ン ス は SSL セ ッ シ ョ ン ID を使用 し て SSL セ ッ シ ョ ン を追跡す る タ イ プのパーシ ス テ ン ス で、個々のプールのプ ロ パテ ィ で す。 ク ラ イ ア ン ト が、 通常は イ ン タ ーネ ッ ト のサービ ス プ ロ バ イ ダが 割 り 当て る よ う な変換 さ れた IP ア ド レ ス ま たはダ イ ナ ミ ッ ク IP ア ド レ ス を持つ場合、 SSL パーシ ス テ ン ス の使用は特に重要です。 ク ラ イ ア ン ト の IP ア ド レ ス が変更 さ れた場合で も 、 BIG-IP はセ ッ シ ョ ン を セ ッ シ ョ ン ID に基づいてパーシ ス テ ン ス があ る と し て認識 し ます。 SSL パーシ ス テ ン ス と 送信元ア ド レ ス のア フ ィ ニ テ ィ パーシ ス テ ン ス を一緒に使用す る こ と も あ り ます。 SSL セ ッ シ ョ ン ID が タ イ ム ア ウ ト し てい る 、 ま たは戻 さ れた ク ラ イ ア ン ト がセ ッ シ ョ ン ID を提供 し ない場合、BIG-IP に ク ラ イ ア ン ト の IP ア ド レ ス に基づいて元の ノ ー ド に ク ラ イ ア ン ト を ダ イ レ ク ト さ せ る 必要があ り ます。ク ラ イ ア ン ト のシ ン プルパーシ ス テ ン ス レ コ ー ド が タ イ ム ア ウ ト にな っ てい ない 限 り 、 BIG-IP は ク ラ イ ア ン ト を適切な ノ ー ド に戻す こ と がで き ます。 注 SSL パーシ ス テ ン ス は、 ク ラ イ ア ン ト リ ク エ ス ト ま たはサーバ応答に 対す る SSL 証明書ベース の認証を実行 し ないシ ス テ ムのみに有効で す。 Client SSL ま たは Server SSL プ ロ フ ィ ルを使用 し て証明書ベース の認証を設定 し てい る場合は、 SSL パーシ ス テ ン ス プ ロ フ ィ ルを設定 し ないで く だ さ い。 設定す る代わ り に、 SSL セ ッ シ ョ ンパーシ ス テ ン ス を実行す る iRule を作成 し ます。 7 - 20 SSL パーシ ス テ ン ス プ ロ フ ァ イル SSL パーシ ス テ ン ス を実装す る には、 デフ ォ ル ト の ssl プ ロ フ ァ イ ル を使用す る か、 カ ス タ ム のプ ロ フ ァ イ ルを作成 し ます。表 7.7 は、SSL パーシ ス テ ン ス プ ロ フ ァ イ ルを構成す る 設定項目 と 値を示 し ます。 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Persistence Type パーシ ス テ ン ス プ ロ フ ァ イ ルの種類を指定 し ます。こ の設 定は必須です。 SSL Match Across Services 同 じ 仮想 IP ア ド レ ス に送信 さ れ る ク ラ イ ア ン ト IP ア ド レ ス か ら のすべてのパーシ ス テ ン ス接続が、同 じ ノ ー ド に送 信 さ れ る よ う に指定 し ます。 Disabled (解除) Match Across Virtual Servers 同じ ク ラ イ アン ト IPアド レ ス から のすべてのパーシス テン ス 接続が同じ ノ ード に送信さ れる よ う に指定し ま す。 Disabled (解除) Match Across Pools BIG-IP が こ のパーシ ス テ ン ス エ ン ト リ を含むプールを使 用で き る よ う に指定 し ます。 Disabled (解除) Timeout パーシ ス テ ン ス エ ン ト リ が タ イ ム ア ウ ト にな る ま での秒 数を指定 し ま す。 つ ま り 、 こ の設定に よ っ て、 SSL セ ッ シ ョ ン ID の タ イ ム ア ウ ト 値が設定 さ れ ま す。 こ の値に よ っ て、指定 さ れた SSL セ ッ シ ョ ン ID が ど の く ら いの間 削除 さ れずに BIG-IP に格納 さ れ る かが決ま り ます。 タ イ ム ア ウ ト 値設定の詳細については、第 1 章 「 ロ ーカル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 300 Override Connection Limit チ ェ ッ ク さ れてい る (有効にな っ てい る ) 場合、 プール メ ン バの コ ネ ク シ ョ ン リ ミ ッ ト がオーバー ラ イ ド さ れ る よ う に指定 し て、ク ラ イ ア ン ト をパーシ ス ト さ せ る こ と が で き ま す。 仮想接続ご と の制限は厳格に維持 さ れ、 オー バー ラ イ ド さ れ る こ と はあ り ません。 Disabled (解除) 表 7.7 SSL パーシ ス テ ン ス プ ロ フ ァ イ ルの設定 ユニバーサルパーシ ス テ ン ス BIG-IP の Universal Inspection Engine (UIE) には、 BIG-IP の iRules 内 に指定で き る 一連の機能が含まれ、こ れに よ っ て ト ラ フ ィ ッ ク を よ り 細かい方法でダ イ レ ク ト し ます。 こ れ ら の iRule 機能を使用す る と 、 コ ン テ ン ツデー タ に基づいて ト ラ フ ィ ッ ク を ダ イ レ ク ト す る 、ま たは ト ラ フ ィ ッ ク を プールの特定の メ ン バにダ イ レ ク ト す る 数式を記述 で き ます。 ユニバーサルパーシ ス テ ン ス では こ の iRules 機能を さ ら に一歩進め、 コ ン テ ン ツ デー タ 、 ま た はプールの特定 メ ン バへの接続に基づ き 、 iRule persist uie コ マ ン ド を使っ てセ ッ シ ョ ン のパーシ ス テ ン ス を実 装で き る よ う に な っ て い ま す。 ユ ニ バーサルパーシ ス テ ン ス では、 セ ッ シ ョ ン 識別子 と し て 使用す る 一連のバ イ ト を 定義す る こ と に よ っ て こ れを実行 し ます。 パーシ ス テ ン ス の iRule 数式を使用す る ために、 ユニバーサルパーシ ス テ ン ス プ ロ フ ァ イ ルには数式を含む iRule の名前を指定す る 設定が 含まれてい ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 7 - 21 第7章 セ ッ シ ョ ンパーシ ス テ ン スの有効化 図 7.3 は、 ユニバーサルパーシ ス テ ン ス を実装す る iRule の例です。 rule my_persist_irule { when HTTP_REQUEST { persist uie [HTTP::header myheader] } } 図 7.3 ユニバーサルパーシ ス テ ン ス用 iRule の例 デー タ のハ ッ シ ュ 値を パーシ ス テ ン ス キー と し て使用す る ハ ッ シ ュ パーシ ス テ ン ス と 違い、ユニバーサルパーシ ス テ ン ス ではデー タ その も の をパーシ ス テ ン ス キー と し て使用 し ます。 iRule を作成 し てユニバーサルプ ロ フ ァ イ ル内で iRule 名を指定 し た ら 、 iRule と プ ロ フ ァ イ ルの両方を リ ソ ース と し て適切なバーチ ャ ル サーバに割 り 当て る 必要があ り ます。 iRules の詳細については、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 ま たは第 17 章 「iRule の記述」 を参照 し て く だ さ い。 注 F5 では、HTTP リ ク エ ス ト の ロ ー ド バ ラ ン シ ン グが正 し く 行われ る よ う に、 ユニバーサルプ ロ フ ァ イ ルに加え て OneConnect プ ロ フ ァ イ ル を設定す る こ と を推奨 し てい ます。詳細については、「セ ッ シ ョ ンパー シ ス テ ン ス を有効に し た OneConnect プ ロ フ ァ イ ルの使い方」 (7-2 ページ) を参照 し て く だ さ い。 ユニバーサルパーシ ス テ ン ス プ ロ フ ァ イル ユニバーサルパーシ ス テ ン ス を実装す る には、デフ ォ ル ト のユニバー サルプ ロ フ ァ イ ルを使用す る か、カ ス タ ム のプ ロ フ ァ イ ルを作成 し ま す。 表 7.8 は、 ユニバーサルパーシ ス テ ン ス プ ロ フ ァ イ ルを構成す る 設定項目 と 値を示 し ます。 設定 説明 デ フ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Persistence Type パーシス テン ス の種類を 指定し ま す。こ の設定は必須です。 Universal Match Across Services 同 じ 仮想 IP ア ド レ ス に送信 さ れ る ク ラ イ ア ン ト IP ア ド レ ス か ら のすべてのパーシ ス テ ン ス接続が、同 じ ノ ー ド に送 信 さ れ る よ う に指定 し ます。 Disabled (解除) Match Across Virtual Servers 同じ ク ラ イ アン ト IPアド レ ス から のすべてのパーシス テン ス 接続が同じ ノ ード に送信さ れる よ う に指定し ま す。 Disabled (解除) Match Across Pools BIG-IP が こ のパーシ ス テ ン ス エン ト リ を含むプールを使 用で き る よ う に指定 し ます。 Disabled (解除) iRule BIG-IP がパーシ ス テ ン ス エ ン ト リ を決定す る ために実行 す る 既存の iRule の名前を指定 し ます。 None 表 7.8 ユニバーサルパーシ ス テ ン ス プ ロ フ ァ イ ルの設定 7 - 22 設定 説明 デフ ォル ト 値 Timeout パーシ ス テ ン ス エ ン ト リ の持続時間を秒単位で指定 し ま す。 タ イ ム ア ウ ト 値設定の詳細については、 第 1 章 「 ロ ー カル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 180 指定で き る 値は次の と お り です。 Specify: パーシ ス テ ン ス エ ン ト リ が期限切れに な る ま で の秒数を指定 し ます。 Indefinite: パーシ ス テ ン ス エ ン ト リ に期限切れが な い こ と を指定 し ます。 Override Connection Limit チ ェ ッ ク さ れてい る (有効にな っ てい る ) 場合、 プール メ ン バの コ ネ ク シ ョ ン リ ミ ッ ト がオーバー ラ イ ド さ れ る よ う に指定 し て、ク ラ イ ア ン ト をパーシ ス ト さ せ る こ と が で き ま す。 仮想接続ご と の制限は厳格に維持 さ れ、 オー バー ラ イ ド さ れ る こ と はあ り ません。 Disabled (解除) 表 7.8 ユニバーサルパーシ ス テ ン ス プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 7 - 23 8 プ ロ ト コ ルプ ロ フ ァ イルの管理 • プ ロ ト コ ルプ ロ フ ァ イルの概要 • Fast L4 プ ロ フ ァ イルの設定 • Fast HTTP プ ロ フ ァ イルの設定 • HTTP Class プ ロ フ ァ イルの設定 • TCP プ ロ フ ァ イルの設定 • UDP プ ロ フ ァ イルの設定 • SCTP プ ロ フ ァ イルの設定 プ ロ ト コ ルプ ロ フ ァ イルの概要 一部の BIG-IP プ ロ フ ァ イ ルはユーザに よ る 設定が可能で、「プ ロ ト コ ルプ ロ フ ァ イ ル」 と 呼ばれてい ます。 プ ロ ト コ ルプ ロ フ ァ イ ルには、 次の タ イ プがあ り ます。 • Fast L4 • Fast HTTP • HTTP Class • TCP • UDP • SCTP BIG-IP では、 プ ロ ト コ ルプ ロ フ ァ イ ルの タ イ プ ご と に、 デフ ォ ル ト 設定を持つ事前設定 さ れたプ ロ フ ァ イ ルを使用で き ます。ほ と ん ど の 場合、 こ れ ら のデフ ォ ル ト プ ロ フ ァ イ ルはその ま ま使用で き ます。 こ れ ら の設定 を 変更す る 場合は、 プ ロ フ ァ イ ルの作成時、 ま たはプ ロ フ ァ イ ルの作成後にプ ロ フ ァ イ ルの設定を変更す る こ と で、プ ロ ト コ ルプ ロ フ ァ イ ルの設定を行い ます。 こ の章の以降の項では、 Fast L4、 Fast HTTP、 HTTP Class、 TCP、 UDP、 SCTP プロ フ ァ イ ルに含ま れる ト ラ フ ィ ッ ク 管理設定を 示し ま す。その 他のタ イ プのプロ フ ァ イ ルの設定については、次を 参照し てく ださ い。 • HTTP、 FTP、 RTSP、 SIP プ ロ フ ァ イ ルについては、 第 6 章 「 アプ リ ケーシ ョ ン層 ト ラ フ ィ ッ ク の管理」 を参照 し て く だ さ い。 • セ ッ シ ョ ン パーシ ス テ ン ス に使用する プロ フ ァ イ ルについて は、 第 7 章「 セ ッ シ ョ ンパーシ ス テ ン ス の有効化」を 参照し てく ださ い。 • ク ラ イ ア ン ト お よ びサーバ SSL プ ロ フ ァ イ ルについては、 第 9 章 「SSL ト ラ フ ィ ッ ク の管理」 を参照 し て く だ さ い。 • リ モー ト 認証サーバ経由の ト ラ フ ィ ッ ク 認証に使用 さ れ る プ ロ フ ァ イ ルについては、 第 10 章 「 アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク の 認証」 を参照 し て く だ さ い。 • OneConnect、 NTLM、 Statistics、 Stream プ ロ フ ァ イ ルについては、 第 11 章 「 その他のプ ロ フ ァ イ ルの使用」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 8-1 第8章 プ ロ ト コ ルプ ロ フ ァ イルの管理 Fast L4 プ ロ フ ァ イルの設定 Fast L4 プ ロ フ ァ イ ルの目的は、 レ イ ヤ 4 ト ラ フ ィ ッ ク を効率 よ く 管 理で き る よ う にす る こ と です。 バーチ ャ ルサーバに Fast L4 プ ロ フ ァ イ ルを割 り 当て る と 、 BIG-IP 内の Packet Velocity® ASIC (PVA) ハー ド ウ ェ ア高速化が、通過す る レ イ ヤ 4 ト ラ フ ィ ッ ク のすべて ま たは一 部を処理で き ます。 レ イ ヤ 4 の処理を PVA ハー ド ウ ェ ア高速化へ負 荷を緩和す る こ と で、 BIG-IP は基本ルーテ ィ ン グ機能 (レ イ ヤ 4) お よ びア プ リ ケーシ ョ ン 切 り 替え (レ イ ヤ 7) のパ フ ォ ーマ ン ス と ス ループ ッ ト を向上す る こ と がで き ます。 Fast L4 プロ フ ァ イ ルは、 パフ ォ ーマン ス ( レ イ ヤ 4)、 転送( レ イ ヤ 2)、およ び転送( IP)と いう バーチャ ルサーバのタ イ プで使用でき ま す。 Fast L4 プ ロ フ ァ イル設定について デフ ォ ル ト の fastl4 プ ロ フ ァ イ ルを その ま ま使用す る こ と も 、 カ ス タ ム Fast L4 プ ロ フ ァ イ ルを作成す る こ と も で き ます。 標準的なニーズ については、 Fast L4 プ ロ フ ァ イ ル設定の大部分のデフ ォ ル ト 値で対 応で き ま す。 変更が必要 と な る 設定は、 [Reset on Timeout]、 お よ び [Idle Timeout] です。 注 既存の Fast L4 プ ロ フ ァ イ ルに行っ た変更は、 Idle Timeout 値が終了 し た後、 ま たは接続が終了 し た後で、 接続だけで有効にな り ます。 表 8.1 に、 Fast L4 プ ロ フ ァ イ ルの設定を列挙 し て説明 し ます。 設定 説明 デ フ ォル ト 値 Name こ の設定は、 プ ロ フ ァ イ ルの一意の名前を指定 し ます。 デフ ォ ル ト 値な し Parent Profile こ の設定は、 親プロ フ ァ イ ルと し て 使用する プロ フ ァ イ ルを 指定し ま す。 新し いプロ フ ァ イ ルは、 指定さ れた 親 プロ フ ァ イ ルから 非カ ス タ ム 設定およ び値を すべて 継承 し ま す。 fastL4 Reset on Timeout こ の設定が有効にな っ てお り 、 TCP 接続がア イ ド ル接続 の タ イ ム ア ウ ト 値を超え た場合、 BIG-IP に よ っ て接続が 削除 さ れ、 リ セ ッ ト が送信 さ れます。 Enabled Reassemble IP Fragments こ の設定が有効にな っ てい る 場合、 BIG-IP に よ っ て IP フ ラ グ メ ン ト が再構成 さ れます。 Disabled Idle Timeout こ の設定は、接続が削除対象 と し て適格にな る 前に、接続 がア イ ド ル状態であ る 秒数を指定 し ます。ア イ ド ル タ イ ム ア ウ ト 値設定の詳細については、 第 1 章 「 ロ ーカル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 300 表 8.1 Fast L4 プ ロ フ ァ イ ルの設定 8-2 設定 説明 デフ ォル ト 値 TCP Handshake Timeout Specify: TCP ハン ド シェ イ ク の許容可能な期間を 指定し ま す。 こ れは、 ク ラ イ ア ン ト SYN と ク ラ イ ア ン ト ACK の間 の最大ア イ ド ル時間です。TCP ハン ド シェ イ ク がタ イ ム ア ウ ト よ り 長く なる と 、 こ の接続は自動的に終了し ま す。 5 Disabled: BIG-IP で TCP ハン ド シ ェ イ ク に タ イ ム ア ウ ト を 適用 し ない こ と を指定 し ます。 Indefinite: TCP ハ ン ド シ ェ イ ク の許容可能な期間が無制 限であ る こ と を指定 し ます。 Max Segment Size Override 最大セ グ メ ン ト サ イ ズ (MSS) の 1460 をオーバー ラ イ ド し ます。 指定で き る 値は次の と お り です。 Disabled Disabled: 最大セグ メ ン ト サ イ ズ を 1460 の ま ま にす る こ と を指定 し ます。 Specify: 値を指定 し て、 最大セ グ メ ン ト サ イ ズ (1460) の オーバー ラ イ ド を許可 し ます。値 0 を指定す る と 、デフ ォ ル ト 値の ま ま にな り ます (Disabled)。 PVA Acceleration こ の設定は、 BIG-IP で使用 し たい 最大高速化モー ド を指 定 し ま す。 バーチ ャ ルサーバの構成に基づいて、 BIG-IP は、 こ のモー ド で、 ト ラ フ ィ ッ ク の高速化を実行す る こ と も 、 実行 し ない こ と も あ り ます。 (詳細については、 「PVA ハー ド ウ ェ ア高速化の設定」 (8-5 ページ) を参照 し て く だ さ い。) 指定で き る 値は、[Full]、[Assisted]、ま たは [None] です。 こ の設定の詳細については、次の表を参照 し て く だ さ い。 Full IP ToS to Client こ の設定は、 ク ラ イ ア ン ト への UDP パケ ッ ト 送信時に BIG-IP に よ っ て IP パ ケ ッ ト に割 り 当て ら れ る Type of Service (ToS) レベルを指定 し ます。 Pass Through IP ToS to Server こ の設定は、サーバへの UDP パケ ッ ト 送信時に BIG-IP に よ っ て IP パケ ッ ト に割 り 当て ら れ る Type of Service(ToS) レベルを指定 し ます。 Pass Through Link QoS to Client こ の設定は、 ク ラ イ ア ン ト への UDP パケ ッ ト 送信時に BIG-IP に よ っ て IP パケ ッ ト に割 り 当て ら れ る Quality of Service (QoS) レベルを指定 し ます。 Pass Through Link QoS to Server こ の設定は、サーバへの UDP パケ ッ ト 送信時に BIG-IP に よ っ て IP パケ ッ ト に割 り 当て ら れ る QoS レベルを指定 し ます。 Pass Through TCP Timestamp Mode BIG-IP が TCP タ イ ム ス タ ンプで行 う 処理を指定 し ます。 指定で き る 値は、[Preserve]、[Strip]、お よ び [Rewrite] です。 Preserve TCP Window Scale Mode BIG-IP が TCP ウ ィ ン ド ウ で行 う 処理を指定 し ます。 指定 で き る 値は、 Preserve と Strip です。 Preserve Generate Numbers BIG-IP が RFC 1948 に従っ て SYN パケ ッ ト の独自のシー ケ ン ス番号を生成す る こ と を可能に し ます。 Disabled Strip Sack OK BIG-IP が開始 SYN におけ る サーバへの受け渡 し か ら TCP SackOK オプシ ョ ン をブ ロ ッ ク す る こ と を可能に し ます。 Disabled RTT from Client BIG-IP が ク ラ イ ア ン ト への ラ ウ ン ド ト リ ッ プ タ イ ム を測 定す る ために TCP タ イ ム ス タ ンプオプシ ョ ン を使用す る よ う に指定 し ます。 Disabled Internal Sequence 表 8.1 Fast L4 プ ロ フ ァ イ ルの設定 (続き ) BIG-IP® Local Traffic Management 設定ガ イ ド 8-3 第8章 プ ロ ト コ ルプ ロ フ ァ イルの管理 設定 説明 デ フ ォル ト 値 RTT from Server BIG-IP がサーバへの ラ ウ ン ド ト リ ッ プ タ イ ム を測定す る ために TCP タ イ ム ス タ ンプオプシ ョ ン を使用す る よ う に 指定 し ます。 Disabled Loose Initiation チ ェ ッ ク さ れてい る (有効にな っ てい る ) 場合、 TCP パ ケ ッ ト を受信す る と 、 接続開始に SYN パケ ッ ト を要求せ ずに、接続を初期化す る こ と を指定 し ます。デフ ォ ル ト で は無効にな っ てい ます。Loose Initiation 設定を有効にす る 場合、Loose Close 設定 も 有効にす る こ と をお勧め し ます。 Disabled 重要 : Loose Initiation を 有効にす る と 、 迷子パ ケ ッ ト が BIG-IP 内を通過す る こ と があ り ます。 こ れは、 セキ ュ リ テ ィ リ ス ク と な り 、シ ス テ ムパフ ォーマ ン ス を低下 さ せ る 場合があ り ます。 Loose Close チ ェ ッ ク さ れて い る (有効に な っ て い る ) 場合、 BIG-IP が ク ラ イ ア ン ト ま たはサーバか ら 最初の FIN パケ ッ ト を 受信す る と 、 Loose Initiation 接続を終了す る こ と を指定 し ます。 Disabled TCP Close Timeout BIG-IP が該当す る 接続で CLOSE パケ ッ ト を受信 し た と き に、接続が削除 さ れ る 前にア イ ド ル状態を取 る こ と がで き る 時間を秒単位で指定 し ます。 TCP Close Timeout 値は、 Idle Timeout 値 よ り も 小 さ く す る 必要があ り ます。 ま た、 TCP Close Timeout 値は、 Loose Initiation ま た は Loose Close 設定が有効にな っ てい る 場合にのみ許可 さ れます。 5 Hardware SYN Cookie Protection シ ス テ ム上に PVA10 があ る 場合に、 ハー ド ウ ェ ア SYN Cookie 保護を有効化 / 無効化 し ます。 こ の機能は特定の ハー ド ウ ェ アプ ラ ッ ト フ ォームでのみ使用可能です。 Disabled Software SYN Cookie Protection シ ス テ ム上に PVA10 がない場合に、 ソ フ ト ウ ェ ア SYN Cookie 保護を有効化 / 無効化 し ます。 Disabled 表 8.1 Fast L4 プ ロ フ ァ イ ルの設定 (続 き ) 8-4 PVA ハー ド ウ ェ ア高速化の設定 Fast L4 プ ロ フ ァ イ ルを実装す る と 、 BIG-IP は、 レ イ ヤ 4 ト ラ フ ィ ッ ク で最 も 効率が良い PVA ハー ド ウ ェ ア高速化モー ド を自動的に選択 し ます。 可能なモー ド は、 [Full]、 [Assisted]、 ま たは [None] です。 BIG-IP が選択す る ハー ド ウ ェ ア高速化モー ド は、 以下の要素に よ っ て異な り ます。 ◆ Fast L4 プ ロ フ ァ イ ルの設定 BIG-IP が選択す る モー ド は、 Fast L4 プ ロ フ ァ イ ルの設定内容に影 響を受け ます。 ◆ バーチ ャ ルサーバの設定 BIG-IP が選択す る モー ド は、 バーチ ャ ルサーバに割 り 当て た所定 の機能 (プール、 SNAT プール、 お よ び iRules な ど) に よ っ て影 響を受け ます。 ◆ 対応す る ノ ー ド に割 り 当て ら れたモニ タ PVA の フル高速化の場合、 該当す る ノ ー ド にモニ タ を割 り 当て る 必要があ り ます。 ◆ PVA Acceleration 設定の値 Fast L4 プ ロ フ ァ イ ルの PVA Acceleration 設定に よ り 、 バーチ ャ ル サーバを通過す る レ イ ヤ 4 ト ラ フ ィ ッ ク に対 し て、 許可 し たい最 大ハー ド ウ ェ ア高速化が定義 さ れ ま す。 し たが っ て、 各値の設定 は以下の よ う にな り ます。 • Full: BIG-IP は、 バーチ ャ ルサーバの設定に基づいて、 3 つの モー ド (Full、 Assisted、 ま たは None) のいずれに も ハー ド ウ ェ ア高速化を設定で き ます。 こ れはデフ ォ ル ト 値です。 • Assisted: BIG-IP は、 バーチ ャ ルサーバの設定に基づいて、 Assisted ま たは None のいずれかにハー ド ウ ェ ア高速化を設定で き ます。 • None: BIG-IP は、 ハー ド ウ ェ ア高速化を実行 し ません。 最大ハー ド ウ ェ ア高速化設定を Full 以下に設定す る 理由のひ と つに、 bigpipe conn show コ マ ン ド で接続を表示す る 場合があ り ま す。 こ の コ マ ン ド は、 ハー ド ウ ェ ア高速化モー ド が Assisted ま たは None に設 定 さ れてい る 場合に、 レ イ ヤ 4 接続だけ を表示 し ます。 モー ド が Full に設定 さ れてい る 場合、bigpipe conn show コ マ ン ド では、 レ イ ヤ 4 接 続が表示 さ れ ません。 ハー ド ウ ェ ア高速化が自動的に設定 さ れた現在のモー ド に基づいて、 BIG-IP は、 表 8.2 (8-6 ページ) に示 し た よ う に、 レ イ ヤ 4 ト ラ フ ィ ッ ク を高速化 し ます。 重要 BIG-IP で VLAN グループが設定 さ れ、 Transparency Mode 設定が [Translucent] か [Transparent] にな っ てい る場合、 [PVA Acceleration] 値は自動的に [None] に設定 さ れます。 BIG-IP® Local Traffic Management 設定ガ イ ド 8-5 第8章 プ ロ ト コ ルプ ロ フ ァ イルの管理 ハー ド ウ ェ ア高速化モー ド 結果 Full ハー ド ウ ェ ア高速化がすべての レ イ ヤ 4 ト ラ フ ィ ッ ク を処理 し ます。レ イ ヤ 4 ト ラ フ ィ ッ ク は、 BIG-IP ソ フ ト ウ ェ ア機能を使用 し て管理 さ れ ません 。 こ の場合、 BIG-IP は、 ク ラ イ ア ン ト 側お よ びサーバ側のパケ ッ ト を同 じ 接続の一部 と し て処理 し ます。 Full モー ド のハー ド ウ ェ ア高速化を使用す る 例 と し ては、Round Robin ロ ー ド バ ラ ン シ ン グ方式を使用 し て、 セ ッ シ ョ ンパーシ ス テ ン ス ま たは iRules な し で、 2 つのサーバ間で レ イ ヤ 4 ト ラ フ ィ ッ ク の ロ ー ド バ ラ ン シ ン グ を行 う 場合があ り ます。 Assisted BIG-IP は、 すべての SYN パケ ッ ト の ロ ー ド バ ラ ン シ ン グ を行い、 ハー ド ウ ェ ア高速化 は、 接続の切断を含め、 残 り のパケ ッ ト を処理 し ます。 Assistedモー ド のハー ド ウ ェ ア高速化を使用す る 例 と し ては、ダ イ ナ ミ ッ ク ロ ー ド バ ラ ン シ ン グ方式を使用 し て、 ま たはパケ ッ ト に含ま れ る IP ア ド レ ス を確認す る シ ンプルな iRule を使用 し て、 レ イ ヤ 4 ト ラ フ ィ ッ ク の ロ ー ド バ ラ ン シ ン グ を行 う 場合があ り ます。 注 : BIG-IP が、ハー ド ウ ェ ア高速化を Assisted に設定 し た場合、Fast L4 プ ロ フ ァ イ ルは、 SNAT お よ び SNAT プール と 、送信元ア ド レ ス のア フ ィ ニテ ィ パーシ ス テ ン ス と 互換性を 持ち ます。 None ハー ド ウ ェ ア高速化は レ イ ヤ 4 ト ラ フ ィ ッ ク を処理 し ません。 代わ り と し て、 BIG-IP ア プ リ ケーシ ョ ンがすべての レ イ ヤ 4 ト ラ フ ィ ッ ク を管理 し ます。 None モー ド のハー ド ウ ェ ア高速化を使用す る 例 と し ては、 HTTP プ ロ フ ァ イ ルや、 遅延 バ イ ンデ ィ ン グお よ び Cookie セ ッ シ ョ ンパーシ ス テ ン ス を実行す る iRule を使用 し て ト ラ フ ィ ッ ク の ロ ー ド バ ラ ン シ ン グ を行 う 場合があ り ます。 表 8.2 レ イ ヤ 4 ト ラ フ ィ ッ ク に対す る PVA ハー ド ウ ェ ア高速化の効果 8-6 Fast HTTP プ ロ フ ァ イルの設定 Fast HTTP プ ロ フ ァ イ ルは、 特定 タ イ プの HTTP 接続を加速す る ため に設計 さ れた設定ツールです。 こ のプ ロ フ ァ イ ルは、 TCP、 HTTP、 お よ び OneConnect プ ロ フ ァ イ ルの選択 し た機能を、 最適なネ ッ ト ワー ク パフ ォーマ ン ス が得 ら れ る よ う に最適化 さ れた 1つのプ ロ フ ァ イ ル に統合 し ま す。 こ のプ ロ フ ァ イ ル を バーチ ャ ルサーバに関連付け る と 、 バーチ ャ ルサーバに よ っ て ト ラ フ ィ ッ ク がパケ ッ ト ご と に、 大幅 に高速に処理 さ れ る よ う にな り ます。 以下の よ う な場合、 Fast HTTP の使用を検討す る 必要があ り ます。 • セッ ショ ン パーシス テン ス 、 リ モート サーバ認証、 SSL ト ラ フ ィ ッ ク 管理、 およ び TCP 最適化など の機能や、 データ 圧縮、 パイ プラ イ ニン グ 、およ び RAM キャ ッ シュ など の HTTP 機能が必要ない場合。 • 送信元 IP ア ド レ ス を保持す る 必要がない場合。 • 宛先サーバに対 し て開 く 接続数を減 ら し たい場合。 • 宛先サーバが、 接続パーシ ス テ ン ス、 すなわち、 Keep-Alive ヘ ッ ダ を含む HTTP/1.1 ま たは HTTP/1.0 を サポー ト し てい る 場合。 IIS サーバの場合、 デフ ォ ル ト で接続パーシ ス テ ン ス を サポー ト し て い ます。 • 必要なのは、限定 さ れた レ イ ヤ 4 サポー ト や限定 さ れた HTTP ヘ ッ ダ処理な ど の、 基本 iRule だけです。 た と えば、 iRule イ ベン ト CLIENT_ACCEPTED、 SERVER_CONNECTED、 お よ び HTTP_REQUEST を使用で き ます。 Fast HTTP プ ロ フ ァ イ ルを使用す る 大 き な利点は、 プ ロ フ ァ イ ルが接 続パーシ ス テ ン ス を サポー ト す る 様態に あ り ま す。 Fast HTTP プ ロ フ ァ イ ル を 使用す る と 、 ク ラ イ ア ン ト リ ク エ ス ト に対 し て、 BIG-IP は、 HTTP Connection ヘ ッ ダ を変換ま たは追加 し て、 接続を開いた ま ま にで き ます。 ま た、 こ のプ ロ フ ァ イ ルを使用す る こ と で、 BIG-IP は 開いてい る サーバ側接続を プー リ ン グで き ます。こ の よ う な接続パー シ ス テ ン ス のサポー ト に よ り 、 接続を開いた り 、 閉 じ た り す る こ と で 生 じ る オーバーヘ ッ ド の大部分が排除 さ れ、宛先サーバの負荷が大幅 に軽減 さ れ ます。 HTTP ヘ ッ ダ変換の詳細については、 第 6 章 「 アプ リ ケーシ ョ ン層 ト ラ フ ィ ッ ク の管理」 を参照 し て く だ さ い。 サーバ側 接続のプー リ ン グの詳細については、 第 11 章 「 その他のプ ロ フ ァ イ ルの使用」 を参照 し て く だ さ い。 注 Fast HTTP プロ フ ァ イ ルは、その他すべて のプロ フ ァ イ ルタ イ プと 非 互換です。 ま た 、 こ のプロ フ ァ イ ルタ イ プを VLAN グ ループと と も に使用し た り 、 IPv6 ア ド レ ス フ ォ ーマッ ト で使用する こ と はでき ま せん。 BIG-IP® Local Traffic Management 設定ガ イ ド 8-7 第8章 プ ロ ト コ ルプ ロ フ ァ イルの管理 Fast HTTP プ ロ フ ァ イル設定について デフ ォ ル ト の fasthttp プ ロ フ ァ イ ルを その ま ま使用す る こ と も 、 カ ス タ ム Fast HTTP プ ロ フ ァ イ ルを作成す る こ と も で き ます。 表 8.3 に、 Fast HTTP プ ロ フ ァ イ ルの設定を列挙 し て説明 し ます。 設定 説明 デ フ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。 デフ ォ ル ト 値な し Parent Profile 親プ ロ フ ァ イ ル と し て使用す る プ ロ フ ァ イ ル を指定 し ま す。新 し いプ ロ フ ァ イ ルは、指定 さ れた親プ ロ フ ァ イ ルか ら 非カ ス タ ム設定お よ び値をすべて継承 し ます。 fasthttp Reset on Timeout チ ェ ッ ク さ れてい る (有効にな っ てい る ) 場合、 接続が タ イ ム ア ウ ト にな る と BIG-IP に よ っ て TCP RESET パケ ッ ト が送信 さ れ、 接続が削除 さ れます。 Enabled (チ ェ ッ ク あ り) Idle Timeout こ の設定は、ト ラ フ ィ ッ ク がないために接続フ ロ ーが削除 対象 と し て適格にな る 前に、接続がア イ ド ル状態であ る 秒 数を指定 し ます。指定で き る 値は、[Specify]、[Immediate]、 お よ び [Indefinite] です。 ア イ ド ル タ イ ム ア ウ ト 値設定の 詳細については、第 1 章 「 ロ ーカル ト ラ フ ィ ッ ク 管理の概 要」 を参照 し て く だ さ い。 300 Maximum Segment Size Override サーバ側接続に対す る 最大セ グ メ ン ト サ イ ズ (MSS) オー バー ラ イ ド を指定 し ます。 デフ ォ ル ト 設定は 0 で、 1460 の MSS に相当 し ます。536 ~ 1460 の任意の整数を指定す る と 、 こ の値を オーバー ラ イ ド で き ます。 0 Client Close Timeout BIG-IP が ク ラ イ ア ン ト FIN パケ ッ ト を受信す る か、 ま た は ク ラ イ ア ン ト に FIN パケ ッ ト を送信す る 場合に、 ク ラ イ ア ン ト 接続を閉 じ る ま での秒数を指定 し ます。こ の設定 は [Idle Timeout] 設定を オーバー ラ イ ド し ます。 指定で き る 値は、 [Specify]、 [Immediate]、 お よ び [Indefinite] です。 詳細については、 オ ン ラ イ ンヘルプを参照 し て く だ さ い。 5 Server Close Timeout BIG-IP がサーバ FIN パケ ッ ト を受信す る か、 ま たはサー バに FIN パケ ッ ト を送信す る 場合に、 ク ラ イ ア ン ト 接続 を 閉 じ る ま で の 秒 数 を 指 定 し ま す。 こ の 設定 は [Idle Timeout] 設定をオーバー ラ イ ド し ます。 指定で き る 値は、 [Specify]、 [Immediate]、 お よ び [Indefinite] です。 詳細に ついては、 オ ン ラ イ ンヘルプを参照 し て く だ さ い。 5 Unclean Shutdown 接続の ク ロ ーズ処理方法を指定 し ます。 指定で き る 値は、 [Disabled]、 [Enabled]、 お よ び [Fast] です。 詳細について は、 オ ン ラ イ ンヘルプを参照 し て く だ さ い。 Disabled Force HTTP 1.0 Response チ ェ ッ ク さ れてい る (有効にな っ てい る ) 場合、 サーバは ク ラ イ ア ン ト への応答を HTTP/1.0 フ ォ ーマ ッ ト で送信 し ます。 こ れに よ り 、 ク ラ イ ア ン ト のチ ャ ン ク お よ びパ イ プ ラ イ ニ ン グが効率的に無効に さ れます。 Disabled (解除) Maximum Pool Size Minimum Pool Size ロ ー ド バ ラ ン シ ン グ プールで受け付け可能な接続の最大 数を指定 し ます。 0 を設定す る と 、 最大数な し を指定 し ま す。 こ れは、 プールが無制限の数の接続を受け入れ ら れ る こ と を意味 し ます。 ロ ー ド バ ラ ン シ ン グ プールで受け付け可能な接続の最小 数を指定 し ます。0 を設定 し た場合、最小数はあ り ません。 表 8.3 Fast HTTP プ ロ フ ァ イ ルの設定 8-8 2048 0 設定 説明 デフ ォル ト 値 Ramp-Up Increment 利用可能な接続がすべて使用中であ る 場合に、 BIG-IP で 追加の接続が利用可能にな る 増分を指定 し ます。 4 Maximum Reuse 現在の接続を再利用で き る 最大回数を指定 し ます。 0 Idle Timeout Override 接続に ト ラ フ ィ ッ ク がない場合に、プール内のサーバ側接 続が削除対象 と し て適格にな る ま での秒数を指定 し ます。 こ の設定は [Idle Timeout] 設定を オーバー ラ イ ド し ます。 指定で き る 値は、[Specify]、[Disabled]、お よ び [Indefinite] です。詳細については、 オン ラ イ ンヘルプを参照 し て く だ さ い。 Disabled Replenish BIG-IP に よ っ てバ ッ ク エ ン ド 接続の定常状態の最大数を 維持す る か ど う かを指定 し ます。 こ の設定を無効に し た 場合、 プールへの接続数が [Minimum Pool Size] 設定で指 定 さ れた値を下回 ら ないかぎ り 、 BIG-IP に よ っ てバ ッ ク エン ド への接続の定常状態の最大数は維持 さ れません。 Enabled (チ ェ ッ ク あ り) Parse Requests チ ェ ッ ク さ れて い る (有効に な っ て い る ) 場合、 BIG-IP に よ っ て接続ス ト リ ームで HTTP デー タ が解析 さ れます。 非 HTTP ト ラ フ ィ ッ ク に対 し て Fast HTTP プ ロ フ ァ イ ルを 使 用 し て い る 場 合 は、 ダ イ ナ ミ ッ ク な サ ー ビ ス 拒 否 (DDoS) 攻撃を遮断す る ために、 こ の設定を無効にす る 必 要があ り ます。 Enabled (チ ェ ッ ク あ り) Maximum Header Size ロ ー ド バ ラ ン シ ン グに関す る 決定を行 う 前に、 BIG-IP に よ っ てバ ッ フ ァ に入れ ら れ る HTTPヘ ッ ダデー タ の最大量 を指定 し ます。 32768 Maximum Requests BIG-IP で単一の ク ラ イ ア ン ト 側接続に許可す る 要求の最 大数を指定 し ます。指定 さ れた制限に達 し た場合、最終応 答には Connection: close ヘ ッ ダが含まれ、 その後に接続 の ク ロ ーズが続 き ます。 デフ ォ ル ト 設定の 0 を指定す る と 、 BIG-IP では ク ラ イ ア ン ト 側接続ご と に無限数の要求 が許可 さ れます。 0 Insert XForwarded For コ ネ ク シ ョ ンプー リ ン グで使用す る ために、 XForwarded For: ヘ ッ ダ を ク ラ イ ア ン ト IP ア ド レ ス と と も に HTTP リ ク エ ス ト に挿入す る か ど う か を指定 し ま す。 可能な設定 は、 [Enabled] お よ び [Disabled] です。 詳細については、 オン ラ イ ンヘルプを参照 し て く だ さ い。 Disabled Request Header Insert BIG-IP に よ っ て HTTP リ ク エ ス ト にヘ ッ ダ と し て挿入す る 文字列を指定 し ます。ヘ ッ ダがすでに存在す る 場合、置 換は行われません。 デフ ォ ル ト 値な し 表 8.3 Fast HTTP プ ロ フ ァ イ ルの設定 (続 き) iRules を 作成する と き に、Fast HTTP プロ フ ァ イ ルでサポート さ れる 多 数のイ ベン ト およ びコ マン ド を 指定でき ま す。 こ れら の iRule イ ベン ト お よ び コ マ ン ド の詳細については、 DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 と 、 第 17 章 「iRule の 記述」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 8-9 第8章 プ ロ ト コ ルプ ロ フ ァ イルの管理 HTTP Class プ ロ フ ァ イルの設定 HTTP Class プ ロ フ ァ イ ルは、HTTP ト ラ フ ィ ッ ク の分類に使用す る た めの設定ツールです。 ト ラ フ ィ ッ ク 分類 では、 ト ラ フ ィ ッ ク ヘ ッ ダや コ ン テ ン ツ の調査に基づ き 、ト ラ フ ィ ッ ク を宛先に転送 し ます。HTTP Class プ ロ フ ァ イ ルを使用す る こ と は、 BIG-IP がユーザ指定の基準に 基づ き ト ラ フ ィ ッ ク を分類す る ための有効な手段です。 iRule 機能を 利用 し て同 じ ト ラ フ ィ ッ ク 分類関数 を 実行す る こ と も で き ま すが、 HTTP Class プ ロ フ ァ イ ルを使っ た方が手間がかか り ません。 ロ ー ド バ ラ ン シ ン グプールか URL のいずれか を宛先 と し て指定す る こ と がで き ます。 HTTP ト ラ フ ィ ッ ク の分類を行 う には、 リ ス ト タ イ プ と 照合す る 文字列を指定す る HTTP Class プ ロ フ ァ イ ルを設定 し ま す。 文字列照合に使用可能な リ ス ト タ イ プは、 次の と お り です。 • ホス ト 名 • URI • ヘッ ダ • Cookie こ れ ら の リ ス ト のいずれか と 照合可能な文字列は、パ タ ーン文字列 も し く は正規表現 と な り ます。 リ ス ト タ イ プでは、 パ タ ーン文字列の大文字 と 小文字が区別 さ れ ま す。 た と えば、 www.f5.com と い う パ タ ーン文字列は www.F5.com と は別の も の と し て扱われ ます。大文字 と 小文字の区別を無効にす る に は、 Linux regexp コ マ ン ド を使用 し ます。 文字列 と 対応す る リ ス ト タ イ プ と がマ ッ チす る と 、 BIG-IP はユーザ 指定のプールに ト ラ フ ィ ッ ク を送信す る こ と がで き ます。 も し く は、 ク ラ イ ア ン ト リ ク エ ス ト を タ ーゲ ッ ト の HTTP バーチ ャ ルサーバか ら 、 プールではな く HTTPS バーチ ャ ルサーバに転送す る HTTP Class プ ロ フ ァ イ ルを作成す る こ と も 可能です。 HTTP Class プ ロ フ ァ イルの設定について デフ ォ ル ト の httpclass プ ロ フ ァ イ ルを その ま ま使用す る か、 も し く はカ ス タ ム の HTTP Class プ ロ フ ァ イ ルを作成す る こ と も で き ます。 表 8.4 (8-11 ページ) に、 HTTP Class プ ロ フ ァ イ ルの設定を一覧に ま と め、 説明 し てい ます。 8 - 10 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。 デフ ォ ル ト 値な し Parent Profile 親プ ロ フ ァ イ ル と し て使用す る プ ロ フ ァ イ ル を指定 し ま す。新 し いプ ロ フ ァ イ ルは、指定 さ れた親プ ロ フ ァ イ ルか ら 非カ ス タ ム設定お よ び値をすべて継承 し ます。 httpclass Application Security バーチャ ルサーバが Application Security Manager アプリ ケ ー ショ ン に ト ラ フ ィ ッ ク を転送す る よ う に指定 し ます。こ の 場合、 HTTP Class プ ロ フ ァ イ ル は Application Security Manager の ア プ リ ケーシ ョ ン セ キ ュ リ テ ィ ク ラ ス に相当 し ます。こ の設定は、BIG-IP で Application Security Manager の使用が許可 さ れてい る 場合にかぎ り 表示 さ れます。 Disabled (解除) WebAccelerator バーチ ャ ルサーバが WebAcceleratorTM アプ リ ケーシ ョ ン に ト ラ フ ィ ッ ク を転送す る よ う に指定 し ま す。 こ の設定 は、 BIG-IP で WebAccelerator の使用が許可 さ れてい る 場 合にかぎ り 表示 さ れます。 Disabled (解除) Hosts HTTP リ ク エ ス ト のルーテ ィ ン グの基準 と し て使用 さ れ る ホ ス ト 名が、すべてのホ ス ト の も のであ る か、 ユーザ指定 のホ ス ト の も のであ る か を指定 し ます。 [Match All] にす る と すべ て の ホ ス ト の HTTP リ ク エ ス ト が 転送 さ れ、 [Match Only] にす る と ユーザ指定のホ ス ト に基づ き HTTP リ ク エ ス ト の転送が行われます。 Match All Host List HTTP リ ク エ ス ト のルーテ ィ ン グの基準 と な る ホ ス ト 名を 指定 し ます。 さ ら に、 Entry Type リ ス ト を使用 し て、 各 ホ ス ト 名を パ タ ーン文字列 も し く は正規表現 と し て指定 す る 必要があ り ます。こ の設定は、Hosts 値が [Match Only] の場合にのみ表示 さ れます。 デフ ォ ル ト 値な し 注 : パ タ ーン文字列を使用す る場合、 リ ス ト タ イ プの大文 字 と 小文字 が 区別 さ れ ま す 詳細 に つ い て は、 「HTTP Class プ ロ フ ァ イ ルの設定」 (8-10 ページ) を参照 し て く だ さ い。 URI Paths HTTP リ ク エ ス ト のルーテ ィ ン グの基準 と し て使用 さ れ る URI が、 すべての URI であ る か、 ユーザ指定の URI であ る かを指定 し ます。 [Match All] にす る と すべての URI の HTTP リ ク エ ス ト が転送 さ れ、 [Match Only] にす る と ユー ザの指定の URI に基づ き HTTP リ ク エ ス ト の転送が行わ れます。 Match All URI List HTTP リ ク エ ス ト のルーテ ィ ン グの基準 と な る URI パ ス を 指定 し ます。 さ ら に、 Entry Type リ ス ト を使用 し て、 各 URI をパ タ ーン文字列 も し く は正規表現 と し て指定す る 必要があ り ます。こ の設定は、URI Paths 値が [Match Only] の場合にのみ表示 さ れます。 デフ ォ ル ト 値な し 注 : パ タ ーン文字列を使用す る場合、 リ ス ト タ イ プの大文 字 と 小文字が区別 さ れます 詳細については、「HTTP Class プ ロ フ ァ イ ルの設定」 (8-10 ページ) を参照 し て く だ さ い。 Headers HTTP リ ク エ ス ト のルーテ ィ ン グの基準 と し て使用 さ れ る ヘ ッ ダ と それ ら の値が、 すべてのヘ ッ ダの も のであ る か、 ユ ー ザ 指 定 の ヘ ッ ダ の も の で あ る か を 指 定 し ま す。 [Match All] にす る と すべてのヘ ッ ダ を基準に HTTP リ ク エ ス ト が転送 さ れ、 [Match Only] にす る と ユーザ指定の ヘ ッ ダに基づ き HTTP リ ク エ ス ト の転送が行われます。 Match All 表 8.4 HTTP Class プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 8 - 11 第8章 プ ロ ト コ ルプ ロ フ ァ イルの管理 設定 説明 デ フ ォル ト 値 Header List HTTP リ ク エ ス ト のルーテ ィ ン グの基準 と し て使用 さ れ る ヘ ッ ダ と それ ら の値 を 指定 し ま す。 さ ら に、 Entry Type リ ス ト を使用 し て、各ヘ ッ ダ をパ タ ーン文字列 も し く は正 規 表 現 と し て 指 定 す る 必 要 が あ り ま す。 こ の 設 定 は、 Headers 値が [Match Only] の場合にのみ表示 さ れます。 デフ ォ ル ト 値な し 注 : パ タ ーン文字列を使用する 場合、 リ ス ト タ イ プの大文 字 と 小文字が区別 さ れます 詳細については、「HTTP Class プ ロ フ ァ イ ルの設定」 (8-10 ページ) を参照 し て く だ さ い。 Cookies HTTP リ ク エ ス ト のルーテ ィ ン グの基準 と し て使用 さ れ る Cookie が、すべての Cookie であ る か、ユーザ指定の Cookie で あ る か を 指定 し ま す。 [Match All] にす る と すべ て の Cookie を 基準に HTTP リ ク エ ス ト が転送 さ れ、 [Match Only] にす る と ユーザ指定の Cookie に基づ き HTTP リ ク エ ス ト の転送が行われます。 Match All Cookie List HTTP リ ク エ ス ト HTTP リ ク エ ス ト のルーテ ィ ン グの基準 と な る Cookie を指定 し ます。 さ ら に、 Entry Type リ ス ト を使用 し て、 各 Cookie をパ タ ーン文字列 も し く は正規表 現 と し て指定す る 必要があ り ま す。 こ の設定は、 Cookies 値が [Match Only] の場合にのみ表示 さ れます。 デフ ォ ル ト 値な し 注 : パ タ ーン文字列を使用する 場合、 リ ス ト タ イ プの大文 字 と 小文字が区別 さ れます 詳細については、「HTTP Class プ ロ フ ァ イ ルの設定」 (8-10 ページ) を参照 し て く だ さ い。 Send To HTTP ト ラ フ ィ ッ ク の宛先を指定 し ます。指定で き る 値は、 [None]、 [Pool]、 ま たは [Redirect To] です。 None Pool 分類 さ れた ト ラ フ ィ ッ ク の送信先 と な る プールの名前を 指定 し ます。 こ の設定は、 Send To 設定が [Pool] の場合に のみ表示 さ れます。 None Redirect To Location ト ラ フ ィ ッ ク の送信先 と な る URI を指定 し ます。 こ の設 定は、ク ラ イ ア ン ト リ ク エ ス ト を HTTP バーチ ャ ルサーバ か ら 、 プールではな く HTTPS バーチ ャ ルサーバに転送 し たい場合に使用 し ます。 た と えば、 ポー ト 80 で リ ッ ス ン す る よ う に、 URLhttp://siterequest/ の HTTP バーチ ャ ル サーバを作成 し ます。次に、こ のバーチ ャ ルサーバにHTTP Class プ ロ フ ァ イ ルを割 り 当て、 ク ラ イ ア ン ト リ ク エ ス ト を HTTPS バーチ ャ ルサーバ https://siterequest/ に リ ダ イ レ ク ト す る よ う に し ます。 文字列は Tcl 形式で指定す る こ と が可能です (https://[HTTP::host][HTTP::uri] な ど)。 デフ ォ ル ト 値な し Rewrite URI HTTP リ ダ イ レ ク ト を ク ラ イ ア ン ト に送信す る こ と な く 、 サーバに転送 さ れ る 要求 URI を リ ラ イ ト す る ために使用 す る TCL 形式を指定 し ます。 こ の設定で、 TCL 形式では な く 静的テ キ ス ト を使用 し た場合、シ ス テ ムはすべての受 信要求用に指定 さ れた URI を マ ッ プ し ます。 ま た、 Send To の設定値が [Redirect To] の場合は こ の設定を使用す る こ と はで き ません。 デフ ォ ル ト 値な し 表 8.4 HTTP Class プ ロ フ ァ イ ルの設定 (続 き) 8 - 12 ほかの BIG-IP モ ジ ュ ールによ る ト ラ フ ィ ッ ク 分類 BIG-IP に Application Security Manager や WebAccelerator シ ス テ ム が搭 載 さ れてい る 場合、先にそのモジ ュ ールに HTTP ト ラ フ ィ ッ ク を送信 し てか ら 、 最終的な宛先への送信を行 う よ う に BIG-IP を設定す る こ と がで き ます。 た と えば、 HTTP Class プ ロ フ ァ イ ルを使っ て、 Application Security Manager経由で ト ラ フ ィ ッ ク を送信 し た後に、ロ ー ド バ ラ ン シ ン グ プールにその ト ラ フ ィ ッ ク を転送す る よ う に、 バー チ ャ ルサーバに指示す る こ と が可能です。 HTTP Class プ ロ フ ァ イ ルは、 設定ユーテ ィ リ テ ィ の [Local Traffic] セ ク シ ョ ン か ら 作成で き る ほか、 Application Security Manager も し く は WebAccelerator シ ス テ ム で も 作成す る こ と が可能です。 なお、 Application Security Manager におい て ト ラ フ ィ ッ ク 分類 を 行 う 場合、 HTTP Class プ ロ フ ァ イ ルは アプ リ ケーシ ョ ン セキ ュ リ テ ィ ク ラ ス と 呼ばれ ます。 モジ ュ ールで HTTP Class プ ロ フ ァ イ ル (あ る いはアプ リ ケーシ ョ ン セ キ ュ リ テ ィ ク ラ ス) を作成す る 場合、 そのモジ ュ ールはデフ ォ ル ト で有効にな っ てい ます。 それに対 し て、 設定ユーテ ィ リ テ ィ の [Local Traffic] セ ク シ ョ ン か ら HTTP Class プ ロ フ ァ イ ルを作成す る 場合は、 同プ ロ フ ァ イ ルで Application Security も し く は WebAccelerator 設定 を明示的に有効にす る 必要があ り ます。こ の設定を明示的に有効に し なければ、関連す る バーチ ャ ルサーバでそのモジ ュ ールが無効にな り ます。 Application Security Manager のアプ リ ケーシ ョ ン セキ ュ リ テ ィ ク ラ ス と WebAccelerator の HTTP Class プ ロ フ ァ イ ルの設定については、 以 下の資料を参照 し て く だ さ い。 • 『Configuration Guide for BIG-IP® Application Security Management』 • 『Configuration Guide for the BIG-IP® WebAcceleratorTM System』 BIG-IP® Local Traffic Management 設定ガ イ ド 8 - 13 第8章 プ ロ ト コ ルプ ロ フ ァ イルの管理 TCP プ ロ フ ァ イルの設定 TCP プ ロ フ ァ イ ルは、 TCP ネ ッ ト ワー ク ト ラ フ ィ ッ ク を管理す る 設 定ツールです。 TCP プ ロ フ ァ イ ル設定の多 く は標準 SYSCTL タ イ プ の設定ですが、 BIG-IP に固有の設定 も あ り ます。 TCP プ ロ フ ァ イ ルは、一部の タ イ プの別のプ ロ フ ァ イ ルを実装す る と き に必要 と な る ため、 非常に重要です。 た と えば、 パーシ ス テ ン ス プ ロ フ ァ イ ルや リ モー ト 認証プ ロ フ ァ イ ル と 合わせて、TCP、HTTP、お よ び OneConnect プ ロ フ ァ イ ルを実装す る こ と で、 以下の ト ラ フ ィ ッ ク 管理機能を利用で き る よ う にな り ます。 • サーバの負荷を緩和す る コ ン テ ン ツ ス プー リ ン グ • サーバ側の接続を プー リ ン グす る OneConnect • ハ ッ シ ュ ま たは Cookie Persistence な ど の レ イ ヤ 7 セ ッ シ ョ ンパー システン ス • HTTP ト ラ フ ィ ッ ク を管理す る ための iRules • HTTP RAM キ ャ ッ シ ュ • HTTP デー タ 圧縮 • HTTP パ イ プ ラ イ ニ ン グ • リ モー ト サーバを使用 し たアプ リ ケーシ ョ ン認証 • HTTP リ ダ イ レ ク シ ョ ンの書 き 換え BIG-IP には、 デフ ォ ル ト の TCP プ ロ フ ァ イ ル (tcp) のほか、 F5 が ユーザ用に作成 し た 2 つのカ ス タ ム TCP プ ロ フ ァ イ ル (tcp-lan-optimized、 tcp-wan-optimized) が含ま れ ます。 こ れ ら のプ ロ フ ァ イ ルのいずれか 1 つを その ま ま実装す る か、も し く は必要に応 じ て設定値を変更す る こ と も 可能です。 TCP プ ロ フ ァ イル設定について デフ ォ ル ト の tcp プ ロ フ ァ イ ルを その ま ま使用す る こ と も 、 カ ス タ ム TCP プ ロ フ ァ イ ルを作成す る こ と も で き ます。 表 8.5 (8-15 ページ) に、 TCP プ ロ フ ァ イ ルの設定を列挙 し て説明 し ます。 8 - 14 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。 デフ ォ ル ト 値な し Parent Profile 親プ ロ フ ァ イ ル と し て使用す る プ ロ フ ァ イ ル を指定 し ま す。新 し いプ ロ フ ァ イ ルは、指定 さ れた親プ ロ フ ァ イ ルか ら 非カ ス タ ム設定お よ び値をすべて継承 し ます。 tcp Reset on Timeout こ の設定が有効にな っ てお り 、 TCP 接続がア イ ド ル接続 の タ イ ム ア ウ ト 値を超え た場合、接続が削除 さ れ、 リ セ ッ ト が送信 さ れます。 Enabled (チ ェ ッ ク あ り) Time Wait Recycle SYN パケ ッ ト が TIME-WAIT 状態で受信 さ れた場合に接 続を リ サ イ ク ル し ます。 Enabled (チ ェ ッ ク あ り) Delayed ACKs こ の設定が有効にな っ てい る 場合、 複数の肯定確認応答 (ACK) の合体が許可 さ れます。 Enabled (チ ェ ッ ク あ り) Proxy Maximum Segment ク ラ イ ア ン ト と ネ ゴ シ エーシ ョ ン さ れたの と 同 じ 最大セ グ メ ン ト をサーバにア ド バ タ イ ズ し ます。 Disabled (解除) Proxy Options ク ラ イ ア ン ト と ネ ゴ シ エーシ ョ ン さ れた オプシ ョ ン のみ ( タ イ ム ス タ ンプな ど) をサーバにア ド バ タ イ ズ し ます。 Disabled (解除) Proxy Buffer Low 受信 ウ ィ ン ド ウ が開かれた プ ロ キ シバ ッ フ ァ レ ベル を指 定 し ます。 4096 Proxy Buffer High 受信 ウ ィ ン ド ウ が閉 じ ら れた プ ロ キ シバ ッ フ ァ レ ベル を 指定 し ます。 16384 Idle Timeout 接続が削除対象 と し て適格にな る 前に、接続がア イ ド ル状 態であ る 秒数を指定 し ます。ア イ ド ル タ イ ム ア ウ ト 値設定 の詳細については、第 1 章 「 ロ ーカル ト ラ フ ィ ッ ク 管理の 概要」 を参照 し て く だ さ い。 300 Time Wait 接続が CLOSED 状態にな る 前に TIME-WAIT 状態であ る ミ リ 秒数を指定 し ます。 2000 FIN Wait 接続が終了す る 前に FIN-WAIT 状態ま たは CLOSING 状態 であ る 秒数を指定 し ます。 値 0 は、 永久期間 (ま たは FIN 状態の メ ト リ ッ ク ま で) を表 し ます。 5 Close Wait 接続が終了す る 前に LAST-ACK 状態の ま ま にな る 秒数を 指定 し ます。 値 0 は、 永久期間 (ま たは FIN 状態の メ ト リ ッ ク ま で) を表 し ます。 5 Send Buffer BIG-IP にバ ッ フ ァ サ イ ズ (バ イ ト 単位) を送信 さ せます。 32768 Receive Window BIG-IPに ウ ィ ン ド ウ サ イ ズ(バ イ ト 単位)を受信 さ せます。 32768 Keep Alive Interval BIG-IP にプ ロ ーブ間隔 (秒単位) を キープア ラ イ ブ さ せ ます。 1800 Maximum SYN Retransmissions BIG-IP で許可 さ れ る SYN セグ メ ン ト の再送信の最大数を 指定 し ます。 3 Maximum Retransmissions BIG-IP で許可 さ れ る デー タ セ グ メ ン ト の再送信の最大数 を指定 し ます。 8 ク ラ イ ア ン ト へのパケ ッ ト 送信時に、BIG-IP に よ っ て TCP パケ ッ ト に割 り 当て ら れ る Type of Service (ToS) レベル を指定 し ます。 0 IP ToS Segment 表 8.5 TCP プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 8 - 15 第8章 プ ロ ト コ ルプ ロ フ ァ イルの管理 設定 説明 デ フ ォル ト 値 Link QoS ク ラ イ ア ン ト へのパケ ッ ト 送信時に、BIG-IP に よ っ て TCP パケ ッ ト に割 り 当て ら れ る Quality of Service (QoS) レベ ルを指定 し ます。 0 Selective ACKs こ の設定がチ ェ ッ ク さ れて い る (有効にな っ てい る ) 場 合、 BIG-IP では、 シ ス テ ムパフ ォ ーマ ン ス を向上 さ せ る ために、 可能な場合は常に選択的 ACK を使用 し てデー タ を処理 し ます。 こ の設定を有効にす る と 、受信 し たパケ ッ ト の障害を確認で き る こ と か ら 、損失の多いネ ッ ト ワ ー ク のパケ ッ ト フ ロ ーが円滑化 さ れます。こ のオプシ ョ ンはネ ゴ シエーシ ョ ンに対応 し てお り 、ピ アでサポー ト さ れてい なければ自動で無効にな り ます。 Enabled (チ ェ ッ ク あ り) 注 : F5 ではデフ ォ ル ト 値の使用を推奨 し てい ます。 Extended Congestion Notification こ の設定がチ ェ ッ ク さ れて い る (有効にな っ てい る ) 場 合、 BIG-IP では TCP フ ラ グ CWR (Congestion Window Reduction) お よ び ECE (ECN-Echo) を使用 し て、 その ピ アに輻輳お よ び輻輳対策を通知 し ます。 Disabled (解除) 注 : F5 ではデフ ォ ル ト 設定の使用を推奨 し てい ます。 有 効に し た場合、こ の設定が輻輳計算全体の妨げ と な る 可能 性があ り ます。 ま た、 セキ ュ リ テ ィ 問題の発生を許す こ と にな り 、 CWR パケ ッ ト の ス プーフ ィ ン グ (な り す ま し ) に よ っ て中間デバ イ ス のパ フ ォ ーマ ン ス の低下を招 く こ と に も な り かねません。 Extensions for High Performance (RFC 1323) Limited Transmit Recovery Slow Start こ の設定がチェ ッ ク さ れている (有効になっ ている ) 場合、 BIG-IP では、 TCP に対し てタ イ ム ス タ ン プおよ びウ ィ ン ド ウ ス ケーリ ン グ 拡張を 使用し て (RFC 1323 に準拠)、 高速 ネッ ト ワ ーク パフ ォ ーマン ス を 強化し ま す。 こ れら のオプ ショ ン は、 ラ ウ ン ド ト リ ッ プ時間、 なら びにピ ア上の有効 なリ ソ ース の計算に使用さ れ、 輻輳制御と 基本的に結びつ いていま す。 ま た、 通常こ れら のオプショ ン はネゴ シエー ショ ン に対応し ており 、 ネッ ト ワ ーク デバイ ス やピ アで正 し く 実装さ れている かぎり 、無効にする 必要はあ り ま せん。 こ の設定がチ ェ ッ ク さ れて い る (有効にな っ てい る ) 場 合、 BIG-IP では、 高速再送信のために限定送信回復 リ ビ ジ ョ ン を使用 し て (RFC 3042 に準拠)、 損失の多いネ ッ ト ワ ー ク 上での接続の回復時間を短縮 し ます。こ の設定を有 効にす る と 、重複 ACK パケ ッ ト の最初の受信時に TCP が 輻輳ウ ィ ン ド ウ を一時的に引 き 延ばす こ と がで き ます。ま た、すばやい再送信を可能に し 、小 さ な輻輳 ウ ィ ン ド ウ か ら の復旧 も 早ま り ます。 こ の設定を有効に し た場合、復旧 時にかぎ り 、 積極的な転送が行われます。 こ の設定がチ ェ ッ ク さ れて い る (有効にな っ てい る ) 場 合、 BIG-IP では、 よ り 大 き い初期 ウ ィ ン ド ウ サ イ ズ を使 用 し て (RFC 3390 に準拠)、 ラ ウ ン ド ト リ ッ プ タ イ ム を短 縮で き る よ う に し ます。 こ の設定に よ っ て、一定期間に ピ アに送信 さ れ る デー タ の量が増加 し ます。こ れを有効にす る こ と で、その リ ン ク での突然の輻輳や過剰な輻輳の発生 を回避す る こ と がで き ます。 ま た、輻輳 メ ト リ ッ ク キ ャ ッ シ ュ に よ っ て ピ アの履歴デー タ が提供 さ れ、 Slow Start の ジ ャ ンプ ス タ ー ト が可能にな る 場合 も あ り ます。 こ の設定を無効にす る と 、 BIG-IP は輻輳 ウ ィ ン ド ウ が最 大にな る よ う に初期化を行い、輻輳が発生す る ま でで き る だけ多 く のデー タ を転送 し よ う と し ます。 そのため、帯域 幅に制限のないネ ッ ト ワー ク (直接接続 さ れた ロ ーカルピ ア な ど) では、最初に よ り 多 く のデー タ を転送す る こ と が 可能です。 表 8.5 TCP プ ロ フ ァ イ ルの設定 (続 き) 8 - 16 Enabled (チ ェ ッ ク あ り) Enabled (チ ェ ッ ク あ り) Enabled (チ ェ ッ ク あ り) 設定 Deferred Accept Verified Accept Bandwidth Delay Nagle’s Algorithm 説明 こ の設定がチ ェ ッ ク さ れてい る (有効に な っ てい る ) 場 合、 BIG-IP では、 ク ラ イ ア ン ト か ら ペ イ ロ ー ド を受信す る ま で、接続チ ェ ーン コ ン テ キ ス ト の割 り 当て を据え置 き ます。 ス リ ー ウ ェ イ ハン ド シ ェ イ ク DoS 攻撃を処理す る 場合、 こ の設定を有効にす る と 役立ち ます。 こ の設定が有効にな っ てい る 場合、 SYN-ACK を使っ て ク ラ イ ア ン ト の SYN に応答す る 前に、(サーバに実際に SYN を送信す る こ と で)サーバが接続を受け入れ ら れ る 状態に あ る こ と を確認 し ます (通常、 BIG-IP は ク ラ イ ア ン ト の 接続を受け入れた後に、ど のサーバ と 通信を行 う か を選択 し ます)。 こ の設定がチ ェ ッ ク さ れてい る (有効に な っ てい る ) 場 合、 BIG-IP では、 ス ループ ッ ト お よ び ラ ウ ン ド ト リ ッ プ タ イ ムに基づいて、 利用可能な帯域幅を超え ない範囲で、 ク ラ イ ア ン ト への最適な帯域幅を計算 し よ う と し ます。 チ ェ ッ ク さ れて い る (有効に な っ て い る ) 場合、 BIG-IP では Nagle のアルゴ リ ズ ム を適用 し て、ネ ッ ト ワー ク 上の 短いセ グ メ ン ト の数を減 ら し ます。 BIG-IP が最大セ グ メ ン ト サ イ ズ (MSS) よ り も 小 さ なパケ ッ ト を受信す る と 、 ピ アが前のセ グ メ ン ト の ACK パケ ッ ト を送信す る ま で、 それ ら のパケ ッ ト はひ と ま と めに統合 さ れ ま す。 こ れに よ っ て、 ネ ッ ト ワー ク で作 ら れ る パケ ッ ト の数が減 り 、輻 輳の緩和につなが り ます。 デフ ォル ト 値 Disabled (解除) Disabled (解除) Enabled (チ ェ ッ ク あ り) Enabled (チ ェ ッ ク あ り) Telnet な ど の対話型プ ロ ト コ ルに対 し て こ の設定を有効 に し た場合、高遅延ネ ッ ト ワー ク において性能低下を引 き 起 こ す可能性があ り ます。 Acknowledge on Push 有効にな っ てい る 場合、非常に小 さ な送信バ ッ フ ァ に書 き 込んでい る Windows® お よ び MacOS ピ ア で、 大幅なパ フ ォーマ ン ス の改善を指定 し ます。 Disabled (解除) MD5 Signature 有効にな っ てい る 場合、 RFC2385 TCP-MD5 シ グ ネチ ャ を 使用 し て、 中途改ざんか ら TCP ト ラ フ ィ ッ ク を保護す る こ と を指定 し ます。 Disabled (解除) MD5 Signature Passphrase 有効にな っ てい る 場合、 1 ~ 80 文字長の平文パ ス フ レー ズ を指定 し ます。 こ れは、 RFC2385 のな り すま し 防止部 分を実装す る たため、 共有秘密方式で使用 さ れます。 デフ ォ ル ト 値な し Congestion Control BIG-IP が使用す る 輻輳制御機構を指定 し ます。 指定で き る 値は次の と お り です。 New Reno None - 輻輳制御アルゴ リ ズ ムは実装 し ません。 High Speed - よ り 積極的で、損失を 重視し たア ルゴ リ ズム 。 New Reno - Reno アルゴ リ ズ ムの改良版。 選択的確認応答 (SACK) が利用で き ない場合に、 部分的確認応答に対応 し ます。 Reno - BSD Reno リ リ ー ス の実装に基づい た、 TCP Fast Recovery アルゴ リ ズ ムの実装。 Scalable - ス ケー ラ ブルな遅延お よ び損失重視の コ ン ポー ネ ン ト を Reno アルゴ リ ズ ムに追加 し た、 TCP アルゴ リ ズ ムの改良版。 表 8.5 TCP プ ロ フ ァ イ ルの設定 (続 き ) BIG-IP® Local Traffic Management 設定ガ イ ド 8 - 17 第8章 プ ロ ト コ ルプ ロ フ ァ イルの管理 設定 説明 デ フ ォル ト 値 Congestion Metrics Cache チ ェ ッ ク さ れて い る (有効に な っ て い る ) 場合、 BIG-IP が輻輳 メ ト リ ッ ク の格納に キ ャ ッ シ ュ を使用す る こ と を 指定 し ま す。 その後は、 こ れ ら の メ ト リ ッ ク は既知 と な り 、すでにキ ャ ッ シ ュ さ れて も い る ため、前に遭遇 し た こ と のあ る ピ アの slow-start 初期 ラ ンプが向上 し ます。 Enabled (チ ェ ッ ク あ り) Appropriate Byte Counting (RFC 3465) 各 ACK が対応す る ま だ未応答のバ イ ト 数の増加に基づい て、 輻輳 ウ ィ ン ド ウ を増加 し ます。 Enabled (チ ェ ッ ク あ り) 注 : F5 ではデフ ォ ル ト 設定の使用を推奨 し てい ます。 こ の設定を無効にす る と 、 ACK パケ ッ ト の損失時に、 輻輳 ウ ィ ン ド ウ が小 さ い ま ま の時間が延びる こ と にな り ます。 D-SACK (RFC 2883) 重複す る セ グ メ ン ト を確認応答す る ため、 Selective ACKs (SACK) オプシ ョ ン の使用を指定 し ま す。 ピ ア か ら 重複 セグ メ ン ト が送信 さ れなければ、SACK 処理はすべて ま と めて無効にな り ます。 こ の設定を有効に し た場合、すべて の重複セ グ メ ン ト に対 し て常に SACK を適用す る ために、 よ り 多 く の処理が必要にな り ます。 Disabled (解除) Packet Lost Ignore Rate 100 万パケ ッ ト あ た り の損失数を指定す る も のであ り 、 こ の閾数に達 し た と き に輻輳制御が実行 さ れます。指定で き る 値の範囲は 0 ~ 1,000,00 です。 デフ ォ ル ト 値は 0 であ り 、 こ れは、パケ ッ ト ロ ス が 1 つで も 発生すれば輻輳制御 が実行 さ れ る こ と を 意味 し て い ま す。 Packet Lost Ignore Rate を 10 に設定 し た場合、 TCP 接続のパケ ッ ト ロ ス数が 10/100 万を超えれば、 輻輳制御が発生 し ます。 0 Packet Lost Ignore Burst こ れを指定す る こ と で、た と え Packet Lost Ignore Rate の 設定値を上回っ ていな く て も 、複数のパケ ッ ト が失われた 場合に輻輳制御を実行 さ せ る こ と がで き ます。指定で き る 値の範囲は 0 ~ 4,294,967,295 です。 0 と 指定す る と 、 パ ケ ッ ト ロ ス が 1 つで も 発生すれば輻輳制御が実行 さ れま す。設定値が大 き く なればな る ほ ど、輻輳制御の実行の機 会が減 る こ と にな り ます。 0 表 8.5 TCP プ ロ フ ァ イ ルの設定 (続 き) TCP プ ロ フ ァ イ ル設定のほ と ん ど について、 通常はデフ ォ ル ト 値が ニーズ を満た し ます。 ただ し 、 ク ラ イ ア ン ト がバーチ ャ ルサーバへの ア ク セ ス に使用 し てい る リ ン ク の速度が遅い場合、あ る いはサーバ応 答時間が ク ラ イ ア ン ト の要求時間を超え た場合、プ ロ フ ァ イ ルの コ ン テ ン ツ ス プー リ ン グ設定を増やす こ と がで き ます。 • Proxy Buffer Low • Proxy Buffer High • Send Buffer • Receive Window こ れ ら の設定のバ イ ト 数を増やす と 、該当す る デー タ を受け付け る 所 定の接続を待機す る 間に、 BIG-IP がバ ッ フ ァ で き る デー タ の量が増 大 し ます。 注 テ ス ト 環境で TCP プ ロ フ ァ イ ル を 使用す る 場合は、 [Slow Start]、 [Bandwidth Delay]、 お よ び [Nagle’s Algorithm] 設定を無効にす る こ と でパフ ォーマ ン ス を向上 さ せ る こ と がで き ます。 8 - 18 tcp-lan-optimized プ ロ フ ァ イルの設定について tcp-lan-optimized プ ロ フ ァ イ ルは TCP タ イ ププ ロ フ ァ イ ルの一種で す。 BIG-IP でユーザ用に事前作成 さ れた カ ス タ ム プ ロ フ ァ イ ルで あ り 、デフ ォ ル ト の tcp プ ロ フ ァ イ ルか ら 派生 し た も の と な っ てい ます。 tcp-lan-optimized プ ロ フ ァ イ ルは tcp プ ロ フ ァ イ ルの設定 と それ ら の デフ ォ ル ト 値を継承 し てい ますが、中には変更 さ れてい る 設定値 も あ り ます。 tcp-lan-optimized プ ロ フ ァ イ ルを実装す る こ と で、 カ ス タ ム プ ロ フ ァ イ ルを作成 し な く て も 、い く つかの方法に よ り ロ ーカル TCP ト ラ フ ィ ッ ク のパフ ォーマ ン ス を最適化す る こ と がで き ます。 tcp-lan-optimized プ ロ フ ァ イ ル を そ の ま ま 使用す る か、 も し く は tcp-lan-optimizedプ ロ フ ァ イ ルを親プ ロ フ ァ イ ル と し て別のカ ス タ ム プ ロ フ ァ イ ルを作成す る こ と も 可能です。 tcp-lan-optimized プ ロ フ ァ イ ルのデフ ォ ル ト 設定値は、 表 8.6 の値を 除いて、 tcp プ ロ フ ァ イ ルの も の と 同 じ にな っ てい ます。 設定 説明 デフ ォル ト 値 Proxy Buffer Low 受信 ウ ィ ン ド ウ が開かれた プ ロ キ シバ ッ フ ァ レ ベル を指 定 し ます。 98304 Proxy Buffer High 受信 ウ ィ ン ド ウ が閉 じ ら れた プ ロ キ シバ ッ フ ァ レ ベル を 指定 し ます。 131072 Send Buffer BIG-IP にバ ッ フ ァ サ イ ズ (バ イ ト 単位) を送信 さ せます。 65535 Receive Window BIG-IPに ウ ィ ン ド ウ サ イ ズ(バ イ ト 単位)を受信 さ せます。 65535 Slow Start こ の設定がチ ェ ッ ク さ れてい る (有効に な っ てい る ) 場 合、 BIG-IP では、 よ り 大 き い初期 ウ ィ ン ド ウ サ イ ズ を使 用 し て (RFC 3390 に準拠)、 ラ ウ ン ド ト リ ッ プ タ イ ム を短 縮で き る よ う に し ます。 Disabled (解除) Bandwidth Delay Nagle’s Algorithm Acknowledge on Push こ の設定がチ ェ ッ ク さ れてい る (有効に な っ てい る ) 場 合、 BIG-IP では、 ス ループ ッ ト お よ び ラ ウ ン ド ト リ ッ プ タ イ ムに基づいて、 利用可能な帯域幅を超え ない範囲で、 ク ラ イ ア ン ト への最適な帯域幅を計算 し よ う と し ます。 チ ェ ッ ク さ れて い る (有効に な っ て い る ) 場合、 BIG-IP では Nagle のアルゴ リ ズ ム を適用 し て、ネ ッ ト ワー ク 上の 短いセ グ メ ン ト の数を減 ら し ます。デフ ォ ル ト では無効に 設定 さ れてい ます。テルネ ッ ト な ど の対話型プ ロ ト コ ルに 対 し て こ の設定を有効に し た場合、高遅延ネ ッ ト ワー ク に おいて性能低下を引 き 起 こ す可能性があ り ます。 有効にな っ てい る 場合、非常に小 さ な送信バ ッ フ ァ に書 き 込んでい る Windowsお よ びMacOS ピ アで、大幅なパフ ォ ー マ ン ス の改善を指定 し ます。 Disabled (解除) Disabled (解除) Enabled (チ ェ ッ ク あ り) 表 8.6 tcp プ ロ フ ァ イ ルの も の と 異な る tcp-lan-optimized プ ロ フ ァ イ ルの設定値 BIG-IP® Local Traffic Management 設定ガ イ ド 8 - 19 第8章 プ ロ ト コ ルプ ロ フ ァ イルの管理 tcp-wan-optimized プ ロ フ ァ イルの設定について tcp-wan-optimized プ ロ フ ァ イ ルは TCP タ イ ププ ロ フ ァ イ ルの一種で す。 BIG-IP でユーザ用に事前作成 さ れた カ ス タ ム プ ロ フ ァ イ ルで あ り 、デフ ォ ル ト の tcp プ ロ フ ァ イ ルか ら 派生 し た も の と な っ てい ます。 tcp-wan-optimized プ ロ フ ァ イ ルは tcp プ ロ フ ァ イ ルの設定 と それ ら の 設定のデフ ォ ル ト 値を継承 し てい ますが、中には変更 さ れてい る 設定 値 も あ り ます。tcp-wan-optimized プ ロ フ ァ イ ルを実装す る こ と で、カ ス タ ム プ ロ フ ァ イ ルを作成 し な く て も 、い く つかの方法に よ り ロ ーカ ル TCP ト ラ フ ィ ッ ク のパフ ォ ーマ ン ス を最適化す る こ と がで き ます。 tcp-wan-optimized プ ロ フ ァ イ ル を そ の ま ま 使用す る か、 も し く は tcp-wan-optimized プ ロ フ ァ イ ルを親プ ロ フ ァ イ ル と し て別のカ ス タ ム プ ロ フ ァ イ ルを作成す る こ と も 可能です。 tcp-wan-optimized プ ロ フ ァ イ ルのデフ ォ ル ト 設置値は、表 8.7 の値を 除いて、 tcp プ ロ フ ァ イ ルの も の と 同 じ にな っ てい ます。 設定 説明 デ フ ォル ト 値 Proxy Buffer Low 受信 ウ ィ ン ド ウ が開かれたプ ロ キ シバ ッ フ ァ レ ベル を指 定 し ます。 131072 Proxy Buffer High 受信 ウ ィ ン ド ウ が閉 じ ら れた プ ロ キ シバ ッ フ ァ レ ベル を 指定 し ます。 131072 Send Buffer BIG-IP にバ ッ フ ァ サ イ ズ (バ イ ト 単位) を送信 さ せます。 65535 Receive Window BIG-IPに ウ ィ ン ド ウ サ イ ズ(バ イ ト 単位)を受信 さ せます。 65535 Selective ACKs こ の設定がチ ェ ッ ク さ れて い る (有効にな っ てい る ) 場 合、 BIG-IP では、 シ ス テ ムパフ ォ ーマ ン ス を向上 さ せ る ために、 可能な場合は常に選択的 ACK を使用 し てデー タ を処理 し ます。 Enabled (チ ェ ッ ク あ り) Nagle’s Algorithm チ ェ ッ ク さ れて い る (有効に な っ て い る ) 場合、 BIG-IP では Nagle のアルゴ リ ズ ム を適用 し て、ネ ッ ト ワー ク 上の 短いセグ メ ン ト の数を減 ら し ます。デフ ォ ル ト では無効に 設定 さ れてい ます。Telnet な ど の対話型プ ロ ト コ ルに対 し て こ の設定を有効に し た場合、高遅延ネ ッ ト ワ ー ク におい て性能低下を引 き 起 こ す可能性があ り ます。 Enabled (チ ェ ッ ク あ り) 表 8.7 tcp プ ロ フ ァ イ ルの も の と 異な る tcp-wan-optimized プ ロ フ ァ イ ルの設定値 8 - 20 UDP プ ロ フ ァ イルの設定 UDP プ ロ フ ァ イ ルは、 UDP ネ ッ ト ワー ク ト ラ フ ィ ッ ク を管理す る た めの設定ツールです。 表 8.8 に、 UDP プ ロ フ ァ イ ルの設定を列挙 し て 説明 し ます。 設定 説明 デフ ォル ト 値 Name こ の設定は、 プ ロ フ ァ イ ルの一意の名前を指定 し ます。 デフ ォ ル ト 値な し Parent Profile こ の設定は、 親プロ フ ァ イ ルと し て 使用する プロ フ ァ イ ルを 指定し ま す。 新し いプロ フ ァ イ ルは、 指定さ れた 親 プロ フ ァ イ ルから 非カ ス タ ム 設定およ び値を すべて 継承 し ま す。 udp Idle Timeout こ の設定は、 接続 フ ロ ーが削除対象 と し て適格にな る 前 に、接続がア イ ド ル状態であ る 秒数を指定 し ます。 ア イ ド ル タ イ ム ア ウ ト 値設定の詳細については、第 1 章 「 ロ ーカ ル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 60 IP ToS こ の設定は、 ク ラ イ ア ン ト への UDP パケ ッ ト 送信時に BIG-IP に よ っ て UDP パケ ッ ト に割 り 当て ら れ る Type of Service (ToS) レベルを指定 し ます。 0 Link QoS こ の設定は、 ク ラ イ ア ン ト への UDP パケ ッ ト 送信時に BIG-IP に よ っ て UDP パケ ッ ト に割 り 当て ら れ る Quality of Service (QoS) レベルを指定 し ます。 0 Datagram LB こ の設定がチ ェ ッ ク さ れてい る (有効に な っ てい る ) 場 合、 BIG-IP では UDP ト ラ フ ィ ッ ク をパケ ッ ト ご と に ロ ー ド バ ラ ン ス し ます。 無効 (チ ェ ッ ク さ れて いない) Allow No Payload こ の設定がチ ェ ッ ク さ れてい る (有効に な っ てい る ) 場 合、 BIG-IP はヘ ッ ダ情報のみを含み基本デー タ は含ま な いデー タ グ ラ ム を渡 し ます。 無効 (チ ェ ッ ク さ れて いない) 表 8.8 UDP プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 8 - 21 第8章 プ ロ ト コ ルプ ロ フ ァ イルの管理 SCTP プ ロ フ ァ イルの設定 BIG-IP には、 Stream Control Transmission Protocol (SCTP) ト ラ フ ィ ッ ク の管理に使用す る ためのプ ロ フ ァ イ ル タ イ プが含ま れ ます。Stream Control Transmission Protocol (SCTP) と は、 シ グ ナ リ ン グデー タ を 転送す る メ ッ セージ指向型のアプ リ ケーシ ョ ン用に設計 さ れた、汎用 の業界標準転送プ ロ ト コ ルです。 SCTP では、 輻輳を回避す る ために 適切な挙動を し た り 、フ ラ ッ ド 攻撃やマ ス カ レー ド 攻撃に抵抗で き る よ う にな っ ていす。 TCP と 違い、 SCTP では 1 つの接続内の複数の ス ト リ ーム を サポー ト す る こ と が可能です。 TCP ス ト リ ーム が一連のバ イ ト を参照す る の に対 し て、 SCTP ス ト リ ーム は一連の メ ッ セージ を表 し ます。 SCTP は、セッ ショ ン ロ ス の監視と 検出が必要なアプリ ケーショ ン の転 送プロ ト コ ルと し ての使用が可能です。 こ のよ う なアプリ ケ ーショ ン に対 し て、 セ ッ シ ョ ン障害を検出す る SCTP の メ カ ニ ズ ム は、 セ ッ シ ョ ン の接続性を積極的に監視 し ます。 SCTP プ ロ フ ァ イ ルの設定は、各自のニーズに合わせて調整で き ます。 デフ ォ ル ト 値を持つ設定については、デフ ォ ル ト 設定を その ま ま使用 す る こ と も 変更す る こ と も で き ます。 設定の変更は、 プ ロ フ ァ イ ルの 作成時に行 う か、プ ロ フ ァ イ ルの作成後にいつで も 行 う こ と がで き ま す。 プ ロ フ ァ イ ルの設定に関す る 手順については、 第 5 章 「 プ ロ フ ァ イ ルについて 」 を参照 し て く だ さ い。 デフ ォ ル ト の sctp プ ロ フ ァ イ ルを その ま ま使用す る こ と も 、 カ ス タ ム SCTP プ ロ フ ァ イ ルを作成す る こ と も で き ます。 表 8.9 に、 SCTP プ ロ フ ァ イ ルの設定を列挙 し て説明 し ます。 設定 説明 デ フ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。 デフ ォ ル ト 値な し Parent Profile 親プ ロ フ ァ イ ル と し て使用す る プ ロ フ ァ イ ル を指定 し ま す。新 し いプ ロ フ ァ イ ルは、指定 さ れた親プ ロ フ ァ イ ルか ら 非カ ス タ ム設定お よ び値をすべて継承 し ます。 tcp Receive Ordered こ の設定が有効にな っ てい る 場合、 BIG-IP は上位層に順 に メ ッ セージ を送信 し ます。 Enabled (チ ェ ッ ク あ り) Send Partial こ の設定が有効にな っ てい る 場合、 BIG-IP はアプ リ ケー シ ョ ンデー タ の一部を受け入れます。 Enabled (チ ェ ッ ク あ り) TCP Shutdown こ の設定が有効に な っ て い る 場合、 SCTP イ ン タ ン ス が TCP の終了を エ ミ ュ レ ー ト し ます。 上位層ユーザプ ロ セ ス か ら SHUTDOWN メ ッ セージ を受信す る と 、SCTP イ ン ス タ ン ス は SHUTDOWN チ ャ ン ク を送信 し て、 グ レース フルシ ャ ッ ト ダ ウ ン を開始 し ます。 Enabled (チ ェ ッ ク あ り) Reset on Timeout こ の設定が有効にな っ てお り 、 SCTP 接続がア イ ド ル接続 の タ イ ム ア ウ ト 値を超えた場合、接続が削除 さ れ、 シ ス テ ムは リ セ ッ ト を送信 し ます。 Enabled (チ ェ ッ ク あ り) Out Streams チ ャ ン ク が要求す る 発信ス ト リ ームの数を指定 し ます。 2 In Streams チ ャ ン ク が要求す る 受信ス ト リ ームの数を指定 し ます。 2 表 8.9 SCTP プ ロ フ ァ イ ルの設定 8 - 22 設定 説明 デフ ォル ト 値 Send Buffer BIG-IP にバ ッ フ ァ サ イ ズ (バ イ ト 単位) を送信 さ せます。 65536 Receive Window 送信者が通知 (ACK) を受信 し な く て も 転送可能なバ イ ト 数を指定 し ます。 65535 Transmit Chunks バ ッ フ ァ に格納可能な転送チ ャ ン ク の数を指定 し ます。 256 Receive Chunks バ ッ フ ァ に格納可能な受信チ ャ ン ク の数を指定 し ます。 256 Cookie Expiration Cookie の有効持続時間を秒単位で指定 し ます。 60 Maximum Initial Retransmit Limit 接続確立を試み る こ と がで き る 最大回数を指定 し ます。 4 Maximum Association Retransmit Limit デー タ 送信を試み る こ と がで き る 最大回数を指定 し ます。 8 Proxy Buffer Low 受信 ウ ィ ン ド ウ を開 く プ ロ キ シバ ッ フ ァ レ ベル を指定 し ます。 4096 Proxy Buffer High 受信 ウ ィ ン ド ウ を閉 じ る プ ロ キ シバ ッ フ ァ レ ベル を指定 し ます。 16384 Idle Timeout 接続が削除対象 と し て適格にな る 前に、接続がア イ ド ル状 態であ る 秒数を指定 し ます。ア イ ド ル タ イ ム ア ウ ト 値設定 の詳細については、第 1 章 「 ロ ーカル ト ラ フ ィ ッ ク 管理の 概要」 を参照 し て く だ さ い。 300 Heartbeat Interval ハー ト ビー ト チ ャ ン ク を送信す る 前の待機時間を秒単位 で指定 し ます。 30 IP ToS to Peer ク ラ イ ア ン ト へのパ ケ ッ ト 送信時に、 BIG-IP に よ っ て SCTP パケ ッ ト に割 り 当て ら れ る Type of Service (ToS) レ ベルを指定 し ます。 0 Link QoS to Peer ク ラ イ ア ン ト へのパ ケ ッ ト 送信時に、 BIG-IP に よ っ て SCTP パケ ッ ト に割 り 当て ら れ る Quality of Service (QoS) レベルを指定 し ます。 0 Secret Cookie 認証の key-hash method authentication code (HMAC) の計算に使用す る 内部秘密文字列を指定 し ます。 default 表 8.9 SCTP プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 8 - 23 9 SSL ト ラ フ ィ ッ クの管理 • SSL ト ラ フ ィ ッ ク管理の概要 • キーおよび証明書の管理 • SSL プ ロ フ ァ イルについて • HTTP プ ロ フ ァ イルの設定 • ク ラ イ ア ン ト およびサーバ認証の設定 SSL ト ラ フ ィ ッ ク管理の概要 BIG-IP® ロ ーカル ト ラ フ ィ ッ ク 管理シ ス テ ム には、 SSL ト ラ フ ィ ッ ク を イ ン テ リ ジ ェ ン ト に制御す る ための機能がい く つか用意 さ れてい ます。 SSL ト ラ フ ィ ッ ク 管理機能には、 次の も のがあ り ます。 • ク ラ イ ア ン ト シ ス テ ム と BIG-IP の間、 お よ び BIG-IP と タ ーゲ ッ ト Web サーバの間のセキ ュ ア な接続を維持す る ために ク ラ イ ア ン ト お よ びサーバを認証す る 機能 • ク ラ イ ア ン ト シ ス テ ムお よ びサーバシ ス テ ム か ら SSL 証明書検証 タ ス ク の負荷を軽減す る 機能 • ヘ ッ ダ挿入や HTTP リ ダ イ レ ク シ ョ ン な ど の機能を提供す る iRule コ マン ド • 最新の証明書失効ス テー タ ス を取得す る ための Online Certificate Status Protocol (OCSP) のサポー ト • Light-weight Directory Access Protocol (LDAP) サーバを使用 し た証 明書ベース の ク ラ イ ア ン ト 承認 SSL ネ ッ ト ワー ク ト ラ フ ィ ッ ク を制御で き る 主な方法は、ク ラ イ ア ン ト ま たはサーバの SSL プ ロ フ ァ イ ルを設定す る こ と です。ク ラ イ ア ン ト プ ロ フ ァ イ ル は、 ト ラ フ ィ ッ ク プ ロ フ ァ イ ルの一種です。 こ れを使 用す る と 、 BIG-IP では、 完全に SSL でカプセル化 さ れたプ ロ ト コ ル 経由で送信 さ れ る 任意の ク ラ イ ア ン ト リ ク エ ス ト を受諾お よ び終端 す る こ と がで き ます。 サーバプ ロ フ ァ イ ル と は、 BIG-IP が タ ーゲ ッ ト Web サーバへのセキ ュ ア な接続を開始で き る よ う にす る プ ロ フ ァ イ ルの タ イ プです。 SSL ト ラ フ ィ ッ ク を 管理する には、次の作業を 完了する 必要があり ま す。 • ク ラ イ ア ン ト 側のセキ ュ ア な接続を終端す る ために、 BIG-IP に キー と 証明書のペア を イ ン ス ト ールす る 。 • プロ フ ァ イ ルを 設定し 、そのプロ フ ァ イ ルを バーチャ ルサーバに関 連付ける 。 設定ユーティ リ ティ を 使用し て、 プロ フ ァ イ ルを 設定し ま す。 • プ ロ フ ァ イ ルをバーチ ャ ルサーバに関連付け る 。 オプシ ョ ン と し て、 個々の SSL 接続を特定の方法で管理可能にす る iRule を作成す る こ と も で き ま す。 詳細については、 第 17 章 「iRule の記述」 を参照 し て く だ さ い。 ク ラ イ ア ン ト 側およびサーバ側 ト ラ フ ィ ッ クの管理 BIG-IP では、ク ラ イ ア ン ト 側 ト ラ フ ィ ッ ク ま たはサーバ側 ト ラ フ ィ ッ ク の ど ち ら に対 し て も SSL ト ラ フ ィ ッ ク 管理を有効にで き ます。 ク ラ イ ア ン ト 側 ト ラ フ ィ ッ ク と は、 ク ラ イ ア ン ト シ ス テ ム と LBIG-IP の間の接続の こ と です。 サーバ側 ト ラ フ ィ ッ ク と は、 BIG-IP と タ ー ゲ ッ ト サーバシ ス テ ム の間の接続の こ と です。 BIG-IP® Local Traffic Management 設定ガ イ ド 9-1 第9章 SSL ト ラ フ ィ ッ クの管理 ◆ ク ラ イ ア ン ト 側 SSL ト ラ フ ィ ッ ク の管理 BIG-IP に よ る ク ラ イ ア ン ト 側 SSL ト ラ フ ィ ッ ク の管理を有効にす る と 、 BIG-IP では、 ク ラ イ ア ン ト リ ク エ ス ト を復号化す る こ と で 着信 SSL 接続を終端 し ます。そ し て、要求を ク リ ア テ キ ス ト で タ ー ゲ ッ ト サーバに送信 し ま す。 次に、 ク リ ア テ キ ス ト の応答 (Web ページ な ど) を取得 し 、 要求を暗号化 し てか ら 、 ク ラ イ ア ン ト に Web ページ を戻 し ます。 SSL 接続の終端プ ロ セ ス中、 BIG-IP では、 オプシ ョ ン と し て、 通常は タ ーゲ ッ ト Web サーバで処理 さ れ る SSL 証明書検証機能のすべて を実行で き ます。ク ラ イ ア ン ト 側 SSL プ ロ フ ァ イ ルの設定につい て は、 「SSL プ ロ フ ァ イ ルについ て 」 (9-11 ページ) を参照 し て く だ さ い。 ◆ サーバ側 SSL ト ラ フ ィ ッ ク の管理 BIG-IP に よ る サーバ側 SSL ト ラ フ ィ ッ ク の管理を有効にす る と 、 BIG-IP に よ り 、 復号化 さ れた要求が タ ーゲ ッ ト サーバへの送信前 に再暗号化 さ れ る ので、 ネ ッ ト ワ ー ク のセ キ ュ リ テ ィ が強化 さ れ ま す。 こ の再暗号化に加え て、 BIG-IP では、 オプ シ ョ ン と し て、 ク ラ イ ア ン ト 証明書に対 し て実行で き る の と 同 じ 検証機能を サー バ証明書に対 し て実行で き ます。 サーバ側 SSL プ ロ フ ァ イ ルの設 定については、 「SSL プ ロ フ ァ イ ルについて 」 (9-11 ページ) を参 照 し て く だ さ い。 SSL ト ラ フ ィ ッ ク 制御機能の要約 BIG-IP には、 SSL ト ラ フ ィ ッ ク の制御に関連 し た重要な機能がい く つか用意 さ れてい ま す。 こ れ ら の う ち最 も 重要な機能は、 SSL 認証 (つま り 、 証明書の検証 と 失効) お よ び暗号化 と 復号化です。 こ れ ら の機能のほ と ん どは ク ラ イ ア ン ト ま たはサーバの SSL プ ロ フ ァ イ ル の設定を通 じ て使用で き ますが、 iRulesTM な ど の機能を通 じ て提供 さ れ る も の も あ り ます。 表 9.1 は、 SSL ト ラ フ ィ ッ ク 管理に関連 し た機 能を要約 し ます。表の次の項では、こ れ ら の機能について説明 し ます。 機能 説明 設定ツール 証明書の検証 SSL 接続を終端お よ び開始す る 際、BIG-IP では、 完全 な証明書の検証 タ ス ク ( ク ラ イ ア ン ト 証明書 と サーバ 証明書の両方の検証を含む) を実行で き ます。 た と え ば、BIG-IP が ク ラ イ ア ン ト 証明書を検証す る 範囲を定 義で き ます。 つま り 、 ク ラ イ ア ン ト 証明書を リ ク エ ス ト す る か、 要求す る か、 ま たはすべての ク ラ イ ア ン ト 証明書を無視す る よ う に BIG-IP を設定で き ます。 さ ら に、証明書チ ェーン ト ラ バース の レベルな ど の設定 を指定す る こ と も 可能です。 ク ラ イ ア ン ト お よ びサーバの SSL プロ フ ァ イル iRules 証明書の失効 ク ラ イ ア ン ト ま たはサーバが BIG-IP に証明書を提示 す る と 、 BIG-IP は証明書の検証プ ロ セ ス の一環 と し て、 証明書の失効ス テー タ ス をチ ェ ッ ク で き ます。 ク ラ イ ア ン ト お よ びサーバの SSL プロ フ ァ イル OCSP プ ロ フ ァ イ ル 表 9.1 SSL ト ラ フ ィ ッ ク 制御に関連 し た BIG-IP の機能の要約 9-2 機能 説明 設定ツール 暗号化お よ び復号化 タ ーゲ ッ ト Web サーバか ら 負荷を軽減す る 手段の 1 つ と し て、BIG-IP では、着信 ク ラ イ ア ン ト リ ク エ ス ト を復号化 し ます。追加のセキ ュ リ テ ィ オプシ ョ ン と し て、要求がサーバに転送 さ れ る 前に再暗号化 さ れ る よ う にプ ロ フ ァ イ ルを設定で き ます。要求お よ び応答の 暗号化 と 復号化は、SSL プ ロ フ ァ イ ル設定の一環 と し てユーザが指定す る 特定の暗号に基づいてい ます。 ク ラ イ ア ン ト お よ びサーバの SSL プロ フ ァ イル 承認 BIG-IP を特定の方法で設定す る こ と で、 シ ス テ ム リ ソ ースへのア ク セ ス を制御で き ます。 た と えば、 ク ラ イ ア ン ト 証明書情報 を ク ラ イ ア ン ト リ ク エ ス ト に挿 入 し 、その情報に基づいて ア ク セ ス を許可す る ための iRule を作成で き ます。 ま た、LDAP デー タ ベース サー バを含む環境では、BIG-IP は、 ク ラ イ ア ン ト 証明書を 使用 し て LDAP サーバを ク エ リ す る こ と で、 リ ソ ース へのア ク セ ス を許可で き ます。 同時 TCP 接続の数を 制限す る こ と も で き ます。 SSL ク ラ イ ア ン ト 証明書 LDAP プロ フ ァ イル iRules SSL セ ッ シ ョ ンパーシ ステン ス BIG-IP の強力な機能 と し て、SSL セ ッ シ ョ ンのパーシ ス テ ン ス を有効にで き る 機能があ り ます。SSL 接続を 終端す る よ う に BIG-IP を 設定 し て い る か ど う かに よ っ て、2 つの タ イ プの SSL パーシ ス テ ン ス を利用で き ます。 ク ラ イ ア ン ト お よ びサーバの SSL プロ フ ァ イル SSL パーシ ス テ ン ス プ ロ フ ァ イ ル iRules その他の SSL 機能 上記の機能に加え て、BIG-IP では、無効なプ ロ ト コ ル バージ ョ ン、SSL セ ッ シ ョ ン キ ャ ッ シ ュ のサ イ ズお よ び タ イ ム ア ウ ト 値、SSL シ ャ ッ ト ダ ウ ン動作な ど のオ プシ ョ ン も 設定で き ます。 ク ラ イ ア ン ト お よ びサーバの SSL プロ フ ァ イル 表 9.1 SSL ト ラ フ ィ ッ ク 制御に関連 し た BIG-IP の機能の要約 (続 き ) 証明書の検証について 証明書の検証 と は、 ク ラ イ ア ン ト ま たはサーバが ピ ア (つま り 、 ク ラ イ ア ン ト ま たはサーバ) に よ っ て提示 さ れた証明書を信頼で き る か ど う か を判断す る プ ロ セ ス です。 BIG-IP は、 ク ラ イ ア ン ト か ら 要求を 受信 し た り サーバか ら 応答を 受信す る と 、 その ク ラ イ ア ン ト ま たは サーバに よ っ て提示 さ れた証明書が信頼で き る か ど う か を検証 し よ う と し ます。 署名付き証明書 SSL 接続を処理す る ク ラ イ ア ン ト お よ びサーバに対す る 基本的な セ キ ュ リ テ ィ 要件は、 それぞれが ピ ア と 通信す る たびに、 信頼で き る 認 証局 (CA) に よ っ て署名 さ れた証明書 を 提示す る と い う こ と です。 オプシ ョ ン と し て、ク ラ イ ア ン ト 証明書の検証 タ ス ク を処理す る よ う に BIG-IP を設定で き ます。 BIG-IP 上で証明書の検証を設定す る 場合、 SSL 要求の処理時に ク ラ イ ア ン ト に提示で き る 証明書が BIG-IP に よ っ て保持 さ れてい る 必要 があ り ます。 オプシ ョ ン で、サーバ応答を検証す る よ う に BIG-IP を設定で き ます。 その際、 サーバに よ っ て特に BIG-IP か ら の証明書が要求 さ れ る 場合 には、第2の証明書がBIG-IPに よ っ て保持 さ れてい る 必要があ り ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 9-3 第9章 SSL ト ラ フ ィ ッ クの管理 ク ラ イ ア ン ト 証明書お よ びサーバ証明書を検証す る よ う に BIG-IP を 設定す る 場合、 BIG-IP に よ る SSL ト ラ フ ィ ッ ク 管理を可能にす る に は、キーお よ び証明書を生成 し て シ ス テ ム に イ ン ス ト ール し てお く 必 要があ り ます。 こ れは、 設定ユーテ ィ リ テ ィ を使用 し て行え ます。 新 し いキー と 証明書のペア を生成す る には、既存のペア を イ ン ポー ト す る こ と も で き ます。既存のキー と 証明書のペアの イ ン ポー ト に関す る 詳細につい ては、 「 キー、 証明書、 お よ びアーカ イ ブの イ ン ポー ト 」 (9-10 ページ) を参照 し て く だ さ い。 ク ラ イ ア ン ト 側の証明書の検証 ク ラ イ ア ン ト に よ っ て HTTP リ ク エ ス ト が行われ る と 、 BIG-IP では、 通常は タ ーゲ ッ ト サーバに よ っ て実行 さ れ る ク ラ イ ア ン ト 証明書の 検証 タ ス ク を実行で き ます。 ク ラ イ ア ン ト によ っ て BIG-IP に証明書が提示さ れる と 、 BIG-IP では、 ク ラ イ ア ン ト の信頼で き る CA フ ァ イ ルを 使用し て、 信頼でき る 認証 局を 判別し ま す。 BIG-IP では、 ク ラ イ ア ン ト 証明書を 検証し よ う と す る 際、 主な手段と し て、 こ のフ ァ イ ルを 使用し ま す。 ク ラ イ ア ン ト 側 のプロ フ ァ イ ルを 作成する 際、 デフ ォ ルト のク ラ イ ア ン ト の信頼でき る CA フ ァ イ ルが BIG-IP によ っ て自動的に作成さ れま す。プロ フ ァ イ ルで指定さ れている デフ ォ ルト のフ ァ イ ル名を 使用する か、 別のフ ァ イ ル名を 指定でき ま す。 詳細について は、 「信頼で き る ク ラ イ ア ン ト CA の指定」 (9-15 ページ) を 参照し てく ださ い。 ク ラ イ ア ン ト 証明書の検証におけ る 第 2 の要素は、プ ロ フ ァ イ ルで信 頼 さ れ る CA の リ ス ト を ク ラ イ ア ン ト に ア ド バ タ イ ズす る た め に BIG-IP に よ っ て使用 さ れ る 、 ク ラ イ ア ン ト 証明書 CA フ ァ イ ル です。 ただ し 、 こ の リ ス ト は、BIG-IP に よ っ て 実際に信頼 さ れ る CA の リ ス ト と は異な る 場合があ り ます。 信頼で き る CA フ ァ イ ルの場合は、 こ の フ ァ イ ルのデフ ォ ル ト バージ ョ ンが BIG-IP に よ っ て自動的に作成 さ れ ます。 ま た 、 BIG-IP によ っ て ク ラ イ ア ン ト 証明書の検証プロ セス の一環と し て ク ラ イ ア ン ト に送信さ れる 、 ク ラ イ ア ン ト チェ ーン フ ァ イ ルも 存在し ま す。 デフ ォ ルト のク ラ イ ア ン ト チェ ーン フ ァ イ ルは、 ク ラ イ ア ン ト の信頼でき る CA フ ァ イ ルです。 詳細について は、 「信頼で き る ク ラ イ ア ン ト CA の指定」 (9-15 ページ) を 参照し て く ださ い。 サーバ側の証明書の検証 サーバ側の検証は、 サーバの SSL プ ロ フ ァ イ ルを有効に し て、 サー バ証明書の提示を [require] に設定 し てい る 場合に行われ ます。 サーバに よ っ て BIG-IP に証明書が提示 さ れ る と 、 BIG-IP では サーバ の信頼で き る CA フ ァ イ ルを使用 し て、 信頼で き る 認証局を判別 し ま す。 BIG-IP では、 サーバ証明書を検証 し よ う と す る 際、 主な手段 と し て、 こ の フ ァ イ ルを使用 し ます。 サーバ側のプ ロ フ ァ イ ルを設定す る 際、デフ ォ ル ト のサーバの信頼で き る CA フ ァ イ ルが BIG-IP に よ っ て自動的に作成 さ れます。プ ロ フ ァ イ ルで指定 さ れてい る デフ ォ ル ト の フ ァ イ ル名を使用す る か、 別の フ ァ イ ル名を指定で き ます。 ま た、 BIG-IP に よ っ てサーバ証明書の検証プ ロ セ ス 全体の一環 と し て サーバに送信 さ れ る 、 サーバチ ェ ーン フ ァ イ ル も 存在 し ま す。 デ フ ォ ル ト のサーバチ ェーン フ ァ イ ルは、サーバの信頼で き る CA フ ァ イ ルです。 9-4 証明書の失効について BIG-IP では、 ク ラ イ ア ン ト ま たはサーバに よ っ て提示 さ れた証明書 が失効 し て い る か ど う か を 確認で き ま す。 ク ラ イ ア ン ト 証明書が失 効 し てい る 場合、 BIG-IP ではその ク ラ イ ア ン ト を認証で き ません。 BIG-IP では、 証明書の失効 ス テー タ ス をチ ェ ッ ク す る ために、 以下 に示す 2 つの業界標準の方式がサポー ト さ れてい ます。 ◆ 証明書失効 リ ス ト (CRL) CRL は、 BIG-IP に提示 さ れてい る 証明書が失効 し てい る か ど う か をチ ェ ッ ク す る ために BIG-IP で使用で き る 方式です。こ の CRL サ ポー ト は、CRL フ ァ イ ルお よ び CRL パ ス の形式です。BIG-IP を使 用す る と 、ク ラ イ ア ン ト 側のプ ロ フ ァ イ ルに対 し て 1 つの CRL フ ァ イ ルお よ びパ ス を設定 し 、 サーバ側のプ ロ フ ァ イ ルに対 し て 1 つ の CRL フ ァ イ ルお よ びパ ス を設定で き ます。CRL を使用す る ため の設定は、 SSL プ ロ フ ァ イ ルを通 じ て行え ます。 詳細については、 「 ク ラ イ ア ン ト お よ びサーバ認証の設定」 (9-25 ページ) を参照 し て く だ さ い。 ◆ Online Certificate Status Protocol (OCSP) CRL を使用す る 場合 と 異な り 、 OCSP を使用す る と 、 証明書の失 効ス テー タ ス が常に最新の も のにな り ます。 OCSP の設定は、 認証 プ ロ フ ァ イ ルを通 じ て行い ます。 詳細については、 第 10 章 「 アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証」 を参照 し て く だ さ い。 暗号化 と 復号化について BIG-IP には、 通常は タ ーゲ ッ ト サーバに よ っ て ク ラ イ ア ン ト リ ク エ ス ト の処理の一環 と し て実行 さ れ る 暗号化お よ び復号化 タ ス ク を処 理で き る 機能 も あ り ます。BIG-IP では、ク ラ イ ア ン ト 側 SSL プ ロ フ ァ イ ルを使用 し て、 着信要求を復号化 し てか ら 、 平文で タ ーゲ ッ ト サー バに送信 し ます。 BIG-IP では、 サーバ側のプ ロ フ ァ イ ルを使用 し て、 要求を再暗号化す る こ と でセキ ュ リ テ ィ レベルを追加 し てか ら 、タ ー ゲ ッ ト サーバに送信 し ます。 暗号化に関連 し た BIG-IP の機能には、 要求を暗号化す る ために ク ラ イ ア ン ト に よ っ て使用 さ れ る 暗号を着信HTTP リ ク エ ス ト に挿入で き る 機能があ り ます。 その後、 ユーザは、 その暗号仕様に基づいて ト ラ フ ィ ッ ク を ダ イ レ ク ト で き ます。ク ラ イ ア ン ト リ ク エ ス ト の宛先を制 御す る ための暗号の指定に関す る 詳細については、 第 17 章 「iRule の 記述」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 9-5 第9章 SSL ト ラ フ ィ ッ クの管理 ク ラ イ ア ン ト 承認について 認証 と は異な り 、 承認は、 ID の信頼性ではな く 、 シ ス テ ム リ ソ ース へのア ク セ ス の制御に関す る も のです。ク ラ イ ア ン ト ま たはサーバの 信頼性が SSL プ ロ フ ァ イ ルに よ っ て検証 さ れた場合、 BIG-IP では、 宛先 コ ン テ ン ツへの接続の レ ベルお よ びア ク セ ス の タ イ プ を 制御で き る よ う にな り ます。 SSL 接続に対す る ア ク セ ス制御を サポー ト す る BIG-IP の機能は、 以 下の と お り です。 • HTTP リ ク エ ス ト への ク ラ イ ア ン ト 証明書フ ィ ール ド の挿入 • 同時 ク ラ イ ア ン ト TCP 接続数の制限 • LDAP デー タ ベース サーバに よ る ク ラ イ ア ン ト 承認 シ ス テ ム リ ソ ー ス への ク ラ イ ア ン ト の ア ク セ ス を制御す る 最 も 便利 な方法の 1 つは、ク ラ イ ア ン ト 証明書の フ ィ ール ド をヘ ッ ダ と し て ク ラ イ ア ン ト リ ク エ ス ト に挿入す る iRule を作成す る こ と です。 た と え ば、 iRule は、 ク ラ イ ア ン ト 証明書の ス テー タ ス をヘ ッ ダ と し て要求 に挿入 し た後、 HTTP::header コ マ ン ド を使用 し て、 その ス テー タ ス に基づいて タ ーゲ ッ ト サーバを選択で き ます。 こ のヘ ッ ダ挿入機能を 使用 し た ク ラ イ ア ン ト リ ク エ ス ト の宛先の制 御に関す る 詳細については、 第 17 章 「iRule の記述」 を参照 し て く だ さ い。 SSL セ ッ シ ョ ンパーシ ス テ ン スについて 実装可能な SSL パーシ ス テ ン ス には、 2 つの タ イ プがあ り ます。 1 つ 目の タ イ プは、 標準 SSL パーシ ス テ ン ス モー ド です。 こ のモー ド で は、SSL 要求の復号化お よ び SSL 応答の再暗号化を含ま ない SSL セ ッ シ ョ ン に対 し てパーシ ス テ ン ス を有効に し ます。 こ の SSL パーシ ス テ ン ス モー ド を有効にす る には、SSL パーシ ス テ ン ス プ ロ フ ァ イ ルを 設定 し ます。 詳細については、 第 7 章 「 セ ッ シ ョ ンパーシ ス テ ン ス の 有効化」 を参照 し て く だ さ い。 SSL パーシ ス テ ン ス の 2 つ目の タ イ プでは、要求の復号化お よ び応答 の再暗号化を含む SSL セ ッ シ ョ ン に対 し てパーシ ス テ ン ス を有効に し ます。 こ の場合、 SSL パーシ ス テ ン ス の実装は、 SSL セ ッ シ ョ ン ID をヘ ッ ダ と し て HTTP リ ク エ ス ト に挿入す る こ と で行い ます。 セ ッ シ ョ ン ID ヘ ッ ダの挿入は、 iRules を作成す る こ と で行い ます。 iRules については、 第 17 章 「iRule の記述」 を参照 し て く だ さ い。 その他の SSL 機能について 前述の機能を使用す る こ と に加え て、無効なプ ロ ト コ ルバージ ョ ンの 指定、SSL セ ッ シ ョ ン キ ャ ッ シ ュ のサ イ ズお よ び タ イ ム ア ウ ト 値の設 定、 SSL シ ャ ッ ト ダ ウ ン動作の設定な ど の作業 も 実行で き ま す。 ま た、 タ イ ム ア ウ ト 値お よ びデー タ 送信量に基づいて SSL セ ッ シ ョ ン を再ネ ゴ シエーシ ョ ンす る よ う に SSL プ ロ フ ァ イ ルを設定す る こ と も 可能です。 9-6 キーおよび証明書の管理 SSL 接続の復号化お よ び暗号化を有効にす る には、1 つ以上の SSL 証 明書を BIG-IP に イ ン ス ト ール し てお く 必要があ り ます。 こ れ ら の証 明書の目的については、 「証明書の検証について 」 (9-3 ページ) に説 明があ り ます。 証明書要求 を 生成 し て認証局に送信す る 作業 を 容易にす る た めに、 BIG-IP では、 設定ユーテ ィ リ テ ィ 内に一連のキー管理画面が用意 さ れ て い ま す。 こ れ ら の証明書管理画面には、 [Main] タ ブ の [Local Traffic] セ ク シ ョ ン か ら ア ク セ ス で き ます。 キーを管理す る 場合、 次の こ と が可能です。 • 既存のキ ーのペア およ び証明書のすべてに関する 情報を 表示する 。 • 新 し い キーのペアお よ び証明書に対 し て要求を作成 し 、 認証局に 送信す る 。 • 証明書要求を更新す る 。 • キーお よ び証明書のプ ロ パテ ィ を表示す る 。 • PEM 形式のキーお よ び証明書を イ ン ポー ト お よ びエ ク ス ポー ト する。 既存のキーおよび証明書に関する情報の表示 既存のキーのペアお よ び証明書に関す る 要約情報には、設定ユーテ ィ リ テ ィ か ら ア ク セ ス で き ます。 [SSL Certificates] 画面に、 次の情報が 表示 さ れます。 • 証明書の ス テー タ ス (有効、 期限切れ間近、 期限切れ) • 要求の作成時に証明書に割 り 当て た一意の名前 • 証明書の発行者 • 有効期限 既存の証明書およびキーに関する情報を表示するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [SSL Certificates] を ク リ ッ ク し ます。 [SSL Certificates] 画面が開 き 、BIG-IP に イ ン ス ト ール さ れてい る すべての証明書が リ ス ト 表示 さ れます。 2. [Name] カ ラ ム で、 証明書名を ク リ ッ ク し ます。 こ れに よ っ て証明書のプ ロ パテ ィ が表示 さ れます。 3. その証明書に関連付け ら れてい る キーに関す る 情報を表示す る には、 メ ニ ュ ーバーの [Key] を ク リ ッ ク し ます。 こ れに よ り キーの タ イ プ と サ イ ズが表示 さ れます。 新規の証明書およびキーに対する要求の作成 設定ユーテ ィ リ テ ィ を使用 し て、 自己署名証明書 (通常は内部テ ス ト 目的にのみ使用) を生成す る か、 ま たは証明書 と キーのペアに対す る 要求 を 作成 し て、 認証局に送信で き ま す。 認証局に要求 を送信す る と 、 認証局に よ っ て署名付 き 証明書が返 さ れ ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 9-7 第9章 SSL ト ラ フ ィ ッ クの管理 証明書要求を認証局に送信す る には、次の 2 つの方法のいずれか を使 用 し ます。 • 設定ユーテ ィ リ テ ィ の画面か ら 新規に生成 さ れた要求のテ キ ス ト を コ ピー し 、 それを認証局に送信 し ます (カ ッ ト & ペース ト を使 用)。 • 新規に生成 さ れた要求を フ ァ イ ルにダ ウ ン ロ ー ド し て、 その フ ァ イ ルを認証局に送信 し ます。 要求を (テ キ ス ト のペース ト ま たはフ ァ イ ルの添付に よ っ て) 認証局 に送信す る には、 認証局の Web サ イ ト にア ク セ ス し ます。 認証局に よ る 署名を受け る ために要求を送信す る ための設定ユーテ ィ リ テ ィ の画面には、 さ ま ざ ま な認証局の Web サ イ ト への リ ン ク が含まれて い ます。 自己署名証明書を要求するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [SSL Certificates] を ク リ ッ ク し ます。 [SSL Certificates] 画面が表示 さ れます。 2. 画面右上の [Create] を ク リ ッ ク し ます。 3. 証明書の一意の名前を入力 し ます。 4. [Issuer] 設定で [Self] を選択 し ます。 5. [Common Name]設定お よ びその他の必要な設定をすべて設定 し ます。 6. [Key Properties] セ ク シ ョ ン で、 キーのサ イ ズ を選択 し ます。 7. [Finished] を ク リ ッ ク し ます。 認証局か ら証明書を要求するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [SSL Certificates] を ク リ ッ ク し ます。 [SSL Certificates] 画面が表示 さ れます。 2. 画面右上の [Create] を ク リ ッ ク し ます。 3. 証明書の一意の名前を入力 し ます。 4. [Issuer] ボ ッ ク ス で [Certificate Authority] を選択 し ます。 5. [Common Name] 設定お よ びその他の設定を指定 し ます。 6. [Finished] を ク リ ッ ク し ます。 証明書要求が表示 さ れ ます。 7. シ ス テ ム上の フ ァ イ ルに要求を ダ ウ ン ロ ー ド す る には、 次の いずれか を行い ます。 • [Request Text] ボ ッ ク ス か ら 証明書を コ ピー し ます。 • [Request File] ボ ッ ク ス のボ タ ン を ク リ ッ ク し ます。 8. [Certificate Authorities] ボ ッ ク ス で、認証局の名前を ク リ ッ ク し ます。 選択 し た認証局の Web サ イ ト が表示 さ れ ます。 9-8 9. Web サ イ ト 上の説明に従っ て、 コ ピー し た要求をペース ト す る か、 ま たは生成 さ れた要求フ ァ イ ルを添付 し ます。 10. [Finished] を ク リ ッ ク し ます。 証明書の更新 証明書にはすべて、 有効期限があ り ます。 証明書が期限切れにな っ た 場合、 継続 し て使用す る には、 証明書を更新す る 必要があ り ます。 自己署名付 き 証明書を更新す る 際、 [Lifetime] 設定の値を変更す る こ と で、 有効期限を 明示的に設定す る こ と がで き ま す。 こ の設定のデ フ ォ ル ト 値は 365 日です。 証明書を更新するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [SSL Certificates] を ク リ ッ ク し ます。 既存の証明書の リ ス ト が表示 さ れます。 2. [Name] カラ ム で、更新する する 証明書の名前を ク リ ッ ク し ま す。 選択 し た証明書のプ ロ パテ ィ が表示 さ れます。 3. 画面の下部で [Renew] を ク リ ッ ク し ます。 4. 設定を変更す る か、 その ま ま使用 し ます。 [Common Name] 設定の値は必須であ る こ と に注意し て く だ さ い。 5. [Finished] を ク リ ッ ク し ます。 6. 設定ユーティ リ ティ を 閉じ て、bigpipe シェ ルにアク セス し ま す。 7. bigpipe シ ェ ルプ ロ ン プ ト で、 load コ マ ン ド を入力 し ます。 注 : 証明書の更新を完了 さ せ る には、かな ら ず bigpipe ユーテ ィ リ テ ィ の load コ マ ン ド を入力す る必要があ り ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 9-9 第9章 SSL ト ラ フ ィ ッ クの管理 証明書 と キーのペアの削除 不要にな っ た証明書 と キーは削除で き ます。 証明書 と キーのペア を削除する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [SSL certificates] を ク リ ッ ク し ます。 こ れに よ っ て証明書の一覧が表示 さ れ ます。 2. 削除す る 証明書の名前の左側にあ る [Select] ボ ッ ク ス をチ ェ ッ ク し ます。 3. 画面下部の [Delete] を ク リ ッ ク し ます。 確認画面が表示 さ れ ます。 4. [Delete] を ク リ ッ ク し ます。 選択 し た証明書が削除 さ れ ます。 注 SSL 証明書 リ ス ト 画面で、 証明書名を ク リ ッ ク す る と 、 証明書のプ ロ パテ ィ が表示 さ れます。 [Delete] ボ タ ン を押せば、 証明書 と キーのペ アの内、 証明書だけ を削除す る こ と がで き ます。 同様に、 キーのプ ロ パテ ィ を表示 さ せて [Delete] ボ タ ン を押せば、 キーだけ を削除する こ と が可能です。 証明書を完全に削除す る には、 上述の手順を使用 し て く だ さ い。 キー、 証明書、 およびアー カ イ ブのイ ンポー ト キ ーと 証明書のペア、 証明書、 ま たはキ ーと 証明書のアーカ イ ブを 別 のシス テム から BIG-IP に転送し ており 、 その証明書ま たはアーカ イ ブ がフ ァ イ ルま たはベース 64エン コ ード テキス ト 文字列の形式である 場 合、 こ の証明書ま たはア ーカ イ ブを 設定ユーティ リ ティ にイ ン ポート でき ま す。 証明書ま たはアーカ イ ブを 設定ユーティ リ ティ にイ ン ポー ト する と 、 その証明書ま たはア ーカ イ ブを 管理する 作業が容易になり ま す。 イ ン ポート 対象の証明書が Privacy Enhanced Mail (PEM) 形式の 場合のみ、 [Import SSL Certificates and Keys] 画面を 使用でき ま す。 キーのペア、 証明書、 またはアー カ イ ブ を イ ンポー ト するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [SSL Certificates] を ク リ ッ ク し ます。 こ れに よ っ て証明書の一覧が表示 さ れ ます。 2. 画面の右上で [Import] を ク リ ッ ク し ます。 3. [Import Type] リ ス ト か ら 、 イ ン ポー ト の タ イ プ ([Key]、 [Certificate]、 ま たは [Archive]) を選択 し ます。 該当す る イ ン ポー ト タ イ プの設定画面が展開 さ れ ます。 4. 選択 し た イ ン ポー ト タ イ プに必要な設定を行い ます。 • Key ま たは Certificate を選択 し た場合、 [Name] と [Source] を設定 し ます。 • Archiveを 選択し た場合、[Upload Archive File]を 設定し ま す。 9 - 10 5. (キー と 証明書の場合は) [Import] を、 ま たは (アーカ イ ブの 場合は) [Load] を ク リ ッ ク し ます。 アー カ イ ブの作成 アーカ イ ブは、 1 つ以上のキーお よ び証明書に対 し て作成で き ます。 複数のキーお よ び証明書を別のシ ス テ ム にエ ク ス ポー ト す る 場合に、 アーカ イ ブ を作成 し ます。 アー カ イ ブ を作成する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [SSL Certificates] を ク リ ッ ク し ます。 [SSL Certificates] 画面が開 き ます。 2. リ ス ト の下部で [Archive] を ク リ ッ ク し ます。 3. アーカ イ ブ フ ァ イ ルの名前を入力 し ます。 フ ァ イ ルには拡張子 .tgz が付 き ます。 4. [Key List] 領域で、 次の操作を行い ます。 a) [Available Keys] ボ ッ ク ス で、 アーカ イ ブす る キーを選択 し ます。 b) [Move] ボ タ ン (<<) を使用 し て、 キー名を [Keys to Archive] ボ ッ ク ス に移動 し ます。 5. [Certificate List] 領域で、 次の操作を行い ます。 a) [Available Certificates] ボ ッ ク ス で、 アーカ イ ブす る 証明書 を選択 し ます。 b) [Move] ボ タ ン (<<) を使用 し て、 証明書名を [Certificates to Archive] ボ ッ ク ス に移動 し ます。 6. [Generate & Download Archive] ボ タ ン を ク リ ッ ク し ます。 SSL プ ロ フ ァ イルについて 第 5 章 「プ ロ フ ァ イ ルについて 」 で説明 し た よ う に、 プ ロ フ ァ イ ル と は、BIG-IP に よ っ て アプ リ ケーシ ョ ン固有のネ ッ ト ワー ク ト ラ フ ィ ッ ク を管理す る 方法を決定す る 値を持つ設定のグループです。プ ロ フ ァ イ ルで管理可能な ト ラ フ ィ ッ ク タ イ プの 1 つは、SSL ト ラ フ ィ ッ ク で す。 SSL プ ロ フ ァ イ ルの最 も 基本的な機能は、 タ ーゲ ッ ト Web サー バか ら 証明書の妥当性検査お よ び検証 タ ス ク や暗号化 と 復号化の負 荷を軽減す る こ と です。 SSL プ ロ フ ァ イ ルには、 次の 2 つの タ イ プがあ り ます。 ◆ ク ラ イ アン ト プロ フ ァ イル ク ラ イ ア ン ト プ ロ フ ァ イ ルを使用す る と 、BIG-IP では、ク ラ イ ア ン ト シ ス テ ム か ら BIG-IP への SSL 接続すべてに対 し て認証お よ び 暗号化 タ ス ク を処理で き ます。 こ の タ イ プのプ ロ フ ァ イ ルを実装 BIG-IP® Local Traffic Management 設定ガ イ ド 9 - 11 第9章 SSL ト ラ フ ィ ッ クの管理 す る には、 デフ ォ ル ト の clientssl プ ロ フ ァ イ ルを使用す る か、 ま たは clientssl プ ロ フ ァ イ ルに基づいて カ ス タ ム プ ロ フ ァ イ ルを作 成 し ます。 ◆ サーバプ ロ フ ァ イ ル サーバプ ロ フ ァ イ ルを使用す る と 、BIG-IP では、シ ス テ ムか ら タ ー ゲ ッ ト サーバに送信 さ れ る SSL 接続すべてに対 し て暗号化 タ ス ク を処理で き ます。 サーバ SSL プ ロ フ ァ イ ルは、 BIG-IP の認証が必 要な場合にサーバに証明書を提示す る こ と で、 ク ラ イ ア ン ト と し て機能す る よ う にな っ てい ま す。 こ の タ イ プのプ ロ フ ァ イ ルを実 装す る には、 デフ ォ ル ト の serverssl プ ロ フ ァ イ ルを使用す る か、 ま たは serverssl プ ロ フ ァ イ ルを も と にカ ス タ ム プ ロ フ ァ イ ルを作 成 し ます。 重要 SSL 処理を有効にす る 前に、まず信頼で き る認証局か ら の有効な x509 証明書 を 生成す る か、 ま た は一時的 な 証明書 を 生成 し て、 そ れ を BIG-IP に イ ン ス ト ールす る 必要があ り ます。 証明書の詳細について は、 「署名付 き証明書」 (9-3 ページ) を参照 し て く だ さ い。 BIG-IP で の証明書の生成お よ び イ ン ス ト ール方法については、 「キーお よ び証 明書の管理」 (9-7 ページ) を参照 し て く だ さ い。 ク ラ イ ア ン ト ま たはサーバの SSL プ ロ フ ァ イ ルを構成す る 設定は、 3 つの カ テ ゴ リ (汎用プ ロ パテ ィ 、 設定、 ク ラ イ ア ン ト 認証 ま たは サーバ認証のいずれか) に分け ら れ ま す。 SSL プ ロ フ ァ イ ルの作成 時、ま たはプ ロ フ ァ イ ルの作成後にプ ロ フ ァ イ ルの設定を変更す る こ と で、 こ れ ら の設定を行え ます。 プ ロ フ ァ イ ルの設定に関す る 手順に ついては、 第 5 章 「プ ロ フ ァ イ ルについて 」 を参照 し て く だ さ い。 ヒント 個々の SSL 接続に対 し て、 SSL プ ロ フ ァ イ ル設定の値を無効にで き ま す。 こ れを行 う には、 iRule を作成 し 、 無効にする 設定に対応す る SSL iRule コ マ ン ド を含め ます。 詳細については、 第 17 章 「iRule の記述」 と 、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 を参照 し て く だ さ い。 9 - 12 HTTP プ ロ フ ァ イルの設定 こ の項では、[Client SSL Profile] 画面ま たは [Server SSL Profile] 画面の [Configuration] セ ク シ ョ ンに表示 さ れ る 設定について説明 し ます。 そ の他の SSL プ ロ フ ァ イ ル設定については、 「 ク ラ イ ア ン ト お よ びサー バ認証の設定」 (9-25 ページ) を参照 し て く だ さ い。 SSL プ ロ フ ァ イ ルの作成 ま たは変更手順については、 第 5 章 「 プ ロ フ ァ イ ルについて 」 を参照 し て く だ さ い。 表 9.2 に、ク ラ イ ア ン ト ま たはサーバの SSL プ ロ フ ァ イ ルに対 し て行 え る 設定を示 し ます。 デフ ォ ル ト 値を持つ設定については、 デフ ォ ル ト 設定を その ま ま使用す る こ と も 変更す る こ と も で き ます。こ の表の 次に、 こ れ ら の設定について説明 し ます。 設定 説明 デ フ ォル ト 値 Name プ ロ フ ァ イ ルのユーザ定義名を指定 し ます。 デフ ォ ル ト 値な し Parent Profile カ ス タ ム プ ロ フ ァ イ ルの派生元 と す る シ ス テ ム 提供の プ ロ フ ァ イ ルを指定 し ます。 clientssl ま たは serverssl Certificate SSL 接続を終端ま たは開始す る ために BIG-IP に イ ン ス ト ール さ れてい る 証明書の名前を指定 し ます。 default ( ク ラ イ ア ン ト ) None (サーバ) Key SSL 接続を終端ま たは開始す る ために BIG-IP に イ ン ス ト ール さ れてい る キーの名前を指定 し ます。 default ( ク ラ イ ア ン ト ) None (サーバ) Pass Phrase キ ーの暗号化に使用さ れる パス フ レ ーズの名前を 指定し ま す。 デフ ォ ル ト 値な し Confirm Pass Phrase キ ーの暗号化に使用さ れる パス フ レ ーズの名前を 確認し ま す。 デフ ォ ル ト 値な し Chain プ ロ フ ァ イ ルを認証す る ために ク ラ イ ア ン ト で使用可能な証 明書チ ェ ーン フ ァ イ ルを指定 ま たは作成 し ま す。 詳細につい ては、 「証明書チ ェーンの設定」 (9-15 ページ) を参照 し て く だ さ い。 None Trusted Certificate Authorities BIG-IP で信頼で き る ク ラ イ ア ン ト CA ま たはサーバ CA の リ ス ト を指定す る こ と で、 証明書の検証を設定 し ま す。 詳細に ついては、 「信頼で き る ク ラ イ ア ン ト CA の指定」 (9-15 ペー ジ) を参照 し て く だ さ い。 None Ciphers BIG-IP でサポー ト さ れ る 暗号の リ ス ト を指定 し ます。 詳細に ついては、 「SSL 暗号の指定」 (9-16 ページ) を参照 し て く だ さ い。 DEFAULT Options SSL 処理に関連 し た業界関連の さ ま ざ ま な回避策のセ ッ ト を 有効にす る [All Bugfixes Enabled] の値を指定 し ます。 詳細に ついては、「回避策の設定」(9-17 ページ) を参照 し て く だ さ い。 All Bugfixes Enabled ModSSL Methods ModSSL 方式のエ ミ ュ レーシ ョ ン を有効ま たは無効に し ます。 こ の設定はデフ ォ ル ト では無効にな っ てい ます。 無効 (チ ェ ッ ク さ れ て いない) Cache Size SSL セ ッ シ ョ ン キ ャ ッ シ ュ 内のセ ッ シ ョ ン数を指定 し ます。 20000 Cache Timeout SSL セ ッ シ ョ ン キ ャ ッ シ ュ エ ン ト リ の タ イ ム ア ウ ト 値 (秒単 位) を指定 し ます。 3600 Alert Timeout SSL 接続 を リ セ ッ ト す る 前、 接続 を終端 し よ う と す る 間に、 BIG-IP が待機す る 時間を秒単位で指定 し ます。 60 表 9.2 SSL プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 9 - 13 第9章 SSL ト ラ フ ィ ッ クの管理 設定 説明 デフ ォル ト 値 Handshake Timeout SSLハン ド シ ェ イ ク の タ イ ム ア ウ ト 値を秒単位で指定 し ます。 60 Renegotiate Period 初期接続時間か ら 何秒経っ た時点で、 SSL セ ッ シ ョ ンの再ネ ゴ シエーシ ョ ン を行 う か を指定 し ます。 Indefinite Renegotiate Size SSL 再ネ ゴ シエーシ ョ ンの指定ス ループ ッ ト サ イ ズ (バ イ ト 単位) を強制 し ます。 Indefinite Renegotiate Max Record Delay SSL 再ネ ゴ シエーシ ョ ンの最大レ コ ー ド 遅延を強制 し ます。 10 Unclean Shutdown 強制 SSL シ ャ ッ ト ダ ウ ン を 有効 ま た は無効にす る よ う に BIG-IP を設定 し ます。 チ ェ ッ ク あ り (有効) Strict Resume 強制シ ャ ッ ト ダ ウ ンの後、 SSL セ ッ シ ョ ンの再開を有効ま た は無効にす る よ う に BIG-IP を設定 し ます。 チ ェ ッ ク な し (無効) 非 SSL 接続 ト ラ フ ィ ッ ク 管理シ ス テ ム内を非 SSL 接続が通過す る の を ク リ ア テ キ ス ト 形式で許可ま たは禁止 し ます。 チ ェ ッ ク な し (無効) 注 : [Renegotiate Max Record Delay] 属性は、 ク ラ イ ア ン ト 側 のプ ロ フ ァ イ ルにのみ適用 さ れます。 表 9.2 SSL プ ロ フ ァ イ ルの設定 SSL プ ロ フ ァ イ ルを設定す る 前に、変更す る 可能性があ る 特定の設定 に関す る 説明を読んでお く と 役立ち ます。 プ ロ フ ァ イル名の指定 SSL プ ロ フ ァ イ ルを作成す る には、プ ロ フ ァ イ ルの一意の名前を指定 す る 必要があ り ます。 [Name] 設定は、 SSL プ ロ フ ァ イ ルの作成時に ア ク テ ィ ブに指定す る 必要があ る 唯一の設定です。その他の設定には すべて、 デフ ォ ル ト 値があ り ます。 親プ ロ フ ァ イルの選択 作成す る 各プ ロ フ ァ イ ルは、親プ ロ フ ァ イ ルか ら 派生 し ます。[Parent Profile] 設定を使用 し て、 デフ ォ ル ト の SSL プ ロ フ ァ イ ルを親プ ロ フ ァ イ ル と し て設定す る か、 すでに作成 し てい る 別の SSL プ ロ フ ァ イ ルを設定す る こ と がで き ます。 証明書の名前の指定 [Certificate] 設定の値は、 ク ラ イ ア ン ト 側ま たはサーバ側の SSL 接続 を認証す る ために、 BIG-IP に イ ン ス ト ール し てい る 証明書の名前で す。証明書要求を生成 し ていない場合、ま たは BIG-IP に証明書を イ ン ス ト ール し ていない場合には、 既存の証明書の名前、 default を指定 で き ま す。 証明書の詳細については、 「証明書の検証について 」 (9-3 ページ) を参照 し て く だ さ い。 9 - 14 キーの名前の指定 [Key] 設定の値は、 ク ラ イ ア ン ト 側ま たはサーバ側の SSL 接続を認証 す る ために、 BIG-IP に イ ン ス ト ール し てい る キーの名前です。 キー 要求を生成 し ていない場合、 ま たは BIG-IP にキーを イ ン ス ト ール し ていない場合には、 既存のキーの名前、 default を指定で き ます。 キーの詳細については、 「証明書の検証について 」 (9-3 ページ) を参 照 し て く だ さ い。 パス フ レーズの指定 と 確認 [Pass Phrase] 設定 と [Confirm Pass Phrase] 設定で、 SSL キーを暗号 化す る ための文字列を指定す る こ と がで き ます。こ の機能はオプシ ョ ン です。 こ れ ら の設定にア ク セ スす る には、 [Configuration] リ ス ト か ら [Advanced] を選択 し て く だ さ い。 セ キ ュ リ テ ィ を高め る ために、 こ れ ら の設定を使用す る 場合は、 パ ス フ レーズ自体が自動で暗号化 さ れ る よ う にな っ てい ます。こ のパ ス フ レーズ暗号化は、 BIG-IP ユーザに見え ない よ う に行われ る ため、 有 効にす る 必要はあ り ません。 パ ス フ レーズ を暗号化す る と 、暗号化 さ れていない状態 よ り も 長 く な り ます。 暗号化 さ れたパ ス フ レーズは、 MDEyMzQ1Njc4OWFiY2RlZmdoaWprbG1ub3BxcnN0dXZ3eHl6 の よ う にな り ます。 証明書チ ェ ーンの設定 ク ラ イ ア ン ト 検証プ ロ セ ス では、 BIG-IP が ク ラ イ ア ン ト を認証す る だけでな く 、 ク ラ イ ア ン ト が BIG-IP を認証す る 必要があ る 場合 も あ り ます。 ただ し 、 BIG-IP が ク ラ イ ア ン ト に対 し て自身を認証す る た めに使用す る 証明書は、その ク ラ イ ア ン ト に よ っ て信頼 さ れていない 中間 CA に よ っ て署名 さ れてい る こ と があ り ます。 こ の場合、 BIG-IP は、 証明書チ ェーン の使用を必要 と す る こ と があ り ます。 プ ロ フ ァ イ ルを使用す る と 、ユーザが特定の証明書チ ェ ーン フ ァ イ ルの名前を指 定で き ます。 ただ し 、 チ ェーン フ ァ イ ルを構成す る 証明書フ ァ イ ルは PEM 形式であ る 必要があ り ます。 [Chain] を設定す る 場合、 指定可能な値は、 [None] 、 [ca-bundle] 、 お よ び [default] です。 信頼で き る ク ラ イ ア ン ト CA の指定 ク ラ イ ア ン ト 側の SSL 処理については、 ク ラ イ ア ン ト ま たはサーバ に よ っ て提示 さ れた証明書を検証す る よ う に SSL プ ロ フ ァ イ ルを設 定で き ま す。 [Trusted Certificate Authorities] 設定を使用 し て、 ク ラ イ ア ン ト の信頼で き る CA フ ァ イ ルの名前を指定で き ます。 こ の フ ァ イ ルは、 BIG-IP に よ っ て、 ク ラ イ ア ン ト 証明書ま たはサーバ証明書 を検証す る ために使用 さ れ ます。信頼で き る CA フ ァ イ ルを設定 し な い場合、 プ ロ フ ァ イ ルではデフ ォ ル ト フ ァ イ ルが使用 さ れ ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 9 - 15 第9章 SSL ト ラ フ ィ ッ クの管理 ユーザが証明書の検証に対 し て指定す る 信頼で き る CA フ ァ イ ルに は、 Privacy Enhanced Mail (PEM) 形式の証明書が 1 つ以上含まれ ま す。 こ の フ ァ イ ルは手動で作成 さ れた も ので、 SSL プ ロ フ ァ イ ルで信 頼 さ れ る ク ラ イ ア ン ト 証明書 ま たはサーバ証明書の リ ス ト を 含んで い ます。 信頼で き る CA フ ァ イ ルを指定 し ない場合、 ま たは指定 し た 信頼で き る CA フ ァ イ ルに BIG-IP がア ク セ ス で き ない場合には、 デ フ ォ ル ト の フ ァ イ ル名が使用 さ れ ます。 [Trusted Certificate Authorities] を 設定す る 場合、 指定可能 な 値は、 [None]、 [ca-bundle]、 お よ び [default] です。 SSL 暗号の指定 SSL プ ロ フ ァ イ ルご と に、 SSL 接続で利用可能な暗号を指定で き ま す。 暗号を設定す る 際には、 要求を送信す る ク ラ イ ア ン ト の暗号、 ま たは応答を送信す る サーバの暗号 と 一致す る 暗号を SSL プ ロ フ ァ イ ルに対 し て設定す る 必要があ り ます。 た と えば、 ク ラ イ ア ン ト は、 ク ラ イ ア ン ト 側 SSL と サーバ側 SSL の 両方を使用す る よ う に設定 さ れてい る SSL プ ロ フ ァ イ ルに接続 し 、 SSL 接続を正常に確立で き ます。ク ラ イ ア ン ト が追加のデー タ (HTTP リ ク エ ス ト な ど) を送信 し た後、 SSL プ ロ フ ァ イ ルはサーバへの SSL 接続を確立 し よ う と し ま す。 ただ し 、 SSL プ ロ フ ァ イ ルはサーバ側 SSL に対 し て 3DES 暗号のみを有効にす る よ う に設定 さ れてお り 、 サーバは RC4 暗号のみを受け付け る よ う に設定 さ れてい る こ と があ り ます。 こ の場合、 共通の暗号が有効にな っ ていないため、 SSL プ ロ フ ァ イ ル と サーバの間の SSL ハン ド シ ェ イ ク は失敗 し ます。 その結 果、 ク ラ イ ア ン ト 接続が閉 じ ら れ ます。 ク ラ イ ア ン ト がブ ラ ウ ザを使 用 し てい る 場合、 ユーザは Web ページが ロ ー ド に失敗 し た こ と を示 すエ ラ ー メ ッ セージ を受信す る 可能性があ り ます。 利用可能な SSL 暗号の リ ス ト を示す文字列を指定す る か、 ま たはデ フ ォ ル ト の暗号文字列、 DEFAULT を使用す る こ と がで き ます。 ク ラ イ ア ン ト SSL プ ロ フ ァ イ ルについては、 DEFAULT 暗号文字列の定 義は ALL:!SSLv2:@SPEED です。 サーバ SSL プ ロ フ ァ イ ルについて は、 DEFAULT 暗号文字列の定義は COMPAT+HW:@SPEED です。 BIG-IP でサポー ト さ れ る 暗号は、 以下の と お り です。 • SSLv2 注 : 絶対に必要な場合を除 き、 SSLv2 暗号化の使用は避け る こ と を お勧め し ます。 • SSLv3 • TLSv1 • SGC/Set-up • 標準のプ ロ ト コ ル拡張お よ び暗号はすべて、 RFC 2246 で規定 さ れ てい ます。 • AES 暗号 (RFC 3268 で規定) 9 - 16 注 BIG-IP では、 OpenSSL バージ ョ ン 0.9.7 の暗号 リ ス ト 形式をサポー ト し てい ます。 ヒント SSL プ ロ フ ァ イ ルで暗号を指定す る こ と に加えて、 HTTP リ ク エ ス ト ヘ ッ ダに暗号仕様を挿入 し て、それ ら の暗号に基づいて ト ラ フ ィ ッ ク を ダ イ レ ク ト す る こ と が で き ま す。 詳細につい て は、 Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 を参照 し て く だ さ い。 回避策の設定 OpenSSL では、問題回避策およ び SSL オプショ ン のセッ ト を サポート し ていま す。 こ れら の回避策およ びオプショ ン は、 個々のク ラ イ ア ン ト 側ま たはサーバ側 SSL プ ロ フ ァ イ ルの設定 と し て有効にで き ます。 [Options] 設定のデフ ォ ル ト 値は [Options List] です。 デフ ォ ル ト 値の ま ま にす る と 、 [Don’t insert empty fragments] と い う オプシ ョ ンが 1 つだけ有効にな り ます。 表 9.3 に、 SSL プ ロ フ ァ イ ルに対 し て設定可能な回避策お よ びオプ シ ョ ン を列挙 し て説明 し ます。 SSL 属性 説明 All Bugfixes Enabled こ のオプシ ョ ン では、 こ の表で説明 さ れてい る 問題回避策のすべて を 有効に し ます。 問題のあ る 実装 と の互換性が必要な場合、 [All Bugfixes Enabled] オプシ ョ ン を使用 し て問題回避策のオプシ ョ ン を有効にす る こ と は、 通常は安全です。 Cipher server preference BIG-IP が暗号を選択す る と き 、 こ のオプシ ョ ンでは、 ク ラ イ ア ン ト の 設定の代わ り にサーバの設定を使用 し ま す。 こ のオプシ ョ ン が設定 さ れていない場合、SSL サーバは常に ク ラ イ ア ン ト の設定に従い ます。 こ のオプシ ョ ンが設定 さ れてい る 場合、 SSLv3/TLSv1 サーバは自身の設 定を使用 し て選択を行い ます。 SSLv2 については、 プ ロ ト コ ルが異な る ため、 サーバは自身の設定 リ ス ト を ク ラ イ ア ン ト に送信 し 、 ク ラ イ ア ン ト は常に暗号を選択 し ます。 Don’t insert empty fragments こ のオプシ ョ ンでは、CBC 暗号に影響を及ぼす SSL 3.0/TLS 1.0 プ ロ ト コ ルの脆弱性に対す る 対策を無効に し ま す。 こ れ ら の暗号は、 特定の 問題のあ る SSL 実装では処理で き ません。 こ のオプシ ョ ンには、 その 他 の 暗 号 を 使 用 す る 接 続 に つ い て は 効 果 が あ り ま せ ん。 こ れ は、 Enabled Options リ ス ト のデフ ォ ル ト 値です。 Ephemeral RSA こ のオプシ ョ ンでは、 RSA 操作時に短命な (一時) RSA キーを使用 し ます。 仕様に従っ て、 こ れは RSA キーを署名操作のみに使用可能な場 合のみ (つま り 、 RSA キーの長 さ が制限 さ れてい る エ ク ス ポー ト 暗号 の下で) 行われます。 こ のオプシ ョ ン を設定す る こ と で、 BIG-IP では 常に短命な RSA キーを使用 し ます。 こ のオプシ ョ ンに よ っ て SSL/TLS の仕様 と の互換性が損なわれ、 ク ラ イ ア ン ト と の相互運用性の問題が 発生す る 可能性があ る ので、 こ のオプシ ョ ンの使用はお勧め し ません。 EDH (短命な Diffie-Hellman) 鍵交換に よ る 暗号を使用す る こ と をお勧 め し ます。 こ のオプシ ョ ンは、 サーバ側 SSL では無視 さ れます。 表 9.3 回避策お よ びその他の SSL オプシ ョ ン BIG-IP® Local Traffic Management 設定ガ イ ド 9 - 17 第9章 SSL ト ラ フ ィ ッ クの管理 SSL 属性 説明 Microsoft session ID bug こ のオプシ ョ ンでは、 Microsoft® セ ッ シ ョ ン ID の問題を処理 し ます。 Netscape CA DN bug workaround こ のオプシ ョ ンでは、 不安定性に関す る 問題を処理 し ます。 Netscape® ブ ラ ウ ザ接続を受け付け る 場合、 ク ラ イ ア ン ト 証明書を要求す る 場合、 Netscape では CA を持たない自己署名でない CA を持つ場合、ブ ラ ウ ザ が証明書を持つ場合、 シ ス テ ムは ク ラ ッ シ ュ ま たはハン グ し ます。 Netscape challenge bug こ のオプシ ョ ンでは、 Netscape challenge の問題を処理 し ます。 Netscape demo cipher change bug workaround こ のオプシ ョ ンでは、 SSL サーバのセ ッ シ ョ ン再開動作を意図的に操 作 し て、 特定の Netscape サーバのセ ッ シ ョ ン再開動作を模倣 し ま す ( 「Netscape reuse cipher change bug workaround」 の説明を参照 し て く だ さ い) 。 通常の使用では、 こ のオプシ ョ ンはお勧め し ません。 ま た、 こ のオプシ ョ ンは、 サーバ側 SSL 処理では無視 さ れます。 Netscape reuse cipher change bug workaround こ のオプシ ョ ン では、 Netscape-Enterprise/2.01 内の問題を処理 し ます。 こ のオプシ ョ ンは、 SSLv2/v3 経由で接続 し た後、 SSLv3 経由で再接続 す る 場合のみ表示 さ れます。 こ の場合は、 暗号 リ ス ト が変更 さ れます。 まず、接続は RC4-MD5 暗号 リ ス ト で確立 さ れます。 その後再開 し た場 合、 接続は DES-CBC3-SHA 暗号 リ ス ト の使用に切 り 替わ り ます。 ただ し 、 RFC 2246 (セ ク シ ョ ン 7.4.1.3、 cipher_suite) に従っ て、 暗号 リ ス ト は RC4-MD5 の ま ま にす る 必要があ り ます。 回避策 と し て、 DES-CBC-SHA:RC4-MD5 な ど の暗号 リ ス ト で接続を試 行 し ます。何 ら かの理由で、新 し い接続ではすべて RC4-MD5 暗号 リ ス ト が使用 さ れますが、 再接続ではすべて DES-CBC-SHA 暗号 リ ス ト が 試行 さ れ ます。 し たが っ て、 Netscape では、 再接続時に、 常に暗号 リ ス ト 内の最初の暗号が使用 さ れます。 No SSLv2 SSLv2 プ ロ ト コ ルを使用 し ません。 No SSLv3 SSLv3 プ ロ ト コ ルを使用 し ません。 No session resumption on renegotiation BIG-IP が SSL サーバと し て再ネゴ シエーショ ン を 実行する 場合、こ のオ プショ ン では常に新し いセッ ショ ン を 開始し ま す (つま り 、 セッ ショ ン 再開要求は、 最初のハン ド シェ イ ク でのみ受け付けら れま す) 。 こ のオ プショ ン は、 サーバ側 SSL 処理では無視さ れま す。 N0 TLSv1 TLSv1 プ ロ ト コ ルを使用 し ません。 Microsoft big SSLV3 buffer こ のオプシ ョ ンでは、 標準以外の SSL レ コ ー ド サ イ ズ を使用す る 古い Microsoft® アプ リ ケーシ ョ ン と 通信す る ための回避策を有効に し ます。 Microsoft IE SSLV2 RSA padding こ のオプシ ョ ン では、 標準以外の RSA キー埋め込みを使用す る 古い Microsoft® アプ リ ケーシ ョ ン と 通信す る ための回避策を有効に し ます。 こ のオプシ ョ ンは、 サーバ側 SSL では無視 さ れます。 Passive close Default に設定 し た場合、 こ のオプシ ョ ンは、 All Bugfixes Enabled オプ シ ョ ン を有効に し ます。 None に設定 し た場合、 こ のオプシ ョ ンは、 す べての回避策を無効に し ます。こ のオプシ ョ ン を None に設定す る こ と は、 お勧めで き ません。 PKCS1 check 1 こ のデバ ッ グオプシ ョ ンでは、 特定の SSL サーバの脆弱性を検出す る ために SSL ク ラ イ ア ン ト に よ っ て使用 さ れ る PKCS1 埋め込みを意図的 に操作 し ます。通常の使用では、 こ のオプシ ョ ンはお勧め し ません。 こ のオプシ ョ ンは、 ク ラ イ ア ン ト 側 SSL 処理では無視 さ れます。 PKCS1 check 2 こ のデバ ッ グオプシ ョ ンでは、 特定の SSL サーバの脆弱性を検出す る ために SSL ク ラ イ ア ン ト に よ っ て使用 さ れ る PKCS1 埋め込みを意図的 に操作 し ます。通常の使用では、 こ のオプシ ョ ンはお勧め し ません。 こ のオプシ ョ ンは、 ク ラ イ ア ン ト 側 SSL 処理では無視 さ れます。 表 9.3 回避策お よ びその他の SSL オプシ ョ ン (続 き ) 9 - 18 SSL 属性 説明 Single DH use こ のオプシ ョ ンでは、 一時ま たは短命な DH パ ラ メ ー タ の使用時に新 し いキーを作成 し ま す。 こ のオプシ ョ ンは、 DH パ ラ メ ー タ が strong prime を使用 し て生成 さ れていない場合 (た と えば、 DSA パ ラ メ ー タ の使用時)、 小 さ いサブグループ攻撃を防御す る ために使用す る 必要が あ り ます。 strong prime が使用 さ れてい る 場合、 各ハン ド シ ェ イ ク 中に 新 し い DH キーを生成す る 必要は必ず し も あ り ませんが、 こ れを行 う こ と をお勧め し ます。 一時ま たは短命な DH パ ラ メ ー タ が使用 さ れて い る と き は常に、 [Single DH use] オプシ ョ ン を有効にす る 必要があ り ます。 SSLEAY 080 client DH bug workaround こ のオプシ ョ ンでは、正 し く ない Diffie-Hellman 公開値の長 さ を指定す る 古い SSLeayベース のアプ リ ケーシ ョ ン と 通信す る ための回避策を有 効に し ます。 こ のオプシ ョ ンは、 サーバ側 SSL では無視 さ れます。 SSL Ref2 reuse cert type bug こ のオプシ ョ ンでは、 SSL 再利用照明遺書 タ イ プの問題を処理 し ます。 TLS D5 bug workaround こ のオプシ ョ ンでは、 正 し く ない暗号化 さ れた RSA キーの長 さ を指定 す る 古い TLSv1 対応アプ リ ケーシ ョ ン と 通信す る ための回避策を有効 に し ます。 こ のオプシ ョ ンは、 サーバ側 SSL では無視 さ れます。 TLS block padding bug workaround こ の オ プ シ ョ ン では、 正 し く な いブ ロ ッ ク 埋め込み を 使用す る 古い TLSv1対応アプ リ ケーシ ョ ン と 通信す る ための回避策を有効に し ます。 TLS rollback bug workaround こ のオプシ ョ ン では、 バージ ョ ン ロ ールバ ッ ク 攻撃の検出を無効に し ます。 ク ラ イ ア ン ト 鍵交換中、 ク ラ イ ア ン ト は、 最初の hello 中に送信 す る の と 同 じ 許容可能な SSL/TLS プ ロ ト コ ルレベルに関す る 情報を送 信す る 必要があ り ま す。 ク ラ イ ア ン ト に よ っ ては、 サーバの回答に適 応す る こ と で、 こ のルールに違反す る こ と が あ り ま す。 た と えば、 ク ラ イ ア ン ト は SSLv2 hello を送信 し て SSLv3.1 (TLSv1) ま で を許容 し ますが、 サーバは SSLv3 ま で し か認識 し ない と し ます。 こ の場合、 ク ラ イ ア ン ト は同 じ SSLv3.1 (TLSv1) アナ ウ ン ス を使用す る 必要があ り ます。 ク ラ イ ア ン ト に よ っ ては、 サーバの回答に応 じ て SSLv3 ま で レ ベルを下げ、 バージ ョ ン ロ ールバ ッ ク 保護に違反す る こ と があ り ます。 こ のオプシ ョ ンは、 サーバ側 SSL では無視 さ れます。 表 9.3 回避策お よ びその他の SSL オプシ ョ ン (続 き) プロ ト コ ルバージョ ン を 設定する 場合、BIG-IP のプロ ト コ ルバージョ ン がシ ス テ ム の ピ ア のプ ロ ト コ ルバージ ョ ン と 一致す る よ う に設定す る 必要があ り ます。 つま り 、 ク ラ イ ア ン ト 側 SSL プ ロ フ ァ イ ルで指 定 さ れ た プ ロ ト コ ルバー ジ ョ ン は ク ラ イ ア ン ト の プ ロ ト コ ルバー ジ ョ ン と 一致 し 、 サーバ側 SSL プ ロ フ ァ イ ルで指定 さ れたプ ロ ト コ ルバージ ョ ン はサーバのプ ロ ト コ ルバージ ョ ン と 一致す る 必要が あ り ます。 し たが っ て、ク ラ イ ア ン ト 側 と サーバ側両方の SSL 接続に対 し て、 BIG-IP で許可 し ないプ ロ ト コ ルバージ ョ ン を指定で き ます。 3 つのプ ロ ト コ ルバージ ョ ン、 SSLv2、 SSLv3、 お よ び TLSv1 の う ち 2 つま で を無効 と し て宣言で き ます。 プ ロ ト コ ルバージ ョ ン を指定 し ない場合、 BIG-IP ではすべての SSL プ ロ ト コ ルバージ ョ ンが許可 さ れ ます。 注 最低で も プ ロ ト コ ルバージ ョ ン SSLv2 を無効 と し て指定す る こ と をお 勧め し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 9 - 19 第9章 SSL ト ラ フ ィ ッ クの管理 回避策オプシ ョ ン を指定す る には、[Options] 設定で [Options List](デ フ ォ ル ト 値) が設定 さ れてい る こ と を確認 し ます。 [Options List] 設定 か ら 、 設定す る オプシ ョ ン をすべて選択 し 、 [Enable] ボ タ ン を ク リ ッ ク し ます。 SSL プ ロ フ ァ イ ルの設定が終了 し た ら 、 [Finished] ボ タ ン を ク リ ッ ク し ます。 ModSSL 方式のエ ミ ュ レーシ ョ ンの有効化 こ の設定では、ModSSL 方式のエ ミ ュ レーシ ョ ン を有効ま たは無効に し ます。 こ の設定は、 OpenSSL 方式が適 さ ない場合に有効に し ます。 [ModSSL Methods] 設定を有効に し てい る 場合、 ModSSL オプシ ョ ン のい く つか をヘ ッ ダ と し て HTTP リ ク エ ス ト に挿入す る HTTP::header insert_modssl_fields コ マ ン ド を使用 し て、iRule を作成 で き ます。 表 9.4 に、 HTTP リ ク エ ス ト に挿入で き る オプシ ョ ン を列 挙 し ます。 ヘッダタ イプ ヘ ッ ダの名前および形式 説明 証明書ス テー タ ス SSLClientCertStatus: [status] ク ラ イ ア ン ト 証明書のス テータ ス。 [status] の値は、[NoClientCert]、[OK]、ま たは[Error] です。 ス テータ スが [NoClientCert] の場合、 こ のヘ ッ ダのみが要求に挿入 さ れます。 ス テータ スが [Error] の場合、エ ラ ーの後に数 字のエ ラ ーコー ド が表示さ れます。 証明書バージ ョ ン SSLClientCertVersion: [version] 証明書のバージ ョ ン。 証明書シ リ アル番号 SSLClientCertSerialNumber: [serial] 証明書のシ リ アル番号。 証明書の署名アルゴ リ ズ ム SSLClientCertSignatureAlgorithm: [alg] 証明書の署名アルゴ リ ズ ム。 証明書の発行者 SSLClientCertIssuer: [issuer] 証明書の発行者。 証明書の有効期限 SSLClientCertNotValidBefore: [before] SSLClientCertNotValidAfter: [after] 証明書の有効期限。[before] の日付 よ り 前、 [after] の日付 よ り 後はそれぞれ、 証明書は 有効ではあ り ません。 証明書の所有者 SSLClientCertSubject: [subject] 証明書の所有者。 証明書の所有者の公開鍵 SSLClientCertSubjectPublicKey: [key] 公開鍵 の タ イ プ。 指定可能 な タ イ プ は、 [RSA ([size] bit)]、[DSA]、ま たは [Unknown public key] です。 証明書自体 SSLClientCert: [cert] 実際の ク ラ イ ア ン ト 証明書。 証明書の MD5 ハ ッ シ ュ SSLClientCertHash: [hash] ク ラ イ ア ン ト 証明書の MD5 ハ ッ シ ュ 。 表 9.4 iRules で使用可能な ModSSL オプシ ョ ン SSL セ ッ シ ョ ンキ ャ ッ シ ュの設定 SSL セ ッ シ ョ ン キ ャ ッ シ ュ の タ イ ム ア ウ ト と サ イ ズの値を設定で き ます。 各プ ロ フ ァ イ ルで別個の SSL セ ッ シ ョ ン キ ャ ッ シ ュ が保持 さ れ る ので、 プ ロ フ ァ イ ルご と に値を設定で き ます。 9 - 20 SSL セ ッ シ ョ ンキ ャ ッ シ ュのサイ ズの設定 設定ユーテ ィ リ テ ィ を使用 し て、SSL セ ッ シ ョ ン キ ャ ッ シ ュ の最大サ イ ズ を指定で き ます。SSL セ ッ シ ョ ン キ ャ ッ シ ュ のサ イ ズのデフ ォ ル ト 値は、 20,000 エ ン ト リ です。 値 0 を指定す る と 、 セ ッ シ ョ ン キ ャ ッ シ ュ が許可 さ れ ません。 プ ロ フ ァ イ ルご と に、セ ッ シ ョ ン キ ャ ッ シ ュ の最大サ イ ズの値を設定 し ます。 SSL セ ッ シ ョ ン キ ャ ッ シ ュ のサ イ ズ を指定す る には、 [Cache Size] 設定で、 デフ ォ ル ト のキ ャ ッ シ ュ サ イ ズ値を その ま ま使用す る か、 新 し い値を入力 し ます。 SSL セ ッ シ ョ ンキ ャ ッ シ ュの タ イムアウ ト の設定 設定ユーテ ィ リ テ ィ を使用 し て、 ネ ゴ シエーシ ョ ン さ れた SSL セ ッ シ ョ ン ID の使用可能な ラ イ フ タ イ ム秒数を指定で き ます。 SSL セ ッ シ ョ ン キ ャ ッ シ ュ のデフ ォ ル ト の タ イ ム ア ウ ト 値は、 300 秒です。 指 定可能な値は、 5 以上の整数です。 期限切れのセ ッ シ ョ ン ID を持つ SSL セ ッ シ ョ ン を ク ラ イ ア ン ト が再 開 し よ う と す る と 、新 し いセ ッ シ ョ ン を ネ ゴ シエーシ ョ ンす る よ う に 強制 さ れます。 警告 ク ラ イ ア ン ト 側の SSL セ ッ シ ョ ン キ ャ ッ シ ュ の タ イ ム ア ウ ト 値がゼ ロ に設定 さ れてい る 場合、 そのプ ロ フ ァ イ ルの ク ラ イ ア ン ト と ネ ゴ シ エーシ ョ ン さ れた SSL セ ッ シ ョ ン ID は、 キ ャ ッ シ ュ がいっぱいに な っ てエン ト リ のパージが開始す る ま で、セ ッ シ ョ ン キ ャ ッ シ ュ 内に 残 り ます。 こ れ ら のセ ッ シ ョ ン ID を再利用する ク ラ イ ア ン ト に対 し て重要な リ ソ ース が利用可能にな っ てい る 場合、ゼ ロ の値を設定する と 、 セキ ュ リ テ ィ 上の リ ス ク が著 し く 増大す る 可能性があ り ます。 し たがっ て、 一般には、 SSL セ ッ シ ョ ン キ ャ ッ シ ュ の タ イ ム ア ウ ト を、 大幅に短い期間の 24 時間以下に設定す る よ う に し ます。 SSL セ ッ シ ョ ン キ ャ ッ シ ュ の タ イ ム ア ウ ト を指定す る には、 [Cache Timeout] 設定で、 デフ ォ ル ト 値を その ま ま使用す る か、 リ ス ト か ら [Specify]、 [Immediate]、 ま たは [Indefinite] を選択 し ます。 [Specify] を選択 し た場合、 値を入力 し ます。 ア ラ ー ト タ イ ムアウ ト 値の指定 [Alert Timeout] 設定は、 SL 接続を リ セ ッ ト す る 前、 接続を終端 し よ う と す る 間に、 BIG-IP が待機す る 時間を秒単位で指定 し ます。 こ の 設定のデフ ォ ル ト タ イ ム ア ウ ト 値は 60 秒です。 ア ラ ー ト タ イ ム ア ウ ト を指定す る には、 [Alert Timeout] 設定で、 デフ ォ ル ト 値を その ま ま 使用す る か、 リ ス ト か ら [Specify] ま たは [Indefinite] を選択 し ます。 [Specify] を選択 し た場合、 値を入力 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 9 - 21 第9章 SSL ト ラ フ ィ ッ クの管理 ハン ド シ ェ イ ク タ イ ムアウ ト 値の指定 [Handshake Timeout] 設定は、 SSL ハン ド シ ェ イ ク を実行 し よ う と す る と き に、 BIG-IP が使用す る 時間を秒単位で指定 し ます。 こ の設定 のデフ ォ ル ト タ イ ム ア ウ ト 値は 60 秒です。 ア ラ ー ト タ イ ム ア ウ ト を 指定す る には、 [Handshake Timeout] 設定で、 デフ ォ ル ト 値を その ま ま使用す る か、リ ス ト か ら [Specify] ま たは [Indefinite] を選択 し ます。 [Specify] を選択 し た場合、 値を入力 し ます。 SSL セ ッ シ ョ ンの再ネゴ シ エーシ ョ ンの強制 存続時間の長い接続は、 中間者攻撃を受けやす く な っ てい ます。 こ の よ う な攻撃を防御す る ために、時間ま たはアプ リ ケーシ ョ ンサ イ ズの いずれかに基づいて、 BIG-IP で強制的に SSL セ ッ シ ョ ン を再ネ ゴ シ エーシ ョ ンす る こ と が可能です。 ま た、 指定 し た数の レ コ ー ド が受信 さ れた後、 BIG-IP で強制的に SSL セ ッ シ ョ ン を終端 さ せ る こ と も で き ます。 時間に基づいたセ ッ シ ョ ンの再ネゴ シ エーシ ョ ン [Renegotiate Period] 設定では、 初期接続時間か ら 何秒経っ た時点で SSL セ ッ シ ョ ン の再ネ ゴ シエーシ ョ ン を行 う か を指定 し ます。数を指 定す る か、も し く は indefinite か default の ど ち ら か を選択 し て く だ さ い。 デフ ォ ル ト は indefinite であ り 、 こ れは SSL セ ッ シ ョ ンの再ネ ゴ シエーシ ョ ン が行われない こ と を意味 し てい ます。 基本的には、 セ ッ シ ョ ン の再ネ ゴ シエーシ ョ ンに成功す る たびに、新 し い接続が開始 さ れ る よ う に な っ て い ま す。 し たが っ て、 セ ッ シ ョ ン の再ネ ゴ シ エー シ ョ ン に成功す る と 、シ ス テ ムは一定時間内に再ネ ゴ シエーシ ョ ン を 再度試みます。 た と えば、 [renegotiate period] を 3600 秒に設定す る と 、少な く と も 1時間に1回の割合でセ ッ シ ョ ンの再ネ ゴ シエーシ ョ ン が ト リ ガ さ れます。 再ネ ゴ シエーシ ョ ン期間を指定す る には、 [Renegotiate Period] 設定 で、 デ フ ォ ル ト 値 を そ の ま ま 使用す る か、 [Specify] を 選択 し ま す。 [Specify] を選択 し た場合、 値を入力 し ます。 ア プ リ ケーシ ョ ン デー タ のサ イ ズに基づいた セ ッ シ ョ ンの再ネ ゴ シ エーシ ョ ン [Renegotiate Size] 設定を使用す る と 、指定 し た メ ガバ イ ト 数のアプ リ ケ ーシ ョ ン デー タ が セ キ ュ ア な チ ャ ン ネル を 介 し て送信 さ れ た後、 BIG-IP に よ っ て強制的に SSL セ ッ シ ョ ン が再ネ ゴ シエーシ ョ ン さ れ ます。 こ の設定のデフ ォ ル ト 値は Indefinite です。 再ネ ゴ シ エーシ ョ ン サ イ ズ を指定す る には、 [Renegotiate Size] 設定 で、 デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を入力 し ます。 最大レ コ ー ド 遅延の指定 ク ラ イ ア ン ト に よ る 再ネ ゴ シエーシ ョ ン の開始を BIG-IP が待機 し て い る 間、 [Renegotiate Max Record Delay] 設定を使用す る と 、 指定 し た最大数の SSL レ コ ー ド が受信 さ れた後、 BIG-IP に よ っ て強制的に 9 - 22 SSL セ ッ シ ョ ンが終了 さ れ ます。BIG-IP で最大数を超え る SSL レ コ ー ド が受信 さ れた場合、 接続は閉 じ ら れ ます。 秒単位に よ る こ の設定の デフ ォ ル ト 値は 10 です。 最大レ コ ー ド 遅延を指定す る には、[Renegotiate Max Record Delay] 設 定で、 デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を入力 し ます。 SSL シ ャ ッ ト ダウンの設定 SSL 接続の シ ャ ッ ト ダ ウ ン につい て は、 BIG-IP 上で 2 つの設定、 [Unclean Shutdown] お よ び [Strict Resume] を指定で き ます。 強制 SSL シ ャ ッ ト ダウンの無効化 強制シ ャ ッ ト ダ ウ ン では、 必要な SSL シ ャ ッ ト ダ ウ ン ア ラ ー ト を交 換せずに、 基礎 と な る TCP 接続が閉 じ ら れ ます。 ただ し 、 [Unclean Shutdown] 設定を使用 し て、 強制シ ャ ッ ト ダ ウ ン を無効に し 、 すべて のSSL接続の正常な シ ャ ッ ト ダ ウ ンが実行 さ れ る よ う にSSLプ ロ フ ァ イ ルを強制す る こ と が可能です。 こ の機能は特に、 Internet Explorer ブ ラ ウ ザに関 し て使用す る と 便利 です。 ブ ラ ウ ザのバージ ョ ンが異な る 場合、 ま た同 じ バージ ョ ン のブ ラ ウ ザで も ビル ド が異な る 場合には、シ ャ ッ ト ダ ウ ン ア ラ ー ト の処理 方法 も 異な り ま す。 バージ ョ ンや ビ ル ド に よ っ ては、 サーバか ら の シ ャ ッ ト ダ ウ ン ア ラ ー ト が必要な も の と 不要な も のがあ り 、SSL プ ロ フ ァ イ ルでは こ の要件 ま た は欠落 を 検出で き な い場合が あ り ま す。 シ ャ ッ ト ダ ウ ン ア ラ ー ト がブ ラ ウ ザで期待 さ れてお り 、SSL プ ロ フ ァ イ ルで交換 さ れていない場合 (デフ ォ ル ト 設定) 、 ブ ラ ウ ザにエ ラ ー メ ッ セージが表示 さ れます。 デフ ォ ル ト では、 こ の設定は有効にな っ てい ます。 すなわち、 BIG-IP に よ っ てすべての SSL 接続の強制シ ャ ッ ト ダ ウ ンが実行 さ れ ます。強 制 シ ャ ッ ト ダ ウ ン を 無効 に す る に は、 [Unclean Shutdown] 設定 で チ ェ ッ ク ボ ッ ク ス を ク リ ア し ます。 SSL セ ッ シ ョ ンの中止 [Strict Resume] 設定を使用 し て、 強制シ ャ ッ ト ダ ウ ン の後、 SSL セ ッ シ ョ ン を中止す る よ う に BIG-IP を設定で き ま す。 デフ ォ ル ト では、 こ の設定は無効にな っ てお り 、 強制シ ャ ッ ト ダ ウ ン の後、 BIG-IP に よ っ て SSL セ ッ シ ョ ン が再開 さ れ ます。 こ の設定を有効に し てい る 場合、 強制シ ャ ッ ト ダ ウ ン の後、 BIG-IP に よ っ て SSL セ ッ シ ョ ンは 再開 さ れません。 強制シ ャ ッ ト ダ ウ ン の後に SSL セ ッ シ ョ ン を中止す る には、 [Strict Resume] 設定でボ ッ ク ス をチ ェ ッ ク し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 9 - 23 第9章 SSL ト ラ フ ィ ッ クの管理 非 SSL 接続の受け入れ [Non-SSL Connections] 設定を使用 し て、 SSL 接続ではない接続を受 け入れ る よ う に BIG-IP を設定で き ます。 こ の場合、 接続は、 ク リ ア テ キ ス ト 形式で BIG-IP を通過 し ます。 デフ ォ ル ト では、 こ の設定は 無効にな っ てい ます。 9 - 24 ク ラ イ ア ン ト およびサーバ認証の設定 こ の項では、 [Client SSL Profile] 画面の [Client Authentication] セ ク シ ョ ン 、 ま た は [Server SSL Profile] 画面の [Server Authentication] セ ク シ ョ ン に表示さ れる 設定について 説明し ま す。 その他の SSL プロ フ ァ イ ル設定について は、 「HTTP プ ロ フ ァ イ ルの設定」( 9-13 ペー ジ ) を 参照し て く ださ い。 SSL プ ロ フ ァ イ ルの作成 ま たは変更手順については、 第 5 章 「 プ ロ フ ァ イ ルについて 」 を参照 し て く だ さ い。 表 9.5 に、ク ラ イ ア ン ト ま たはサーバの SSL プ ロ フ ァ イ ルの認証設定 を列挙 し て説明 し ます。 デフ ォ ル ト 値を持つ設定については、 デフ ォ ル ト 設定を その ま ま使用す る こ と も 変更す る こ と も で き ます。こ の表 の次に、 設定について説明 し ます。 設定 説明 デフ ォル ト 値 Client or Server Certificate ク ラ イ ア ン ト ま たはサーバに よ っ て提示 さ れ る 証明書を リ ク エ ス ト 、 要求、 ま たは無視す る よ う に SSL プ ロ フ ァ イ ルを設定 し ます。 Ignore Frequency プ ロ フ ァ イ ルに よ る ク ラ イ ア ン ト の認証を、セ ッ シ ョ ン ご と に 1 回行 う か、セ ッ シ ョ ン ご と に 1 回 と 以降に SSL セ ッ シ ョ ンが再利用 さ れ る たびに 1 回行 う かを指定 し ます。詳 細については、「 セ ッ シ ョ ン ご と の認証の設定」 (9-27 ペー ジ) を参照 し て く だ さ い。 Once 注 : こ の設定は、[Client Certificate] を [Request]、[Require]、 ま たは [Auto] に設定 し た場合、 ま たは [Server Certificate] を [Require] に設定 し た場合にのみ表示 さ れます。 Certificate Chain Traversal Depth ク ラ イ ア ン ト 証明書チ ェ ーン で ト ラ バー ス で き る 証明書 の最大数を指定 し ます。 詳細については、 「認証レベルの 設定」 (9-29 ページ) を参照 し て く だ さ い。 9 注 : こ の設定は、[Client Certificate] を [Request]、[Require]、 ま たは [Auto] に設定 し た場合、 ま たは [Server Certificate] を [Require] に設定 し た場合にのみ表示 さ れます。 Advertised Certificate Authorities プ ロ フ ァ イ ルで信頼 さ れてい る CA と し て ク ラ イ ア ン ト に ア ド バ タ イ ズす る CA を指定 し ます。詳細については、「信 頼で き る ク ラ イ ア ン ト CA の リ ス ト のア ド バ タ イ ズ 」(9-28 ページ) を参照 し て く だ さ い。 こ の属性は、 ク ラ イ ア ン ト 側のプ ロ フ ァ イ ルにのみ適用 さ れます。 None 注 : こ の設定は、[Client Certificate] を [Request]、[Require]、 ま たは [Auto] に設定 し た場合にのみ表示 さ れます。 Authenticate Name サーバ証明書に埋め込ま れてい る Common Name (CN) に 基づいて タ ーゲ ッ ト サーバ を認証 し ま す。 詳細について は、 「名前ベース の認証の設定」 (9-29 ページ) を参照 し て く だ さ い。 こ の属性は、 サーバ側のプ ロ フ ァ イ ルにのみ 適用 さ れます。 デフ ォ ル ト 値な し 注 : こ の設定は、 [Server Certificate] を [Require] に設定 し てい る 場合にのみ表示 さ れます。 表 9.5 SSL プ ロ フ ァ イ ル設定の認証 BIG-IP® Local Traffic Management 設定ガ イ ド 9 - 25 第9章 SSL ト ラ フ ィ ッ クの管理 設定 説明 デ フ ォル ト 値 Certificate Revocation List (CRL) 失効 し た ク ラ イ ア ン ト 証明書の リ ス ト を保持す る こ と で、 証明書の失効を設定 し ます。 詳細については、 「証明書の 失効」 (9-29 ページ) を参照 し て く だ さ い。 デフ ォ ル ト 値な し 注 : こ の設定は、[Client Certificate] を [Request]、[Require]、 ま たは [Auto] に設定 し た場合、 ま たは [Server Certificate] を [Require] に設定 し た場合にのみ表示 さ れます。 表 9.5 SSL プ ロ フ ァ イ ル設定の認証 Configuring certificate presentation [Client Certificate] ま た は [Server Certificate] を 設 定 す る こ と で、 BIG-IP に よ っ て ク ラ イ ア ン ト ま たはサーバの認証が特定の方法で処 理 さ れ る よ う にで き ます。 ク ラ イ ア ン ト 側の処理については、 [Client Certificate] に指定可能な 値は次の と お り です。 ◆ Request ク ラ イ ア ン ト 証明書を リ ク エ ス ト お よ び検証 し ます。 こ の場合、証 明書の ス テー タ ス ま たは欠落にかかわ ら ず、 SSL プ ロ フ ァ イ ルは 常にア ク セ ス を許可 し ます。 ◆ Require ア ク セ ス を許可す る 前に、 有効かつ信頼で き る 証明書の提示を ク ラ イ ア ン ト に要求 し ます。 ◆ Ignore 証明書 (ま たは証明書の欠落) を無視す る ため、 ク ラ イ ア ン ト の 認証は行い ません。 [Ignore] 設定はデフ ォ ル ト 設定であ り 、 こ れを 使用す る と 、 セ ッ シ ョ ン ご と の認証設定はすべて無視 さ れ ま す。 セ ッ シ ョ ン ご と の認証の設定については、 「 セ ッ シ ョ ン ご と の認証 の設定」 (9-27 ページ) を参照 し て く だ さ い。 ◆ Auto 認証モジ ュ ールに よ っ て リ ク エ ス ト さ れ る ま で、 ク ラ イ ア ン ト 証 明書を無視 し ます。 こ の場合、 オプシ ョ ン が [Request] に設定 さ れ てい る 場合 と 同様に、 BIG-IP に よ っ てセ ッ シ ョ ン中の SSL ハン ド シ ェ イ ク が開始 さ れ ま す。 こ の設定は、 ク ラ イ ア ン ト 証明書の提 示が必要ではない接続に対 し てのみ、 お勧め し ます。 警告 LDAP ベース の ク ラ イ ア ン ト 承認機能を使用 し てい る 場合、 [Request] ま たは [Ignore] オプシ ョ ン を使用す る と 、 接続が終端す る こ と があ り ます。 LDAP ベース の ク ラ イ ア ン ト 承認の詳細について は、 第 10 章 「アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証」 を参照 し て く だ さ い。 9 - 26 ヒント [Request] 値は、 ヘ ッ ダ挿入機能 と 併用す る と 便利です。 ク ラ イ ア ン ト 証明書情報を HTTP ク ラ イ ア ン ト リ ク エ ス ト に挿入 し 、 [Request] オプシ ョ ンに基づいて ク ラ イ ア ン ト を認証する よ う に SSL プ ロ フ ァ イ ルを設定 し てい る 場合、 BIG-IP ま たはサーバでは、 要求を別のサー バに リ ダ イ レ ク ト す る、 別の コ ン テ ン ツ を ク ラ イ ア ン ト に返信す る 、 ク ラ イ ア ン ト 証明書ま たはセ ッ シ ョ ン ID パーシ ス テ ン ス を実行する な ど の処理を行え る よ う にな り ます。 サーバ側の処理については、 [Server Certificate] に指定可能な値は次 の と お り です。 ◆ Require ア ク セ ス を 許可す る 前に、 有効かつ信頼で き る 証明書の提示 を サーバに要求 し ます。 ◆ Ignore 証明書 (ま たは証明書の欠落) を無視す る ため、 サーバの認証は 行い ません。 [Ignore] 値はデフ ォ ル ト 設定であ り 、 こ れを使用す る と 、セ ッ シ ョ ン ご と の認証設定はすべて無視 さ れ ます。セ ッ シ ョ ン ご と の認証の設定については、 次の 「 セ ッ シ ョ ン ご と の認証の設 定」 を参照 し て く だ さ い。 セ ッ シ ョ ン ご と の認証の設定 [Frequency] 設定では、 認証を SSL セ ッ シ ョ ン ご と に 1 回 (once)、 ま たは以降に SSL セ ッ シ ョ ン が再利用 さ れ る たびに 1 回 (always) 必 要 と す る よ う に SSL プ ロ フ ァ イ ルを設定で き ます。 こ のオプシ ョ ン のデフ ォ ル ト 設定は、 [once] です。 こ の値を [once] ま たは [always] の ど ち ら に設定す る かは、アプ リ ケー シ ョ ン に よ っ て異な り ます。適切に設計 さ れた Web アプ リ ケーシ ョ ン では、 証明書の検証を セ ッ シ ョ ン ご と に 1 回だけ行 う 必要があ り ま す。 パフ ォ ーマ ン ス上の理由か ら 、可能な場合は常にデフ ォ ル ト 設定 (once) を使用す る こ と をお勧め し ます。 SSL プ ロ フ ァ イ ルを変更す る こ と で、セ ッ シ ョ ン ご と に 1 回だけでは な く 、 以降に SSL セ ッ シ ョ ン が再利用 さ れ る たびに認証が必要 と な る よ う に設定で き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 9 - 27 第9章 SSL ト ラ フ ィ ッ クの管理 信頼で き る ク ラ イ ア ン ト CA の リ ス ト のア ド バ タ イ ズ ク ラ イ ア ン ト 側のプ ロ フ ァ イ ルに対 し てのみ、 認証のために ク ラ イ ア ン ト 証明書を要求ま たは リ ク エ ス ト す る よ う に SSL プ ロ フ ァ イ ル を設定す る 場合、サーバが信頼す る 可能性のあ る CA の リ ス ト を ク ラ イ ア ン ト に送信す る よ う に プ ロ フ ァ イ ル を 設定で き ま す。 こ れは、 [Advertised Certificate Authorities] を設定す る こ と で実行で き ます。 こ の リ ス ト は、 ク ラ イ ア ン ト 証明書 CA フ ァ イ ル と も 呼ばれてお り 、 ク ラ イ ア ン ト の信頼で き る CA フ ァ イ ル と は異な り ます。 こ れは、 と き には、 有効な ク ラ イ ア ン ト 証明書を所持 し ない ク ラ イ ア ン ト が あ り 、その場合にプ ロ フ ァ イ ルで信頼 さ れ る 実際の CA リ ス ト の開示を 希望 し ない こ と があ る ためです。 ク ラ イ ア ン ト 証明書 CA フ ァ イ ルを 使用す る と 、証明書の検証の一環 と し て設定 さ れた実際の ク ラ イ ア ン ト の信頼で き る CA フ ァ イ ル と は異な る CA の リ ス ト を プ ロ フ ァ イ ル がア ド バ タ イ ズで き る よ う にす る こ と で、 こ の問題が解決 さ れ ます。 ヒント ク ラ イ ア ン ト 証明書 CA フ ァ イ ルの内容は、 ク ラ イ ア ン ト の信頼で き る CA フ ァ イ ルの内容 と は異な る場合があ り ます。 ただ し 、 互換性の 理由か ら 、 ク ラ イ ア ン ト 証明書 CA オプシ ョ ン を、 実際の ク ラ イ ア ン ト の信頼で き る CA フ ァ イ ル と 一致す る よ う に設定す る こ と が最善の 方法です。 こ れは、 ク ラ イ ア ン ト 証明書を要求す る ピ アに よ っ て信頼 で き る CA の リ ス ト が提供 さ れない場合、 最近のブ ラ ウ ザでは SSL セ ッ シ ョ ン のネ ゴ シエーシ ョ ン の続行が許可 さ れない こ と があ る た めです。 こ の リ ス ト が送信 さ れ る よ う にプ ロ フ ァ イ ルを設定す る には、ク ラ イ ア ン ト 認証に対 し てサーバが信頼す る 1 つ以上の CA を含む PEM 形 式の証明書フ ァ イ ルを指定 し ます。 ク ラ イ ア ン ト 証明書 CA フ ァ イ ル を指定 し ない場合、信頼で き る CA の リ ス ト は ク ラ イ ア ン ト に送信 さ れません。 注 BIG-IP で許可 さ れ る ネ イ テ ィ ブ SSL ハン ド シ ェ イ ク メ ッ セージの最 大サ イ ズは、 14304 バ イ ト です。 こ のため、 SSL ハン ド シ ェ イ ク がネ イ テ ィ ブ暗号を ネ ゴ シエー ト し 、ハン ド シ ェ イ ク 中の全 メ ッ セージの 合計長が こ のバ イ ト し き い値を超え る 場合、ハン ド シ ェ イ ク は失敗 し ます。 通常の使用では、 メ ッ セージ長が こ の し き い値を超え る こ と は あ り ませんが、ク ラ イ ア ン ト 証明書を要求ま たは要請す る ために ク ラ イ ア ン ト SSL プ ロ フ ァ イ ル を 設定す る 場合、 [Advertised Certificate Authorities] 設定に多数の証明書を指定 し ない こ と をお勧め し ます。こ れに よ り 、ク ラ イ ア ン ト SSL ハン ド シ ェ イ ク 中に交換す る証明書の数 を最小限に抑え る こ と がで き ます。 9 - 28 認証レ ベルの設定 [Certificate Chain Traversal Depth] 設定を 使用する と 、証明書チェ ーン 内で ト ラ バース で き る 証明書の最大数を設定で き ます。デフ ォ ル ト 値 は 9 です。 よ り 長いチ ェ ーンが提供 さ れてお り 、 ク ラ イ ア ン ト が こ の 数の ト ラ バース内で認証 さ れていない場合、ク ラ イ ア ン ト 証明書ま た はサーバ証明書の検証は失敗 し ます。認証レベルの値がゼ ロ に設定 さ れ て い る 場合、 ク ラ イ ア ン ト 証明書 ま た は サーバ証明書、 お よ び チ ェーン フ ァ イ ルの 1 つのみが検査 さ れます。 名前ベースの認証の設定 BIG-IP では、 サーバ側のプ ロ フ ァ イ ルに対 し てのみ、 中間者攻撃に 対 し て防御す る 名前ベース の認証をサポー ト し てい ます。サーバ側の プ ロ フ ァ イ ルに [Authenticate Name] を設定 し てい る 場合、 タ ーゲ ッ ト サーバが BIG-IP に提示す る 証明書に リ ス ト さ れてい る Common Name (CN) に対 し て名前が照合 さ れ ま す。 指定 し た名前の属性が サーバ証明書の CN と 一致 し ない場合、BIG-IP に よ っ て接続が閉 じ ら れ ます。 CN の例 と し ては、 www.f5.com があ り ます。 証明書の失効 [Certificate Revocation List (CRL)] 設定を使用す る と 、 BIG-IP では、 CRL を使用 し て、 ク ラ イ ア ン ト ま たはサーバの認証を行 う 前に、 証 明書の失効ス テー タ ス をチ ェ ッ ク で き ます。 SSL プ ロ フ ァ イ ルに対 し て CRL を設定す る には、失効 し た ク ラ イ ア ン ト 証明書ま たはサーバ証明書の リ ス ト を含む CRL フ ァ イ ルを設定す る 必要があ り ます。 失効 し た証明書の リ ス ト を指定す る 場合は、 PEM 形式の フ ァ イ ルを指定す る 必要があ り ます。 重要 CRL フ ァ イ ルは古 く な る こ と があ り 、 1 ~ 30 日に 1 回は更新す る必 要があ り ます。 CRL フ ァ イ ルが古い場合、 BIG-IP に よ っ てすべての 証明書 (有効な証明書 と 無効な証明書の両方) が拒否 さ れます。 こ の ため、 CRL フ ァ イ ルを常に最新の も のに し てお く こ と が重要です。 こ れを行 う には、/config/ssl/ssl.crl デ ィ レ ク ト リ の CRL にア ク セ ス し て、 openssl crl コ マ ン ド を使用 し ます。 詳細については、 http://www.openssl.org/docs/ を参照 し て く だ さ い。 CRL を 使用する 代わり に、 Online Certificate Status Protocol( OCSP) 機能を 使用する と 、 証明書の失効ス テ ータ ス に関する 最新の情報を 確実に得る こ と ができ ま す。 詳細について は、 第 10 章 「 アプ リ ケー シ ョ ン ト ラ フ ィ ッ ク の認証」 を 参照し て く ださ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 9 - 29 10 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ クの認証 • リ モー ト 認証の概要 • LDAP 認証モ ジ ュ ールの実装 • RADIUS 認証モ ジ ュ ールの実装 • TACACS+ 認証モ ジ ュ ールの実装 • SSL ク ラ イ ア ン ト 証明書 LDAP 認証モ ジ ュ ールの 実装 • SSL OCSP 認証モ ジ ュ ールの実装 • CRLDP 認証モ ジ ュ ールの実装 • Kerberos 委任認証モ ジ ュ ールの実装 リ モー ト 認証の概要 BIG-IP® の ロ ーカル ト ラ フ ィ ッ ク 管理シ ス テ ムの重要な特徴は、 Pluggable Authentication Module (PAM) テ ク ノ ロ ジ をサポー ト し てい る 点です。 PAM テ ク ノ ロ ジに よ っ て、 さ ま ざ ま な認証 と 承認ス キー ム か ら 、ネ ッ ト ワー ク ト ラ フ ィ ッ ク の認証や承認に最適な も の を選択 で き ます。 PAM テ ク ノ ロ ジの目標は、 BIG-IP な ど のアプ リ ケーシ ョ ン を、 基幹 認証テ ク ノ ロ ジか ら 切 り 離す こ と です。 こ れに よ っ て、 BIG-IP が受 信す る アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク を認証す る と き に、 BIG-IP で 使用す る 特定の認証 / 承認テ ク ノ ロ ジ を指定で き ます。 こ のため、 BIG-IP には認証モジ ュ ール と 呼ばれ る 複数の認証 ス キー ム が 用意 さ れ て い ま す。 こ れ ら の 認証 モ ジ ュ ール を 使用す る と 、 BIG-IP を経由す る アプ リ ケーシ ョ ン要求を リ モー ト シ ス テ ム を使用 し て認証ま たは承認で き ます。 認証モジ ュ ールを実装す る には、設定ユーテ ィ リ テ ィ を使用 し てユー テ ィ リ テ ィ の [Local Traffic] セ ク シ ョ ン内のプ ロ フ ァ イ ル画面にア ク セ ス し ます。 こ れ ら の画面では、 実装す る 認証モジ ュ ールの種別を設 定で き ます。 注 通常 BIG-IP では、管理 イ ン タ ーフ ェ イ ス ではな く 、Traffic Management Microkernel (TMM) ス イ ッ チ イ ン タ ーフ ェ イ ス (つま り 、 VLAN と セ ルフ IP ア ド レ ス に関連付け ら れた イ ン タ ーフ ェ イ ス)を介 し て リ モー ト 認証 ト ラ フ ィ ッ ク をルーテ ィ ン グ し ます。 し たがっ て、 何 ら かの理 由で TMM サービ ス が停止 し た場合、 サービ ス が復旧す る ま で リ モー ト 認証は利用で き ません。BIG-IP イ ン タ ーフ ェ イ ス経由の ト ラ フ ィ ッ ク の詳細は、 『TMOSTM Management Guide for BIG-IP® Systems』 を 参 照 し て く だ さ い。 BIG-IP 認証モ ジ ュ ール リ モー ト 認証のために実装で き る BIG-IP モジ ュ ールは以下の と お り です。 ◆ LDAP (Lightweight Directory Access Protocol) BIG-IP は、リ モー ト LDAP サーバ ま たは Microsoft® Windows® Active Directory® サーバに格納 さ れてい る デー タ を使用 し てネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を認証 ま たは承認 し ま す。 ク ラ イ ア ン ト の資格情報 はベーシ ッ ク HTTP 認証 (ユーザ名 と パ ス ワ ー ド ) に基づ き ます。 ◆ Remote Authentication Dial-In User Service (RADIUS) BIG-IP は リ モー ト RADIUS サーバに格納 さ れたデー タ を使用 し て ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を認証 し ま す。 ク ラ イ ア ン ト の資格情 報はベーシ ッ ク HTTP 認証(ユーザ名 と パ ス ワ ー ド )に基づ き ます。 ◆ TACACS+ BIG-IP は リ モー ト TACACS+ サーバに格納 さ れたデー タ を使用 し て ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を認証 し ま す。 ク ラ イ ア ン ト の資格 情報はベーシ ッ ク HTTP 認証 (ユーザ名 と パ ス ワー ド ) に基づ き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 1 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 ◆ SSL ク ラ イ ア ン ト 証明書 LDAP BIG-IP は リ モー ト LDAP サーバに格納 さ れたデー タ を使用 し て ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を承認 し ま す。 ク ラ イ ア ン ト の資格情 報は SSL 証明書、 お よ び定義済みのユーザグループ と ロ ールに基 づ き ます。 ◆ Online Certificate Status Protocol (OCSP) BIG-IP は リ モー ト OCSP サーバに格納 さ れたデー タ を使用 し て ク ラ イ ア ン ト 証明書の失効を確認 し ま す。 ク ラ イ ア ン ト の資格情報 は SSL 証明書に基づ き ます。 認証モ ジ ュ ールの実装 BIG-IP を使用す る と 、 前述の認証モジ ュ ールを どれで も 実装で き ま す。 認証モジ ュ ールの実装では、 次のオブジ ェ ク ト を作成ま たは設定 す る 必要があ り ます。 ◆ RADIUS サーバ ま たは SSL OCSP レ ス ポ ン ダオブジ ェ ク ト こ れは RADIUS お よ び SSL OCSP 認証モジ ュ ールのみに必要です。 サ ー バ オ ブ ジ ェ ク ト と レ ス ポ ン ダ オ ブ ジ ェ ク ト は、 リ モ ー ト RADIUS サーバ ま たは OCSP レ ス ポ ン ダに関す る 設定で構成 さ れ てい ます。 ◆ 構成オブジ ェ ク ト 構成オブジ ェ ク ト は、 認証モジ ュ ール を制御す る 構成可能な設定 の グ ループ です。 構成オ ブ ジ ェ ク ト の設定には、 Hosts、 Service Port、 Search Time Limit な ど があ り ます。 ◆ 認証プ ロ フ ァ イ ル 認証プ ロ フ ァ イ ルは、実装す る 認証モジ ュ ールの種別、親プ ロ フ ァ イ ル、 お よ び構成 オ ブ ジ ェ ク ト を 指定す る オ ブ ジ ェ ク ト で す。 BIG-IP が各種認証モジ ュ ールに提供す る デフ ォ ル ト のプ ロ フ ァ イ ルを使用す る こ と も 、 カ ス タ ム プ ロ フ ァ イ ルを作成す る こ と も で き ま す。 プ ロ フ ァ イ ルの詳細については、 第 5 章 「 プ ロ フ ァ イ ル について 」 を参照 し て く だ さ い。 ◆ 認証 iRule BIG-IP は、実装さ れる ど んな種類の PAM モジュ ールについても 、対 応し たデフ ォ ルト の認証 iRule を 提供し ま す。 こ の iRule はプロ フ ァ イ ルと バーチャ ルサーバに関連付ける 必要があ り ま す。 認証 iRule は、 TCL ベース のス ク リ プト で、 対応する プロ フ ァ イ ルと 構成オブ ジェ ク ト の設定に基づいて認証 / 承認アク ショ ン を 実行し ま す。 ほ と ん ど の場合は、カ ス タ ム iRule を作成 し な く て も デフ ォ ル ト の iRule を利用で き ます。 複数の LDAP 認証モジ ュ ールな ど、 構成オ ブジ ェ ク ト と プ ロ フ ァ イ ル設定が異な る 同 じ 種類の認証モジ ュ ー ルを複数実装す る 場合、 カ ス タ ム iRulesTM を作成す る 必要があ り ます。 カ ス タ ム iRule を作成す る 場合は、 第 17 章 「iRule の記述」 を参照 し て く だ さ い。 認証モジ ュ ールの実装に使用す る プ ロ セ ス は単純な も のです。た と え ば、ユーザ名 と パ ス ワー ド の資格情報を使用 し た認証 ク ラ イ ア ン ト ト ラ フ ィ ッ ク への リ モー ト LDAP サーバを使用す る LDAP 認証モジ ュ ー ルを実装す る には、 次の タ ス ク を行っ て く だ さ い。 こ の例ではカ ス タ ムのプ ロ フ ァ イ ルを作成 し 、BIG-IP が提供す る デフ ォ ル ト の iRule を 使用 し てい ます。 10 - 2 認証モ ジ ュ ールを実装するには 1. 認証構成オブジ ェ ク ト を作成 し 、 my_ldap_config と い う 名前 を付け ます。LDAP 認証構成オブジ ェ ク ト の作成手順について は、 「LDAP 構成オブジ ェ ク ト の作成」 (10-5 ページ) を参照 し て く だ さ い。 2. カ ス タ ム認証プ ロ フ ァ イ ルを作成 し て my_ldap_profile と い う 名前を付け ま す。 その フ ァ イ ル内で認証モジ ュ ールの種別を LDAP と 指定 し 、親プ ロ フ ァ イ ル(デフ ォ ル ト の ldap プ ロ フ ァ イ ル ま たは作成 し た別の カ ス タ ム プ ロ フ ァ イ ル) を定義 し ま す。 次に構成 オ ブ ジ ェ ク ト my_ldap_config を 参照 し ま す。 LDAP プ ロ フ ァ イ ルの作成手順については、 「LDAP プ ロ フ ァ イ ルの作成」 (10-7 ページ) を参照 し て く だ さ い。 3. カ ス タ ム プ ロ フ ァ イ ルであ る my_ldap_profile と デフ ォ ル ト の 認証 iRule であ る auth_ldap の両方を参照す る バーチ ャ ルサー バ を設定 し ま す。 バーチ ャ ルサーバ設定を設定す る 方法につ いては、 第 2 章 「バーチ ャ ルサーバの設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 3 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 LDAP 認証モ ジ ュ ールの実装 LDAP 認証モジ ュ ール と は、BIG-IP 経由の ク ラ イ ア ン ト 接続を認証ま たは承認す る ための機構です。 こ のモジ ュ ールは、 認証ま たは承認す る デ ー タ が リ モ ー ト LDAP サ ー バ や Microsoft® Windows Active Directory サーバに格納 さ れてい る 場合で、ベーシ ッ ク HTTP認証(ユー ザ名 と パ ス ワー ド ) に基づいた資格情報が必要な場合に有効です。 LDAP 認証モジ ュ ールを使用す る と 、 BIG-IP は、 認証が成功ま たは失 敗 し た こ と や、LDAP サーバで何 ら かの資格情報が必要であ る こ と を 表示で き ます。 ま た、 シ ス テ ムは、 サーバが LDAP ク エ リ 応答で返 し た情報に基づ いて、 何 ら かの措置を取 る こ と がで き ます。 た と えば、 LDAP 応答情 報では、 ユーザのグループ メ ンバシ ッ プや、 ユーザのパ ス ワ ー ド の期 限切れな ど を示す こ と がで き ます。BIG-IP が LDAP 応答で特定のデー タ を返す よ う に設定す る には、 コ マ ン ド AUTH::subscribe、 AUTH::unsubscribe、 お よ び AUTH::result-data を使用 し て、 iRule を 作成 し ます。 詳細については、 第 17 章 「iRule の記述」 の章 と 、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 を参照 し て く だ さ い。 LDAP 認証モジ ュ ールを実装す る には、 リ モー ト LDAP サーバ上の デー タ にア ク セ スす る よ う に BIG-IP を設定す る 必要があ り ます。 こ の作業は、 次の手順で進め ます。 • LDAP 構成オブジ ェ ク ト • LDAP プ ロ フ ァ イ ル 重要 LDAP オブジ ェ ク ト と プ ロ フ ァ イ ルが作成 さ れ る と 、BIG-IP はそれ ら を現在の管理パーテ ィ シ ョ ンに配置 し ます。デフ ォ ル ト プ ロ フ ァ イ ル は常に Common パーテ ィ シ ョ ンに置かれます。 パーテ ィ シ ョ ンの詳 細については、 『TMOSTM Management Guide for BIG-IP® Systems』 を 参照 し て く だ さ い。 こ れ ら のオブジ ェ ク ト を作成 し た後、LDAP プ ロ フ ァ イ ルをバーチ ャ ルサーバに割 り 当て る 必要があ り ます。 注 LDAP 認証オブジ ェ ク ト の作成時に、 設定ユーテ ィ リ テ ィ の [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 LDAP 認証オブジ ェ ク ト を作成す る権限が現在のユーザ ロ ールに付与 さ れていない こ と を示 し ます。 10 - 4 LDAP 構成オブ ジ ェ ク ト の作成 LDAP 構成オブジ ェ ク ト を作成す る 場合、 さ ま ざ ま な設定を行 う 必要 があ り ます。 表 10.1 は、 LDAP 構成オブジ ェ ク ト の設定項目 と 値を 示 し ます。 こ の表では、 [New Authentication Configuration] 画面 と 同 じ 分類で設定項目を分けてい ます。こ のオブジ ェ ク ト を作成す る 詳細な 手順につい て は、 「LDAP 構成オブ ジ ェ ク ト を 作成す る には 」 (10-6 ページ) を参照 し て く だ さ い。 設定 説明 デフ ォル ト 値 Name 構成オブジ ェ ク ト の名前を一意で指定 し ます。こ の設定は 必須です。 デフ ォ ル ト 値な し Type 実装す る 認証モ ジ ュ ールの種別 を指定 し ま す。 こ の値は LDAP と 指定 し て く だ さ い。 デフ ォ ル ト 値な し Remote LDAP Tree 検索ベース の識別名を指定 し ます。 デフ ォ ル ト 値な し Hosts BIG-IP が認証デー タ の取得に使用す る LDAP サーバのア ド レ ス を一覧 し ます。 デフ ォ ル ト 値な し Service Port LDAP サービ ス のポー ト 番号を指定 し ます。 389 (SSL 非対応) 636 (SSL 対応) LDAP Version LDAP アプ リ ケーシ ョ ンのバージ ョ ン番号を指定 し ます。 3 Bind DN 検索を実行す る ためにバ イ ン ド す る ア カ ウ ン ト の識別名 を指定 し ます。 こ の検索 ア カ ウ ン ト は、検索を実行す る た めに使用 さ れ る 読み取 り 専用ア カ ウ ン ト です。管理者ア カ ウ ン ト も 検索 ア カ ウ ン ト と し て利用で き ます。管理者の識 別名が指定 さ れていない場合、 バ イ ン ド は試行 さ れ ま せ ん。 サ イ ト で匿名での検索が許可 さ れていない場合のみ、 こ の設定を行っ て く だ さ い。 デフ ォ ル ト 値な し 汎用プ ロパテ ィ 設定 リ モ ー ト サ ー バ が Microsoft® Windows Active Directory サーバであ る 場合、識別名は電子 メ ールア ド レ ス の形式に す る 必要があ り ます。 Bind Password LDAP サーバ上に作成 さ れ る 検索 ア カ ウ ン ト のパ ス ワ ー ド を指定 し ます。 こ の設定は bind DN を使用 し てい る 場 合に必要です。 デフ ォ ル ト 値な し Confirm Bind Password バ イ ン ド 識別名のパ ス ワー ド を確認 し ます。こ の設定はオ プシ ョ ンです。 デフ ォ ル ト 値な し Search Time Limit 検索 タ イ ム ア ウ ト ま での時間を指定 し ます。 30 Bind Time Limit バ イ ン ド タ イ ム ア ウ ト ま での時間を指定 し ます。 30 Filter フ ィ ル タ を 指定 し ま す。 こ の 設定は ク ラ イ ア ン ト ト ラ フ ィ ッ ク の承認に使用 さ れます。 デフ ォ ル ト 値な し Login Attribute ロ グ イ ン属性を指定 し ます。 通常は uid を指定 し ますが、 サーバが Microsoft Windows Active Directory サーバの場合 は、 ア カ ウ ン ト 名 sAMAccountName (大文字小文字の区 別な し ) を指定 し ます。 デフ ォ ル ト 値な し 表 10.1 LDAP 構成オブジ ェ ク ト の設定項目 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 5 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 設定 説明 デ フ ォル ト 値 Group DN グループの識別名を指定 し ます。こ の設定は ク ラ イ ア ン ト ト ラ フ ィ ッ ク の承認に使用 さ れます。 デフ ォ ル ト 値な し Group Member Attribute グ ループメ ン バの属性を 指定し ま す。 こ の設定はク ラ イ ア ン ト ト ラ フ ィ ッ ク の承認に使用さ れま す。 デフ ォ ル ト 値な し SSL 指定で き る 値は、[Enabled]、[Disabled]、お よ び [Start TLS] です。 [Enabled] を指定 し た場合、 BIG-IP はサービ ス ポー ト 番号を 389 か ら 636 に変更 し ます。 Disabled Check SSL Peer [Enabled] を指定 し た場合、 SSL ペアがチ ェ ッ ク さ れます。 Disabled SSL CA Certificate SSL CA 証明書の名前 を 指定 し ま す。 指定で き る 値は、 [None]、 [Default]、 お よ び [Specify Full Path] です。 None SSL Client Key SSL ク ラ イ ア ン ト キーの名前を指定 し ます。指定で き る 値 は、 [None]、 [Default]、 お よ び [Specify Full Path] です。 None SSL Client Certificate SSL ク ラ イ ア ン ト 証明書の名前を指定 し ます。指定で き る 値は、 [None]、 [Default]、 お よ び [Specify Full Path] です。 None SSL Ciphers SSL 暗号を指定 し ます。 デフ ォ ル ト 値な し Ignore Unknown User 有効にす る と 、 BIG-IP は不明なユーザを無視 し ます。 Disabled Warning Logging 警告 メ ッ セージ を有効ま たは無効に し ます。 Enabled Debug Logging SYSLOG デバ ッ グ情報を LOG_DEBUG レベルで有効ま た は無効に し ます。 通常の使用ではお勧め し ません。 Disabled 表 10.1 LDAP 構成オブジ ェ ク ト の設定項目 (続 き) LDAP 構成オブ ジ ェ ク ト を作成するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Configurations] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Configuration] 画面が表示 さ れ ます。 4. my_ldap_config な ど、 構成オブジ ェ ク ト の一意の名前を [Name] 設定に入力 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Type] 設定か ら [LDAP] を選択 し ます。 画面が拡張 さ れ、 い く つかの設定が表示 さ れ ます。 6. こ こ で表示 さ れ る すべての設定の値を必要に応 じ て変更で き ます。 (高度な設定を行 う には、 [Configuration] の [Advanced] を選 択 し ます) 7. [Finished] を ク リ ッ ク し ます。 10 - 6 LDAP プ ロ フ ァ イルの作成 LDAP 構成オブジ ェ ク ト を作成 し た後、 LDAP プ ロ フ ァ イ ルを作成ま たは設定す る 必要があ り ます。 こ れはデフ ォ ル ト の ldap プ ロ フ ァ イ ルを変更す る か、デフ ォ ル ト のプ ロ フ ァ イ ル設定を継承 し た カ ス タ ム プ ロ フ ァ イ ル を作成 し て行い ま す。 認証プ ロ フ ァ イ ルの重要な機能 は、ユーザが作成 し た既存の構成オブジ ェ ク ト を参照す る と い う こ と です。 ほ と ん ど の場合、 デ フ ォ ル ト のプ ロ フ ァ イ ル を その ま ま 利用で き ま す。 ただ し 、 デフ ォ ル ト のプ ロ フ ァ イ ルを使用 し た場合で も 、 作成 し た 対応す る 構成オ ブ ジ ェ ク ト を 指定す る よ う にデ フ ォ ル ト の プ ロ フ ァ イ ルを変更す る 必要はあ り ます。 カ ス タ ム プ ロ フ ァ イ ルを作成す る 場合は、新 し いプ ロ フ ァ イ ルで継承 す る 値を含んだ親プ ロ フ ァ イ ル (カ ス タ ムプ ロ フ ァ イ ルま たはデフ ォ ル ト プ ロ フ ァ イ ルのいずれか) を指定す る 必要があ り ます。 LDAP プ ロ フ ァ イ ルを作成す る 場合、 い く つかの設定を行 う 必要があ り ます。 表 10.2 は、 LDAP プ ロ フ ァ イ ルを構成す る 設定項目 と 値を 示 し ます。 LDAP プ ロ フ ァ イ ルの作成手順については、 次の 「デフ ォ ル ト の LDAP プ ロ フ ァ イ ルを変更する には」、 ま たは 「 カ ス タ ム LDAP プ ロ フ ァ イ ルを作成す る には」 (10-8 ページ) を参照 し て く だ さ い。 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Type 実装す る 認証モ ジ ュ ールの種別 を指定 し ま す。 こ の値は LDAP と 指定 し て く だ さ い。 デフ ォ ル ト 値な し Parent Profile 値を継承す る プ ロ フ ァ イ ルを指定 し ます。 ldap Mode プ ロ フ ァ イ ルが有効か無効か を指定 し ます。指定で き る 値 は、 [Auto]、 [Enabled]、 お よ び [Disabled] です。 Enabled Configuration 既存の LDAP 構成オブジ ェ ク ト を指定 し ます。 こ の設定 は必須です。 デフ ォ ル ト 値な し Rule 既存の認証 iRule の名前を指定 し ます。 iRule を指定 し な い場合、BIG-IP は対応す る デフ ォ ル ト iRule を使用 し ます。 auth_ldap Idle Timeout 認証 ま たは承認要求が タ イ ム ア ウ ト にな る ま での待ち時 間を秒数で指定 し ます。デフ ォ ル ト の値を使用す る か、別 の値を指定で き ます。 ま たは Indefinite を選択す る こ と も で き ます。タ イ ム ア ウ ト 値の概要については、第 1 章「 ロ ー カル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 300 表 10.2 LDAP プ ロ フ ァ イ ルの設定 デ フ ォル ト の LDAP プ ロ フ ァ イルを変更するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで [Local Traffic] を展開 し 、 [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Profiles] を選択 し ます。 デフ ォ ル ト の認証プ ロ フ ァ イ ルが一覧表示 さ れます。 3. [Name] カ ラ ムの [ldap] を ク リ ッ ク し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 7 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 4. [Mode] 設定か ら [Enabled] ま たは [Auto] を選択 し ます。 5. [Configuration] 設定の リ ス ト か ら 構成オブジ ェ ク ト を選択 し ます。 [None] は許可 さ れていない値です。 6. [Rule] 設定で認証 iRule を指定 し ます。 • デフ ォ ル ト の iRule であ る auth_ldap を使用す る 場合は、 こ の設定は こ の ま ま に し ておいて く だ さ い。 • デフ ォ ル ト の iRule であ る auth_ldap を使用 し ない場合は、 作成 し た既存の iRule の名前を選択 し て く だ さ い。 7. [Idle Timeout] 設定では、デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を指定す る 、 も し く は Indefinite を選択 し ます。 8. [Finished] を ク リ ッ ク し ます。 カ ス タ ム LDAP プ ロ フ ァ イルを作成するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで [Local Traffic] を展開 し 、 [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Profiles] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Profile] 画面が表示 さ れます。 4. my_ldap_profile な ど、プ ロ フ ァ イ ルの一意の名前を [Name] 設 定に入力 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Type] 設定か ら [LDAP] を選択 し ます。 画面が拡張 さ れ、 追加の設定が表示 さ れます。 6. [Parent Profile] 設定では、プロ フ ァ イ ルのタ イ プを 指定し ま す。 • 親プ ロ フ ァ イ ルにデフ ォ ル ト のプ ロ フ ァ イ ル ldap を使用 す る 場合は、 設定はその ま ま に し ます。 • 親プ ロ フ ァ イ ルにカ ス タ ム プ ロ フ ァ イ ルを使用す る 場合 は、 リ ス ト か ら カ ス タ ム プ ロ フ ァ イ ル名を選択 し ます。 7. [Mode] 設定か ら [Enabled] ま たは [Auto] を選択 し ます。 8. [Configuration] 設定の リ ス ト か ら 構成オブジ ェ ク ト を選択 し ます。 9. [Rule] 設定で認証 iRule を指定 し ます。 • デフ ォ ル ト の iRule であ る auth_ldap を使用す る 場合は、 こ の設定は こ の ま ま に し ておいて く だ さ い。 • デフ ォ ル ト の iRule であ る auth_ldap を使用 し ない場合は、 作成 し た既存の iRule の名前を選択 し て く だ さ い。 10. [Idle Timeout] 設定では、デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を指定す る 、 も し く は Indefinite を選択 し ます。 11. [Finished] を ク リ ッ ク し ます。 10 - 8 LDAP 構成オブジ ェ ク ト と LDAP プ ロ フ ァ イ ルを作成 し た後、 バー チ ャ ルサーバの [Authentication Profile] 設定 を 指定 し て、 こ のプ ロ フ ァ イ ルをバーチ ャ ルサーバに割 り 当て る 必要があ り ます。バーチ ャ ルサーバ設定を設定す る 方法については、 第 2 章 「バーチ ャ ルサーバ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 9 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 RADIUS 認証モ ジ ュ ールの実装 RADIUS 認証モジ ュ ール と は、 BIG-IP 経由の ク ラ イ ア ン ト 接続を認 証す る ための機構です。 こ のモジ ュ ールは、 リ モー ト RADIUS サー バに認証デー タ が格納 さ れてい る 場合に使用 し ます。 こ の場合、 ク ラ イ ア ン ト の資格情報はベーシ ッ ク HTTP 認証 (つま り ユーザ名 と パ ス ワー ド ) に基づ き ます。 RADIUS 認証モジ ュ ールを実装す る には、 リ モー ト RADIUS サーバ 上のデー タ にア ク セ スす る よ う に BIG-IP を設定す る 必要があ り ます。 こ の作業は、 次の手順で進め ます。 • 1 つ以上の上位 RADIUS サーバオブジ ェ ク ト を作成す る • RADIUS 構成オブジ ェ ク ト を作成す る • RADIUS プ ロ フ ァ イ ルを作成す る 重要 RADIUS オブジ ェ ク ト と プ ロ フ ァ イ ルが作成 さ れ る と 、BIG-IP はそれ ら を現在の管理パーテ ィ シ ョ ンに配置 し ます。デフ ォ ル ト プ ロ フ ァ イ ルは常に Common パーテ ィ シ ョ ンに置かれます。 パーテ ィ シ ョ ンの 詳細については、『TMOSTM Management Guide for BIG-IP® Systems』 を 参照 し て く だ さ い。 こ れ ら のオブジ ェ ク ト を作成 し た後、 RADIUS プ ロ フ ァ イ ルを バー チ ャ ルサーバに割 り 当て る 必要があ り ます。 注 RADIUS 認証オブジ ェ ク ト の作成時に、設定ユーテ ィ リ テ ィ の [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 RADIUS 認証オブジ ェ ク ト を作成 す る 権限が現在のユーザ ロ ールに付与 さ れていない こ と を示 し ます。 RADIUS サーバオブ ジ ェ ク ト の作成 RADIUS サーバオブジ ェ ク ト を作成す る 場合、い く つかの設定を行 う 必要があ り ます。 表 10.3 は、 RADIUS サーバオブジ ェ ク ト を構成す る 設定項目 と 値を示 し ます。サーバオブジ ェ ク ト を作成す る 詳細な手 順については、 「RADIUS サーバオブジ ェ ク ト を作成す る には」 (10-11 ページ) を参照 し て く だ さ い。 設定 説明 デ フ ォル ト 値 Name my_radius_object な ど、RADIUS サーバオブジ ェ ク ト の名 前を一意で指定 し ます。 こ の設定は必須です。 デフ ォ ル ト 値な し Host RADIUS サーバのホ ス ト 名ま たは IP ア ド レ ス を指定 し ま す。 こ の設定は必須です。 デフ ォ ル ト 値な し Service Port RADIUS 認証 ト ラ フ ィ ッ ク のポー ト を指定 し ます。 1812 表 10.3 RADIUS サーバ定義の設定 10 - 10 設定 説明 デフ ォル ト 値 Secret サーバ と の間で送受信 さ れ る パケ ッ ト を暗号化す る ま た は復号化す る ための秘密鍵を設定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Confirm Secret [Secret] 設定で指定 さ れた秘密鍵を確認 し ます。 こ の設定 は必須です。 デフ ォ ル ト 値な し Timeout タ イ ム ア ウ ト 値を指定 し ます。 3 表 10.3 RADIUS サーバ定義の設定 (続 き ) RADIUS サーバオブ ジ ェ ク ト を作成するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [RADIUS Servers] を選択 し ます。 [RADIUS Server List] 画面が表示 さ れます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 4. my_radius_server な ど、 RADIUS サーバオブジ ェ ク ト の一意 の名前を [Name] 設定に入力 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Host] 設定に リ モー ト RADIUS サーバのホ ス ト 名ま たは IP ア ド レ ス を入力 し ます。 6. [Secret] 設定 と [Confirm Secret] 設定に 「RADIUS secret」 と 入 力 し ます。 7. その他の設定は必要に応 じ て変更 し ます。 8. [Finished] を ク リ ッ ク し ます。 9. 冗長 RADIUS サーバを設定す る 場合は、 こ れ ら の手順を繰 り 返 し て追加のサーバオブジ ェ ク ト を作成 し ます。 RADIUS 構成オブ ジ ェ ク ト の作成 RADIUS 構成オブジ ェ ク ト を作成す る 場合、さ ま ざ ま な設定を行 う 必 要があ り ます。 表 10.4 (10-12 ページ) は、 RADIUS 構成オブジ ェ ク ト を構成す る 設定項目 と 値を示 し ます。 こ の表では、 [New Authentication Configuration] 画面 と 同 じ 分類で設定項目を分けてい ま す。 こ の 構 成 オ ブ ジ ェ ク ト を 作 成 す る 詳 細 な 手 順 に つ い て は、 「RADIUS 構成オブジ ェ ク ト を作成する には」 (10-12 ページ) を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 11 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 設定 説明 デ フ ォル ト 値 Name 構成オブジ ェ ク ト の名前を一意で指定 し ます。こ の設定は 必須です。 デフ ォ ル ト 値な し Type 実装す る 認証モジ ュ ールの種別を指定 し ま す。 こ の値は RADIUS と 指定 し て く だ さ い。 デフ ォ ル ト 値な し RADIUS Servers BIG-IP が認証デー タ の取得に使用す る RADIUS サーバの IP ア ド レ ス を一覧表示 し ます。 デフ ォ ル ト 値な し 一覧表示 さ れてい る サーバご と に、対応す る RADIUS サー バ定義を作成す る 必要があ り ます。RADIUS サーバの定義 では、 サーバ名、 ポー ト 番号、 RADIUS 秘密鍵、 お よ び タ イ ム ア ウ ト 値 を 指定 し ま す。 詳細に つい て は、 表 10.3 (10-10 ページ) を参照 し て く だ さ い。 Client ID NAS-Identifier RADIUS 属性を文字列バー と 共に送信 し ま す。 [Client ID] 設定に値を指定 し ない と 、 代わ り に PAM サービ ス タ イ プが使用 さ れます。こ の機能は空白の ク ラ イ ア ン ト ID を指定す る こ と で無効にで き ます。 デフ ォ ル ト 値な し Debug Logging SYSLOG デバ ッ グ情報を LOG_DEBUG レベルで有効に し ます。 通常の使用ではお勧め し ません。 Disable Accounting Bug ア カ ウ ン テ ィ ン グ応答ベ ク ト ルの検証を無効に し ます。こ のオプシ ョ ンは旧バージ ョ ンのサーバのみで必要です。 Disable Retries BIG-IP が許容す る 認証の再試行回数を指定 し ます。 3 表 10.4 RADIUS 構成オブジ ェ ク ト の設定 RADIUS 構成オブ ジ ェ ク ト を作成するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Configurations] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Configuration] 画面が表示 さ れ ます。 4. [Name] 設定に、 構成オブジ ェ ク ト に一意の名前 (my_radius_config な ど) を入力 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Type] 設定か ら [RADIUS] を選択 し ます。 画面が拡張 さ れ、 い く つかの設定が表示 さ れ ます。 6. こ こ で表示 さ れ る すべての設定の値を必要に応 じ て変更で き ます。 (高度な設定を行 う には、 [Configuration] の [Advanced] を選 択 し ます) 7. [Finished] を ク リ ッ ク し ます。 10 - 12 RADIUS プ ロ フ ァ イルの作成 RADIUS 構成オブジ ェ ク ト を作成 し た後、RADIUS プ ロ フ ァ イ ルを作 成ま たは設定す る 必要があ り ます。 こ れはデフ ォ ル ト の radius プ ロ フ ァ イ ルを変更す る か、デフ ォ ル ト のプ ロ フ ァ イ ル設定を継承 し た カ ス タ ム プ ロ フ ァ イ ルを作成 し て行い ます。認証プ ロ フ ァ イ ルの重要な 機能は、 既存の構成オブジ ェ ク ト を参照す る こ と です。 ほ と ん ど の場合、 デ フ ォ ル ト のプ ロ フ ァ イ ル を その ま ま 利用で き ま す。 ただ し 、 デフ ォ ル ト のプ ロ フ ァ イ ルを使用 し た場合で も 、 作成 し た 対応す る 構成オ ブ ジ ェ ク ト を 指定す る よ う にデ フ ォ ル ト の プ ロ フ ァ イ ルを変更す る 必要はあ り ます。 カ ス タ ム プ ロ フ ァ イ ルを作成す る 場合は、新 し いプ ロ フ ァ イ ルで継承 す る 値を含んだ親プ ロ フ ァ イ ル (カ ス タ ムプ ロ フ ァ イ ルま たはデフ ォ ル ト プ ロ フ ァ イ ルのいずれか) を指定す る 必要があ り ます。 RADIUS プ ロ フ ァ イ ルを作成す る 場合、さ ま ざ ま な設定を行 う 必要が あ り ます。 表 10.5 は、 RADIUS プ ロ フ ァ イ ルを構成す る 設定項目 と 値を示 し ま す。 RADIUS プ ロ フ ァ イ ルの作成手順については、 次の 「デフ ォ ル ト の RADIUS プ ロ フ ァ イ ルを変更す る には」、 ま たは 「 カ ス タ ム RADIUS プ ロ フ ァ イ ルを作成す る には」 (10-14 ページ) を参照 し て く だ さ い。 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Type 実装す る 認証モ ジ ュ ールの種別 を指定 し ま す。 こ の値は RADIUS と 指定 し て く だ さ い。 デフ ォ ル ト 値な し Parent Profile 値を継承す る プ ロ フ ァ イ ルを指定 し ます。 radius Mode プ ロ フ ァ イ ルが有効か無効か を指定 し ます。指定で き る 値 は、 [Auto]、 [Enabled]、 お よ び [Disabled] です。 Enabled Configuration 既存の RADIUS 構成オブジ ェ ク ト を指定 し ます。 デフ ォ ル ト 値な し Rule 既存の認証ルールの名前を指定 し ます。 iRule を指定 し な い場合、BIG-IP は対応す る デフ ォ ル ト iRule を使用 し ます。 auth_radius Idle Timeout 認証 ま たは承認要求が タ イ ム ア ウ ト にな る ま での待ち時 間を秒数で指定 し ます。デフ ォ ル ト の値を使用す る か、別 の値を指定で き ます。 ま たは Indefinite を選択す る こ と も で き ます。タ イ ム ア ウ ト 値の概要については、第 1 章「 ロ ー カル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 300 表 10.5 RADIUS プ ロ フ ァ イ ルの設定 デ フ ォル ト の RADIUS プ ロ フ ァ イルを変更するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Profiles] を選択 し ます。 デフ ォ ル ト の認証プ ロ フ ァ イ ルが一覧表示 さ れます。 3. [Name] カ ラ ムの [radius] を ク リ ッ ク し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 13 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 4. [Mode] 設定か ら [Enabled] ま たは [Auto] を選択 し ます。 5. [Configuration] 設定の リ ス ト か ら 構成オブジ ェ ク ト を選択 し ます。 [None] は許可 さ れていない設定です。 6. [Rule] 設定で認証 iRule を指定 し ます。 • デフ ォ ル ト の iRule であ る auth_radius を使用す る 場合は、 こ の設定は こ の ま ま に し ておいて く だ さ い。 • デフ ォ ル ト の iRule であ る auth_radius を使用 し ない場合 は、 作成 し た既存の iRule の名前を選択 し て く だ さ い。 7. [Idle Timeout] 設定では、デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を指定す る 、 も し く は Indefinite を選択 し ます。 8. [Finished] を ク リ ッ ク し ます。 カ ス タ ム RADIUS プ ロ フ ァ イルを作成するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Profiles] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Profile] 画面が表示 さ れます。 4. my_radius_profile な ど、 RADIUS プ ロ フ ァ イ ルの一意の名前 を [Name] 設定に入力 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Type] 設定か ら [RADIUS] を選択 し ます。 画面が拡張 さ れ、 追加の設定が表示 さ れます。 6. [Parent Profile] 設定では、プロ フ ァ イ ルのタ イ プを 指定し ま す。 • 親プ ロ フ ァ イ ルにデフ ォ ル ト のプ ロ フ ァ イ ル radius を使用 す る 場合は、 設定はその ま ま に し ます。 • 親プ ロ フ ァ イ ルにカ ス タ ム プ ロ フ ァ イ ルを使用す る 場合 は、 リ ス ト か ら カ ス タ ム プ ロ フ ァ イ ル名を選択 し ます。 7. [Mode] 設定か ら [Enabled] ま たは [Auto] を選択 し ます。 8. [Configuration] 設定の リ ス ト か ら 構成オブジ ェ ク ト を選択 し ます。 9. [Rule] 設定で認証 iRule を指定 し ます。 • デフ ォ ル ト の iRule であ る auth_radius を使用す る 場合は、 こ の設定は こ の ま ま に し ておいて く だ さ い。 • デフ ォ ル ト の iRule であ る auth_radius を使用 し ない場合 は、 作成 し た既存の iRule の名前を選択 し て く だ さ い。 10. [Idle Timeout] 設定では、デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を指定す る 、 も し く は Indefinite を選択 し ます。 11. [Finished] を ク リ ッ ク し ます。 10 - 14 RADIUS サーバオブジ ェ ク ト と RADIUS 構成オブジ ェ ク ト を作成 し た後、 バーチ ャ ルサーバの [Authentication Profile] 設定を指定 し て、 こ のプ ロ フ ァ イ ルをバーチ ャ ルサーバに割 り 当て る 必要があ り ます。 バーチ ャ ルサーバ設定を設定す る 方法については、 第 2 章 「バーチ ャ ルサーバの設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 15 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 TACACS+ 認証モ ジ ュ ールの実装 TACACS+ 認証モジ ュ ール と は、BIG-IP 経由の ク ラ イ ア ン ト 接続を認 証す る ための機構です。 こ のモジ ュ ールは、 リ モー ト TACACS+ サー バに認証デー タ が格納 さ れてい る 場合に使用 し ます。 こ の場合、 ク ラ イ ア ン ト の資格情報はベーシ ッ ク HTTP 認証 (つま り ユーザ名 と パ ス ワー ド ) に基づ き ます。 TACACS+ 認証モジ ュ ールを実装す る には、 リ モー ト TACACS+ サー バ上のデー タ にア ク セ スす る よ う に BIG-IP を設定す る 必要があ り ま す。 こ の作業は、 次の手順で進め ます。 • TACACS+ 構成オブジ ェ ク ト • TACACS+ プ ロ フ ァ イ ル 重要 TACACS+ オブジ ェ ク ト と プ ロ フ ァ イ ルが作成 さ れ る と 、 BIG-IP はそ れ ら を現在の管理パーテ ィ シ ョ ンに配置 し ます。デフ ォ ル ト プ ロ フ ァ イ ルは常に Common パーテ ィ シ ョ ンに置かれます。 パーテ ィ シ ョ ン の詳細については、『TMOSTM Management Guide for BIG-IP® Systems』 を参照 し て く だ さ い。 こ れ ら のオブジ ェ ク ト を作成 し た後、 TACACS+ プ ロ フ ァ イ ルをバー チ ャ ルサーバに割 り 当て る 必要があ り ます。 注 TACACS+ 認証 オ ブ ジ ェ ク ト の 作成時 に、 設定 ユ ー テ ィ リ テ ィ の [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 TACACS+ 認証オブジ ェ ク ト を作成す る 権限が現在のユーザ ロ ールに付与 さ れていない こ と を示 し ます。 TACACS+ 構成オブ ジ ェ ク ト の作成 TACACS+ 構成オブジェ ク ト を 作成する 場合、さ ま ざ ま な設定を 行う 必 要があり ま す。 表 10.6 (10-17 ページ) は、 TACACS+ 構成オブジェ ク ト を 構成する 設定項目と 値を 示し ま す。こ の表では、[New Authentication Configuration] 画面と 同じ 分類で設定項目を 分け て いま す。 こ のオブ ジェ ク ト を 作成する 詳細な手順については、 「TACACS+ 構成オブジ ェ ク ト を作成す る には」( 10-17 ページ) を 参照し てく ださ い。 10 - 16 設定 説明 デフ ォル ト 値 Name 構成オブジ ェ ク ト の名前を一意で指定 し ます。こ の設定は 必須です。 デフ ォ ル ト 値な し Type 実装す る 認証モ ジ ュ ールの種別 を指定 し ま す。 こ の値は TACACS+ と 指定 し て く だ さ い。 デフ ォ ル ト 値な し Servers TACACS+ サーバのホ ス ト 名ま たは IP ア ド レ ス を指定 し ます。 こ の設定は必須です。 デフ ォ ル ト 値な し Secret サーバ と の間で送受信 さ れ る パケ ッ ト を暗号化す る ま た は復号化す る ための秘密鍵を設定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Confirm Secret [Secret] 設定で指定 さ れた秘密鍵を確認 し ます。 こ の設定 は必須です。 デフ ォ ル ト 値な し Encryption TACACS+ パケ ッ ト の暗号化を有効ま たは無効に し ます。 通常は使用をお勧め し ます。 Enabled Service Name ユーザが使用認証を要求 し てい る サービ ス の名前を指定 し ます。ユーザを何の認証を要求 し てい る か を特定す る こ と で、 認証要求の タ イ プご と に TACACS+ サーバの動作 を変え る こ と がで き ます。 こ の設定は必須です。使用可能 な値は、 slip、 ppp、 arap、 shell、 tty-daemon、 connection、 system、 firewall と な っ てい ます。 デフ ォ ル ト 値な し Protocol Name Service Name 設定で指定 し た値に関連付け る プ ロ ト コ ル を指定 し ます。 こ のプ ロ ト コ ルは、 ク ラ イ ア ン ト 認証ま た はシ ス テ ム ア カ ウ ン テ ィ ン グ で使用 さ れてい る 関連サー ビ ス のサブセ ッ ト と な り ます。 使用可能な値は、 lcp、 ip、 ipx、atalk、vines、lat、 xremote、tn3270、telnet、rlogin、 pad、 vpdn、 ftp、 http、 deccp、 osicp、 unknown と な っ てい ます。 デフ ォ ル ト 値な し Authentication 認証オプシ ョ ン を指定 し ます。 指定で き る 値は、 [Authenticate to first server] と [Authenticate to each server until success] です。 Authenticate to first server Accounting Information 複数の TACACS+ サーバが定義さ れて いて 、 PAM セッ シ ョ ン ア カ ウ ン テ ィ ン グ が有効な 場合、 ア カ ウ ン テ ィ ン グ の開始と 停止のパケ ッ ト を 最初に使用可能な サーバま た は すべて の サ ーバ に 送 信し ま す。 指 定で き る 値 は、 [Send to first available server] と [Send to all servers] です。 Send to first available server Debug Logging SYSLOG デバ ッ グ情報を LOG_DEBUG レベルで有効に し ます。 通常の使用ではお勧め し ません。 Disable 表 10.6 TACACS+ 構成オブジ ェ ク ト の設定 TACACS+ 構成オブ ジ ェ ク ト を作成するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Configurations] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Configuration] 画面が表示 さ れ ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 17 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 4. my_tacacs_config な ど、 構成オブジ ェ ク ト の一意の名前を [Name] 設定に入力 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Type] 設定か ら [TACACS+] を選択 し ます。 画面が拡張 さ れ、 い く つかの設定が表示 さ れ ます。 6. こ こ で表示 さ れ る すべての設定の値を必要に応 じ て変更で き ます。 (高度な設定を行 う には、 [Configuration] の [Advanced] を選 択 し ます) 7. [Finished] を ク リ ッ ク し ます。 TACACS+ プ ロ フ ァ イルの作成 TACACS+ 構成オブジ ェ ク ト を作成 し た後、 TACACS+ プ ロ フ ァ イ ル を作成ま たは設定す る 必要があ り ます。 こ れはデフ ォ ル ト の tacacs+ プ ロ フ ァ イ ルを変更す る か、デフ ォ ル ト のプ ロ フ ァ イ ル設定を継承 し た カ ス タ ム プ ロ フ ァ イ ルを作成 し て行い ます。認証プ ロ フ ァ イ ルの重 要な機能は、 既存の構成オブジ ェ ク ト を参照す る こ と です。 ほ と ん ど の場合、 デ フ ォ ル ト のプ ロ フ ァ イ ル を その ま ま 利用で き ま す。 ただ し 、 デフ ォ ル ト のプ ロ フ ァ イ ルを使用 し た場合で も 、 作成 し た 対応す る 構成オ ブ ジ ェ ク ト を 指定す る よ う にデ フ ォ ル ト の プ ロ フ ァ イ ルを変更す る 必要はあ り ます。 カ ス タ ム プ ロ フ ァ イ ルを作成す る 場合は、新 し いプ ロ フ ァ イ ルで継承 す る 値を含んだ親プ ロ フ ァ イ ル (カ ス タ ム プ ロ フ ァ イ ル ま たはデフ ォ ル ト プ ロ フ ァ イ ルのいずれか) を指定す る 必要があ り ます。 TACACS+ プ ロ フ ァ イ ルを作成す る 場合、 さ ま ざ ま な設定を行 う 必要 があ り ます。 表 10.7 (10-19 ページ) は、 TACACS+ プ ロ フ ァ イ ルを 構成す る 設定項目 と 値を示 し ます。 TACACS+ プ ロ フ ァ イ ルの作成手 順については、 次の 「デフ ォ ル ト の TACACS+ プ ロ フ ァ イ ルを変更す る には」、 ま たは 「 カ ス タ ム TACACS+ プ ロ フ ァ イ ルを作成する には」 (10-20 ページ) を参照 し て く だ さ い。 10 - 18 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Type 実装す る 認証モ ジ ュ ールの種別 を指定 し ま す。 こ の値は TACACS+ と 指定 し て く だ さ い。 デフ ォ ル ト 値な し Parent Profile 値を継承す る プ ロ フ ァ イ ルを指定 し ます。 tacacs+ Mode プ ロ フ ァ イ ルが有効か無効か を指定 し ます。指定で き る 値 は、 [Auto]、 [Enabled]、 お よ び [Disabled] です。 Enabled Configuration 既存の TACACS+ 構成オブジ ェ ク ト を指定 し ます。 デフ ォ ル ト 値な し Rule 既存の認証ルールの名前を指定 し ます。 iRule を指定 し な い場合、BIG-IP は対応す る デフ ォ ル ト iRule を使用 し ます。 auth_tacacs+ Idle Timeout 認証 ま たは承認要求が タ イ ム ア ウ ト にな る ま での待ち時 間を秒数で指定 し ます。デフ ォ ル ト の値を使用す る か、別 の値を指定で き ます。 ま たは Indefinite を選択す る こ と も で き ます。タ イ ム ア ウ ト 値の概要については、第 1 章「 ロ ー カル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 300 表 10.7 TACACS+ プ ロ フ ァ イ ルの設定 デ フ ォル ト の TACACS+ プ ロ フ ァ イルを変更するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Profiles] を選択 し ます。 デフ ォ ル ト の認証プ ロ フ ァ イ ルが一覧表示 さ れます。 3. Name カ ラ ムの [tacacs+] を ク リ ッ ク し ます。 4. [Mode] 設定か ら [Enabled] ま たは [Auto] を選択 し ます。 5. [Configuration] 設定の リ ス ト か ら 構成オブジ ェ ク ト を選択 し ます。 [None] は許可 さ れていない設定です。 6. [Rule] 設定で認証 iRule を指定 し ます。 • デフ ォ ル ト の iRule であ る auth_tacacs を使用す る 場合は、 こ の設定は こ の ま ま に し ておいて く だ さ い。 • デフ ォ ル ト の iRule であ る auth_tacacs を使用 し ない場合 は、 作成 し た既存の iRule の名前を選択 し て く だ さ い。 7. [Idle Timeout] 設定では、デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を指定す る 、 も し く は Indefinite を選択 し ます。 8. [Finished] を ク リ ッ ク し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 19 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 カ ス タ ム TACACS+ プ ロ フ ァ イルを作成するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Profiles] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Profile] 画面が表示 さ れます。 4. プ ロ フ ァ イ ルの一意の名前を [Name] 設定に指定 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Type] 設定か ら [TACACS+] を選択 し ます。 6. [Parent Profile] 設定では、プロ フ ァ イ ルのタ イ プを 指定し ま す。 • 親プ ロ フ ァ イ ルにデフ ォ ル ト のプ ロ フ ァ イ ル tacacs を使用 す る 場合は、 設定はその ま ま に し ます。 • 親プ ロ フ ァ イ ルにカ ス タ ム プ ロ フ ァ イ ルを使用す る 場合 は、 リ ス ト か ら カ ス タ ム プ ロ フ ァ イ ル名を選択 し ます。 7. [Mode] 設定か ら [Enabled] ま たは [Auto] を選択 し ます。 8. [Configuration] 設定の リ ス ト か ら 構成オブジ ェ ク ト を選択 し ます。 9. [Rule] 設定で認証 iRule を指定 し ます。 • デフ ォ ル ト の iRule であ る auth_tacacs を使用す る 場合は、 こ の設定は こ の ま ま に し ておいて く だ さ い。 • デフ ォ ル ト の iRule であ る auth_tacacs を使用 し ない場合 は、 作成 し た既存の iRule の名前を選択 し て く だ さ い。 10. [Idle Timeout] 設定では、デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を指定す る 、 も し く は Indefinite を選択 し ます。 11. [Finished] を ク リ ッ ク し ます。 TACACS+構成オブジ ェ ク ト と TACACS+プ ロ フ ァ イ ルを作成 し た後、 バーチ ャ ルサーバの [Authentication Profile] 設定を指定 し て、 こ のプ ロ フ ァ イ ルをバーチ ャ ルサーバに割 り 当て る 必要があ り ます。 バーチ ャ ルサーバ設定を設定す る 方法については、 第 2 章 「バーチ ャ ルサーバの設定」 を参照 し て く だ さ い。 10 - 20 SSL ク ラ イ ア ン ト 証明書 LDAP 認証モ ジ ュ ールの 実装 SSL ク ラ イ ア ン ト 証明書 LDAP 認証モジ ュ ール と は、 BIG-IP 経由の ク ラ イ ア ン ト 接続を認証ま たは承認す る ための機構です。 SSL ク ラ イ ア ン ト 証明書 LDAP 認証モジ ュ ールを使用す る と 、 リ モー ト LDAP サーバで ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の ア ク セ ス 制御を実行で き ます。 こ のモジ ュ ールは、 SSL 証明書 と 定義済みのユーザグループお よ び ロ ールに基づいて、 こ のア ク セ ス制御を行い ます。 SSL ク ラ イ ア ン ト 証明書 LDAP 認証モジ ュ ールを使用す る と 、BIG-IP は、 承認が成功ま たは失敗 し た こ と や、 LDAP サーバで何 ら かの資格 情報が必要であ る こ と を表示で き ます。 ま た、 シ ス テ ムは、 サーバが LDAP ク エ リ 応答で返 し た情報に基づ いて、 何 ら かの措置を取 る こ と がで き ます。 た と えば、 LDAP 応答情 報では、 ユーザのグループ メ ンバシ ッ プや、 ユーザのパ ス ワー ド の期 限切れな ど を示す こ と がで き ます。BIG-IP が LDAP 応答で特定のデー タ を返す よ う に設定す る には、 コ マ ン ド AUTH::subscribe、 AUTH::unsubscribe、 お よ び AUTH::result-data を使用 し て、 iRule を 作成 し ま す。 詳細につい ては、 第 17 章 「iRule の記述」 の章 と 、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 を参照 し て く だ さ い。 重要 SSL ク ラ イ ア ン ト 証明書 LDAP 認証モジ ュ ールを実装す る 前に、Client SSL プ ロ フ ァ イ ルを設定 し て実装す る必要があ り ます。 Client SSL プ ロ フ ァ イ ルを作成す る場合、[Client Certificate] プ ロ パテ ィ を [Require] ま たは [Auto] のいずれかに設定す る こ と をお勧め し ます。 こ のプ ロ パテ ィ を [Ignore] ま たは [Request] に設定す る と 、 SSL 接続が切断 さ れ る場合があ り ます。Client Certificate 設定の説明については、第 9 章 「SSL ト ラ フ ィ ッ ク の管理」 を参照 し て く だ さ い。 SSL ク ラ イ ア ン ト 証明書認証 と は SSL ク ラ イ ア ン ト 証明書 LDAP 認証では、 BIG-IP は信頼で き る 認証 局に よ っ て発行 さ れた署名入 り の ク ラ イ ア ン ト 証明書に基づいて ク ラ イ ア ン ト を承認で き ます。さ ら にグループ と ロ ールを指定す る こ と で、ク ラ イ ア ン ト リ ク エ ス ト を承認す る シ ス テ ムの機能を強化で き ま す。 証明書の他に グループ と ロ ール も 承認の判断基準 と す る こ と に よ っ て、シ ス テ ム リ ソ ースへの ク ラ イ ア ン ト ア ク セ ス を フ レ キ シブル に管理で き ます。 SSL ク ラ イ ア ン ト 証明書 LDAP モジ ュ ールを実装す る 前に、 2 種類の 資格情報について理解す る 必要があ り ます。 BIG-IP は こ れ ら の資格 情報を使用 し て リ モー ト LDAP サーバ上のデー タ を使用す る アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク を承認 し ます。こ れ ら の 2 種類の資格情報は 次の と お り です。 • SSL 証明書 • グループ と ロ ール BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 21 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 LDAP 認証に SSL 証明書を使用する ク ラ イ ア ン ト の承認中には、 BIG-IP は LDAP デー タ ベース を検索す る 必要があ り ます。 証明書ベース の承認を利用 し た場合、 シ ス テ ムは 次の 3 と お り の方法で LDAP デー タ ベース を検索で き ます。 ◆ ユーザ 証明書が LDAP デー タ ベース に格納 さ れていない場合は、 受信 し た ク ラ イ ア ン ト リ ク エ ス ト の一部 と し て示 さ れ る 証明書か ら ユー ザの名前を抽出す る よ う にシ ス テ ム を設定で き ま す。 シ ス テ ム は ユーザについてのエ ン ト リ が LDAP デー タ ベース に存在す る か ど う か を チ ェ ッ ク し ま す。 こ のシナ リ オは、 独自の認証局を持つ会 社に適 し てい ま す。 証明書が検証 さ れ、 その後ユーザが承認 さ れ た こ と が確認で き る ためです。 ◆ 証明書マ ッ プ 証明書 を LDAP デー タ ベー ス 内のユーザにマ ッ ピ ン グす る オブ ジ ェ ク ト と ク ラ ス を作成 し た場合、 マ ッ プ内の証明書を検索 し て マ ッ プか ら ユーザ を取得す る よ う にシ ス テ ム を設定で き ま す。 こ の と き シ ス テ ム は、 LDAP デー タ ベー ス 内のユーザが有効なユー ザであ る こ と を確認 し ます。 ◆ 証明書 多 く の LDAP サーバ環境では、 既に証明書は LDAP デー タ ベース に格納 さ れ る ユーザ情報に組み込 ま れてい ま す。 LDAP サーバ環 境で承認を設定す る 1 つの方法は、 ク ラ イ ア ン ト リ ク エ ス ト に関 連付け ら れたユーザに対 し て、受信 し た証明書を LDAP デー タ ベー ス に格納 さ れてい る 証明書 と 比較す る よ う にシ ス テ ム を設定す る こ と です。 証明書がユーザの LDAP プ ロ フ ァ イ ルで見つか っ た場 合、 ユーザにア ク セ ス許可が与え ら れ、 要求が許諾 さ れ ます。 実行 さ れ る 証明書ベース の承認の種類 と 関係な く 、プ ロ セ ス に よ っ て 表 10.8 に示す よ う な結果が生 じ ます。 検索結果 承認の状態 No records match 承認は失敗 し てい ます。 One record matches 承認は成功 し 、 グループ と ロ ールが対象 と な り ます。 Two or more records match 無効なデー タ ベース エ ン ト リ に よ っ て承認は失敗 し てい ます。 表 10.8 検索結果 と 対応す る承認ス テー タ ス 10 - 22 LDAP 承認にグループ と ロールを使用 証明書ベース の承認を有効にす る こ と に加え て、グループ と ロ ールに 基づいた承認を設定す る こ と も で き ます。 ◆ グループ LDAP サーバには既にグループの概念 と 構造が組み込 ま れてい る ため、BIG-IP はその承認機能にグループ を含め る こ と がで き ます。 承認目的で グ ループ を 使用で き る よ う にす る には、 シ ス テ ム が LDAP デー タ ベー ス のグループ を検索す る 検索ベー ス と 範囲を示 す必要が あ り ま す。 ま た、 グループ名 と メ ン バ名の設定値を指定 す る 必要が あ り ま す。 こ れ ら の作業を完了す る と 、 シ ス テ ム は現 在の ユーザ を メ ン バ と し て い る グ ループ が見つか る ま で有効 グ ループの リ ス ト を検索で き ます。 BIG-IP ユーザア カ ウ ン ト に対す る グ ルー プ 全体 の 特権 の 割 り 当 て に つ い て は、 『BIG-IP® Local Traffic Manager:Implementations』 を参照 し て く だ さ い。 ◆ ロ ール グループ と は異な り 、 ロ ールはユーザに直接関連付け ら れた設定 です。 BIG-IP が実行す る ロ ールベース の承認は、 すべて ロ ールの 概念が組み込ま れた LDAP デー タ ベース に依存 し ます。 リ ソ ース への ア ク セ ス を ユーザに許可す る べ き か ど う か を 決定す る た め に、 BIG-IP はユーザに割 り 当て ら れた ロ ールを検索 し 、 その ロ ー ル を管理者に よ っ て定義 さ れた有効な ロ ール と 照合 し 、 一致す る か ど う か を調べます。 BIG-IP ユーザア カ ウ ン ト に対す る グループ 全体の特権の割 り 当てについては、 『BIG-IP® Local Traffic Manager: Implementations』 を参照 し て く だ さ い。 SSL ク ラ イ ア ン ト 証明書 LDAP 認証を実装す る には、 リ モー ト LDAP サーバ上のデー タ にア ク セ スす る よ う に BIG-IP を設定す る 必要があ り ます。 こ の作業は、 次の手順で進め ます。 • SSL ク ラ イ ア ン ト 証明書 LDAP 構成オブジ ェ ク ト • SSL ク ラ イ ア ン ト 証明書 LDAP プ ロ フ ァ イ ル 重要 SSL Client Certificate LDAP オブジ ェ ク ト と プ ロ フ ァ イ ルが作成 さ れ る と 、 BIG-IP はそれ ら を現在の管理パーテ ィ シ ョ ン に配置 し ます。 デ フ ォ ル ト プ ロ フ ァ イ ルは常に Common パーテ ィ シ ョ ンに置かれます。 パーテ ィ シ ョ ン の詳細につい ては、 『TMOSTM Management Guide for BIG-IP® Systems』 を参照 し て く だ さ い。 こ れ ら のオブジ ェ ク ト を作成 し た後、 SSL ク ラ イ ア ン ト 証明書 LDAP プ ロ フ ァ イ ルをバーチ ャ ルサーバに割 り 当て る 必要があ り ます。 注 SSL ク ラ イ ア ン ト 証明書 LDAP 認証オブジ ェ ク ト の作成時に、 設定 ユーテ ィ リ テ ィ の [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 SSL ク ラ イ ア ン ト 証明書 LDAP 認証オブジ ェ ク ト を作成す る 権限が現在の ユーザ ロ ールに付与 さ れていない こ と を示 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 23 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 SSL ク ラ イ ア ン ト 証明書 LDAP 構成オブ ジ ェ ク ト の作成 SSL ク ラ イ ア ン ト 証明書 LDAP 構成オブジ ェ ク ト は、一連のデー タ と 命令で構成 さ れて い ま す。 こ れ ら は対応す る 外部 LDAP サーバが BIG-IP か ら 承認要求を サービ スす る 際に必要 と し ます。 SSL ク ラ イ ア ン ト 証明書 LDAP 構成オブジ ェ ク ト を作成す る 場合、さ ま ざ ま な設定を行 う 必要があ り ます。 表 10.9 は、 こ の構成オブジ ェ ク ト で指定で き る 設定の一覧 と そ の説明です。 こ の表で は、 [New Authentication Configuration] 画面 と 同 じ 分類で設定項目を分けてい ま す。 こ のオブジ ェ ク ト を設定す る 詳細な手順については、 「SSL ク ラ イ ア ン ト 証明書 LDAP 構成オブジ ェ ク ト を作成す る には」(10-26 ペー ジ) を参照 し て く だ さ い。 設定 説明 デ フ ォル ト 値 Name 構成オブジ ェ ク ト の名前を一意で指定 し ま す。 こ の 設定は必須です。 デフ ォ ル ト 値な し Type 実装する認証モジ ュールの種別を指定し ます。 こ の値 は SSL Client Certificate LDAP と 指定し て く だ さ い。 デフ ォ ル ト 値な し Hosts BIG-IP が認証デー タ の取得に使用す る LDAP サーバ のポー ト 番号を含む IP ア ド レ ス を一覧 し ます。 デフ ォ ル ト 値な し Search Type シ ス テ ムが LDAP デー タ ベース の検索時に使用す る 証明書ベース の承認方法を指定 し ます (「LDAP 認証 に SSL 証明書を使用する 」 (10-22 ページ) を参照)。 指定で き る 値は、 [User]、 [Certificate Map]、 お よ び [Certificate] です。 User User Base DN User と Certificate 検索 タ イ プに よ っ て使用 さ れ る サ ブ ツ リ ーの検索ベース を指定 し ます。 一般的な検索ベース は ou=people,dc=company,dc=com です。 こ の設定は必 須です。 詳細については、 Search Type の設定を参照 し て く だ さ い。 デフ ォ ル ト 値な し User Key ユーザ ID を指定す る LDAP デー タ ベース内の属性名 を指定 し ます。 User と Certificate の検索 タ イ プで使 用 さ れます。 よ く 使われ る User Key 値は uid な ど で す。 こ の設定は必須です。 詳細については、 Search Type の設定を参照 し て く だ さ い。 デフ ォ ル ト 値な し Object Class ユーザ認証方法を指定 し ま す。 こ の設定は、 検索 タ イ プ を[Certificate]に設定 し てい る 場合にだけ表示 さ れます。 StrongAuthenticationUser Certificate Map Base DN Certificate Map 検索 タ イ プに よ っ て使用 さ れ る サブ ツ リ ーの検索ベース を指定 し ます。 一般的な検索ベース は ou=people,dc=company,dc=com です。 こ の設定は必 須です。 詳細については、 Search Type の設定を参照 し て く だ さ い。 デフ ォ ル ト 値な し 表 10.9 SSL ク ラ イ ア ン ト 証明書 LDAP 構成オブジ ェ ク ト の設定 10 - 24 設定 説明 デフ ォル ト 値 Certificate Map Key ユーザ ID を指定す る LDAP デー タ ベース内の属性名 を指定 し ます。Cetificate Map 検索 タ イ プで使用 さ れ ます。 よ く 使われ る User Key 値は uid な ど です。 こ の設定は必須です。 詳細については、 Search Type の 設定を参照 し て く だ さ い。 デフ ォ ル ト 値な し Use Serial Certificate Map Certificate Map 検索 タ イ プ を選択 し た場合に、 サブ ジ ェ ク ト ではな く ク ラ イ ア ン ト 証明書のシ リ アル番 号が使用 さ れ る よ う に し ます。 Disabled Cache Size SSL セ ッ シ ョ ン キ ャ ッ シ ュ に可能な最大サ イ ズ を指 定 し ます。 こ の値を 0 に設定す る と 、SSL セ ッ シ ョ ン のキ ャ ッ シ ン グは無効化 さ れます。 20000 Cache Timeout ネ ゴ シエーシ ョ ン可能な SSL セ ッ シ ョ ン ID の使用 可能な継続期間を秒で指定 し ま す。 こ の期間が過ぎ る と 、 ク ラ イ ア ン ト は新 し い セ ッ シ ョ ン と ネ ゴ シ エー ト す る 必要があ り ます。 300 Secure BIG-IP にシ ス テ ム と LDAP サーバ と の間の安全な通 信 (つま り 、SSL/TLS) を使用す る よ う に指示 し ます。 Disabled Admin DN 検索を実行す る ためにバ イ ン ド す る ア カ ウ ン ト の識 別名を指定 し ま す。 こ の 検索 ア カ ウ ン ト は、 検索を 実行す る ために使用 さ れ る 読み取 り 専用ア カ ウ ン ト です。 管理者ア カ ウ ン ト も 検索 ア カ ウ ン ト と し て利 用で き ます。. 管理者の識別名が指定 さ れていない場 合、 バ イ ン ド は試行 さ れ ま せん。 サ イ ト で匿名での 検索が許可 さ れていない場合のみ、 こ の設定を行っ て く だ さ い。 デフ ォ ル ト 値な し Admin Password LDAP サーバ上に作成 さ れ る 検索 ア カ ウ ン ト のパ ス ワー ド を指定 し ます。 デフ ォ ル ト 値な し Confirm Admin Password LDAP サーバ上に作成 さ れ る 検索 ア カ ウ ン ト に指定 さ れてい る パ ス ワー ド を確認 し ます。 デフ ォ ル ト 値な し Group Base DN グループ検索に よ っ て使用 さ れ る サブ ツ リ ーの検索 ベー ス を 指定 し ま す。 こ の パ ラ メ ー タ は有効 な グ ループ を指定 し た場合にだけ使用 さ れ ま す。 一般的 な検索ベース はou=people,dc=company,dc=comです。 デフ ォ ル ト 値な し Group Key グ ル ー プ サ ブ ツ リ ー内 の グ ル ー プ 名 を 指定す る 、 LDAP デー タ ベース内の属性名を示 し ます。 デフ ォ ル ト 値な し Group Member Key グループの メ ンバ (DN) を指定す る 、 LDAP デー タ ベース内の属性名を示 し ます。 デフ ォ ル ト 値な し Valid Groups 承認 さ れ る た め に ユ ーザ が 所属す る 必要の あ る グ ループの リ ス ト を指定し ます。 こ のオプシ ョ ンは複数 回指定で き ます。 ク ラ イ ア ン ト は、 文字列で指定さ れ た 1 つのグループの メ ンバであれば承認さ れます。 デフ ォ ル ト 値な し Role Key ユーザの承認 ロ ールを指定す る 、 LDAP デー タ ベー ス 内の属性名を示 し ま す。 こ のキーは有効な ロ ール を使用 し てい る 場合にだけ使用 さ れ ま す (次のエ ン ト リ の説明の と お り )。 デフ ォ ル ト 値な し 表 10.9 SSL ク ラ イ ア ン ト 証明書 LDAP 構成オブジ ェ ク ト の設定 (続き ) BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 25 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 設定 説明 デ フ ォル ト 値 Valid Roles ロ ールの リ ス ト を指定 し ま す。 ユーザは、 承認 さ れ る ために こ れ ら の ロ ールの 1 つに割 り 当て ら れ る 必 要が あ り ま す。 こ の リ ス ト では、 有効な ロ ールが ス ペー ス で区切 ら れてい ま す。 こ のオプシ ョ ンは複数 回指定で き ま す。 ク ラ イ ア ン ト は、 文字列で指定 さ れた 1 つの ロ ールの メ ンバであれば承認 さ れます。 デフ ォ ル ト 値な し 表 10.9 SSL ク ラ イ ア ン ト 証明書 LDAP 構成オブジ ェ ク ト の設定 (続 き ) SSL ク ラ イ ア ン ト 証明書 LDAP 構成オブ ジ ェ ク ト を作成する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Configurations] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Configuration] 画面が表示 さ れ ます。 4. 構成オブジ ェ ク ト の一意の名前を [Name] 設定に指定 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Type] 設定か ら [SSL Client Certificate LDAP] を選択 し ます。 6. その他のすべての設定の値を必要に応 じ て変更で き ます。 (高 度な設定を行 う には、 [Configuration] の [Advanced] を選択 し ます) 7. [Finished] を ク リ ッ ク し ます。 SSL ク ラ イ ア ン ト 証明書 LDAP 承認プ ロ フ ァ イルの作成 SSL ク ラ イ ア ン ト 証明書 LDAP 構成オブジ ェ ク ト を作成 し た後、対応 す る プ ロ フ ァ イ ル を 作成 ま たは設定す る 必要が あ り ま す。 こ れはデ フ ォ ル ト の ssl_cc_ldap プ ロ フ ァ イ ルを変更す る か、 デフ ォ ル ト のプ ロ フ ァ イ ル設定を継承 し た カ ス タ ム プ ロ フ ァ イ ル を作成 し て行い ま す。 認証プ ロ フ ァ イ ルの重要な機能は、 既存の構成オブジ ェ ク ト を参 照す る こ と です。 ほ と ん ど の場合、 デ フ ォ ル ト のプ ロ フ ァ イ ル を その ま ま 利用で き ま す。 ただ し 、 デフ ォ ル ト のプ ロ フ ァ イ ルを使用 し た場合で も 、 作成 し た 対応す る 構成オ ブ ジ ェ ク ト を 指定す る よ う にデ フ ォ ル ト の プ ロ フ ァ イ ルを変更す る 必要はあ り ます。 カ ス タ ム プ ロ フ ァ イ ルを作成す る 場合は、新 し いプ ロ フ ァ イ ルで継承 す る 値を含んだ親プ ロ フ ァ イ ル (カ ス タ ム プ ロ フ ァ イ ル ま たはデフ ォ ル ト プ ロ フ ァ イ ルのいずれか) を指定す る 必要があ り ます。 SSL ク ラ イ ア ン ト 証明書 LDAP プ ロ フ ァ イ ルを作成す る 場合、さ ま ざ ま な設定を行 う 必要があ り ます。 表 10.10 は、 SSL ク ラ イ ア ン ト 証明 書 LDAP プ ロ フ ァ イ ルを構成す る 設定項目 と 値を示 し ます。 こ の タ イ プのプ ロ フ ァ イ ルを作成す る 詳細な手順については、 10 - 26 次の「デフ ォ ル ト の SSL ク ラ イ ア ン ト 証明書 LDAP プ ロ フ ァ イ ルを変 更す る には」、 ま たは 「 カ ス タ ム SSL ク ラ イ ア ン ト 証明書 LDAP プ ロ フ ァ イ ルを作成す る には」 (10-28 ページ) を参照 し て く だ さ い。 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Type 実装す る 認証モ ジ ュ ールの種別 を指定 し ま す。 こ の値は LDAP (SSL Client Certificate) と 指定 し て く だ さ い。 デフ ォ ル ト 値な し Parent Profile 値を継承す る プ ロ フ ァ イ ルを指定 し ます。 ssl_cc_ldap Mode プ ロ フ ァ イ ルが有効か無効か を指定 し ます。指定で き る 値 は、 [Auto]、 [Enabled]、 お よ び [Disabled] です。 Enabled Configuration SSL ク ラ イ ア ン ト 証明書 LDAP 構成オブジ ェ ク ト の作成 デフ ォ ル ト 値な し Rule 既存の認証 iRule の名前を指定 し ます。 iRule を指定 し な い場合、BIG-IP は対応す る デフ ォ ル ト iRule を使用 し ます。 auth_ssl_cc_ldap Idle Timeout 承認要求が タ イ ム ア ウ ト に な る ま での待ち時間を秒数で 指定 し ます。デフ ォ ル ト の値を使用す る か、別の値を指定 で き ます。 ま たは Indefinite を選択す る こ と も で き ます。 タ イ ム ア ウ ト 値の概要については、第 1 章 「 ロ ーカル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 300 表 10.10 SSL ク ラ イ ア ン ト 証明書 LDAP プ ロ フ ァ イ ルの設定 デ フ ォル ト の SSL ク ラ イ ア ン ト 証明書 LDAP プ ロ フ ァ イルを 変更する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Profiles] を選択 し ます。 デフ ォ ル ト の認証プ ロ フ ァ イ ルが一覧表示 さ れます。 3. Name カ ラ ムの [ssl_cc_ldap] を ク リ ッ ク し ます。 4. [Mode] 設定か ら [Enabled] ま たは [Auto] を選択 し ます。 5. [Configuration] 設定の リ ス ト か ら 構成オブジ ェ ク ト を選択 し ます。 [None] は許可 さ れていない設定です。 6. [Rule] 設定で認証 iRule を指定 し ます。 • デフ ォ ル ト の iRule であ る auth_ssl_cc_ldap を使用す る 場 合は、 こ の設定は こ の ま ま に し ておいて く だ さ い。 • デフ ォ ル ト の iRule であ る auth_ssl_cc_ldap を使用 し ない 場合は、 作成 し た既存の iRule の名前を選択 し て く だ さ い。 7. [Idle Timeout] 設定では、デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を指定す る 、 も し く は Indefinite を選択 し ます。 8. [Finished] を ク リ ッ ク し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 27 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 カ ス タ ム SSL ク ラ イ ア ン ト 証明書 LDAP プ ロ フ ァ イルを作成 する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Profiles] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Profile] 画面が表示 さ れます。 4. プ ロ フ ァ イ ルの一意の名前を [Name] 設定に指定 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Type] 設定か ら [SSL Client Certificate LDAP] を選択 し ます。 6. [Parent Profile] 設定では、プロ フ ァ イ ルのタ イ プを 指定し ま す。 • 親プ ロ フ ァ イ ルにデフ ォ ル ト のプ ロ フ ァ イ ル ssl_cc_ldap を使用す る 場合は、 設定はその ま ま に し ます。 • 親プ ロ フ ァ イ ルにカ ス タ ム プ ロ フ ァ イ ルを使用す る 場合 は、 リ ス ト か ら カ ス タ ム プ ロ フ ァ イ ル名を選択 し ます。 7. [Mode] 設定の画面右側にあ る [Custom] ボ ッ ク ス を ク リ ッ ク し 、 [Enabled] ま たは [Auto] を選択 し ます。 8. [Configuration] 設定の画面右側にあ る [Custom] ボ ッ ク ス を ク リ ッ ク し リ ス ト か ら 構成オブジ ェ ク ト を選択 し ます。 9. [Rule] 設定の画面右側にあ る [Custom] ボ ッ ク ス を ク リ ッ ク し 、 認証 iRule を指定 し ます。 • デフ ォ ル ト の iRule であ る auth_ssl_cc_ldap を使用す る 場 合は、 こ の設定は こ の ま ま に し ておいて く だ さ い。 • デフ ォ ル ト の iRule であ る auth_ssl_cc_ldap を使用 し ない 場合は、 作成 し た既存の iRule の名前を選択 し て く だ さ い。 10. [Idle Timeout] 設定では、デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を指定す る 、 も し く は Indefinite を選択 し ます。 11. [Finished] を ク リ ッ ク し ます。 SSL ク ラ イ ア ン ト 証明書 LDAP 構成オブジ ェ ク ト と SSL ク ラ イ ア ン ト 証明書 LDAP プ ロ フ ァ イ ル を 作成 し た後、 バーチ ャ ルサーバの [Authentication Profile] 設定 を 指定 し て、 こ の プ ロ フ ァ イ ル を バー チ ャ ルサーバに割 り 当て る 必要があ り ます。 10 - 28 SSL OCSP 認証モ ジ ュ ールの実装 SSL OCSP 認証モジ ュ ール と は、BIG-IP 経由の ク ラ イ ア ン ト 接続を認 証す る た めの機構です。 さ ら に具体的に言 う と 、 SSL OCSP 認証モ ジ ュ ールは、SSL 証明書の失効状態を その証明書の認証の一部 と し て チ ェ ッ ク し ます。 Online Certificate Status Protocol (OCSP) は、 公開鍵テ ク ノ ロ ジ を使用 し た場合に証明書失効 リ ス ト (CRL) の代替策を提供す る サー ド パー テ ィ ソ フ ト ウ ェ ア アプ リ ケーシ ョ ンお よ び業界標準プ ロ ト コ ルです。 CRL は、 サーバシ ス テ ム が ク ラ イ ア ン ト 証明書の検証のプ ロ セ ス 中 にチ ェ ッ ク で き る 、 失効 し た ク ラ イ ア ン ト 証明書の リ ス ト です。 SSL 証明書の失効状態を確認す る メ カ ニ ズ ム と し て CRL ではな く OCSP を使用す る 場合は、 SSL OCSP 認証モジ ュ ールを実装 し て く だ さ い。 BIG-IP は CRL と OCSP プ ロ ト コ ルの両方を サポー ト し ます。 OCSP の代わ り に CRL を使用す る 場合は、 SSL プ ロ フ ァ イ ルを設定 し て く だ さ い。 CRL の詳細は、 第 9 章 「SSL ト ラ フ ィ ッ ク の管理」 を参照 し て く だ さ い。 OCSP の詳細は、 RFC2560 (URL: http://www.ietf.org) を参照 し て く だ さ い。 OCSP の概要 OCSP を使用 し て ク ラ イ ア ン ト 証明書の失効状態を確認す る こ と は、 CRL を使用す る よ り も かな り の利点があ り ます。 こ こ では、 CRL と OCSP と の違い、 お よ び OCSP が動作す る 方法について説明 し ます。 CRL の制限 ク ラ イ ア ン ト 証明書 と 共に表示 さ れ る 場合、 BIG-IP では証明書を受 け入れて、 タ ーゲ ッ ト サーバへの接続を転送す る 前に、 その証明書の 失効状態を調べ る 必要があ り ます。失効状態を評価す る 標準的な方法 は CRL であ り 、 こ れは設定内の各マシ ン上の別個の CRL フ ァ イ ルに 格納 さ れます。 CRL は SSL 証明書の失効状態を調べ る 標準的な方法 と 考え ら れてい ますが、 CRL の更新は一定の間隔ご と にのみ実施 さ れ る ため、状態チ ェ ッ ク が行われた時点では CRL内の情報が古 く な っ てい る と い う リ ス ク があ り ます。 ま た、 各マシ ン に別々の CRL フ ァ イ ルを格納 さ せ る 場合、 他に も 次 の よ う な制限があ り ます。 • すべての CRL フ ァ イ ルは同期を保持す る 必要があ り ます。 • 各マシ ン に別々の CRL フ ァ イ ルを持つ こ と でセキ ュ リ テ ィ 上の リ ス ク が生 じ ます。 • 複数の CRL フ ァ イ ルを一元管理す る こ と がで き ません。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 29 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 OCSP の利点 OCSP に よ っ て、BIG-IP は証明書検証プ ロ セ ス中に リ アル タ イ ムの失 効状態を必ず取得 し ます。 OCSP は ク ラ イ ア ン ト / サーバモデルに基づ き ます。こ こ で ク ラ イ ア ン ト シ ス テ ムは証明書の失効状態を要求 し 、サーバシ ス テ ムはその応答 を送信 し ます。 こ の よ う に、SSL OCSP 認証モジ ュ ールを実装す る と 、 BIG-IP は OCSP ク ラ イ ア ン ト と し て動作 し 、OSCP レ ス ポ ン ダ と 呼ば れ る 外部シ ス テ ム は OCSP サーバ と し て動作 し ま す。 し た が っ て、 OCSP レ ス ポ ン ダ は証明書の失効状態を要求時に BIG-IP に送信す る 外部サーバです。 OCSP が動作する仕組み 通常、 SSL 証明書を ク ラ イ ア ン ト アプ リ ケーシ ョ ン か ら 受信 し た後、 BIG-IP (OCSP ク ラ イ ア ン ト と し て動作す る ) は、 OCSP レ ス ポ ン ダ か ら 証明書失効状態を要求 し 、レ ス ポ ン ダか ら 状態を受信す る ま で接 続を ブ ロ ッ ク し ます。レ ス ポ ン ダか ら の状態で証明書が失効 し てい る こ と がわか る と 、 BIG-IP は証明書を拒否 し 、 接続を拒否 し ます。 レ ス ポ ン ダ か ら の 状態 で 証明書 が ま だ 有効 で あ る こ と が わ か る と 、 BIG-IP は通常の証明書検証プ ロ セ ス を継続 し 、 ク ラ イ ア ン ト アプ リ ケーシ ョ ン を認証 し ます。 よ り 具体的には、アプ リ ケーシ ョ ン ク ラ イ ア ン ト が認証のための証明 書を送信す る と 、 BIG-IP は以下のプ ロ セ ス に従い ます。 • まず、 BIG-IP は証明書の署名者が信頼で き る 認証局の フ ァ イ ルに 一覧 さ れてい る こ と を確認 し ます。 • 証明書が リ ス ト にあ る 場合、 BIG-IP は証明書が失効 し ていないか ど う か を確認 し ます。 OCSP な し で、 CRL オプシ ョ ン が BIG-IP に 設定 さ れてい る 場合、 BIG-IP は証明書失効 リ ス ト (CRL) を読み 取 り 失効状態を確認 し ます。 ただ し 、 OCSP があ る 場合、 BIG-IP は CRL をバ イ パ ス し 、 適切な OCSP レ ス ポ ン ダに失効状態の要求を 送信す る 準備を し ます。 • 次に BIG-IP は、 最初の レ ス ポ ン ダが ク ラ イ ア ン ト 証明書に署名 し た認証局 と 一致 し ていない場合で も 、 その レ ス ポ ン ダに ク エ リ を 送信 し ま す。 ただ し 、 接続エ ラ ーに よ っ て最初の レ ス ポ ン ダ と の 接続に失敗 し た場合は、 次の レ ス ポ ン ダに ク エ リ が送信 さ れ ます。 • 次に BIG-IP は認証局を SSL OCSP プ ロ フ ァ イ ルに一覧 さ れてい る CA と 照合 し 、 一致す る か ど う か調べます。 • 一致す る 場合、 BIG-IP は ク ラ イ ア ン ト 証明書の [AuthorityInfoAccess (AIA) ] フ ィ ール ド (フ ィ ール ド が存在す る 場合) 内の対象 URL を確認 し 、 その URL を使用 し て証明書失効 状態の要求を OCSP レ ス ポ ン ダに送信 し ます。 • [Ignore AIA] パ ラ メ ー タ が SSL OCSP プ ロ フ ァ イ ル内で有効化 さ れ てい る 場合、 BIG-IP は代わ り に一致す る SSL OCSP プ ロ フ ァ イ ル の url パ ラ メ ー タ に指定 さ れてい る URL を使用 し て、 証明書失効 状態の要求を送信 し ます。 10 - 30 • 一致がない場合、 BIG-IP はシ ス テ ム に定義 さ れてい る 別の SSL OCSP プ ロ フ ァ イ ルの calist 設定を確認 し ます。すべての SSL OCSP プ ロ フ ァ イ ルが確認 さ れ、 一致が見つか ら ない場合、 証明書の検 証は失敗 し 、BIG-IP は元の ク ラ イ ア ン ト リ ク エ ス ト を拒否 し ます。 • BIG-IP は レ ス ポ ン ダか ら 証明書失効状態を受け取 る と 、 元の ク ラ イ ア ン ト リ ク エ ス ト に証明書状態ヘ ッ ダ を挿入 し ます (BIG-IP が その よ う に設定 さ れてい る 場合)。 証明書状態ヘ ッ ダの名前は、 SSLClientCertificateStatus です。 ヘ ッ ダ の詳細は、 次の 「BIG-IP プ ロ フ ァ イ ルの前提条件」 を参照 し て く だ さ い。 SSL OCSP 認証モジ ュ ールを実装す る には、 リ モー ト OCSP サーバ上 のデー タ にア ク セ ス す る よ う に BIG-IP を設定す る 必要があ り ます。 こ の作業は、 次の手順で進め ます。 • SSL OCSP レ ス ポ ン ダオブジ ェ ク ト を作成す る • SSL OCSP 構成オブジ ェ ク ト を作成す る • SSL OCSP プ ロ フ ァ イ ルを作成す る 重要 SSL OCSP オブジ ェ ク ト と プ ロ フ ァ イ ルが作成 さ れ る と 、 BIG-IP はそ れ ら を現在の管理パーテ ィ シ ョ ンに配置 し ます。デフ ォ ル ト プ ロ フ ァ イ ルは常に Common パーテ ィ シ ョ ンに置かれます。 パーテ ィ シ ョ ン の詳細については、『TMOSTM Management Guide for BIG-IP® Systems』 を参照 し て く だ さ い。 こ れ ら のオブジ ェ ク ト を作成 し た後、 OCSP プ ロ フ ァ イ ルをバーチ ャ ルサーバに割 り 当て る 必要があ り ます。 1 つの SSL OCSP プ ロ フ ァ イ ルは特定の レ ス ポ ン ダ を タ ーゲ ッ ト と す る こ と がで き 、 複数の SSL OCSP プ ロ フ ァ イ ルは同 じ レ ス ポ ン ダ を タ ーゲ ッ ト と す る こ と がで き ます。 各レ ス ポ ン ダ自身は認証局 (CA) に関連付け ら れ、複数の レ ス ポ ン ダに同 じ CA を関連付け る こ と がで き ます。 注 BIG-IP では、 CRL オプシ ョ ン と OCSP オプシ ョ ンの両方を有効にで き ます。 ほん と ん ど のユーザは両方を有効す る 必要はな く 、 ど ち ら か 一方を有効にすればすみます。 ただ し 、 両方のオプシ ョ ン を有効にす る必要のあ る まれな ケース では、CRL フ ァ イ ルの検索 と レ ス ポ ン ダへ の接続の両方が う ま く い く 必要があ り ます。 そ う でない場合、 BIG-IP は状態を取得で き ません。 BIG-IP プ ロ フ ァ イルの前提条件 SSL OCSP 認証モジ ュ ールの設定では、 OCSP レ ス ポ ン ダオブジ ェ ク ト と SSL OCSP プ ロ フ ァ イ ルだけでな く 、他に HTTP と Client SSL と い う 2 つのプ ロ フ ァ イ ル も 作成す る 必要があ り ます。 Client SSL プ ロ フ ァ イ ルを作成す る 場合、 証明書を要求す る プ ロ フ ァ イ ルを設定す る こ と をお勧め し ます。 こ れに よ っ て、 [SSLClientCertificateStatus] ヘ ッ ダの BIG-IP の使用が最適化 さ れ ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 31 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 BIG-IP は ク ラ イ ア ン ト リ ク エ ス ト にヘ ッ ダ を挿入す る よ う に (HTTP プ ロ フ ァ イ ル ま たは iRule を介 し て) 事前設定 さ れてい る 場合のみ こ のヘ ッ ダ を挿入 し ます。 次のセ ク シ ョ ン では、 OCSP レ ス ポ ン ダオブジ ェ ク ト 、 SSL OCSP 構 成オブジ ェ ク ト 、お よ び SSL OCSP プ ロ フ ァ イ ルを作成す る 方法につ いて説明 し ます。 注 SSL OCSP 認証 オ ブ ジ ェ ク ト の 作成時 に、 設定 ユ ー テ ィ リ テ ィ の [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 SSL OCSP 認証オブジ ェ ク ト を作成す る 権限が現在のユーザ ロ ールに付与 さ れていない こ と を示 し ます。 OCSP レ スポン ダオブ ジ ェ ク ト の作成 OCSP レ ス ポン ダオブジェ ク ト と は、 外部 OCSP レ ス ポン ダの URL を 含める よ う に作成さ れる オブジェ ク ト です。 外部 OCSP レ ス ポン ダご と に別個の OCSP レ ス ポン ダオブジェ ク ト を 作成する 必要があり ま す。 続けて OCSP 構成オブジ ェ ク ト を作成す る と 、構成オブジ ェ ク ト には 作成 し た OCSP レ ス ポ ン ダオブジ ェ ク ト への参照が含まれます。 OCSP レ ス ポ ン ダオブジ ェ ク ト を作成す る 場合、 い く つかの設定を行 う 必要があ り ます。 表 10.11 は、 SSL OCSP レ ス ポ ン ダオブジ ェ ク ト を構成す る 設定項目 と 値を示 し ます。こ のオブジ ェ ク ト を作成す る 詳 細な手順については、 「OCSP レ ス ポ ン ダオブジ ェ ク ト を作成す る に は」 (10-34 ページ) を参照 し て く だ さ い。 設定 説明 デフ ォル ト 値 Name 構成オブジ ェ ク ト の名前を一意で指定 し ま す。 こ の設定は必 須です。 デフ ォ ル ト 値な し URL レ ス ポ ン ダ上の OCSP サービ スへの問い合わせで使用 さ れ る URL を指定 し ます。 デフ ォ ル ト 値な し Certificate Authority File OCSP 応答上の署名を検証す る ために使用 さ れ る 、信頼で き る 認証局の証明書を含むフ ァ イ ルの名前を指定 し ます。 デフ ォ ル ト 値な し Certificate Authority Path OCSP 応答上の署名を検証す る ために使用 さ れ る 、信頼で き る 認証局の証明書を含むパ ス の名前を指定 し ます。 デフ ォ ル ト 値な し Verify Other 応答か ら 証明書が除外 さ れてい る 場合に、 証明書に署名す る OCSP 応答を検索す る ために使用 さ れ る フ ァ イ ルの名前を指 定 し ます。 デフ ォ ル ト 値な し Trust Other Verify Other 設定で指定 さ れ る 証明書を信頼す る よ う に BIG-IP に指示 し ます。 Disable VA File 明示的に信頼 さ れた レ ス ポ ン ダの証明書を含むフ ァ イ ルの名 前を指定 し ま す。 こ のパ ラ メ ー タ は、 レ ス ポ ン ダの認証局 ス ト アに既に ロ ー ド さ れた証明書に よ っ て レ ス ポ ン ダが カバー さ れていない場合に必要です。 デフ ォ ル ト 値な し 表 10.11 OCSP レ ス ポ ン ダの設定 10 - 32 設定 説明 デ フ ォル ト 値 Signer OCSP 要求を署名す る ために使用 さ れ る 証明書を指定 し ます。 デフ ォ ル ト 値な し 特殊な意味 : 証明書が指定 さ れてい る がキーが指定 さ れていない場合、 秘 密鍵は証明書 と 同 じ フ ァ イ ルか ら 読み取 ら れます。 証明書 と キーの ど ち ら も 指定 さ れていない場合、 要求は署名 さ れません。 証明書は指定 さ れていないがキーは指定 さ れてい る 場合、 設 定は無効 と みな さ れます。 Signing Key OCSP 要求に署名す る ために使用 さ れ る キーを指定 し ます。 デフ ォ ル ト 値な し Sign Other OCSP 要求に追加す る 追加証明書を一覧 し ます。 デフ ォ ル ト 値な し Sign Digest 署名証明書 と キーを使用 し て要求に署名す る ためのアルゴ リ ズ ム を指定 し ます。 Sha1 特殊な意味 : 署名要求が有効でない (つま り request signing certificate パ ラ メ ー タ と request signing key パ ラ メ ー タ の両方が空) 場合、 こ のパ ラ メ ー タ は意味があ り ません。 こ のパ ラ メ ー タ は署名要求が有効な場合にのみ必要です。 Validity Period BIG-IP が受諾で き る エ ラ ー範囲を指定す る ために使用す る 秒 数を指定 し ます。 こ の設定は、 OCSP レ ス ポ ン ダ ク ロ ッ ク と ク ラ イ ア ン ト ク ロ ッ ク が同期 さ れ て い な い場合に使用 さ れ ま す。 同期 さ れていない と 証明書状態の確認が失敗 と な る こ と が あ り ま す。 こ の値には正の数を指定 し て く だ さ い。 こ のパ ラ メ ー タ は必須項目です。 300 Status Age 状態応答の notBefore フ ィ ール ド と 比較す る ための時間を、秒 数で指定 し ます。 状態応答が [notAfter] フ ィ ール ド を含ま な い場合に使用 さ れます。 0 Ignore AIA 証明書の [AIA] フ ィ ール ド に含まれ る URL を無視 し て、 常に レ ス ポ ン ダが指定す る URL を代わ り に使用す る よ う に BIG-IP に指示 し ます。 Disabled Trust Other 証明書 を 明示的に信頼す る こ と 、 証明書に対 し て そ の他の チ ェ ッ ク は行わない こ と を指定 し ます。 Disabled Allow Certificates OCSP 要求への証明書の追加を許可 し ます。 Enabled Verify BIG-IP が OCSP 応答署名ま たは臨時の値を検証 し ます。デバ ッ グのみに使用 さ れます。 Enabled Intern BIG-IP が署名者の証明書を検索す る 際に、 OCSP 応答内に含 ま れ る 証明書を無視 し ま す。 こ の設定を使用す る には、 署名 者の証明書を [Verify Other] ま たは [VA File] 設定のいずれか に指定す る 必要があ り ます。 Enabled Verify Signature BIG-IP が OCSP 応答上の署名を確認 し ます。 テ ス ト 目的での み使用 さ れます。 Enabled Verify Certificate BIG-IP が OCSP 応答上の証明書を検証 し ます。 Enabled Certificate Chain BIG-IP が OCSP 応答の証明書か ら のチ ェーン を構築 し ます。 Enabled Check Certificates BIG-IP は、 署名者の証明書が必要な状態情報を提供す る よ う 承認 さ れてい る か ど う か を確認す る 追加のチ ェ ッ ク を実行 し ます。 テ ス ト 目的でのみ使用 さ れます。 Enabled 表 10.11 OCSP レ ス ポ ン ダの設定 (続 き ) BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 33 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 設定 説明 デフ ォル ト 値 Explicit OCSP BIG-IP は OCSP 応答の署名者の証明書が OCSP 応答署名につ いて承認 さ れてい る こ と を明示的に信頼 し ま す。 署名者の証 明書が OCSP signing エ ク ス テ ン シ ョ ン を含ま ない場合、 こ の 設定の指定に よ っ て応答は信頼 さ れません。 Enabled 表 10.11 OCSP レ ス ポ ン ダの設定 (続 き) OCSP レ スポン ダオブ ジ ェ ク ト を作成するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 2. [Authentication] メ ニ ュ ーの [OCSP Responders] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 4. my_ocsp_responder な ど、レ ス ポ ン ダオブジ ェ ク ト の一意の名 前を [Name] 設定に入力 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [URL] 設定に外部レ ス ポ ン ダの URL を入力 し ます。 6. その他のすべての設定の値を必要に応 じ て変更で き ます。 (高 度な設定を行 う には、 [Configuration] ヘ ッ ダの [Advanced] を 選択 し ます)。 7. [Finished] を ク リ ッ ク し ます。 SSL OCSP 構成オブ ジ ェ ク ト の作成 SSL OCSP 構成オブジ ェ ク ト は、1 つ以上の OCSP レ ス ポ ン ダオブジ ェ ク ト を参照す る オブジ ェ ク ト です。 OCSP 構成オブジ ェ ク ト を作成す る 場合、 さ ま ざ ま な設定を行 う 必要 があ り ます。 表 10.12 は、 SSL OCSP 構成オブジ ェ ク ト で指定で き る 設定の一覧 と その説明です。こ のオブジ ェ ク ト を設定す る 詳細な手順 については、 次の 「SSL OCSP 構成オブジ ェ ク ト を作成す る には」 を 参照 し て く だ さ い。 設定 説明 デ フ ォル ト 値 Name 構成オブジ ェ ク ト の名前を一意で指定 し ます。こ の設定は 必須です。 デフ ォ ル ト 値な し Type 実装す る 認証モジ ュ ールの種別を指定 し ま す。 こ の値は SSL OCSP と 指定 し て く だ さ い。 デフ ォ ル ト 値な し Responders SSL証明書の失効状態の確認に使用す る OCSP レ ス ポ ン ダ を指定 し ます。 デフ ォ ル ト 値な し 表 10.12 SSL OCSP 構成オブジ ェ ク ト の設定 10 - 34 SSL OCSP 構成オブ ジ ェ ク ト を作成するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Configurations] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Configuration] 画面が表示 さ れ ます。 4. [Name] 設定に、 構成オブジ ェ ク ト に一意の名前 (my_ocsp_config な ど) を入力 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Type] 設定か ら [SSL OCSP] を選択 し ます。 6. [Responders] 設定にすべての レ ス ポ ン ダオブジ ェ ク ト を指定 し ます。 7. [Finished] を ク リ ッ ク し ます。 SSL OCSP プ ロ フ ァ イルの作成 SSL OCSP 構成オブジ ェ ク ト を作成 し た後、 SSL OCSP プ ロ フ ァ イ ル を作成ま たは設定す る 必要があ り ます。 こ れはデフ ォ ル ト の ssl_ocsp プ ロ フ ァ イ ルを変更す る か、デフ ォ ル ト のプ ロ フ ァ イ ル設定を継承 し た カ ス タ ム プ ロ フ ァ イ ルを作成 し て行い ます。認証プ ロ フ ァ イ ルの重 要な機能は、 既存の構成オブジ ェ ク ト を参照す る こ と です。 ほ と ん ど の場合、 デ フ ォ ル ト のプ ロ フ ァ イ ル を その ま ま 利用で き ま す。 ただ し 、 デフ ォ ル ト のプ ロ フ ァ イ ルを使用 し た場合で も 、 作成 し た 対応す る 構成オ ブ ジ ェ ク ト を 指定す る よ う にデ フ ォ ル ト の プ ロ フ ァ イ ルを変更す る 必要はあ り ます。 カ ス タ ム プ ロ フ ァ イ ルを作成す る 場合は、新 し いプ ロ フ ァ イ ルで継承 す る 値を含んだ親プ ロ フ ァ イ ル (カ ス タ ムプ ロ フ ァ イ ルま たはデフ ォ ル ト プ ロ フ ァ イ ルのいずれか) を指定す る 必要があ り ます。 OCSP プ ロ フ ァ イ ルを作成す る 場合、 さ ま ざ ま な設定を行 う 必要があ り ます。 表 10.13 は、 SSL OCSP プ ロ フ ァ イ ルを構成す る 設定項目 と 値を示 し ます。 OCSP プ ロ フ ァ イ ルの作成手順については、 「デフ ォ ル ト の SSL OCSP プ ロ フ ァ イ ルを変更す る には」 (10-36 ページ) ま た は 「 カ ス タ ム SSL OCSP プ ロ フ ァ イ ルを作成する には」 (10-36 ペー ジ) を参照 し て く だ さ い。 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Type 実装す る 認証モ ジ ュ ールの種別 を指定 し ま す。 こ の値は OCSP と 指定 し て く だ さ い。 デフ ォ ル ト 値な し Parent Profile 値を継承す る プ ロ フ ァ イ ルを指定 し ます。 ssl_ocsp 表 10.13 SSL OCSP プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 35 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 設定 説明 デ フ ォル ト 値 Mode プ ロ フ ァ イ ルが有効か無効かを指定 し ます。指定で き る 値 は、 [Auto]、 [Enabled]、 お よ び [Disabled] です。 Enabled Configuration 既存の OCSP 構成オブジ ェ ク ト の名前を指定 し ます。こ の 設定は必須です。 デフ ォ ル ト 値な し Rule 既存の認証 iRule の名前を指定 し ます。 iRule を指定 し な い場合、BIG-IP は対応す る デフ ォ ル ト iRule を使用 し ます。 auth_ssl_ocsp Idle Timeout 認証要求が タ イ ム ア ウ ト にな る ま での待ち時間を秒数で 指定 し ます。デフ ォ ル ト の値を使用す る か、別の値を指定 で き ます。 ま たは Indefinite を選択す る こ と も で き ます。 タ イ ム ア ウ ト 値の概要については、第 1 章 「 ロ ーカル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 300 表 10.13 SSL OCSP プ ロ フ ァ イ ルの設定 (続 き ) デ フ ォル ト の SSL OCSP プ ロ フ ァ イルを変更するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Profiles] を選択 し ます。 デフ ォ ル ト の認証プ ロ フ ァ イ ルが一覧表示 さ れ ます。 3. [Name] カ ラ ム の [ssl_ocsp] を ク リ ッ ク し ます。 4. [Mode] 設定か ら [Enabled] ま たは [Auto] を選択 し ます。 5. [Configuration] 設定の リ ス ト か ら 構成オブジ ェ ク ト を選択 し ます。 [None] は許可 さ れていない設定です。 6. [Rule] 設定で認証 iRule を指定 し ます。 • デフ ォ ル ト の iRule であ る auth_ocsp を使用す る 場合は、 こ の設定は こ の ま ま に し ておいて く だ さ い。 • デフ ォ ル ト の iRule であ る auth_ocsp を使用 し ない場合は、 作成 し た既存の iRule の名前を選択 し て く だ さ い。 7. [Idle Timeout] 設定では、デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を指定す る 、 も し く は Indefinite を選択 し ます。 8. [Finished] を ク リ ッ ク し ます。 カ ス タ ム SSL OCSP プ ロ フ ァ イルを作成するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Profiles] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Profile] 画面が表示 さ れます。 4. プ ロ フ ァ イ ルの一意の名前を [Name] 設定に指定 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 10 - 36 5. [Type] 設定か ら [SSL OCSP] を選択 し ます。 6. [Parent Profile] 設定では、プロ フ ァ イ ルのタ イ プを 指定し ま す。 • 親プ ロ フ ァ イ ルにデフ ォ ル ト のプ ロ フ ァ イ ル ssl_ocsp を使 用す る 場合は、 設定はその ま ま に し ます。 • 親プ ロ フ ァ イ ルにカ ス タ ムプ ロ フ ァ イ ルを使用す る 場合 は、 リ ス ト か ら カ ス タ ム プ ロ フ ァ イ ル名を選択 し ます。 7. [Mode] 設定の画面右側にあ る [Custom] ボ ッ ク ス を ク リ ッ ク し 、 [Enabled] ま たは [Auto] を選択 し ます。 8. [Configuration] 設定の画面右側にあ る [Custom] ボ ッ ク ス を ク リ ッ ク し リ ス ト か ら 構成オブジ ェ ク ト を選択 し ます。 9. [Rule] 設定で認証 iRule を指定 し ます。 • デフ ォ ル ト の iRule であ る auth_ocsp を使用す る 場合は、 こ の設定は こ の ま ま に し ておいて く だ さ い。 • デフ ォ ル ト の iRule であ る auth_ocsp を使用 し ない場合は、 作成 し た既存の iRule の名前を選択 し て く だ さ い。 10. [Idle Timeout] 設定では、デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を指定す る 、 も し く は Indefinite を選択 し ます。 11. [Finished] を ク リ ッ ク し ます。 SSL OCSP レ ス ポ ン ダオブジ ェ ク ト 、 SSL OCSP 構成オブジ ェ ク ト 、 お よ び SSL OCSP プ ロ フ ァ イ ルを作成 し た後、 バーチ ャ ルサーバの [Authentication Profile] 設定 を 指定 し て、 こ の プ ロ フ ァ イ ル を バー チ ャ ルサーバに割 り 当て る 必要があ り ます。 バーチ ャ ルサーバ設定を設定す る 方法については、 第 2 章 「バーチ ャ ルサーバの設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 37 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 CRLDP 認証モ ジ ュ ールの実装 CRLDP 認証モジ ュ ール と は、 BIG-IP 経由の ク ラ イ ア ン ト 接続を認証 す る ための機構です。 CRLDP 認証機能は、 「CRLDP (Certificate Revocation List Distribution Points)」 と い う テ ク ノ ロ ジに基づいてい ま す。 CRLDP は業界標準のプ ロ ト コ ルであ り 、 標準の証明書失効 リ ス ト (CRL) をチ ェ ッ ク し て失効状態を特定す る 代替手段を提供す る ほ か、 OCSP (Online Certificate Status Protocol) の代わ り に使用す る こ と も で き ま す。 OCSP につい ては 「SSL OCSP 認証モ ジ ュ ールの実装」 (10-29 ページ) を参照 し て く だ さ い。 CRLDP 認証モジ ュ ールは、 証明書認証の一環 と し て、 CRL 配布点を 利用 し て SSL 証明書の失効状態をチ ェ ッ ク し ます。 CRL 配布点は、 ネ ッ ト ワ ー ク 全域に証明書失効情報を配布す る ための メ カ ニ ズ ム で す。 具体的に言 え ば、 証明書 で 指定 さ れ た URI (Uniform Resource Identifier) も し く はデ ィ レ ク ト リ 名の こ と であ り 、 こ れ ら はサーバが CRL 情報を取得す る 方法を示 し てい ます。 配布点 と CRL を組み合わ せて使 う こ と で、 任意の数の LDAP サーバを使用す る 認証局を設定 す る こ と がで き ます。 BIG-IP で、 SSL 証明書の失効状態を確認す る メ カ ニズ ム と し て CRL 配布点を使用 し たい場合は、 CRLDP 認証モジ ュ ールを実装 し ます。 CRLDP 認証モジ ュ ールを実装す る には、 リ モー ト CRLDP サーバ上 のデー タ にア ク セ ス す る よ う に BIG-IP を設定す る 必要があ り ま す。 こ の作業は、 次の手順で進め ます。 • 1 つ以上の上位 CRLDP サーバオブジ ェ ク ト を作成す る • CRLDP 構成オブジ ェ ク ト を作成す る • CRLDP プ ロ フ ァ イ ルを作成す る 重要 CRLDP オブジ ェ ク ト と プ ロ フ ァ イ ルが作成 さ れ る と 、 BIG-IP はそれ ら を現在の管理パーテ ィ シ ョ ンに配置 し ます。デフ ォ ル ト プ ロ フ ァ イ ルは常に Common パーテ ィ シ ョ ンに置かれます。 パーテ ィ シ ョ ンの 詳細 に つ い て は、 『TMOSTM Management Guide for BIG-IP® Systems』 を参照 し て く だ さ い。 こ れ ら のオ ブ ジ ェ ク ト を 作成 し た後、 CRLDP プ ロ フ ァ イ ル を バー チ ャ ルサーバに割 り 当て る 必要があ り ます。 注 CRLDP 認証オブジ ェ ク ト の作成時に、設定ユーテ ィ リ テ ィ の [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 CRLDP 認証オブジ ェ ク ト を作成 す る 権限が現在のユーザ ロ ールに付与 さ れていない こ と を示 し ます。 10 - 38 前提条件 CRLDP 認証モジ ュ ールの設定では、Client SSL プ ロ フ ァ イ ルを前 も っ て作成 し てお く 必要があ り ます。 Client SSL プ ロ フ ァ イ ルを作成す る 場合、 [Client Certificate] を [Request ] ま たは [Require] のいずれかに 設定す る こ と をお勧め し ます。 Client SSL プ ロ フ ァ イ ルの作成につい ては、 第 9 章 「SSL ト ラ フ ィ ッ ク の管理」 を参照 し て く だ さ い。 Client SSL プ ロ フ ァ イ ルを作成 し 、[Client Certificate] を正 し く 設定す れば、CRLDP サーバオブジ ェ ク ト 、CRLDP 構成オブジ ェ ク ト 、CRLDP プ ロ フ ァ イ ルを作成す る こ と がで き ます。 CRLDP サーバオブ ジ ェ ク ト の作成 CRLDP サーバオブジ ェ ク ト を作成す る 場合、 い く つかの設定を行 う 必要があ り ます。 表 10.14 は、 CRLDP サーバオブジ ェ ク ト を構成す る 設定項目 と 値を示 し ます。サーバオブジ ェ ク ト を作成す る 詳細な手 順につい ては、 次の 「CRLDP サーバオブジ ェ ク ト を作成す る には」 を参照 し て く だ さ い。 設定 説明 デフ ォル ト 値 Name my_crldp_server な ど、CRLDP サーバオブジ ェ ク ト の名前 を一意で指定 し ます。 こ の設定は必須です。 デフ ォ ル ト 値な し Address CRLDP サーバの IP ア ド レ ス を指定 し ます。 こ の設定は必 須です。 デフ ォ ル ト 値な し Service Port CRLDP 認証 ト ラ フ ィ ッ ク のポー ト を指定 し ます。 389 Base DN CRL 配布点をデ ィ レ ク ト リ 名 (dirName) 形式で指定す る 、 証明書の LDAP ベース識別名を指定 し ます。 X509v3 属性 crlDistributionPoints の値が dirName 形式の場合に使用 し ます。 こ の場合、 BIG-IP は crlDistributionPoints 属性の値 と Base DN 値の照合を試みます。 Base DN 値は cn=lxxx,dc=f5,dc=com の よ う に指定 し ます。 デフ ォ ル ト 値な し Reverse DN Base DN 値 と X509v3 属性 crlDistributionPoints の値 と の 照合 の 順番 を 指定 し ま す。 可 能 な 値 は、 [Enabled] と [Disabled] で す。 [Enabled] に 設 定す る と 、 証 明 書 の dirName 文字列 (c=us,st=wa,l=sea,ou=f5,cn=xxx な ど ) に応 じ て、 左か ら 右、 も し く は DN 文字列の先頭か ら 順に、 ベース DN の照合が行われます。 Disabled 表 10.14 CRLDP サーバ定義の設定 CRLDP サーバオブ ジ ェ ク ト を作成する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [CRLDP Servers] を選択 し ます。 [CRLDP Server List] 画面が表示 さ れます。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 39 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 3. 画面の右上で [Create] を ク リ ッ ク し ます。 4. my_crldp_server な ど、 CRLDP サーバオブジ ェ ク ト の一意の 名前を [Name] 設定に入力 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Address] 設定で、 リ モー ト CRLDP サーバの IP ア ド レ ス を入 力 し ます。 6. [Base DN] 設定で、 ベース識別名を入力 し ます。 7. [Reverse DN] リ ス ト で、 デフ ォ ル ト 値を その ま ま使用す る か、 [Enabled] を選択 し ます。 8. [Finished] を ク リ ッ ク し ます。 9. 冗長 CRLDP サーバを設定す る 場合は、 こ れ ら の手順を繰 り 返 し て追加のサーバオブジ ェ ク ト を作成 し ます。 CRLDP 構成オブ ジ ェ ク ト の作成 CRLDP 構成オブジ ェ ク ト を作成す る 場合、 さ ま ざ ま な設定を行 う 必 要があ り ます。 表 10.15 は、 CRLDP 構成オブジ ェ ク ト を構成す る 設 定項目 と 値を示 し ます。こ の表では、[New Authentication Configuration] 画面 と 同 じ 分類で設定項目を分けてい ます。こ の構成オブジ ェ ク ト を 作成す る 詳細な手順については、「CRLDP 構成オブジ ェ ク ト を作成す る には」 (10-41 ページ) を参照 し て く だ さ い。 設定 説明 デ フ ォル ト 値 Name 構成オブジ ェ ク ト の名前を一意で指定 し ます。こ の設定は 必須です。 デフ ォ ル ト 値な し Type 実装す る 認証モジ ュ ールの種別を指定 し ま す。 こ の値は CRLDP と 指定 し て く だ さ い。 デフ ォ ル ト 値な し Connection Timeout 接続が タ イ ム ア ウ ト にな る ま での秒数を指定 し ます。 15 Update Interval CRL 配布点の更新 イ ン タ ーバルを指定 し ます。 CRL 配布 点の更新 イ ン タ ーバルを設定す る と 、 CRL タ イ ム ア ウ ト 値に関係な く 、 CRL の状態を定期的にチ ェ ッ ク す る こ と が で き ま す。 こ れに よ っ て、 BIG-IP が証明書の状態 を チ ェ ッ ク す る 前に CRL 情報が古 く な っ て し ま う と い う こ と がな く な り ます。 0 Use Issuer その ク ラ イ ア ン ト 証明書発行者の証明書か ら CRL 配布点 を抽出すべ き か ど う かを示 し ます。 Disable CRLDP Servers BIG-IP が認証デー タ の取得に使用す る CRLDP サーバの IP ア ド レ ス を一覧表示 し ます。 デフ ォ ル ト 値な し 一覧表示 さ れてい る サーバご と に、 対応す る CRLDP サー バ定義を作成す る 必要があ り ます。 CRLDP サーバの定義 では、 サーバ名、 IP ア ド レ ス、 ポー ト 番号、 ベース DN、 リ バー ス DN を指定 し ま す。 詳細については、 「CRLDP サーバオブジ ェ ク ト を作成す る には」 (10-39 ページ) を 参照 し て く だ さ い。 表 10.15 CRLDP 構成オブジ ェ ク ト の設定 10 - 40 CRLDP 構成オブ ジ ェ ク ト を作成するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Configurations] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Configuration] 画面が表示 さ れ ます。 4. [Name] 設定に、 構成オブジ ェ ク ト に一意の名前 (my_crldp_config な ど) を入力 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Type] 設定か ら [CRLDP] を選択 し ます。 画面が拡張 さ れ、 い く つかの設定が表示 さ れます。 6. こ こ で表示 さ れ る すべての設定の値を必要に応 じ て変更で き ます。 7. [Finished] を ク リ ッ ク し ます。 CRLDP プ ロ フ ァ イルの作成 CRLDP 構成オブジ ェ ク ト を作成 し た後、CRLDP プ ロ フ ァ イ ルを作成 ま たは設定す る 必要があ り ます。 こ れはデフ ォ ル ト の ssl_crldp プ ロ フ ァ イ ルを変更す る か、デフ ォ ル ト のプ ロ フ ァ イ ル設定を継承 し た カ ス タ ム プ ロ フ ァ イ ルを作成 し て行い ます。認証プ ロ フ ァ イ ルの重要な 機能は、 既存の構成オブジ ェ ク ト を参照す る こ と です。 ほ と ん ど の場合、 デ フ ォ ル ト のプ ロ フ ァ イ ル を その ま ま 利用で き ま す。 ただ し 、 デフ ォ ル ト のプ ロ フ ァ イ ルを使用 し た場合で も 、 作成 し た 対応す る 構成オ ブ ジ ェ ク ト を 指定す る よ う にデ フ ォ ル ト の プ ロ フ ァ イ ルを変更す る 必要はあ り ます。 カ ス タ ム プ ロ フ ァ イ ルを作成す る 場合は、新 し いプ ロ フ ァ イ ルで継承 す る 値を含んだ親プ ロ フ ァ イ ル (カ ス タ ムプ ロ フ ァ イ ルま たはデフ ォ ル ト プ ロ フ ァ イ ルのいずれか) を指定す る 必要があ り ます。 CRLDP プ ロ フ ァ イ ルを作成す る 場合、 さ ま ざ ま な設定を行 う 必要が あ り ます。 表 10.16 は、 CRLDP プ ロ フ ァ イ ルを構成す る 設定項目 と 値を示 し ます。 CRLDP プ ロ フ ァ イ ルを作成す る 詳細な手順について は、 「 カ ス タ ム CRLDP プ ロ フ ァ イ ルを作成す る には」 (10-42 ページ) を参照 し て く だ さ い。 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。こ の設定は必須 です。 デフ ォ ル ト 値な し Type 実装す る 認証モ ジ ュ ールの種別 を指定 し ま す。 こ の値は CRLDP と 指定 し て く だ さ い。 デフ ォ ル ト 値な し Parent Profile 値を継承す る プ ロ フ ァ イ ルを指定 し ます。 ssl_crldp Mode プ ロ フ ァ イ ルが有効か無効か を指定 し ま す。 可能な設定 は、 [Enabled] お よ び [Disabled] です。 Enabled 表 10.16 CRLDP プ ロ フ ァ イ ルの設定 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 41 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 設定 説明 デ フ ォル ト 値 Configuration 既存の CRLDP 構成オブジ ェ ク ト を指定 し ます。 デフ ォ ル ト 値な し Rule 既存の認証ルールの名前を指定 し ます。 iRule を指定 し な い場合、BIG-IP は対応す る デフ ォ ル ト iRule を使用 し ます。 auth_ssl_crldp Idle Timeout 認証 ま たは承認要求が タ イ ム ア ウ ト にな る ま での待ち時 間を秒数で指定 し ます。デフ ォ ル ト の値を使用す る か、別 の値を指定で き ます。 ま たは Indefinite を選択す る こ と も で き ます。タ イ ム ア ウ ト 値の概要については、第 1 章「 ロ ー カル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 300 表 10.16 CRLDP プ ロ フ ァ イ ルの設定 (続 き) デ フ ォル ト CRLDP プ ロ フ ァ イルを変更するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで [Local Traffic] を展開 し 、 [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Profiles] を選択 し ます。 デフ ォ ル ト の認証プ ロ フ ァ イ ルが一覧表示 さ れ ます。 3. Name カ ラ ムの [ssl_crldp] を ク リ ッ ク し ます。 4. [Mode] 設定で、 モー ド が [Enabled] に設定 さ れてい る こ と を 確認 し ます。 5. [Configuration] 設定の画面右側にあ る Custom ボ ッ ク ス を ク リ ッ ク し リ ス ト か ら 構成オブ ジ ェ ク ト を選択 し ま す。 [None] は許可 さ れていない設定です。 6. [Rule] 設定で認証 iRule を指定 し ます。 • デフ ォ ル ト の iRule であ る auth_ssl_crldp を使用す る 場合 は、 こ の設定は こ の ま ま に し ておいて く だ さ い。 • デフ ォ ル ト の iRule であ る auth_ssl_crldp を使用 し ない場 合は、 画面右の [Custom] ボ ッ ク ス を ク リ ッ ク し て、 前に作 成 し た既存の iRule の名前を選択 し ます。 7. [Idle Timeout] 設定では、デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を指定す る 、 も し く は Indefinite を選択 し ます。 8. [Finished] を ク リ ッ ク し ます。 カ ス タ ム CRLDP プ ロ フ ァ イルを作成するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Profiles] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Profile] 画面が表示 さ れます。 4. [Name] 設定で、 CRLDP プ ロ フ ァ イ ルに一意の名前 (my_crldp_profile な ど) を入力 し ます。 10 - 42 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Type] 設定か ら [CRLDP] を選択 し ます。 画面が拡張 さ れ、 追加の設定が表示 さ れます。 6. [Parent Profile] 設定では、プロ フ ァ イ ルのタ イ プを 指定し ま す。 • 親プ ロ フ ァ イ ルにデフ ォ ル ト のプ ロ フ ァ イ ル ssl_crldp を 使用す る 場合は、 設定はその ま ま に し ます。 • 親プ ロ フ ァ イ ルにカ ス タ ムプ ロ フ ァ イ ルを使用す る 場合 は、 リ ス ト か ら カ ス タ ム プ ロ フ ァ イ ル名を選択 し ます。 7. [Mode] 設定で、 モー ド が [Enabled] に設定 さ れてい る こ と を 確認 し ます。 8. [Configuration] 設定の画面右側にあ る Custom ボ ッ ク ス を ク リ ッ ク し リ ス ト か ら 構成オブジ ェ ク ト を選択 し ます。 9. [Rule] 設定で認証 iRule を指定 し ます。 • デフ ォ ル ト の iRule であ る auth_ssl_crldp を使用す る 場合 は、 こ の設定は こ の ま ま に し ておいて く だ さ い。 • デフ ォ ル ト の iRule であ る auth_ssl_crldp を使用 し ない場 合は、 画面右の [Custom] ボ ッ ク ス を ク リ ッ ク し て、 前に作 成 し た既存の iRule の名前を選択 し ます。 10. [Idle Timeout] 設定では、デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を指定す る 、 も し く は Indefinite を選択 し ます。 11. [Finished] を ク リ ッ ク し ます。 CRLDP サーバオブジ ェ ク ト と CRLDP 構成オブジ ェ ク ト を作成 し た 後、 バーチ ャ ルサーバの [Authentication Profile] 設定を指定 し て、 こ のプ ロ フ ァ イ ルをバーチ ャ ルサーバに割 り 当て る 必要があ り ます。 バーチ ャ ルサーバ設定を設定す る 方法については、 第 2 章 「バーチ ャ ルサーバの設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 43 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 Kerberos 委任認証モ ジ ュ ールの実装 Kerberos 委任モジ ュ ール と は、 BIG-IP 経由の ク ラ イ ア ン ト 接続を認 証す る ための機構です。 Microsoft® Windows® Integrated Authentication を使っ て アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証を行っ てい る 場合は、 こ のモジ ュ ールを使用す る こ と がで き ます。 重要 Kerberos 委任モジ ュールを実装す る際には、 前 も っ て BIG-IP に DNS (Domain Name Server) サーバを接続 し て、 BIG-IP を ド メ イ ンに追加 し てお く 必要が あ り ま す。 詳細につい て は、 『BIG-IP® Local Traffic Manager: Implementations』 を参照 し て く だ さ い。 Kerberos 委 任 モ ジ ュ ー ル は、 ク ラ イ ア ン ト プ リ ン シ パ ル の 委 任 Kerberos ク レデン シ ャ ルを取得 し 、続いてサーバ側のプ リ ン シパルの Kerberos ク レデン シ ャ ルを取 り 出 し ます。Kerberos 委任モジ ュ ールは、 基本的に Kerberos ク レデン シ ャ ルのプ ロ キ シ と し て動作 し ます。 つ ま り 、 ド メ イ ン内のサーバに接続す る と 、 ブ ラ ウ ザ ク ラ イ ア ン ト が Kerberos ク レ デン シ ャ ル を フ ェ ッ チ し ま す。 「委任 ク レ デン シ ャ ル」 と 呼ばれ る こ れ ら の ク レデン シ ャ ルは BIG-IP に渡 さ れ、 次に BIG-IP がバ ッ ク エ ン ド にあ る 実際のサーバの ク レデン シ ャ ルを取 り 出 し て、 それ ら を ク ラ イ ア ン ト に返 し ます。 Kerberos 委任認証モ ジ ュ ール を実装す る には、 リ モー ト サーバ上の デー タ にア ク セ スす る よ う に BIG-IP を設定す る 必要があ り ます。 こ の作業は、 次の手順で進め ます。 • Kerberos 委任構成オブジ ェ ク ト • Kerberos 委任プ ロ フ ァ イ ル 重要 Kerberos 委任オブジ ェ ク ト と プロ フ ァ イ ルが作成さ れる と 、 BIG-IP はそれら を 現在の管理パーテ ィ シ ョ ン に配置し ま す。 デフ ォ ルト プ ロ フ ァ イ ルは常に Common パーテ ィ シ ョ ン に置かれま す。 パーテ ィ シ ョ ン の詳細について は、『 TMOSTM Management Guide for BIG-IP® Systems』 を 参照し て く ださ い。 こ れ ら のオブ ジ ェ ク ト を作成 し た後、 Kerberos 委任プ ロ フ ァ イ ル を バーチ ャ ルサーバに割 り 当て る 必要があ り ます。 注 Kerberos 委任認証オブジ ェ ク ト の作成時に、 設定ユーテ ィ リ テ ィ の [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 Kerberos 委任認証オブ ジ ェ ク ト を作成す る 権限が現在のユーザ ロ ールに付与 さ れていない と い う こ と にな り ます。 10 - 44 Kerberos 委任構成オブ ジ ェ ク ト の作成 Kerberos 委任構成オブジ ェ ク ト を作成す る 場合、 さ ま ざ ま な設定を行 う 必要があ り ます。 表 10.17 は、 Kerberos 委任構成オブジ ェ ク ト を構 成す る 設定項目 と 値 を 示 し ま す。 こ の表 で は、 [New Authentication Configuration] 画面 と 同 じ 分類で設定項目を分け てい ます。 こ のオブ ジ ェ ク ト を作成す る 詳細な手順については、 Kerberos 委任設定オブ ジ ェ ク ト を作成す る には を参照 し て く だ さ い。 設定 説明 デフ ォル ト 値 Name 構成オブジ ェ ク ト の名前を一意で指定 し ます。こ の設定は 必須です。 デフ ォ ル ト 値な し Type 実装す る 認証モ ジ ュ ールの種別 を指定 し ま す。 こ の値は Kerberos Delegation と 指定 し て く だ さ い。 デフ ォ ル ト 値な し Client Principal Name HTTP/<fqdn> と い う フ ォーマ ッ ト を使っ て、 ク ラ イ ア ン ト プ リ ン シパルの名前を指定 し ます。 fqdn には、 作成す る バーチ ャ ルサーバの完全修飾 ド メ イ ン名が入 り ます。詳 細については、 『BIG-IP® Local Traffic Manager: Implementations』 を参照 し て く だ さ い。 デフ ォ ル ト 値な し Server Principal Name HTTP/<fqdn> と い う フ ォーマ ッ ト を使っ て、 バ ッ ク エ ン ド Web サーバのプ リ ン シパルの名前を指定 し ます。 fqdn には、 プール内の Web サーバの完全修飾 ド メ イ ン名が入 デフ ォ ル ト 値な し り ます。詳細については、『BIG-IP® Local Traffic Manager: Implementations』 を参照 し て く だ さ い。 Debug Logging SYSLOG デバ ッ グ情報を LOG_DEBUG レベルで有効に し ます。 通常の使用ではお勧め し ません。 Disable 表 10.17 Kerberos 委任構成オブジ ェ ク ト の設定 Kerberos 委任設定オブ ジ ェ ク ト を作成するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Configurations] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Configuration] 画面が表示 さ れ ます。 4. [Name] 設定に、 構成オブジ ェ ク ト に一意の名前 (my_kerberos_config な ど) を入力 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Type] 設定か ら [Kerberos Delegation] を選択 し ます。 画面が拡張 さ れ、 い く つかの設定が表示 さ れます。 6. こ こ で表示 さ れ る すべての設定の値を必要に応 じ て変更で き ます。 (高度な設定を行 う には、 [Configuration] の [Advanced] を選 択 し ます) 7. [Finished] を ク リ ッ ク し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 45 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 Kerberos 委任プ ロ フ ァ イルの作成 Kerberos 委任構成オブジ ェ ク ト を作成 し た ら 、次に Kerberos 委任プ ロ フ ァ イ ルの作成ま たは設定を行 う 必要があ り ます。こ れはデフ ォ ル ト の krbdelegate プ ロ フ ァ イ ルを変更す る か、 デフ ォ ル ト のプ ロ フ ァ イ ル設定を継承 し た カ ス タ ム プ ロ フ ァ イ ルを作成 し て行い ます。認証プ ロ フ ァ イ ルの重要な機能は、既存の構成オブジ ェ ク ト を参照す る こ と です。 ほ と ん ど の場合、 デ フ ォ ル ト のプ ロ フ ァ イ ル を その ま ま 利用で き ま す。 ただ し 、 デフ ォ ル ト のプ ロ フ ァ イ ルを使用 し た場合で も 、 作成 し た 対応す る 構成オ ブ ジ ェ ク ト を 指定す る よ う にデ フ ォ ル ト の プ ロ フ ァ イ ルを変更す る 必要はあ り ます。 カ ス タ ム プ ロ フ ァ イ ルを作成す る 場合は、新 し いプ ロ フ ァ イ ルで継承 す る 値を含んだ親プ ロ フ ァ イ ル (カ ス タ ム プ ロ フ ァ イ ル ま たはデフ ォ ル ト プ ロ フ ァ イ ルのいずれか) を指定す る 必要があ り ます。 Kerberos Delegation プ ロ フ ァ イ ルを作成す る 場合、 さ ま ざ ま な設定を 行 う 必要があ り ます。 表 10.18 は、 Kerberos Delegation プ ロ フ ァ イ ル を構成す る 設定項目 と 値を示 し ます。 Kerberos Delegation プ ロ フ ァ イ ルの作成手順については、 次の デフ ォ ル ト の Kerberos 委任プ ロ フ ァ イ ルを変更す る には、 ま たは 「 カ ス タ ム Kerberos Delegation プ ロ フ ァ イ ルを作成す る には」 (10-47 ページ) を参照 し て く だ さ い。 設定 説明 デフ ォル ト 値 Name プ ロ フ ァ イ ルの一意の名前を指定 し ます。 こ の設定は必須 です。 デフ ォ ル ト 値な し Type 実装す る 認証モ ジ ュ ールの種別 を 指定 し ま す。 こ の値は Kerberos Delegation と 指定 し て く だ さ い。 デフ ォ ル ト 値な し Parent Profile 値を継承す る プ ロ フ ァ イ ルを指定 し ます。 krbdelegate Mode プ ロ フ ァ イ ルが有効か無効かを指定 し ます。 指定で き る 値 は、 [Auto]、 [Enabled]、 お よ び [Disabled] です。 Enabled Configuration 既存の Kerberos Delegation構成オブジ ェ ク ト を指定 し ます。 デフ ォ ル ト 値な し Rule 既存の認証ルールの名前を指定 し ます。iRule を指定 し ない 場合、 BIG-IP は対応す る デフ ォ ル ト iRule を使用 し ます。 auth_krbdelegate Idle Timeout 認証 ま た は承認要求が タ イ ム ア ウ ト に な る ま での待ち時 間を秒数で指定 し ます。 デフ ォ ル ト の値を使用す る か、 別 の値を指定で き ます。 ま たは Indefinite を選択す る こ と も で き ます。タ イ ム ア ウ ト 値の概要については、第 1 章 「 ロ ー カル ト ラ フ ィ ッ ク 管理の概要」 を参照 し て く だ さ い。 300 Cookie Name こ のプ ロ フ ァ イ ルに関連付け る Cookieの名前を一意で指定 し ます。 f5auth Cookie Key Cookie デー タ の暗号化に使用す る 暗号化キーを、 強力なパ ス ワー ド 形式で指定 し ます。 デフ ォ ル ト 値を知っ てい る 攻 撃者が Cookie デー タ を復号化 し 、信頼で き る ユーザにな り すます こ と がない よ う に、F5 ではデフ ォ ル ト 値を変更す る こ と を推奨 し てい ます。 abc123 表 10.18 Kerberos 委任プ ロ フ ァ イ ルの設定 10 - 46 デ フ ォル ト の Kerberos 委任プ ロ フ ァ イルを変更するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Profiles] を選択 し ます。 デフ ォ ル ト の認証プ ロ フ ァ イ ルが一覧表示 さ れます。 3. [Name] カ ラ ムの [krbdelegate] を ク リ ッ ク し ます。 4. [Mode] 設定では、 デフ ォ ル ト 値の [Enabled] を その ま ま使用 し ます。 5. [Configuration] 設定の リ ス ト か ら 構成オブジ ェ ク ト を選択 し ます。 [None] は許可 さ れていない設定です。 6. [Rule] 設定で認証 iRule を指定 し ます。 • デフ ォ ル ト の iRule であ る auth_krbdelegate を使用す る 場 合は、 こ の設定は こ の ま ま に し ておいて く だ さ い。 • デフ ォ ル ト の iRule であ る auth_krbdelegate を使用 し ない 場合は、 作成 し た既存の iRule の名前を選択 し て く だ さ い。 7. [Idle Timeout] 設定では、デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を指定す る 、 も し く は Indefinite を選択 し ます。 8. [Finished] を ク リ ッ ク し ます。 カ ス タ ム Kerberos Delegation プ ロ フ ァ イルを作成するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Profiles] を ク リ ッ ク し ます。 [Profiles] 画面が開 き ます。 2. [Authentication] メ ニ ュ ーの [Profiles] を選択 し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Profile] 画面が表示 さ れ ます。 4. プ ロ フ ァ イ ルの一意の名前を [Name] 設定に指定 し ます。 注 : 名前には小文字のみを使 う よ う に し て く だ さ い。 5. [Type] 設定か ら [Kerberos Delegation] を選択 し ます。 6. [Parent Profile] 設定では、プロ フ ァ イ ルのタ イ プを 指定し ま す。 • 親プ ロ フ ァ イ ルにデフ ォ ル ト のプ ロ フ ァ イ ル krbdelegate を使用す る 場合は、 設定はその ま ま に し ます。 • 親プ ロ フ ァ イ ルにカ ス タ ムプ ロ フ ァ イ ルを使用す る 場合 は、 リ ス ト か ら カ ス タ ム プ ロ フ ァ イ ル名を選択 し ます。 7. [Mode] 設定では、 デフ ォ ル ト 値の [Enabled] を その ま ま使用 し ます。 8. [Configuration] 設定の リ ス ト か ら 構成オブジ ェ ク ト を選択 し ます。 9. [Rule] 設定で認証 iRule を指定 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 10 - 47 第 10 章 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証 • デフ ォ ル ト の iRule であ る auth_krbdelegate を使用す る 場 合は、 こ の設定は こ の ま ま に し ておいて く だ さ い。 • デフ ォ ル ト の iRule であ る auth_krbdelegate を使用 し ない 場合は、 作成 し た既存の iRule の名前を選択 し て く だ さ い。 10. [Idle Timeout] 設定では、デフ ォ ル ト 値を その ま ま使用す る か、 新 し い値を指定す る 、 も し く は Indefinite を選択 し ます。 11. [Finished] を ク リ ッ ク し ます。 Kerberos Delegation 構成オブジ ェ ク ト と Kerberos Delegation プ ロ フ ァ イ ルを作成 し た後、 バーチ ャ ルサーバの [Authentication Profile] 設定 を指定 し て、こ のプ ロ フ ァ イ ルをバーチ ャ ルサーバに割 り 当て る 必要 があ り ます。 バーチ ャ ルサーバ設定を設定す る 方法については、 第 2 章 「バーチ ャ ルサーバの設定」 を参照 し て く だ さ い。 10 - 48 11 その他のプ ロ フ ァ イルの使用 • その他の タ イ プのプ ロ フ ァ イルの概要 • OneConnect プ ロ フ ァ イルの設定 • NTLM プ ロ フ ァ イルの設定 • Statistics プ ロ フ ァ イルの設定 • Stream プ ロ フ ァ イルの設定 その他の タ イ プのプ ロ フ ァ イルの概要 前の章で説明 し たプ ロ フ ァ イ ル以外に、以下のプ ロ フ ァ イ ルを設定で き ます。 • OneConnect • NTLM • 統計 • Stream BIG-IP® では、 プ ロ フ ァ イ ルの タ イ プご と に、 デフ ォ ル ト 設定を持つ 事前設定 さ れたプ ロ フ ァ イ ルを使用で き ます。 ほ と ん ど の場合、 こ れ ら のデフ ォ ル ト プ ロ フ ァ イ ルはその ま ま使用で き ます。こ れ ら の設定 を変更す る 場合は、プ ロ フ ァ イ ルの作成時にプ ロ フ ァ イ ルを設定す る か、 プ ロ フ ァ イ ルの作成後にプ ロ フ ァ イ ルの設定を変更で き ます。 こ の章の後半では、 OneConnectTM、 NTLM、 Statistics、 Stream プ ロ フ ァ イ ルに含まれ る ト ラ フ ィ ッ ク 管理設定を取 り 上げてい ます。その他の タ イ プのプ ロ フ ァ イ ルの設定については、 次を参照 し て く だ さ い。 • HTTP、FTP、RTSP、SIP、iSession プ ロ フ ァ イ ルについては、第 6 章 「 アプ リ ケーシ ョ ン層 ト ラ フ ィ ッ ク の管理」 を参照 し て く だ さ い。 • セ ッ シ ョ ン パー シ ス テ ン ス の プ ロ フ ァ イ ルについ て は、 第 7 章 「 セ ッ シ ョ ンパーシ ス テ ン ス の有効化」 を参照 し て く だ さ い。 • Fast L4、 Fast HTTP、 HTTP Class、 TCP、 UDP、 SCTP プ ロ フ ァ イ ル については、 第 8 章 「 プ ロ ト コ ルプ ロ フ ァ イ ルの管理」 を参照 し て く だ さ い。 • SSL プ ロ フ ァ イ ルについては、 第 9 章 「SSL ト ラ フ ィ ッ ク の管理」 を参照 し て く だ さ い。 • アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク の リ モー ト 認証用プ ロ フ ァ イ ルに ついては、 第 10 章 「 アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク の認証」 を参 照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 11 - 1 第 11 章 その他のプ ロ フ ァ イルの使用 OneConnect プ ロ フ ァ イルの設定 OneConnect プ ロ フ ァ イ ルは、 BIG-IP で コ ネ ク シ ョ ンプー リ ン グ を有 効にす る ための設定ツールです。 コ ネ ク シ ョ ンプー リ ン グ は、 BIG-IP が接続を処理す る 方法を最適化 し ます。 BIG-IP で コ ネ ク シ ョ ン プー リ ン グが有効にな っ てい る と 、ク ラ イ ア ン ト リ ク エ ス ト で既存のサー バ側接続を利用で き る ので、こ の よ う な要求を処理す る ためにサーバ が開 く サーバ側接続の数が減少す る こ と にな り ます。 BIG-IP では、 同 じ OneConnect プ ロ フ ァ イ ルお よ び同 じ プールを参照 す る 複数のバーチ ャ ルサーバか ら コ ネ ク シ ョ ン を プールで き ます。 重要 コ ネク ショ ンプーリ ングを 有効にする には、「OneConnect Transformations」 と いう 関連機能も あ わせて 有効にする 必要があ り ま す。 こ の機能は、 HTTP プロ フ ァ イ ル内から 有効にし ま す。 OneConnect 変換 HTTP プロ フ ァ イ ル設定は、 HTTP/1.0 接続に適用さ れ、 有効になっ て いる 場合、 BIG-IP は、HTTP リ ク エス ト 中の Connection ヘッ ダの値を Keep-Alive に 変換し 、 接続を 開いたま ま にし ま す。 第 2 章 「バーチ ャ ルサーバの設定」 ですでに述べた よ う に、 BIG-IP の 標準ア ド レ ス変換 メ カ ニズ ムは要求内の宛先 IP ア ド レ ス のみを変換 し 、 送信元 IP ア ド レ ス ( ク ラ イ ア ン ト ノ ー ド の IP ア ド レ ス) の変換 は行い ません。 し か し 、 OneConnect 機能を有効に し て、 複数の ク ラ イ ア ン ト ノ ー ド がサーバ側の コ ネ ク シ ョ ン を再利用で き る よ う に し た場合、各 ク ラ イ ア ン ト ノ ー ド の リ ク エ ス ト ヘ ッ ダに含まれ る 発信元 IP ア ド レ ス は常に、 サーバ側の コ ネ ク シ ョ ン を開始 し た特定の ク ラ イ ア ン ト ノ ー ド の IP ア ド レ ス と な り ます。 こ れに よ っ て ト ラ フ ィ ッ ク フ ロ ーが影響を受け る こ と はあ り ませんが、特定のシ ス テ ム ア ウ ト プ ッ ト を見ればそ う な っ てい る こ と が分か り ます。 表 11.1 に、 OneConnect プ ロ フ ァ イ ル タ イ プの設定を列挙 し て説明 し ます。 設定 Name Parent Profile Source Mask 説明 デフ ォル ト 値 こ の設定は、 プ ロ フ ァ イ ルの一意の名前を指定 し ます。 デフ ォ ル ト 値な し こ の設定は、親プ ロ フ ァ イ ル と し て使用す る プ ロ フ ァ イ ルを 指定 し ます。 新 し いプ ロ フ ァ イ ルは、 指定 さ れた親プ ロ フ ァ イ ルか ら 非カ ス タ ム設定お よ び値をすべて継承 し ます。 oneconnect BIG-IP では、 こ の設定の値を送信元ア ド レ ス に適用 し て、再 利用のための適格性を判断 し ま す。 マ ス ク を 0 に設定す る と 、 BIG-IP では、 すべての ク ラ イ ア ン ト 間で再利用可能な コ ネ ク シ ョ ン が共有 さ れ る よ う に な り ま す。 ホ ス ト マ ス ク (つま り 、 すべての値がバ イ ナ リ の 1) を設定す る と 、 BIG-IP では、 同 じ ク ラ イ ア ン ト IP ア ド レ ス か ら 生成 さ れた再利用 可能な コ ネ ク シ ョ ンのみが共有 さ れ る よ う にな り ます。 0.0.0.0 表 11.1 OneConnect プ ロ フ ァ イ ルの設定 11 - 2 設定 説明 デ フ ォル ト 値 Maximum Size こ の設定は、BIG-IP がコ ネク ショ ン 再利用プールで保持する コ ネク ショ ン の最大数を 定義し ま す。 プールがすでにいっ ぱ いになっ ている 場合、 応答の完了後にサーバ側コ ネク ショ ン は終了し ま す。 10000 重要 : OneConnect プ ロ フ ァ イ ルを使用する 場合、 Maximum Size 設定値には、プール メ ンバに設定 さ れた コ ネ ク シ ョ ン数 制限よ り 少な く と も 1 つ以上大き な数値を指定する 必要があ り ます。 こ れは、 プール メ ンバの コ ネ ク シ ョ ン リ ミ ッ ト の一 部 と し て、 BIG-IP に コ ネ ク シ ョ ン再利用プールの接続が含 まれ る か ら です。 し たがっ て、 プール メ ンバの コ ネ ク シ ョ ン 数が許可 さ れた コ ネ ク シ ョ ン数に達する と 、バーチ ャ ルサー バが利用で き な く な り ます。 Maximum Age こ の設定は、コ ネ ク シ ョ ン再利用プール内で接続に許可 さ れ てい る 最大秒数を定義 し ます。経過時間が こ の値を超え る コ ネ ク シ ョ ンについては、 BIG-IP に よ っ て再利用プールか ら その コ ネ ク シ ョ ンが削除 さ れます。 86400 Maximum Reuse こ の設定は、サーバ側 コ ネ ク シ ョ ン を再利用で き る 最大回数 を指定 し ます。 1000 Idle Timeout Override こ の設定は、コ ネ ク シ ョ ン フ ロ ーが削除対象 と し て適格にな る 前に、コ ネ ク シ ョ ンがア イ ド ル状態であ る 秒数を指定 し ま す。 こ の設定を使用 し て、 再利用のためにプール さ れた接続 の タ イ ム ア ウ ト 値を増やす こ と がで き ま す。 指定で き る 値 は、 [Disabled]、 [Indefinite]、 ま たは [Specify] (ユーザ指定 の数値) です。 Disabled 表 11.1 OneConnect プ ロ フ ァ イ ルの設定 (続 き) iRulesTM ONECONNECT コ マ ン ド の 詳細 に つ い て は、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 と 、 第 17 章 「iRule の 記述」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 11 - 3 第 11 章 その他のプ ロ フ ァ イルの使用 NTLM プ ロ フ ァ イルの設定 NT Lan Manager (NTLM) は、 ユーザのパス ワ ード を ネ ッ ト ワ ーク で送信する こ と な く 、 暗号化さ れた 要求 / 応答プロ ト コ ルを 使っ て ユーザの認証を 行う 業界標準テ ク ノ ロ ジ です。 パス ワ ード を 送信す る 代わり に、認証を 要求する シ ス テ ム は、セキ ュ ア な NTLM ク レ デン シ ャ ル に ア ク セ ス し て い る こ と を 証 明 す る 演 算 を 実 行 し ま す。 NTLM ク レ デン シ ャ ルには、 対話型のロ グ イ ン プロ セス 時に取得し た ド メ イ ン 名やユーザ名な ど のデータ が使用さ れま す。 BIG-IP LTM 内の NTLM プ ロ フ ァ イ ルは、NT LAN Manager ト ラ フ ィ ッ ク 処理時のネ ッ ト ワー ク パフ ォ ーマ ン ス を最適化 し ます。NTLM プ ロ フ ァ イ ル と OneConnect プ ロ フ ァ イ ルの両方がバーチ ャ ルサーバに関 連付け ら れてい る 場合、ロ ーカル ト ラ フ ィ ッ ク 管理シ ス テ ムはサーバ 側の コ ネ ク シ ョ ン プー リ ン グ を利用 し て、NTLM 接続を管理す る こ と がで き ます。 表 11.2 では、 NTLM プ ロ フ ァ イ ル タ イ プの設定を一覧に ま と めて解 説 し てい ます。 設定 説明 デ フ ォル ト 値 こ の設定は、 プ ロ フ ァ イ ルの一意の名前を指定 し ます。 デフ ォ ル ト 値な し こ の設定は、親プ ロ フ ァ イ ル と し て使用す る プ ロ フ ァ イ ル を指定 し ます。 新 し いプ ロ フ ァ イ ルは、 指定 さ れた親プ ロ フ ァ イ ルか ら 非カ ス タ ム設定お よ び値をすべて継承 し ます。 ntlm Insert Cookie Name シ ス テ ムが Cookie に挿入す る Cookie 名を指定 し ます。 NTLMconnpool Insert Cookie Passphrase シ ス テ ムが Cookie に挿入す る Cookie パ ス フ レーズ を指定 し ます。 デフ ォ ル ト 値は空白であ り 、 こ れはパ ス フ レーズ が挿入 さ れていない こ と を示 し ます。 Key By Existing Cookie 既存の Cookie を キー と し て使用す る か ど う かを指定 し ます。 無効 (チ ェ ッ ク さ れて いない) Cookie Name Cookie の名前を指定 し ます。 mycookie Key By NTLM Domain NTLM ド メ イ ン を キー と し て使用す る か ど う か を指定 し ます。 無効 (チ ェ ッ ク さ れて いない) Key By Client IP Address ク ラ イ ア ン ト IP ア ド レ ス を キー と し て使用す る か ど う か を指定 し ます。 無効 (チ ェ ッ ク さ れて いない) Key By NTLM Target NTLM タ ーゲ ッ ト を キー と し て使用す る か ど う か を指定 し ます。 無効 (チ ェ ッ ク さ れて いない) Key by NTLM User NTLM ユーザを キー と し て使用す る か ど う かを指定 し ます。 有効 (チ ェ ッ ク あ り ) Key By NTLM Workstation NTLM ワ ー ク ス テーシ ョ ン を キー と し て使用す る か ど う かを指定 し ます。 無効 (チ ェ ッ ク さ れて いない) Name Parent Profile 表 11.2 NTLM プ ロ フ ァ イ ルの設定 11 - 4 デフ ォ ル ト 値な し 注 NTLM プ ロ フ ァ イ ルに加え て、 OneConnect プ ロ フ ァ イ ル も あわせて 作成す る必要があ り ます。 作成後、 両方のプ ロ フ ァ イ ルをバーチ ャ ル サーバに関連付け ます。 OneConnect プ ロ フ ァ イ ルの作成手順につい ては、 「OneConnect プ ロ フ ァ イ ルの設定」 (11-2 ページ) を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 11 - 5 第 11 章 その他のプ ロ フ ァ イルの使用 Statistics プ ロ フ ァ イルの設定 Statistics プ ロ フ ァ イ ルは、 ユーザ定義の統計情報カ ウ ン タ を提供 し ま す。各プ ロ フ ァ イ ルは 32 個の項目 (Field1 ~ Field32) を含んでお り 、 名前付 き カ ウ ン タ を定義 し ます。 Tcl ベース の iRule コ マ ン ド を使用 す る と 、 名前を使用 し て、 ト ラ フ ィ ッ ク の処理中にカ ウ ン タ を操作で き ます。 た と えば、 my_stats と い う 名前のプ ロ フ ァ イ ルを設定で き ます。 こ の プ ロ フ ァ イ ルは、 カ ウ ン タ tot_users、 cur_users、 お よ び max_users を プ ロ フ ァ イ ル設定 Field1、 Field2、 お よ び Field3 にそれぞれ割 り 当 て ます。 こ の後、 track_users と い う 名前の iRule を作成 し 、 my_stats プ ロ フ ァ イ ル と track_users iRule をバーチ ャ ルサーバ stats-1 に割 り 当て る こ と がで き ます。 図 11.1 は、 こ の設定を示 し ます。 profile stats my_stats { defaults from stats field1 tot_users field2 cur_users field3 max_users } rule track_users { when CLIENT_ACCEPTED { STATS::incr my_stats tot_users STATS::setmax my_stats max_users [STATS::incr my_stats cur_users] } } virtual stats-1 { destination 10.10.55.66:http ip protocol tcp profile http my_stats tcp pool pool1 rule track_users } 図 11.1 iRule で使用 さ れ る Statistics プ ロ フ ァ イ ルカ ウ ン タ の例 こ の例では、 カ ウ ン タ tot_users は合計 コ ネ ク シ ョ ン数を カ ウ ン ト し 、 カ ウ ン タ cur_users は現在の コ ネ ク シ ョ ン数を カ ウ ン ト し 、 カ ウ ン タ max_users はカ ウ ン タ cur_users の最大値を保持 し てい ます。 iRulesSTATS コ マ ン ド の詳細については、 F5 Networks DevCentral の Webサ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 と 、第 17 章 「iRule の記述」 を参照 し て く だ さ い。 11 - 6 Stream プ ロ フ ァ イルの設定 Stream プ ロ フ ァ イ ルを使用す る と 、 デー タ ス ト リ ーム内 (TCP コ ネ ク シ ョ ン な ど)の文字列を検索お よ び置換で き ます。表 11.3 に、Stream プ ロ フ ァ イ ル タ イ プの設定を列挙 し て説明 し ます。 設定 説明 デフ ォル ト 値 こ の設定は、 プ ロ フ ァ イ ルの一意の名前を指定 し ます。 デフ ォ ル ト 値な し こ の設定は、親プロ フ ァ イ ルと し て使用する プロ フ ァ イ ルを 指定し ま す。新し いプロ フ ァ イ ルは、指定さ れた親プロ フ ァ イ ルから 非カス タ ム設定およ び値を すべて継承し ま す。 stream Source 検索対象の ソ ース文字列を指定 し ます。 デフ ォ ル ト 値な し Target 置換対象の タ ーゲ ッ ト 文字列を指定 し ます。 デフ ォ ル ト 値な し Name Parent Profile 表 11.3 Stream プ ロ フ ァ イ ルの設定 リ ス ト タ イ プでは、 パ タ ーン文字列の大文字 と 小文字が区別 さ れ ま す。 た と えば、 www.f5.com と い う パ タ ーン文字列は www.F5.com と は別の も の と し て扱われ ます。大文字 と 小文字の区別を無効にす る に は、 Linux regexp コ マ ン ド を実行 し ます。 iRulesSTREAM コ マ ン ド の詳細については、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 と 、 第 17 章 「iRule の記述」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 11 - 7 12 モニ タ の設定 • モニ タ の概要 • カ ス タ ムモニ タ の作成 • 特殊な設定に関する留意事項 • モニ タ のプール と ノ ー ド への関連付け • モニ タ の管理 モニ タ の概要 BIG-IP® ロ ーカル ト ラ フ ィ ッ ク マネージ ャ では、 プール メ ンバ も し く は ノ ー ド の健全性やパ フ ォ ーマ ン ス を監視で き る よ う にな っ てい ま す。ロ ーカル ト ラ フ ィ ッ ク マネージ ャ では以下のモニ タ リ ン グ方法を サポー ト し てい ます。 ◆ シ ン プルモニ タ リ ン グ シ ンプルモニ タ リ ン グ は、 単に ノ ー ド の状態が up であ る か down で あ る か を判断す る ための も のです。 シ ン プルモニ タ ではプール メ ン バ を監視す る こ と はな く (つ ま り 、 ノ ー ド 上の個々のプ ロ ト コ ル、 サービ ス、 アプ リ ケーシ ョ ンは監視の対象外)、 ノ ー ド 自体 の監視のみが行われ ます。 同シ ス テ ムには、 ICMP と TCP_ECHO と い う 2 種類のシ ン プルモニ タ が含まれ ます。 ◆ ア ク テ ィ ブモニ タ リ ン グ ア ク テ ィ ブモニ タ リ ン グ は、 プール メ ン バや ノ ー ド の状態を一定 間隔で継続的にチ ェ ッ ク し ま す。 チ ェ ッ ク 中のプール メ ンバ ま た は ノ ー ド が指定の タ イ ム ア ウ ト 時間内に応答 し ない場合や、 プー ル メ ン バ ま たは ノ ー ド の状態がパ フ ォ ーマ ン ス の低下を示 し てい る 場合に、 BIG-IP は別のプール メ ンバ ま たは ノ ー ド に ト ラ フ ィ ッ ク を リ ダ イ レ ク ト し ま す。 ア ク テ ィ ブモニ タ には さ ま ざ ま な種類 があ り 、 それぞれが特定のプロ ト コ ル、サービ ス 、アプリ ケーショ ン の状態をチ ェ ッ ク し ます。 た と えば、 モニ タ タ イ プの 1 つが HTTP です。 HTTP タ イ プのモニ タ では、 プール、 プール メ ン バ ま たは ノ ー ド の HTTP サービ ス のアベ イ ラ ビ リ テ ィ を監視で き ます。WMI のモニ タ タ イ プは、 Windows Management Instrumentation (WMI) ソ フ ト ウ ェ ア を実行 し てい る プール、 プール メ ン バ、 ま たは ノ ー ド の パ フ ォ ー マ ン ス を 監 視 し ま す。 ア ク テ ィ ブ モ ニ タ は、 ECV (Extended Content Verification) モニ タ と EAV (Extended Application Verification) モニ タ のいずれかに分類 さ れ ます。 ◆ パ ッ シブモニ タ リ ン グ パ ッ シブモニ タ リ ン グ は ク ラ イ ア ン ト リ ク エ ス ト の一環 と し て行 われ ま す。 こ の種のモニ タ リ ン グは、 一定時間内に試み ら れ る 接 続 や デー タ 要 求 の 回 数 を 指 定 し て、 プ ー ル メ ン バ の 健 全 性 を チ ェ ッ ク し ま す。 決め ら れた イ ン タ ーバル内に指定 さ れた回数だ け接続や要求が試み ら れたに も かかわ ら ず、 サーバに接続で き な か っ たか応答が返 さ れなか っ た、 も し く は誤応答が返 さ れた場合 は、 そのプール メ ンバは down と マー ク 付け さ れ ます。 パ ッ シブモ ニ タ は、 Inband モニ タ の 1 種類だけ と な っ てい ます。 表 12.1 (12-2 ページ) に各モニ タ リ ン グ 方法のメ リ ッ ト と 制約を ま と めて いま すので、 モニ タ リ ン グ 方法を 選択する 際の参考にし て く ださ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 12 - 1 第 12 章 モニ タ の設定 モ ニ タ リ ン グ方法 メリット 制約 シ ンプル • ノ ー ド の状態が up か down かが分か る だけでいい と い う 場合に適 し てい る 。 • ノ ー ド の健全性のみをチ ェ ッ ク し 、 プー ル メ ンバのチ ェ ッ ク は行わない。 Active • 具体的な応答をチ ェ ッ ク で き る 。 • ク ラ イ アン ト ト ラ フ ィ ッ ク があ って も な く て も 実行可能。 • ク ラ イ ア ン ト リ ク エ ス ト と サーバ応答 を 超え た余分な ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク が作成 さ れ る 。 • プール メ ンバを down と マー ク 付けす る のに時間がかか る 場合があ る 。 パ ッ シブ • ク ラ イ ア ン ト リ ク エ ス ト と サーバ応答 を 超え た余分な ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク が作成 さ れ る こ と はない。 • ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク が存在す る かぎ り 、 プール メ ンバをすばや く down と マー ク 付けす る こ と がで き る 。 • 具体的な応答をチ ェ ッ ク で き ない。 • プール メ ンバを up と マー ク 付けす る の に時間がかか る 場合があ る 。 表 12.1 モニ タ リ ン グ方法の比較 モニ タ タ イ プの要約 ロ ーカル ト ラ フ ィ ッ ク 管理シ ス テ ム には さ ま ざ ま な モ ニ タ が含 ま れ てお り 、 任意のプール、 プール メ ンバ、 ノ ー ド に関連付け る モニ タ の タ イ プ を選択で き る よ う にな っ てい ます。 表 12.2 では、 BIG-IP で利用可能なモニ タ タ イ プ を一覧に し 、 解説を 行っ てい ます。 重要 各モニ タ タ イ プの詳細については、 付録 A 「ヘルス モニ タ と パフ ォー マ ン ス モニ タ 」 を参照 し て く だ さ い。 . モニ タ タ イ プ 説明 ICMP Internet Control Message Protocol (ICMP) を使用 し て ノ ー ド の状態をチ ェ ッ ク し ます。 TCP Echo Transmission Control Protocol (TCP) を使用 し て ノ ー ド の状態をチ ェ ッ ク し ます。 Gateway ICMP ハ イ アベ イ ラ ビ リ テ ィ のために、 プール内で gateway failsafe を実装す る ノ ー ド をチ ェ ッ ク し ます。 HTTP Web ページか ら の特定 コ ン テ ン ツ の受信を試み る こ と で、 Hypertext Transfer Protocol (HTTP) サービ ス を検証 し ます。 HTTPS Secure Socket Layer (SSL) セキ ュ リ テ ィ で保護 さ れた Web ページか ら の特定 コ ン テ ン ツの受 信を試み る こ と で、 Hypertext Transfer Protocol Secure (HTTPS) サービ ス を検証 し ます。 TCP ノ ー ド か ら の特定 コ ン テ ン ツの受信を試み る こ と で、Transmission Control Protocol (TCP) サー ビ ス を検証 し ます。 TCP Half Open 関連付け ら れたサービ ス に TCP SYN パケ ッ ト を送信 し て、 そのサービ ス の監視を行い ます。 TCP Half Open モニ タ は、SYN-ACK パケ ッ ト を受信す る と すぐ に、そのサービ ス を up と マー ク 付け し ます。 External ユーザが独自のプ ロ グ ラ ム を使用 し てサービ ス を監視で き る よ う に し ます。 表 12.2 BIG-IP で利用で き る モニ タ タ イ プ 12 - 2 モニ タ タ イ プ 説明 FirePass FirePass シ ス テ ムの監視を行い ます。 FTP BIG-IP の /var/tmp デ ィ レ ク ト リ に特定の フ ァ イ ルを ダ ウ ン ロ ー ド す る こ と で、 File Transfer Protocol (FTP) サービ ス を検証 し ます。 フ ァ イ ルは正常にダ ウ ン ロ ー ド さ れ る と 、 保存 さ れ ません。 IMAP サーバ上の特定の メ ールフ ォ ルダ を開 く こ と で、 Internet Message Access Protocol (IMAP) を 検証 し ます。 こ のモニ タ は pop3 モニ タ と ほぼ同 じ です。 LDAP 特定のユーザの認証を試み る こ と で、 Lightweight Directory Access Protocol (LDAP) サービ ス を検証 し ます。 Module Score BIG-IP GTM と BIG-IP LTM を有効に し て、 Web Accelerator モジ ュ ール と Application Security Manager モジ ュ ールに関連付け ら れた BIG-IP LTM バーチ ャ ルサーバに均等に負荷を分散 し ます。 MSSQL Microsoft® Windows® SQL ベース のサービ ス を検証 し ます。 MSSQL タ イ プのモニ タ を使用す る には、 一連の Microsoft® JDBC JavaTM Archive (JAR) フ ァ イ ルを前 も っ て イ ン ス ト ール し てお く 必要があ り ます。 こ れ ら の フ ァ イ ルの イ ン ス ト ールについては、 付録第 B 章 「モニ タ についての追加留意事項」 を参照 し て く だ さ い。 NNTP サーバ か ら ニ ュ ー ス グ ルー プ の 識別文字列 の 検索 を 試み る こ と で、 Usenet News protocol (NNTP) サービ ス を検証 し ます。 Oracle サービ スへの Oracle ロ グ イ ンの実行を試み る こ と で、 Oracle® のサービ ス を検証 し ます。 POP3 指定 さ れたユーザ と し てプール、 プール メ ンバ、 ま たは ノ ー ド への ロ グオ ンお よ び ロ グオ フ を試み る こ と で、 Post Office Protocol (pop3) サービ ス を検証 し ます。 RADIUS 指定 さ れたユーザの認証を試み る こ と で、 Remote Access Dial-in User Service (RADIUS) サー ビ ス を検証 し ます。 Real Server RealServer デー タ コ レ ク シ ョ ン エージ ェ ン ト を実行 し てい る プール、 プール メ ンバ、 ま たは ノ ー ド のパフ ォ ーマ ン ス をチ ェ ッ ク し 、 それに応 じ て ト ラ フ ィ ッ ク を ダ イ ナ ミ ッ ク に ロ ー ド バ ラ ン ス し ます。 RPC rpcinfo コ マ ン ド を使っ て、 RPC (Remote Procedure Call) サーバのアベ イ ラ ビ リ テ ィ を検証 し ます。 SASP SASP (Server/Application State Protocol) を使っ て、 IBM® Group Workload Manager に よ り 管理 さ れてい る リ ソ ース のアベ イ ラ ビ リ テ ィ の伝達 ・ 検証を行い ます。 SIP デバ イ ス の Session Initiation Protocol (SIP) Call-ID サービ ス の状態をチ ェ ッ ク し ます。 SIP プ ロ ト コ ルは、 リ アル タ イ ムの メ ッ セージ、 音声、 デー タ 、 お よ び映像を有効に し ます。 SMB Server Message Block (SMB) を採用す る こ と で、 SMB/CIFS サーバ も し く はそのサーバ上の 特定のシ ェ アのアベ イ ラ ビ リ テ ィ を検証 し ます。 SMTP Simple Mail Transport Protocol (SMTP) の標準 コ マ ン ド を発行す る こ と で、プール、プール メ ン バ、 ま たは ノ ー ド の状態をチ ェ ッ ク し ます。 SNMP DCA SNMP デー タ コ レ ク シ ョ ンエージ ェ ン ト を実行 し てい る プール、 プール メ ンバ、 ま たは ノ ー ド の現在の CPU、 メ モ リ 、 お よ びデ ィ ス ク 使用状況をチ ェ ッ ク し 、 それに応 じ て ト ラ フ ィ ッ ク を ダ イ ナ ミ ッ ク に ロ ー ド バ ラ ン ス し ます。 SNMP DCA Base SNMP デー タ コ レ ク シ ョ ンエージ ェ ン ト を実行 し てい る プール、 プール メ ンバ、 ま たは ノ ー ド の現在のユーザの使用状況 を チ ェ ッ ク し 、 それに応 じ て ト ラ フ ィ ッ ク を ダ イ ナ ミ ッ ク に ロ ー ド バ ラ ン シ ン グ し ます。 モニ タ を設定す る 方法に よ っ て、 BIG-IP が収集す る デー タ が決 ま り ます。 SOAP Simple Object Access Protocol (SOAP) に基づいて Web サービ ス を テ ス ト し ます。 表 12.2 BIG-IP で利用で き る モニ タ タ イ プ (続 き ) BIG-IP® Local Traffic Management 設定ガ イ ド 12 - 3 第 12 章 モニ タ の設定 モニ タ タ イ プ 説明 UDP プール、 プール メ ンバ、 ま たは ノ ー ド に UDP パケ ッ ト を送信 し 、 その返信を受け取 る こ と を 試み る こ と に よ っ て、 User Datagram Protocol (UDP) サービ ス を検証 し ます。 WMI Windows Management Infrastructure (WMI) デー タ コ レ ク シ ョ ンエージ ェ ン ト を実行 し てい る プール、 プール メ ン バ、 ま たは ノ ー ド のパ フ ォ ーマ ン ス を チ ェ ッ ク し 、 それに応 じ て ト ラ フ ィ ッ ク を ダ イ ナ ミ ッ ク に ロ ー ド バ ラ ン ス し ます。 Inband 一定時間内に接続ま たはデー タ 要求に何度失敗で き る かを指定 し 、 その回数に基づ き プール メ ンバのアベ イ ラ ビ リ テ ィ を特定 し ます。 表 12.2 BIG-IP で利用で き る モニ タ タ イ プ (続 き) モニ タ の設定について ど のモニ タ に も 値が設定 さ れてい ます。 こ の設定 と 値は、 モニ タ タ イ プに よ り 異な り ます。 場合に よ っ ては、 BIG-IP がデフ ォ ル ト 値を割 り 当て ます。 た と えば図 12.1 は、 こ れ ら の設定 と デフ ォ ル ト 値を持 つ ICMP タ イ プのモニ タ を示 し ます。 Name my_icmp Type ICMP Interval 5 Timeout 16 Transparent No Alias Address * All Addresses 図 12.1 デフ ォ ル ト 値が設定 さ れたモニ タ の例 図 12.1 の設定では、 ICMP タ イ プのモニ タ が 5 秒ご と に IP ア ド レ ス の状態をチ ェ ッ ク し 、 それぞれ 16 秒後に タ イ ム ア ウ ト す る よ う 指定 し てい ます。 モニ タ がチ ェ ッ ク す る 、 宛先 IP ア ド レ ス は Alias Address 設定で指定 さ れ、 その値は * All Addresses です。 こ の よ う に、 前述 し た例ではモニ タ が関連付け ら れてい る すべての IP ア ド レ ス がチ ェ ッ ク さ れ ます。 モニ タ 設定の詳細については、 「特殊 な設定に関す る留意事項」 (12-10 ページ) を参照 し て く だ さ い。 モニ タ 実装の概要 モニ タ の実装は、設定ユーテ ィ リ テ ィ ま たは コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ を使っ て行い ます。設定済みモニ タ を使用す る かカ ス タ ム モニ タ を使用す る かに よ っ て、 モニ タ 実装の タ ス ク は異な り ます。 設定済 みモニ タ は、 BIG-IP が提供す る 設定済みの既存のモニ タ です。 カ ス タ ム モニ タ と は、使用可能なモニ タ タ イ プの 1 つをベース に作成す る モニ タ の こ と です。 設定済みのモ ニ タ を実装す る 場合は、 モ ニ タ を プール、 プール メ ン バ、 ま たは ノ ー ド に関連付け て、 関連す る プール を 参照す る よ う に バーチ ャ ルサーバを設定す る だけで よ く な っ てい ます。カ ス タ ム モニ タ を実装す る 場合は、最初にそのカ ス タ ム モニ タ を作成す る 必要があ り ます。 次に、 そのカ ス タ ム モニ タ を プール、 プール メ ンバ、 ま たは ノ ー ド と 関連付けて、そのプールを参照す る よ う にバーチ ャ ルサーバ を設定 し ます。 12 - 4 カ ス タ ム モニ タ の作成手順については 「 カ ス タ ムモニ タ の作成」 (12-8 ページ) を、 モニ タ を プールやプール メ ンバ、 ま たは ノ ー ド と 関連付 け る 手順については 「 モニ タ のプール と ノ ー ド への関連付け 」 (12-15 ページ) を、 それぞれ参照 し て く だ さ い。 プール を参照す る よ う にバーチ ャ ルサーバ を設定す る 方法について は、 第 2 章 「バーチ ャ ルサーバの設定」 で紹介 し てい ます。 設定済みモニ タ の使用 BIG-IP では、 一部のモニ タ タ イ プに一連の設定済みモニ タ が用意 さ れてい ます。設定済みモニ タ はその ま ま の状態で使用 さ れ る よ う に設 計 さ れてい る ため、 設定を変更す る こ と はで き ません。 設定済みモニ タ は、 明示的にモ ニ タ を作成す る 手間 を省 く ために用意 さ れてい ま す。設定の値がニーズに合っ てい る 場合は設定済みモニ タ を利用 し て く だ さ い。 BIG-IP に用意さ れている 設定済みモニタ の名称は、以下のと おり です。 • gateway_icmp • http • https • https_443 • icmp • inband • real_server • snmp_dca • tcp • tcp_echo 設定済みモニ タ の例 と し て icmp モニ タ について説明 し ます。 図 12.2 は、 icmp モニ タ 、 お よ び設定 さ れてい る Interval、 Timeout、 お よ び Alias Address 設定の値を示 し ます。Interval 値は 5、Timeout 値は 16、 Transparent 値は No、 そ し て Alias Address 値は *All Addresses です。 Name icmp Type ICMP Interval 5 Timeout 16 Transparent No Alias Address * All Addresses 図 12.2 icmp 設定済みモニ タ Interval、 Timeout、 Transparent、 お よ び Alias Address 値がニーズに 合 う 場合は、 設定ユーテ ィ リ テ ィ 内の [Pools] ま たは [Nodes] 画面を 使用 し て、icmp 設定済みモニ タ を プール、 プール メ ンバ、 ま たは ノ ー ド に直接割 り 当てて く だ さ い。 こ の場合、 単に設定済みのモニ タ 設定 の値を表示す る 場合を除いて、 [Monitors] 画面を使用す る 必要はあ り ません。 BIG-IP® Local Traffic Management 設定ガ イ ド 12 - 5 第 12 章 モニ タ の設定 重要 設定済みモニ タ は、 すべて Common パーテ ィ シ ョ ン に置かれ ま す。 パーテ ィ シ ョ ン の詳細につい ては、 『TMOSTM Management Guide for BIG-IP® Systems』 を参照 し て く だ さ い。 設定済みモニ タ に設定 さ れてい る 値を使用 し ない場合は、カ ス タ ム モ ニ タ を作成 し ます。 カ ス タ ムモニ タ の使用 設定済みモニ タ で定義 さ れた値がニーズに合わない場合、も し く は設 定済みモニ タ の中に作成 し よ う と し てい る タ イ プの も のが含 ま れな い場合に、 カ ス タ ム モニ タ を作成 し ます。 モニ タ タ イ プの詳細につい ては、 「 モニ タ タ イ プの要約」 (12-2 ページ) を参照 し て く だ さ い。 設定済みモニ タ からの設定のイ ンポー ト 作成す る タ イ プの カ ス タ ム モニ タ に対応 し た設定済みモ ニ タ が存在 す る 場合、 その設定済みモ ニ タ の設定 と 値を カ ス タ ム モ ニ タ に イ ン ポー ト で き ます。 その後、 こ れ ら の設定値を ニーズに合わせて自由に 変更で き ま す。 た と えば、 my_icmp と 呼ばれ る カ ス タ ム モニ タ を作 成す る と 、モニ タ は設定済みモニ タ icmp の設定 と 値を継承で き ます。 既存の設定値を イ ン ポー ト で き る こ の機能は、新 し いモニ タ に合わせ て一部の設定値を保持 し 、 残 り の設定値を変更す る 場合に便利です。 図 12.3 (12-6 ページ) は、 設定済みモニ タ icmp に基づ く my_icmp と 呼ばれ る ICMP タ イ プのカ ス タ ム モニ タ の例を示 し ます。 Interval 値は 10 に、Timeout 値は 20 にそれぞれ変更 さ れてい ます。そ の他の設定は設定済みモ ニ タ で定義 さ れてい る 値を その ま ま 使用 し てい ます。 Name my_icmp Type ICMP Interval 10 Timeout 20 Transparent No Alias Address * All Addresses 図 12.3 設定済みモニ タ に基づいた カ ス タ ムモニ タ カ ス タ ムモニ タ からの設定のイ ンポー ト 設定済みモニ タ の代わ り に別の カ ス タ ム モ ニ タ か ら 設定を イ ン ポー ト で き ます。 こ れは、 別のカ ス タ ム モニ タ に定義 さ れてい る 設定値を 使用す る 場合や、作成す る モニ タ タ イ プの設定済みモニ タ が存在 し な い場合に便利です。 た と えば、 my_oracle_server2 と 呼ばれ る カ ス タ ム モニ タ を作成す る 場合、 my_oracle_server1 な ど の既存の Oracle タ イ プのモニ タ か ら 設定を イ ン ポー ト で き ます。 こ の場合、 BIG-IP に は設定済みの Oracle タ イ プのモニ タ がないため、 カ ス タ ム モニ タ は 設定値を イ ン ポー ト で き る 唯一のモニ タ の種類です。 12 - 6 モニ タ の選択はご く 簡単です。 icmp と 同様に、 モニ タ はそれぞれモ ニ タ がチ ェ ッ ク す る サー ビ ス の種類に基づい た Type 設定 (http、 https、 ftp、 pop3 な ど) を 持 ち、 そ の種類が名前に な っ て い ま す。 (ユーザ指定のプ ロ グ ラ ム を呼び出す external モニ タ の よ う なポー ト 固有のモニ タ は例外です)。 モ ニ タ の選択 と 設定の詳細につい て は、 「 カ ス タ ム モ ニ タ の作成」 (12-8 ページ) を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 12 - 7 第 12 章 モニ タ の設定 カ ス タ ムモニ タ の作成 カ ス タ ム モニ タ を作成す る 場合は、設定ユーテ ィ リ テ ィ ま たは コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ を使用 し てモニ タ に固有の名前を指定 し 、モ ニ タ の タ イ プ を指定 し ます。 その タ イ プがすでに存在す る 場合は、 設 定 と その値を既存のモニ タ か ら イ ン ポー ト し ます。 その後、 イ ン ポー ト さ れた設定の値を変更で き ます。 各カ ス タ ム モニ タ はモニ タ の タ イ プ を基に作成す る 必要があ り ます。 モニ タ を作成す る と 、設定ユーテ ィ リ テ ィ に よ っ てモニ タ タ イ プの リ ス ト が表示 さ れ ま す。 モ ニ タ タ イ プ を 指定す る には、 チ ェ ッ ク す る サービ ス に対応 し た タ イ プ を選択 し ます。た と えば、プールでの HTTP サー ビ ス の健全性を チ ェ ッ ク す る モ ニ タ を作成す る 場合はモ ニ タ タ イ プ と し て HTTP を選択 し ます。 プール ま た はプール メ ン バで複数のサー ビ ス (た と えば HTTP と HTTPS) を チ ェ ッ ク す る 場合、 そのプール ま たはプール メ ン バに複 数のモ ニ タ を 関連付け る こ と がで き ま す。 詳細につい ては、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を参照 し て く だ さ い。 モ ニ タ を実装す る 理由はサービ ス を チ ェ ッ ク す る ためだけではあ り ません。 宛先 IP ア ド レ ス がア ク テ ィ ブであ る こ と 、 ま たは透過 ノ ー ド を介 し た宛先 IP ア ド レ スへのパ ス がア ク テ ィ ブであ る こ と を検証 す る 場合は、単純なモニ タ の icmp ま たは tcp_echo のいずれか を使用 し ます。ま たは、TCP のみを検証す る 場合は、モニ タ tcp を使用 し ます。 注 カ ス タ ムモニ タ を作成す る前に、モニ タ の タ イ プ を決定す る 必要があ り ます。 モニ タ タ イ プの詳細については、 付録 A 「ヘルス モニ タ と パ フ ォーマ ン ス モニ タ 」 を参照 し て く だ さ い。 重要 カ ス タ ム モニ タ が作成 さ れ る と 、 BIG-IP はそのモニ タ を現在の管理 パーテ ィ シ ョ ン に配置 し ま す。 管理パーテ ィ シ ョ ン の詳細について は、 『TMOSTM Management Guide for BIG-IP® Systems』 を 参照 し て く だ さ い。 カ ス タ ムモニ タ を作成するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Monitors] を ク リ ッ ク し ます。 [Monitors] 画面が開 き ます。 2. 画面の右上で [Create] を ク リ ッ ク し ます。 [New Monitor] 画面が開 き ます。 注 : [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 現在のユーザ ロ ールではカ ス タ ム モニ タ を作成す る 権限が与え ら れていな い こ と を示 し ます。 3. [Type] 設定か ら 作成す る モニ タ タ イ プ を選択 し ます。 その タ イ プが既に存在す る 場合は、 [Import Settings] が表示 さ れ ます。 12 - 8 4. 以下のいずれかの設定に基づいて名前を指定 し ます。 • [Import Settings] が表示 さ れた場合は、 こ の リ ス ト か ら モ ニ タ 名を選択 し ます。 • 選択 し たモニ タ の タ イ プが [Name] ボ ッ ク ス に存在 し ない 場合は、 カ ス タ ム モニ タ の一意の名前を入力 し ます。 5. 画面の [Configuration] セ ク シ ョ ン の [Advanced] を選択 し ます。 こ れに よ っ て、 追加のデフ ォ ル ト 値を変更で き ます。 6. 表示 さ れてい る すべての設定を行い ます。 7. [Finished] を ク リ ッ ク し ます。 重要 カ ス タ ムモニ タ の値を定義す る場合は、予約済みキーワー ド の一覧に あ る値の使用は避けて く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 12 - 9 第 12 章 モニ タ の設定 特殊な設定に関する留意事項 設定済みモニ タ ま たはカ ス タ ム モニ タ にはすべて、デフ ォ ル ト 値が割 り 当て ら れた設定があ り ます。こ れ ら のデフ ォ ル ト 値を変更す る 際に は、 以下の ト ピ ッ ク が役に立ち ます。 ◆ 宛先の設定 詳細については、 次の項の 「宛先の設定」 を参照 し て く だ さ い。 ◆ Transparent モー ド と Reverse モー ド 詳細については、「Transparent モー ド と Reverse モー ド 」(12-11 ペー ジ) を参照 し て く だ さ い。 ◆ Manual Resume の設定 詳細については、 「Manual Resume の設定」 (12-12 ページ) を参照 し て く だ さ い。 ◆ Check Until Up の設定 詳細については、 「Check Until Up の設定」 (12-14 ページ) を参照 し て く だ さ い。 宛先の設定 デフ ォ ル ト では、 モニ タ の Alias Address 設定の値は、 ワ イ ル ド カー ド * Addresses に設定 さ れ、 Alias Service Port 設定は ワ イ ル ド カー ド *Ports に設定 さ れてい ま す。 こ の値に よ っ て、 プール、 プール メ ン バ、 ま たは ノ ー ド に作成 さ れ る モニ タ イ ン ス タ ン ス は、 その ノ ー ド の ア ド レ ス、 ま たはア ド レ ス と ポー ト を宛先 と し て と り ます。 ただ し 、 カ ス タ ム モ ニ タ を作成す る こ と で、 ど ち ら か ま たは両方の ワ イ ル ド カ ー ド 記号 を 明示的 な 宛先値 と 置 き 換 え る こ と が で き ま す。 Alias Address ま たは Alias Service Port、 あ る いはその両方の設定の明示的 な値は、 プール、 プール メ ンバ、 ま たは ノ ー ド の値 と は異な る 特定の ア ド レ ス ま たはポー ト 、あ る いはその両方に イ ン ス タ ン ス の宛先を強 制す る ために使用 さ れ ます。 ECV モニ タ http、 https、 お よ び tcp には、 Send String (文字列の送 信) お よ び Receive String (文字列の受信) があ り ます。 最 も 一般的な Send String 値は、 GET / であ り 、 こ れは Web サ イ ト の デフ ォ ル ト の HTML ページ を検索 し ます。Web サ イ ト か ら 特定のペー ジ を検索す る には、 次の完全修飾パ ス名であ る Send String 値を入力 で き ます。 "GET /www/support/customer_info_form.html" Receive String 式は、 返 さ れた リ ソ ース か ら モニ タ が検索す る テ キ ス ト 文字列です。 最 も 一般的な Receive String 式は、 サ イ ト 上の特定の HTML ページに組み込ま れてい る テ キ ス ト 文字列を含みます。テ キ ス ト 文字列には通常のテ キ ス ト 、HTML タ グ、 ま たは画像名を指定で き ます。 以下のサン プルの Receive 式では、標準の HTML タ グが検索 さ れ ます。 "<HEAD>" 12 - 10 ま た、デフ ォ ル ト の Null の Receive String 値 [""] も 使用で き ます。 こ の場合、 いずれの コ ン テ ン ツ 検索 も 一致す る と 見な さ れ ま す。 Send String と Receive String の両方を空の ま ま にす る と 、 単純な接続の確 認のみが実行 さ れ ます。 HTTP モニ タ と FTP モニ タ については、 Send String ス テー ト メ ン ト と Receive String ス テー ト メ ン ト の代わ り に特殊な設定get ま たはhurl を使用で き ます。 FTP モニ タ に限っ ては、 GET 設定に よ っ て検索す る フ ァ イ ルへの フルパ ス を指定 し ます。 Transparent モー ド と Reverse モー ド モニ タ の通常お よ びデフ ォ ル ト の動作は、指定 さ れていないルー ト に よ っ て宛先プール、プール メ ンバ、ま たは ノ ー ド に対 し て ping コ マ ン ド を発行す る こ と 、 お よ びテ ス ト が正常終了 し た場合は ノ ー ド を up と し てマー ク す る こ と です。 ただ し 、 特定のモニ タ タ イ プでは、 モニ タ が宛先サーバに ping コ マ ン ド を発行す る ルー ト を指定で き ます。こ れは、 カ ス タ ム モニ タ 内に Transparent ま たは Reverse 設定を指定す る こ と で設定で き ます。 重要 IPv6 ア ド レ ッ シ ン グ も し く はルー ト ド メ イ ン機能を使用 し てい る 場 合は、 Transparent 機能を含むモニ タ を使用する こ と はで き ません。 ◆ Transparent 設定 透過プール、 プール メ ンバ、 ま たは ノ ー ド を介 し て別名の宛先に ping を発行す る 必要があ る 場合 も あ り ます。 カ ス タ ム モニ タ を作 成 し 、 Transparent 設定を [Yes] に設定す る と 、 BIG-IP はプール、 プール メ ン バ、 ま たは ノ ー ド に関連付け ら れてい る (通常は フ ァ イ ア ウ ォール) プール、 プール メ ンバ、 ま たは ノ ー ド を 介 し て ping を発行す る よ う にモニ タ に強制 し ます。 ( つま り 、ロ ード バラ ン シン グ プールに 2 つの フ ァ イ ア ウ ォ ールが あ る 場合、 宛先のプール、 プール メ ン バ、 ま たは ノ ー ド には常に指定 さ れたプール、 プール メ ンバ、ま たは ノ ー ド を介 し て ping コ マ ン ド が発行 さ れ ます。ロ ー ド バ ラ ン シ ン グ方式に よ っ て選択 さ れたプール、プール メ ンバ、ま たは ノ ー ド か ら 発行 さ れ る こ と はあ り ま せん。 ) こ の よ う に透過 プール、 プール メ ン バ、 ま たは ノ ー ド はテ ス ト さ れ、 応答がない と 、 透過プール、 プール メ ンバ、 ま たは ノ ー ド は down と し てマー ク さ れます。 フ ァ イ ア ウ ォ ールを 介し たルータ のチェ ッ ク 、ま たはメ ールや FTP サーバのチェ ッ ク など が一般的な例です。 たと えば、 透過フ ァ イ ア ウ ォ ール 10.10.10.101:80 を 介し てルータ ーア ド レ ス 10.10.10.53:80 を チェ ッ ク する と し ま す。 こ れを 実行する には、 モニタ の宛先ア ド レ ス と し て 10.10.10.53:80 を 指定し ている http_trans と 呼ばれる モ ニタ を 作成し 、 [Transparent] 設定を [Yes] に設定し ま す。 次にモニ タ http_trans を 透過プール、 プールメ ン バ、 ま たはノ ード に関連付 けま す。 こ れに よ っ て、 モニ タ は 10.10.10.101:80 を通 じ て ア ド レ ス 10.10.10.53:80 をチ ェ ッ ク し ます。 (言い換えれば、 BIG-IP は 10.10.10.53:80 のチ ェ ッ ク を 10.10.10.101:80 へ と ルーテ ィ ン グ BIG-IP® Local Traffic Management 設定ガ イ ド 12 - 11 第 12 章 モニ タ の設定 し ます) 正 し い応答が 10.10.10.53:80 か ら 受信 さ れない場合、 10.10.10.101:80 は down し てい る と し てマー ク さ れます。 プール メ ンバ ま たは ノ ー ド にモニ タ を関連付け る 方法については、 「 モニ タ のプール と ノ ー ド への関連付け 」 (12-15 ページ) を参照 し て く だ さ い。 ◆ Reverse 設定 [Reverse] 設定を [Yes] に設定す る と 、 モニ タ はテ ス ト の正常終了 時にプール、 プール メ ンバ、 ま たは ノ ー ド を down と し てマー ク し ます。 た と えば、 Web サ イ ト のホームページ上の コ ン テ ン ツ がダ イ ナ ミ ッ ク で頻繁に変更 さ れ る 場合は、 文字列 "Error" を検索す る リ バース ECV サービ ス チ ェ ッ ク を設定で き ます。 こ の文字列の 一致は、 Web サーバが down であ っ た こ と を意味 し ます。 図 12.3 は、 Transparent 設定、 Reverse 設定、 ま たはその両方を含む モニ タ を示 し ます。 モニ タ タ イ プ 設定 TCP Transparent Reverse HTTP Transparent Reverse HTTP Reverse TCP Echo Transparent ICMP Transparent 表 12.3 Transparent 設定ま たは Reverse 設定を含むモニ タ Manual Resume の設定 デフ ォ ル ト では、 モニ タ が リ ソ ース ( ノ ー ド やプール メ ンバ) の利用 が不可能であ る こ と を検出す る と 、BIG-IP はその リ ソ ース を down と マー ク 付け し て、ア ク テ ィ ブな ロ ー ド バ ラ ン シ ン グ方式の指示どお り に、 ト ラ フ ィ ッ ク を次の適切な リ ソ ース に割 り 当て ます。 次にモニ タ がその リ ソ ー ス が再び利用可能にな っ た と 判断す る と 、 BIG-IP はそ の リ ソ ース を up と マー ク 付け し 、 その後す ぐ に、 接続要求の ロ ー ド バ ラ ン シ ン グに利用で き る と みな し ます。こ のプ ロ セ ス はほ と ん ど の リ ソ ース で有効に機能 し ますが、 BIG-IP が リ ソ ー ス の利用が可能で あ る こ と を自動で判断す る のではな く 、手動で指定 し たほ う がいい場 合 も あ り ます。 リ ソ ース の利用が可能であ る こ と を手動で指定す る に は、 モニ タ の Manual Resume を設定 し ます。 た と えば、 Web サ イ ト 用の index.html と い う HTML フ ァ イ ルのアベ イ ラ ビ リ テ ィ を監視す る ために、 リ ソ ース にモニ タ を割 り 当て てい る と し ます。 営業時間中に、 あ な たはその Web サ イ ト を ホ ス テ ィ ン グ し てい る シ ス テ ム を再起動す る 必要があ る と 判断 し ま し た。モニ タ は シ ス テ ムの再起動を検知 し 、その リ ソ ース が利用で き な く な っ た こ と を BIG-IPに通知 し ます。シ ス テ ムが再起動す る と 、モニ タ はindex.html フ ァ イ ルの利用が可能であ る こ と を検知 し 、 Web サ イ ト への接続要 求の送信を開始 し ま す。 し か し 、 Web サ イ ト のそれ以外の部分では 12 - 12 接続要求を受信す る 準備が整っ ていないため、 結果的に BIG-IP は、 Web サ イ ト が き ちん と 応答で き る 状態にな る 前に、 接続要求を送信 し て し ま う こ と にな り ます。 こ の よ う な問題を防止す る には、 モニ タ の Manual Resume を設定 し ます。 Manual Resume を Yes と 設定す る と 、 ユーザが手動で リ ソ ー ス を有効にす る ま で、 BIG-IP はその リ ソ ー ス の利用が不可能であ る と みな し ます。 つま り 、 モニ タ の Manual Resume を Yes と 設定 し て、 そのモニ タ を リ ソ ース に関連付けた後に、その リ ソ ース の利用が不可能にな っ た場 合、 手動で有効にす る ま で リ ソ ース はオ フ ラ イ ン の ま ま と な り ます。 既存モニ タ の Manual Resume 設定の変更 カ ス タ ム モニタ の作成時に Manual Resume を 設定する か、も し く は既 存のカ ス タ ム モニタ の Manual Resume 設定を 変更する こ と ができ ま す。 カ ス タ ム モニタ の作成方法については、「 カ ス タ ムモニ タ の作成」 ( 12-8 ページ) を 参照し てく ださ い。 既存のカ ス タ ム モニタ の Manual Resume 設定を 変更する 場合は、 以下の手順に従っ てく ださ い。 Manual Resume プ ロパテ ィ を変更する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て、 [Monitors] を ク リ ッ ク し ます。 メ イ ン モニ タ 画面が開 き ます。 2. 該当す る モニ タ の名前を ク リ ッ ク し ます。 そのモニ タ のプ ロ パテ ィ 画面が開 き ます。 3. [Configuration] リ ス ト か ら 、 [Advanced] を選択 し ます。 4. [Manual Resume] オプシ ョ ン で、 [Yes] を ク リ ッ ク し ます。 5. [Update] を ク リ ッ ク し ます。 接続の再開 モニ タ が down と マー ク 付け し た リ ソ ース ( ノ ー ド やプール メ ンバな ど) があ り 、 その リ ソ ース がその後再び利用可能にな っ た場合、 モニ タ の [Manual Resume] が Yes と 設定 さ れていれば、 その リ ソ ース を 手動で再度有効にす る 必要があ り ます。 リ ソ ース を手動で再度有効に す る こ と で、 BIG-IP はその リ ソ ースへの接続の送信を再開 し ます。 リ ソ ー ス を 手動で再度有効にす る 手順は、 そ の リ ソ ー ス がプール、 プール メ ンバ、 ノ ー ド の どれであ る かに よ っ て変わ っ て き ます。 詳細 については、 第 3 章 「 ノ ー ド の設定」 と 第 4 章 「 ロ ー ド バ ラ ン シ ン グ プールの設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 12 - 13 第 12 章 モニ タ の設定 Check Until Up の設定 1 つのプール メ ンバに対 し て ア ク テ ィ ブ と パ ッ シブの両方のモニ タ リ ン グ を実装す る 場合、 ア ク テ ィ ブモニ タ の Check Until Up 設定を 有効にす る こ と がで き ます。ア ク テ ィ ブ と パ ッ シブのモニ タ リ ン グ を 設定 し て、 Check Until Up 設定を有効にす る と 、 ア ク テ ィ ブモニ タ は プール メ ンバが up であ る こ と が確定 し た時点でそのプール メ ンバの ヘル ス チ ェ ッ ク を終了 し ます。 プール メ ンバが up であ る こ と が確定 す る と 、 そのプール メ ン バに対す る ヘル ス チ ェ ッ ク 機能は無効にな り 、 Inband モニ タ が down 状態のプール メ ンバの検出を開始 し ます。 表 12.4 では、 パ ッ シブモニ タ リ ン グが設定 さ れてい る と き に、 ア ク テ ィ ブモニ タ で Check Until Up 機能を有効に し た場合 と 無効に し た 場合の違い を比較 し てい ます。 Check Until Up 設定 有効 無効 Inband モ ニ タ がプール メ ンバを up と マー ク付け Inband モニ タ がプール メ ンバを down と マー ク 付け その場合 その場合 Inband モニ タ がプール メ ンバーを down と マー ク 付けす る ま で、 ア ク テ ィ ブモニ タ はそ のプール メ ンバのヘル ス チ ェ ッ ク を控え る 。 プールメ ン バーが upである と の報告がある ま で、 ア ク ティ ブモニタ はそのプールメ ン バの ヘルス チェ ッ ク を 行う 。 その後、 Inband モニ タ を 使っ てプールメ ン バの監視が行われる 。 ア ク テ ィ ブモ ニ タ はプール メ ン バのヘル ス チ ェ ッ ク を継続的に行 う 。 ア ク テ ィ ブ モ ニ タ はプール メ ン バのヘル ス チ ェ ッ ク を継続的に行 う 。 表 12.4 パ ッ シブモニ タ リ ン グ有効時に Check Until Up 設定がア ク テ ィ ブモニ タ に与え る 影響 重要 こ の設定を Inband モニ タ と 共に使用す る 場合は、 Inband モニ タ の [Retry Time] を 0 に設定 し て く だ さ い。 12 - 14 モニ タ のプール と ノ ー ド への関連付け モニ タ を作成 し てその設定を構成 し た ら 、監視対象のサーバにモニ タ を関連付け る こ と が最後の作業 と な り ます。サーバはモニ タ の タ イ プ に よ っ てプール、 プール メ ンバ、 ま たは ノ ー ド にな り ます。 モニタ と サーバは以下のいずれかの方法で関連付ける こ と ができ ま す。 ◆ モニ タ と プールの関連付け こ の タ イ プの関連付けでは、 モニ タ が ロ ー ド バ ラ ン シ ン グ プール 全体に関連付け ら れ ま す。 こ の場合、 モニ タ はプールのすべての メ ンバをチ ェ ッ ク し ます。 た と えば、 プール my_pool の各 メ ンバ にモニ タ http の イ ン ス タ ン ス を作成で き ます。 こ れに よ っ てその プールの メ ンバすべてが確実にチ ェ ッ ク さ れ ます。 ◆ モニ タ と プール メ ンバの関連付け こ の タ イ プの関連付けでは、 モニ タ が個別のプール メ ン バ、 つ ま り IP ア ド レ ス と サービ ス に関連付け ら れます。 こ の場合、 モニ タ では目的のプール メ ンバのみがチ ェ ッ ク さ れ、 プールのその他の メ ンバはチ ェ ッ ク さ れ ません。 た と えば、 my_pool のプール メ ン バ 10.10.10.10:80 に対 し てモニ タ http の イ ン ス タ ン ス を作成で き ます。 ◆ モニ タ と ノ ー ド の関連付け こ の タ イ プの関連付けでは、 モニ タ が特定の ノ ー ド に関連付け ら れ ま す。 こ の場合、 モニ タ では ノ ー ド 自体がチ ェ ッ ク さ れ る だけ で、 その ノ ー ド 上で動作 し てい る サービ ス はチ ェ ッ ク さ れません。 た と えば、 ノ ー ド 10.10.10.10 に対 し てモニ タ icmp の イ ン ス タ ン ス を 作成で き ま す。 こ の場合、 モ ニ タ で は特定の ノ ー ド のみが チ ェ ッ ク さ れ、 その ノ ー ド 上で動作 し てい る サービ ス はチ ェ ッ ク さ れ ません。 モニ タ は、 BIG-IP で 1 つ以上の ノ ー ド と 関連付け る デフ ォ ル ト モ ニ タ と し て指定で き ま す。 こ の場合、 モニ タ を特に割 り 当て てい ない ノ ー ド は、 デフ ォ ル ト モニ タ を継承 し ます。 モ ニ タ の タ イ プに よ っ て は、 プール ま た はプール メ ン バでは な く 、 ノ ー ド のみに関連付け る よ う に設計 さ れて い る も の も あれば、 ノ ー ド ではな く プール と プール メ ン バに関連付け る よ う に設計 さ れてい る も の も あ り ます。 ノ ー ド のみのモニ タ は、サービ ス ポー ト な し の IP ア ド レ ス だ け の 形 式 で 宛 先 ア ド レ ス を 指 定 し ま す (た と え ば、 10.10.10.2)。 反対に、 ノ ー ド 、 プールお よ びプール メ ンバに関連付け ら れ る モニ タ は、 IP ア ド レ ス と サービ ス ポー ト の形式で宛先ア ド レ ス を指定 し ます (た と えば、10.10.10.2:80)。し たが っ て、設定ユーテ ィ リ テ ィ を使用 し てモニ タ を プール、 プール メ ンバ、 ノ ー ド に関連付け る 場合、該当す る サーバ と の関連付けに対応 し た設定済みモニ タ のみ が表示 さ れ る よ う にな っ てい ます。 た と えば、 モニ タ icmp を プール ま たはその メ ンバに関連付け る こ と はで き ません。 こ れは icmp モニ タ が ノ ー ド 自身の状態をチ ェ ッ ク す る よ う 設計 さ れてお り 、その ノ ー ド 上で実行 し てい る サービ ス を チ ェ ッ ク す る よ う には設計 さ れてい ないためです。 モニ タ を サーバに関連付け る と 、 BIG-IP は自動的にそのサーバに対 す る モニ タ の イ ン ス タ ン ス を作成 し ます。 次に、 モニ タ の関連付けに よ っ て ユーザが指定す る 各サーバに対 し て モ ニ タ の イ ン ス タ ン ス が 作成 さ れます。 し たがっ て、 サーバ上で同 じ モニ タ の複数の イ ン ス タ ン ス が動作す る こ と があ り ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 12 - 15 第 12 章 モニ タ の設定 設定ユーテ ィ リ テ ィ では、 サーバ上で動作 し てい る モニ タ の イ ン ス タ ン ス を無効にす る こ と がで き ます。 こ れに よ っ て、 実際にモニ タ の 関連付け を削除せずにヘル ス チ ェ ッ ク やパ フ ォ ーマ ン ス チ ェ ッ ク を 延期で き ます。 サーバの監視を再び開始す る 準備が整っ た ら 、 モニ タ のその イ ン ス タ ン ス を単純に も う 一度有効に し ます。 プール と プール メ ンバにモニ タ を関連付け る 方法については、第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を参照 し て く だ さ い。 ノ ー ド に モニ タ を関連付け る 方法については、 第 3 章 「 ノ ー ド の設定」 を参照 し て く だ さ い。 12 - 16 モニ タ の管理 既存のモニ タ を管理す る 場合、こ れ ら のモニ タ を表示ま たは削除 し た り 、 モニ タ の イ ン ス タ ン ス を有効お よ び無効に し た り で き ます。 モニ タ を削除す る 前に、モニ タ の既存の関連付け をすべて削除す る 必要が あ り ます。 注 ユーザ ロ ール と パーテ ィ シ ョ ン ア ク セ ス割 り 当てに基づ き、管理が許 可 さ れてい る モニ タ のみを操作す る こ と がで き ます。 モニ タ を表示するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Monitors] を ク リ ッ ク し ます。 [Monitors] 画面が開 き ます。 2. モニ タ 名を ク リ ッ ク し ます。 モニ タ 設定 と その値が表示 さ れ ます。 モニ タ を削除するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Monitors] を ク リ ッ ク し ます。 [Monitors] 画面が開 き ます。 2. 削除す る モニ タ の [Select] ボ ッ ク ス をチ ェ ッ ク し ます。 3. [Delete] を ク リ ッ ク し ます。 イ ン タ ーフ ェ イ ス削除の確認 メ ッ セージが表示 さ れ ます。 4. [Delete] を ク リ ッ ク し ます。 モニ タ イ ン ス タ ン ス を有効または無効にするには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Monitors] を ク リ ッ ク し ます。 [Monitors] 画面が開 き ます。 2. リ ス ト か ら モニ タ 名を ク リ ッ ク し ます。 3. メ ニ ュ ーバーの [Instances] を ク リ ッ ク し ます。 既存のモニ タ の イ ン ス タ ン ス が一覧表示 さ れ ます。 4. 管理す る イ ン ス タ ン ス の [Select] ボ ッ ク ス をチ ェ ッ ク し ます。 5. [Enable] ま たは [Disable] を ク リ ッ ク し ます。 6. [Update] を ク リ ッ ク し ます。 注 モニ タ の イ ン ス タ ン ス はパーテ ィ シ ョ ン分割オブジ ェ ク ト ではない ため、ユーザは関連す る プールやプール メ ンバの管理が許可 さ れてい な く て も 、 モニ タ の イ ン ス タ ン ス を有効化 / 無効化する こ と がで き ま す。 た と えば、 Manager ロ ールを持ち、 AppA パーテ ィ シ ョ ンにのみ BIG-IP® Local Traffic Management 設定ガ イ ド 12 - 17 第 12 章 モニ タ の設定 ア ク セ ス で き る ユーザは、Common パーテ ィ シ ョ ン内にあ る プールの イ ン ス タ ン ス について も 有効化 / 無効化す る こ と がで き ます。ただ し 、 そのモニ タ に関連付け ら れたプールやプール メ ン バに対 し て処理を 実行す る こ と はで き ません。 こ れは正 し い機能なのですが、 ユーザに と っ ては予想外の挙動か も し れません。モニ タ イ ン ス タ ン ス に関連付 け ら れたすべてのプール と プール メ ンバ を同 じ パーテ ィ シ ョ ン に配 置す る こ と で、 こ の よ う な予想外の挙動を防止す る こ と がで き ます。 12 - 18 13 NAT の設定 • ネ ッ ト ワー ク ア ド レ ス変換 (NAT) の概要 • NAT の作成 • NAT の管理 ネ ッ ト ワー ク ア ド レ ス変換 (NAT) の概要 NAT を 使う ケ ース と し て、外部ネッ ト ワ ーク のク ラ イ ア ン ト が特定の 内部ノ ード に要求を 直接送信( つま り 、 通常のロ ード バラ ン シン グ に よ る サーバ選択を 迂回) でき る よ う にし た 方がいいケ ース があ り ま す。 要求を 内部サーバに直接送信する には、 通常はク ラ イ ア ン ト が内 部ノ ード の IP ア ド レ ス ( ほと んど の場合、 プラ イ ベート ク ラ ス の IP ア ド レ ス ) を 知っ ている 必要があ り ま す。 プラ イ ベート ク ラ ス の IP ア ド レ ス はルーティ ン グ が不可能なこ と から 、 代わり にネッ ト ワ ーク ア ド レ ス 変換( NAT) を 作成し て対応し ま す。 NAT は、 外部ノ ード が内 部ノ ード と のト ラ フ ィ ッ ク の送受信に使用する た めのルーテ ィ ン グ 可能な IP ア ド レ ス を 提供し ま す。 NAT と は? NAT と は、パケ ッ ト ヘ ッ ダ内の 1 つの IP ア ド レ ス を別の IP ア ド レ ス に変換す る よ う に BIG-IP に指示す る ア ド レ ス変換オブジ ェ ク ト です。 NAT では、パブ リ ッ ク IP ア ド レ ス と 内部のプ ラ イ ベー ト ク ラ ス IP ア ド レ ス が 1 対 1 でマ ッ ピ ン グ さ れ ます。 NAT には以下の 2 種類の使用法があ り ます。 ◆ プ ラ イ ベー ト ク ラ ス の宛先ア ド レ ス をパブ リ ッ ク ア ド レ ス に変換 (外部→内部) 外部 ノ ー ド が NAT で定義 さ れたパブ リ ッ ク IP ア ド レ ス に ト ラ フ ィ ッ ク を送信す る と 、 BIG-IP はその宛先ア ド レ ス を関連す る プ ラ イ ベー ト ク ラ ス IP ア ド レ ス (内部ネ ッ ト ワ ー ク の特定 ノ ー ド を 表す) に自動で変換 し ま す。 こ の変換は、 ト ラ フ ィ ッ ク を送信 し た外部 ノ ー ド か ら は見え ない よ う にな っ てい ま す。 詳細について は、 「受信接続用の NAT について 」 (13-2 ページ) を参照 し て く だ さ い。 ◆ プ ラ イ ベー ト ク ラ ス の送信元ア ド レ ス をパブ リ ッ ク ア ド レ ス に変 換 (内部→外部) NAT では、内部 ノ ー ド のプ ラ イ ベー ト ク ラ ス送信元 IP ア ド レ ス を パブ リ ッ ク IP ア ド レ ス に変換す る こ と も で き ます。 こ の変換は、 ト ラ フ ィ ッ ク を受信す る 外部 ノ ー ド か ら は見え ない よ う にな っ て い ます。詳細については、「発信接続用の NAT について 」 (13-4 ペー ジ) を参照 し て く だ さ い。 NAT は、 プ ラ イ ベー ト ク ラ ス の IP ア ド レ ス を持つ ノ ー ド でパケ ッ ト を送受信す る ための、 ルーテ ィ ン グ可能な ア ド レ ス を提供 し ます。 NAT を作成す る と 、 プ ラ イ ベー ト ク ラ ス の IP ア ド レ ス を 1 つにかぎ り 特定のパブ リ ッ ク IP ア ド レ ス に割 り 当て る こ と がで き ます。 つま り 、 NAT では常に、 プ ラ イ ベー ト ク ラ ス IP ア ド レ ス と パブ リ ッ ク IP ア ド レ ス が 1 対 1 でマ ッ ピ ン グ さ れ る よ う にな っ てい ます。複数のプ ラ イ ベー ト ク ラ ス IP ア ド レ ス (つま り 複数の内部 ノ ー ド ) を 1 つの パブ リ ッ ク IP ア ド レ ス にマ ッ ピ ン グ し たい場合は、 NAT ではな く SNAT を作成 し ます。 詳細については、 第 14 章 「SNAT の設定」 を参 照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 13 - 1 第 13 章 NAT の設定 NAT を作成す る には、設定ユーテ ィ リ テ ィ か bigpipe ユーテ ィ リ テ ィ のいずれか を 使用 し ま す。 設定ユーテ ィ リ テ ィ の使い方につい ては 「NAT の作成」 (13-6 ページ) を、 bigpipe ユーテ ィ リ テ ィ の使い方に つい て は 『Bigpipe Utility Reference Guide』 を、 それぞれ参照 し て く だ さ い。 注 NAT はポー ト 変換をサポー ト し ていないため、 FTP、 NT Domain、 CORBA IIOP な ど、 パケ ッ ト に IP を埋め込むプ ロ ト コ ルには適 し て い ません。 ヒント NAT を使っ て内部 ノ ー ド へのア ク セ ス を提供す る場合、その内部 ノ ー ド のすべてのポー ト が解放 さ れます。こ の よ う なセキ ュ リ テ ィ 上の リ ス ク を緩和す る には、 SNAT の使用を検討 し て く だ さ い。 詳細につい ては、 第 14 章 「SNAT の設定」 を参照 し て く だ さ い。 BIG-IP では、 受信接続か発信接続のいずれか一方に NAT を適用す る こ と がで き ます。 受信接続用の NAT について NAT におけ る 受信接続 と は、 外部ネ ッ ト ワ ー ク の ノ ー ド に よ っ て開 始 さ れ、 BIG-IP が受信 し た後に、 内部ネ ッ ト ワ ー ク の ノ ー ド に到達 す る 接続を指 し ます。 NAT を使用 し ない場合 通常、 BIG-IP が受信す る ト ラ フ ィ ッ ク については、 プールで設定 さ れた ロ ー ド バ ラ ン シ ン グ方式に従い、プール内のサーバに以下の よ う な方法で負荷分散が行われ ます。 • 外部ネ ッ ト ワー ク の ク ラ イ ア ン ト は通常、 BIG-IP のバーチ ャ ル サーバに ト ラ フ ィ ッ ク を送信 し ます。 こ の場合、 宛先 IP ア ド レ ス はバーチ ャ ルサーバのア ド レ ス と な り ます。 • 通常バーチ ャ ルサーバは、 パケ ッ ト を受信す る と 、 そのパケ ッ ト の負荷を分散す る ために、宛先 IP ア ド レ ス を プール メ ンバの IP ア ド レ ス に変換 し ます。 • 続いてプールメ ン バが、 サーバノ ード のルーティ ン グテーブルで指 定さ れた経路 (理想は、 内部 VLAN に割り 当てら れたフ ロ ーティ ン グ IP アド レ ス ) を 使っ て、 BIG-IP 経由で応答を 返信し ま す。 その 応答を 受信する と 、 BIG-IP は逆変換を 実行し ま す。 つま り 、 プール メ ン バの実際の送信元アド レ ス が、 バーチャ ルサーバのアド レ ス に 変換さ れる こ と になり ま す。 その結果、 ク ラ イ アン ト に返さ れる 応 答内の送信元アド レ ス はバーチャ ルサーバのアド レ ス と なり 、 ク ラ イ アン ト にはこ の送信元アド レ ス が示さ れま す。 こ の よ う な一般的な ロ ー ド バ ラ ン シ ン グのシナ リ オに よ っ て、負荷分 散 さ れた ト ラ フ ィ ッ ク では、内部 ノ ー ド の内部プ ラ イ ベー ト ク ラ ス IP ア ド レ ス が ク ラ イ ア ン ト シ ス テ ム に示 さ れ る こ と はあ り ません。 13 - 2 NAT を使用 し た場合 ロ ー ド バ ラ ン シ ン グ メ カ ニズ ム を迂回 し て、ク ラ イ ア ン ト シ ス テ ムが 内部ネ ッ ト ワ ー ク の特定 ノ ー ド に直接パケ ッ ト を送信す る よ う にす る には、 ルーテ ィ ン グ可能な IP ア ド レ ス を使っ てそのサーバ ノ ー ド にパケ ッ ト を送信す る 必要があ り ます。 NAT は、 ク ラ イ ア ン ト が内部サーバに対 し て直接要求を行 う ための ルーテ ィ ン グ可能な ア ド レ ス を提供す る こ と で、こ の問題を解消 し ま す。 その際 NAT は、 バーチ ャ ルサーバがプール メ ンバへの接続の負 荷分散時に行 う の と 同様のア ド レ ス変換を実行 し ます。 ただ し 、 NAT の場合は ク ラ イ ア ン ト が特定の ノ ー ド に要求を送信す る こ と か ら 、負 荷分散が発生す る こ と はあ り ません。 NAT は、 要求内のパブ リ ッ ク 宛先 IP ア ド レ ス を内部 ノ ー ド のプ ラ イ ベー ト ク ラ ス IP ア ド レ ス に変 換 し ます。 サーバ ノ ー ド か ら 応答が送信 さ れ る と 、 BIG-IP はバーチ ャ ルサーバ と 同 じ よ う に逆変換 を 実行 し ま す ( こ の逆変換の詳細につい ては、 「NAT を使用 し ない場合」 (13-2 ページ) を参照 し て く だ さ い)。 注 BIG-IP が NAT 接続の追跡を行 う こ と はあ り ません。し たがっ て、NAT で指定す る パブ リ ッ ク IP ア ド レ ス を、 仮想ア ド レ スや SNAT ア ド レ ス と 同 じ ア ド レ ス にす る こ と はで き ません。 NAT の作成例 内部ネ ッ ト ワ ー ク の ノ ー ド ( ロ ー ド バ ラ ン シ ン グ サーバ な ど) が、 172.16.20.3 と い う プ ラ イ ベー ト ク ラ ス の IP ア ド レ ス を持っ てい る と し ます。 選択 し たパブ リ ッ ク 宛先ア ド レ ス (207.10.1.103 な ど) を プ ラ イ ベー ト ク ラ ス のア ド レ ス 172.16.20.3 に変換す る ための NAT を作 成す る こ と がで き ます。 結果、 外部ネ ッ ト ワ ー ク の ノ ー ド がア ド レ ス 207.10.1.103 への接続を開始す る と 、 BIG-IP は常にそのパブ リ ッ ク 宛 先ア ド レ ス を プ ラ イ ベー ト ク ラ ス のア ド レ ス 172.16.20.3 に変換す る よ う にな り ます。 図 13.1 は、 受信接続で発生す る ア ド レ ス変換を解説 し た も のです。 図 13.1 受信接続用の NAT の例 BIG-IP® Local Traffic Management 設定ガ イ ド 13 - 3 第 13 章 NAT の設定 上の例では、 外部 ノ ー ド が内部 ノ ー ド への接続を開始で き る よ う に、 NAT はルーテ ィ ン グ可能な ア ド レ ス を提供 し てい ます。 NAT を作成す る 際には、 NAT Address と Origin Address の 2 つの値 を指定す る 必要があ り ます。 こ の例の場合、 以下の よ う にな り ます。 • NAT Address は 207.10.1.103、 Origin Address は 172.16.20.3 です。 • 接続は受信接続です。 つ ま り 、 外部ネ ッ ト ワ ー ク で開始 さ れた接 続が、 BIG-IP を経由 し て、 内部ネ ッ ト ワ ー ク に送信 さ れてい ます。 • BIG-IP は、 NAT Address を Origin Address に変換 し ます。 • NAT Address と Origin Address は共に宛先ア ド レ ス です。 発信接続用の NAT について 前の 「受信接続用の NAT について 」 (13-2 ページ) では、 BIG-IP が 通常ど の よ う に着信 ト ラ フ ィ ッ ク の負荷を分散 し 、応答内の発信元 IP ア ド レ ス を仮想ア ド レ ス に変換す る のかについて説明 し ま し た。 し か し 、 場合に よ っ ては、 内部 ノ ー ド は単に要求に応答す る だけでな く 、 接続を開始 し なければな ら ないケース も 出て き ます。 内部ネ ッ ト ワー ク の ノ ー ド に よ っ て接続が開始 さ れた場合、その接続は発信接続 と 見な さ れ ます。 こ の場合、 発信パケ ッ ト は負荷分散 さ れた要求への 応答 と はな ら ないため、 バーチ ャ ルサーバを通過す る こ と はな く 、 負 荷分散時の送信元 IP ア ド レ ス変換が実行 さ れ る こ と も あ り ません。 NAT を使用 し なければ、 送信元 IP ア ド レ ス はルーテ ィ ン グ不可能な ア ド レ ス と な り ます。 し か し 、 NAT を使用 し た場合、 BIG-IP は内部 ノ ー ド のプ ラ イ ベー ト ク ラ ス IP ア ド レ ス をパブ リ ッ ク IP ア ド レ ス に 変換 し 、外部 ノ ー ド はそのア ド レ ス に対 し て応答を送信す る こ と がで き ます。 NAT の作成例 内部 ノ ー ド ( メ ールサーバな ど) が 172.16.20.1 と い う プ ラ イ ベー ト ク ラ ス の IP ア ド レ ス を持っ てい る と し ます。 こ のプ ラ イ ベー ト ク ラ ス ア ド レ ス 172.16.20.1 を、 選択 し たパブ リ ッ ク 送信元 ス ア ド レ ス (207.10.1.101 な ど) に変換す る ための NAT を作成す る こ と がで き ま す。 結果、 内部 ノ ー ド 172.16.20.1 が外部ネ ッ ト ワー ク の ノ ー ド への 接続を開始す る と 、 BIG-IP は常に発信元ア ド レ ス 172.16.20.1 をパブ リ ッ ク ア ド レ ス (207.10.1.101) に変換す る よ う にな り ます。 図 13.2 (13-5 ページ) は、 発信接続で発生す る ア ド レ ス変換を解説 し た も のです。 13 - 4 図 13.2 発信接続用の NAT の例 上の例において、 NAT は、 送信元ア ド レ ス と し てのプ ラ イ ベー ト ク ラ ス IP ア ド レ ス を示す こ と な く 、 内部 ノ ー ド が外部ネ ッ ト ワ ー ク の ノ ー ド への接続を開始す る 方法を提供 し てい ます。 すでに述べた よ う に、 NAT では NAT Address と Origin Address の 2 つの値を指定す る 必要があ り ます。 こ の例の場合、 以下の よ う にな り ます。 • NAT Address は 207.10.1.101、 Origin Address は 172.16.20.1 です。 • 接続は発信接続です。 つ ま り 、 内部ネ ッ ト ワ ー ク で開始 さ れた接 続が、 BIG-IP を経由 し て、 外部ネ ッ ト ワー ク に送信 さ れてい ます。 • BIG-IP は、 Origin Address を NAT Address に変換 し ます。 • Origin Address と NAT Address は共に送信元ア ド レ ス です。 すでに説明 し た よ う に、 NAT では常に、 パブ リ ッ ク ア ド レ ス と プ ラ イ ベー ト ク ラ ス ア ド レ ス が 1 対 1 でマ ッ ピ ン グ さ れ る よ う にな っ てい ます。複数の内部 ノ ー ド を 1 つのパブ リ ッ ク ア ド レ ス にマ ッ ピ ン グ し た い 場合 は、 NAT で は な く セ キ ュ ア ネ ッ ト ワ ー ク ア ド レ ス 変換 (SNAT) を使用 し ま す。 SNAT は発信接続に対 し てのみ利用可能で す。 詳細については、 第 14 章 「SNAT の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 13 - 5 第 13 章 NAT の設定 NAT の作成 設定ユーテ ィ リ テ ィ を利用 し て、 内部 ノ ー ド ご と に別々の NAT ア ド レ ス を作成す る 必要があ り ます。 NAT を作成す る と き に、 一連のプ ロ パテ ィ を設定 し ます。 NAT を作成す る 際に [NAT Address] 設定 と [Origin Address] 設定を行 う 必要があ り ますが、 その他の設定にはデ フ ォ ル ト 値を使用 し た り 、 後でその値を変更 し た り で き ます。 NAT を作成する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し 、 [SNATs] を ク リ ッ ク し ます。 [SNATs] 画面が開 き ます。 2. メ ニ ュ ーバーで、 [NAT List] を ク リ ッ ク し ます。 3. 右上の [Create] を ク リ ッ ク し ます。 [New NAT] 画面が開 き ます。 注 : [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 現在のユーザ ロ ールに NAT を作成す る権限がない と い う こ と にな り ます。 4. [NAT Address] ボッ ク ス に、 内部ノ ード のルーティ ン グ 可能な パブリ ッ ク ア ド レ ス と し て使用する IP ア ド レ ス を 入力し ま す。 5. [Origin Address] ボ ッ ク ス に、 その内部 ノ ー ド のプ ラ イ ベー ト ク ラ ス IP ア ド レ ス を入力 し ます。 6. その他すべての値を、 その ま ま 使用す る か、 必要に応 じ て変 更 し ます。 7. [Finished] を ク リ ッ ク し ます。 表 13.1 に、 NAT に構成で き る 設定 と その説明を示 し ます。 . NAT 属性 説明 デ フ ォル ト 値 NAT Address BIG-IP 上のルーテ ィ ン グ可能な外部 IP ア ド レ ス であ り 、 外部 ノ ー ド は こ の ア ド レ ス に接続を送信 し た り (受信接続の場合) 、 こ のア ド レ ス か ら 接続を 受信 (発信接続の場合) し た り し ます。 デフ ォ ル ト 値な し Origin Address 内部 ノ ー ド のプ ラ イ ベー ト ク ラ ス IP ア ド レ ス であ り 、 外部ネ ッ ト ワー ク の ノ ー ド は こ のア ド レ ス にア ク セ ス し ます。 デフ ォ ル ト 値な し State NAT の状態で、 [Enabled] ま たは [Disabled] です。 Enabled ARP BIG-IP に、 指定 し た NAT ア ド レ ス か ら の ARP 要求に応答 し 、 ルー タ テーブ ル更新の Gratuitous ARP 要求を送信す る よ う 指示す る 設定。 Enabled VLAN Traffic NAT Address ま たは Origin Address に対応す る 特定の VLAN。 複数の内部 VLAN があ る 場合な ど、 NAT がマ ッ ピ ン グ さ れていない VLAN は、 明示的 に無効にで き ます。 All VLANS 表 13.1 NAT の設定 13 - 6 その他の制約事項 NAT を使用す る 場合、 次の制約事項に注意 し て く だ さ い。 • [Origin Address] ボ ッ ク ス で定義す る IP ア ド レ ス は、 内部ネ ッ ト ワ ー ク 上に実際に置かれた特定のサーバに対応 し てい る 必要があ り ます。 • NAT を再設定す る こ と はで き ず、 い っ たん削除 し て作成 し なおす 必要があ り ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 13 - 7 第 13 章 NAT の設定 NAT の管理 設定ユーティ リ ティ を 利用し て、既存の NAT を さ ま ざま な方法で管理 する こ と ができ ま す。 たと えば、 標準 NAT が元の IP アド レ ス を 変換 アド レ ス にマッ ピ ン グ する 方法を 変更し た方がいい場合も あ り ま す。 NAT の管理で実行で き る タ ス ク には、 次の も のがあ り ます。 • NAT の確認 / 変更 • NAT の削除 • ロ ー ド バ ラ ン シ ン グプールでの NAT の有効化 / 無効化 注 NAT を管理する には、ユーザア カ ウ ン ト に適切なユーザ ロ ールが割 り 当て ら れてい る必要があ り ます。 NAT の確認 / 変更 こ れ ま でに作成 し た NAT を確認ま たは変更す る こ と がで き ます。 NAT を表示または変更するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [SNATs] を ク リ ッ ク し ます。 既存の SNAT の リ ス ト が表示 さ れ ます。 2. メ ニ ュ ーバーで、 [NAT List] を ク リ ッ ク し ます。 既存の NAT の一覧が表示 さ れます。 3. [NAT] カ ラ ム で、 NAT ア ド レ ス を ク リ ッ ク し ます。 NAT のプ ロ パテ ィ が表示 さ れ ます。 4. 設定を変更 し 、 [Update] を ク リ ッ ク し ます。 NAT の削除 こ れ ま でに作成 し た NAT を削除す る こ と がで き ます。 NAT を削除する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [SNATs] を ク リ ッ ク し ます。 既存の SNAT の リ ス ト が表示 さ れ ます。 2. メ ニ ュ ーバーで、 [NAT List] を ク リ ッ ク し ます。 3. [NAT] カ ラ ム で、削除す る NAT を探 し て、左側の [Select] ボ ッ ク ス をチ ェ ッ ク し ます。 4. 画面の下部で [Delete] を ク リ ッ ク し ます。 確認ボ ッ ク ス が表示 さ れ ます。 5. [Delete] を ク リ ッ ク し ます。 13 - 8 ロー ド バラ ン シ ングプールでの NAT の有効化 / 無効化 ロ ー ド バ ラ ン シ ン グプールを設定す る 場合、こ のプールを使用す る 接 続で NAT 変換を無効にす る よ う に指定で き ます。 デフ ォ ル ト では、 こ の設定は有効にな っ てい ます。 詳細については、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 13 - 9 14 SNAT の設定 • セキ ュ アネ ッ ト ワー ク ア ド レ ス変換の概要 • SNAT プールの作成 • SNAT の作成 • SNAT の管理 • SNAT の例 セキ ュ アネ ッ ト ワー ク ア ド レ ス変換の概要 セキ ュ アネ ッ ト ワー ク ア ド レ ス変換 (SNAT) は、 接続に含まれ る 送 信元 IP ア ド レ ス を、 ユーザが定義す る BIG-IP の IP ア ド レ ス に変換 し ます。宛先 ノ ー ド は こ の新 し い送信元ア ド レ ス を宛先ア ド レ ス と し て使用 し て、 要求に応答 し ます。 受信接続 (つま り 、 ク ラ イ ア ン ト ノ ー ド で開始 さ れた接続) では、 デ フ ォ ル ト 経路が BIG-IP 経由にな っ ていない場合で も 、 SNAT に よ っ てサーバ ノ ー ド が常に BIG-IP経由で応答を送信す る よ う にな り ます。 SNAT に よ り BIG-IP 経由で応答が送信 さ れ る よ う にな る こ と か ら 、ク ラ イ ア ン ト 側か ら 見れば自 ら が要求 を送信 し た ア ド レ ス か ら 応答が 送 ら れて く る よ う に映 り 、その応答を受け入れ る と い う 仕組みにな っ てい ます。 発信接続 (つ ま り 、 サーバ ノ ー ド で開始 さ れた接続) では、 サーバ ノ ー ド の内部 IP ア ド レ ス が外部ホ ス ト か ら 見え ない よ う に隠ぺい さ れた状態の ま ま、 サーバでそのホ ス ト への接続が開始 さ れます。 重要 SNAT の実装に先立ち、 第 13 章 「NAT の設定」 を読んでお く こ と を お勧め し ます。 SNAT は NAT に よ く 似てい ますが、 主に以下の点が異な り ます。 • NAT ではオ リ ジナルア ド レ ス と 変換ア ド レ ス が 1 対 1 でマ ッ プ さ れ る の対 し て、 SNAT では複数のオ リ ジナルア ド レ ス を 1 つの変 換ア ド レ ス にマ ッ プで き る よ う にな っ てい ます。 1 つの SNAT オ ブジ ェ ク ト で、 ネ ッ ト ワー ク 上のすべての ノ ー ド ア ド レ ス を 1 つ のパブ リ ッ ク IP ア ド レ ス にマ ッ プす る こ と も 可能です。 • NAT を使用す る 場合、 内部 ノ ー ド のすべてのポー ト が解放 さ れま すが、 SNAT では、 デフ ォ ル ト でサポー ト さ れ る のは UDP と TCP のみ と な っ てい ます。 こ れ も ま た、 SNAT の安全性を NAT に く ら べて高 く し てい る 要素の 1 つです。 • BIG-IP は SNAT 接続を追跡 し 、 SNAT と バーチ ャ ルサーバが同 じ パブ リ ッ ク IP ア ド レ ス を使用す る こ と を許可 し ます。NAT 接続で は BIG-IP に よ る 追跡は行われず、その点で SNAT と は異な り ます。 • 内部 ノ ー ド の ト ラ フ ィ ッ ク が BIG-IP に到達す る 内部 VLAN に対 し て、 NAT を明示的に有効にす る 必要があ り ます。 デフ ォ ル ト では、 作成 し た SNAT はすべての VLAN に対 し て有効にな り ます。 SNAT を作成す る には、設定ユーテ ィ リ テ ィ 、Traffic Management シ ェ ル (tmsh)、 bigpipe ユーテ ィ リ テ ィ のいずれか を使用 し ます。 ま た、 作成す る SNAT の タ イ プに よ っ ては、 iRule を書 く こ と も 可能です。 tmsh の使い方については 『Traffic Management Shell (tmsh) Reference Guide』を、 bigpipe ユーテ ィ リ テ ィ の使い方については『Bigpipe Utility Reference Guide』 を、 それぞれ参照 し て く だ さ い。 ま た iRulesTM につ いては、 F5 Networks DevCentral サ イ ト (http://devcentral.f5.com) お よ び第 17 章 「iRule の記述」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 14 - 1 第 14 章 SNAT の設定 ク ラ イ ア ン ト で開始 さ れた (受信) 接続での SNAT の概要 一般的な ク ラ イ ア ン ト - サーバ型のネ ッ ト ワ ー ク 構成では、BIG-IP の 標準ア ド レ ス変換 メ カ ニズ ムに よ っ てサーバ応答が BIG-IP 経由で ク ラ イ ア ン ト に返 さ れ、 オ リ ジナルの宛先 IP ア ド レ ス変換が逆に行わ れ る よ う にな っ てい ます。こ の一般的なネ ッ ト ワー ク 構成 と は以下の よ う な も のです。 • BIG-IP と 同 じ サブネ ッ ト 上にサーバ ノ ー ド があ る 。 • サーバ ノ ー ド と は別のサブネ ッ ト 上に ク ラ イ ア ン ト ノ ー ド が あ る。 • BIG-IP がサーバサブネ ッ ト のデフ ォ ル ト ゲー ト ウ ェ イ と な っ て いる。 し か し 、 ネ ッ ト ワ ー ク 構成に よ っ ては、 BIG-IP の標準ア ド レ ス 変換 シーケ ン ス だけでは、サーバ応答で必要な リ タ ーンパ ス を使用す る こ と が難 し いケース があ り ます。こ の よ う な例外的な構成 と し ては以下 の よ う な も のがあ り ます。 14 - 2 ◆ ク ラ イ ア ン ト と サーバが同 じ ネ ッ ト ワ ー ク 上にあ る 場合 ク ラ イ ア ン ト ノ ー ド と 同 じ ネ ッ ト ワ ー ク 上にあ る サーバ ノ ー ド へ の要求の ロ ー ド バ ラ ン シ ン グ を行 う 場合、 SNAT を作成す る こ と で、 サーバ応答を サーバ ノ ー ド か ら ク ラ イ ア ン ト ノ ー ド に直接送 信す る のではな く 、 バーチ ャ ルサーバ経由で返信で き る よ う にな り ま す。 こ れを行わな ければ、 応答の送信元 と 要求の宛先が一致 し な く な り 、 ク ラ イ ア ン ト が応答の受け取 り を拒否す る と い っ た 問題が生 じ る 場合があ り ます。こ の SNAT 構成は 「バーチ ャ ルサー ババ ウ ン ス バ ッ ク 」 と 呼ばれ、 応答の送信元 と 要求の宛先が一致 す る よ う にな る こ と か ら 、 ク ラ イ ア ン ト ノ ー ド で応答が確実に受 け入れ ら れます。 こ の よ う な構成は、 Web サーバか ら 同 じ ネ ッ ト ワ ー ク 上のアプ リ ケーシ ョ ン サーバに要求の負荷を分散 し たい場 合に使用す る こ と がで き ます。 ◆ サーバ ノ ー ド のデフ ォ ル ト ゲー ト ウ ェ イ が BIG-IP ではない場合 さ ま ざ ま な理由か ら 、 サーバ ノ ー ド のデフ ォ ル ト 経路は必ず し も BIG-IP を経由 し た も のにな る わけではあ り ま せん。 こ の場合 も 、 応答の送信元 と 要求の宛先が一致 し ないため、 ク ラ イ ア ン ト が応 答の受け取 り を 拒否す る と い っ た 問題が生 じ る 可能性が あ り ま す。 問題を解決す る には SNAT を作成 し ます。 BIG-IP は要求に含 まれ る ク ラ イ ア ン ト ノ ー ド の送信元 IP ア ド レ ス を SNAT ア ド レ ス に変換す る こ と か ら 、 サーバ ノ ー ド がその SNAT ア ド レ ス を宛先 ア ド レ ス と し て使用 し て、 応答を送信す る よ う にな り ま す。 こ れ に よ っ て、 サ ー バ ノ ー ド の デ フ ォ ル ト ゲ ー ト ウ ェ イ で は な く BIG-IP を経由 し て、 強制的に ク ラ イ ア ン ト ノ ー ド に応答を返す こ と がで き ます。 ◆ OneConnect 機能を使用 し てい る 場合 BIG-IP の OneConnect 機能を使えば、ア イ ド ル状態のサーバ側接続 を ク ラ イ ア ン ト リ ク エ ス ト で再利用す る こ と がで き ます。SNAT を 使わな ければ、 ど の ク ラ イ ア ン ト ノ ー ド が接続を再利用す る かに 関係な く 、 その接続を最初に確立 し た ク ラ イ ア ン ト ノ ー ド のア ド レ ス がその ま ま サーバ側接続の発信元 IP ア ド レ ス と し て残 り ま す。 こ れは ト ラ フ ィ ッ ク ルーテ ィ ン グでは問題にな ら ない も のの、 さ ま ざ ま な シ ス テ ム出力を確認す る 際に混乱を招 く おそれがあ り ます。 SNAT を作成す る こ と で こ の問題が解消 さ れ ます。 注 受信接続で SNAT を使用す る と 、 短命ポー ト のアベ イ ラ ビ リ テ ィ に影 響が出 る可能性があ り ます。 その場合、 い く つかの送信元ポー ト が利 用可能にな る ま で、 SNAT がそれ以上接続を処理で き ない状態にな る か も し れません。 図 14.1 では、 BIG-IP がサーバのデフ ォ ル ト ゲー ト ウ ェ イ と し て指定 さ れてお ら ず、 かつ受信 ト ラ フ ィ ッ ク で SNAT を設定 し ていない場 合に、ク ラ イ ア ン ト で開始 さ れた接続に生 じ る 典型的な問題について 解説 し てい ます。 図 14.1 宛先 IP ア ド レ ス と 送信元 IP ア ド レ ス が一致 し ないため ク ラ イ ア ン ト が応答の受け取 り を拒否 こ の よ う な問題を防止す る には、受信 SNAT を設定 し ます。受信 SNAT は、要求に含ま れ る オ リ ジナルの ク ラ イ ア ン ト 送信元 IP ア ド レ ス を、 BIG-IP のバーチ ャ ルサーバ も し く は BIG-IP 自身の IP ア ド レ ス に変換 す る こ と で、 その後のサーバ応答が BIG-IP に直接送信 さ れ る よ う に し ます。 受信 SNAT が設定 さ れてい る 場合、 BIG-IP は要求に含ま れ る 宛先 IP ア ド レ ス (標準のア ド レ ス変換 メ カ ニズ ム を使用) だけで な く 、 その要求の送信元 IP ア ド レ ス (SNAT を使用) も あわせて変 換 し ます。 図 14.2 (14-4 ページ) を見れば、 SNAT を設定す る こ と で、 応答がデ フ ォ ル ト ゲー ト ウ ェ イ ではな く BIG-IP 経由で送信 さ れ、 ク ラ イ ア ン ト がサーバ応答を受け入れ ら れ る よ う にな っ てい る のが分か り ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 14 - 3 第 14 章 SNAT の設定 図 14.2 宛先 IP ア ド レ ス と 送信元 IP ア ド レ ス が一致 し てい る ため ク ラ イ ア ン ト が応答を受信 サーバで開始 さ れた (発信) 接続での SNAT の概要 内部サーバか ら 外部ホ ス ト への接続が開始 さ れ る と 、SNAT は発信接 続に含まれ る 1 つ以上のサーバのプ ラ イ ベー ト の発信元 IP ア ド レ ス を、 パブ リ ッ ク にルーテ ィ ン グ可能な 1 つのア ド レ ス に変換 し ます。 外部の宛先ホ ス ト は こ のパブ リ ッ ク ア ド レ ス を宛先ア ド レ ス と し て 使用 し 、 応答を送信 し ます。 こ の場合、 内部 ノ ー ド のプ ラ イ ベー ト ク ラ ス IP ア ド レ ス は外部ホ ス ト か ら 見え ない よ う にな っ てい ます。 具体的には、 発信接続での SNAT は以下の よ う に機能 し ます。 1. BIG-IP がオ リ ジナル IP ア ド レ ス (つま り 、プ ラ イ ベー ト IP ア ド レ ス を持つ内部サーバ) か ら パケ ッ ト を受信 し 、 その送信 元ア ド レ ス が SNAT で定義 さ れてい る か ど う か を確認 し ます。 2. オ リ ジナル IP ア ド レ ス が SNAT で定義 さ れてい る 場合、BIG-IP はその送信元 IP ア ド レ ス を SNAT で定義 さ れた変換ア ド レ ス に変更 し ます。 3. 続いて BIG-IP は、 SNAT 変換ア ド レ ス を送信元ア ド レ ス と し て使い、 パケ ッ ト を宛先ホ ス ト に送信 し ます。 図 14.3 は発信 SNAT の例です。 こ の例では、172.16.20.4、172.16.20.5、 172.16.20.6 と い う IP ア ド レ ス を持つ 3 台の内部 ノ ー ド が、 BIG-IP 経 由で送信を行い、 その結果、 3 つの発信接続の中で 207.10.1.102 と い う パブ リ ッ ク IP ア ド レ ス が送信元IP ア ド レ ス と し て示 さ れてい ます。 14 - 4 図 14.3 複数の発信接続での S NAT の使用例 SNAT 実装の概要 SNAT を作成 し た ら 、 それぞれのニーズに応 じ て、 以下のいずれかの 方法でオ リ ジナル IP ア ド レ ス を変換ア ド レ ス にマ ッ プ し ます。 • 1 つ以上のオ リ ジナル IP ア ド レ ス を、 1 つの変換ア ド レ ス に明示 的に割 り 当て る (図 14.3 (14-5 ページ) を参照)。 • SNAT automap 機能を使用。 • 「SNAT プール」 と 呼ばれ る 変換ア ド レ ス プールを作成 し 、 1 つ以 上のオ リ ジナル IP ア ド レ ス を その SNAT プールにマ ッ プす る 。 • SNAT プールを作成 し 、 すべてのオ リ ジナル IP ア ド レ ス を その SNAT プールにマ ッ プす る 。 オ リ ジナル IP ア ド レ ス を 1 つの変換ア ド レ スにマ ッ プ SNAT を作成す る 方法の 1 つに、 1 つ以上の元の IP ア ド レ ス を、 選択 し た特定の変換ア ド レ ス に直接マ ッ ピ ン グす る 方法があ り ます。こ の タ イ プの SNAT を作成す る には、 設定ユーテ ィ リ テ ィ の [New SNAT] 画面を使用 し ます。こ の タ イ プの SNAT の実装方法については、「SNAT の作成」 (14-9 ページ) を参照 し て く だ さ い。 SNAT automap 機能の使用 SNAT automap と い う BIG-IP の機能を利用 し て SNAT を作成す る 方 法 も あ り ます。 SNAT automap 機能では、 BIG-IP 自身の IP ア ド レ ス か ら いずれか 1 つ (通常は出力 VLAN の フ ロ ーテ ィ ン グセルフ IP ア ド レ ス) が自動的に選択 さ れ、 オ リ ジナル IP ア ド レ ス ま たは SNAT 作成時に指定 し た ア ド レ ス にそれがマ ッ プ さ れます。こ の機能を使用 す る と 、 変換ア ド レ ス を明示的に指定す る 必要がな く な り ます。 セルフ IP ア ド レ ス が自動で選択 さ れ、 指定 し たオ リ ジナル IP ア ド レ ス にマ ッ プ さ れ る 際、 静的な (非フ ロ ーテ ィ ン グ) セルフ IP ア ド レ ス よ り も フ ロ ーテ ィ ン グセルフ IP ア ド レ ス が優先 さ れます。 こ れに よ っ て、フ ェ イ ルオーバ発生時にサービ ス が中断す る こ と がな く な り ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 14 - 5 第 14 章 SNAT の設定 なお、 出力 VLAN に フ ロ ーテ ィ ン グセルフ IP ア ド レ ス が現在割 り 当 て ら れていない場合は、 非出力 VLAN の フ ロ ーテ ィ ン グ IP ア ド レ ス が使用 さ れ ます。 こ の タ イ プの SNAT の実装方法については、 「SNAT の作成」 (14-9 ページ) を参照 し て く だ さ い。 オ リ ジナル IP ア ド レ ス を SNAT プールにマ ッ プ 変換ア ド レ ス プールを作成 し て、 1 つ以上のオ リ ジナル IP ア ド レ ス を その変換プール全体にマ ッ プす る こ と で、SNAT を作成す る こ と も で き ます。 こ の変換ア ド レ ス プールは、 SNAT プール と 呼ばれ ます。 SNAT プールは、設定ユーテ ィ リ テ ィ の [New SNAT Pool] 画面を使用 し て作成 し ます。 SNAT プールの作成方法の詳細については、 「SNAT の作成」 (14-9 ページ) を参照 し て く だ さ い。 SNAT プールを作成 し て元の IP ア ド レ ス にマ ッ ピ ン グす る と 、 バー チ ャ ルサーバが元の IP ア ド レ ス か ら パケ ッ ト を受信 し て、 BIG-IP が SNAT プールか ら 変換ア ド レ ス を選択 し ます。 BIG-IP は、 元の IP ア ド レ ス を選択 し た ア ド レ ス に変換 し ます。 元の IP ア ド レ ス を SNAT プールにマ ッ ピ ン グす る には、 次の 2 つの 方法があ り ます。 ◆ SNAT オブジ ェ ク ト を作成す る SNAT プールにア ド レ ス を マ ッ プす る には、 設定ユーテ ィ リ テ ィ の [New SNAT] 画面を使用 し ます。 詳細については、 「標準 SNAT の作成」 (14-9 ページ) を参照 し て く だ さ い。 ◆ iRule を作成す る こ の場合、 SNAT オ ブ ジ ェ ク ト は作成 さ れ ま せん。 snat ま た は snatpool コ マ ン ド を持つ iRule を作成 し ます。 iRule を記述 し て作 成 し た SNAT の種類は、 イ ン テ リ ジ ェ ン ト SNAT と 呼ばれ ます。 イ ン テ リ ジ ェ ン ト SNAT では、1 つ以上の元の IP ア ド レ ス を、iRule を使用 し て変換ア ド レ ス にマ ッ ピ ン グ し ま す。 イ ン テ リ ジ ェ ン ト SNAT の詳細については、「 イ ン テ リ ジ ェ ン ト SNAT の作成」 (14-12 ページ) を参照 し て く だ さ い。 すべての元の IP ア ド レ スの変換ア ド レ ス プールへのマ ッ ピ ング SNAT を作成す る には、 SNAT プール を作成 し て (設定ユーテ ィ リ テ ィ の[New SNAT Pool]画面を使用)、バーチ ャ ルサーバにその リ ソ ー ス と し て直接割 り 当て る と い う 方法 も あ り ます。SNAT プールをバー チ ャ ルサーバに割 り 当て る と 、 BIG-IP はバーチ ャ ルサーバ経由で受 け取 る すべての元の IP ア ド レ ス を、 その SNAT プールに自動的に割 り 当て ます。 イ ン テ リ ジ ェ ン ト SNAT と 同様に、設定ユーテ ィ リ テ ィ の [New SNAT] 画面では SNAT オブジ ェ ク ト を作成 し ません。こ の種 類の SNAT の詳細については、 「SNAT プールのバーチ ャ ルサーバへ の直接割 り 当て 」 (14-13 ページ) を参照 し て く だ さ い。 14 - 6 SNAT プールの作成 SNAT プールを使用 し て SNAT で変換ア ド レ ス を指定す る 場合は、ま ず SNAT プールを作成 し てか ら 、SNAT プールに追加す る 変換ア ド レ ス を 1 つ以上指定す る 必要があ り ます。 SNAT プールは、 設定ユー テ ィ リ テ ィ を使用 し て作成 し ます。SNAT プールの背景情報について は、 「 オ リ ジナル IP ア ド レ ス を SNAT プールにマ ッ プ 」 (14-6 ページ) を参照 し て く だ さ い。 SNAT プールの作成後、 ニーズに最適な種類の SNAT を作成 し ます (標準 SNAT、 イ ン テ リ ジ ェ ン ト SNAT、 ま たはバーチ ャ ルサーバに 直接割 り 当て る SNAT プール)。作成で き る SNAT の種類については、 「SNAT の作成」 (14-9 ページ) を参照 し て く だ さ い。 SNAT プールには、 作成時に構成す る 必要のあ る 設定が 2 つあ り ま す。 表 14.1 に、 こ れ ら の設定を列挙 し て説明 し ます。 プ ロパテ ィ 説明 デフ ォル ト 値 Name SNAT プールの一意の名前 デフ ォ ル ト 値な し Member List SNAT プールに含め る IP ア ド レ ス の リ ス ト 。 追加 し た IP ア ド レ ス が ま だ変 換ア ド レ ス と し て指定 さ れていない場合、 BIG-IP が自動的に指定 し 、 デフ ォ ル ト 値で適切なプ ロ パテ ィ を割 り 当て ます。 こ の設定は必須です。 デフ ォ ル ト 値な し 表 14.1 SNAT プールのプ ロ パテ ィ SNAT プールに追加 し た各変換ア ド レ ス の設定は、 SNAT プールにア ド レ ス を追加 し た後に設定で き ます。 各設定の詳細については、 「変 換ア ド レ ス の指定」 (14-11 ページ) を参照 し て く だ さ い。 SNAT プールを作成 し た後、 次の う ちの 1 つを実行す る 必要があ り ます。 • 作成 し た SNAT オブジ ェ ク ト 内か ら 、 SNAT プールを参照 し ます。 こ れは、 標準 SNAT を作成 し た場合に実行 し ます。 詳細について は、 「標準 SNAT の作成」 (14-9 ページ) を参照 し て く だ さ い。 • iRule 内か ら SNAT プールを参照 し て、iRule を リ ソ ース と し てバー チ ャ ルサーバに割 り 当て ま す。 こ れは、 イ ン テ リ ジ ェ ン ト SNAT を作成 し た場合に実行 し ます。 詳細については、 「 イ ン テ リ ジ ェ ン ト SNAT の作成」 (14-12 ページ) を参照 し て く だ さ い。 • SNAT プールを リ ソ ース と し てバーチ ャ ルサーバに直接割 り 当て ます。 詳細については、 「SNAT プールのバーチ ャ ルサーバへの直 接割 り 当て 」 (14-13 ページ) を参照 し て く だ さ い。 注 SNAT プールをパーテ ィ シ ョ ン内に置 く こ と はで き ません。 し たがっ て、 ユーザが SNAT プールを作成 ・ 管理で き る か ど う かは、 パーテ ィ シ ョ ン ア ク セ ス の割 り 当てではな く 、ユーザ ロ ールに よ っ て決ま り ま す。 詳細については、 『TMOSTM Management Guide for BIG-IP® Systems』 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 14 - 7 第 14 章 SNAT の設定 SNAT プールを作成するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで [Local Traffic] を展開 し 、 [SNATs] を ク リ ッ ク し ます。 [SNATs] 画面が開 き ます。 2. メ ニ ュ ーバーで、 [SNAT Pool List] を ク リ ッ ク し ます。 既存の SNAT プールの リ ス ト が表示 さ れます。 3. 画面右上の [Create] を ク リ ッ ク し ます。 注 : [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 現在のユーザ ロ ールではSNAT を作成す る権限が与え ら れていない こ と を示 し ます。 4. [Name] 設定には、 SNAT プールの一意の名前を入力 し ます。 5. [Member list] 設定に、 IP ア ド レ ス を入力 し ます。 6. [Add] を ク リ ッ ク し ます。 7. 追加す る 変換ア ド レ ス それぞれに対 し て、 ス テ ッ プ 5 と 6 を 繰 り 返 し ます。 8. [Finished] を ク リ ッ ク し ます。 14 - 8 SNAT の作成 セ キ ュ アネ ッ ト ワー ク ア ド レ ス変換を実装す る 前に、作成す る SNAT の種類を決めてお く 必要があ り ます。 次の種類の SNAT を作成で き ます。 ◆ 標準 SNAT 標準 SNAT は、 設定ユーテ ィ リ テ ィ を使用 し て作成す る オブジ ェ ク ト で、 1 つ以上の元の IP ア ド レ ス の変換ア ド レ スへのマ ッ ピ ン グ を指定 し ます。 こ の種類の SNAT では、 変換ア ド レ ス を適用す る 時期を BIG-IP が判断す る 基準は、完全に元の IP ア ド レ ス に基づ いてい ます。つま り 、SNAT で指定 し た元の IP ア ド レ ス か ら パケ ッ ト が到着す る と 、 BIG-IP はそのア ド レ ス を指定 し た変換ア ド レ ス に変換 し ます。 作成で き る 標準 SNAT には 3 種類あ り ます。 • 特定の変換ア ド レ ス に指定 し た SNAT • automap 機能を使用す る SNAT • 変換ア ド レ ス と し て SNAT プールを指定 し た SNAT ◆ イ ン テ リ ジ ェ ン ト SNAT 標準 SNAT と 同様に、 イ ン テ リ ジ ェ ン ト SNAT は、 1 つ以上の元 の IP ア ド レ ス の変換ア ド レ スへのマ ッ ピ ン グです。 ただ し 、 こ の 種類の SNAT マ ッ ピ ン グは、 iRule 内で実装 し ます。 SNAT オブ ジ ェ ク ト は作成 し ません。 こ の種類の SNAT では、 変換ア ド レ ス を適用す る 時期を BIG-IP が判断す る 基準は、 HTTP Cookie ま たは サーバポー ト な ど の、 iRule 内で指定 し たデー タ の断片に基づいて い ます。 ◆ バーチ ャ ルサーバ リ ソ ース と し て割 り 当て ら れた SNAT プール こ の種類の SNAT は、 バーチ ャ ルサーバに リ ソ ース と し て直接割 り 当て た SNAT プールのみか ら 構成 さ れます。 こ の種類の SNAT を実装す る には、 SNAT プールのみを作成 し ます。 SNAT オブジ ェ ク ト や iRule を作成す る 必要はあ り ません。 元の IP ア ド レ ス の変換ア ド レ スへのマ ッ ピ ン グについては、第 13 章 「NAT の設定」 を参照 し て く だ さ い。 標準 SNAT の作成 標準 SNAT は、 設定ユーテ ィ リ テ ィ を使用 し て作成 し ます。 元の IP ア ド レ ス にマ ッ ピ ン グす る 変換ア ド レ ス には、 特定の IP ア ド レ ス、 既存の SNAT プール、 それ自身の IP ア ド レ ス (automap 機能を使用) を指定で き ます。 変換ア ド レ ス用の SNAT プールを使用す る 場合は、SNAT よ り も 先に SNAT プールを作成 し てお く 必要があ り ます。詳細については、「SNAT プールの作成」 (14-7 ページ) を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 14 - 9 第 14 章 SNAT の設定 標準 SNAT を作成す る 場合、 BIG-IP は SNAT に一連のプ ロ パテ ィ を 自 動 的 に 割 り 当 て ま す。 SNAT を 作 成 す る 際 に Name 設 定 と Translation 設定を行 う 必要があ り ますが、 その他の設定にはデフ ォ ル ト 値を使用 し た り 、 後でその値を変更 し た り で き ます。 注 SNAT をパーテ ィ シ ョ ン内に置 く こ と はで き ません。し たがっ て、ユー ザが SNAT を作成 ・ 管理で き る か ど う かは、 パーテ ィ シ ョ ン ア ク セ ス の割 り 当てではな く 、 ユーザ ロ ールに よ っ て決ま り ます。 詳細につい ては、 『TMOSTM Management Guide for BIG-IP® Systems』 を参照 し て く だ さ い。 標準 SNAT を作成するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [SNATs] を ク リ ッ ク し ます。 [SNATs] 画面が開 き ます。 2. 画面右上の [Create] を ク リ ッ ク し ます。 注 : [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 現在のユーザ ロ ールではSNAT を作成す る権限が与え ら れていない こ と を示 し ます。 3. [Name] 設定には、 SNAT の一意の名前を入力 し ます。 4. [Translation] 設定では、 [IP Address]、 [SNAT Pool]、 ま たは [Automap] を選択 し ます。 5. [IP Address] ま たは [SNAT Pool] を選択 し た場合、IP ア ド レ ス を入力す る か、 SNAT プール名を選択 し ます。 6. その他すべての値を、 変更す る か、 その ま ま使用 し ます。 7. [Finished] を ク リ ッ ク し ます。 表 14.2 に、 SNAT に構成で き る 設定を示 し ます。 表に続けて、 各設 定の詳細について説明 し ます。 プ ロパテ ィ 説明 デフ ォル ト 値 Name 標準 SNAT の一意の名前を指定 し ます。 こ のプ ロ パテ ィ の設定は必須です。 デフ ォ ル ト 値な し Translation 選択 し た値に従っ て、 個々の IP ア ド レ ス、 SNAT プール名、 Automap オプ シ ョ ン を 指定 し ま す。 指定 で き る 値 は、 IP Address、 SNAT Pool、 ま た は Automap です。 Automap Origin 変換ア ド レ ス、 あ る いは変換ア ド レ ス ま たはセルフ IP ア ド レ ス のプールを マ ッ ピ ン グす る 先の、 元の IP ア ド レ ス を指定 し ます。 指定で き る 値は、 All Addressess、 ま たは Address List です。 All Addresses VLAN Traffic SNAT を適用す る 対象の VLAN です。 指定で き る 値は、 All VLANS、 Enabled On、 お よ び Disabled On です。 ALL VLANS 表 14.2 標準 SNAT のプ ロ パテ ィ 14 - 10 SNAT 名の指定 SNAT で設定す る 、 最 も 基本的な設定は SNAT 名です。 SNAT 名では 大文字 と 小文字が区別 さ れ、 文字、 数字、 下線 (_) のみを使用で き ます。 予約済みキー ワー ド は使用で き ません。 定義す る 各 SNAT には、 一意の名前が必要です。 変換ア ド レ スの指定 [Translation] 設定では、元の IP ア ド レ ス にマッ ピ ン グ する 変換ア ド レ ス を 指定し ま す。変換ア ド レ ス の背景情報については、「 セキ ュ アネ ッ ト ワー ク ア ド レ ス変換の概要」( 14-1 ページ) を 参照し てく ださ い。 [Translation] 設定に指定で き る 値には、 3 種類あ り ます。 ◆ IP Address SNAT を作成す る 場合、 SNAT で変換ア ド レ ス と し て使用す る IP ア ド レ ス を指定で き ます。 ◆ SNAT pool こ の値を指定す る と 、 既存の SNAT プールを、 元の IP ア ド レ ス の マ ッ ピ ン グ先 と し て指定で き ま す。 SNAT プールの詳細 と 作成方 法については、 「SNAT プールの作成」 (14-7 ページ) を参照 し て く だ さ い。 SNAT プールを使用す る 標準 SNAT の例については、 「例 1 - SNAT プールを使用す る 標準 SNAT の確立」 (14-18 ページ) を参 照 し て く だ さ い。 ◆ Automap SNAT プール と 同様に、 SNAT automap 機能では、 1 つ以上の元の IP ア ド レ ス を、 変換ア ド レ ス のプールにマ ッ ピ ン グで き ます。 た だ し 、 SNAT automap 機能では、 プールを作成す る 必要はあ り ませ ん。 BIG-IP が、 すべてのセルフ IP ア ド レ ス を プールの変換ア ド レ ス と し て使用 し て、 プールを効率的に作成 し ます。 変換ア ド レ ス ま たは SNAT プールを指定す る 場合、 BIG-IP は変換ア ド レ ス に一連のプ ロ パテ ィ を自動的に割 り 当て ます。こ れ ら のプ ロ パ テ ィ にデフ ォ ル ト 値を使用す る こ と も 、必要に応 じ て変更す る こ と も で き ます。 表 14.3 に、 変換ア ド レ ス のプ ロ パテ ィ を列挙 し て説明 し ます。 プ ロパテ ィ 説明 デ フ ォル ト 値 IP address 変換ア ド レ ス と し て指定す る IP ア ド レ ス。 こ の設定は必須です。 デフ ォ ル ト 値な し State 変換ア ド レ ス の状態で、 [enabled] ま たは [disabled] です。 [disabled] に設定 さ れてい る と 、 変換ア ド レ ス は接続開始には使用 さ れません。 Enabled ARP BIG-IP が ARP 要求に応答す る か、 ま たは Gratuitous ARP を送信す る かを決 定す る 設定。 Enabled Connection Limit 変換ア ド レ ス が接続を開始 し な く な る ま での、 接続数の制限。 デフ ォ ル ト 値 0 は、 設定が無効であ る こ と を示 し ます。 0 表 14.3 SNAT 変換ア ド レ ス のプ ロ パテ ィ BIG-IP® Local Traffic Management 設定ガ イ ド 14 - 11 第 14 章 SNAT の設定 プ ロパテ ィ 説明 デフ ォル ト 値 TCP Idle Timeout SNATア ド レ ス を使用 し て開始 さ れたTCP接続が自動的に切断 さ れ る ま での、 ア イ ド ル状態に な る 秒数 を定義す る タ イ マ。 指定で き る 値は、 [Indefinite]、 ま たは [Specify] です。 Indefinite UDP Idle Timeout SNAT ア ド レ ス を使用 し て開始 さ れた UDP 接続が自動的に切断 さ れ る ま で の、ア イ ド ル状態にな る 秒数を定義す る タ イ マ。指定で き る 値は、[Indefinite]、 ま たは [Specify] です。 Indefinite IP Idle Timeout SNAT ア ド レ ス を使用 し て開始 さ れた IP 接続が自動的に切断 さ れ る ま での、 ア イ ド ル状態に な る 秒数 を定義す る タ イ マ。 指定で き る 値は、 [Indefinite]、 ま たは [Specify] です。 Indefinite 表 14.3 SNAT 変換ア ド レ ス のプ ロ パテ ィ (続き ) 変換ア ド レ ス の定義、 表示、 変更については、 「SNAT の管理」 (14-14 ページ) を参照 し て く だ さ い。 元の IP ア ド レ スの指定 [Origin] 設定では、 変換ア ド レ ス にマ ッ ピ ン グす る 元の IP ア ド レ ス を指定 し ます。 こ の設定には、 値 と し て 1 つの IP ア ド レ ス、 ま たは 複数の IP ア ド レ ス を追加で き ます。 VLAN ト ラ フ ィ ッ クの指定 [VLAN Traffic] 設定では、SNAT を適用す る VLAN を指定 し ます。指 定で き る 値は、 All VLANS、 Enabled On、 お よ び Disabled On です。 イ ン テ リ ジ ェ ン ト SNAT の作成 セ キ ュ ア ア ド レ ス 変換を実行す る 方法の 1 つに、 イ ン テ リ ジ ェ ン ト SNAT を作成す る 方法があ り ます。 前述 し た よ う に、 イ ン テ リ ジ ェ ン ト SNAT は、 SNAT オブジ ェ ク ト ではな く 、 1 つ以上の元の IP ア ド レ ス を変換ア ド レ ス へマ ッ ピ ン グす る iRule です。 イ ン テ リ ジ ェ ン ト SNAT を作成す る には、 次の タ ス ク を実行す る 必要があ り ます。 • 元の IP ア ド レ ス を SNAT プール (個別の変換ア ド レ ス ではな く ) にマ ッ ピ ン グす る には、 [New SNAT Pools] 画面を使用 し て、 こ れ ら の変換ア ド レ ス を メ ンバ と し て含む 1 つ以上の SNAT プールを 作成 し ます。詳細については、「SNAT プールを作成す る には」 (14-8 ページ) を参照 し て く だ さ い。 • [New iRules] 画面を使用 し て、snat ま たは snatpool コ マ ン ド を持つ iRule を作成 し ます。 iRule コ マ ン ド は、 BIG-IP が変換ア ド レ ス の 選択に使用す る 、 変換ア ド レ ス ま たは変換ア ド レ ス のプールを指 定 し ます。iRules の詳細については、F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 ま たは 第 17 章 「iRule の記述」 を参照 し て く だ さ い。 14 - 12 • 該当す る バーチ ャ ルサーバの [Resources] 画面か ら 、iRule を リ ソ ー ス と し てバーチ ャ ルサーバに割 り 当て ま す。 バーチ ャ ルサーバの 詳細については、 第 2 章 「バーチ ャ ルサーバの設定」 を参照 し て く だ さ い。 注 イ ン テ リ ジ ェ ン ト SNAT の例については、 「例 2 - イ ン テ リ ジ ェ ン ト SNAT の確立」 (14-19 ページ) を参照 し て く だ さ い。 SNAT プールのバーチ ャ ルサーバへの直接割 り 当て SNAT オブジ ェ ク ト を作成 し た り 、 iRule を使用 し て イ ン テ リ ジ ェ ン ト SNAT を作成す る のではな く 、 SNAT プールを作成 し て、 リ ソ ース と し てバーチ ャ ルサーバに直接割 り 当て る こ と も で き ま す。 こ れに よ っ て、 変換ア ド レ ス を マ ッ ピ ン グす る 元の IP ア ド レ ス を明示的に 定義す る 必要がな く な り ます。 SNAT プールの作成方法の詳細につい ては、 「SNAT プールの作成」 (14-7 ページ) を参照 し て く だ さ い。 SNAT プールのバーチ ャ ルサー バへの直接割 り 当ての詳細については、 第 2 章 「バーチ ャ ルサーバの 設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 14 - 13 第 14 章 SNAT の設定 SNAT の管理 設定ユーテ ィ リ テ ィ を使用 し て、 既存の SNAT を さ ま ざ ま な方法で 管理で き ます。 た と えば、 新 し い SNAT プールを作成す る 前に、 既 存の プ ール の リ ス ト を 表示 し た い場合が あ り ま す。 ま た は、 標準 SNAT が元の IP ア ド レ ス を変換ア ド レ ス にマ ッ ピ ン グす る 方法を変 更 し たい場合があ り ます。 SNAT を管理す る 際に実行で き る タ ス ク には、 次の も のがあ り ます。 • SNAT ま たは SNAT プールの表示ま たは変更 • 既存の SNAT の変換ア ド レ ス の定義 • 既存の SNAT の変換ア ド レ ス の表示ま たは変更 • SNAT、 SNAT プール、 変換ア ド レ ス の削除 • ロ ー ド バ ラ ン シ ン グプールでの SNAT の有効化ま たは無効化 • SNAT 変換ア ド レ ス の有効化ま たは無効化 SNAT、 SNAT プールの表示または変更 こ れ ま でに作成 し た SNAT、 NAT、 SNAT プールを表示ま たは変更で き ます。 SNAT を表示または変更するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [SNATs] を ク リ ッ ク し ます。 既存の SNAT の リ ス ト が表示 さ れ ます。 2. [SNAT] カ ラ ム で、 SNAT 名を ク リ ッ ク し ます。 SNAT のプ ロ パテ ィ が表示 さ れ ます。 3. 表示 さ れた設定を表示ま たは変更 し ます。 4. 設定を変更 し た場合、 [Update] を ク リ ッ ク し ます。 SNAT プールを表示または変更するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [SNATs] を ク リ ッ ク し ます。 既存の SNAT の リ ス ト が表示 さ れ ます。 2. メ ニ ュ ーバーで、 [SNAT Pool List] を ク リ ッ ク し ます。 既存の SNAT プールの リ ス ト が表示 さ れます。 3. SNAT プール名を ク リ ッ ク し ます。 4. 表示 さ れた設定を表示ま たは変更 し ます。 5. 設定を変更 し た場合、 [Update] を ク リ ッ ク し ます。 14 - 14 変換ア ド レ スの定義または表示 変換ア ド レ ス を定義で き る ほか、前に定義 し た既存の変換ア ド レ ス を 表示 ・ 変更す る こ と も 可能です。 既存の SNAT の変換ア ド レ ス を明示的に定義するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [SNATs] を ク リ ッ ク し ます。 2. メ ニ ュ ーバーで、 [SNAT Translation List] を ク リ ッ ク し ます。 既存の変換ア ド レ ス が表示 さ れます。 3. 画面右上の [Create] を ク リ ッ ク し ます。 注 : [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 現在のユーザ ロ ールでは SNAT を作成す る 権限が与え ら れていない こ と を示 し ます。 4. すべてのプ ロ パテ ィ 設定を、 その ま ま 使用す る か、 ま たは変 更 し ます。 5. [Finished] を ク リ ッ ク し ます。 既存の SNAT の変換ア ド レ ス を表示または変更する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [SNATs] を ク リ ッ ク し ます。 既存の SNAT の リ ス ト が表示 さ れ ます。 2. メ ニ ュ ーバーで、 [SNAT Translation List] を ク リ ッ ク し ます。 既存の変換ア ド レ ス の リ ス ト が表示 さ れます。 3. 変換ア ド レ ス を ク リ ッ ク し ます。 4. 表示 さ れた設定を表示ま たは変更 し ます。 5. 設定を変更 し た場合、 [Update] を ク リ ッ ク し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 14 - 15 第 14 章 SNAT の設定 SNAT、 SNAT プール、 変換ア ド レ スの削除 こ れ ま でに作成 し た、 既存の SNAT、 SNAT プール、 ま たは変換ア ド レ ス を削除で き ます。 SNAT を削除するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [SNATs] を ク リ ッ ク し ます。 既存の SNAT の リ ス ト が表示 さ れ ます。 2. [SNAT] カ ラ ム で、 削除す る SNAT を探 し て、 左側の [Select] ボ ッ ク ス をチ ェ ッ ク し ます。 3. 画面の下部で [Delete] を ク リ ッ ク し ます。 確認ボ ッ ク ス が表示 さ れ ます。 4. [Delete] を ク リ ッ ク し ます。 SNAT プールを削除するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [SNATs] を ク リ ッ ク し ます。 既存の SNAT の リ ス ト が表示 さ れ ます。 2. メ ニ ュ ーバーで、 [SNAT Pool List] を ク リ ッ ク し ます。 既存の SNAT プールの リ ス ト が表示 さ れます。 3. 削除す る SNAT プールを探 し て、 左側の [Select] ボ ッ ク ス を チ ェ ッ ク し ます。 4. 画面下部の [Delete] を ク リ ッ ク し ます。 確認ボ ッ ク ス が表示 さ れ ます。 5. [Delete] を ク リ ッ ク し ます。 変換ア ド レ ス を削除する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [SNATs] を ク リ ッ ク し ます。 既存の SNAT の リ ス ト が表示 さ れ ます。 2. メ ニ ュ ーバーで、 [SNAT Translation List] を ク リ ッ ク し ます。 既存の変換ア ド レ ス の リ ス ト が表示 さ れます。 3. 削除す る 変換ア ド レ ス を探 し て、 左側の [Select] ボ ッ ク ス を チ ェ ッ ク し ます。 4. 画面下部の [Delete] を ク リ ッ ク し ます。 確認ボ ッ ク ス が表示 さ れ ます。 5. [Delete] を ク リ ッ ク し ます。 14 - 16 ロー ド バラ ン シ ングプールでの SNAT または NAT の有効化 または無効化 ロ ー ド バ ラ ン シ ン グプールを設定す る 場合、こ のプールを使用す る 接 続で SNAT 変換を無効にす る よ う に指定で き ます。 デフ ォ ル ト では、 こ の設定は有効にな っ てい ます。 詳細については、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を参照 し て く だ さ い。 SNAT 変換ア ド レ スの有効化または無効化 設定ユーテ ィ リ テ ィ を使用 し て、 個別の SNAT 変換ア ド レ ス を有効 ま たは無効にで き ます。 SNAT 変換ア ド レ ス を有効または無効にする には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [SNATs] を ク リ ッ ク し ます。 2. メ ニ ュ ーバーで、 [SNAT Translation List] を ク リ ッ ク し ます。 3. 有効ま たは無効にす る 変換ア ド レ ス を探 し て、 左側の [Select] ボ ッ ク ス をチ ェ ッ ク し ます。 4. 画面下部の [Enable] ま たは [Disable] を ク リ ッ ク し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 14 - 17 第 14 章 SNAT の設定 SNAT の例 次の例では、 SNAT プールを使用す る SNAT の実装方法を示 し ます。 例では、 以下の実行方法を説明 し ます。 • SNAT プールを使用す る 標準 SNAT の確立 • イ ン テ リ ジ ェ ン ト SNAT の確立 注 次の例では、 SNAT プールを使用す る SNAT をわか り やす く 説明す る ため、 BIG-IP の bigip.conf フ ァ イ ルのサンプルエン ト リ を示 し てい ま す。 bigip.conf フ ァ イ ルのエン ト リ は、 設定ユーテ ィ リ テ ィ を使用 し て BIG-IP を設定 し た結果を表 し てい ます。 例 1 - SNAT プールを使用する標準 SNAT の確立 元の IP ア ド レ ス を個別の変換ア ド レ ス ではな く 、SNAT プールにマ ッ ピ ン グす る SNAT を作成す る 必要があ る 場合があ り ます。 こ の タ イ プの SNAT について説明す る ために、 仮に イ ン タ ーネ ッ ト サービ ス プ ロ バ イ ダ (ISP) が BIG-IP を所有 し ていて、 2 人の顧客に イ ン タ ー ネ ッ ト への リ ン ク と し て、 転送可能な IP ア ド レ ス を 2 つずつ付与す る と し ます。顧客は こ れ ら の転送可能 IP ア ド レ ス を、顧客自身のサー バへの受信 ト ラ フ ィ ッ ク の仮想 IP ア ド レ ス と し て、 ま た自身のサー バか ら の送信 ト ラ フ ィ ッ ク の変換ア ド レ ス と し て使用す る 必要が あ り ます。 こ の場合、 SNAT を使用 し て解決で き ます。 SNAT を実装す る ため、 ISP は次の 3 つの手順を実行 し ます。 まず、 ISP は、 図 14.4 に示す、 ロ ー ド バ ラ ン シ ン グプール isp_pool を 作成 し ます。 pool isp_pool { lb_method rr member 199.5.6.254:0 member 207.8.9.254:0 } 図 14.4 基本 ロ ー ド バ ラ ン シ ン グプールの bigip.conf エン ト リ 次に ISP は、customer1_snatpool、customer2_snatpool、other_snatpool の 3 つの SNAT プールを作成 し ます。 図 14.5 (14-19 ページ) に こ れ を示 し ます。 BIG-IP は、 SNAT プール メ ンバを変換ア ド レ ス と し て自 動的に指定 し ます。 14 - 18 snatpool customer1_snatpool { member 199.5.6.10 member 207.8.9.10 } snatpool customer2_snatpool { member 199.5.6.20 member 207.8.9.20 } snatpool other_snatpool { member 199.5.6.30 member 207.8.9.30 } 図 14.5 3 つの SNAT プールの bigip.conf エン ト リ 最後に、 設定ユーティ リ ティ を 使用し て、 ISP は元の IP ア ド レ ス を そ れぞれ適切な SNATプールに直接マッ ピ ン グ する SNATを 作成し ま す。 例 2 - イ ン テ リ ジ ェ ン ト SNAT の確立 SNAT マッ ピ ン グ を 元の IP ア ド レ ス ではなく 、サーバポート など を 基 準と する には、 iRule を 記述し て、 iRule 内に SNAT プールを 指定し ま す。 こ の場合、 設定ユーティ リ ティ の [SNAT] 画面を 使用し て、 SNAT プールのみを 作成し 、 実際の SNAT オブジェ ク ト は作成し ま せん。 た と えば、 ISP な ど のユーザが イ ン タ ーネ ッ ト への 2 つの冗長接続を 維持 し てい る と し ます。 ま た、 ISP は多数の同時 CHAT 接続 (ポー ト 531 を使用) を処理 し てお り 、 サーバ側 ク ラ イ ア ン ト ポー ト を使い切 ら ない よ う に し たい と し ます。 さ ら に、 ISP は CHAT、 SMTP、 お よ びその他すべての ト ラ フ ィ ッ ク ご と に統計を収集 し たい と し ます。こ の場合、 イ ン テ リ ジ ェ ン ト SNAT を設定す る こ と が、 変換ア ド レ ス を選択す る 最適な方法です。 イ ン テ リ ジ ェ ン ト SNAT を実装す る ため、 ISP は次の手順を実行 し ます。 まず、 out_pool と い う ロ ー ド バ ラ ン シ ン グプールを作成 し ます。 bigip.conf フ ァ イ ルでは、 プールが図 14.6 のサン プルの よ う にな り ます。 pool out_pool { lb_method round_robin member 199.5.6.254:0 member 207.8.9.254:0 } 図 14.6 イ ン テ リ ジ ェ ン ト SNAT で使用 さ れ る プールの bigip.conf エン ト リ 次に、 図 14.7 に示す よ う に、 ISP は、 設定ユーテ ィ リ テ ィ を使用 し て、 199.5.6.10、 199.5.6.11、 207.8.9.10、 207.8.9.11 の 4 つの IP ア ド レ ス を含む、 chat_snatpool と い う SNAT プールを作成 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 14 - 19 第 14 章 SNAT の設定 BIG-IP は、 SNAT プール作成中に、 こ れ ら の IP ア ド レ ス を変換ア ド レ ス と し て自動的に指定 し ま す。 こ れ ら のア ド レ ス は、 CHAT ト ラ フ ィ ッ ク で使用 さ れ る 、 次の 2 つのホ ッ プネ ッ ト ワ ー ク に対応 し ま す。 bigip.conf フ ァ イ ルでは、 SNAT プールは図 14.7 のサ ンプルの よ う にな り ます。 snatpool chat_snatpool { member 199.5.6.10 member 199.5.6.11 member 207.8.9.10 member 207.8.9.11 } 図 14.7 CHAT ト ラ フ ィ ッ ク 用の SNAT プール定義 次に、 各変換ア ド レ ス に対 し て、 ISP は設定ユーテ ィ リ テ ィ を使用 し て TCP 接続の タ イ ム ア ウ ト 値を 600 に変更 し ます。 次に ISP は、 2 つの変換ア ド レ ス、 199.5.6.20 と 207.8.9.20 を含む 2 番 目の SNAT プール、 smtp_snatpool を作成 し ます。 こ れ ら のア ド レ ス はそれぞれ、 SMTP ト ラ フ ィ ッ ク で使用 さ れ る 、 次の 2 つのホ ッ プ ネ ッ ト ワ ー ク の いずれ か に対応 し ま す。 bigip.conf フ ァ イ ル で は、 SNAT プールが図 14.8 のサン プルの よ う にな り ます。 snatpool smtp_snatpool { member 199.5.6.20 member 207.8.9.20 } 図 14.8 SMTP ト ラ フ ィ ッ ク 用の SNAT プール定義 次に、 ISP はその他すべての ト ラ フ ィ ッ ク (CHAT や SMTP 以外の ト ラ フ ィ ッ ク ) の SNAT プール、 other_snatpool を作成 し ます。 こ こ で は、 各 IP ア ド レ ス は、 その他すべての ト ラ フ ィ ッ ク で使用 さ れ る 、 次の 2 つのホ ッ プネ ッ ト ワ ー ク のいずれかに対応 し ます。 図 14.9 に こ れを示 し ます。 snatpool other_snatpool { \SNAT pool definition member 199.5.6.30 member 207.8.9.30 } 図 14.9 その他すべての ト ラ フ ィ ッ ク 用の SNAT プール定義 ISP は、 開始パケ ッ ト のサーバポー ト に基づ く SNAT プール と 、 ロ ー ド バ ラ ン シ ン グプールout_poolの両方を選択す る iRule を記述 し ます。 図 14.10 に、 iRule で コ マ ン ド TCP::local_port を指定 し て、 変換ア ド レ ス の選択基準 と し て使用す る パケ ッ ト デー タ の種類を指定す る 方 法を示 し ます。 ま た、 iRule には、 コ マ ン ド snatpool に よ っ て、 BIG-IP が変換ア ド レ ス を選択す る SNAT プールを指定す る 方法 も 示 し てい ます。 14 - 20 rule my_iRule { when SERVER_CONNECTED if ( TCP::local_port equals 531 ) { snatpool chat_snatpool } else if ( TCP::local_port equals 25 ) { snatpool smtp_snatpool } else { snatpool other_snatpool } pool out_pool } 図 14.10 イ ン テ リ ジ ェ ン ト SNAT を参照す る iRule の例 iRule の if ス テー ト メ ン ト では、 BIG-IP は ク ラ イ ア ン ト リ ク エ ス ト の ヘ ッ ダで指定 さ れたサーバポー ト の値を テ ス ト し ます。結果に基づい て、 BIG-IP は SNAT プール と ロ ー ド バ ラ ン シ ン グプールの両方を選 択 し ます。 最終手順では、 図 14.11 に示す よ う に、 ISP は iRule を リ ソ ース と し て ワ イ ル ド カー ド バーチ ャ ルサーバに割 り 当て ます。 virtual 0.0.0.0:0 use rule my_iRule 図 14.11 iRule の ワ イ ル ド カー ド バーチ ャ ルサーバへの割 り 当て BIG-IP® Local Traffic Management 設定ガ イ ド 14 - 21 15 ト ラ フ ィ ッ ク ク ラ スの設定 • ト ラ フ ィ ッ ク ク ラ スの概要 • ト ラ フ ィ ッ ク ク ラ スの作成 • ト ラ フ ィ ッ ク ク ラ スの設定 • ト ラ フ ィ ッ ク ク ラ スの管理 ト ラ フ ィ ッ ク ク ラ スの概要 BIG-IP® ロ ーカル ト ラ フ ィ ッ ク 管理シ ス テ ム には、 ト ラ フ ィ ッ ク ク ラ ス と 呼ば れ る 機能 が 搭載 さ れ て い ま す。 ト ラ フ ィ ッ ク ク ラ ス は、 WAN Optimization Module な ど のモジ ュ ールに最適化プ ロ フ ァ イ ルを 実装す る 際に使用す る 機能です。 ト ラ フ ィ ッ ク ク ラ ス を使えば、 ユーザ定義の基準 (送信元 IP ア ド レ スや宛先 IP ア ド レ ス な ど) に従い、 ト ラ フ ィ ッ ク を分類す る こ と が で き ます。 ト ラ フ ィ ッ ク ク ラ ス の作成時には、 分類基準だけでな く 、 分類 ID も あわせて定義 し ます。 ト ラ フ ィ ッ ク ク ラ ス を定義 し 、 その ク ラ ス をバーチ ャ ルサーバに割 り 当て る と 、 BIG-IP に よ っ て 分類 ID が各 ト ラ フ ィ ッ ク フ ロ ーに関連付け ら れ ます。 こ の場合、 BIG-IP は その分類に基づ き ト ラ フ ィ ッ ク フ ロ ーを調整す る こ と がで き ます。 ト ラ フ ィ ッ ク フ ロ ー と ト ラ フ ィ ッ ク ク ラ ス の照合の際には、可能なか ぎ り 限定 さ れた照合が行われ ます。 ト ラ フ ィ ッ ク ク ラ ス を設定す る には、 BIG-IP の設定ユーテ ィ リ テ ィ を使っ て ト ラ フ ィ ッ ク ク ラ ス を作成 し 、その ク ラ ス をバーチ ャ ルサー バに割 り 当て ます。 注 bigpipe ユーテ ィ リ テ ィ ま たは tmsh を使っ て ト ラ フ ィ ッ ク ク ラ ス を設 定す る こ と も 可能です。 詳細につい て は、 『Bigpipe Utility Reference Guide』 ま たは 『Traffic Management Shell (tmsh) Reference Guide』 を 参照 し て く だ さ い。 ト ラ フ ィ ッ ク ク ラ スの作成 ほ と ん ど の ロ ーカル ト ラ フ ィ ッ ク オブ ジ ェ ク ト と 同 じ よ う に、 ト ラ フ ィ ッ ク ク ラ ス も 常にパーテ ィ シ ョ ン内に置かれ ます。 し たが っ て、 ト ラ フ ィ ッ ク ク ラ ス を作成す る 前に、 ト ラ フ ィ ッ ク ク ラ ス を配置す る パーテ ィ シ ョ ン に対 し て現在の管理パーテ ィ シ ョ ン を 設定 し てお く 必要があ り ます。 管理パーテ ィ シ ョ ン と な る のは、 その ト ラ フ ィ ッ ク ク ラ ス を参照す る バーチ ャ ルサーバが含ま れ る パーテ ィ シ ョ ン か、も し く は Common パーテ ィ シ ョ ン です。 たと えば、ト ラ フ ィ ッ ク ク ラ ス を 参照する バーチャ ルサーバがパーティ ショ ン A に置かれている 場合、作成し たト ラ フ ィ ッ ク ク ラ ス を パーティ ショ ン Aも し く はCommonパーティ ショ ン に配置する こ と ができ ま す。 ト ラ フ ィ ッ ク ク ラ ス を作成するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て、 [Traffic Class] を ク リ ッ ク し ます。 [Traffic Class] 画面が開 き ます。 2. 画面右上の [Create] を ク リ ッ ク し ます。 3. 必要な設定すべて を設定 し ます。 設定の詳細につい ては、 「 ト ラ フ ィ ッ ク ク ラ ス の設定」 (15-2 ページ)、 ま たはオ ン ラ イ ンヘルプ を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 15 - 1 第 15 章 ト ラ フ ィ ッ ク ク ラ スの設定 4. [Finished] を ク リ ッ ク し ます。 ト ラ フ ィ ッ ク ク ラ ス を作成 し た ら 、バーチ ャ ルサーバにそれを割 り 当 て る 必要が あ り ま す。 バーチ ャ ルサーバについ ては、 第 2 章 「バー チ ャ ルサーバの設定」 を参照 し て く だ さ い。 ト ラ フ ィ ッ ク ク ラ スの設定 表 15.1 で、 ト ラ フ ィ ッ ク ク ラ ス で設定可能な項目について説明 し て い ます。 設定 説明 デフ ォル ト 値 Name ト ラ フ ィ ッ ク ク ラ ス一意の名前を指定 し ます。 ト ラ フ ィ ッ ク ク ラ ス名で は大文字 と 小文字が区別 さ れ、 文字、 数字、 下線 (_) のみを使用で き ます。 予約済みキーワ ー ド は使用で き ません。 こ の設定は必須です。 デフ ォ ル ト 値な し Classification ト ラ フ ィ ッ ク ク ラ ス 基準にマ ッ チす る デー タ フ ロ ーに関連付け る テ キ ス ト 文字列を指定 し ます。 デフ ォ ル ト 値な し Source Address その ク ラ ス に属す る ト ラ フ ィ ッ ク を識別す る ための送信元 IP ア ド レ ス を指定 し ます。 こ の IP ア ド レ ス か ら 発信 さ れ る あ ら ゆ る ト ラ フ ィ ッ ク が、 定義 さ れた レー ト ク ラ ス の対象 と な り ます。 デフ ォ ル ト 値な し Source Mask [Source Address ] 設定で指定 し た ア ド レ ス のネ ッ ト ワー ク マ ス ク を指定 し ます。 デフ ォ ル ト 値な し Source Port その ク ラ ス に属す る ト ラ フ ィ ッ ク を識別す る ためのポー ト 名 も し く は ポ ー ト 番号 を 指定 し ま す。 こ の ポ ー ト か ら 発信 さ れ る あ ら ゆ る ト ラ フ ィ ッ ク が、 定義 さ れた レー ト ク ラ ス の対象 と な り ます。 デフ ォ ル ト 値な し Destination Address その ク ラ ス に属す る ト ラ フ ィ ッ ク を識別す る ための宛先 IP ア ド レ ス を 指定 し ます。 こ の IP ア ド レ ス に送信 さ れ る あ ら ゆ る ト ラ フ ィ ッ ク が、定 義 さ れた レー ト ク ラ ス の対象 と な り ます。 デフ ォ ル ト 値な し Destination Mask [Destination Address] 設定で指定 し た ア ド レ ス のネ ッ ト ワ ー ク マ ス ク を 指定 し ます。 デフ ォ ル ト 値な し Destination Port その ク ラ ス に属す る ト ラ フ ィ ッ ク を識別す る ためのポー ト 名 も し く は ポー ト 番号を指定 し ます。 こ のポー ト に送信 さ れ る あ ら ゆ る ト ラ フ ィ ッ ク が、 定義 さ れた レー ト ク ラ ス の対象 と な り ます。 デフ ォ ル ト 値な し IP Protocol ト ラ フ ィ ッ ク 分類の基準 と し て使用す る IP プ ロ ト コ ルを指定 し ます。指 定可能は値は、 TCP と UDP です。 た と えば、 TCP と 指定 し た場合、 TCP 経由で BIG-IP に送信 さ れ る ト ラ フ ィ ッ ク がその ク ラ ス の メ ンバ と な り ます。 TCP 表 15.1 ト ラ フ ィ ッ ク ク ラ ス の設定項目 15 - 2 ト ラ フ ィ ッ ク ク ラ スの管理 ト ラ フ ィ ッ ク ク ラ ス の作成後は、既存の ト ラ フ ィ ッ ク ク ラ ス の一覧を 表示 し た り 、 ト ラ フ ィ ッ ク ク ラ ス の設定の確認 ・ 変更や、 ト ラ フ ィ ッ ク ク ラ ス の削除を行 う こ と がで き ます。 既存の ト ラ フ ィ ッ ク ク ラ スの一覧を表示するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て、 [Traffic Class] を ク リ ッ ク し ます。 既存の ト ラ フ ィ ッ ク ク ラ ス の一覧 と その設定値が表示 さ れ ます。 2. ト ラ フ ィ ッ ク ク ラ ス の一覧を確認 し ます。 ト ラ フ ィ ッ ク ク ラ ス を確認 ・ 変更するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て、 [Traffic Class] を ク リ ッ ク し ます。 既存の ト ラ フ ィ ッ ク ク ラ ス の一覧が表示 さ れます。 2. 一覧の ト ラ フ ィ ッ ク ク ラ ス名を ク リ ッ ク し ます。 その ト ラ フ ィ ッ ク ク ラ ス の設定が表示 さ れます。 3. 設定値 を、 そ の ま ま 使用す る か、 ま た は変更 し ま す。 ト ラ フ ィ ッ ク ク ラ ス の設定については、 「 ト ラ フ ィ ッ ク ク ラ ス の設 定」 (15-2 ページ) を参照 し て く だ さ い。 4. [Update] を ク リ ッ ク し ます。 ト ラ フ ィ ッ ク ク ラ ス を削除するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て、 [Traffic Class] を ク リ ッ ク し ます。 既存の ト ラ フ ィ ッ ク ク ラ ス の一覧が表示 さ れます。 2. 一覧か ら ト ラ フ ィ ッ ク ク ラ ス名を選び、 名前の左側の [Select] ボ ッ ク ス をチ ェ ッ ク し ます。 3. 画面の下部で [Delete] を ク リ ッ ク し ます。 削除を確認す る 画面が表示 さ れ ます。 4. [Delete] を ク リ ッ ク し ます。 その ト ラ フ ィ ッ ク ク ラ ス が削除 さ れます。 BIG-IP® Local Traffic Management 設定ガ イ ド 15 - 3 16 レー ト シ ェ ーピ ングの設定 • レー ト シ ェ ーピ ン グの概要 • レー ト ク ラ スの作成 と 実装 • レー ト ク ラ ス設定の設定 • レー ト ク ラ スの管理 レー ト シ ェ ーピ ングの概要 BIG-IP® ロ ーカル ト ラ フ ィ ッ ク マネージ メ ン ト シ ス テ ムには、 レー ト シ ェーピ ン グ と 呼ばれ る 機能が搭載 さ れてい ます。レー ト シ ェーピ ン グ に よ っ て、受信 ト ラ フ ィ ッ ク に対 し て ス ループ ッ ト ポ リ シーを適用 で き ます。 ス ループ ッ ト ポ リ シーは、 選択 し た ト ラ フ ィ ッ ク パ タ ーン に対 し て帯域幅の優先順位を付け た り 帯域幅を制限 し た り す る 場合 に有効です。 レー ト シ ェーピ ン グは、優先 ク ラ イ ア ン ト があ る e コ マース サ イ ト に と っ て便利です。 た と えば、 優先顧客には高い ス ループ ッ ト を 設定 し 、その他のサ イ ト ト ラ フ ィ ッ ク には低い ス ループ ッ ト を設定 し たい 場合があ り ます。 レー ト シ ェーピ ン グ機能では、まず選択 し たパケ ッ ト を レー ト ク ラ ス のキ ュ ーに入れ、 レー ト ク ラ ス で指定 さ れた順番に、 指定 さ れた レー ト でパケ ッ ト を キ ュ ーか ら 取 り 出 し ます。 レー ト ク ラ ス は、 レー ト ク ラ ス に よ っ て処理 さ れ る すべて の ト ラ フ ィ ッ ク に適用 さ れ る ス ルー プ ッ ト 制限 と パ ケ ッ ト ス ケ ジ ュ ー リ ン グ 手法 を 定義す る 、 レ ー ト シ ェーピ ン グポ リ シーです。 レ ー ト シ ェ ー ピ ン グは、 1 つ以上の レ ー ト ク ラ ス を作成 し て、 その レ ー ト ク ラ ス を パケ ッ ト フ ィ ル タ ま たはバーチ ャ ルサーバに割 り 当 て る こ と で設定で き ます。 iRulesTM 機能を使用 し て、 BIG-IP で レー ト ク ラ ス を特定の接続に適用 さ せ る こ と も で き ます。 レー ト ク ラ ス をサーバか ら ク ラ イ ア ン ト への、ま たは ク ラ イ ア ン ト か ら サーバへの ト ラ フ ィ ッ ク に特定 し て適用で き ます。レー ト ク ラ ス を ク ラ イ ア ン ト への ト ラ フ ィ ッ ク に設定す る と 、 BIG-IP は ス ループ ッ ト ポ リ シーを サーバに向か う ト ラ フ ィ ッ ク には適用 し ません。 逆に、 レー ト ク ラ ス を サーバへの ト ラ フ ィ ッ ク に設定す る と 、 BIG-IP は ス ループ ッ ト ポ リ シーを ク ラ イ ア ン ト に向か う ト ラ フ ィ ッ ク には適用 し ません。 レ ー ト シ ェ ー ピ ン グ を設定す る には、 設定ユーテ ィ リ テ ィ の [Local Traffic] セ ク シ ョ ン の [Rate Shaping] 画面を使用 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 16 - 1 第 16 章 レー ト シ ェ ーピ ン グの設定 レー ト ク ラ スの作成 と 実装 レー ト ク ラ ス では、レー ト ク ラ ス で処理す る すべての ト ラ フ ィ ッ ク に 対 し て BIG-IP が適用す る 、 ス ループ ッ ト 制限 と パケ ッ ト ス ケ ジ ュ ー リ ン グ手法を定義 し ます。 レー ト ク ラ ス は、 バーチ ャ ルサーバお よ び パケ ッ ト フ ィ ル タ ルールに割 り 当て ら れ、 iRules 経由で も 割 り 当て ら れます。 同 じ ト ラ フ ィ ッ ク に対 し て、複数の場所か ら 割 り 当て ら れた レー ト ク ラ ス が適用 さ れてい る 場合、 BIG-IP は最後に割 り 当て ら れた レー ト ク ラ ス のみを適用 し ます。 BIG-IP は、 次の順番で レー ト ク ラ ス を適 用 し ます。 • BIG-IP が割 り 当て る 最初の レー ト ク ラ ス は、 ト ラ フ ィ ッ ク と 指定 し た レ ー ト ク ラ ス と を照合 さ せた、 最後のパケ ッ ト フ ィ ル タ ルー ルか ら の も のです。 • 次に BIG-IP が割 り 当て る レー ト ク ラ ス は、 バーチ ャ ルサーバが レ ー ト ク ラ ス を 指定す る 場合はバーチ ャ ルサーバか ら の も ので、 こ の レー ト ク ラ ス はパケ ッ ト フ ィ ル タ が選択す る レー ト ク ラ ス を オーバー ラ イ ド し ます。 • 最後に割 り 当て ら れ る レー ト ク ラ ス は、 iRule が レー ト ク ラ ス を指 定す る 場合の iRule か ら の も ので、 こ の レー ト ク ラ ス は こ れ ま でに 選択 さ れた レー ト ク ラ ス を オーバー ラ イ ド し ます。 注 レー ト ク ラ ス をパーテ ィ シ ョ ン内に置 く こ と はで き ません。し たがっ て、 ユーザが レー ト ク ラ ス を作成 ・ 管理で き る か ど う かは、 パーテ ィ シ ョ ン ア ク セ ス の割 り 当てではな く 、ユーザ ロ ールに よ っ て決ま り ま す。 詳細については、 『TMOSTM Management Guide for BIG-IP® Systems』 を参照 し て く だ さ い。 レー ト ク ラ ス を作成す る には、 BIG-IP の設定ユーテ ィ リ テ ィ を使用 し ます。 注 bigpipe ユーテ ィ リ テ ィ ま たは tmsh を使っ て レー ト ク ラ ス を設定す る こ と も 可能です。 詳細につい ては、 『Bigpipe Utility Reference Guide』 ま たは 『Traffic Management Shell (tmsh) Reference Guide』 を参照 し て く だ さ い。 レー ト ク ラ ス を作成する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [Rate Shaping] を ク リ ッ ク し ます。 [Rate Classes] 画面が開 き ます。 2. 画面右上の [Create] を ク リ ッ ク し ます。 [New Rate Class] 画面が表示 さ れ ます。 3. レ ー ト ク ラ ス が、 親 レ ー ト ク ラ ス か ら 帯域幅を借用で き る よ う に設定す る か ど う か を指定 し ます。 • レー ト ク ラ ス が、 親レー ト ク ラ ス か ら 帯域幅を借用で き る よ う に し ない場合は、 [Basic] を選択 し ます。 詳細について は、 「帯域幅の借用」 (16-8 ページ) を参照 し て く だ さ い。 16 - 2 • レー ト ク ラ ス が、 親 レ ー ト ク ラ ス か ら 帯域幅を借用で き る よ う にす る 場合は、 [Advanced] を選択 し ます。 詳細につい ては、「親 ク ラ ス の指定」(16-8 ページ) を参照 し て く だ さ い。 4. 必要な設定すべて を設定 し ます。 設定の詳細については、「 レー ト ク ラ ス設定の設定」 (16-4 ペー ジ)、 ま たはオ ン ラ イ ンヘルプ を参照 し て く だ さ い。 5. [Finished] を ク リ ッ ク し ます。 レー ト ク ラ ス を作成 し た後、こ れをバーチ ャ ルサーバ ま たはパケ ッ ト フ ィ ル タ ルールに割 り 当て る 必要があ り ます。 ま たは、 iRule 内か ら レー ト ク ラ ス を指定 し ます。 • バーチ ャ ルサーバの詳細については、 第 2 章 「バーチ ャ ルサーバ の設定」 を参照 し て く だ さ い。 • パケ ッ ト フ ィ ル タ ルールの詳細については、 設定ユーテ ィ リ テ ィ の [Packet Filter] 画面か ら オ ン ラ イ ンヘルプ を参照 し て く だ さ い。 • iRules の詳細については、 第 17 章 「iRule の記述」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 16 - 3 第 16 章 レー ト シ ェ ーピ ン グの設定 レー ト ク ラ ス設定の設定 レー ト ク ラ ス を作成す る 場合、 BIG-IP は レー ト ク ラ ス にい く つかの デフ ォ ル ト 設定を割 り 当て ます。こ れ ら のデフ ォ ル ト 値を その ま ま使 用す る こ と も 、 必要に応 じ て変更す る こ と も で き ます。 レー ト ク ラ ス で設定で き る 項目について、 表 16.1 に示 し ます。 設定 説明 デフ ォル ト 値 Name レー ト ク ラ ス の一意の名前を指定 し ます。 各レー ト ク ラ ス には名前が必 要です。 デフ ォ ル ト 値な し Base Rate レー ト ク ラ ス が処理す る ト ラ フ ィ ッ ク で許容 さ れ る 、 ベース ス ループ ッ ト を指定 し ます。 一般に、 指定 し た レー ト をパケ ッ ト が超過す る こ と は で き ません。 こ の設定は必須です。 デフ ォ ル ト 値な し Ceiling Rate ベー ス レー ト と 同様ですが、 変更で き ない絶対的な制限を指定 し ま す。 こ の数値は、 ト ラ フ ィ ッ ク がバース ト ま たは借用す る 場合に フ ロ ーで き る レー ト の絶対制限値を指定 し ます。 帯域幅バース ト お よ び借用の詳細 については、 「バース ト サ イ ズの指定」 (16-6 ページ) を参照 し て く だ さ い。 [Base Rate] と 同 じ Burst Size ト ラ フ ィ ッ ク が帯域幅の借用が必要 と な る ま で、 ベース レー ト を超過 し てバース ト で き る 最大バ イ ト 数を指定 し ます。 こ の値が 0 に設定 さ れて い る 場合、 バース ト はで き ません。 帯域幅バース ト お よ び借用の詳細に ついては、「バース ト サ イ ズの指定」 (16-6 ページ) を参照 し て く だ さ い。 0 レー ト ク ラ ス が適用 さ れ る ト ラ フ ィ ッ ク の方向を指定 し ます。 Any Direction Any: 両方向の ト ラ フ ィ ッ ク に レー ト ク ラ ス を適用 し ます。 Client: サーバか ら ク ラ イ ア ン ト に送信 さ れ る ト ラ フ ィ ッ ク に レ ー ト ク ラ ス を適用 し ます。 Server: ク ラ イ ア ン ト か ら サーバに送信 さ れ る ト ラ フ ィ ッ ク に レ ー ト ク ラ ス を適用 し ます。 Parent Class こ の ク ラ ス が帯域幅を借用で き る レー ト ク ラ ス を指定 し ます。 子レー ト ク ラ ス は、 親レー ト ク ラ ス か ら 未使用の帯域幅を借用で き 、 子レー ト ク ラ ス のバース ト サ イ ズ を補強で き ます。 こ れは [Advanced] 設定です。帯 域幅バー ス ト お よ び借用の詳細については、 「バー ス ト サ イ ズの指定」 (16-6 ページ) を参照 し て く だ さ い。 None Shaping Policy 破棄ポ リ シー と キ ュ ー方式の カ ス タ マ イ ズ値を含むシ ェ ー ピ ン グ ポ リ シーを指定 し ます。 None Queue Method レ ー ト ク ラ ス が ト ラ フ ィ ッ ク の キ ュ ーお よ びデキ ュ ーに使用す る 方法 を指定 し ます。 指定可能な設定は pfifo と sfq です。 親 ク ラ ス が指定 さ れてい る 場合は親 ク ラ ス と同じで す。 それ以外の 場合は sfq と な り ます。 Drop Policy キ ュ ーの ト ラ フ ィ ッ ク が一杯にな っ た場合、 必要に応 じ て、 処理パケ ッ ト をいつど の よ う に破棄す る か を指定 し ます。 tail 表 16.1 レー ト ク ラ ス設定の設定項目 レー ト ク ラ ス の設定をす る 前に、こ れ ら の設定の説明を参照 し てお く と 有益です。 16 - 4 名前の指定 レー ト ク ラ ス で最初に設定す る 項目は、 レー ト ク ラ ス名です。 レー ト ク ラ ス名では大文字 と 小文字が区別 さ れ、 文字、 数字、 下線 (_) の みを使用で き ます。 予約済みキー ワー ド は使用で き ません。 定義す る 各レー ト ク ラ ス には、 一意の名前が必要です。 こ の設定は必 須です。 レー ト ク ラ ス名を指定す る には、[New Rate Class] 画面の [Name] ボ ッ ク ス で、 レー ト ク ラ ス の一意の名前を入力 し ます。 ベース レー ト の指定 [Base Rate] 設定では、 レー ト ク ラ ス が処理す る ト ラ フ ィ ッ ク で許容 さ れ る 、 ベース ス ループ ッ ト を指定 し ます。 親レー ト ク ラ ス に付随す る すべての子レー ト ク ラ ス のベース レー ト の合計に、親レー ト ク ラ ス のベース レー ト を足 し た も のが、親レー ト ク ラ ス の上限を超え る こ と があ っ てはな り ません。 そのため F5 では、 親レー ト ク ラ ス のベース レー ト を常に 0 (デフ ォ ル ト 値) に設定す る こ と を推奨 し てい ます。 ベース レー ト は、 ビ ッ ト 毎秒 (bps)、 キ ロ ビ ッ ト 毎秒 (Kbps)、 メ ガ ビ ッ ト 毎秒 (Mbps) 、 ま たはギガ ビ ッ ト 毎秒 (Gbps) で指定で き ま す。 デフ ォ ル ト の単位はビ ッ ト 毎秒です。 こ の設定は必須です。 注 こ の数値は、 10 のべ き乗で、 2 のべ き乗ではあ り ません。 上限の指定 [Ceiling Rate] 設定は、 ト ラ フ ィ ッ ク がバース ト ま たは借用す る 場合 に フ ロ ーで き る レー ト の絶対制限値を指定 し ます。 上限は、 ビ ッ ト 毎 秒 (bps) 、 キ ロ ビ ッ ト 毎秒 (Kbps) 、 メ ガ ビ ッ ト 毎秒 (Mbps) 、 ま た はギガ ビ ッ ト 毎秒 (Gbps) で指定で き ます。 デフ ォ ル ト の単位はビ ッ ト 毎秒です。 レー ト ク ラ ス が親レー ト ク ラ ス の場合、 こ の上限値に よ っ て、 親レー ト ク ラ ス に付随す る すべての子 レ ー ト ク ラ ス のベー ス レ ー ト の合計 に親 レ ー ト ク ラ ス のベー ス レ ー ト を足 し た も のの最大 レ ー ト が決 ま り ます。 注 子レ ート ク ラ ス は親レ ート ク ラ ス の上限を 借用する こ と ができ ま す。 詳細については、 「 親 ク ラ ス の指定」( 16-8ページ)を 参照し てく ださ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 16 - 5 第 16 章 レー ト シ ェ ーピ ン グの設定 バース ト サイ ズの指定 レ ー ト ク ラ ス が制御す る ト ラ フ ィ ッ ク フ ロ ーの レ ー ト がベー ス レ ー ト を超過で き る よ う にす る には、[Burst Size] 設定を使用 し ます。ベー ス レー ト の超過は、 バース ト と 呼ばれます。 レー ト ク ラ ス にバース ト を許可す る よ う に設定す る と (0 以外の値を指定)、 BIG-IP は未使用 の帯域幅 を 確保 し て、 こ の帯域幅を 後で使用 し て、 ト ラ フ ィ ッ ク フ ロ ーの レ ー ト が一時的にベー ス レ ー ト を 超過で き る よ う に し ま す。 バース ト サ イ ズの指定は、 HTTP ト ラ フ ィ ッ ク の よ う に、 ト ラ フ ィ ッ ク パ タ ーン が変動 し た り 、ベース レー ト を超過 し た り す る 場合の平準 化に役立ち ます。 [Burst Size] 設定の値は、 バース ト に許可 さ れ る 最大バ イ ト 数を定義 し ます。 し たがっ て、 バース ト サ イ ズ を 5,000 バ イ ト に設定す る と 、 ト ラ フ ィ ッ ク フ ロ ーの レー ト はベース レー ト を 1,000 バ イ ト 毎秒超過 し 、 BIG-IP は最大 5 秒間、 ト ラ フ ィ ッ ク をバース ト で き ます。 バー ス ト サ イ ズ を指定す る と 、 BIG-IP はそのサ イ ズのバー ス ト の保 管域を作成 し ます。 バース ト 保管域 には、 BIG-IP が後でバー ス ト に 使用す る 帯域幅が保存 さ れ ます。 バース ト 保管域は、 ト ラ フ ィ ッ ク フ ロ ーの レー ト がベース レー ト を超過す る と 減少 し 、 ト ラ フ ィ ッ ク レー ト がベース レー ト 以下にな る と 補給 さ れます。 し たがっ て、 レー ト ク ラ ス で設定 し た [Burst Size] の値は、 次の こ と を表 し ます。 • ト ラ フ ィ ッ ク フ ロ ー レ ー ト がベー ス レ ー ト を 超過 し た と き に、 レー ト ク ラ ス が転送で き る 最大バ イ ト 数 • BIG-IP がバース ト 保管域に補給で き る 最大バ イ ト 数 • ベース レー ト を超え てバース ト で き る 帯域幅の初期量 バース ト サ イ ズは、 バ イ ト 単位で計測 さ れます。 た と えば、 10000 ま たは 10K は、10,000 バ イ ト と 等 し く な り ます。デフ ォ ル ト 値は 0 です。 バース ト 保管域の消費 ト ラ フ ィ ッ ク フ ロ ーの レー ト がベース レー ト を超過す る と 、BIG-IP は 自動的にバース ト 保管域を消費 し ます。 こ の レー ト は、 ト ラ フ ィ ッ ク フ ロ ーがベース レー ト を超過す る バ イ ト 数 (毎秒) で決定 さ れ ます。 ト ラ フ ィ ッ ク フ ロ ーがベース レー ト を毎秒 1,000 バ イ ト 超過す る 以前 の例で説明す る と 、 ト ラ フ ィ ッ ク フ ロ ーレー ト がベース レー ト を 2 秒 間だけ超過 し た場合、 2,000 バ イ ト がバー ス ト サ イ ズか ら 消費 さ れ、 バース ト で き る 最大バ イ ト 数は 3,000 に減少 し ます。 バース ト 保管域の補給 ト ラ フ ィ ッ ク フ ロ ーの レー ト がベース レー ト 以下にな る と 、BIG-IP は 未使用の帯域幅 (ベース レー ト と 実際の ト ラ フ ィ ッ ク フ ロ ーレー ト の 差) を バー ス ト 保管域に確保 し ま す。 後で、 ト ラ フ ィ ッ ク フ ロ ーが ベース レー ト を超過 し た と き に、 BIG-IP は こ の帯域幅を使用 し ます。 BIG-IP は、ト ラ フ ィ ッ ク フ ロ ーがベース レー ト を超過 し たためにバー ス ト 保管域が消費 さ れた場合、 保管域を補給 し ます。 バース ト 保管域のサ イ ズは、指定 さ れたバース ト サ イ ズ を超過で き ま せん。 こ の理由に よ り 、 BIG-IP は保管域が [Burst Size] 設定で指定 さ れた値に達す る ま で、 未使用の帯域幅で保管域を補給 し ます。 16 - 6 こ のため、 バース ト サ イ ズが 5,000 に設定 さ れてい る 場合、 BIG-IP は ト ラ フ ィ ッ ク フ ロ ーの レ ー ト がベー ス レ ー ト を超過 し た場合に使用 す る ための未使用の帯域幅を、 5,000 バ イ ト だけ確保で き ます。 注 バース ト サ イ ズ を指定 し て も 、レー ト ク ラ ス が上限を超え る こ と は許 さ れません。 0 以外のバース ト サイ ズの指定 次の例では、 [Burst Size] 設定を 0 以外の値に設定 し た場合の BIG-IP の動作を説明 し ます。 こ の例では、ス ループッ ト の単位にデフ ォ ルト のビ ッ ト 毎秒ではなく 、 バイ ト 毎秒を 使用し て いま す。 こ れは単に例を 簡単にする ためです。 ビ ッ ト 毎秒を 8 で割る と 、 ビ ッ ト 毎秒を バイ ト 毎秒に換算でき ま す。 レー ト ク ラ ス を次の よ う な値で設定 し た と し ます。 • ベース レー ト : 1,000 バ イ ト 毎秒 • 上限レー ト : 4,000 バ イ ト 毎秒 • バース ト サ イ ズ : 5,000 バ イ ト 次の よ う なシナ リ オ を考え ます。 ◆ ト ラ フ ィ ッ ク フ ロ ーが現在 800 バ イ ト 毎秒の場合 ト ラ フ ィ ッ ク フ ロ ーの レ ー ト は、 レ ー ト ク ラ ス で定義 さ れたベー ス レー ト 以下なので、 バース ト は必要あ り ません。 ト ラ フ ィ ッ ク はベース レー ト よ り 200 バ イ ト 毎秒下回っ て流れて い る ため、 BIG-IP はバース ト 保管域に 200 バ イ ト の未使用帯域幅 を追加で き ます。 ただ し 、 ま だバース ト は発生 し ていないため、 保 管域は指定 さ れた 5,000 バ イ ト ま で フルの状態であ り 、 BIG-IP が 未使用の帯域幅 200 バ イ ト を保管域に保存す る こ と はで き ません。 こ の場合、 BIG-IP は未使用の帯域幅を破棄 し ます。 ◆ ト ラ フ ィ ッ ク が 1,000 バ イ ト 毎秒ま で増加 し た場合(ベース レー ト と 同等) ま だバース ト は発生せず、 未使用の帯域幅 も あ り ません。 ◆ ト ラ フ ィ ッ ク が 2,500 バ イ ト 毎秒ま で上昇 し た場合 ト ラ フ ィ ッ ク が毎秒 2,500 バ イ ト で 流れ続 け る と 1 秒 ご と に、 BIG-IP はバース ト 保管域の 1,500 バ イ ト ( ト ラ フ ィ ッ ク フ ロ ーレー ト と ベー ス レ ー ト と の差) を消費 し ま す。 こ のため、 こ の レ ー ト では3秒 と 少 し の間だけバース ト し てか ら 、バース ト 保管域の5,000 バ イ ト を使い切 る こ と にな り ます。保管域が消費 さ れ る と 、BIG-IP は ト ラ フ ィ ッ ク フ ロ ーレー ト をベース レー ト の1,000バ イ ト 毎秒ま で低下 さ せ、 バース ト の発生を抑制 し ます。 ◆ ト ラ フ ィ ッ ク が 800 バ イ ト 毎秒ま で低下 し た場合 バース ト は不要ですが、 保管域が空にな っ てい る ため、 BIG-IP は バース ト 保管域に未使用の帯域幅 200 バ イ ト 毎秒を追加で き ます。 ト ラ フ ィ ッ ク が 800 バ イ ト 毎秒で流れ続け る と 、 バース ト 保管域 は 25 秒後には 0 か ら 5,000 バ イ ト へ と 完全に満た さ れます (毎秒 200 バ イ ト )。 ト ラ フ ィ ッ ク が流れな く な る と 、 未使用の帯域幅が BIG-IP® Local Traffic Management 設定ガ イ ド 16 - 7 第 16 章 レー ト シ ェ ーピ ン グの設定 1,000 バ イ ト 毎秒 と な り 、 BIG-IP は 1,000 バ イ ト 毎秒をバース ト 保 管域に追加 し 、 5 秒間で保管域は 0 か ら 5,000 バ イ ト い っぱいにな り ます。 帯域幅の借用 場合に よ っ ては、レー ト ク ラ ス が親 ク ラ ス のバース ト 保管域か ら 帯域 幅を借用す る こ と があ り ます。 詳細については、 次の項の 「親 ク ラ ス の指定」 を参照 し て く だ さ い。 方向の指定 [Direction] 設定を使用 し て、 レー ト ク ラ ス を ク ラ イ ア ン ト ま たはサー バ ト ラ フ ィ ッ ク に適用で き ます。 こ れに よ り 、 レー ト ク ラ ス を ク ラ イ ア ン ト への ト ラ フ ィ ッ ク 、 サーバへの ト ラ フ ィ ッ ク 、 ま たは ク ラ イ ア ン ト と サーバ両方への ト ラ フ ィ ッ ク に適用で き ます。指定で き る 値 は、[Any]、[Client]、ま たは [Server] です。デフ ォ ル ト 値は [Any] です。 方向の指定は、 ト ラ フ ィ ッ ク の性質上、 方向に偏 り があ る 場合に役立 ち ま す。 た と えば、 FTP サービ ス を外部 ク ラ イ ア ン ト に提供す る 場 合、 サ イ ト か ら フ ァ イ ル を ダ ウ ン ロ ー ド す る ク ラ イ ア ン ト の ス ルー プ ッ ト の制限 よ り 、フ ァ イ ルを自分のサ イ ト にア ッ プ ロ ー ド す る ク ラ イ ア ン ト の ス ループ ッ ト を制限す る ほ う が重要な場合があ り ます。こ の場合、 FTP レ ー ト ク ラ ス の方向 と し て [Server] を 選択 し ま す。 [Server] の値は、 ク ラ イ ア ン ト か ら サーバに流れ る ト ラ フ ィ ッ ク に対 す る ス ループ ッ ト 制約にのみ適用 さ れ る か ら です。 親 ク ラ スの指定 レー ト ク ラ ス を作成す る 場合、 [Parent Class] 設定を使用 し て、 レー ト ク ラ ス の親 ク ラ ス を指定で き ます。 こ れに よ っ て、 子レー ト ク ラ ス は親 ク ラ ス の上限か ら 未使用の帯域幅を借用で き る よ う にな り ます。 子 ク ラ ス は、 親の上限か ら 未使用の帯域幅を借用で き ますが、 親 ク ラ ス は子 ク ラ ス か ら 借用す る こ と はで き ません。 ま た、 同 じ 親 ク ラ ス を 持つ 2 つの子 ク ラ ス間の借用や、関係のない レー ト ク ラ ス間の借用 も 不可能です。 親 ク ラ ス は、 [New Rate Class] 画面を表示 し て、 [Advanced] を選択 し 、 [Parent Class] 設定で レー ト ク ラ ス名を選択 し て指定 し ます。 親 ク ラ ス自身に も 、 循環依存関係を作成 し ない限 り 、 親を設定で き ま す。 循環依存関係 と は、 レー ト ク ラ ス が直接的ま たは間接的にそれ自 身の子 と な っ てい る 関係です。 レー ト ク ラ ス に親 ク ラ ス があ る 場合、子 ク ラ ス は親 ク ラ ス の上限か ら 未使用の帯域幅を取得で き ます。 こ のプ ロ セ ス は、 次の よ う に し て実 行 さ れます。 • 子 ク ラ ス に適用 さ れ る ト ラ フ ィ ッ ク フ ロ ーの レ ー ト がベー ス レ ー ト を超過す る と 、 子 ク ラ ス は前述 し た よ う にバー ス ト 保管域を消 費 し は じ め ます。 • 保管域が空の場合 (ま たはバー ス ト サ イ ズが レ ー ト ク ラ ス に定義 さ れていない場合)、BIG-IP は親 ク ラ ス の上限か ら 未使用のベース レー ト 帯域幅を取得 し 、 子 ク ラ ス に与え ます。 16 - 8 • 親 ク ラ ス か ら の未使用の帯域幅が消費 さ れ る と 、 子 ク ラ ス は親 ク ラ ス の保管域を使用 し は じ め ます。 • 親 ク ラ ス の保管域が空の場合 (ま たは親 ク ラ ス にバー ス ト サ イ ズ が定義 さ れていない場合)、 親 ク ラ ス に親 ク ラ ス があ る 場合は、 子 ク ラ ス は親 ク ラ ス の親か ら 帯域幅を借用 し よ う と し ます。 • こ のプ ロ セ ス は、 借用で き る 帯域幅がな く な る か、 借用で き る 親 がな く な る ま で続 き ます。 借用に よ っ て子のバース ト 期間が延長で き る だけで、子 ク ラ ス の上限 が引 き 上げ ら れ る わけではあ り ません。 注 上記の説明では 「借用」 と い う 表現を使い ま し たが、 子 ク ラ ス が借用 す る帯域幅は後で親 ク ラ ス に返 さ れません。 ま た、 子 ク ラ ス の未使用 の帯域幅が親 ク ラ ス に返却 さ れ る こ と も あ り ません。 シ ェ ーピ ングポ リ シーの指定 破棄ポ リ シー と キ ュ ー方式の カ ス タ マ イ ズ値を含むシ ェ ー ピ ン グ ポ リ シーを指定 し ます。 デフ ォ ル ト 値は None です。 シ ェーピ ン グポ リ シーを追加作成す る には、bigpipe ユーテ ィ リ テ ィ 、 ま たは Traffic Management シ ェ ル (tmsh) を使用 し ます。 キ ュ ー方式の指定 [Queue Method] 設定では、 BIG-IP がパケ ッ ト をデキ ュ ーす る 方法 と 順序を決定 し ます。 レー ト ク ラ ス では、 以下の 2 つのキ ュ ー方式を サポー ト し てい ます。 ◆ Stochastic Fair Queue SFQ (Stochastic Fair Queue) 方式は、 ト ラ フ ィ ッ ク を多数の リ ス ト のセ ッ ト にキ ュ ー イ ン グ し 、 定期的に変化す る 接続情報のハ ッ シ ュ に基づいて特定の リ ス ト を選択す る 、 キ ュ ー イ ン グ です。 こ れに よ っ て、 同 じ 接続か ら の ト ラ フ ィ ッ ク は、 常に同 じ リ ス ト に キ ュ ー イ ン グ さ れ ます。 SFQ では、 Round Robin 方式で リ ス ト の セ ッ ト か ら ト ラ フ ィ ッ ク をデキ ュ ー し ます。1 つの高速接続に よ っ て キ ュ ーが独占 さ れ低速接続が犠牲に な る と い う こ と が な い た め、 全体的にデキ ュ ーが公平に実行 さ れ ます。 ◆ プ ラ イ オ リ テ ィ 付 き FIFO PFIFO (プ ラ イ オ リ テ ィ 付 き FIFO) は、 すべての ト ラ フ ィ ッ ク を、 ト ラ フ ィ ッ ク の Type of Service (ToS) フ ィ ール ド に基づいて 5 つの リ ス ト のセ ッ ト にキ ュ ー イ ン グす る 方式です。 リ ス ト の う ち 4 つは、4 つの使用で き る ToS の値、[Minimum delay]、[Maximum throughput]、 [Maximum reliability]、 [Minimum cost] に対応 し ま す。 5 番目の リ ス ト は、 ToS 値の な い ト ラ フ ィ ッ ク を 表 し ま す。 PFIPO 方式では、 こ れ ら の 5 つの リ ス ト を処理 し て、 ToS フ ィ ー ル ド の意味 を 可能な限 り 維持 し よ う と し ま す。 た と え ば、 [ToS] BIG-IP® Local Traffic Management 設定ガ イ ド 16 - 9 第 16 章 レー ト シ ェ ーピ ン グの設定 フ ィ ール ド が Minimum cost に設定 さ れてい る パケ ッ ト は、 [ToS] フ ィ ール ド が [Minimum delay] に設定 さ れ て い る パ ケ ッ ト よ り キ ュ ー イ ン グ解除のプ ラ イ オ リ テ ィ が低 く な り ます。 破棄ポ リ シーの指定 破棄ポ リ シーは、 キ ュ ーの ト ラ フ ィ ッ ク が一杯にな っ た場合、 必要に 応 じ て、 処理パケ ッ ト をいつど の よ う に破棄す る か を指定 し ます。 デ フ ォ ル ト 値は tail です。 指定で き る 値は次の と お り です。 ◆ fred フ ロ ー内の ト ラ フ ィ ッ ク タ イ プに従い、 パケ ッ ト を破棄 し ます。 ◆ red パケ ッ ト を ラ ン ダ ム に破棄 し ます。 * ◆ tail ト ラ フ ィ ッ ク ス ト リ ーム の末尾を破棄 し ます。 破棄ポ リ シーを追加作成す る には、 bigpipe ユーテ ィ リ テ ィ 、 ま たは Traffic Management シ ェ ル (tmsh) を使用 し ます。 16 - 10 レー ト ク ラ スの管理 レ ー ト ク ラ ス を作成す る と 、 設定ユーテ ィ リ テ ィ を使用 し て既存の レー ト ク ラ ス を リ ス ト し た り 、レー ト ク ラ ス の設定を表示ま たは変更 し た り 、 レー ト ク ラ ス を削除 し た り で き る よ う にな り ます。 既存のレー ト ク ラ ス を リ ス ト するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Rate Shaping] を ク リ ッ ク し ます。 既存の レー ト ク ラ ス の リ ス ト と その設定値が表示 さ れます。 2. レー ト ク ラ ス の リ ス ト が表示 さ れ ます。 レー ト ク ラ ス を表示または変更する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Rate Shaping] を ク リ ッ ク し ます。 既存の レー ト ク ラ ス の リ ス ト が表示 さ れます。 2. リ ス ト の レー ト ク ラ ス名を ク リ ッ ク し ます。 レー ト ク ラ ス の設定が表示 さ れ ます。 3. 設定値を、 その ま ま 使用す る か、 ま たは変更 し ま す。 レ ー ト ク ラ ス の設定につい ては、 「 レ ー ト ク ラ ス 設定の設定」 (16-4 ページ) を参照 し て く だ さ い。 4. [Update] を ク リ ッ ク し ます。 レー ト ク ラ ス を削除するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [Rate Shaping] を ク リ ッ ク し ます。 既存の レー ト ク ラ ス の リ ス ト が表示 さ れます。 2. リ ス ト で レー ト ク ラ ス名を指定 し て、 名前の左側の [Select] ボ ッ ク ス をチ ェ ッ ク し ます。 3. 画面下部の [Delete] を ク リ ッ ク し ます。 削除を確認す る 画面が表示 さ れ ます。 4. [Delete] を ク リ ッ ク し ます。 こ れに よ り 、 レー ト ク ラ ス が削除 さ れます。 BIG-IP® Local Traffic Management 設定ガ イ ド 16 - 11 17 iRule の記述 • iRule の概要 • iRule の作成 • iRule 評価の制御 • iRule コ マ ン ド の使用 • プ ロ フ ァ イルの処理 • iRule でのセ ッ シ ョ ンパーシス テ ン スの有効化 • デー タ グループの作成、 管理、 使用 iRule の概要 iRule は BIG-IP® ロ ーカル ト ラ フ ィ ッ ク 管理シ ス テ ムの強力で柔軟な 機能で、 ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク の管理に使用で き ます。 業界標準 の Tools Command Language (Tcl) に基づいた構文を使用 し て、iRuleTM 機能では、 ヘ ッ ダデー タ に基づいてプールを選択 し た り 、 定義 し た コ ン テ ン ツ の種類を検索 し て ト ラ フ ィ ッ ク を ダ イ レ ク ト し た り で き ます。 こ の よ う に し て、 iRule 機能に よ っ て、 ニーズに最適な方法で コ ン テ ン ツ の切 り 替え を カ ス タ マ イ ズす る 能力が、 大幅に向上で き ます。 こ の概要の後半では、 iRule の概略を説明 し 、 iRule を構成す る 基本要 素の一覧を示 し 、 iRule を使用 し て ト ラ フ ィ ッ ク を特定の宛先 (プー ルや特定の ノ ー ド な ど) にダ イ レ ク ト す る 例を い く つか示 し ます。 重要 iRule 構文の詳細については、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 を 参照 し て く だ さ い。 iRule は、 標準 Tcl 文法規則に従 う 必要があ り ます。 Tcl 構文の詳細に ついては、 http://tmml.sourceforge.net/doc/tcl/index.html を参照 し て く だ さ い。 iRule について iRule は、 バーチ ャ ルサーバに定義 し たデ フ ォ ル ト のプール以外の プールに接続 し たい場合に記述す る ス ク リ プ ト です。 iRule を使用す る こ と で、 ト ラ フ ィ ッ ク を ダ イ レ ク ト す る 宛先を よ り 直接的に指定で き ま す。 iRule を使用 し て、 ト ラ フ ィ ッ ク を プールに送信す る ほか、 個々のプール メ ンバ、 ポー ト 、 URI に も 送信で き ます。 作成 し た iRule は、 コ ン テ ン ツ切 り 替えの必要性に従っ て、 簡素化ま たは詳細化が可能です。 図 17.1 に、 簡単な iRule の例を示 し ます。 when CLIENT_ACCEPTED { if { [IP::addr [IP::client_addr] equals 10.10.10.10] } { pool my_pool } } 図 17.1 iRule の例 iRule は、 ク ラ イ ア ン ト 側の接続が受理 さ れ る と ト リ ガ さ れ、 ク ラ イ ア ン ト のア ド レ ス が 10.10.10.10 に一致す る と 、 BIG-IP はパケ ッ ト を プール my_pool に送信 し ます。 UIE (Universal Inspecton Engine) と 呼ばれ る 機能を使用 し て、 パケ ッ ト のヘ ッ ダ ま たは実際のパケ ッ ト の コ ン テ ン ツ を検索 し て、その検索 結果に従っ てパケ ッ ト を ダ イ レ ク ト す る iRule を作成で き ます。 iRule は、 ク ラ イ ア ン ト 認証の試行結果に従っ て、 パケ ッ ト を ダ イ レ ク ト す る こ と も で き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 17 - 1 第 17 章 iRule の記述 iRule は ト ラ フ ィ ッ ク を特定のプールにダ イ レ ク ト す る ほか、 ポー ト 番号や URI パ ス を含む個々のプール メ ンバに も ダ イ レ ク ト で き ます。 こ れに よ っ て、 パーシ ス テ ン ス を実装 し た り 、 特定の ロ ー ド バ ラ ン シ ン グ要求を満たす こ と がで き ます。 iRule を記述す る 構文は、 Tcl (Tool Command Language) プ ロ グ ラ ミ ン グ標準に従っ てい ます。 こ のため、 多数の標準的な Tcl コ マ ン ド を使 用で き 、 BIG-IP が ロ ー ド バ ラ ン シ ン グの効率を よ り 高め る こ と がで き る よ う に、 堅牢な拡張機能を使用す る こ と も で き ます。 基本 iRule 要素 iRule は、 こ れ ら の基本要素か ら 構成 さ れ ます。 • イ ベン ト 宣言 • 演算子 • iRule コ マ ン ド イ ベン ト 宣言 iRule は イ ベン ト 駆動型で、 BIG-IP は iRule で指定 し た イ ベン ト に基 づいて iRule を ト リ ガ し ます。 イ ベン ト 宣言 は、 その イ ベン ト が発生 し た と き に BIG-IP が iRule を ト リ ガす る 、 iRule 内での イ ベン ト の指 定です。 iRule を ト リ ガす る イ ベン ト 宣言の例 と し て HTTP_REQUEST があ り 、 こ れに よ っ て、 BIG-IP が HTTP リ ク エ ス ト を受信す る と iRule が ト リ ガ さ れ ます。ま た、CLIENT_ACCEPTED では、 ク ラ イ ア ン ト が接続を確立す る と 、 iRule が ト リ ガ さ れます。 図 17.2 は、 iRule での イ ベン ト 宣言の例を示 し ます。 when HTTP_REQUEST { if { [HTTP::uri] contains "aol" } { pool aol_pool } else { pool all_pool } } 図 17.2 iRule 内での イ ベン ト 宣言の例 iRule イ ベン ト の詳細については、 「 イ ベン ト の指定」 (17-9 ページ) を参照 し て く だ さ い。 17 - 2 演算子 iRule 演算子は、 式の中の 2 つのオペ ラ ン ド を比較 し ます。 Tcl 標準演 算子を使用す る ほか、 表 17.1 に挙げ る 演算子 も 使用で き ます。 演算子 構文 関係演算子 contains matches equals starts_with ends_with matches_regex 論理演算子 not and or 表 17.1 iRule 演算子 た と えば、 contains 演算子を使用 し て、 変数オペ ラ ン ド を定数 と 比較 で き ます。 こ れを実行す る には、 「HTTP URI に aol が含ま れてい る 場 合、 プール aol_pool に送信す る 」 を表現す る if ス テー ト メ ン ト を作 成 し ます。 図 17.2 (17-2 ページ) は、 こ の動作を実行す る iRule の例 を示 し ます。 iRule コ マ ン ド iRule 内の iRule コ マ ン ド に よ っ て、 BIG-IP はデー タ の ク エ リ 、 デー タ の操作、 ト ラ フ ィ ッ ク の宛先の指定な ど の ア ク シ ョ ン を実行 し ま す。 次の種類の コ マ ン ド を iRule 内に指定で き ます。 ◆ ス テー ト メ ン ト コ マ ン ド こ れ ら の コ マ ン ド に よ っ て、 ト ラ フ ィ ッ ク の宛先の選択や、 SNAT 変換 ア ド レ ス の割 り 当 て な ど の ア ク シ ョ ン が実行 さ れ ま す。 ス テー ト メ ン ト コ マ ン ド の例 と し て pool <name> があ り 、 こ れは指 定 し た ロ ー ド バ ラ ン シ ン グ プールに ト ラ フ ィ ッ ク を ダ イ レ ク ト し ます。 詳細については、 「iRule コ マ ン ド の使用」 (17-12 ページ) を 参照 し て く だ さ い。 ◆ デー タ を ク エ リ ま たは操作す る コ マ ン ド 一部の コ マ ン ド は、ヘ ッ ダ と コ ン テ ン ツデー タ を検索 し ますが、そ の他の コ マ ン ド は、 HTTP リ ク エ ス ト へのヘ ッ ダの挿入な ど、 デー タ 操作を実行 し ます。ク エ リ コ マ ン ド の例には IP::remote_addr が あ り 、こ れは接続の リ モー ト IP ア ド レ ス を検索 し て返 し ます。デー タ 操作 コ マ ン ド の例には、HTTP::header remove <name> があ り ま す。 こ の コ マ ン ド は、 指定 し たヘ ッ ダの最後に使用 さ れた箇所を 要求ま たは応答か ら 削除 し ます。 ◆ ユーテ ィ リ テ ィ コ マ ン ド こ れ ら の コ マ ン ド は、 コ ン テ ン ツ の解析 と 操作に役立つ機能です。 ユーテ ィ リ テ ィ コ マ ン ド の例には decode_uri <string> があ り 、 指 定 し た文字列を HTTP URI エ ン コ ーデ ィ ン グ を使用 し てデ コ ー ド し 、 結果を 返 し ま す ユーテ ィ リ テ ィ コ マ ン ド の詳細については、 「 ユーテ ィ リ テ ィ コ マ ン ド 」 (17-13 ページ) を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 17 - 3 第 17 章 iRule の記述 ト ラ フ ィ ッ クの宛先 と ア ド レ ス変換の指定 前のセ ク シ ョ ン で説明 し た よ う に、iRule コ マ ン ド は BIG-IP に対 し て 直接様々な操作を指示で き ます。 以降のセ ク シ ョ ン では、 ト ラ フ ィ ッ ク を特定の宛先にダ イ レ ク ト し た り 、SNAT 実装の変換ア ド レ ス を割 り 当てた り す る iRule コ マ ン ド の例を示 し ます。 ロー ド バラ ン シ ングプールの選択 iRule で ク エ リ を指定す る と 、 pool コ マ ン ド を使用 し て、 BIG-IP が要 求を送信す る ロ ー ド バ ラ ン シ ン グプールを選択で き ます。 図 17.3 は、 こ の コ マ ン ド の例を示 し ます。 when HTTP_REQUEST { set uri [HTTP::uri] if { $uri ends_with ".gif" } { pool my_pool } elseif { $uri ends_with ".jpg" } { pool your_pool } } 図 17.3 iRule 内での pool コ マ ン ド の例 特定のサーバの指定 pool コ マ ン ド の代わ り に、ト ラ フ ィ ッ ク を特定のサーバにダ イ レ ク ト す る iRule を記述で き ます。 こ れには、 node コ マ ン ド を使用 し ます。 図 17.4 は、 こ の コ マ ン ド の例を示 し ます。 when HTTP_REQUEST { if { [HTTP::uri] ends_with ".gif" } { node 10.1.2.200 80 } } 図 17.4 iRule 内での node コ マ ン ド の例 17 - 4 キ ャ ッ シ ュサーバのプールの選択 キ ャ ッ シ ュ サーバのプールか ら サーバを選択す る iRule を作成で き ま す。図 17.5 は、キ ャ ッ シ ュ サーバのプールか ら サーバを選択す る iRule を示 し ます。 when HTTP_REQUEST # This line specifies the expressions that determine whether the BIG-IP system sends requests to the cache pool: if { [HTTP::uri] ends_with "html" or [HTTP::uri] ends_with "gif" } { pool cache_pool set key [crc32 [concat [domain [HTTP::host] 2] [HTTP::uri]]] set cache_mbr [persist lookup hash $key node] if { $cache_mbr ne "" } { # This line verifies that the request is not coming from the cache: if { [IP::addr [IP::remote_addr] equals $cache_mbr] } # This line sends the request from the cache to the origin pool: pool origin_pool return } } # These lines ensure that the persistence record is added for this host/URI: persist hash $key } else { pool origin_pool } } 図 17.5 キ ャ ッ シ ュ プールのサーバへの ロ ー ド バ ラ ン シ ン グ BIG-IP は、 プール メ ンバが利用不可にな っ た と き ではな く 、 BIG-IP が URI の要求を受信 し た と き に、 URI を新 し いキ ャ ッ シ ュ メ ンバに リ ダ イ レ ク ト し ます。 HTTP リ ク エ ス ト の リ ダ イ レ ク ト iRule を特定のプールを選択す る よ う に設定す る ほか、HTTP::redirect iRule コ マ ン ド を使用 し て、 HTTP リ ク エ ス ト を特定の場所に リ ダ イ レ ク ト す る よ う に iRule を設定す る こ と も で き ます。 場所には、 ホ ス ト 名ま たは URI を指定で き ます。 図 17.6 は、 HTTP 応答を リ ダ イ レ ク ト す る よ う に設定 さ れた iRule の 例を示 し ます。 when HTTP_RESPONSE { if { [HTTP::status] contains "404"} { HTTP::redirect "http://www.siterequest.com/" } } 図 17.6 HTTP リ ダ イ レ ク シ ョ ンに基づ く iRule 図17.7は、HTTP リ ク エ ス ト を リ ダ イ レ ク ト す る iRuleの例を示 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 17 - 5 第 17 章 iRule の記述 when HTTP_REQUEST { if { [HTTP::uri] contains "secure"} { HTTP::redirect "https://[HTTP::host][HTTP::uri]" } } 図 17.7 HTTP リ ダ イ レ ク シ ョ ンに基づ く 、 別の iRule SNAT 接続への変換ア ド レ スの割 り 当て iRule 機能には、snat と snatpool と い う 、2 つの ス テー ト メ ン ト コ マ ン ド が あ り ま す。 snat コ マ ン ド を 使用 し て、 設定ユー テ ィ リ テ ィ の [SNAT] 画面を使用 し な く て も 、 iRule の中か ら 、 特定の変換ア ド レ ス を元の IP ア ド レ ス に割 り 当て る こ と が可能です。 snatpool コ マ ン ド を使用 し て も 、 変換ア ド レ ス を元の IP ア ド レ ス に 割 り 当て ら れますが、 snat コ マ ン ド と は異な り 、 snatpool コ マ ン ド で は以前作成 し た特定の SNAT プールか ら BIG-IP が変換ア ド レ ス を選 択 し ます。 SNAT 実装の詳細については、 第 14 章 「SNAT の設定」 を参照 し て く だ さ い。 17 - 6 iRule の作成 iRule は、 設定ユーテ ィ リ テ ィ を使用 し て作成 し ます。 重要 iRule が作成 さ れ る と 、 BIG-IP はその iRule を現在の管理パーテ ィ シ ョ ン に配置 し ま す。 パーテ ィ シ ョ ン の詳細については、 『TMOSTM Management Guide for BIG-IP® Systems』 を参照 し て く だ さ い。 iRule を作成するには 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [iRules] を ク リ ッ ク し ます。 [iRules] 画面が開 き ます。 2. 右上の [Create] を ク リ ッ ク し ます。 注 : [Create] ボ タ ン を ク リ ッ ク で き ない場合は、 現在のユーザ ロ ールでは iRule を作成す る 権限が与え ら れていない こ と を示 し ます。 3. [Name] ボ ッ ク ス に、 1 ~ 31 文字の名前を入力 し ます。 4. [Definition] ボ ッ ク ス に、 iRule の構文を入力 し ます。 5. [Finished] を ク リ ッ ク し ます。 iRule を作成す る 場合の構文の詳細については、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 を参照 し て く だ さ い。 重要 iRule を作成 し た ら 、 iRule を参照す る バーチ ャ ルサーバを設定す る必 要があ り ます。 iRule を参照す る バーチ ャ ルサーバの設定の詳細につ いては、 第 2 章 「バーチ ャ ルサーバの設定」 を参照 し て く だ さ い。 iRules と 管理パーテ ィ シ ョ ンについて 以下にあげ る iRule の設定 コ ン セプ ト は管理パーテ ィ シ ョ ン と 関連が あ る ため、 し っ か り 理解 し てお く 必要があ り ます。 • iRule では、 対象オブジ ェ ク ト が ど のパーテ ィ シ ョ ンに置かれてい る かに関係な く 、 あ ら ゆ る オブジ ェ ク ト を参照で き る よ う にな っ てい ます。 た と えば、 partition_a に置かれた iRule に、 partition_b にあ る プールを指定す る プール ス テー ト メ ン ト が含 ま れ る 場合 も あ り ます。 • iRule の割 り 当ては、 現在の Write パーテ ィ シ ョ ン ま たは Common パーテ ィ シ ョ ン に置かれたバーチ ャ ルサーバか ら のみ削除す る こ と がで き ます。 • iRule を関連付け ら れ る のは、 現在の Write パーテ ィ シ ョ ン ま たは Common パーテ ィ シ ョ ン に置かれたバーチ ャ ルサーバにかぎ ら れ ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 17 - 7 第 17 章 iRule の記述 • 既存の 1 つの iRule を複数のバーチ ャ ルサーバ と 関連付け る こ と が 可能です。 その場合の iRule は、 現在の Write パーテ ィ シ ョ ン内の 各バーチ ャ ルサーバに関連付け ら れた iRule と い う こ と にな り ま す。 こ の コ マ ン ド を実行す る と 、 それ ま での iRule 割 り 当てがすべ て上書 き さ れ る ため、 F5 では こ の コ マ ン ド の使用を推奨 し てい ま せん。 17 - 8 iRule 評価の制御 iRule を使用 し ない基本的なシ ス テ ム設定では、 BIG-IP は、 受信 ト ラ フ ィ ッ ク を、その ト ラ フ ィ ッ ク を受信す る バーチ ャ ルサーバに割 り 当 て ら れたデ フ ォ ル ト のプールにダ イ レ ク ト し ま す。 し か し 、 BIG-IP で、 一部の接続を他の宛先にダ イ レ ク ト さ せたい場合があ り ます。 こ れ を 実行す る には、 特定の種類の イ ベン ト が発生 し た場合に、 ト ラ フ ィ ッ ク を別の宛先にダ イ レ ク ト す る iRule を記述 し ます。 それ以外 の場合は、 ト ラ フ ィ ッ ク はバーチ ャ ルサーバに割 り 当て ら れたデフ ォ ル ト プールに送信 さ れます。 し たが っ て iRule は、iRule で指定 さ れた イ ベン ト が発生 し た場合にい つ も 評価 さ れ る こ と に な り ま す。 た と えば、 iRule に イ ベ ン ト 宣言 CLIENT_ACCEPTED が含まれてい る 場合、 iRule は、 BIG-IP が ク ラ イ ア ン ト 接続を受け入れ る と ト リ ガ さ れ ます。 BIG-IP は、 iRule の残 り の指示に従い、 パケ ッ ト の宛先を決定 し ます。 設定の前提条件 BIG-IP が、 作成 し た iRule を評価す る 前に、 次を実行す る 必要があ り ます。 ◆ iRule をバーチ ャ ルサーバに割 り 当て る iRule がバーチ ャ ルサーバに割 り 当て ら れ る と 、 バーチ ャ ルサーバ がプール ま たはプ ロ フ ァ イ ルを参照す る の と 同様の方法で、 バー チ ャ ルサーバが iRule を参照す る こ と にな り ます。 ◆ バーチ ャ ルサーバが適切なプ ロ フ ァ イ ルを参照す る よ う にす る た と えば、 iRule に イ ベン ト 宣言 HTTP_REQUEST が含まれ る 場 合、 BIG-IP は、 バーチ ャ ルサーバが http プ ロ フ ァ イ ル タ イ プ を参 照す る 場合にのみ iRule を評価 し ます。 注 イ ベン ト HTTP_REQUEST を指定す る iRule を割 り 当て る 場合、 バー チ ャ ルサーバが適切なプ ロ フ ァ イ ル タ イ プ を参照する よ う に し ます。 iRule と プ ロ フ ァ イ ルのバーチ ャ ルサーバへの割 り 当ての詳細につい ては、 第 2 章 「バーチ ャ ルサーバの設定」 を参照 し て く だ さ い。 イ ベン ト の指定 iRule 機能には、 iRule で使用で き る い く つかの種類の イ ベン ト 宣言が あ り ます。 イ ベン ト 宣言を指定す る と 、 BIG-IP が iRule を評価す る タ イ ミ ン グが決ま り ます。 以降のセ ク シ ョ ン では、 こ れ ら の イ ベン ト タ イ プの一覧 と 説明を示 し ま す。 ま た、 iRule コ ン テ キ ス ト の概念 と 、 when キーワ ー ド の使用方法について も 説明 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 17 - 9 第 17 章 iRule の記述 イ ベン ト タ イ プ iRule コ マ ン ド 構文には、 iRule で指定で き る い く つかの イ ベン ト タ イ プの宣言があ り ます。 た と えば、 次の よ う にな り ます。 • グ ロ ーバル イ ベン ト (CLIENT_ACCEPTED な ど) • HTTP イ ベン ト (HTTP_REQUEST な ど) • SSL イ ベン ト (CLIENTSSL_HANDSHAKE な ど) • 認証 イ ベン ト (AUTH_SUCCESS な ど) iRule イ ベン ト と その説明の詳細については、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 を参照 し て く だ さ い。 iRule の コ ン テキス ト iRule に指定す る 各 イ ベン ト に対 し て、 キー ワー ド clientside ま たは serverside で示す、 コ ン テ キ ス ト を指定で き ます。 各 イ ベン ト には関 連付け ら れたデフ ォ ル ト コ ン テ キ ス ト があ る ため、コ ン テ キ ス ト をデ フ ォ ル ト か ら 変更す る には、 コ ン テ キ ス ト を宣言す る だけです。 た と えば、 図 17.8 に示す my_iRule1 では、 イ ベン ト 宣言 CLIENT_ACCEPTED と 、 iRule コ マ ン ド IP::remote_addr があ り ま す。 こ の場合、 iRule コ マ ン ド が返す IP ア ド レ ス は ク ラ イ ア ン ト の も のです。 イ ベン ト 宣言 CLIENT_ACCEPTED のデフ ォ ル ト コ ン テ キ ス ト が clientside だか ら です。 when CLIENT_ACCEPTED { if { [IP::addr [IP::remote_addr] equals 10.1.1.80] } { pool my_pool1 } } 図 17.8 デフ ォ ル ト コ ン テ キ ス ト clientside を使用す る iRule 同様に、 イ ベン ト 宣言 SERVER_CONNECTED と iRule コ マ ン ド IP::remote_addr を iRule に追加す る と 、iRule コ マ ン ド が返す IP ア ド レ ス はサーバのア ド レ ス にな り ます。 イ ベン ト 宣言 SERVER_CONNECTED のデフ ォ ル ト コ ン テ キ ス ト は serverside だか ら です。 図 17.8 は、 iRule コ マ ン ド の処理にデフ ォ ル ト コ ン テ キ ス ト を使用す る iRule を記述 し た場合の状態を示 し ます。 ただ し 、 clientside お よ び serverside キー ワ ー ド を明示的に指定 し て、iRule コ マ ン ド の動作を変 更す る こ と も で き ます。 前の例を使用す る と 、 図 17.9 (17-11 ページ) では、 イ ベン ト 宣言 SERVER_CONNECTED が示 さ れ、 iRule コ マ ン ド IP::remote_addr のキー ワー ド clientside が明示的に指定 さ れてい ます。 こ の場合、 イ ベン ト 宣言のデフ ォ ル ト コ ン テ キ ス ト が serverside であ っ て も 、 iRule コ マ ン ド が返す IP ア ド レ ス は ク ラ イ ア ン ト の も のです。 17 - 10 when SERVER_CONNECTED { if { [IP::addr [IP::addr [clientside {IP::remote_addr}] equals 10.1.1.80] } { discard } } 図 17.9 コ ン テ キ ス ト を明示的に指定する iRule when キーワー ド の使用 iRule での イ ベン ト 宣言は、when キー ワー ド に続けて イ ベン ト 名を使 用 し て作成 し ます。 前の図で、 iRule での イ ベン ト 宣言の例を示 し て い ます。 バーチ ャ ルサーバでの iRule の リ ス ト 複数の iRule をバーチ ャ ルサーバに リ ソ ース と し て割 り 当て る 場合、 バーチ ャ ルサーバに iRule を リ ス ト す る 順序を考慮す る こ と が重要で す。 こ れは、 重複 し た iRule イ ベン ト があ る 場合、 該当す る iRule の リ ス ト 順に BIG-IP が処理を行 う ためです。 iRule イ ベン ト は、 イ ベン ト の ト リ ガ を終了で き 、 BIG-IP が後続の イ ベン ト を ト リ ガで き な く し ます。 注 iRule がプ ロ フ ァ イ ルを参照す る場合、 BIG-IP は、 バーチ ャ ルサーバ に割 り 当て ら れた iRule の リ ス ト での順序に関係な く 、 こ の タ イ プの iRule を最後に処理 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 17 - 11 第 17 章 iRule の記述 iRule コ マ ン ド の使用 iRule コ マ ン ド には、 以下の 3 つの種類があ り ます。 • ス テー ト メ ン ト コ マ ン ド • ク エ リ お よ び操作 コ マ ン ド • ユーテ ィ リ テ ィ コ マ ン ド (関数 と も 呼ばれ ます) ス テー ト メ ン ト コ マ ン ド iRule で使用で き る コ マ ン ド のなかには、 ス テー ト メ ン ト コ マ ン ド と 呼ばれ る も のがあ り ます。 ス テー ト メ ン ト コ マ ン ド に よ っ て、 BIG-IP は さ ま ざ ま な ア ク シ ョ ン を実行で き ます。 た と えば、 こ れ ら の コ マ ン ド には、 BIG-IP が ト ラ フ ィ ッ ク を ダ イ レ ク ト す る プール ま たはサー バを指定で き る も のがあ り ます。 その他には、 SNAT 接続を実装す る 変換ア ド レ ス を指定す る コ マ ン ド があ り ます。 ま た、 デー タ グループ ま たはパーシ ス テ ン ス プ ロ フ ァ イ ルな ど のオブ ジ ェ ク ト を指定す る も の も あ り ます。 ス テー ト メ ン ト コ マ ン ド の詳細につい ては、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 を参照 し て く だ さ い。 ク エ リ および操作 コ マ ン ド iRule コ マ ン ド を使用す る と 、 要求ま たは応答のヘ ッ ダや コ ン テ ン ツ に含ま れ る 特定のデー タ を問い合わせた り 、そのデー タ を操作す る こ と がで き ます。 デー タ 操作 と は、 デー タ の挿入、 置換、 削除、 お よ び ヘ ッ ダお よ び Cookie で見つか っ た値の設定の こ と です。 た と えば、 iRule 内で IP::idle_timeout コ マ ン ド を使用 し て、 パケ ッ ト ヘ ッ ダに設定 さ れた現在のア イ ド ル タ イ ム ア ウ ト を問い合わせ、その パ ケ ッ ト で ロ ー ド バ ラ ン シ ン グ を 行 う こ と が で き ま す。 ま た、 IP::idle_timeout コ マ ン ド を使用す る と 、 選択 し た値にア イ ド ル タ イ ム ア ウ ト を設定す る こ と がで き ます。 iRule ク エ リ お よ び操作 コ マ ン ド は、namespaces (ネーム スペース) と 呼ばれ る カ テ ゴ リ に分類 さ れてい ます。グ ロ ーバルネーム スペース の コ マ ン ド を除 き 、 各 iRule ク エ リ ま たは操作 コ マ ン ド は、 コ マ ン ド 名 にネーム スペー ス を含んでい ます。 た と えば、 IP ネーム ス ペース の コ マ ン ド のひ と つに IP::idle_timeout があ り ます。 ま た、 HTTP ネー ム スペース の コ マ ン ド の例 と し て、 HTTP: header があ り ます。 iRule コ マ ン ド の ネ ー ム ス ペー ス の 一覧 に つ い て は、 F5 Networks DevCentral の Web サ イ ト http://devcentral.f5.com/Default.aspx?tabid=119 を参照 し て く だ さ い。 17 - 12 ユーテ ィ リ テ ィ コ マ ン ド BIG-IP には、 iRule 内で使用で き る 多数のユーテ ィ リ テ ィ コ マ ン ド が あ り ます。 こ れ ら の コ マ ン ド を使用 し て、 コ ン テ ン ツ の解析や取得、 デー タ の ASCII フ ォ ーマ ッ ト へのエ ン コ ー ド 、 デー タ 整合性の検証、 ア ク テ ィ ブプールお よ びプール メ ン バに関す る 情報の取得な ど を実 行で き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 17 - 13 第 17 章 iRule の記述 プ ロ フ ァ イルの処理 iRule を記述す る 場合、iRule に特定のプ ロ フ ァ イ ル設定の値を通知 し 、 その情報に適 し た ト ラ フ ィ ッ ク 管理を実行で き る よ う に し たい こ と があ り ます。 iRule 機能には、 iRule 内で指定 し たプ ロ フ ァ イ ル設定の 値を読み込む、 専用の コ マ ン ド があ り ます。 iRule ではプ ロ フ ァ イ ル設定の値を読み込むほか、 特定の設定の値を オーバー ラ イ ド で き ます。 こ れに よ り 、 バーチ ャ ルサーバ経由で確立 し た接続に対 し BIG-IP が適用す る 値 と は別の値を、 個別の接続に適 用す る よ う に設定で き ます。 プ ロ フ ァ イル設定の読み込み iRule 機能には、 PROFILE と い う コ マ ン ド があ り ます。 PROFILE コ マ ン ド を iRule で指定 し てプ ロ フ ァ イ ル タ イ プ と 設定を指定す る と 、 iRule はそのプ ロ フ ァ イ ル設定の値を読み込みます。 こ のために iRule は、 バーチ ャ ルサーバに割 り 当て ら れた、 指定 さ れたプ ロ フ ァ イ ル タ イ プ を検索 し 、 PROFILE コ マ ン ド シーケ ン ス で指定 さ れた設定の値 を読み込みます。 iRule は、 こ の情報を使用 し て ト ラ フ ィ ッ ク を管理 し ます。 た と えば、iRule で PROFILE::tcp idle_timeout コ マ ン ド を指定で き ま す。 BIG-IP は、 バーチ ャ ルサーバ (my_tcp な ど) に割 り 当て ら れた TCP プ ロ フ ァ イ ルを見つけ、 [Idle Timeout] 設定に割 り 当て た値に対 し て ク エ リ を実行 し ます。 プ ロ フ ァ イル設定のオーバー ラ イ ド ヘ ッ ダお よ び コ ン テ ン ツデー タ の ク エ リ お よ び操作のための iRule コ マ ン ド には、 様々なプ ロ フ ァ イ ルで同 じ 設定を持つ も のがあ り ます。 こ れ ら の コ マ ン ド を iRule で使用 し 、 イ ベン ト が iRule を ト リ ガす る と 、BIG-IP は iRule で指定 さ れた値を使用 し て こ れ ら のプ ロ フ ァ イ ル 設定の値を オーバー ラ イ ド し ます。 た と えば、 HTTP プ ロ フ ァ イ ルでは HTTP デー タ の圧縮に使用す る バ ッ フ ァ サ イ ズ を指定 し ますが、特定の タ イ プの HTTP 接続に異な る バ ッ フ ァ サ イ ズ を指定 し たい場合があ り ます。 こ の場合、 iRule で コ マ ン ド HTTP::compress_buffer_size を使用 し 、 プ ロ フ ァ イ ルの値 と は別の値を指定 し ます。 17 - 14 iRule でのセ ッ シ ョ ンパーシ ス テ ン スの有効化 第 7 章 「 セ ッ シ ョ ンパーシ ス テ ン ス の有効化」 では、 パーシ ス テ ン ス プ ロ フ ァ イ ルを設定 し てバーチ ャ ルサーバに割 り 当て て、セ ッ シ ョ ン パーシ ス テ ン ス を有効にす る 方法を説明 し ます。こ の章で説明す る よ う に、 BIG-IP は こ れ ら のパーシ ス テ ン ス プ ロ フ ァ イ ル設定を、 バー チ ャ ルサーバを経由す る 該当セ ッ シ ョ ンすべてに適用 し ます。た と え ば、 msrdp プ ロ フ ァ イ ルをバーチ ャ ルサーバに割 り 当て る と 、 BIG-IP は こ の 設定 を 受信す る すべ て の Microsoft® Remote Desktop Protocol (RDP) 接続に適用 し ます。 ただ し 、よ り き め細かな レベルでパーシ ス テ ン ス を有効に し たい場合 も あ り ます。 た と えば、 終了 し ていない SSL ト ラ フ ィ ッ ク のみで動 作す る ssl パーシ ス テ ン ス プ ロ フ ァ イ ルを使用す る 代わ り に、 HTTP リ ク エス ト ヘッ ダに挿入し た SSL証明書の状態に基づいてセッ ショ ン を パ ー シ ス テ ン ス に し た い こ と が あ り ま す。 こ の た め に は、 HTTP::header コ マ ン ド を使用 し て iRule を記述 し 、 iRule をバーチ ャ ルサーバに割 り 当て ます。 BIG-IP が SSL 要求を受け取 る と 、 iRule は 要求にヘ ッ ダ と し て証明書の状態を挿入 し 、その状態に基づいてセ ッ シ ョ ン をパーシ ス テ ン ス し ます。 BIG-IP には、 特殊な iRule コ マン ド persist があり ま す。 こ のコ マン ド は、 第 7 章 「 セ ッ シ ョ ンパーシ ス テ ン ス の有効化」 に記載し たタ イ プ のセッ ショ ン パーシス テン ス を 実装し ま す。使用方法は、iRule に persist コ マン ド を 入力し て、 パーシス テン ス タ イ プを 指定する だけです。 た と えば、特定の イ ベン ト が発生 し た と き に SSL 接続をパーシ ス テ ン スす る iRule を、 セ ッ シ ョ ン ID のパーシ ス テ ン ス を基に し て記述で き ます。 図 17.10 は、 こ れを実現す る iRule の記述例を示 し ます。 when CLIENTSSL_HANDSHAKE { persist ssl } 図 17.10 セ ッ シ ョ ン ID に基づ く SSL パーシ ス テ ン ス を実現する iRule の例 persist none、 hash、 srcaddr、 destaddr、 お よ び uie コ マ ン ド はど の よ う な場合で も 使用で き 、パーシ ス テ ン ス プ ロ フ ァ イ ルが設定 さ れてお ら ず、バーチ ャ ルサーバに割 り 当て ら れていない場合で も 使用で き ま す。 ただ し 、 persist ssl、 cookie、 msrdp、 お よ び sip コ マ ン ド では、 対応す る パーシ ス テ ン ス プ ロ フ ァ イ ル を バーチ ャ ルサーバに割 り 当 て る 必要があ り ます。 こ れ ら の コ マ ン ド を、 対応す る プ ロ フ ァ イ ルが ない場合に使用す る と 、iRule の ラ ン タ イ ム エ ラ ーが発生 し ます。パー シ ス テ ン ス プ ロ フ ァ イ ルのバーチ ャ ルサーバへの割 り 当ての詳細に ついては、 第 2 章 「バーチ ャ ルサーバの設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 17 - 15 第 17 章 iRule の記述 デー タ グループの作成、 管理、 使用 デー タ グループは、 iRule の記述に役立ち ま す。 デー タ グループ は、 AOL ク ラ イ ア ン ト の IP ア ド レ ス のセ ッ ト な ど、 関連す る 要素のグ ループに過ぎ ません。 デー タ グループ を matchclass コ マ ン ド ま たは contains 演算子で指定す る と 、 iRule 式内で複数の値を引数 と し て並 べ る 必要がな く な り ます。 BIG-IP では、 private_net、 images、 aol と い う 3 つのデー タ グループ が事前設定 さ れてい ます。 デー タ グループの有用性を理解す る には、 まず、 matchclass コ マ ン ド と contains 演算子について理解す る と 簡単です。 注 ユーザ ロ ール と パーテ ィ シ ョ ン ア ク セ ス割 り 当てに基づ き 、管理権限 があ るデー タ グループのみを管理す る こ と がで き ます。 警告 3 つの設定済デー タ グループ (private_net、 images、 aol) の変更や削 除は行え ません。 も し 行 う と 悪影響が生 じ る 可能性があ り ます。 matchclass コ マ ン ド の使用 BIG-IP には matchclass と い う iRule コ マ ン ド があ り 、こ れを使用す る と 、 iRule で使用 さ れ る コ マ ン ド が特定のデー タ グループの メ ンバを 表現 し てい る か ど う かに よ っ て、 プールを選択で き ます。 matchclass コ マ ン ド を使用す る と 、BIG-IP は識別子に続 く 文字列がデー タ グルー プの名前であ る と 解釈 し ます。 た と えば、 matchclass コ マ ン ド を使用 し て、 IP::remote_addr コ マ ン ド の値がデー タ グループ AOL の メ ンバであ る 場合に、 BIG-IP で受信 す る AOL 接続を プール aol_pool に ロ ー ド バ ラ ン スす る こ と がで き ま す。 図 17.11 は、 こ の タ イ プ の iRule の例 を 示 し ま す。 こ の場合、 matchclass コ マ ン ド は、 aol と い う オブジ ェ ク ト が値の コ レ ク シ ョ ン (つま り 、 デー タ グループ) であ る こ と を示 し ます。 when CLIENT_ACCEPTED { if { [matchclass [IP::remote_addr] equals $::aol] } { pool aol_pool } else { pool all_pool } } 図 17.11 matchclass コ マ ン ド に基づ く iRule [IP::remote_addr] equals matchclass $::aol の よ う な式は、 式がデー タ グループの特定の値を少な く と も 1 つ持つ場合に True にな り ます。 17 - 16 デー タ グループの作成 matchclass コ マ ン ド を iRule で使用す る 場合、 3 つの タ イ プのデー タ グループ を指定で き ます。 • ア ド レ スデー タ グループ - IP ア ド レ ス の コ レ ク シ ョ ン • 文字列デー タ グループ - *.jpg な ど、 文字列の コ レ ク シ ョ ン • 整数デー タ グループ - 数値の コ レ ク シ ョ ン 以降の項では、 こ れ ら のデー タ グループについて説明 し ます。 注 デー タ グループのサ イ ズは、シ ス テ ム リ ソ ース に よ っ てのみ制限 さ れ ます。 ア ド レ スデー タ グループ IP ア ド レ スデー タ グループには、 ネ ッ ト ワ ー ク IP ア ド レ ス と ホ ス ト IP ア ド レ ス の、 2 つの タ イ プがあ り ます。 次の手順では、ネ ッ ト ワー ク ま たはホ ス ト ア ド レ スデー タ グループ を 作成 し ます。 ア ド レ スデー タ グループ を作成する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [iRules] を ク リ ッ ク し ます。 [iRules] 画面が開 き ます。 2. メ ニ ュ ーバーで、 [Data Group List] を ク リ ッ ク し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 4. [Name] ボ ッ ク ス で、 my_address_group な ど の、 デー タ グルー プの一意の名前を入力 し ます。 5. [Type] ボ ッ ク ス で、 [Address] を選択 し ます。 画面が展開 さ れ、 詳細な設定が表示 さ れます。 6. [Records] セ ク シ ョ ン で、[Host] ま たは [Network] を選択 し ます。 7. [Address] ボ ッ ク ス に、デー タ グループの最初の IP ア ド レ ス を 入力 し ま す。 ネ ッ ト ワ ー ク デー タ グ ループ を 作成す る 場合、 [Mask] ボ ッ ク ス にマ ス ク も 入力 し ます。 8. [Add] を ク リ ッ ク し ます。 入力内容が [Address Records] ボ ッ ク ス に表示 さ れます。 9. ス テ ッ プ 7 と ス テ ッ プ 8 を繰 り 返 し て、 すべての IP ア ド レ ス を入力 し ます。 10. [Finished] を ク リ ッ ク し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 17 - 17 第 17 章 iRule の記述 文字列デー タ グループ 文字列デー タ グループには、 *.jpg や *.gif な ど の、 文字列の リ ス ト が 含まれ ます。 次の手順では、 文字列デー タ グループ を作成 し ます。 文字列デー タ グループ を作成するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [iRules] を ク リ ッ ク し ます。 [iRules] 画面が開 き ます。 2. メ ニ ュ ーバーで、 [Data Group List] を ク リ ッ ク し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 4. [Name] ボ ッ ク ス で、 my_images な ど の、 デー タ グループの一 意の名前を入力 し ます。 5. [Type] ボ ッ ク ス で、 [String] を選択 し ます。 画面が展開 さ れ、 文字列固有の設定が表示 さ れます。 6. [String] ボ ッ ク ス に、 デー タ グループの最初の文字列を入力 し ます。 7. [Add] を ク リ ッ ク し ます。 入力内容が [String Records] ボ ッ ク ス に表示 さ れます。 8. ス テ ッ プ 6 と ス テ ッ プ 7 を繰 り 返 し て、 すべての文字列を入 力 し ます。 9. [Finished] を ク リ ッ ク し ます。 整数デー タ グループ 整数デー タ グループには、 整数の リ ス ト が含 ま れ ま す。 次の手順で は、 整数デー タ グループ を作成す る 方法を示 し ます。 整数デー タ グループ を作成する には 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [iRules] を ク リ ッ ク し ます。 [iRules] 画面が開 き ます。 2. メ ニ ュ ーバーで、 [Data Group List] を ク リ ッ ク し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 4. [Name] ボ ッ ク ス で、 my_integer_group な ど の、 デー タ グルー プの一意の名前を入力 し ます。 5. [Type] ボ ッ ク ス で、 [Integer] を選択 し ます。 画面が展開 さ れ、 [Records] セ ク シ ョ ン が表示 さ れ ます。 6. [Integer] ボ ッ ク ス に、 デー タ グループの最初の整数を入力 し ます。 7. [Add] を ク リ ッ ク し ます。 入力内容が [Integer Records] ボ ッ ク ス に表示 さ れます。 8. ス テ ッ プ 6 と ス テ ッ プ 7 を繰 り 返 し て、 すべての整数を追加 し ます。 9. [Finished] を ク リ ッ ク し ます。 17 - 18 ス ト レージオプ シ ョ ン BIG-IP では、 イ ン ラ イ ン ま たは外部の 2 つの方法で、 デー タ グルー プ を保存で き ます。 イ ン ラ イ ン ス ト レージ デー タ グループ を作成 し た場合、BIG-IP はその全体を bigip.conf フ ァ イ ルに自動的に保存 し ます。 こ の タ イ プの ス ト レージは、 イ ン ラ イ ン ス ト レージ と 呼ばれます。 デー タ グループ内のデー タ を更新す る 必要があ る 場合、デー タ グルー プ全体 を再 ロ ー ド す る 必要が あ り ま す。 一般には、 イ ン ラ イ ン ス ト レージでは大規模デー タ グループの検索に多大な負荷がかか る ため、 シ ス テ ム リ ソ ース を余分に使用 し ます。 ま た、 イ ン ラ イ ン ス ト レージ では イ ン ク リ メ ン タ ルにデー タ を更新す る 場合、デー タ グループ全体 を再 ロ ー ド す る 必要があ り ます。 こ のため、 BIG-IP では、 外部に、 す なわち bigip.conf フ ァ イ ル以外に、 デー タ グループ を保存す る 機能を 搭載 し てい ます。 外部ス ト レージ BIG-IP では、 bigip.conf フ ァ イ ル以外の別の場所にデー タ グループ を 保存す る オプシ ョ ン があ り ます。 こ の よ う なデー タ グループは、 外部 デー タ グループ と 呼ばれ ます。デー タ グループは別の場所に外部的に 保存 さ れ る ため、 bigip.conf フ ァ イ ル自身にはデー タ グループの メ タ デー タ のみが含まれます。外部に保存 さ れたデー タ グループ フ ァ イ ル のデー タ は、 値 を カ ン マ で 区切 り の リ ス ト で 保存 さ れ ま す (CSV フ ォ ーマ ッ ト )。 重要 外部デー タ グループの メ タ デー タ が含 ま れ る bigip.conf フ ァ イ ルを ロ ー ド す る場合、その フ ァ イ ルが BIG-IP 9.4 よ り 前のバージ ョ ンで作 成 さ れた も のであれば、 エ ラ ーが発生 し ます。 こ れは、 外部デー タ グ ループの メ タ デー タ に extern と い う キーワー ド が含まれ、こ れに よ っ て ロ ー ド 実行時にエ ラ ーが生 じ る ためです。 バージ ョ ン 9.4 以降の BIG-IP では、 bigip.conf フ ァ イ ルに extern キーワー ド が含まれな く て も いい よ う にな っ てい ます。 外部デー タ グループの作成は、デー タ が ロ ー ド さ れ る と き に ソ ー ト さ れないため、 有効です。 デー タ は、 カーネルのハ ッ シ ュ テーブルに保 存 さ れます。 こ の ス ト レージ方法に よ り 、 iRule が大規模なデー タ グ ループ を使用 し て ト ラ フ ィ ッ ク を プールにダ イ レ ク ト す る と き のパ フ ォ ーマ ン ス が向上 し ます。 外部デー タ グループは、 /config か /var/class のいずれかのデ ィ レ ク ト リ に配置す る 必要があ り ます。外部デー タ グループ を保存す る デフ ォ ル ト の場所は、 /config デ ィ レ ク ト リ です。 外部デー タ グループ を実装す る には、 まずは図 17.12 (17-20 ページ) で示すフ ォ ーマ ッ ト に従い、テ キ ス ト エデ ィ タ でテ キ ス ト フ ァ イ ルを 作成 し ます。 次に、 設定ユーテ ィ リ テ ィ を使っ て、 先に作成 し たテ キ ス ト フ ァ イ ルを参照す る (External File) タ イ プのデー タ グループ を作 成 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 17 - 19 第 17 章 iRule の記述 デー タ グループ を外部に保存するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [iRules] を ク リ ッ ク し ます。 [iRules] 画面が開 き ます。 2. メ ニ ュ ーバーで、 [Data Group List] を ク リ ッ ク し ます。 3. 画面の右上で [Create] を ク リ ッ ク し ます。 4. [Name] ボ ッ ク ス で、 外部の場所に保存 し たい既存のデー タ グ ループの名前を入力 し ます。 5. [Type] ボ ッ ク ス で、 [(External File)] を選択 し ます。 6. [Path/Filename] ボ ッ ク ス に、 外部 ロ ケーシ ョ ン のパ ス と フ ァ イ ル名を入力 し ます (例 : /var/class/my_address_group)。 こ の フ ァ イ ル名は、 デー タ グループ自身に割 り 当て た名前 と 一致す る 必要があ り ます。 注 : /config デ ィ レ ク ト リ (デフ ォ ル ト ロ ケーシ ョ ン) にデー タ グループを保存す る場合は、 パ ス名で /config を指定する 必 要はな く 、 デー タ グループのフ ァ イ ル名を入力す る だけです。 7. [File Contents] ボ ッ ク ス で、デー タ グループに割 り 当て る フ ァ イ ル タ イ プ を、 [Address]、 [String]、 [Integer] か ら 選択 し ます。 8. [Finished] を ク リ ッ ク し ます。 BIG-IP は、 外部デー タ グループ フ ァ イ ルのデー タ を カ ン マ区切 り の リ ス ト と し て保存 し 、 IP ア ド レ ス な ど のデー タ 値の フ ォ ーマ ッ ト は、 bigip.conf フ ァ イ ルで使用 さ れ る フ ォ ーマ ッ ト と 同 じ にな り ます。 図 17.12 に、 デー タ グループ フ ァ イ ル /config/ip2.data group の内容を示 し ます。 network network network network network network 195.93.32.0 195.93.33.0 195.93.34.0 195.93.48.0 195.93.49.0 195.93.50.0 mask mask mask mask mask mask 255.255.255.0, 255.255.255.0, 255.255.255.0, 255.255.255.0, 255.255.255.0, 255.255.255.0 図 17.12 外部デー タ グループ フ ァ イ ルの例 デー タ グループ プ ロパテ ィ の表示 設定ユーテ ィ リ テ ィ を使用 し て、既存のデー タ グループのプ ロ パテ ィ を表示で き ます。 デー タ グループのプ ロパテ ィ を表示するには 1. ナビ ゲーシ ョ ンペ イ ンの [Main] タ ブで、[Local Traffic] を展開 し て [iRules] を ク リ ッ ク し ます。 [iRules] 画面が開 き ます。 2. メ ニ ュ ーバーで、 [Data Group List] を ク リ ッ ク し ます。 3. デー タ グループの名前を ク リ ッ ク し ます。 そのデー タ グループのプ ロ パテ ィ が表示 さ れます。 17 - 20 デー タ グループ メ ンバの管理 デー タ グループが イ ン ラ イ ン で保存 さ れてい る 場合は、設定ユーテ ィ リ テ ィ を利用 し て、 メ ンバを既存のデー タ グループに追加 し た り 、 グ ループか ら 削除す る こ と がで き ます。 デー タ グループが外部に保存 さ れてい る 場合は、 bigpipe ユーテ ィ リ テ ィ を 使 っ て メ ン バの管理 を 行い ま す。 詳細につい て は、 『Bigpipe Utility Reference Guide』 を参照 し て く だ さ い。 デー タ グループに メ ンバを追加する には 1. ナビ ゲーシ ョ ンペ イ ン の [Main] タ ブで、[Local Traffic] を展開 し て [iRules] を ク リ ッ ク し ます。 [iRules] 画面が開 き ます。 2. メ ニ ュ ーバーで、 [Data Group List] を ク リ ッ ク し ます。 3. デー タ グループの名前を ク リ ッ ク し ます。 そのデー タ グループのプ ロ パテ ィ が表示 さ れます。 4. [Records] 領域で、 該当す る ボ ッ ク ス にア ド レ ス、 文字列、 整 数を入力 し ます。 5. [Add] を ク リ ッ ク し ます。 6. [Update] を ク リ ッ ク し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 17 - 21 A ヘルスモニ タ と パフ ォ ーマ ン ス モニ タ • モニ タ リ フ ァ レ ン ス モニ タ リ フ ァ レ ン ス こ こ か ら 先は、ロ ーカル ト ラ フ ィ ッ ク 管理のヘル ス モニ タ と パフ ォ ー マ ン ス モ ニ タ について説明 し てい き ま す。 モ ニ タ の説明はアル フ ァ ベ ッ ト 順に記載 し てい ます。 モニ タ の コ ン セプ ト や手順に関す る 一般情報は、 第 12 章 「 モニ タ の 設定」 を参照 し て く だ さ い。 重要 カ ス タ ムモニ タ の値を定義す る場合は、予約済みキーワー ド の一覧に あ る 値の使用は避けて く だ さ い。 詳 し い情報は 「Ask F5SM Knowledge Base」 (https://support.f5.com) の ソ リ ュ ーシ ョ ン No 3653 を ご覧 く だ さ い (バージ ョ ン 9.0 以上)。 BIG-IP® Local Traffic Management 設定ガ イ ド A-1 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ External モニ タ の External タ イ プ を使用す る と 、独自のモニ タ タ イ プ を作成で き ます。 こ れには、 External タ イ プのカ ス タ ム モニ タ を作成 し 、 こ の 中で実行す る ユーザ作成のモニ タ を指定 し ます。 図 A.1 は、External タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。 Name "" Type External Interval 5 Timeout 16 Manual Resume No Check Until Up No External Program "" Arguments "" Variables "" Alias Address * All Addresses Alias Service Port * All Ports 図 A.1 External タ イ プのカ ス タ ム モニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 A-2 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_external_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ン バに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ External Program ユーザが提供す る モニ タ プ ロ グ ラ ム の名前を指定す る 際に使用す る のが、[External Program] 設定です。External タ イ プのモニ タ は、 /usr/bin/monitors デ ィ レ ク ト リ を検索 し ます。 External ◆ Arguments [Arguments ] 設定を使用 し て、 必要な コ マ ン ド ラ イ ン引数を指定 す る こ と がで き ます。 ◆ Variables 外部モニ タ で必要 と さ れ る 変数 「Name/Value ペア」 を指定 し ます。 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド A-3 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ FirePass FirePass モニ タ は、 FirePass シ ス テ ムの健全性をチ ェ ッ ク す る ための も のです。 図 A.2 に、 FirePass タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し てい ます。 Name "" Type External Interval 5 Timeout 16 Manual Resume No Check Until Up No Cipher List HIGH:!ADH Max Load Average 12.0 Concurrency Limit 95 User Name "" Password "" Alias Address * All Addresses Alias Service Port * All Ports 図 A.2 FirePass タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 A-4 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_firepass_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。 ま た、 ノ ー ド の応答に RESET パケ ッ ト が含まれ る 場合は、 タ イ ム ア ウ ト イ ン タ ーバルの設定値に到達す る 前に、そ の ノ ー ド に 対 し て た だ ち に down の フ ラ グ が 立 て ら れ ま す。 [Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定す る よ う に し て く だ さ い。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ン バに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 FirePass ◆ Cipher List 暗号 リ ス ト を指定 し ない場合、 モニ タ はデフ ォ ル ト の暗号 リ ス ト であ る DEFAULT:+SHA:+3DES:+kEDH を使用 し ます。 ◆ Max Load Average モニ タ が FirePass シ ス テ ムの up/down のマー ク 付けに使用す る 数 値を指定 し ます。 こ の設定値が FirePass の 1 分間の平均シ ス テ ム 負 荷 と 比 較 さ れ、 FirePass の 平 均 シ ス テ ム 負 荷 が [Max Load Average] 値を下回っ ていれば、 モニ タ はその FirePass シ ス テ ム を up と マー ク 付け し ます。 平均負荷が設定値 よ り 上の場合は、 モニ タ はそのシ ス テ ム を down と マー ク 付け し ます。 デフ ォ ル ト 値は 12.0 です。 ◆ Concurrency Limit ラ イ セ ン ス で許可 さ れた接続数の内、FirePass シ ス テ ム を up と マー ク 付けす る 最大値を指定 し ます。 た と えば、設定値が 95% の場合、 モニ タ は許可 さ れた接続の 95% が使用中にな る ま で、 FirePass シ ス テ ム を up と マー ク 付け し ます。許可 さ れた接続の 95% 以上が使 用中にな る と 、 モニ タ はその FirePass シ ス テ ム を down と マー ク 付 け し ます。 デフ ォ ル ト 値は 95 です。 ◆ User Name と Password パ ス ワ ー ド に よ る セキ ュ リ テ ィ がない場合は、 [Username] 設定 と [Password] 設定に空白文字列 "" を使用 し ます。 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド A-5 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ FTP モニ タ の FTP タ イ プ を使用す る と 、 File Transfer Protocol (FTP) ト ラ フ ィ ッ ク を監視で き ます。 こ の タ イ プのモニ タ は、 指定 さ れた フ ァ イ ルを /var/temp デ ィ レ ク ト リ にダ ウ ン ロ ー ド し ます。 フ ァ イ ルが取得 さ れ る と 、 こ のチ ェ ッ ク は成功です。 フ ァ イ ルが正常にダ ウ ン ロ ー ド さ れた場合で も 、 BIG-IP には保存 さ れ ません。 FTP モニ タ では、 ダ ウ ン ロ ー ド さ れ る フ ァ イ ルのユーザ名、 パ ス ワ ー ド 、 お よ びフ ァ イ ルへの フルパ ス が指定 さ れます。 図 A.3 は、 FTP タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。 Name "" Type FTP Interval 10 Timeout 31 Manual Resume No Check Until Up No User Name "" Password "" Path/Filename "" Mode Passive Alias Address * All Addresses Alias Service Port * All Ports 図 A.3 FTP タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 A-6 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_ftp_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。デフ ォ ル ト は 10 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 31 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ン バに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 FTP ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド A-7 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ Gateway ICMP Gateway ICMP タ イ プのモニ タ には、 特殊な目的があ り ます。 こ のモ ニ タ は gateway failsafe を実装す る プールに使用 し て く だ さ い。 Gateway ICMP モニ タ は、プール メ ンバに適用で き る こ と を除いては、 ICMP モニ タ と 同 じ よ う に機能 し ます (ICMP モニ タ は ノ ー ド のみに 適用で き 、 プール メ ンバには適用で き ません)。 図 A.4 は、 設定済み gateway_icmp モニ タ の設定 と 値を示 し ます。 Name "" Type Gateway ICMP Interval 5 Timeout 16 Manual Resume No Check Until Up No Transparent No Alias Address * All Addresses Alias Service Port * All Ports 図 A.4 gateway_icmp 設定済みモニ タ こ れ ら の設定の詳細は以下の と お り です。 A-8 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_gw_icmp_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ン バに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Transparent Transparent モー ド は こ の タ イ プのモニ タ のオプシ ョ ン であ り 、 こ のモー ド を [Yes] に設定す る と 、モニ タ はモニ タ が関連付け ら れて い る ノ ー ド に ping コ マ ン ド を発行 し ます。 Transparent モー ド の 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 Gateway ICMP ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド A-9 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ HTTP HTTP タ イ プ の モ ニ タ を 使 用 す る と 、 Hypertext Transfer Protocol (HTTP) ト ラ フ ィ ッ ク の状態をチ ェ ッ ク で き ます。 TCP モニ タ と 同様 に、 HTTP モニ タ は Web ページか ら 特定の コ ン テ ン ツ を受信 し よ う と し ますが、 TCP モニ タ と は異な り 、 ユーザ名 と パ ス ワー ド を送信す る こ と がで き ます。図 A.5 は、設定済みモニ タ http の設定を示 し ます。 Name "" Type HTTP Interval 5 Timeout 16 Manual Resume No Check Until Up No Send String GET / Receive String "" User Name "" Password "" Reverse No Transparent No Alias Address * All Addresses Alias Service Port * All Ports 図 A.5 http 設定済みモニ タ こ れ ら の設定の詳細は以下の と お り です。 A - 10 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_ftp_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ン バに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Send String と Receive String こ の タ イ プのモニ タ では、 [Send String] 値 と [Receive String] 値が 使われ ま す。 [Send String] 値が空白で、 接続が確立で き る 場合、 HTTP サービ ス は up であ る と みな さ れ ます。 空白の [Receive String] 値 は ど の よ う な応答 と も 一致 し ま す。 コ ン テ ン ツ が [ReceiveString] 値 と 一致すればチ ェ ッ ク は成功です。 応答ヘ ッ ダの値は、 [Receive String] 値 と し て指定で き ます。 た と えば、 [Receive String] 属性の 値は 404 Object Not Found の よ う にな り ます。 ◆ User Name と Password パ ス ワ ー ド に よ る セキ ュ リ テ ィ がない場合は、 [Username] 設定 と [Password] 設定に空白文字列 "" を使用 し ます。 ◆ Transparent と Reverse Transparent モー ド と Reverse モー ド はいずれ も オプシ ョ ン です。 Transparent モー ド と Reverse モー ド の詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 11 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ HTTPS Hypertext Transfer Protocol (HTTP) ト ラ フ ィ ッ ク の状態をチ ェ ッ ク す る には、 HTTP タ イ プのモニ タ を使用 し ます。 HTTPS タ イ プのモニ タ は SSL セ キ ュ リ テ ィ に よ っ て保護 さ れた Web ページか ら 特定の コ ン テ ン ツ を受信 し よ う と し ます。 コ ン テ ン ツ が Receive String 値 と 一致 すればチ ェ ッ ク は成功です。 BIG-IP には、 https と https_443 と い う 2 つの設定済み HTTPS モニ タ が用意 さ れてい ます。図 A.6 は、設定済みモニ タ https の設定を示 し 、 図 A.7 は、 設定済みモニ タ https_443 の設定を示 し ます。 Name "" Type HTTPS Interval 5 Timeout 16 Manual Resume No Check Until Up No Send String GET / Receive String "" Cipher List "" User Name "" Password "" Compatibility Enabled Client Certificate "" Reverse No Transparent No Alias Address * All Addresses Alias Service Port * All Ports 図 A.6 https 設定済みモニ タ Name "" Type HTTPS_443 Interval 5 Timeout 16 Manual Resume No Check Until Up No Send String GET / Receive String "" Cipher List "" User Name "" Password "" Compatibility Enabled Client Certificate "" Reverse No Transparent No Alias Address * All Addresses Alias Service Port HTTPS 図 A.7 https_443 設定済みモニ タ A - 12 HTTPS こ れ ら の設定の詳細は以下の と お り です。 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_https_monitor」 や 「my_https_443_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ンバに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Send String と Receive String こ の タ イ プのモニ タ では、 [Send String] 値 と [Receive String] 値が 使われ ま す。 [Send String] 値が空白で、 接続が確立で き る 場合、 サービ ス は up であ る と みな さ れ ます。 空白の [Receive String] 値 は ど の よ う な応答 と も 一致 し ま す。 コ ン テ ン ツ が [ReceiveString] 値 と 一致すればチ ェ ッ ク は成功です。 応答ヘ ッ ダの値は、 [Receive String] 値 と し て指定で き ます。 た と えば、 [Receive String] 属性の 値は 404 Object Not Found の よ う にな り ます。 ◆ Cipher List 暗号 リ ス ト を指定 し ない場合、 モニ タ はデフ ォ ル ト の暗号 リ ス ト であ る DEFAULT:+SHA:+3DES:+kEDH を使用 し ます。 ◆ User Name と Password パ ス ワ ー ド に よ る セキ ュ リ テ ィ がない場合は、 [Username] 設定 と [Password] 設定に空白文字列 "" を使用 し ます。 ◆ Compatibility [Compatibility] 設定を Enabled に設定す る と 、 SSL オプシ ョ ンは ALL に設定 さ れます。 ◆ ク ラ イ ア ン ト 証明書 [Client Certificate] 設定を使っ て、 モニ タ がサーバに提示す る 証明 フ ァ イ ルを指定で き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 13 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ A - 14 ◆ Transparent と Reverse Transparent モー ド と Reverse モー ド はいずれ も オプシ ョ ン です。 Transparent モー ド と Reverse モー ド の詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ICMP ICMP モニ タ の ICMP タ イ プ を使用す る と 、 Internet Control Message Protocol (ICMP) を 使用 し て 簡単 な ノ ー ド チ ェ ッ ク を 実行 で き ま す。 こ の チ ェ ッ ク は、 モニ タ が ICMP_ECHO ダ イ ア グ ラ ムへの応答を受信す る と 成功です。 図 A.8 は、 設定済みモニ タ icmp の設定項目 と 値を示 し ます。 Name "" Type ICMP Interval 5 Timeout 16 Manual Resume No Check Until Up No Transparent No Alias Address * All Addresses 図 A.8 icmp 設定済みモニ タ こ れ ら の設定の詳細は以下の と お り です。 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます ( 「my_icmp_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ンバに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 15 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ A - 16 ◆ Transparent Transparent モー ド は こ の タ イ プのモニ タ のオプシ ョ ン であ り 、 こ のモー ド を [Yes] に設定す る と 、モニ タ はモニ タ が関連付け ら れて い る ノ ー ド に ping コ マ ン ド を発行 し ます。 Transparent モー ド の 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Alias Address [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 IMAP IMAP IMAP タ イ プのモニ タ を使用す る と 、 Internet Message Access Protocol (IMAP) ト ラ フ ィ ッ ク の状態をチ ェ ッ ク で き ます。 IMAP モニ タ は Folder 設定が追加 さ れた POP3 タ イ プのモニ タ です。モニ タ がサーバ に ロ グ イ ン で き 、指定 さ れた メ ールフ ォ ルダ を開 く こ と がで き れば こ のチ ェ ッ ク は成功です。 図 A.9 は、 IMAP タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。 Name "" Type IMAP Interval 5 Timeout 16 Manual Resume No Check Until Up No User Name "" Password "" Folder INBOX Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.9 IMAP タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます ( 「my_imap_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ンバに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ User Name と Password IMAP モニ タ では、 ユーザ名 と パ ス ワー ド を指定す る 必要があ り ます。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 17 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ ◆ Folder [Folder] 設定では、モニ タ がサーバに ロ グ イ ン し た時にオープ ンす る メ ールフ ォ ルダ を指定 し ます。 モニ タ がサーバに ロ グ イ ン で き 、 指定 さ れた メ ール フ ォ ルダ を開 く こ と がで き れば こ のチ ェ ッ ク は 成功です。 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Debug [Debug] 設定では、そのモニ タ 用に作成 さ れ ラ ベル付け さ れた ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セージ と 追加情報を送信す る か ど う か を 指定 し ます。 [Debug] に指定で き る 値は No と Yes です。 デフ ォ ル ト 値は No で あ り 、 こ の場合、 こ のモニ タ に関連す る エ ラ ー メ ッ セージ と 追加情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。Yes と 設定す る と 、 エ ラ ー メ ッ セージ と 追加情報が /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 注 通常、 IMAP モ ニ タ に よ っ て チ ェ ッ ク さ れ る サーバでは、 セ キ ュ リ テ ィ を維持 し なが ら モニ タ の認証 も 可能にす る ために特別な設定が 必要です。 A - 18 Inband Inband Inband タ イ プのモニ タ を使用す る 場合、 BIG-IP は ク ラ イ ア ン ト リ ク エ ス ト の一環 と し てパ ッ シブモニ タ リ ン グ を実行 し ます。Inband モニ タ は Standard タ イ プ も し く は Performance タ イ プ (レ イ ヤ 4) のバー チ ャ ルサーバ と 連動 し 、 iRule の記述な し にパ ッ シブモニ タ リ ン グ を 実行す る こ と が可能です。 Inband タ イ プのモニ タ を設定す る と 、そのモニ タ が ク ラ イ ア ン ト であ れば、 プール メ ンバに接続 し よ う と 試み、 以下に よ う に動作 し ます。 • ユーザ指定の時間内にユーザが指定 し た回数だけ接続を試みたに も かかわ ら ず、 プール メ ンバが接続要求に応え ない場合、 モニ タ はそのプール メ ンバを down と マー ク 付け し ます。 • プール メ ンバが down と マー ク 付け さ れ、ユーザが指定 し た時間が 経過す る と 、 モニ タ は再度そのプール メ ンバへの接続を試み ま す (設定 さ れてい る 場合)。 F5 製品の強みは、 Inband タ イ プのモニ タ を ア ク テ ィ ブなモニ タ と 組 み合わせて使 う こ と がで き る 点です。 こ の タ イ プのモニ タ はシ ス テ ムに負荷がほ と ん ど かか り ません。 注 パ ッ シ ブモニ タ リ ン グ の詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 図 A.10 は、 Inband タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し てい ます。 Name "" Type Inband Failures 3 Failure Interval 30 Response Time 10 Retry Time 300 図 A.10 Inband タ イ プのカ ス タ ム モニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます(「my_inband_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Failures [Failures] 設定では、 プール メ ンバが down と マー ク 付け さ れ る ま で、指定 さ れた Failure Interval の間に送信 さ れ る 応答の失敗数を指 定 し ま す。 失敗の合計数は、 接続の失敗の数、 お よ び指定 さ れた [Response Time] 値の イ ン タ ーバルの間にデー タ を返す こ と がで き なか っ た数を足 し た も の と な り ます。 デフ ォ ル ト 値は 3 です。 な お、 複数の TMM プ ロ セ ス が実行 さ れ る 場合は、 指定 さ れた ロ ー ド バ ラ ン シ ン グ方式に応 じ て、 プ ロ セ ス ご と の失敗数を使っ て計 算を行い ます。 た と えば、 Round Robin ロ ー ド バ ラ ン シ ン グ方式の 場合、TMM プ ロ セ ス数が N、プール メ ンバ数が M で、[Failures] 値 BIG-IP® Local Traffic Management 設定ガ イ ド A - 19 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ を L に設定 し た と す る と 、 その ノ ー ド では down と マー ク 付け さ れ る ま でに最大で N*M*L+1 の失敗が発生 し て も いい こ と にな り ます。 ◆ Failure Interval [Failure Interval] 値は イ ン タ ーバルを秒単位で指定す る も ので あ り 、 こ の イ ン タ ーバル内で [Failures] 値で指定 さ れた数の失敗が発 生す る と 、 そのプール メ ンバは無効であ る と マー ク 付け さ れ ます。 ◆ Response Time [Response Time] 値は時間を秒単位で指定す る も のであ り 、 こ の時 間が過ぎ て も プール メ ン バの応答がない場合、 その イ ン タ ーバル の失敗数は 1 つ増え る こ と にな り ます。 値を 0 にす る と 、 こ の設 定は無効にな り ます。 ◆ Retry Time [Retry Time] 設定では、プール メ ンバが無効であ る と マー ク 付け さ れた後に、 シ ス テ ム がその メ ン バに再度接続を試み る ま での時間 を秒単位で指定 し ま す。 接続に成功す る と 、 そのプール メ ン バは up と マー ク 付け さ れます。 値を 0 にす る と 、 こ の設定は無効にな り ます。 バーチ ャ ルサーバに関する注意事項 Inband モニ タ の実装に際 し ては、 次の こ と に注意す る よ う に し ます。 • Inband モニ タ に関連付け る こ と がで き る バーチ ャ ルサーバは、 Standard と Performance (レ イ ヤ 4) の 2 種類に限 ら れ る 。 • バーチ ャ ルサーバの [Protocol] は TCP に設定す る こ と 。 • バーチ ャ ルサーバの [HTTP Profile] 設定は、 http か None、 も し く はカ ス タ ム HTTP プ ロ フ ァ イ ルの名前に設定す る こ と 。 表 A.1 (A-20 ページ) では、 3 種類のバーチ ャ ルサーバ環境に Inband モニ タ を実装 し た場合のシ ス テ ム動作の違い を示 し てい ます。 バーチ ャ ルサーバ タ イ プ 動作の違い Performance (レ イ ヤ 4) Inband モニ タ を設定 し 、 Performance (レ イ ヤ 4) タ イ プのバーチ ャ ルサーバ と その モニ タ を関連付けた環境では、 以下の場合に down と マー ク 付け さ れます。 • 接続が確立で き ない。 • tmm イ ン ス タ ン ス がサーバか ら RESET を受信 し た。 • ク ラ イ ア ン ト がサーバの応答を受信 し ない ま ま、Inband モニ タ の [Response Time] 設定で指定 し た時間が過ぎて し ま っ た (設定値が 0 でない場合)。 Inband モニ タ に よ っ てプール メ ンバが down と マー ク 付け さ れてか ら 、[Retry Time] 設定で指定 し た秒数が経過す る と (設定値が 0 でない場合)、 そのプール メ ンバは 要求を受信で き る よ う にな り ま す。 ク ラ イ ア ン ト がプール メ ンバへの接続を問題 な く 確立 ・ 完了で き る 場合、 そのプール メ ンバは up と マー ク 付け さ れます。 表 A.1 バーチ ャ ルサーバ タ イ プご と の Inband モニ タ の動作の違い A - 20 Inband バーチ ャルサーバ タ イ プ 動作の違い Standard (HTTP プ ロ フ ァ イ ルな し ) Inband モニ タ を設定 し 、 HTTP プ ロ フ ァ イ ルを参照 し ない Standard タ イ プのバー チ ャ ルサーバ と そのモニ タ を関連付け た環境では、 プール メ ンバ と の接続が確立 さ れたか、 プール メ ンバが要求に応答 し てい る 場合 (あ る いはそれ ら の両方を満 たす場合)、 お よ び TCP プ ロ フ ァ イ ルで指定 し た最大再送数を超え た場合に down と マー ク 付け さ れます。 Inband モニ タ に よ っ てプール メ ンバが down と マー ク 付け さ れてか ら 、[Retry Time] 設定で指定 し た秒数が経過す る と (設定値が 0 でない場合)、 そのプール メ ンバは 要求を受信で き る よ う にな り ま す。 ク ラ イ ア ン ト がプール メ ンバ と の接続を問題 な く 確立 ・ 完了で き る 場合、 接続が完了 し た時点でそのプール メ ンバは up と マー ク 付け さ れます。 Standard (HTTP プ ロ フ ァ イ ルあ り ) Inband モニ タ を設定 し 、HTTP プ ロ フ ァ イ ルを参照す る Standard タ イ プのバーチ ャ ルサーバ と そのモニ タ を関連付けた環境では、以下の場合に down と マー ク 付け さ れます。 • プール メ ンバ と の接続が確立 さ れたか、プール メ ンバが要求に応答 し てい る 場合 (あ る いはそれ ら の両方を満たす場合)、 お よ び TCP プ ロ フ ァ イ ルで指定 し た最大 再送数を超え た場合。 • ク ラ イ ア ン ト がサーバの応答を受信 し ない ま ま、Inband モニ タ の [Response Time] で指定 し た時間が過ぎ て し ま っ た (設定値が 0 でない場合)。 • [Response Time] で指定 し た時間に到達す る 前に接続が切断 さ れた。 Inband モニ タ に よ っ てプール メ ンバが down と マー ク 付け さ れてか ら 、[Retry Time] 設定で指定 し た秒数が経過す る と (設定値が 0 でない場合)、 そのプール メ ンバは 要求を受信で き る よ う にな り ま す。 ク ラ イ ア ン ト の要求に問題な く 応答 し た時点 で、 そのプール メ ンバは up と マー ク 付け さ れます。 表 A.1 バーチ ャ ルサーバ タ イ プご と の Inband モニ タ の動作の違い (続 き) CMP に関する注意事項 BIG-IP で CMP ( ク ラ ス タ リ ン グマルチプ ロ セ ッ シ ン グ) 機能が有効 にな っ てい る 場合、 Inband モニ タ で指定 し た [Failure Interval] 内で何 度接続に失敗すればプール メ ンバが down と マー ク 付け さ れ る かは、 各 tmm イ ン ス タ ン ス において算出 さ れ ます。 た と えば、 Inband モニ タ の [Failures] 値を 3、 [Failure Interval] 値を 30 (いずれ も デフ ォ ル ト 値) と 設定 し た場合、 何度失敗すればプール メ ンバが down と マー ク 付け さ れ る かは、 そのシ ス テ ム で CMP が有 効にな っ てい る か ど う かに よ っ て変わ っ て き ます。 • CMP が無効の場合 (つま り 、 tmm の 1 つの イ ン ス タ ン ス のみが動 作 し てい る )、 30 秒以内に受動的な障害が 3 度発生すれば、 モニ タ はそのプール メ ンバを down 状態であ る と 報告 し ます。 • CMP が有効であ る 場合 (た と えば、 tmm の 2 つの イ ン ス タ ン ス が 動作 し てい る )、tmm イ ン ス タ ン ス のいずれか 1 つで受動的な障害 が 3 度発生すれば、モニ タ はそのプール メ ンバを down 状態であ る と 報告 し ます。 し か し 、 ク ラ イ ア ン ト リ ク エ ス ト が Round Robin 方 式で 2 つの tmm イ ン ス タ ン ス間に分散 さ れ る 場合は、 ク ラ イ ア ン ト リ ク エ ス ト に6回失敗 し た時点で、モニ タ はプール メ ンバをdown 状態であ る と 報告 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 21 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ LDAP LDAP タ イ プ の モ ニ タ で は、 Lightweight Directory Access Protocol (LDAP) サーバの状態がチ ェ ッ ク さ れます。 LDAP プ ロ ト コ ルは、 E メ ールデ ィ レ ク ト リ の統合のために標準的な X.500 を実装 し ます。指 定 さ れた基準 と フ ィ ル タ に対 し てエ ン ト リ が戻 さ れ る と 、チ ェ ッ ク は 成功です。 LDAP モニ タ ではユーザ名、 パ ス ワー ド 、 お よ び基準文字 列 と フ ィ ル タ 文字列が必要です。 図 A.11 は、 LDAP タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。 Name "" Type LDAP Interval 10 Timeout 31 Manual Resume No Check Until Up No User Name "" Password "" Base "" Filter "" Security None Mandatory Attributes No Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.11 LDAP タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 A - 22 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ま す ( 「my_ldap_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。デフ ォ ル ト は 10 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 31 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ン バに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 LDAP ◆ User Name と Password [User Name] 設定では、 識別名、 つま り LDAP 形式のユーザ名を指 定 し ます。 ◆ Base [Base] 設定では、 ク エ リ を開始す る LDAP 階層の開始地点を指定 し ます。 ◆ Filter [Filter] 設定では、 検索項目の LDAP 形式のキーを指定 し ます。 ◆ Security [Security] 設定では、 使用す る セキ ュ リ テ ィ プ ロ ト コ ルを指定 し ま す。 指定可能な値は、 SSL、 TLS、 ま たは None です。 ◆ Mandatory Attributes [Mandatory Attributes] 設定は、 BIG-IP が フ ィ ル タ 検索を実行す る 方法に作用 し ます。 こ の値が [No] に設定 さ れてい る 場合、 BIG-IP は属性について 1 レベル検索を実行 し 、 属性が戻 ら ない場合、 こ の ノ ー ド は up と し て報告 さ れます。 こ の値が [Yes] に設定 さ れて い る 場合、 BIG-IP はサブ ツ リ ー検索を実行 し 、 属性が戻 ら ない場 合、 こ の ノ ー ド は up と し ては報告 さ れません。 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Debug [Debug] 設定では、そのモニ タ 用に作成 さ れ ラ ベル付け さ れた ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セージ と 追加情報を送信す る か ど う か を 指定 し ます。 [Debug] に指定で き る 値は No と Yes です。 デフ ォ ル ト 値は No であ り 、 こ の場合、 こ のモニ タ に関連す る エ ラ ー メ ッ セージ と 追加情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。 Yes と 設定す る と 、 エ ラ ー メ ッ セージ と 追加情報が /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 LDAP モニ タ が適切に動作す る には、 BIG-IP が LDAP ま たは LDAPS ノ ー ド のア ド レ ス上で逆引 き DNS参照を実行で き る 必要があ り ます。 こ の逆引 き 参照に よ っ て、 BIG-IP は SSL 証明書の検証時に ノ ー ド ア ド レ ス のホ ス ト 名をチ ェ ッ ク で き ます。 外部の DNS サーバは こ の タ イ プのモニ タ と は連動で き ません。 逆引 き DNS 参照の要件は、 LDAP が SSL 証明書の使用を必要 と し な い場合で も LDAP ノ ー ド と LDAPS ノ ー ド の両方に適用 さ れ ます。 注 各 LDAP サーバのエン ト リ を /etc/hosts フ ァ イ ルに挿入す る必要はあ り ません。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 23 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ Module Score Module Score タ イ プ の モ ニ タ は、 Web Accelerator モ ジ ュ ー ル と Application Security Manager モジ ュ ールに関連付け ら れた LTM バー チ ャ ルサーバに均等に負荷を分散 し ます。Module Score タ イ プのモニ タ の設定では、LTM管理シ ス テ ム が SNMP を利用 し てダ ウ ン ス ト リ ー ムのバーチ ャ ルサーバか ら gtm_score 値を取 り 出 し 、関連す る ア ッ プ ス ト リ ーム の LTM プール メ ンバや ノ ー ド の Dynamic Ratio を設定 し ます。 具体的に言 う と 、Module Scoreモニ タ がバーチ ャ ルサーバのgtm_score 値 と そのバーチ ャ ルサーバに関連付け ら れた gtm_vs_score 値を取得 し ます。 続いて、 プール名が指定 さ れていない場合は、 モニ タ はその バーチ ャ ルサーバに関連付け ら れた ノ ー ド の Dynamic Ratio を設定 し ます。 BIG-IP では、 0 以外の も っ と も 小 さ な gtm_vs_score 値を使っ て、 Dynamic Ratio を設定 し ます。すべての gtm_vs_score 値が 0 の場合は、 Dynamic Ratio の設定に gtm_score 値が使われます。 モニ タ の定義で プール名を指定す る と 、 そのプール メ ンバに対 し て Dynamic Ratio が 設定 さ れ ます。 図 A.12 では、 Module Score モニ タ の設定 と デフ ォ ル ト 値を示 し てい ます。 Name "" Type Module Score Interval 10 Timeout 30 Manual Resume No SNMP Community public SNMP Version v2c SNMP IP Address "" SNMP Port 161 Pool Name "" 図 A.12 Module Score タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 A - 24 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_module_score_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。デフ ォ ル ト は 10 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 30 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 Module Score ◆ SNMP IP Address Module Score モニ タ の設定では、 [Name] と [SNMP IP Address] の 値を明示的に指定す る 必要があ り ます。 ◆ Pool Name プール メ ン バに関連付け ら れた ノ ー ド ではな く 、 そのプール メ ン バに対 し て Dynamic Ratio を設定 し たい と い う 場合には、 プール名 のみを指定 し ます。 注 WebAccelerator ま たは Application Security Manager のバーチ ャ ルサー バの ク ラ ス タ に ト ラ フ ィ ッ ク を分散 し たい場合には、 バ ッ ク エ ン ド LTM シ ス テ ム ご と に 1 つずつカ ス タ ムの Module Score モニ タ を作成 す る必要があ り ます。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 25 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ MSSQL MSSQL タ イ プのモニ タ を使用す る と 、 Microsoft® SQL Server Version 6.5/7.0 な ど の Microsoft® SQL Server ベース のサービ ス に関す る サービ ス チ ェ ッ ク を実行で き ます。 BIG-IP では、 実際の ロ グ イ ン を実行す る 前に JDBC ド ラ イ バを イ ン ス ト ールす る 必要があ り ます。 詳細については、 付録 B 「 モニ タ につ いての追加留意事項」 を参照 し て く だ さ い。 接続が拒否 さ れた こ と を示す メ ッ セージが表示 さ れた ら 、 IP ア ド レ ス と ポー ト 番号、 ま たはサービ ス が正 し い こ と を確認 し て く だ さ い。 こ れ ら が正 し く て も ロ グオ ン で き ない場合は、 第 12 章 「 モニ タ の設 定」 を参照 し て く だ さ い。 本項の MSSQL モニ タ に関す る 後半部分では、 前提条件の タ ス ク 、 デ フ ォ ル ト のモニ タ 設定、お よ び ト ラ ブルシ ュ ーテ ィ ン グの ヒ ン ト につ いて説明 し ます。 MSSQL の前提条件の タ ス ク MSSQL タ イ プのモニ タ を使用す る 前に、 JDBC JavaTM Archive (JAR) フ ァ イ ル群を ダ ウ ン ロ ー ド し 、 こ れ ら を BIG-IP に イ ン ス ト ールす る 必要が あ り ま す。 詳細については、 付録第 B 章 「 モニ タ についての 追加留意事項」 を参照 し て く だ さ い。 MSSQL モニ タ の設定 と そのデ フ ォル ト 値 図 A.13 は、MSSQL タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。 Name "" Type mssql Interval 30 Timeout 91 Manual Resume No Check Until Up No Send String "" Receive String "" User Name "" Password "" Database "" Receive Row "" Receive Column "" Count 0 Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.13 MSSQL タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 A - 26 MSSQL こ れ ら の設定の詳細は以下の と お り です。 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます ( 「my_mssql_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。デフ ォ ル ト は 30 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 91 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ンバに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Send String [Send String] はオプシ ョ ン設定であ り 、 BIG-IP がサーバに送信す る SQL ク エ リ ス テー ト メ ン ト を指定 し ます。 た と えば、 SELECT * FROM sales やSELECT FirstName, LastName From Employeesな ど です。 [Send String] を設定す る 場合、 [Receive String]、 [Receive Row]、 [Receive Column] も あわせて設定す る こ と がで き ます。 ◆ Receive String [Receive String] 設定は、[Receive Row] 設定 と [Receive Column] 設 定で指定 し た行 と カ ラ ム に対す る 値 を 指定す る オ プ シ ョ ン パ ラ メ ー タ です。 た と えば、 Receive String 値 と し て ALAN SMITH を 指定 し ます。 こ の設定は、 Send String 設定を構成 し てい る 場合だ け行え ます。 ◆ Database [Database] 設定では、Microsoft® SQL ベース サーバのデー タ ソ ース の名前を指定 し ます。 た と えば、 sales や hr な ど です。 ◆ Receive Row [Receive Row] はオプシ ョ ン設定であ り 、 [Receive String] 設定が指 定 さ れてい る 場合にのみ有効です。 こ の設定では、 Receive String 値 を 含む戻 り テ ーブ ル内に行が指定 さ れ ま す。 [Send String] と [Receive String] を設定す る 場合にかぎ り 、 こ の値を指定す る こ と がで き ます。 ◆ Receive Column [Receive Column] はオプシ ョ ン設定であ り 、 [Receive String] 設定 が指定 さ れてい る 場合にのみ有効です。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 27 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ こ の設定では、 [Receive String] 値を含む戻 り テーブル内にカ ラ ム が指定 さ れます。 [Send String] と [Receive String] を設定す る 場合 にかぎ り 、 こ の値を指定す る こ と がで き ます。 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Debug [Debug] 設定では、そのモニ タ 用に作成 さ れ ラ ベル付け さ れた ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セージ と 追加情報を送信す る か ど う か を 指定 し ます。 [Debug] に指定で き る 値は No と Yes です。 デフ ォ ル ト 値は No で あ り 、 こ の場合、 こ のモニ タ に関連す る エ ラ ー メ ッ セージ と 追加情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。Yes と 設定す る と 、 エ ラ ー メ ッ セージ と 追加情報が /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 MSSQL ログ イ ンの ト ラ ブルシ ュ ーテ ィ ング MSSQL モニ タ がサーバに ロ グ イ ン で き ず、 指定 さ れた IP ア ド レ ス と ポー ト 番号ま たはサービ ス が正 し い こ と が確認 さ れた場合は、次の 操作を試 し て く だ さ い。 ◆ 別の ツールを使用 し て ロ グ イ ン で き る こ と を検証 し ます。 た と えば、サーバプ ロ グ ラ ム の Microsoft Windows® NT® SQL Server version 6.5 に ISQL/w と い う 名前の ク ラ イ ア ン ト プ ロ グ ラ ム が含ま れてい る と し ます。こ の ク ラ イ ア ン ト プ ロ グ ラ ム では、SQL サーバ への単純な ロ グ イ ン が実行 さ れます。 こ のプ ロ グ ラ ム を使用 し て、 ISQL/w プ ロ グ ラ ム を使っ てサーバに ロ グ イ ン で き る か ど う か を テ ス ト し て く だ さ い。 ◆ Microsoft® SQL Enterprise Manager を使用 し て ロ グオ ン ア カ ウ ン ト を追加 し ます。 Microsoft® SQL Server 上で、 SQL Enterprise Manager を 実行し てロ グ イ ン ア カ ウ ン ト を 追加でき ま す。 最初に SQL Enterprise Manager を 入力する と 、管理する SQL サーバを 入力する よ う に求める メ ッ セー ジが表示さ れる 場合があ り ま す。 マシン 名、 ユーザ名、 およ びパス ワ ード を 入力し てサーバを 登録で き ま す。 こ れら の名前が正し い場合、 サーバは登録さ れ、 サーバの ア イ コ ン を ク リ ッ ク でき る よ う になり ま す。サーバのサブツ リ ーを 展開する と 、 ロ グ イ ン ア カ ウ ン ト のア イ コ ン が表示さ れま す。 こ のサブツ リ ーの下に SQL ロ グ イ ン があ り ま す。 こ こ で、 [Logins] ア イ コ ン を 右ク リ ッ ク する と 、 パス ワ ード を 変更し たり 、 新し いロ グ オン を 追加し たり でき ま す。 [Add login] オプシ ョ ン にア ク セス する にはこ のア イ コ ン を ク リ ッ ク し てく ださ い。こ のオプショ ン を 開いた後、 新し いロ グ イ ン のユーザ名と パス ワ ード 、 およ びこ の ロ グ イ ン でど のデータ ベース にア ク セ ス でき る かを 入力し ま す。 EAV 設定で指定する データ ベース に対し て test ア カ ウ ン ト ア ク セ ス 権を 付与する 必要があ り ま す。 A - 28 NNTP NNTP Usenet News ト ラ フ ィ ッ ク の状態をチ ェ ッ ク す る には、 NNTP タ イ プ のモニ タ を使用 し ます。モニ タ がサーバか ら ニ ュ ース グループ識別 ラ イ ン を検索す る と 、 こ のチ ェ ッ ク は正常終了 し てい ます。 NNTP モニ タ ではニ ュ ース グループ名 (alt.cars.mercedes な ど) 、 お よ び必要に 応 じ てユーザ名 と パ ス ワー ド が必要です。 図 A.14 は、 NNTP タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。 Name "" Type NNTP Interval 5 Timeout 16 Manual Resume No Check Until Up No User Name "" Password "" Newsgroup "" Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.14 NNTP タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます ( 「my_nntp_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト 値は 5 (秒単 位) です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト 値は 16 (秒単位) です。 設定時間内に応 答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なけ れば down と 見な さ れます。 [Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ンバに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 29 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ A - 30 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Debug [Debug] 設定では、そのモニ タ 用に作成 さ れ ラ ベル付け さ れた ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セージ と 追加情報を送信す る か ど う か を 指定 し ます。 [Debug] に指定で き る 値は No と Yes です。 デフ ォ ル ト 値は No で あ り 、 こ の場合、 こ のモニ タ に関連す る エ ラ ー メ ッ セージ と 追加情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。 Yes の場合、 エ ラ ー メ ッ セージ と 追加情報が /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 Oracle Oracle Oracle タ イ プのモニ タ を使用す る と 、 Oracle デー タ ベース サーバの状 態をチ ェ ッ ク で き ます。 モニ タ がサーバに接続で き 、 指定 さ れたユー ザ と し て ロ グ イ ンお よ び ロ グ ア ウ ト で き れば、こ のチ ェ ッ ク は正常に 終了 し てい ます。 図 A.15 は、Oracle タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。 Name "" Type Oracle Interval 30 Timeout 91 Manual Resume No Check Until Up No Send String GET / Receive String "" User Name "" Password "" Database "" Receive Row "" Receive Column "" Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.15 Oracle タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_oracle_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。デフ ォ ル ト は 30 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 91 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ンバに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 31 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ A - 32 ◆ Send String [Send String] 設定は、 BIG-IP が Oracle サーバに送信す る SQL ス テー ト メ ン ト を指定 し ます。 た と えば、 SELECT * FROM sales です。 ◆ Receive String Receive String 設定は、Send String 設定の検索でテーブルの行 と カ ラ ム に返 さ れ る 値を指定す る オプシ ョ ン パ ラ メ ー タ です。 た と え ば、 Receive String 値 と し て SMITH を指定 し ます。 ◆ Database Oracle タ イ プのモニ タ では、Database の設定に よ っ て、Oracle サー バ上のデー タ ソ ース名が指定 さ れ ます。 た と えば、 sales や hr な ど です。 ◆ Receive Row [Receive Row] はオプシ ョ ン設定であ り 、 [Receive String] 設定が指 定 さ れてい る 場合にのみ有効です。 こ の設定では、 Receive String 値を含む戻 り テーブル内に行が指定 さ れ ます。 ◆ Receive Column [Receive Column] はオプシ ョ ン設定であ り 、 [Receive String] 設定 が指定 さ れて い る 場合にのみ有効です。 こ の設定では、 [Receive String] 値を含む戻 り テーブル内にカ ラ ムが指定 さ れます。 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Debug [Debug] 設定では、そのモニ タ 用に作成 さ れ ラ ベル付け さ れた ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セージ と 追加情報を送信す る か ど う か を 指定 し ます。 [Debug] に指定で き る 値は No と Yes です。 デフ ォ ル ト 値は No で あ り 、 こ の場合、 こ のモニ タ に関連す る エ ラ ー メ ッ セージ と 追加情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。 Yes と 設定す る と 、 エ ラ ー メ ッ セージ と 追加情報が /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 POP3 POP3 POP3 タ イ プのモニ タ では、 Post Office Protocol (POP) ト ラ フ ィ ッ ク の状態がチ ェ ッ ク さ れます。 モニ タ がサーバに接続で き 、 指定 さ れた ユーザ と し て ロ グ イ ンお よ び ロ グ ア ウ ト で き れば、こ のチ ェ ッ ク は正 常に終了 し てい ます。 POP3 モニ タ では、 ユーザ名 と パ ス ワー ド を指 定す る 必要があ り ます。 図 A.16 は、 POP3 タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。 Name "" Type POP3 Interval 5 Timeout 16 Manual Resume No Check Until Up No User Name "" Password "" Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.16 POP3 タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます ( 「my_pop3_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ンバに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 33 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ ◆ A - 34 Debug [Debug] 設定では、そのモニ タ 用に作成 さ れ ラ ベル付け さ れた ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セージ と 追加情報を送信す る か ど う か を 指定 し ます。 [Debug] に指定で き る 値は No と Yes です。 デフ ォ ル ト 値は No で あ り 、 こ の場合、 こ のモニ タ に関連す る エ ラ ー メ ッ セージ と 追加情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。 Yes の場合、 エ ラ ー メ ッ セージ と 追加情報が /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 RADIUS RADIUS RADIUS タ イ プ の モ ニ タ を 使用す る と 、 Remote Access Dial-in User Service (RADIUS) サーバの状態をチ ェ ッ ク で き ます。 サーバが要求 ユ ー ザ を 認 証 す れ ば、 こ の チ ェ ッ ク は 正 常 に 終 了 し て い ま す。 RADIUS モニ タ では、 コ ー ド 番号のユーザ名、 パ ス ワ ー ド 、 お よ び共 有秘密文字列が必要です。 注 通常、 RADIUS モニ タ に よ っ てチ ェ ッ ク さ れ る サーバでは、 ハ イ レベ ルな セ キ ュ リ テ ィ を維持 し なが ら モニ タ の認証 も 可能にす る ために 特別な構成が必要です。 図A.17は、RADIUSタ イ プのモニタ の設定と デフ ォ ルト 値を 示し ま す。 Name "" Type RADIUS Interval 10 Timeout 31 Manual Resume No Check Until Up No User Name "" Password "" Secret "" Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.17 RADIUS タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_radius_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。デフ ォ ル ト は 10 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 31 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス BIG-IP® Local Traffic Management 設定ガ イ ド A - 35 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ン バに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 A - 36 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Debug [Debug] 設定では、そのモニ タ 用に作成 さ れ ラ ベル付け さ れた ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セージ と 追加情報を送信す る か ど う か を 指定 し ます。 [Debug] に指定で き る 値は No と Yes です。 デフ ォ ル ト 値は No で あ り 、 こ の場合、 こ のモニ タ に関連す る エ ラ ー メ ッ セージ と 追加情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。 Yes と 設定す る と 、 エ ラ ー メ ッ セージ と 追加情報が /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 RPC RPC BIG-IP を利用 し て、 RPC モニ タ 経由で、 リ モー ト プ ロ シージ ャ コ ー ル (RPC) サ ーバ に 搭載 さ れ た プ ロ グ ラ ム の ア ベ イ ラ ビ リ テ ィ を チ ェ ッ ク す る こ と がで き ます。 こ のモニ タ は、 rpcinfo コ マ ン ド を実 行 し て RPC サーバに対 し て ク エ リ を発行 し 、 任意のプ ロ グ ラ ム のア ベ イ ラ ビ リ テ ィ を確認 し ます。 RPC モニ タ には、 program と version と い う 2 つの一意の設定が含ま れます。 [program] 設定では、 利用可能な こ と を確認す る 必要があ る プ ロ グ ラ ムやアプ リ ケーシ ョ ン を指定 し ます。[version] はオプシ ョ ン 設定で あ り 、 そのプ ロ グ ラ ム の具体的なバージ ョ ン番号 を指定 し ま す。 バージ ョ ン番号を指定 し ない場合、 モニ タ は rpcinfo コ マ ン ド を 使っ て、そのプ ロ グ ラ ム の少な く と も 1 つのバージ ョ ンが利用可能な こ と を確認 し ます。 ま た、RPC モニ タ の [mode] オプシ ョ ン を使えば、 TCP ま たは UDP を使用 し てい る RPC サーバのアベ イ ラ ビ リ テ ィ を確 認す る こ と がで き ます。 モニ タ の ク エ リ に対 し て ready and waiting ス テー ト メ ン ト が含ま れ る 応答が返 さ れれば、そのモニ タ がチ ェ ッ ク し てい る リ ソ ース は利用 可能であ る と い う こ と です。 図 A.18 では、 RPC タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し てい ます。 Name "" Type RPC Import Settings rpc Interval 10 Timeout 31 Manual Resume No Check Until Up No Mode TCP Program <name> Version Number <number> Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.18 RPC タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_rpc_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。デフ ォ ル ト は 10 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 31 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 37 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ A - 38 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ン バに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Mode RPC モニ タ の [Mode] オプシ ョ ン を使えば、 TCP ま たは UDP を使 用 し てい る RPC サーバのアベ イ ラ ビ リ テ ィ を確認す る こ と がで き ます。 ◆ Program [Program] 設定では、利用可能な こ と を確認す る 必要があ る プ ロ グ ラ ムやアプ リ ケーシ ョ ン を指定 し ます。 ◆ Version Number [Version Number] は、 そのプ ロ グ ラ ム の具体的なバージ ョ ン番号 を指定す る オプシ ョ ン設定です。 バージ ョ ン番号を指定 し ない場 合、 モニ タ は rpcinfo コ マ ン ド を使っ て、 そのプ ロ グ ラ ムの少な く と も 1 つのバージ ョ ンが利用可能な こ と を確認 し ます。 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ [Debug] 設定では、そのモニ タ 用に作成 さ れ ラ ベル付け さ れた ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セージ と 追加情報を送信す る か ど う か を 指定 し ます。 [Debug] に指定で き る 値は No と Yes です。 デフ ォ ル ト 値は No で あ り 、 こ の場合、 こ のモニ タ に関連す る エ ラ ー メ ッ セージ と 追加情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。 Yes の場合、 エ ラ ー メ ッ セージ と 追加情報が /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 Real Server Real Server Real Server タ イ プのモニタ では、RealSystem Server データ コ レ ク ショ ン エージ ェ ン ト を 実行する プール、 プールメ ン バ、 ま た はノ ード のパ フ ォ ーマン ス を チェ ッ ク でき ま す。 チェ ッ ク 後、 モニタ はそれに応じ てト ラ フ ィ ッ ク を ダイ ナミ ッ ク にロ ード バラ ン ス し ま す。パフ ォ ーマン ス モニタ は、一般に Dynamic Ratio ロ ード バラ ン シン グで使用さ れま す。 パフ ォ ーマン ス モニタ と Dynamic Ratio ロ ード バラ ン シン グの詳細につ いては、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 と 付録 B 「 モニ タ についての追加留意事項」 を 参照し てく ださ い。 注 ヘルス モニ タ と は異な り 、 パフ ォーマ ン ス モニ タ ではプール、 プール メ ンバ、 ま たは ノ ー ド の状態は報告 さ れません。 BIG-IP には、 real_server と い う 設定済みの Real Server モニ タ が用意 さ れてい ます。 図 A.19 は、 real_server モニ タ の設定 と デフ ォ ル ト 値 を示 し ます。 Name "" Type Real Server Interval 5 Timeout 16 Manual Resume No Method GET Command GetServerStats Metrics ServerBandwidth:1.5, CPUPercentUsage, MemoryUsage, TotalClientCount Agent Mozilla/4.0 (compatible: MSIE 5.0; Windows NT) 図 A.19 real_server 設定済みモニ タ すべての設定済みモニ タ と 同様、real_server モニ タ はユーザに よ る 変 更はで き ません。 ただ し 、 Metrics 設定を変更す る 場合は、 カ ス タ ム の Real Server モニ タ を作成 し 、 こ れに メ ト リ ッ ク を追加 し 、 メ ト リ ッ ク 値を変更で き ます。 こ れ ら の設定の詳細は以下の と お り です。 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_real_server_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 39 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 注 カ ス タ ムの Real Server モニ タ を作成す る場合、 Method、 Command、 お よ び Agent 設定の値は変更で き ません。 表 A.2 は、 すべてのサーバ固有の メ ト リ ッ ク 、 お よ び GetServerStats コ マ ン ド に適用 さ れ る メ ト リ ッ ク 設定のデフ ォ ル ト 値を示 し ます。 メ ト リック デ フ ォル ト 係数 デ フ ォ ル ト し き い値 ServerBandwidth (Kbps) 1.0 10,000 CPUPercentUsage 1.0 80 MemoryUsage (Kb) 1.0 100,000 TotalClientCount 1.0 1,000 RTSPClientCount 1.0 500 HTTPClientCount 1.0 500 PNAClientCount 1.0 500 UDPTransportCount 1.0 500 TCPTransportCount 1.0 500 MulticastTransportCount 1.0 500 表 A.2 Real Server モニ タ の メ ト リ ッ ク メ ト リ ッ ク 係数は、 メ ト リ ッ ク の値が重み付け全体の計算で ど の程度 重視 さ れ る か を 決定す る 因子です。 メ ト リ ッ ク の し き い値は、 メ ト リ ッ ク に重みを置 く 場合に メ ト リ ッ ク に許可 さ れ る 最大値です。こ れ ら の値の使用方法を理解す る には、全体的な重み付け を計算す る 方法 を理解す る 必要があ り ます。 全体的な重み付け と は、 メ ト リ ッ ク ご と に算出 さ れ る 相対的な重みの合計です。 一方、 相対的な重みは次の 3 つの因子に基づ き ます。 • モニ タ に よ っ て返 さ れ る メ ト リ ッ ク の値 • 係数値 • し き い値 こ れ ら の値を前提 と し て、 相対的な重みは次の よ う に計算 さ れ ます。 w=(( し き い値 - 値 )/ し き い値 )* 係数 係数が高いほ ど、その メ ト リ ッ ク に計算 さ れ る 相対的な重みが大 き く な る こ と がわか り ます。 同様に、 し き い値が高ければ高いほ ど、 し き い値未満の メ ト リ ッ ク 値に対す る 相対的重みの値は大 き く な り ま す (値が し き い値に達す る と 、 重みはゼ ロ にな り ます)。 A - 40 Real Server 表 A.2 に示 さ れたデフ ォ ル ト 係数 と デフ ォ ル ト し き い値は、 メ ト リ ッ ク のデフ ォ ル ト であ っ て、 モニ タ のデフ ォ ル ト ではあ り ません。 カ ス タ ムの real_server モニ タ でユーザ指定の値がモニ タ のデフ ォ ル ト よ り も 優先 さ れ る の と 同 じ よ う に、 モニ タ のデフ ォ ル ト は、 メ ト リ ッ ク の デ フ ォ ル ト よ り も 優 先 さ れ ま す。 た と え ば、 上 記 の モ ニ タ は ServerBandwidth に対 し て係数値 1.5 を指定 し 、 その他の メ ト リ ッ ク には値を指定 し ません。 こ れは、 モニ タ が ServerBandwidth 係数に対 し てモニ タ のデフ ォ ル ト 値であ る 1.5 を使用 し 、 その他のすべての メ ト リ ッ ク の係数に対 し て メ ト リ ッ ク のデフ ォ ル ト であ る 1 を使用す る こ と を 意味 し ま す。 た だ し 、 カ ス タ ム モ ニ タ の my_real_server が ServerBandwidth 係数 と し て 2.0 を指定す る よ う に設定 さ れていた場 合、 こ のユーザ指定の値はモニ タ のデフ ォ ル ト を上書 き し ます。 モ ニ タ デ フ ォ ル ト と 異な る のは、 メ ト リ ッ ク 係数 と し き い値のみで す。 モニ タ 内にない メ ト リ ッ ク を カ ス タ ム モニ タ に追加す る 場合、 こ の メ ト リ ッ ク は Metrics 設定の メ ト リ ッ ク リ ス ト に追加す る 必要があ り ます。非デフ ォ ル ト 係数ま たは し き い値を指定す る ための構文は次 の と お り です。 < メ ト リ ッ ク >:< 係数 |<*>:< し き い値 > BIG-IP® Local Traffic Management 設定ガ イ ド A - 41 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ SASP 一部のネ ッ ト ワー ク リ ソ ース用に IBM® Group Workload Manager を採 用 し てい る 場合は、 SASP モニ タ を使っ てそれ ら の リ ソ ース のアベ イ ラ ビ リ テ ィ を 確 認 す る こ と が で き ま す。 こ の モ ニ タ は、 SASP (Server/Application State Protocol)を使っ て Group Workload Manager と 交信す る よ う にな っ てお り 、 Group Workload Manager に対 し て、 管理 対象 リ ソ ー ス の現在の重要度を 問い合わせ ま す。 こ れ ら の重要度に よ っ て、現在ど の リ ソ ース が最高の レ ス ポ ン ス タ イ ム を提供す る のか が決ま っ て き ます。 モニ タ は Group Workload Manager (GWM) か ら 情報を受け取 る と 、 リ ソ ース の Dynamic Ratio オプシ ョ ン を設定す る よ う にな っ てお り 、 BIG-IP は最適な リ ソ ー ス を選択 し て接続要求に 応答す る こ と が可能です。 注 SASP モニ タ を割 り 当てた場合、 リ ソ ース は最初に down と マー ク 付 け さ れます。 こ の よ う な ス テー タ ス の変更が生 じ る のは、 GWM が ま だ リ ソ ース に関す る情報を持っ ていないためです。モニ タ が ク エ リ 結 果を受信 し た時点で、 必要に応 じ て ス テー タ ス が変更 さ れます。 ほ と ん ど の場合、モニ タ は こ れ ら の結果を数秒以内に受信す る よ う にな っ てい ます。 図 A.20 では、 SASP タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し て い ます。 Name "" Type SASP Import Settings sasp GWM Interval Automatic GWM Address 10.10.5.23 GWM Service Port 3000 GWM Protocol TCP 図 A.20 SASP タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 A - 42 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ま す ( 「my_sasp_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ GWM Interval [GWM Interval] オプシ ョ ンは、 モニ タ が GWM に ク エ リ を送信す る 頻度を指定 し ます。 こ のオプシ ョ ンは、 Automatic (GWM が推 奨す る イ ン タ ーバルを使用す る よ う モニ タ に指示) か、 Specify ( イ ン タ ーバル を 指定可能) の ど ち ら かに設定す る こ と がで き ま す。 Specify を選択 し た場合、 イ ン タ ーバルは 10 ~ 600 秒の間で 指定す る こ と が可能です。 ◆ GWM Address [GWM Address] オプシ ョ ンは、Group Workload Manager の IP ア ド レ ス を指定 し ます。 SASP ◆ GWM Service Port [GWM Service Port] オ プ シ ョ ン で は、 SASP モ ニ タ が Group Workload Manager と の通信に使用す る ポー ト を指定 し ます。 ◆ GWM Protocol [GWM Protocol] オプ シ ョ ン では、 モ ニ タ が使用す る プ ロ ト コ ル (TCP ま たは UDP) を指定す る こ と がで き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 43 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ Scripted 作成す る フ ァ イ ル を 読み取 る 簡単 な ス ク リ プ ト を 生成す る に は、 Scripted タ イ プのモニ タ を使用 し ます。 フ ァ イ ルには、 送信す る 行ま たは受信す る 行を指定す る send 文字列 と expect 文字列が含まれ ます。 た と えば、 図 A.21 は単純な SMTP シーケ ン ス を指定す る 、 作成可能 なサン プルフ ァ イ ルを示 し ます。 フ ァ イ ルの行は、 常に指定 さ れた順 序で読み取 ら れます。 expect 220 send “HELO bigip1.somecompany.net\r\n” expect “250” send “quit\r\n 図 A.21 Scripted モニ タ の SMTP シーケ ン ス フ ァ イ ルの例 Scripted モニ タ を使用す る と 、 上記の フ ァ イ ル上で動作す る ス ク リ プ ト を生成で き ます。 Scripted モニ タ ス ク リ プ ト は こ の フ ァ イ ルを読み 取 る と 、 各行 を 調べ、 行に引用符が な い場合、 その行は送信 さ れ る か、 その ま ま受信 さ れ る こ と にな り ます。 行が引用符で囲まれてい る 場合、 引用符がはず さ れ、 その行にエ ス ケープ文字がないかが調べ ら れ、 それに応 じ て処理 さ れます。 図A.22は、Scriptedタ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。. Name "" Type Scripted Import Settings scripted Interval 10 Timeout 31 Manual Resume No Check Until Up No Filename <filename> Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.22 Scripted タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 A - 44 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_scripted_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。デフ ォ ル ト は 10 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 31 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 Scripted ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ンバに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Filename [Filename] 設定では、作成す る フ ァ イ ルの名前を指定 し ます。 フ ァ イ ルには、 送信す る 行ま たは受信す る 行を指定す る send 文字列 と expect 文字列が含まれます。 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ [Debug] 設定では、そのモニ タ 用に作成 さ れ ラ ベル付け さ れた ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セージ と 追加情報を送信す る か ど う か を 指定 し ます。 [Debug] に指定で き る 値は No と Yes です。 デフ ォ ル ト 値は No であ り 、 こ の場合、 こ のモニ タ に関連す る エ ラ ー メ ッ セージ と 追加情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。 Yes と 設定す る と 、 エ ラ ー メ ッ セージ と 追加情報が /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 注 送信文字列 と 受信文字列を含むフ ァ イ ルを作成 し た ら 、こ のフ ァ イ ル をデ ィ レ ク ト リ /config/eav に保存 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 45 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ SIP SIP サービ ス の状態をチ ェ ッ ク す る には、 SIP タ イ プのモニ タ を使用 し ます。 デフ ォ ル ト では、 こ の タ イ プのモニ タ はサーバデバ イ ス に対 し て UDP で SIP OPTIONS 要求を発行す る よ う にな っ てい ますが、 別 のプ ロ ト コ ル (TCP、 TLS、 SIPS (Secure SIP)) を使用す る こ と も 可 能です。 SIP モニ タ がデバ イ ス に対 し て発行す る 要求は、 サーバデバ イ ス がサ ポー ト す る オプシ ョ ン を識別す る こ と を目的 と し た も のです。適切な 要求が返 さ れ る と 、 デバ イ ス は up し ていて コ マ ン ド に応答 し てい る と 見な さ れ ます。 図 A.23 は、 SIP タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。 Name "" Type SIP Interval 5 Timeout 16 Manual Resume No Check Until Up No Mode UDP Cipher List DEFAULT:+SHA:+3DES:+kEDH Compatibility Enabled Client Certificate None Client Key None Additional Accepted Status Codes None Additional Rejected Status Codes None Header List "" SIP Request "" Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.23 SIP タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 A - 46 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_sip_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使っ て、 リ ソ ー ス が有効で あ る と 手動で 指定す る こ と がで き ます。 詳細については、 第 12 章 「 モニ タ の設 定」 を参照 し て く だ さ い。 SIP ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ンバに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Mode [Mode] に指定で き る 値は、 TCP、 UDP、 TLS、 SIPS です。 ◆ Cipher List こ のモニ タ では、 TLS モー ド と SIPS モー ド の場合にかぎ り 、 暗号 リ ス ト を指定 し ます。 ◆ Compatibility TLS モー ド と SIPS モー ド の場合にかぎ り 、SSL が有効にな っ てい れば、 OpenSSL の SSL オプシ ョ ン を ALL に設定 し ます。 ◆ Client Certificate TLS モー ド と SIPS モー ド の場合にかぎ り 、モニ タ が タ ーゲ ッ ト の SSL サーバに送信す る ク ラ イ ア ン ト 証明書を指定 し ます。 ◆ Client Key TLS モー ド と SIPS モー ド の場合にかぎ り 、モニ タ が タ ーゲ ッ ト の SSL サーバに送信す る ク ラ イ ア ン ト 証明書のキーを指定 し ます。 ◆ Additional Accepted Status Codes [Additional Accepted Status Codes] 設定に指定で き る 値は、 Any、 None、 お よ び Status Code List です。 Status Code List を選択す る と 、 状態 コ ー ド 200 のほか、 シ ス テ ムに よ る 扱いが異な る 複数の 許容状態 コ ー ド を指定す る こ と がで き ま す。 複数の状態 コ ー ド は スペース で区切 る 必要があ り ます。 Any を指定す る と 、 サーバを up と マー ク 付けす る のに、 すべての状態 コ ー ド が使用 さ れ る こ と にな り ます。 こ の設定 と [Additional Rejected Status Codes] 設定の 値が同 じ であ る 場合は、 [Additional Accepted Status Codes] 設定が 優先 さ れます。 ◆ Additional Rejected Status Codes [Additional Rejected Status Codes] 設定に指定で き る 値は、 Any、 None、 お よ び Status Code List です。 Status Code List を選択 し た 場合、 シ ス テ ム に よ る 扱いが異な る 複数の拒絶状態 コ ー ド を指定 す る こ と がで き ま す。 複数の状態 コ ー ド は ス ペー ス で区切 る 必要 があ り ます。 Any を指定す る と 、 サーバを down と マー ク 付けす る のに、 すべての状態 コ ー ド が使用 さ れ る こ と にな り ま す。 こ の 設定 と [Additional Accepted Status Codes] 設定の値が同 じ であ る 場 合は、 [Additional Accepted Status Codes] 設定が優先 さ れ ます。 ◆ Header List [Header List] 設定を使 う こ と で、 ヘ ッ ダの追加、 編集、 削除が行 え ます。 ただ し 、 SIP モニ タ が使用す る デフ ォ ル ト ヘ ッ ダについて は削除で き ま せん。 ま た、 い く つかのヘ ッ ダでは、 ヘ ッ ダ全体を オーバー ラ イ ド す る 以外、デフ ォ ル ト ヘ ッ ダ を補強す る (パ ラ メ ー タ を追加す る な ど) こ と はで き な く な っ てい ます。 ◆ SIP Request [SIP Request] 設定では、SIP メ ッ セージの要求行を指定 し ます。 そ の際かな ら ず、 末尾の \r\n を除 く SIP 要求行全体を指定す る よ う に し て く だ さ い。シ ス テ ムは、 こ の要求に対す る レ ス ポ ン ス コ ー ド BIG-IP® Local Traffic Management 設定ガ イ ド A - 47 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ を使っ て、 サーバの up/down を特定 し ます。 モニ タ は SIP サーバ に対 し て、 カ ス タ マ イ ズ さ れたシ ン プルな ク エ リ を実行 し ますが、 接続の確立、 ハン ド シ ェ イ キ ン グの実行、 SIP ト ラ フ ィ ッ ク や要求 の処理には関与 し ません。サーバに要求を送信 し 、レ ス ポ ン ス コ ー ド を確認す る だけで、 (応答 と 要求を照合す る 以外) 応答の残 り の 部分については無視 し ま す。 結果、 こ のモニ タ はダ イ ア ロ グ には 参加せず、 INVITE な ど の要求をサポー ト す る こ と はあ り ません。 A - 48 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Debug [Debug] 設定では、そのモニ タ 用に作成 さ れ ラ ベル付け さ れた ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セージ と 追加情報を送信す る か ど う か を 指定 し ます。 デフ ォ ル ト 値は No であ り 、 こ の場合、 こ のモニ タ に 関連す る エ ラ ー メ ッ セージ と 追加情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。 Yes と 設定す る と 、 エ ラ ー メ ッ セージ と 追加情報が /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 SMB SMB SMB モニ タ では、 BIG-IP を使っ て SMB/CIFS (Server Message Block/Common Internet File System) サ ー バ の ア ベ イ ラ ビ リ テ ィ を チ ェ ッ ク す る こ と がで き ます。 こ のモニ タ を採用す る こ と で、 サーバ 全体の アベ イ ラ ビ リ テ ィ 、 サーバの特定のサービ ス の アベ イ ラ ビ リ テ ィ 、 も し く はサー ビ ス が使用す る 特定の フ ァ イ ルの アベ イ ラ ビ リ テ ィ のチ ェ ッ ク が可能にな り ます。 サーバで [SMB/CIFS Server] 設定を使用す る よ う に指定す る だけで、 [Service Name] と [Path/Filename] を空欄の ま ま に し てお く と 、 モニ タ はSMB/CIFSサーバか ら 使用可能なサービ ス の リ ス ト を取得 し よ う と 試みます。 モニ タ が リ ス ト を取得 し た場合、 そのサーバは available と マー ク 付け さ れます。 図 A.24 では、 SMB タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し てい ます。 Name "" Type SMB Import Settings smb Interval 10 Timeout 31 Manual Resume No Check Until Up No User Name <name> Password <password> Path/Filename <filename and path> SMB/CIFS Server <name> Service Name <name> Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.24 SMB タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_smb_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。デフ ォ ル ト は 10 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 31 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 49 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ A - 50 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ン バに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Path/Filename サービ ス に関連付け ら れた フ ァ イ ルを指定 し ます。モニ タ は、サー ビ ス その も のに対す る 相対パ ス を使っ て、 フ ァ イ ルの検索を行い ます。必ず し も 値を指定す る 必要はあ り ませんが、 こ のオプシ ョ ン の使用を選択 し た場合、[Service Name] 設定に よ り サービ ス を あわ せて指定 し てお く 必要があ り ます。 ◆ SMB/CIFS Server モニ タ がアベ イ ラ ビ リ テ ィ のチ ェ ッ ク を行 う SMB/CIFS サーバの NetBIOS 名を指定 し ます。 こ のモニ タ を機能 さ せ る にはサーバを 指定す る 必要があ り ます。 ◆ Service Name SMB/CIFS のど のサービ ス のア ベイ ラ ビ リ ティ を 確認し たいのかを 指定し ま す。 サービ ス 名は、 必ずし も 指定する 必要はあ り ま せん。 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Debug そ の モ ニ タ 用に作成 さ れ ラ ベル付 け さ れ た ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セ ー ジ と 追加情報 を 送信す る か ど う か を 指定 し ま す。 [Debug] に指定で き る 値は No と Yes です。 デフ ォ ル ト 値は No で あ り 、 こ の場合、 こ のモニ タ に関連す る エ ラ ー メ ッ セージ と 追加 情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。 Yes と 設定す る と 、 エ ラ ー メ ッ セージ と 追加情報が /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 SMTP SMTP SMTP タ イ プ の モ ニ タ で は、 Simple Mail Transport Protocol (SMTP) サーバの状態がチ ェ ッ ク さ れ ます。 こ の タ イ プのモニ タ は、 サーバが up し て コ マ ン ド に対応 し てい る こ と のみをチ ェ ッ ク す る 、 極めて基 本的な モ ニ タ です。 メ ールサーバが標準 SMTP HELO コ マ ン ド と QUIT コ マ ン ド に応答す る と 、 こ のチ ェ ッ ク は成功です。 図 A.25 は、SMTP タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。 Name "" Type SMTP Interval 5 Timeout 16 Manual Resume No Check Until Up No Domain "" Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.25 SMTP タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます ( 「my_smtp_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ンバに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Domain SMTPタ イ プのモニタ では、ド メ イ ン 名を 指定する 必要があ り ま す。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 51 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ A - 52 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Debug [Debug] 設定では、そのモニ タ 用に作成 さ れ ラ ベル付け さ れた ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セージ と 追加情報を送信す る か ど う か を 指定 し ます。 [Debug] に指定で き る 値は No と Yes です。 デフ ォ ル ト 値は No で あ り 、 こ の場合、 こ のモニ タ に関連す る エ ラ ー メ ッ セージ と 追加情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。 Yes と 設定す る と 、 エ ラ ー メ ッ セージ と 追加情報が /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 SNMP DCA SNMP DCA SNMP DCA タ イ プのモニタ では、UC Davis など の SNMP エージェ ン ト を 実行する サーバのパフ ォ ーマン ス を チェ ッ ク し 、 それに応じ てサー バのト ラ フ ィ ッ ク を ロ ード バラ ン ス でき ま す。 こ のモニタ を 使用する と 、 CPU、 メ モリ 、 およ びディ ス ク 使用の重み付けを 定義でき ま す。 パフ ォ ーマ ン ス モニ タ は、 一般に Dynamic Ratio ロ ー ド バ ラ ン シ ン グ で使用 さ れます。パフ ォ ーマ ン ス モニ タ と Dynamic Ratio ロ ー ド バ ラ ン シ ン グ の詳細については、 第 4 章 「 ロ ー ド バ ラ ン シ ン グ プールの設 定」 と 付録 B 「モニ タ についての追加留意事項」 を参照 し て く だ さ い。 注 ヘルス モニ タ と は異な り 、 パフ ォーマ ン ス モニ タ ではプール、 プール メ ンバ、 ま たは ノ ー ド の状態は報告 さ れません。 BIG-IP には、 snmp_dca と い う 設定済みの SNMP DCA モニ タ が用意 さ れてい ます。 図 A.26 は、 設定済みモニ タ snmp_dca の設定 と 値を 示 し ます。 Name "" Type SNMP DCA Interval 10 Timeout 30 Community Public Version v1 Agent Type UCD CPU Coefficient 1.5 CPU Threshold 80 Memory Coefficient 1.0 Memory Threshold 70 Disk Coefficient 2.0 Disk Threshold 90 Variables "" 図 A.26 snmp_dca 設定済みモニ タ 設定済み モ ニ タ は ユ ー ザ に よ る 変更 は で き ま せ ん。 し た が っ て、 SNMP DCA モニ タ 設定の値を変更す る 場合は、 SNMP DCA タ イ プの カ ス タ ム モニ タ を作成す る 必要があ り ます。 Version 設定に指定で き る 値は、 v1、 v2c、 お よ び Other です。 Agent Type 設定に指定で き る 値は、 UCD、 Win2000、 お よ び Other です。 SNMP DCA カ ス タ ム モニ タ を設定す る と 、 モニ タ に指定 さ れてい る デフ ォ ル ト の CPU、 メ モ リ 、 お よ びデ ィ ス ク 係数 と し き い値を使用 で き ます。 ま た、 こ のデフ ォ ル ト の値を変更す る こ と も で き ます。 オ プシ ョ ン で、その他の種類のデー タ を収集す る 係数 と し き い値を指定 で き ます。 設定す る モニ タ が UC Davis 以外の SNMP エージ ェ ン ト タ イ プ向けの場合は、Win2000 な ど のエージ ェ ン ト タ イ プ を指定す る 必 要があ り ます。 係数 と し き い値の使用方法を理解す る には、全体的な重み付け を計算 す る 方法について把握 し てお く 必要があ り ます。全体的な重み付け と は、 メ ト リ ッ ク ご と に算出 さ れ る 相対的な重みの合計です。 一方、 相 対的な重みは次の 3 つの因子に基づ き ます。 • モニ タ に よ っ て返 さ れ る メ ト リ ッ ク の値 • 係数値 BIG-IP® Local Traffic Management 設定ガ イ ド A - 53 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ • し き い値 こ れ ら の値を前提 と し て、 相対的な重みは次の よ う に計算 さ れ ます。 w=(( し き い値 - 値 )/ し き い値 )* 係数 係数が高いほ ど、その メ ト リ ッ ク に計算 さ れ る 相対的な重みが大 き く な る こ と がわか り ます。 同様に、 し き い値が高ければ高いほ ど、 し き い値未満の メ ト リ ッ ク 値に対す る 相対的重みの値は大 き く な り ま す (値が し き い値に達す る と 、 重みはゼ ロ にな り ます)。 A - 54 SNMP DCA Base SNMP DCA Base UC Davis な ど の SNMP エ ー ジ ェ ン ト を 実行 し て い る サーバ の パ フ ォ ーマ ン ス をチ ェ ッ ク す る には、 SNMP DCA Base タ イ プのモニ タ を使用 し ま す。 ただ し 、 こ のモニ タ は宛先を CPU、 メ モ リ 、 ま たは デ ィ ス ク 使用ではな く 、 ユーザデー タ 使用のみに基づいて ロ ー ド バ ラ ン スす る 場合にのみ使用 し て く だ さ い。 図 A.27 は、SNMP DCA Base タ イ プのモニ タ の設定 と デフ ォ ル ト 値を 示 し ます。 Name "" Type snmp_dca_base Interval 10 Timeout 30 Community Public Version v1 Variables "" 図 A.27 SNMP DCA タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 パフ ォ ーマ ン ス モニ タ は、 一般に Dynamic Ratio ロ ー ド バ ラ ン シ ン グ で使用 さ れます。パフ ォ ーマ ン ス モニ タ と Dynamic Ratio ロ ー ド バ ラ ン シ ン グ の詳細については、 第 4 章 「 ロ ー ド バ ラ ン シ ン グ プールの設 定」 と 付録第 B 章 「モニ タ についての追加留意事項」 を参照 し て く だ さ い。 注 ヘルス モニ タ と は異な り 、 パフ ォーマ ン ス モニ タ ではプール、 プール メ ンバ、 ま たは ノ ー ド の状態は報告 さ れません。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 55 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ SOAP SOAP モニ タ は Simple Object Access Protocol (SOAP) に基づいて Web サービ ス を テ ス ト し ます。 よ り 具体的に言 う と 、 こ のモニ タ は SOAP ベース の Web サービ ス に要求を サブ ミ ッ ト し 、 オプシ ョ ン で戻 り 値 ま たは障害を検証 し ます。 図 A.28 は、 SOAP タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。 Name "" Type soap Interval 5 Timeout 16 Manual Resume No Check Until Up No User Name "" Password "" Protocol HTTP URL Path "" Namespace "" Method "" Parameter Name "" Parameter Type bool Parameter Value "" Return Type bool Return Value "" Expect Fault No Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.28 SOAP タ イ プのカ ス タ ムモニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 A - 56 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_soap_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。 ま た、 タ ーゲ ッ ト の応答に RESET パケ ッ ト が含 まれ る 場合は、 タ イ ム ア ウ ト イ ン タ ーバルの設定値に達す る 前に、 その タ ーゲ ッ ト に対 し て ただちに down の フ ラ グが立て ら れ ます。 [Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 SOAP ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ンバに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Protocol [Protocol] 設定で指定で き る 値は、 HTTP と HTTPS です。 ◆ Parameter Type [Parameter Type] 設定で指定で き る 値は、 bool、 int、 long、 string です。 ◆ Return Type [Return Type] 設定で指定で き る 値は、 bool、int、short、long、float、 double、 string です。 ◆ Expect Fault [Expect Fault] 設定で指定で き る 値は No と Yes です。 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Debug [Debug] 設定では、そのモニ タ 用に作成 さ れ ラ ベル付け さ れた ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セージ と 追加情報を送信す る か ど う か を 指定 し ます。 [Debug] に指定で き る 値は No と Yes です。 デフ ォ ル ト 値は No であ り 、 こ の場合、 こ のモニ タ に関連す る エ ラ ー メ ッ セージ と 追加情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。 Yes と 設定す る と 、 エ ラ ー メ ッ セージ と 追加情報が /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 57 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ TCP TCP タ イ プのモニ タ は、 TCP を介 し て送信 さ れた特定の コ ン テ ン ツ の受信 を 試み ま す。 コ ン テ ン ツ が Receive String 値 と 一致すれば チ ェ ッ ク は成功です。 図 A.29 は、 設定済みモニ タ tcp の設定を示 し ます。 Name "" Type TCP Interval 5 Timeout 16 Manual Resume No Check Until Up No Send String "" Receive String "" Reverse No Transparent No Alias Address * All Addresses Alias Service Port * All Ports 図 A.29 tcp 設定済みモニ タ こ れ ら の設定の詳細は以下の と お り です。 A - 58 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_tcp_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使っ て、 リ ソ ー ス が有効で あ る と 手動で 指定す る こ と がで き ます。 詳細については、 第 12 章 「 モニ タ の設 定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ン バに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Send String と Receive String こ の タ イ プのモニ タ では、 [Send String] 値 と [Receive String] 値が 使われ ま す。 [Send String] 値が空白で、 接続が確立で き る 場合、 サービ ス は up であ る と みな さ れます。 空白の [Receive String] 値 は ど の よ う な応答 と も 一致 し ま す。 コ ン テ ン ツ が [ReceiveString] 値 と 一致すればチ ェ ッ ク は成功です。 TCP ◆ Transparent と Reverse Transparent モー ド と Reverse モー ド はいずれ も オプシ ョ ン です。 Transparent モー ド と Reverse モー ド の詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 59 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ TCP Echo TCP Echo タ イ プのモ ニ タ では、 Transmission Control Protocol (TCP) 接続を検証で き ます。 こ のチ ェ ッ ク は、 BIG-IP が TCP Echo メ ッ セー ジへの応答を受信す る と 成功です。 TCP Echo モ ニ タ タ イ プ を 使用す る には、 監視中の ノ ー ド 上で TCP Echo が有効にな っ てい る こ と を確認す る 必要があ り ます。図 A.30 は、 設定済みモニ タ tcp_echo の設定を示 し ます。 Name "" Type TCP Echo Interval 5 Timeout 16 Manual Resume No Check Until Up No Transparent No Alias Address * All Addresses 図 A.30 tcp_echo 設定済みモニ タ こ れ ら の設定の詳細は以下の と お り です。 A - 60 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_tcp_echo_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ン バに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Transparent Transparent モー ド は こ の タ イ プのモニ タ のオプシ ョ ン であ り 、 こ のモー ド を [Yes] に設定す る と 、モニ タ はモニ タ が関連付け ら れて い る ノ ー ド に ping コ マ ン ド を発行 し ます。 Transparent モー ド の 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 TCP Echo ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 61 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ TCP Half Open モニ タ の TCP Half Open タ イ プは、 TCP SYN パケ ッ ト をサービ ス に 送信す る こ と に よ っ て、 関連付 け ら れ て い る サー ビ ス を すばや く チ ェ ッ ク し ます。モニ タ は SYN-ACK パケ ッ ト をサービ ス か ら 受信す る と す ぐ に、 サービ ス が up 状態にあ る と みな し 、 3 方向ハン ド シ ェ イ ク を完了す る 代わ り に、 サービ ス に RESET を送信 し ます。 図 A.31 は、 設定済みモニ タ tcp_half_open の設定を示 し ます。 Name "" Type TCP Half Open Interval 5 Timeout 16 Manual Resume No Check Until Up No Transparent No Alias Addresses * All Addresses Alias Service Port * All Ports 図 A.31 tcp_half_open 設定済みモニ タ こ れ ら の設定の詳細は以下の と お り です。 A - 62 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_tcp_half_open_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ン バに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Transparent Transparent モー ド は こ の タ イ プのモニ タ のオプシ ョ ン であ り 、 こ のモー ド を [Yes] に設定す る と 、モニ タ はモニ タ が関連付け ら れて い る ノ ー ド に ping コ マ ン ド を発行 し ます。 Transparent モー ド の 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 TCP Half Open ◆ Alias Address と Alias Service Port [Alias Address] 値はモニ タ がチ ェ ッ ク す る 宛先 IP ア ド レ ス を指定 す る も のであ り 、 デフ ォ ル ト 値は * All Addresses です。 詳細につ いては、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 63 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ UDP User Datagram Protocol (UDP) パケ ッ ト を送信す る 場合は UDP タ イ プのモニ タ を使用 し て く だ さ い。 UDP サービ ス の状態をチ ェ ッ ク す る こ と を目的 と し た UDP タ イ プのモニ タ は、 1 つ以上の UDP パケ ッ ト を タ ーゲ ッ ト のプール、プール メ ンバ、ま たは ノ ー ド に送信 し ます。 図 A.32 は、 UDP タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。 . Name "" Type UDP Interval 5 Timeout 16 Manual Resume No Check Until Up No Send String default send string Send Packets 2 Timeout Packets 2 Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.32 UDP タ イ プのカ ス タ ム モニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 A - 64 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_udp_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。プール メ ンバが up であ る こ と が確定す る と 、 その メ ン バに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ま す。 詳細 については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Timeout Packets [Timeout Packets] の設定値 (秒単位) は、 [Interval] 設定 よ り も 小 さ な値であ る 必要があ り ます。 UDP ◆ Debug [Debug] 設定では、そのモニ タ 用に作成 さ れ ラ ベル付け さ れた ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セージ と 追加情報を送信す る か ど う か を 指定 し ます。 [Debug] に指定で き る 値は No と Yes です。 デフ ォ ル ト 値は No であ り 、 こ の場合、 こ のモニ タ に関連す る エ ラ ー メ ッ セージ と 追加情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。 Yes と 設定す る と 、 エ ラ ー メ ッ セージ と 追加情報が /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 UDP タ イ プのモニ タ を使用 し てプール、 プール メ ンバ、 ま たは ノ ー ド を監視す る 場合は、 ICMP の よ う なプール、 プール メ ンバ、 ま たは ノ ー ド を監視す る 別の タ イ プのモニ タ を有効にす る 必要があ り ます。 UDP タ イ プのモニ タ と 別の タ イ プのモニ タ の両方が UDP サービ ス の 状態を up と し て レ ポー ト す る ま で、UDP サービ ス は ト ラ フ ィ ッ ク を 受信 し ません。 詳細は表 A.3 を参照 し て く だ さ い。 UDP モ ニ タ がレ ポー ト する状態 別のモニ タ がレ ポー ト する状態 UDP サービ スの状態 up up up up down down down up down down down down 表 A.3 UDP サービ ス の状態の決定 BIG-IP® Local Traffic Management 設定ガ イ ド A - 65 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ WAP Wireless Application Protocol (WAP) サーバを監視す る 場合は WAP モ ニ タ を使用 し て く だ さ い。WAP モニ タ の一般的な用途は、Send String 設定 と Receive String 設定を指定す る こ と のみです。 WAP モニ タ は、 URL を要求 し 、 URL 応答で返 さ れたデー タ 内にあ る [Receive String] 設定の文字列を検出す る こ と に よ っ て機能 し ます。 図 A.33 は、 WAP タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。 . Name "" Type WAP Import Settings wap Interval 10 Timeout 31 Manual Resume No Check Until Up No Send String "" Receive String "" Secret "" Accounting Node "" Accounting Port "" Server ID "" Call ID "" Session ID "" Framed Address "" Alias Address * All Addresses Alias Service Port * All Ports Debug No 図 A.33 WAP タ イ プのカ ス タ ム モニ タ と デフ ォ ル ト 値 こ れ ら の設定の詳細は以下の と お り です。 A - 66 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ます (「my_wap_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。デフ ォ ル ト は 10 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 31 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 ◆ Manual Resume [Manual Resume] 設定を使用 し て、 リ ソ ー ス の有効性を手動で指 定す る こ と がで き ます。 詳細については、 第 12 章 「モニ タ の設定」 を参照 し て く だ さ い。 ◆ Check Until Up [Check Until Up] 機能を有効に し た場合、 モニ タ はプール メ ンバが up で あ る こ と が確定す る ま で、 従来通 り にそ の メ ン バのヘル ス チ ェ ッ ク を行い ます。 WAP プール メ ンバが up であ る こ と が確定す る と 、 その メ ンバに対す る ヘル ス チ ェ ッ ク 機能は無効にな り ます。 詳細については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 ◆ Send String [Send String] 設定では URL を指定 し ます。 ◆ Receive String [Receive String] 設定では、 モニ タ が検出す る こ と にな る 、 URL 応 答に よ り 返 さ れたデー タ 内の文字列を指定 し ます。 ◆ Secret [Secret] 設定は、ク ラ イ ア ン ト と RADIUS サーバの両方が認識す る 文字列であ る RADIUS secret であ り 、 MD5 ハ ッ シ ュ 計算で使用 さ れます。 ◆ Accounting Node [Accounting Node] 設定では RADIUS ノ ー ド を指定 し ます。 こ の値 が Null 文字列であ り 、 RADIUS ア カ ウ ン テ ィ ン グが要求 さ れてい る 場合 (ア カ ウ ン テ ィ ン グポー ト は非ゼ ロ ) 、 WAP サーバ ノ ー ド も 同 じ く RADIUS ノ ー ド であ る と 想定 さ れ ます。 ◆ Accounting Port [Accounting Port] 設定では RADIUS アカ ウ ン ティ ン グを 実装し ま す (オプシ ョ ン)。 RADIUS アカ ウ ン ティ ン グを 実装する 場合は、 アカ ウ ン ティ ン グ ポート を 非ゼロ の値に設定する 必要があり ま す。 こ の 場合、 モニタ は RADIUS アカ ウ ン ティ ン グ が必要であ る と みなし 、 指定さ れた ア カ ウ ン テ ィ ン グ ノ ード と ポート にア カ ウ ン テ ィ ン グ 要求が送信さ れ、アカ ウ ン ティ ン グが開始さ れま す。こ れは URL が 要求さ れる 前に実行さ れま す。URL の検索が正し いデータ で正常に 終了する と 、 アカ ウ ン ティ ン グ要求が送信さ れてアカ ウ ン ティ ン グ が停止さ れま す。 ◆ Server ID Server ID 設定は、要求サーバ (つま り BIG-IP) の RADIUS NAS-ID を指定 し ます。 こ れは FQDN のエ イ リ ア ス と し て使用 さ れ る 文字 列です。 ◆ Call ID Call ID 設定は、 電話番号に似た識別子です。 つま り 、 数字の文字 列です。 テ ス ト 目的では、 通常 こ の値は 11 文字の文字列です。 ◆ セ ッ シ ョ ン ID Session ID 設定は、 こ のセ ッ シ ョ ン の識別に使用 さ れ る RADIUS セ ッ シ ョ ン ID です。 こ れは多 く の場合、 01234567 の よ う な任意の 数字の文字列です。 ◆ Framed Address Framed Address 設定は、 RADIUS フ レーム IP ア ド レ ス です。 こ の 設定には特殊な用途はな く 、通常は単純に 1.1.1.1 と 指定 さ れます。 ◆ Debug [Debug] 設定では、そのモニ タ 用に作成 さ れ ラ ベル付け さ れた ロ グ フ ァ イ ルに、 エ ラ ー メ ッ セージ と 追加情報を送信す る か ど う か を 指定 し ます。 [Debug] に指定で き る 値は No と Yes です。 デフ ォ ル ト 値は No であ り 、 こ の場合、 こ のモニ タ に関連す る エ ラ ー メ ッ セージ と 追加情報が リ ダ イ レ ク ト さ れ る こ と はあ り ません。 Yes と 設定す る と 、 エ ラ ー メ ッ セージ と 追加情報が BIG-IP® Local Traffic Management 設定ガ イ ド A - 67 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ /var/log/<monitor_type>_<ip_address>.<port>.log フ ァ イ ルに リ ダ イ レ ク ト さ れ ま す。 こ れ ら の ロ グ情報は、 失敗 し たヘル ス チ ェ ッ ク の診断や ト ラ ブルシ ュ ーテ ィ ン グ を行 う のに役立ち ます。 A - 68 WMI WMI WMI タ イ プ の モ ニ タ は、 Windows Management Infrastructure (WMI) デー タ コ レ ク シ ョ ン エージ ェ ン ト を実行 し てい る プール、プール メ ン バ、 ま たは ノ ー ド のパフ ォーマ ン ス をチ ェ ッ ク し 、 それに応 じ て ト ラ フ ィ ッ ク を ダ イ ナ ミ ッ ク に ロ ー ド バ ラ ン ス し ます。 通常、Dynamic Ratio ロ ー ド バ ラ ン シ ン グ を実行す る WMI モニ タ な ど のパフ ォーマ ン ス モニ タ を使用 し て く だ さ い。パフ ォ ーマ ン ス モニ タ と Dynamic Ratio ロ ー ド バ ラ ン シ ン グの詳細については、第 4 章「 ロ ー ド バ ラ ン シ ン グプールの設定」 と 付録 B 「モニ タ についての追加留意 事項」 を参照 し て く だ さ い。 注 ヘルス モニ タ と は異な り 、 パフ ォーマ ン ス モニ タ ではプール、 プール メ ンバ、 ま たは ノ ー ド の状態は報告 さ れません。 図 A.34 は、 WMI タ イ プのモニ タ の設定 と デフ ォ ル ト 値を示 し ます。 Name "" Type wmi Interval 5 Timeout 16 User Name "" Password "" Method POST URL /scripts/f5Isapi.dll Command GetCPUInfo, GetDiskInfo, GetOSInfo Metrics LoadPercentage, DiskUsage, PhysicalMemoryUsage:1.5, VirtualMemoryUsage:2.0 Agent Mozilla/4.0 (compatible: MSIE 5.0; Windows NT) Post RespFormat=HTML 図 A.34 WMI タ イ プのカ ス タ ム モニ タ と デフ ォ ル ト 値 カ ス タ ム WMI モニ タ を作成す る 場合、変更が必要なデフ ォ ル ト 値は、 名前 と 、 ユーザ名、 パ ス ワー ド の Null 値のみです。 ま た、 Method 設 定の値は変更で き ないため注意が必要です。 こ れ ら の設定の詳細は以下の と お り です。 ◆ Name カ ス タ ム モニ タ の名前を一意で指定 し ま す ( 「my_wmi_monitor」 な ど)。 ◆ Type 作成す る モニ タ の タ イ プ を指定 し ます。 ◆ Interval モニ タ チ ェ ッ ク を行 う 頻度を指定 し ます。 デフ ォ ル ト は 5 秒です。 ◆ Timeout モニ タ の要求に ノ ー ド が何秒以内に応答 し な ければな ら ないか を 指定 し ます。 デフ ォ ル ト は 16 秒です。 設定時間内に応答すれば、 その ノ ー ド は up と 見な さ れ、 設定時間内に応答 し なければ down と 見な さ れます。[Timeout] 値は [Interval] 値の 3 倍 +1 秒 と な る よ う に設定 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド A - 69 付録 A ヘルス モニ タ と パ フ ォ ーマ ン ス モ ニ タ ◆ User Name と Password パ ス ワー ド に よ る セキ ュ リ テ ィ がない場合は、 [Username] 設定 と [Password] 設定に空白文字列 "" を使用 し ます。 ◆ Command と Metrics 以下の表を参照 し て く だ さ い。 表 A.4 は、Command 設定 と Metrics 設定で指定で き る すべての コ マ ン ド と メ ト リ ッ ク を示 し ます。 ま た、 デフ ォ ル ト の メ ト リ ッ ク 値 も 示 し ます。 コマン ド メ ト リック GetCPUInfo LoadPercentage (%) GetOSInfo PhysicalMemoryUsage (%) VirtualMemoryUsage (%) NumberRunningProcesses GetDiskInfo DiskUsage (%) GetPerfCounters TotalKBytesPerSec ConnectionAttemptsPerSec CurrentConnections GETRequestsPerSec PUTRequestsPerSec POSTRequestsPerSec AnonymousUsersPerSec CurrentAnonymousUsers NonAnonymousUsersPerSec CurrentNonAnonymousUser CGIRequestsPerSec CurrentCGIRequests ISAPIRequestsPerSec CurrentISAPIRequests GetWinMediaInfo AggregateReadRate AggregateSendRate ActiveLiveUnicastStreams デフ ォル ト 係数 1.0 80 1.0 80 1.0 80 1.0 100 1.0 90 1.0 10,000 1.0 500 1.0 500 1.0 500 1.0 500 1.0 500 1.0 500 1.0 500 1.0 500 1.0 500 1.0 500 1.0 500 1.0 500 1.0 500 1.0 10,000 Kbps 1.0 10,000 Kbps 1.0 1000 表 A.4 WMI タ イ プのモニ タ コ マ ン ド と メ ト リ ッ ク A - 70 デフ ォル ト し き い値 WMI コ マン ド メ ト リック ActiveStreams ActiveTCPStreams ActiveUDPStreams AllocatedBandwidth AuthenticationRequests AuthenticationsDenied AuthorizationRequests AuthorizationsRefused ConnectedClients ConnectionRate HTTPStreams HTTPStreamsReadingHeader HTTPStreamsStreamingBody LateReads PendingConnections PluginErrors PluginEvents SchedulingRate StreamErrors StreamTerminations UDPResendRequests UDPResendsSent デ フ ォル ト 係数 デ フ ォル ト し き い値 1.0 1000 1.0 1000 1.0 1000 1.0 10,000 Kbps 1.0 1000 1.0 100 1.0 1000 1.0 100 1.0 500 1.0 500 1.0 1000 1.0 500 1.0 500 1.0 100 1.0 100 1.0 100 1.0 100 1.0 100 1.0 100 1.0 100 1.0 100 1.0 100 表 A.4 WMI タ イ プのモニ タ コ マ ン ド と メ ト リ ッ ク (続 き) BIG-IP® Local Traffic Management 設定ガ イ ド A - 71 B モニ タ についての追加留意事項 • モニ タ への Dynamic Ratio ロー ド バラ ン シ ングの 実装 • MSSQL モニ タ の実装 モニ タ への Dynamic Ratio ロー ド バラ ン シ ングの 実装 RealNetworks® RealServer™ サーバ、 WMI (Windows Management Instrumentation)を搭載 し た Microsoft® Windows® サーバ、お よ び SNMP エージ ェ ン ト (UC Davis SNMP エージ ェ ン ト 、 Windows® 2000 Server SNMP エージ ェ ン ト な ど) を搭載 し たサーバか ら 構成 さ れ る プール に、 Dynamic Ratio ロ ー ド バ ラ ン シ ン グ を設定で き ます。 Dynamic Ratio ロ ー ド バ ラ ン シ ン グ を こ れ ら の タ イ プのサーバに実装 す る ため、 BIG-IP® ロ ーカル ト ラ フ ィ ッ ク 管理シ ス テ ム では、 各 タ イ プのサーバ用のモニ タ プ ラ グ イ ン フ ァ イ ル と 、ヘル ス モニ タ お よ びパ フ ォ ーマ ン ス モニ タ を装備 し てい ます。SNMP エージ ェ ン ト を搭載 し たサーバは例外です。 こ の場合、 BIG-IP はモニ タ のみを提供 し ます。 SNMP エージ ェ ン ト を実行す る サーバには特殊なプ ラ グ イ ン フ ァ イ ルは必要あ り ません。 モニ タ す る それぞれのサーバにモ ニ タ プ ラ グ イ ン を イ ン ス ト ール し て、 BIG-IP に常駐す る パ フ ォ ーマ ン ス モニ タ を作成す る 必要があ り ます。 モニ タ を作成す る と 、 モニ タ はサーバプ ラ グ イ ン と 直接通信 し ま す。 表 B.1 に、 各サーバ タ イ プに対 し て必要なモニ タ プ ラ グ イ ン と 、 対応す る パフ ォ ーマ ン ス モニ タ の タ イ プ を示 し ます。 . サーバ タ イ プ モニ タ プ ラ グ イ ン モニ タ タ イ プ RealServer Windows サーバ F5RealMon.dll Real Server RealServer UNIX サーバ f5realmon.so Real Server WMI搭載のWindowsサーバ F5Isapi.dll ま たは F5.IsHandler.dll WMI Windows 2000 Server サーバ SNMP エージ ェ ン ト SNMP DCA お よ び SNMP DCA Base UNIX サーバ UC Davis SNMPエージ ェ ン ト SNMP DCA お よ び SNMP DCA Base 表 B.1 モニ タ プ ラ グ イ ン と 、 対応す る モニ タ テ ンプ レー ト Real Server モニ タ の実装 RealSystem™ Server の場合、 RealSystem Server にプ ラ グ イ ン を イ ン ス ト ールす る と 、 BIG-IP が必要な メ ト リ ッ ク を収集す る モニ タ プ ラ グ イ ン を提供 し ます。 RealSystem Server で Dynamic Ratio ロ ー ド バ ラ ン シ ン グ を設定す る には、 次の 4 つの タ ス ク を実行 し ます。 • モニ タ プ ラ グ イ ン を RealSystem サーバに イ ン ス ト ールす る • Real Server モニ タ を BIG-IP に設定す る • メ ト リ ッ ク を収集す る サーバにモニ タ を関連付け る • Dynamic Ratio ロ ー ド バ ラ ン シ ン グ方式を使用す る サーバプール を、 作成ま たは変更す る BIG-IP® Local Traffic Management 設定ガ イ ド B-1 付録 B モニ タ についての追加留意事項 モニ タ プ ラ グ イ ン を RealSystemServer に イ ン ス ト ールするに は (Windows バージ ョ ン) 1. モニ タ プ ラ グ イ ン F5RealServerPlugin.dll を BIG-IP か ら ダ ウ ン ロ ー ド し ます。 プ ラ グ イ ンは、 フ ォ ルダ /usr/local/www/docs/agents にあ り ます。 2. F5RealServerPlugin.dll を RealServer の plug-ins デ ィ レ ク ト リ に コ ピー し ます。 (例 : C:\Program Files\RealServer\plug-ins) 3. RealSystem Server プ ロ セ ス が実行中の場合は、 再起動 し ます。 Linux または UNIX RealSystem Server モニ タ プ ラ グ イ ン を イ ン ス ト ールまたは コ ンパイルするには 1. .iso イ メ ージ を使用 し て、 BIG-IP ソ フ ト ウ ェ アの CR-ROM を 作成 し ます。 2. CD で、 /downloads/rsplug-ins デ ィ レ ク ト リ に移動 し ます。 3. フ ァ イ ル F5RealMon.src.tar.gz を BIG-IP のデ ィ レ ク ト リ /var/tmp に コ ピー し ます。 4. BIG-IP で、 デ ィ レ ク ト リ /var/tmp に移動 し ます。 cd /var/tmp 5. UNIX の tar コ マ ン ド を使用 し て、 F5RealMon.src.tar.gz フ ァ イ ルを展開 し ます。 tar -xvzf F5RealMon.src.tar 6. F5RealMon.src デ ィ レ ク ト リ に移動 し ます。 cd F5RealMon.src 7. ls コ マ ン ド を入力 し て、 デ ィ レ ク ト リ の内容を表示 し ます。 8. ソ ース を コ ンパ イ ルす る には、 フ ァ イ ル build_unix_note の手 順を使用 し ます。 9. RealSystem Server を起動 し ます。 プ ラ グ イ ン を イ ン ス ト ール し て コ ンパ イ ル し た ら 、Real Server モニ タ を設定 し て、 設定 し たモニ タ を プール メ ンバに関連付け (RealSystem Server サーバ)、 ロ ー ド バ ラ ン シ ン グ方式 と し て Dynamic Ratio を設定 す る 必要があ り ます。 • Real Server モニ タ の設定については、 第 12 章 「 モニ タ の設定」 を 参照 し て く だ さ い。 • パ フ ォ ーマ ン ス モ ニ タ のプール メ ン バへの関連付け につい ては、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を参照 し て く だ さ い。 • プールの ロ ー ド バ ラ ン シ ン グ方式を Dynamic Ratio 方式に設定す る 方法については、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を 参照 し て く だ さ い。 B-2 WMI モ ニ タ の実装 WMI (Windows Management Instrumentation) を実行 し てい る Windows では、 BIG-IP LTM はサーバにデー タ 収集エージ ェ ン ト (F5Isapi.dll (IIS 5.0 と 6.0)、 ま たは F5.IsHandler.dll (IIS 6.0 と 7.0)) を提供 し ま す。 Windows プ ラ ッ ト フ ォ ーム で Dynamic Ratio ロ ー ド バ ラ ン シ ン グ を設定す る には、 次の 4 つの タ ス ク を実行 し ます。 • IIS サーバにデー タ 収集エージ ェ ン ト を イ ン ス ト ールす る 。 詳細に ついては、 こ の項に記載 さ れた手順を参照 し て く だ さ い。 • BIG-IP で WMI モニ タ を設定す る 。 WMI モニ タ の設定については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 • メ ト リ ッ ク を収集す る サーバにモニ タ を関連付け る 。 カ ス タ ム モニ タ のプール メ ンバへの関連付けについては、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を参照 し て く だ さ い。 • Dynamic Ratio ロ ー ド バ ラ ン シ ン グ方式を使用す る サーバプールを 作成ま たは変更す る 。 プールの ロ ー ド バ ラ ン シ ン グ方式を Dynamic Ratio 方式に設定す る 方法については、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を 参照 し て く だ さ い。 IIS サーバにデー タ 収集エー ジ ェ ン ト を イ ン ス ト ールす る 手順は、 サーバが 5.0、 6.0、 7.0 の ど のバージ ョ ン の IIS を実行 し てい る かに よ っ て、 ま たそのデー タ 収集エージ ェ ン ト が F5Isapi.dll か F5.IsHandler.dll の ど ち ら であ る かに よ っ て変わ っ て き ます。 デー タ 収集エージ ェ ン ト フ ァ イ ル、お よ びそれぞれの フ ァ イ ルがサポー ト さ れてい る IIS バージ ョ ン については、 表 B.2 を参照 し て く だ さ い。 デー タ 収集エージ ェ ン ト F5Isapi.dll IIS バージ ョ ン 5.0 IIS バージ ョ ン 6.0 X F5.IsHandler.dll IIS バージ ョ ン 7.0 X X X 表 B.2 各 IIS バージ ョ ン でサポー ト さ れ る デー タ 収集エージ ェ ン ト フ ァ イル WMI モニ タ の実装本項の後半では、 F5Isapi.dll と F5.IsHandler.dll の 2 つのデー タ 収集エージ ェ ン ト フ ァ イ ルの イ ン ス ト ール手順について 説明 し ます。 デー タ 収集エージ ェ ン ト F5Isapi.dll のイ ン ス ト ール F5isapi.dll フ ァ イ ルは、 IIS バージ ョ ン 5.0 と 6.0 に イ ン ス ト ールす る こ と がで き ます。 BIG-IP® Local Traffic Management 設定ガ イ ド B-3 付録 B モニ タ についての追加留意事項 デー タ 収集エージ ェ ン ト F5Isapi.dll を IIS 5.0 サーバに イ ン ス ト ールする には 1. デー タ 収集エージ ェ ン ト (F5Isapi.dll) を BIG-IP か ら ダ ウ ン ロ ー ド し ます。 こ のプ ラ グ イ ンは、 BIG-IP の /var/windlls ま たは /usr/local/www/docs/agents デ ィ レ ク ト リ にあ り ます。 2. f5isapi.dll をデ ィ レ ク ト リ C:\Inetpub\scripts に コ ピー し ます。 3. Internet Services Manager を開 き ます。 4. Internet Services Manager の左側のペ イ ン で、 フ ォ ルダ <machine_name>\Default Web Site\Script を開 き ます。こ こ で、 <machine_name> は設定 し てい る サーバの名前です。 Scripts フ ォ ルダの内容は、 右側のペ イ ン に表示 さ れ ます。 5. 右側のペ イ ン で、 F5Isapi.dll を右 ク リ ッ ク し て、 [Properties] を選択 し ます。 F5Isapi.dll の [Properties] ダ イ ア ロ グボ ッ ク ス が開 き ます。 6. [Logvisits] の選択を解除 し ます。 (エージ ェ ン ト へのア ク セ ス をすべて ロ グに記録す る と 、 ロ グ フ ァ イ ルがす ぐ にいっぱいにな り ます) 7. [File Security] タ ブ を ク リ ッ ク し ます。 [File Security] オプシ ョ ン が開 き ます。 8. [Anonymous access and authentication control group] ボ ッ ク ス で、 [Edit] を ク リ ッ ク し ます。 [Authentication Methods] ダ イ ア ロ グ ボ ッ ク ス が開 き ます。 9. ダ イ ア ロ グ ボ ッ ク ス で、 すべてのチ ェ ッ ク ボ ッ ク ス を ク リ ア し て、 [Basic Authentication] を選択 し ます。 10. [Authentication methods] ダ イ ア ロ グボ ッ ク ス で、 [OK] を ク リ ッ ク し て変更を受理 し ます。 11. [Properties] ダイ アロ グ ボッ ク ス で、[Apply] を ク リ ッ ク し ま す。 WMI データ 収集エージェ ン ト を 使用でき る よ う になり ま し た。 デー タ 収集エージ ェ ン ト F5Isapi.dll を IIS 6.0 サーバに イ ン ス ト ールす る には 1. Web サ イ ト ド キ ュ メ ン ト のルー ト で scripts デ ィ レ ク ト リ を作 成 し ます (Default Website (デフ ォ ル ト Web サ イ ト ) 場合は C:\InetPub\wwwroot)。 2. scripts デ ィ レ ク ト リ のプ ロ パテ ィ を、 scripts and executables (ス ク リ プ ト と 実行可能フ ァ イ ル) に設定 し ます。 3. f5isapi.dll フ ァ イ ルを、作成 し た scripts デ ィ レ ク ト リ に コ ピー し ます。 4. IIS Manager (inetmgr) を起動 し 、 scripts デ ィ レ ク ト リ ま で移 動 し ます。 5. 右側のペ イ ン で、 フ ァ イ ル名 f5isapi.dll を選択 し ます。 B-4 6. [Properties] -> [File Security] -> [Authentication and Access Control] を 順 に 選 択 し 、 設 定 [anonymous user ] と [Basic Authentication] がチ ェ ッ ク さ れてい る こ と を確認 し ます。 7. 未知のエ ク ス テ ン シ ョ ン をすべて許可す る 場合、 IIS Manager で、[Web Server Extensions] -> [All Unknown ISAPI extensions] ま で移動 し 、 すべての未知のエ ク ス テ ン シ ョ ン を有効に し ま す。 許可 し ない場合、 ス テ ッ プ 8 へ進みます。 8. f5isapi.dll フ ァ イ ルだけ を許可 し たい場合、 [Web Server Extensions]-> [Tasks: Add a New Webserver Extension] の順に 選択 し ます。 続いて、 以下の手順を実行 し ます。 a) [Name] フ ィ ール ド で、 [F5 ISAPI] を選択 し 、 必要な フ ァ イ ルで [Add] を ク リ ッ ク し ます。 こ れに よ り 、 フ ァ イ ルへのパ ス を要求 し ます。 b) Default Website (デフ ォ ル ト Web サ イ ト ) の場合はパ ス C:\InetPub\wwwroot\scripts\f5isapi.dll を使用 し て、 フ ァ イ ル f5isapi.dll を ブ ラ ウ ズ し 、 [ OK] を ク リ ッ ク し ます。 c) [Set Extension Status to Allowed] ボ ッ ク ス をチ ェ ッ ク し 、 [OK] を ク リ ッ ク し ます。 エ ク ス テ ン シ ョ ン リ ス ト で、 値 F5 ISAPI が [Allowed] と し て表示 さ れます。 デー タ 収集エージ ェ ン ト F5.IsHandler.dll のイ ン ス ト ール F5.IsHandler.dll フ ァ イ ルは、 IIS バージ ョ ン 6.0 と 7.0 に イ ン ス ト ー ルす る こ と がで き ます。 デー タ 収集エージ ェ ン ト F5.IsHandler.dll を IIS 6.0 サーバに イ ン ス ト ールするには 1. C:\Inetpub の下に scripts デ ィ レ ク ト リ を作成 し ます (C:\Inetpub\scripts)。 2. scripts の下に \bin デ ィ レ ク ト リ を作成 し ます (C:\Inetpub\scripts\bin)。 3. scripts デ ィ レ ク ト リ のプ ロ パテ ィ を、 scripts and executables (ス ク リ プ ト と 実行可能フ ァ イ ル) に設定 し ます。 4. F5.IsHandler.dll フ ァ イ ルを C:\Inetpub\scripts\bin デ ィ レ ク ト リ に コ ピー し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド B-5 付録 B モニ タ についての追加留意事項 5. C:\Inetpub\scripts デ ィ レ ク ト リ 内に web.config フ ァ イ ルを作 成 し ます。 た と えば、 図 B.1 の よ う な フ ァ イ ルが作 ら れ る こ と にな り ます。 <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.web> <httpHandlers> <clear /> <add verb="*" path="F5Isapi.dll" type="F5.IsHandler" /> </httpHandlers> </system.web> </configuration> 図 B.1 バージ ョ ン 6.0 を実行す る IIS サーバで作成 さ れ る web.config フ ァ イ ルの例 6. [Start] メ ニ ュ ーか ら [Control Panel] を選択 し て、[Administration Tools] を ダブル ク リ ッ ク し ます。 7. [Internet Information Services] を ダブル ク リ ッ ク す る と 、 IIS 管理 コ ン ソ ールが開 き ます。 8. ロ ーカル コ ン ピ ュ ー タ の名前を選択 し ます。 9. ASP.NET v2.0<build_number> フ ァ イ ルを有効に し ます。 a) [Web Server Extensions] を選択 し ます。 b) [ASP.NET v2.0<build_number>] を選択 し ます。 c) [Allow] を ク リ ッ ク し ます。 10. 新 し い仮想デ ィ レ ク ト リ scripts を作成 し ます。 a) [Websites] → [<Default Web Site>] を選択 し ます。 b) [<Default Web Site>] を右 ク リ ッ ク し て、 [New] → [Virtual Directory] の順に選択 し ます。 c) [Next] を ク リ ッ ク し ます。 d) エ イ リ ア ス を scripts と 入力 し て、[Next] を ク リ ッ ク し ます。 e) ス テ ッ プ 1 で作成 し たデ ィ レ ク ト リ (C:\Inetpub\scripts\) を入力 し て、 [Next] を ク リ ッ ク し ます。 f) 再度 [Next] を ク リ ッ ク し ます。 g) [Finished] を ク リ ッ ク し ます。 11. F5.IsHandler.dll フ ァ イ ルのアプ リ ケーシ ョ ンプールを作成 し ます。 a) [Application Pools] を右 ク リ ッ ク し て、[New] → [Application Pool] の順に選択 し ます。 B-6 b) [Application Pool ID] ボッ ク ス に「 F5 Application Pool」 と 入 力し て、 [OK] を ク リ ッ ク し ま す。 こ れで、scripts 仮想ディ レ ク ト リ に対し てアプリ ケ ーショ ン プール、 マッ ピ ン グ 、 ディ レ ク ト リ セキ ュ リ ティ 、 ASP.NET を 設定する ための手順に進むこ と ができ ま す。 12. scripts を右 ク リ ッ ク し て、 [properties] を選択 し ます。 13. アプ リ ケーシ ョ ン プールを設定 し ます。 a) [Virtual Directory] タ ブ を ク リ ッ ク し ます。 b) [Application Pool] リ ス ト か ら [F5 Application Pool] を選択 し ます。 14. マ ッ ピ ン グ を設定 し ます。 a) [Configuration] ボ タ ン を ク リ ッ ク し ます。 b) Application Configuration 画面の [Mappings] タ ブで、[Add] を ク リ ッ ク し ます。 c) 実行フ ァ イ ル と し て、 フ ァ イ ル名 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspne t_isapi.dll を入力 し ます。 d) フ ァ イ ル名の拡張子 と し て .dll を入力 し ます。 e) [Check that file exists] ボ ッ ク ス を オ フ に し て、 [OK] を ク リ ッ ク し ます。 f) Application Configuration 画面で [OK] を ク リ ッ ク し ます。 15. デ ィ レ ク ト リ セキ ュ リ テ ィ を設定 し ます。 a) [Directory Security] タ ブ を ク リ ッ ク し ます。 b) [Edit] ボ タ ン を ク リ ッ ク し ます。 c) [Anonymous Access and Integrated Windows] ボ ッ ク ス を ク リ ッ ク し て、 認証を無効に し ます。 d) [Basic Authentication] ボ ッ ク ス を オ ン に し て、 [OK] を ク リ ッ ク し ます。 注 : ロ ーカル認証を行わない場合は、デフ ォ ル ト の ド メ イ ンや 領域を設定す る必要はあ り ません。 16. ASP.NET プ ロ グ ラ ム を設定 し ます。 a) [ASP.NET] タ ブ を ク リ ッ ク し ます。 b) ASP.NET バージ ョ ン リ ス ト か ら 、 2.0.<buildnumber> (例 : 2.0.50727) を選択 し ます。 17. scripts の [Properties] ページで、 [OK] を ク リ ッ ク し ます。 18. IIS メ タ ベースへのア ク セ ス を設定 し ます。 a) aspnet_regiis –ga <ASP.NETUsername> コ マ ン ド を実行 し ます。 b) http://support.microsoft.com/?kbid=267904 を参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド B-7 付録 B モニ タ についての追加留意事項 デー タ 収集エージ ェ ン ト F5.IsHandler.dll を IIS 7.0 サーバに イ ン ス ト ールする には 1. C:\Inetpub の下に scripts デ ィ レ ク ト リ を作成 し ます (C:\Inetpub\scripts)。 2. scripts の下に \bin デ ィ レ ク ト リ を作成 し ます (C:\Inetpub\scripts\bin)。 3. F5.IsHandler.dll フ ァ イ ルを C:\Inetpub\scripts\bin デ ィ レ ク ト リ に コ ピー し ます。 4. C:\Inetpub\scripts ディ レ ク ト リ 内に web.config フ ァ イ ルを 作 成し ま す。 たと えば、図B.2のよ う なフ ァ イ ルが作ら れる こ と になり ま す。 <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <handlers> <clear /> <add name="F5IsHandler" path="F5Isapi.dll" verb="*" type="F5.IsHandler" modules="ManagedPipelineHandler" scriptProcessor="" resourceType="Unspecified" requireAccess="Script" preCondition="" /> </handlers> <security> <îFèÿ> <anonymousAuthentication enabled="false" /> </authentication> </security> </system.webServer> </configuration> 図 B.2 バージ ョ ン 7.0 を実行す る IIS サーバで作成 さ れ る web.config フ ァ イ ルの例 5. appcmd コ マ ン ド を使っ て、 マシ ン レベルの applicationHost.config フ ァ イ ルでオーバー ラ イ ド モー ド を設 定 し 、匿名認証のオーバー ラ イ ド を許可 し ます。コ マ ン ド の例: appcmd set config "Default Web Site/scripts" /section:anonymousAuthentication /overrideMode:Allow /commit:APPHOST 6. F5.IsHandler.dll フ ァ イ ルの新 し いアプ リ ケーシ ョ ンプールを 設定 し ます。 a) [Start] メ ニ ュ ーか ら 、 [Control Panel] を選択 し ます。 b) [Administrative Tools] を選択 し ます。 c) [Internet Information Services (IIS) Manager] を選択 し ます。 d) [Connections] か ら 、 [<MachineName> (MachineName\UserName)] を選択 し ます。 e) [Application Pools] メ ニ ュ ーを右 ク リ ッ ク し て、 [Add Application Pool] を選択 し ます。 B-8 f) [Name] ボ ッ ク ス に、 F5 Application Pool と 入力 し ます。 g) [OK] を ク リ ッ ク し ます。 7. 新 し いアプ リ ケーシ ョ ン 「scripts」 を作成 し ます。 a) [Web Sites] → [<MachineName>] を選択 し ます。 b) [<MachineName>] を右 ク リ ッ ク し て、 [Add Application] を 選択 し ます。 c) [Alias] ボ ッ ク ス に 「scripts」 と 入力 し ます。 d) アプ リ ケーシ ョ ン プールを変更す る には、 [Select] を ク リ ッ ク し ます。 e) 物理パ ス と し て、 ス テ ッ プ 1 で作成 し たデ ィ レ ク ト リ (C:\Inetpub\scripts\) を入力 し ます。 f) [OK] を ク リ ッ ク し ます。 8. [Authentication] 設定を [Basic Authentication] に変更 し ます。 a) scripts を選択 し ます。 b) セ ン タ ーペ イ ン で、 [Authentication] を ダブル ク リ ッ ク し ま す。 c) 「Basic Authentication」 を除 く [Authentication] 下のすべて のア イ テ ムの ス テー タ ス が Disabled にな っ てい る こ と を確 認 し ます。 認証ア イ テム を 有効化 / 無効化する には、ア イ テム の名前を 右ク リ ッ ク し て、Enable か Disable のど ちら かを 選択し ま す。 プ ラ グ イ ン を イ ン ス ト ール し た ら 、 WMI モニ タ を設定 し て、 設定 し たモニ タ を プール メ ンバに関連付け、ロ ー ド バ ラ ン シ ン グ方式 と し て Dynamic Ratio を設定す る 必要があ り ます。 • WMI モニ タ の設定については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 • カ ス タ ム モニ タ のプール メ ンバへの関連付けについては、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を参照 し て く だ さ い。 • プールの ロ ー ド バ ラ ン シ ン グ方式を Dynamic Ratio 方式に設定す る 方法については、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を 参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド B-9 付録 B モニ タ についての追加留意事項 SNMP DCA および SNMP DCA Base モニ タ の実装 BIG-IP には、 SNMP デー タ 収集エージ ェ ン ト が装備 さ れ、 UC Davis エージ ェ ン ト や Windows 2000 Server エージ ェ ン ト な ど、 多様な タ イ プの リ モー ト SNMP エージ ェ ン ト を ク エ リ で き ます。 BIG-IP には 2 つのモニ タ タ イ プがあ り 、 SNMP エージ ェ ン ト を使用 す る サーバにパフ ォ ーマ ン ス モニ タ を作成す る と き に使用で き ます。 次の 2 つのモニ タ タ イ プがあ り ます。 ◆ SNMP DCA こ のモニ タ は、 CPU、 メ モ リ 、 デ ィ ス ク メ ト リ ッ ク にデフ ォ ル ト 値を使用す る 場合、 ま たは新 し い値を指定す る 場合に使用 し ます。 こ のテ ン プ レー ト を使用す る 場合は、 収集す る 他の タ イ プの メ ト リ ッ ク の値 も 指定で き ます。 ◆ SNMP DCA Base こ のモニ タ は、 CPU、 メ モ リ 、 お よ びデ ィ ス ク 使用状況以外の メ ト リ ッ ク にデフ ォ ル ト 値を使用す る 場合、 ま たは値を指定す る 場 合に使用 し ま す。 こ のモニ タ を使用す る と 、 CPU、 メ モ リ 、 お よ びデ ィ ス ク メ ト リ ッ ク の値は省略 さ れ ます。 サーバで SNMP エージ ェ ン ト を使用 し て Dynamic Ratio ロ ー ド バ ラ ン シ ン グ を設定す る には、 次の 3 つの タ ス ク を実行 し ます。 SNMP DCA ま たは SNMP DCA Base モニ タ の設定、 該当す る プール メ ンバへのモ ニ タ の関連付け、プールでの ロ ー ド バ ラ ン シ ン グ方式のDynamic Ratio 方式への設定です。 詳細については、 こ のガ イ ド の次の章ま たは項を 参照 し て く だ さ い。 • SNMP DCA お よ び SNMP DCA Base モニ タ の設定については、 第 12 章 「 モニ タ の設定」 を参照 し て く だ さ い。 • モニ タ のプールへの関連付けについては、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を参照 し て く だ さ い。 • プールの ロ ー ド バ ラ ン シ ン グ方式を Dynamic Ratio 方式に設定す る 方法については、 第 4 章 「 ロ ー ド バ ラ ン シ ン グプールの設定」 を 参照 し て く だ さ い。 B - 10 MSSQL モニ タ の実装 MSSQL タ イ プのモニ タ を使用す る には、 JDBC JavaTM Archive (JAR) フ ァ イ ルを Microsoft Web サ イ ト か ら ダ ウ ン ロ ー ド し て、 BIG-IP に イ ン ス ト ール し てお く 必要があ り ます。 Microsoft JDBC フ ァ イルを ダウ ン ロー ド し て イ ン ス ト ールす る には 1. イ ンタ ーネッ ト ブラ ウ ザから 、www.microsoft.com に移動し ま す。 2. こ のWebサイ ト から 、ダ ウ ン ロ ー ド セ ン タ ーにアク セス し ま す。 3. ページの上端付近にあ る [Search] リ ス ト で、 [All Downloads] が選択 さ れてい る こ と を確認 し ます。 4. [Search] リ ス ト の右側のテ キ ス ト フ ィ ール ド に、 JDBC Driver と 入力 し ます。 5. [Go] を ク リ ッ ク し ます。 有効な ド ラ イ バの一覧が表示 さ れます。 6. 実行 し てい る サービ ス パ ッ ク に応 じ て、[Microsoft SQL Server 2000 Driver for JDBC] リ ン ク の中か ら いずれか 1 つを ク リ ッ ク し ます。 注 : BIG-IP では、 Microsoft SQL Server 2005 をサポー ト し てい ません。 7. [Files in This Download] と い う セ ク シ ョ ン ま でページ を ス ク ロ ール し ます。 8. フ ァ イ ルリ ス ト で、mssqlserver.tar と いう フ ァ イ ルを 探し ま す。 9. 画面右側の [Download] を ク リ ッ ク し ます。 注 : Windows パ ッ ケージではな く 、UNIX .tar フ ァ イ ルを ダ ウ ン ロ ー ド し て く だ さ い。 正 し く ない場合は、 前の画面に戻 り ます。 10. 必要に応 じ て [Save] を ク リ ッ ク すれば、 フ ァ イ ルがデ ィ ス ク に保存 さ れ ます。 11. Linux デ ィ レ ク ト リ を作成 し て、 .tar フ ァ イ ルを そ こ に移動 し ます。 12. 以下の コ マ ン ド を使っ て フ ァ イ ルを展開 し ます。 tar xvf mssqlserver.tar 注 : こ の コ マ ン ド を実行す る と 、 EULA.txt、 install.ksh、 msjdbc.tar、 read.me の 4 つの フ ァ イ ルが展開 さ れます。 13. 展開 さ れた フ ァ イ ルを以下の手順で イ ン ス ト ール し ます。 a) コ マ ン ド ラ イ ン プ ロ ン プ ト で 「install.ksh」 と 入力 し ます。 b) 決め ら れた指示に従い ます。 こ れに よ っ て msjdbc.tar フ ァ イ ルが解凍 さ れ、 い く つかの サブデ ィ レ ク ト リ が作成 さ れます。 c) lib サブデ ィ レ ク ト リ を探 し ます。 こ のデ ィ レ ク ト リ には、 3 つの JAR フ ァ イ ルが含まれてい ます。 BIG-IP® Local Traffic Management 設定ガ イ ド B - 11 付録 B モニ タ についての追加留意事項 d) 3 つの JAR フ ァ イ ルを BIG-IP デ ィ レ ク ト リ /usr/bin/monitors/builtins/ に コ ピー し ます。 14. 先に作成 し た Linux デ ィ レ ク ト リ を再帰的に削除 し ます。 こ の手順はオプシ ョ ン です。 JAR フ ァ イ ルを イ ン ス ト ール し た後、 BIG-IP を再起動す る か、 ま た は次の コ マ ン ド を実行す る こ と をお勧め し ます。 /usr/bin/monitors/builtins/DB_monitor cmd quit シ ス テ ムが再起動 さ れ る こ と で、BIG-IP は次に MSSQL モニ タ を実行 し た と き に、 新 し く イ ン ス ト ール し た JAR フ ァ イ ルを認識 し ます。 B - 12 C OpenSSL ユーテ ィ リ テ ィ の使い方 • BIG-IP の OpenSSL について • ク ラ イ ア ン ト シ ス テム証明書の作成 • Web サイ ト 証明書の作成 • 証明書失効の使い方 • その他の証明書関連 タ ス ク の実行 BIG-IP の OpenSSL について SSL ト ラ フ ィ ッ ク の終端/開始にBIG-IP を使用 し てい る 場合、OpenSSL ユーテ ィ リ テ ィ を使っ て以下の こ と を行 う こ と がで き ます。 • ク ラ イ ア ン ト シ ス テ ム証明書の作成 • Web サ イ ト 証明書の作成 • 証明書失効 リ ス ト (CRL) の作成 • その他の証明書関連 タ ス ク の実行 (証明書の確認や PEM 形式への 変換な ど) ク ラ イ ア ン ト シス テム証明書の作成 ク ラ イ ア ン ト と BIG-IP 間で ク ラ イ ア ン ト 側の認証を行 う ために、 そ の ク ラ イ ア ン ト の証明書を作成す る こ と がで き ます。 ク ラ イ ア ン ト 証明書を作成するには 1. BIG-IP のプ ロ ン プ ト にア ク セ ス し ます。 2. ク ラ イ ア ン ト キーを作成 し ま す。 た と えば、 次の よ う にな り ます。 openssl genrsa -rand .rand -out auser1.key 1024 3. 上記で作成 し た キーを使っ て、 ク ラ イ ア ン ト 証明書要求を作 成 し ます。 た と えば、 次の よ う にな り ます。 openssl req -new -out auser1.req -key auser1.key 4. ク ラ イ ア ン ト 証明書 (LDAP CRL 分散ポ イ ン ト 有 / 無) を作成 し ます。 なお、 dirname ベース のア ド レ ス であ る 配布点が組み 込まれた証明書を作成す る には、 OpenSSL 0.9.8.x 以上のバー ジ ョ ン を使用す る 必要があ り ます(dirname はフ ァ イ ル名の末 尾部分を取 り 除 く ユーテ ィ リ テ ィ で あ り 、 結果、 その フ ァ イ ルが含ま れ る デ ィ レ ク ト リ のパ ス名が残 る こ と にな り ます)。 以下の例では、 auser1.crt と い う 証明書を作成 し てい ます。 • LDAP CRL 分散ポイ ン ト を 含むク ラ イ ア ン ト 証明書を 作成 する には、openssl x509 コ マン ド を 以下のよ う に使用し ま す。 openssl x509 -req -in auser1.req -out auser1.crt \ -CAkey bigmirror-ca.key -CA bigmirror-ca.crt \ -days 300 -CAcreateserial -CAserial serial \ -extensions crl_ext -extfile bigmirror-ca.ext • LDAP CRL 分散ポ イ ン ト を含ま ない ク ラ イ ア ン ト 証明書を 作成す る には、openssl x509 コ マ ン ド を以下の よ う に使用 し ます。 openssl x509 -req -in auser1.req -out auser1.crt \ -CAkey bigmirror-ca.key -CA bigmirror-ca.crt \ -days 300 -CAcreateserial -CAserial serial 5. 上記で作成 し た キー と 証明書ペア を使っ て、PKCS12 フ ァ イ ル を作成 し ます。 た と えば、 次の よ う にな り ます。 openssl pkcs12 -export -in auser1.crt -inkey \ auser1.key -out auser1.p12 -name "auser1 pkcs12" BIG-IP® Local Traffic Management 設定ガ イ ド C-1 付録 C OpenSSL ユーテ ィ リ テ ィ の使い方 Web サイ ト 証明書の作成 Web サ イ ト と BIG-IP 間でサーバ側の認証を行 う ために、その Web サ イ ト の証明書を作成す る こ と がで き ます。 Web サイ ト 証明書を作成するには 1. BIG-IP のプ ロ ン プ ト にア ク セ ス し ます。 2. キーを作成 し ます。 た と えば、 次の よ う にな り ます。 openssl genrsa -rand .rand -out www.test.net.key 1024 3. ス テ ッ プ 1 で作成 し た キーを使っ て、 証明書要求を作成す る 。 以下の よ う に作成す る こ と がで き ます。 openssl req -new -key www.test.net.key -out \ www.test.net.req 4. ス テ ッ プ 2 で作成 し た証明書要求を使っ て、 その Web サ イ ト の名前のついた証明書を作成 し ます。 • LDAP CRL 分散ポ イ ン ト を含む証明書を作成す る には、 openssl x509 コ マ ン ド を以下の よ う に使用 し ます。 openssl x509 -req -in www.test.net.req -out \ www.test.net.crt -CAkey bigmirror-ca.key -CA \ bigmirror-ca.crt -days 300 -CAcreateserial \ -CAserial serial -extensions crl_ext \ -extfile bigmirror-ca.ext • LDAP CRL 分散ポ イ ン ト を含ま ない証明書を作成す る に は、 openssl x509 コ マ ン ド を以下の よ う に使用 し ます。 openssl x509 -req -in www.test.net.req \ -out www.test.net.crt -CAkey bigmirror-ca.key -CA bigmirror-ca.crt -days 300 -CAcreateserial \ -CAserial serial C-2 証明書失効の使い方 [OpenSSL] ユーテ ィ リ テ ィ を使っ て、 CRL (証明書失効 リ ス ト ) を作 成す る こ と がで き ます。 BIG-IP は、 CRL をチ ェ ッ ク し て、 認証用に 提示 さ れた ク ラ イ ア ン ト ま たはサーバの証明書が失効 し てい る か ど う か を確認 し ます。 OpenSSL ユーティ リ ティ を 使っ て証明書を 失効さ せる こ と も 可能です。 証明書失効 リ ス ト を作成する には 1. BIG-IP シ ス テ ム プ ロ ン プ ト か ら 、 シ リ アル ま たは イ ンデ ッ ク ス オプシ ョ ン の設定フ ァ イ ルを作成 し ます。 た と えば、 次の よ う にな り ます。 echo -e \ 'default_ca=ca\n[ca]\ndatabase=index.txt\nserial=serial' > bigmirror-ca.config 2. BIG-IP シ ス テ ム プ ロ ン プ ト か ら 、 有効期限が 30 日の CRL を 作成 し ます。 た と えば、 次の よ う にな り ます。 openssl ca -config bigmirror-ca.config -gencrl -crldays \ 30 -keyfile bigmirror-ca.key -cert bigmirror-ca.crt \ -out bigmirror-ca.crl 証明書を無効にするには BIG-IP シ ス テ ム プ ロ ン プ ト か ら 、 openssl コ マ ン ド を使っ て、 ク ラ イ ア ン ト 証明書を無効に し ます。 た と えば、 以下の例では ク ラ イ ア ン ト 証明書 auser1.crt を無効に し てい ます。 openssl ca -config bigmirror-ca.config -keyfile \ bigmirror-ca.key -cert bigmirror-ca.crt -revoke auser1.crt 注 CRLDP 認証モジ ュ ールを使用す る 場合は、 CRL が リ モー ト の LDAP デー タ ベー ス に ASN.1 DER (Abstract Syntax Notation.1 Distinguished Encoding Rules) 形式で保存 さ れてい る 必要があ り ます。 BIG-IP® Local Traffic Management 設定ガ イ ド C-3 付録 C OpenSSL ユーテ ィ リ テ ィ の使い方 その他の証明書関連 タ ス クの実行 こ のほかに も 多数の SSL 証明書関連 タ ス ク を、 OpenSSL ユーテ ィ リ テ ィ を使っ て実行す る こ と がで き ます。同ユーテ ィ リ テ ィ には BIG-IP シ ス テ ム プ ロ ン プ ト か ら ア ク セ ス で き る よ う にな っ てい ます。 証明書を検証する には 証明書を検証す る には、 以下の コ マ ン ド を使用 し ます。 openssl verify -CAfile bigmirror-ca.crt www.test.net.crt CRL を確認するには CRL を確認す る には、 以下の コ マ ン ド を使用 し ます。 openssl crl -in bigmirror-ca.crl -text -noout 証明書情報を確認するには 証明書情報を確認す る には、 以下の コ マ ン ド を使用 し ます。 openssl x509 -in www.test.net.crt -text -noout 証明書を PEM 形式に変換するには 証明書を PKCS12 (P12 or.PFX) 形式か ら PEM 形式に変換す る には、 以下の コ マ ン ド を使用 し ます。 openssl pkcs12 -in auser1.p12 -out auser1.pem RSA キーにパスワー ド を追加する には RSA キ ーにパス ワ ード を 追加する には、以下のコ マン ド を 使用し ま す。 openssl rsa -in auser1.key -out auser1-enc.key -des3 \ -passout pass:secret RSA キーか らパスワー ド を削除するには RSA キーか ら パ ス ワ ー ド を削除す る には、 以下の コ マ ン ド を使用 し ます。 openssl rsa -in auser1-enc.key -out auser1.key \ -passin pass:secret C-4 用語集 用語集 ARP (Address Resolution Protocol : ア ド レ ス解決プ ロ ト コ ル) ARP は業界標準のプ ロ ト コ ルで、 ホ ス ト の MAC (Media Access Control) ア ド レ ス を その IP ア ド レ ス に基づいて判定 し ます。 bigtop bigtop ユーテ ィ リ テ ィ は、 統計的監視ユーテ ィ リ テ ィ で、 BIG-IP に 付属 し てい ます。 こ のユーテ ィ リ テ ィ に よ っ て、 リ アル タ イ ムの統計 情報が得 ら れ ます。 BIND (Berkely Internet Name Domain) BIND は、 DNS (Domain Name System) の 最 も 一 般 的 な 実 装 で す。 BIND に よ っ て、 BIG-IP は IP ア ド レ ス に一致す る ド メ イ ン名を取得 で き ます。 詳細については、 http://www.isc.org/products/BIND を参照 し て く だ さ い。 BPDU (bridge protocol data unit) BPDU は、 ス パニ ン グ ツ リ ープ ロ ト コ ルが レ イ ヤ 2 デバ イ ス間に送信 す る 特殊なパケ ッ ト で、 冗長パ ス を判定 し 、 ループ を解決 し ます。 「STP (Spanning Tree Protocol)」、 「RSTP (Rapid Spanning Tree Protocol) 」 、 「MSTP (Multiple Spanning Tree Protocol) 」 も 参照 し て く だ さ い。 BYE ト ラ ンザ ク シ ョ ン BYE ト ラ ンザ ク シ ョ ン と は、2 つのアプ リ ケーシ ョ ン間の接続を閉 じ る 準備が整 っ た時点で、 ア プ リ ケーシ ョ ン が も う 一方の ア プ リ ケー シ ョ ンに送信す る メ ッ セージです。 Call-ID Call-ID は、 アプ リ ケーシ ョ ン間でや り 取 り さ れ る 一連の メ ッ セージ を 1 つのグループに ま と め る グ ロ ーバル一意識別子です。 Certificate Revocation List Distribution Point (CRLDP) 「CRLDP (Certificate Revocation List Distribution Point) 」 を参照 し て く だ さ い。 Cipher Cipher は、 コ ン ピ ュ ー タ シ ス テ ム が使用す る 暗号化 / 復号化アルゴ リ ズ ム で、 SSL プ ロ ト コ ルを使用 し たデー タ 転送に使用 さ れ ます。 CMP ( ク ラ ス タ リ ン グマルチプ ロ セ ッ シ ン グ) CMP は、 内部パフ ォ ーマ ン ス を向上 さ せ る ための機能で、 特定のマ ルチプ ロ セ ッ サの BIG-IP で使用で き ます。 BIG-IP では、 CMP を使用 す る こ と に よ り 、アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク を同時に処理す る た めの TMM サービ ス の イ ン ス タ ン ス が複数作成 さ れ ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 用語集 - 1 用語集 Cookie パーシ ス テ ン ス Cookie パーシ ス テ ン ス は、 パーシ ス テ ン ス のモー ド の 1 つで、 BIG-IP がパーシ ス テ ン ス接続情報を Cookie に保存で き ます。 CRL (証明書失効 リ ス ト ) CRL は、 認証す る シ ス テ ム が、 要求側のシ ス テ ム が認証用に提示 し た SSL 証明書が無効にな っ ていないか確認す る ための リ ス ト です。 CRLDP (Certificate Revocation List Distribution Point) CRLDPは業界標準のプ ロ ト コ ルで、ネ ッ ト ワー ク 上のデバ イ ス の SSL 証明書失効を管理 し ます。 CRLDP 認証モジ ュ ール CRLDP 認証モジ ュ ールは、 ユーザ作成のモジ ュ ールで、 BIG-IP 上で 実装 し て CRLDP プ ロ ト コ ルを使用 し て ク ラ イ ア ン ト ト ラ フ ィ ッ ク を 認証 し ます。 ネ ッ ト ワー ク 上の ク ラ イ ア ン ト SSL 証明書の無効状態 の管理を目的 と し ます。 Dynamic Ratio ロ ー ド バ ラ ン シ ン グ方式 Dynamic Ratio モー ド は、 Ratio モー ド (「Ratio 方式」 を参照) と よ く 似てい ますが、比率の重み付けがサーバの連続的な監視に基づいてい る ため、 常に変化 し ます。 Dynamic Ratio ロ ー ド バ ラ ン シ ン グは、 RealNetworks® RealServer プ ラ ッ ト フ ォ ーム、 WMI (Windows Management Instrumentation)を搭載 し た Microsoft® Windows® プ ラ ッ ト フ ォ ーム、 お よ び UC Davis SNMP エージ ェ ン ト ま たは Windows 2000 Server SNMP エージ ェ ン ト を搭載 し たサーバで実装で き ます。 EAV (Extended Application Verification) EAV は、 ノ ー ド 上のアプ リ ケーシ ョ ン を リ モー ト で実行 し て、 アプ リ ケーシ ョ ン を検証す る ヘル ス チ ェ ッ ク です。 EAV ヘル ス チ ェ ッ ク は、 BIG-IP で使用で き る 3 つの タ イ プのヘル ス チ ェ ッ ク の 1 つです。 「ヘルス チ ェ ッ ク 」、 「ヘルス モニ タ 」、 「外部モニ タ 」 も 参照 し て く だ さ い。 ECV (Extended Content Verification) ECV は、 ノ ー ド が返す特定の コ ン テ ン ツ に基づ き 、 ノ ー ド が up か down か を 判定す る ヘル ス チ ェ ッ ク です。 ECV ヘル ス チ ェ ッ ク は、 BIG-IP で使用で き る 3 つの タ イ プのヘル ス チ ェ ッ ク の 1 つです。 「ヘ ルス チ ェ ッ ク 」 も 参照 し て く だ さ い。 Fastest 方式 Fastest モード はロ ード バラ ン シ ン グ 方式で、 現在ア ク テ ィ ブな すべ て のノ ード のう ち 最も 応答が速いも のに基づいて 新し い接続を 渡し ま す。 用語集 - 2 用語集 FDDI (Fiber Distributed Data Interface) FDDI はマルチモー ド プ ロ ト コ ルで、 光フ ァ イ バー上で最大 100Mbps の速度でデー タ を転送 し ます。 HTTP チ ャ ン ク HTTP チ ャ ン ク は、 チ ャ ン ク エ ン コ ー ド と し て知 ら れ る HTTP/1.1 の 機能で、 HTTP メ ッ セージ を複数の部分に分解で き ます。 チ ャ ン ク は 通常、 応答を送信す る 際にサーバで使用 さ れ ます。 HTTP 変換 BIG-IP が HTTP 変換を実行す る と 、 シ ス テ ムはサーバ側 HTTP リ ク エ ス ト の Connection ヘ ッ ダ を操作 し て、接続を開いた ま ま に し ます。 「接続パーシ ス テ ン ス 」 も 参照 し て く だ さ い。 HTTP リ ダ イ レ ク ト HTTP リ ダ イ レ ク ト は、ク ラ イ ア ン ト に 「HTTP 302 Object Found」 メ ッ セージ を 送信 し ま す。 プールに HTTP リ ダ イ レ ク ト を 設定す る と 、 プール メ ンバが down の場合に、 別の ノ ー ド ま たはバーチ ャ ルサーバ に ク ラ イ ア ン ト を送信で き ます。 ICMP (Internet Control Message Protocol) ICMP は、 宛先ア ド レ ス へのルー ト 情報の判定に使用 さ れ る 、 イ ン タ ーネ ッ ト 通信プ ロ ト コ ルです。 IPsec IPsec (Internet Security Protocol) は、 イ ン タ ーネ ッ ト のネ ッ ト ワ ー ク 層にセキ ュ リ テ ィ を提供す る 通信プ ロ ト コ ルで、こ のプ ロ ト コ ル上で 実行す る アプ リ ケーシ ョ ンに対す る 必要条件はあ り ません。 iRule iRule はユーザ作成の ス ク リ プ ト で、 BIG-IP を通過す る 接続の動作を 制御 し ます。iRules™ は F5 ネ ッ ト ワ ー ク ス の機能で、特定の接続をデ フ ォ ル ト 以外の ロ ー ド バ ラ ン シ ン グ プールにダ イ レ ク ト す る 場合に よ く 使用 さ れ ます。 ただ し iRule では、 安全なネ ッ ト ワー ク ア ド レ ス 変換の実装やセ ッ シ ョ ンパーシ ス テ ン ス の実現な ど、その他の タ ス ク も 実行で き ます。 i モー ド i モー ド ® は、NTT DoCoMo, Inc. が作成 し たサービ ス で、携帯電話ユー ザが イ ン タ ーネ ッ ト にア ク セ ス で き ます。 JAR フ ァ イ ル JAR フ ァ イ ルは、 JavaTM Archive (JAR) フ ァ イ ル形式の フ ァ イ ルで、 複数の フ ァ イ ルを 1 つのアーカ イ ブ フ ァ イ ルにバン ド ルで き ます。通 常、 JAR フ ァ イ ルには ク ラ ス フ ァ イ ル と 、 ア プ レ ッ ト お よ びアプ リ ケーシ ョ ンに関連す る 補助的な リ ソ ース が含まれてい ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 用語集 - 3 用語集 JDBC JDBC は、 JavaTM テク ノ ロ ジです。 様々な SQL データ ベース に対し て のデータ ベース 管理シ ス テム ( DBMS) 接続性と 、 ス プレ ッ ド シ ート やフ ラ ッ ト フ ァ イ ルなど その他の表形式のデータ ソ ース へのア ク セス を 提供する 、アプリ ケーショ ン プロ グラ ミ ン グ イ ン タ ーフ ェ イ ス です。 Kerberos プ ロ ト コ ル Kerberos プ ロ ト コ ルはネ ッ ト ワ ー ク 認証プ ロ ト コ ルで、 安全で ない ネ ッ ト ワー ク を介 し て通信を行 う 個人が、安全な方法でその身元を他 方に証明で き る よ う に し ます。 主に ク ラ イ ア ン ト - サーバモデルでの 使用を目的 と し ていて、 相互認証に よ り 、 ユーザ と サーバの両方がそ れぞれの身元を確認 し ます。 Kilobytes/Second モー ド Kilobytes/Second モー ド は、 現在処理 し てい る キ ロ バ イ ト 毎秒が最 も 少ないサーバに接続 を分配す る 、 ダ イ ナ ミ ッ ク ロ ー ド バ ラ ン シ ン グ モー ド です。 LACP (Link Aggregation Control Protocol) LACP は ト ラ ン ク 内の リ ン ク を集約す る 業界標準のプ ロ ト コ ルで、 帯 域幅を増加 さ せて リ ン ク フ ェ イ ルオーバーを提供 し ます。 LDAP (Lightweight Directory Access Protocol) LDAP は、電子 メ ールプ ロ グ ラ ム がサーバか ら 宛先情報を検索す る 際 に使用す る イ ン タ ーネ ッ ト プ ロ ト コ ルです。 LDAP ク ラ イ ア ン ト 証明書 SSL 認証モジ ュ ール LDAP ク ラ イ ア ン ト 証明書 SSL 認証モジ ュ ールは、 BIG-IP 上に実装 す る ユーザ作成のモジ ュ ールで、SSL ク ラ イ ア ン ト 資格情報 と リ モー ト LDAP サーバを使用 し て ク ラ イ ア ン ト ト ラ フ ィ ッ ク を認証 し ます。 LDAP 認証モジ ュ ール LDAP 認証モジ ュ ールは、BIG-IP 上に実装す る ユーザ作成のモジ ュ ー ルで、 リ モー ト LDAP サーバを使用 し て ク ラ イ ア ン ト ト ラ フ ィ ッ ク を認証 し ます。 Least Connections 方式 Least Connections モー ド は、 現在処理 し てい る オープン接続が最 も 少 ないサーバに接続を分配す る 、ダ イ ナ ミ ッ ク ロ ー ド バ ラ ン シ ン グ方式 です。 LACP (Link Aggregation Control Protocol) 「LACP (Link Aggregation Control Protocol)」 を参照 し て く だ さ い。 用語集 - 4 用語集 MAC (Media Acces Control) MAC は、 ワー ク ス テーシ ョ ン が転送 メ デ ィ アへのア ク セ ス権を取得 す る 方法を定義す る プ ロ ト コ ルで、 LAN への参照に一般的に使用 さ れてい ます。 IEEE LAN では、 MAC 層はデー タ リ ン ク 層プ ロ ト コ ル の下位サブ レ イ ヤです。 MAC ア ド レ ス MAC ア ド レ ス は、 Ethernet ネ ッ ト ワ ー ク 上のハー ド ウ ェ アデバ イ ス を識別す る のに使用 さ れ ます。 MCPD サービ ス MCPD (Master Control Program Daemon) サービ ス は、 BIG-IP の設定 デー タ を管理 し ます。 MSRDP パーシ ス テ ン ス MSRDP パーシ ス テ ン ス は、Microsoft® Remote Desktop Protocol (RDP) サービ ス を実行 し てい る ク ラ イ ア ン ト と サーバ間のセ ッ シ ョ ン を追 跡 し ます。 MSTP (Multiple Spanning Tree Protocol) MSTP は IEEE で規定 さ れた、 高度な ス パニ ン グ ツ リ ープ ロ ト コ ルで す。 STP や RSTP と は異な り 、 MSTP は VLAN を認識 し ます。 そのた め MSTP リ ージ ョ ン の概念が組み込ま れてい ます。 「STP (Spanning Tree Protocol」、 「RSTP (Rapid Spanning Tree Protocol) 」 も 参照 し て く だ さ い。 MSTP リ ージ ョ ン MSTP リ ージ ョ ン は、特定の設定項目に同 じ 値を持つレ イ ヤ 2 デバ イ ス のグループです。 デバ イ ス が リ ージ ョ ン を構成す る と 、 冗長パ ス の ブ ロ ッ ク ま たはア ン ブ ロ ッ ク の際に ス パニ ン グ ツ リ ーアルゴ リ ズ ム では VLAN を対象に含め ます。 NAT (Network Address Translation : ネ ッ ト ワ ー ク ア ド レ ス変換) NAT は、BIG-IP が管理す る 特定の ノ ー ド を特定す る 、外部ネ ッ ト ワー ク に対す る エ イ リ ア ス IP ア ド レ ス です。 NT LAN マネージ ャ NTLM (NT LAN マネージ ャ ) を ご覧 く だ さ い。 NTLM (NT LAN マネージ ャ ) NTLM は、 ユーザのパ ス ワ ー ド を ネ ッ ト ワー ク で送信す る こ と な く 、 暗号化 さ れた要求 / 応答プ ロ ト コ ルを使っ てユーザの認証を行 う 業界 標準テ ク ノ ロ ジです。 BIG-IP® Local Traffic Management 設定ガ イ ド 用語集 - 5 用語集 Observed 方式 Observed 方式は、現在処理 し てい る 接続が最 も 少ないサーバに接続を 分 配 す る 、 ダ イ ナ ミ ッ ク ロ ー ド バ ラ ン シ ン グ 方 式 で す。 Least Connections 方式 と 違い、 Observed 方式では接続数を継続的に追跡 し 、 ロ ー ド バ ラ ン シ ン グの比率を決定 し ます。 OCSP (Online Certificate Status Protocol) OCSP は、認証シ ス テ ムがデジ タ ル署名 さ れた SSL 証明書の無効状態 のチ ェ ッ ク に使用す る プ ロ ト コ ルです。 OCSP は、 CRL (証明書失効 リ ス ト ) の代替手段 と し て使用で き ます。 「CRL (証明書失効 リ ス ト )」 も 参照 し て く だ さ い。 OCSP 認証モジ ュ ール OCSP 認証モジ ュ ールは、BIG-IP 上に実装す る ユーザ作成のモジ ュ ー ルで、 リ モー ト OCSP レ ス ポ ン ダ を使用 し て ク ラ イ ア ン ト ト ラ フ ィ ッ ク を認証 し ます。 OCSP 認証モジ ュ ールの目的は、 ク ラ イ ア ン ト SSL 証明書の無効状態をチ ェ ッ ク す る こ と です。 OCSP レ ス ポ ン ダ OCSP レ ス ポ ン ダは、 BIG-IP な ど の認証サーバに SSL 証明書失効状 態を伝え る 場合に使用 さ れ る 、 外部サーバです。 OCSP レ ス ポ ン ダオブジ ェ ク ト レ ス ポ ン ダ オ ブ ジ ェ ク ト は、 BIG-IP 上のソ フ ト ウ ェ ア ア プ リ ケ ー シ ョ ン で、 OCSP レ ス ポン ダ と 通信し て 、 ク ラ イ ア ン ト ま た はサーバ SSL 証明書の失効状態を チェ ッ ク し ま す。 OneConnectTM OneConnect 機能は、 サーバ側接続を開いた状態に保ち再利用のため にプールす る こ と で、 ネ ッ ト ワ ー ク 接続の利用を最適化 し ます。 PAM (Pluggable Authentication Module) PAM モ ジ ュ ールは、 サーバ ア プ リ ケーシ ョ ン が ク ラ イ ア ン ト ト ラ フ ィ ッ ク の認証に使用す る ソ フ ト ウ ェ ア モ ジ ュ ールです。 PAM モ ジ ュ ールはモジ ュ ラ ー設計 さ れてい る ため、サーバアプ リ ケーシ ョ ン への認証 メ カ ニズ ム の追加、 置換、 削除を、 アプ リ ケーシ ョ ン に与え る 影響を最小限に し て実行で き ま す。 PAM モ ジ ュ ールの例 と し て、 リ モー ト LDAP (Lightweight Directory Access Protocol) サーバを使用 し て ク ラ イ ア ン ト ト ラ フ ィ ッ ク を認証す る ア プ リ ケーシ ョ ン が あ り ます。 「LDAP (Lightweight Directory Access Protocol) 」 も 参照 し て く だ さ い。 QoS (Quality of Service) レベル Quality of Service (QoS) レ ベルは、 ネ ッ ト ワ ー ク 機器が識別子に基 づいて ト ラ フ ィ ッ ク を個別に特定 し て処理す る ための手段です。基本 的に、 パケ ッ ト で指定 さ れた QoS レベルに よ っ て、 そのパケ ッ ト の ス ループ ッ ト ポ リ シーが実施 さ れます。 用語集 - 6 用語集 RADIUS (Remote Authentication Dial-in Service) RADIUSは、リ モート ユーザ認証と ア カ ウ ン テ ィ ン グ を 実行する サー バで す。 主にイ ン タ ーネ ッ ト サ ービ ス プ ロ バイ ダ が 利用し ま すが、 ワ ーク ス テ ーシ ョ ン で一元化し た 認証およ び (ま たは) ア カ ウ ン テ ィ ン グ サービ ス を 必要と する あ ら ゆる ネ ッ ト ワ ーク で使用する こ と も でき ま す。 RADIUS 認証モジ ュ ール RADIUS 認証モジ ュ ールは、 ユーザ作成のモジ ュ ールで、 BIG-IP 上 に実装 し 、 リ モー ト RADIUS サーバ を 使用 し て ク ラ イ ア ン ト ト ラ フ ィ ッ ク を認証 し ます。 RAM キ ャ ッ シ ュ RAM キ ャ ッ シ ュ は、 BIG-IP の RAM に保存 さ れ る HTTP オブジ ェ ク ト のキ ャ ッ シ ュ で、 以降の接続で再利用 さ れ、 バ ッ ク エ ン ド サーバの 負荷を低減で き ます。 ratio ロ ー ド バ ラ ン シ ン グ用にバーチ ャ ルサーバに重み を割 り 当て る パ ラ メ ー タ です。 Ratio 方式 Ratio ロ ー ド バ ラ ン シ ン グ方式は、 各バーチ ャ ルサーバに割 り 当て ら れた重み付けに比例 し て、バーチ ャ ルサーバのア レ イ に接続を分散 さ せます。 Real Time Streaming Protocol (RTSP) 「RTSP (Real Time Streaming Protocol)」 を参照 し て く だ さ い。 RFC 1918 ア ド レ ス RFC 1918 ア ド レ ス は、 IETF RFC 1918 で規定 さ れた、 プ ラ イ ベー ト ク ラ ス の範囲にあ る IP ア ド レ ス の こ と です。 Round Robin モー ド Round Robin モー ド は、 指定 さ れたサーバの順序で接続を分散す る ス タ テ ィ ッ ク ロ ー ド バ ラ ン シ ン グモー ド です。Round Robin モー ド では、 順序内で次に使用で き る サーバに接続要求を送信 し ます。 RSTP (Rapid Spanning Tree Protocol) RSTP は IEEE で規定 さ れた、 STP (スパニ ン グ ツ リ ープ ロ ト コ ル) の 拡張バージ ョ ン です。 RSTP は、 STP よ り も 高速な ス パニ ン グ ツ リ ー パフ ォ ーマ ン ス を実現 し ます。 「STP (Spanning Tree Protocol) 」 お よ び 「MSTP (Multiple Spanning Tree Protocol)」 も 参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 用語集 - 7 用語集 RTSP (Real Time Streaming Protocol) RTSP は、 オーデ ィ オやビデオの よ う な連続的 メ デ ィ アの複数の同期 ス ト リ ーム を確立、 制御 し ます。 SCTP (Stream Control Transmission Protocol) SCTP は、 シ グナ リ ン グデー タ を転送す る メ ッ セージ指向型のアプ リ ケーシ ョ ン用に設計 さ れた、 汎用の業界標準転送プ ロ ト コ ルです。 Secure Via ヘ ッ ダ Secure Via ヘ ッ ダは、 BIG-IP に よ り SIP メ ッ セージヘ ッ ダに挿入 さ れ る デー タ であ り 、 SIP メ ッ セージの送信元を示 し ます。 「Via ヘ ッ ダ 」 と 「ヘ ッ ダ 」 も 参照 し て く だ さ い。 Session Initiation Protocol (SIP) 「SIP (Session Initiation Protocol)」 を ご覧 く だ さ い。 SIP (Session Initiation Protocol) SIP は、 複数の参加者で構成 さ れ る セ ッ シ ョ ン を管理す る アプ リ ケー シ ョ ン レ イ ヤプ ロ ト コ ルであ る ため、 リ アル タ イ ム の メ ッ セージ、 音 声、 デー タ 、 お よ び映像が有効化 さ れ ます。 SIP パーシ ス テ ン ス SIP パーシ ス テ ン ス は、 UDP 経由で SIP (Session Initiation Protocol) メ ッ セージ を受信す る サーバが使用す る パーシ ス テ ン ス です。 SIP は リ アル タ イ ム の メ ッ セージ、 音声、 デー タ 、 お よ び映像を有効にす る プ ロ ト コ ルです。 SNAT (セキ ュ アネ ッ ト ワ ー ク ア ド レ ス変換) SNAT は、 BIG-IP で設定で き る 機能です。 SNAT は、 外部ネ ッ ト ワ ー ク 上のホ ス ト に接続す る 場合に、 1 つ以上の ノ ー ド が送信元 IP ア ド レ ス と し て使用で き る 、 転送可能なエ イ リ ア ス IP ア ド レ ス を定義 し ます。「標準 SNAT」 と 「 イ ン テ リ ジ ェ ン ト SNAT」 も 参照 し て く だ さ い。 SNAT プール SNAT プールは、1 つ以上の元の IP ア ド レ ス にマ ッ ピ ン グで き る 変換 ア ド レ ス のプールです。 SNAT プールの変換ア ド レ ス は、 セルフ IP ア ド レ ス ではあ り ません。 SNMP (Simple Network Management Protocol) SNMP は イ ン タ ーネ ッ ト 標準のプ ロ ト コ ルで、 STD15 RFC 1157 で定 義 さ れ、 IP ネ ッ ト ワー ク 上の ノ ー ド 管理のために開発 さ れま し た。 SSH SSH はセキ ュ ア リ モー ト ロ グ イ ン と 、非セキ ュ アネ ッ ト ワー ク 上の他 のセキ ュ アネ ッ ト ワー ク サービ ス用のプ ロ ト コ ルです。 用語集 - 8 用語集 SSL (Secure Sockets Layer) SSL はネ ッ ト ワ ー ク 通信プ ロ ト コ ルで、デー タ を安全に転送す る 方法 と し て公開鍵テ ク ノ ロ ジ を使用 し てい ます。 SSL パーシ ス テ ン ス SSL パーシ ス テ ン ス は、 SSL セ ッ シ ョ ン ID を使用 し て、 終了 し てい ない SSL セ ッ シ ョ ン を追跡す る タ イ プのパーシ ス テ ン ス です。 SSL プ ロ フ ァ イ ル SSL プ ロ フ ァ イ ルは設定ツールで、 ク ラ イ ア ン ト お よ びサーバか ら SSL 接続を終了お よ び開始す る と き に使用 し ます。 STP (Spanning Tree Protocol) STP は IEEE で定義 さ れたプ ロ ト コ ルで、 1 つ以上の外部ス イ ッ チが BIG-IP に並列に接続 さ れてい る 場合に、 設定でのループ を解決 し ま す。「RSTP (Rapid Spanning Tree Protocol)」 と 「MSTP (Multiple Spanning Tree Protocol)」 も 参照 し て く だ さ い。 Stream Control Transmission Protocol (SCTP) 「SCTP (Stream Control Transmission Protocol)」 を ご覧 く だ さ い。 TACACS (Terminal Access Controller Access Control System) TACACS は UNIX シ ス テ ムに よ く 使用 さ れ る 、 古い タ イ プの認証プ ロ ト コ ルです。 TACACS では、 リ モー ト ア ク セ ス サーバはユーザの ロ グ イ ンパ ス ワ ー ド を認証サーバに転送で き ます。 TACACS+ TACACS+ は、 それ以前の TACACS プ ロ ト コ ルを置 き 換え る ために 設計 さ れた認証 メ カ ニ ズ ム です。こ の 2 つのプ ロ ト コ ルに類似点はほ と ん ど な く 、 し たが っ て互換性はあ り ません。 TACACS+ 認証モジ ュ ール TACACS+ 認証モジ ュ ールは、 ユーザ作成のモジ ュ ールで、 BIG-IP 上 に実装 し 、 リ モー ト TACACS+ サーバを使用 し て ク ラ イ ア ン ト ト ラ フ ィ ッ ク を認証 し ます。 Tcl Tcl (Tools Command Language) は、 業界標準の ス ク リ プ テ ィ ン グ言 語です。 BIG-IP では、 ユーザは Tcl を使用 し て iRules を記述 し ます。 TMM (Traffic Management Microkernel) サービ ス TMM サービ ス は、BIG-IP で実行 さ れ る プ ロ セ ス で、製品の ト ラ フ ィ ッ ク 管理の大半を実行 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 用語集 - 9 用語集 TMM ス イ ッ チ イ ン タ ーフ ェ イ ス TMM ス イ ッ チ イ ン タ ーフ ェ イ ス は、BIG-IP が HTTPやSSL ト ラ フ ィ ッ ク の よ う な ユーザア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク の転送に使用す る イ ン タ ーフ ェ イ ス です。 こ のため、 アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク の ロ ー ド バ ラ ン シ ン グ を実行す る 場合、 BIG-IP は TMM ス イ ッ チ イ ン タ ーフ ェ イ ス を使用 し ます。 「管理 イ ン タ ーフ ェ イ ス 」 も 参照 し て く だ さ い。 TMM ス イ ッ チルー ト TMM (Traffic Management Microkernel) ス イ ッ チルー ト は、 TMM ス イ ッ チ イ ン タ ー フ ェ イ ス を経由 し て ト ラ フ ィ ッ ク を転送す る ルー ト です。 管理 イ ン タ ーフ ェ イ ス は経由 し ません。 ToS (Type of Service) レベル ToS レベルは、 QoS (Quality of Service) に加え て、 ネ ッ ト ワ ー ク 機器 が識別子に基づいて ト ラ フ ィ ッ ク を個別に特定 し て処理す る ための 手段です。 UIE (Universal Inspection Engine) UIE は、ユニバーサルパーシ ス テ ン ス と ユニバーサル コ ン テ ン ツ の切 り 替え を提供す る 機能で、 ロ ー ド バ ラ ン シ ン グ能力を向上 さ せます。 UIE には、 式を構成す る ためのルール変数 と 関数があ り 、 こ れはプー ル定義 と ルールで指定で き ます。 Via ヘ ッ ダ Via ヘ ッ ダは、 BIG-IP に よ り SIP メ ッ セージに挿入 さ れ る デー タ であ り 、SIP メ ッ セージの送信元を示 し ます。「Secure Via ヘ ッ ダ 」 と 「ヘ ッ ダ 」 も 参照 し て く だ さ い。 VLAN (仮想 ロ ーカルエ リ アネ ッ ト ワ ー ク ) VLAN は、 ネ ッ ト ワー ク デバ イ ス に接続 さ れた イ ン タ ーフ ェ イ ス を、 論理的にグループ化 し た も のです。 VLAN を使用 し て、 別のネ ッ ト ワ ー ク セ グ メ ン ト にあ る デバ イ ス を、 論理的にグループ化で き ます。 VLAN 内のデバ イ ス は、 レ イ ヤ 2 ネ ッ ト ワーキ ン グ を使用 し て通信 し 、 ブ ロ ー ド キ ャ ス ト ド メ イ ン を定義 し ます。 VLAN グループ VLAN グループは、 2 つ以上の VLAN を 1 つの VLAN グループに ま と めた も のです。 VLAN グループの主な使用方法は、 送信元 と 宛先ホ ス ト の両方が同 じ ネ ッ ト ワー ク 上にあ る 場合、 ト ラ フ ィ ッ ク を正常に 転送す る こ と です。 VLAN タ グ VLAN タ グは IEEE 標準で、 フ レームのヘ ッ ダに挿入 さ れた識別番号 で、 宛先デバ イ ス が属す る VLAN を示 し ます。 VLAN タ グは、 1 つの イ ン タ ーフ ェ イ ス が複数の VLAN に ト ラ フ ィ ッ ク を転送す る 場合に 使用 さ れ ます。 用語集 - 10 用語集 VLAN 名 VLAN 名は、 VLAN を識別す る ために使用す る シ ン ボル名です。 た と えば、marketing ま たは development と い う 名の VLAN を設定で き ま す。「VLAN (仮想 ロ ーカルエ リ アネ ッ ト ワー ク )」 も 参照 し て く だ さ い。 WAP (Wireless Application Protocol) WAP は、 メ ーカー、 ベン ダー、 お よ びテ ク ノ ロ ジに依存せずに、 イ ン タ ーネ ッ ト ア ク セ ス や高度な テ レ フ ォ ニーサー ビ ス を実現す る よ う に設計 さ れた、ワ イ ヤ レ スデバ イ ス のためのアプ リ ケーシ ョ ン環境お よ び一連の通信プ ロ ト コ ルです。 WKS (well-known service) WKS は、 ポー ト 0 か ら ポー ト 1023 上のプ ロ ト コ ルで、 特定の タ イ プ のデー タ に広 く 使用 さ れてい ま す。 WKS (お よ びその対応す る ポー ト ) の例 と し ては、 HTTP (ポー ト 80)、 HTTPS (ポー ト 443)、 FTP (ポー ト 20) があ り ます。 アーカ イ ブ アーカ イ ブは、 BIG-IP 設定デー タ のバ ッ ク ア ッ プ コ ピーです。 こ の アーカ イ ブは、 ユーザ設定セ ッ ト (UCS) 形式です。 「 ユーザ設定セ ッ ト (UCS)」 も 参照 し て く だ さ い。 ア ク テ ィ ブモニ タ リ ン グ ア ク テ ィ ブモニ タ リ ン グ は、プール メ ンバや ノ ー ド の状態を一定間隔 で継続的にチ ェ ッ ク し ます。 「パ ッ シブモニ タ リ ン グ 」 と 「 シ ン プル モニ タ リ ン グ 」 も あわせて参照 し て く だ さ い。 ア ク テ ィ ブユニ ッ ト ア ク テ ィ ブユニ ッ ト と は、冗長シ ス テ ム で現在接続の ロ ー ド バ ラ ン ス を実行 し てい る シ ス テ ム です。冗長シ ス テ ム のア ク テ ィ ブユニ ッ ト に 障害が起 き た場合に、 ス タ ンバ イ ユニ ッ ト に制御が渡 り 、 接続の ロ ー ド バ ラ ン ス を実行 し ます。 「冗長シ ス テ ム 」 も 参照 し て く だ さ い。 宛先ア ド レ ス のア フ ィ ニテ ィ パーシ ス テ ン ス ス テ ィ ッ キーパーシ ス テ ン ス と も 呼ばれ ます。宛先ア ド レ ス ア フ ィ ニ テ ィ パーシ ス テ ン ス は、 TCP お よ び UDP プ ロ ト コ ルをサポー ト し 、 セ ッ シ ョ ン要求 を パ ケ ッ ト の宛先 IP ア ド レ ス のみに基づい て同 じ サーバにダ イ レ ク ト し ます。 アプ リ ケーシ ョ ン セキ ュ リ テ ィ ク ラ ス アプ リ ケーシ ョ ン セキ ュ リ テ ィ ク ラ ス は HTTP Class プ ロ フ ァ イ ルで あ り 、 Application Security Manager で設定す る よ う にな っ てい ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 用語集 - 11 用語集 アプ リ ケーシ ョ ン テ ン プ レー ト ア プ リ ケーシ ョ ン テ ン プ レ ー ト は BIG-IP 設定ユーテ ィ リ テ ィ 内の ツールであ り 、アプ リ ケーシ ョ ン固有の ト ラ フ ィ ッ ク を処理す る ため のシ ス テ ム の設定を容易に し ます。アプ リ ケーシ ョ ン テ ン プ レー ト に は Microsoft® SharePoint 用テ ン プ レー ト な ど があ り ます。 イ ン タ ーフ ェ イ ス BIG-IP の物理ポー ト は、 イ ン タ ーフ ェ イ ス と 呼ばれ ます。 イ ン テ リ ジ ェ ン ト SNAT イ ン テ リ ジ ェ ン ト SNAT は、 SNAT プールを作成 し 、 こ の SNAT プー ルを参照す る iRule を作成す る こ と に よ っ て実装 さ れ る SNAT です。 「SNAT」 も 参照 し て く だ さ い。 ウ ォ ッ チ ド ッ グ タ イ マーカー ド ウ ォ ッ チ ド ッ グ タ イ マーカー ド は、 BIG-IP のハー ド ウ ェ ア障害を監 視す る 、 ハー ド ウ ェ アデバ イ ス です。 親プ ロ フ ァ イ ル 親プ ロ フ ァ イ ルは、その値を他のプ ロ フ ァ イ ルに伝播で き る プ ロ フ ァ イ ルです。 親プ ロ フ ァ イ ルは、 デフ ォ ル ト プ ロ フ ァ イ ル ま たはカ ス タ ム プ ロ フ ァ イ ルの ど ち ら で も 可能です。 「 プ ロ フ ァ イ ル」 も 参照 し て く だ さ い。 外部 VLAN 外部 VLAN は、 BIG-IP のデフ ォ ル ト VLAN です。 基本設定では、 こ の VLAN の管理ポー ト は ロ ッ ク さ れてい ます。 通常の設定では、 こ れは外部 ク ラ イ ア ン ト が内部サーバへの接続を要求す る VLAN にな り ます。 外部認証 外部認証は、 リ モー ト サーバを使用 し て BIG-IP へア ク セ ス を試み る ユーザ ま たはア プ リ ケーシ ョ ン の認証を目的 と す る デー タ を 保存す る プ ロ セ ス です。 外部モニ タ 外部モニ タ は、 ユーザが提供す る ヘル ス モニ タ です 「ヘル ス チ ェ ッ ク 」、 「ヘルス モニ タ 」 も 参照 し て く だ さ い。 カ ス タ ムプ ロ フ ァ イ ル カ ス タ ム プ ロ フ ァ イ ルは、 ユーザが作成す る プ ロ フ ァ イ ルです。 カ ス タ ム プ ロ フ ァ イ ルは、指定 し た親プ ロ フ ァ イ ルのデフ ォ ル ト 設定を継 承で き ます。 「親プ ロ フ ァ イ ル」 と 「プ ロ フ ァ イ ル」 も 参照 し て く だ さ い。 用語集 - 12 用語集 仮想ア ド レ ス 仮想ア ド レ ス は、 BIG-IP で管理 さ れ る 1 つ以上のバーチ ャ ルサーバ に関連付け ら れた IP ア ド レ ス です。 「バーチ ャ ルサーバ」 も 参照 し て く だ さ い。 バーチ ャ ルサーバ バーチ ャ ルサーバは、 BIG-IP や他のホ ス ト サーバに よ っ て管理 さ れ てい る コ ン テ ン ツ サ イ ト に関連付け ら れた仮想ア ド レ ス と 仮想ポー ト の特定の組み合わせを指 し ます。 仮想ポー ト 仮想ポー ト は、 BIG-IP で管理 さ れ る 1 つ以上のバーチ ャ ルサーバに 関連付け ら れた ポー ト 番号 ま たはサー ビ ス 名です。 仮想ポー ト 番号 は、 ク ラ イ ア ン ト プ ロ グ ラ ムが接続す る 先の TCP ま たは UDP ポー ト 番号 と 同 じ であ る 必要があ り ます。 管理 イ ン タ ーフ ェ イ ス 管理 イ ン タ ーフ ェ イ ス は、BIG-IP の特殊なポー ト で、管理 ト ラ フ ィ ッ ク の管理に使用 さ れ ます。 MGMT と 呼ばれ、 管理 イ ン タ ーフ ェ イ ス は、ロ ー ド バ ラ ン シ ン グ さ れ る ト ラ フ ィ ッ ク な ど のユーザアプ リ ケー シ ョ ン ト ラ フ ィ ッ ク は転送 し ません。「TMM ス イ ッ チ イ ン タ ーフ ェ イ ス 」 も 参照 し て く だ さ い。 管理ルー ト 管理ルー ト は、 特殊な管理 (MGMT) イ ン タ ーフ ェ イ ス を経由 し て ト ラ フ ィ ッ ク を転送す る ルー ト です。 ク ラ イ ア ン ト 側 SSL プ ロ フ ァ イ ル ク ラ イ ア ン ト 側 SSL プ ロ フ ァ イ ルは、 ク ラ イ ア ン ト シ ス テ ム か ら BIG-IP に流れ る SSL ト ラ フ ィ ッ ク の動作を制御す る SSL プ ロ フ ァ イ ルです。 ク ラ ス タ リ ン グマルチプ ロ セ ッ シ ン グ (CMP) 「 CMP ( ク ラ ス タ リ ン グマルチプ ロ セ ッ シ ン グ)」を 参照し てく ださ い。 ク ロ ーン プール こ の機能は、 プールが受信す る すべての ト ラ フ ィ ッ ク を複製 し 、 その ト ラ フ ィ ッ ク を複製プールに送信 し ます。 ゲー ト ウ ェ イ プール ゲート ウ ェ イ プールはルータ のプールで、 ト ラ フ ィ ッ ク を 転送する た めに作成し ま す。 ゲート ウ ェ イ プールを 作成し たら 、 TMM ルーティ ン グテーブルエン ト リ 内でプールを ゲート ウ ェ イ と し て指定でき ま す。 BIG-IP® Local Traffic Management 設定ガ イ ド 用語集 - 13 用語集 構成オブジ ェ ク ト 構成オブジ ェ ク ト はユーザが作成 し たオブジ ェ ク ト で、 BIG-IP は こ れを使用 し て PAM 認証モ ジ ュ ール を実装 し ま す。 作成す る 認証モ ジ ュ ールの各 タ イ プに対 し て、それぞれ 1 つの タ イ プの構成オブジ ェ ク ト があ り ます。 「PAM (Pluggable Authentication Module)」 も 参照 し て く だ さ い。 コ ン テ ン ツ の切 り 替え コ ン テ ン ツ の切 り 替えに よ っ て、パケ ッ ト に含ま れ る デー タ に基づい てプールを選択で き ます。 サーバ側 SSL プ ロ フ ァ イ ル サーバ側 SSL プ ロ フ ァ イ ルは、 BIG-IP と 宛先サーバシ ス テ ム間を流 れ る SSL ト ラ フ ィ ッ ク を制御す る SSL プ ロ フ ァ イ ルです。 サービ ス TCP、 UDP、 HTTP、 FTP な ど のサービ ス の こ と です。 サービ ス プ ロ フ ァ イ ル サービ ス プ ロ フ ァ イ ルは、HTTP ま たは FTP ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を管理す る 、 BIG-IP のシ ス テ ム設定ツールです。 最小ア ク テ ィ ブ メ ンバ 最小ア ク テ ィ ブ メ ンバは、 プ ラ イ オ リ テ ィ グループ内で、 BIG-IP が そのグループに要求を送信す る ためにア ク テ ィ ブにす る 必要があ る 、 メ ンバの数です。 ア ク テ ィ ブ メ ンバの数が こ の数 よ り 少ない と 、 要求 は次にプ ラ イ オ リ テ ィ の高いグループ (次にプ ラ イ オ リ テ ィ 番号が小 さ いグループ) に送信 さ れます。 最適化プ ロ フ ァ イ ル 最適化プ ロ フ ァ イ ルは、 シ ス テ ム の イ ン ス ト ール時に BIG-IP で作成 さ れ る カ ス タ ム プ ロ フ ァ イ ルです。最適化プ ロ フ ァ イ ルを使用す る こ と で、HTTP お よ び TCP の 2 種類の ト ラ フ ィ ッ ク を も っ と も 効率的に 処理す る こ と がで き ます。 サブ ド メ イ ン サブ ド メ イ ンは、 よ り 高い レベルの ド メ イ ン のサブセ ク シ ョ ン です。 た と えば、 .com は高レベル ド メ イ ン で、 F5.com は .com ド メ イ ンの サブ ド メ イ ン です。 参照 リ ン ク 参照 リ ン ク は、 ト ラ ン ク 内で番号が一番小 さ い イ ン タ ーフ ェ イ ス で、 リ ン ク ア グ リ ゲーシ ョ ン に使用 さ れ ます。 用語集 - 14 用語集 冗長シ ス テ ム 冗長シ ス テ ムは、フ ェ イ ルオーバー用に設定 さ れた 2 台のユニ ッ ト で す。 冗長シ ス テ ム では 2 つのユニ ッ ト があ り 、 1 つはア ク テ ィ ブユ ニ ッ ト と し て実行 さ れ、も う 1 つは ス タ ンバ イ ユニ ッ ト と し て実行 さ れ ます。 ア ク テ ィ ブユニ ッ ト に障害が発生す る と 、 ス タ ンバ イ ユニ ッ ト が処理を引 き 継いで接続要求を管理 し ます。 承認 承認は、ロ グオ ン し たユーザに付与す る シ ス テ ム リ ソ ースへのア ク セ ス権限の レベルを特定す る プ ロ セ ス です。 証明書 証明書は、 信頼で き る 認証局が署名 し 、 SSL ネ ッ ト ワー ク ト ラ フ ィ ッ ク に認証手段 と し て使用 さ れ る 、 オ ン ラ イ ン認証情報です。 証明書失効 リ ス ト (CRL) 「CRL (証明書失効 リ ス ト )」 を参照 し て く だ さ い。 証明書の検証 証明書の検証は、 SSL ハン ド シ ェ イ ク の一部で、 ク ラ イ ア ン ト の SSL 資格情報が信頼 さ れた認証局に よ っ て署名 さ れてい る こ と を検証 し ます。 シ ン プルパーシ ス テ ン ス 「送信元ア ド レ ス のア フ ィ ニテ ィ パーシ ス テ ン ス 」 を参照 し て く だ さ い。 シ ン プルモニ タ リ ン グ シ ン プルモニ タ リ ン グは、 ノ ー ド の状態が up であ る か down であ る か を判断 し ます。シ ン プルモニ タ ではプール メ ンバを監視す る こ と は な く (つま り 、 ノ ー ド 上の個々のプ ロ ト コ ル、 サービ ス、 アプ リ ケー シ ョ ンは監視の対象外)、 ノ ー ド 自体の監視のみが行われ ます。 「 ア ク テ ィ ブモニ タ リ ン グ 」 と 「パ ッ シブモニ タ リ ン グ 」 も あわせて参照 し て く だ さ い。 信頼で き る CA フ ァ イ ル 信頼で き る CA フ ァ イ ルは、認証の ク ラ イ ア ン ト リ ク エ ス ト を処理す る 際に、認証シ ス テ ムが信頼で き る 認証局の リ ス ト を含むフ ァ イ ルで す。 信頼で き る CA フ ァ イ ルは、 認証シ ス テ ム上に存在 し 、 SSL ネ ッ ト ワー ク ト ラ フ ィ ッ ク の認証に使用 さ れ ます。 ス タ テ ィ ッ ク セルフ IP ア ド レ ス ス タ テ ィ ッ ク セルフ IP ア ド レ ス は、 冗長シ ス テ ムの 2 つのユニ ッ ト 間で共有 さ れない、 セルフ IP ア ド レ ス です。 BIG-IP® Local Traffic Management 設定ガ イ ド 用語集 - 15 用語集 ス タ テ ィ ッ ク ルー ト ス タ テ ィ ッ ク ルー ト は、レ イ ヤ 3 デバ イ ス のルーテ ィ ン グ テーブルで 明示的に設定す る 必要があ る ルー ト です。 「 ダ イ ナ ミ ッ ク ルー ト 」 も 参照 し て く だ さ い。 ス タ ンバ イ ユニ ッ ト 冗長シ ス テ ム の ス タ ンバ イ ユニ ッ ト は、ア ク テ ィ ブユニ ッ ト で障害が 発生 し た と き にいつで も ア ク テ ィ ブユ ニ ッ ト に交代で き る ユ ニ ッ ト です。 ス テー ト ミ ラ ー リ ン グ ス テー ト ミ ラ ー リ ン グは、接続 と パーシ ス テ ン ス情報を冗長シ ス テ ム に保持す る 、 BIG-IP の機能です。 ス パニ ン グ ツ リ ー ス パニ ン グ ツ リ ーは、ネ ッ ト ワー ク 上の レ イ ヤ 2 デバ イ ス の論理的ツ リ ー構造で、ス パニ ン グ ツ リ ープ ロ ト コ ルアルゴ リ ズ ム に よ っ て作成 さ れ、 ネ ッ ト ワー ク ループの解決に使用 さ れ ます。 ス パニ ン グ ツ リ ー イ ン ス タ ン ス ス パニ ン グ ツ リ ー イ ン ス タ ン ス は、ス パニ ン グ ツ リ ープ ロ ト コ ルが作 成す る 、指定 さ れた特定の ス パニ ン グ ツ リ ーです。「 ス パニ ン グ ツ リ ー プ ロ ト コ ル」 も 参照 し て く だ さ い。 ス パニ ン グ ツ リ ープ ロ ト コ ル ス パニ ン グ ツ リ ープ ロ ト コ ルは、 IEEE 指定の、 STP (Spanning Tree Protocol)、 RSTP (Rapid Spanning Tree Protocol)、 MSTP (Multiple Spanning Tree Protocol) と し て知 ら れ る プ ロ ト コ ルの集合です。BIG-IP では、 こ れ ら すべてのプ ロ ト コ ルを サポー ト し てい ます。 「STP (Spanning Tree Protocol) 」 、 「RSTP (Rapid Spanning Tree Protocol) 」 、 「MSTP (Multiple Spanning Tree Protocol)」 も 参照 し て く だ さ い。 セキ ュ アネ ッ ト ワ ー ク ア ド レ ス変換 (SNAT) 「SNAT (セキ ュ アネ ッ ト ワー ク ア ド レ ス変換)」 を参照 し て く だ さ い。 セ ッ シ ョ ンパーシ ス テ ン ス 同じ ク ラ イ ア ン ト か ら 受信し た 一連の 関連する 接続で、 同じ セ ッ シ ョ ン ID を 持っ て いま す。 パーシ ス テ ン ス を 有効にする と 、 BIG-IP は同じ セッ シ ョ ン ID を 持つすべて の接続を 同じ ノ ード に送信し ま す。 接続にロ ード バラ ン シ ン グ は実行さ れま せん セッ シ ョ ン パーシ ス テ ン ス と 接続パーシ ス テ ン ス は、 別のも のです。 接続パーシ ス テ ン ス 接続パーシ ス テ ン ス は、ハン ド シ ェ イ ク を省 く ためにネ ッ ト ワ ー ク 接 続を意図的に開いた ま ま にす る 、 最適化テ ク ニ ッ ク です。 「HTTP 変 換」 と 「OneConnect™」 も 参照 し て く だ さ い。 用語集 - 16 用語集 コ ネ ク シ ョ ンプー リ ン グ コ ネ ク シ ョ ンプー リ ン グは、サーバ側接続を他の ク ラ イ ア ン ト リ ク エ ス ト で再利用で き る よ う にプール し てお く 、 最適化機能です。 コ ネ ク シ ョ ンプー リ ン グに よ っ て、サーバ側の ク ラ イ ア ン ト リ ク エ ス ト に対 し て開いてお く 必要のあ る 新 し い接続の数を減 ら す こ と がで き ます。 設定済みモニ タ 設定済みモニ タ は、 BIG-IP が提供す る ヘル ス モニ タ ま たはパ フ ォ ー マ ン ス モニ タ です 設定済みモニ タ はその ま ま 使用で き ま すが、 変更 し た り 削除 し た り す る こ と はで き ません。 「 モニ タ 」 も 参照 し て く だ さ い。 設定の同期 設定の同期は、 BIG-IP の設定デー タ を、 冗長シ ス テ ム の ピ アユニ ッ ト に複製す る タ ス ク です。 設定ユーテ ィ リ テ ィ 設定 ユ ー テ ィ リ テ ィ は、 ブ ラ ウ ザ ベー ス の ア プ リ ケ ー シ ョ ン で、 BIG-IP の設定に使用 し ます。 セ ッ ト ア ッ プユーテ ィ リ テ ィ セ ッ ト ア ッ プユーテ ィ リ テ ィ を使用 し て、初期シ ス テ ム設定を処理で き ま す。 セ ッ ト ア ッ プユーテ ィ リ テ ィ は、 設定ユーテ ィ リ テ ィ の ス タ ー ト ページか ら 実行で き ます。 セルフ IP ア ド レ ス セルフ IP ア ド レ ス は、 BIG-IP が所有す る IP ア ド レ ス で、 内部お よ び 外部 VLAN へのア ク セ ス に使用で き ます。 送信元ア ド レ ス のア フ ィ ニテ ィ パーシ ス テ ン ス シ ン プルパーシ ス テ ン ス と も 呼ばれま す。 送信元ア ド レ ス のア フ ィ ニ テ ィ パーシ ス テ ン ス は、 TCP およ び UDP プロ ト コ ルを サポート し 、 パケ ッ ト の送信元 IP ア ド レ ス のみに基づいて 同じ サーバにセッ シ ョ ン 要求を ダ イ レ ク ト し ま す。 送信元処理 送信元処理 と は、イ ン タ ーフ ェ イ ス で受信パケ ッ ト の送信元を書 き 換 え る こ と です。 ダ イ ナ ミ ッ ク ルー ト ダ イ ナ ミ ッ ク ルー ト は、 RIP の よ う な ア ド バン ス ド ルーテ ィ ン グプ ロ ト コ ルがダ イ ナ ミ ッ ク にルーテ ィ ン グ テーブルに追加す る ルー ト で す。 「 ス タ テ ィ ッ ク ルー ト 」 も 参照 し て く だ さ い。 BIG-IP® Local Traffic Management 設定ガ イ ド 用語集 - 17 用語集 タ グ付 き イ ン タ ーフ ェ イ ス タ グ付 き イ ン タ ーフ ェ イ ス は、VLAN に割 り 当て ら れ る イ ン タ ーフ ェ イ ス で、 BIG-IP はその イ ン タ ーフ ェ イ ス を通過 し た フ レーム のヘ ッ ダに VLAN タ グ を追加 し ます。 タ グ付 き イ ン タ ーフ ェ イ ス は、 複数 の VLAN に 1 つの イ ン タ ーフ ェ イ ス を割 り 当て る 場合に使用 し ます。 「VLAN (仮想 ロ ーカルエ リ アネ ッ ト ワー ク )」 も 参照 し て く だ さ い。 チ ェ ーン チ ェ ーンは一連の フ ィ ル タ 基準で、 IP ア ド レ ス へのア ク セ ス を制限 し ます。 チ ェーン内での基準の順序に よ っ て、 一般的な基準を先に適 用 し 、 詳細な基準をチ ェーン の最後に適用す る な ど、 フ ィ ル タ の適用 方法を規定 し ます。 チャ ン ク 「HTTP チ ャ ン ク 」 を参照 し て く だ さ い。 デー タ グループ デー タ グループは、 AOL ク ラ イ ア ン ト の IP ア ド レ ス のセ ッ ト な ど、 関連す る 要素のグループです。 デー タ グループ を matchclass コ マ ン ド ま たは contains 演算子で指定す る と 、 iRule 式内で複数の値を引数 と し て並べ る 必要がな く な り ます。 デフ ォ ル ト VLAN BIG-IP では、各 イ ン タ ーフ ェ イ ス に 1 つずつ、2 つのデフ ォ ル ト VLAN が設定 さ れてい ます。 デフ ォ ル ト VLAN には、 internal (内部) と external (外部) があ り ま す。 「VLAN (Virtual Locatl Area Network: 仮 想 ロ ーカルエ リ アネ ッ ト ワー ク )」 も 参照 し て く だ さ い。 デフ ォ ル ト プ ロ フ ァ イ ル デフ ォ ル ト プ ロ フ ァ イ ルは、 BIG-IP がデフ ォ ル ト 設定値で提供す る プ ロ フ ァ イ ルです。デフ ォ ル ト プ ロ フ ァ イ ルを その ま ま使用す る こ と も 、 変更す る こ と も で き ます。 デフ ォ ル ト プ ロ フ ァ イ ルは、 カ ス タ ム プ ロ フ ァ イ ル を作成す る と き の親 フ ァ イ ルに指定す る こ と も で き ま す。 デフ ォ ル ト プ ロ フ ァ イ ルの作成や削除はで き ません。 「 プ ロ フ ァ イ ル」、 「 カ ス タ ムプ ロ フ ァ イ ル」 も 参照 し て く だ さ い。 デフ ォ ル ト ルー ト デフ ォ ル ト ルー ト は、 ルーテ ィ ン グ テーブルで指定 さ れたルー ト に、 宛先ア ド レ ス や転送 さ れ る パケ ッ ト のネ ッ ト ワ ー ク に一致す る も の がない場合にシ ス テ ムが使用す る ルー ト です。 デフ ォ ル ト ワ イ ル ド カー ド バーチ ャ ルサーバ デフ ォ ル ト ワ イ ル ド カー ド バーチ ャ ルサーバは、 IP ア ド レ ス と ポー ト 番号 と し て、 0.0.0.0:0 ま たは *:* ま たは "any":"any" が設定 さ れて い ま す。 こ のバーチ ャ ルサーバは、 設定で定義 さ れた その他のバー チ ャ ルサーバに一致 し ないすべての ト ラ フ ィ ッ ク を受信 し ます。 用語集 - 18 用語集 透過 ノ ー ド 透過 ノ ー ド は、BIG-IP を含め、他のネ ッ ト ワ ー ク デバ イ ス か ら はルー タ と し て認識 さ れます。 ド メ イ ン名 ド メ イ ン名は、 1 つ以上の IP ア ド レ ス に関連付け ら れた一意の名前 です。 ド メ イ ン名は、 URL で使用 し て特定の Web ページ を指定 し ま す。 た と えば、 http://www.siterequest.com/index.html と い う URL で は、 ド メ イ ン名は siterequest.com です。 ト ラフィ ッ ク クラス ト ラ フ ィ ッ ク ク ラ ス を使えば、 ユーザ定義の基準 (送信元 IP ア ド レ スや宛先 IP ア ド レ ス な ど) に従い、 ト ラ フ ィ ッ ク を分類す る こ と が で き ます。 ト ラ フ ィ ッ ク ク ラ ス に よ っ て、 BIG-IP では分類に基づ き ト ラ フ ィ ッ ク フ ロ ーを調整で き る よ う にな っ てい ます。 ト ランク ト ラ ン ク は、2 つ以上の イ ン タ ーフ ェ イ ス と ケーブルを組み合わせて、 1 つの リ ン ク と し て構成 し た も のです。 内部 VLAN 内部 VLAN は、 BIG-IP のデフ ォ ル ト VLAN です。 基本設定では、 こ の VLAN の管理ポー ト は開いてい ます。 通常の設定では、 こ れは内 部サーバか ら の接続を処理す る ネ ッ ト ワ ー ク イ ン タ ー フ ェ イ ス にな り ます。 名前解決 名前解決は、 ネームサーバが ド メ イ ン名要求を IP ア ド レ ス と 一致 さ せ、 情報を解決を要求す る ク ラ イ ア ン ト に送信す る プ ロ セ ス です。 認証 認証は、 ユーザが BIG-IP に ロ グオ ン し よ う と す る と き に、 ユーザの 身元を検証す る プ ロ セ ス です。 認証 iRule 認証 iRule は、 BIG-IP 付属ま たはユーザ作成の iRule で、 BIG-IP で PAM 認証モジ ュ ールを実装す る ために必要です。 「iRule」、 「PAM (Pluggable Authentication Module)」 も 参照 し て く だ さ い。 認証局 (CA) 認証局は、 外部の信頼 さ れた機関で、 SSL ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク の認証を取得す る ための資格情報 と し て使用す る 署名済みデジ タ ル 証明書を、 要求 し た コ ン ピ ュ ー タ シ ス テ ム に発行 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 用語集 - 19 用語集 認証プ ロ フ ァ イ ル 認証プ ロ フ ァ イ ルは設定ツールで、 PAM 認証モジ ュ ールを実装す る と き に使用 し ます。認証プ ロ フ ァ イ ルで実装で き る 認証モジ ュ ールの タ イ プは、LDAP、RADIUS、TACACS+、SSL ク ラ イ ア ン ト 認証 LDAP、 お よ び OCSP です。 「PAM (Pluggable Authentication Module)」 も 参照 し て く だ さ い。 認証モジ ュ ール 認証モジ ュ ールは、ユーザが作成 し た PAM モジ ュ ールで、ク ラ イ ア ン ト ト ラ フ ィ ッ ク の認証 ま た は承認 を 実行 し ま す。 「PAM (Pluggable Authentication Module)」 も 参照 し て く だ さ い。 ネ ッ ト ワ ー ク バーチ ャ ルサーバ ネ ッ ト ワ ー ク バーチ ャ ルサーバは、 IP ア ド レ ス のホ ス ト 部分に ビ ッ ト が な い (IP ア ド レ ス の ホ ス ト 部分が 0) バーチ ャ ルサーバです。 ネ ッ ト ワー ク バーチ ャ ルサーバには、 2 種類あ り ます。 ク ラ イ ア ン ト ト ラ フ ィ ッ ク を宛先 IP ア ド レ ス の範囲に基づいてダ イ レ ク ト す る も の と 、 ク ラ イ ア ン ト ト ラ フ ィ ッ ク を BIG-IP が認識 し ない特定の宛先 IP ア ド レ ス に基づいてダ イ レ ク ト す る も のです。 ノード ノ ー ド は、BIG-IP の論理オブジ ェ ク ト で、ネ ッ ト ワー ク の物理 リ ソ ー ス の IP ア ド レ ス を特定 し ます。 ノ ー ド は、 プール メ ンバ と モニ タ に 直接関連付け ら れ ます。 「プール メ ンバ」 、 「モニ タ 」 も 参照 し て く だ さ い。 ノード ア ド レス ノ ー ド ア ド レ ス は、 1 つ以上の ノ ー ド に関連付け ら れ る IP ア ド レ ス です。 こ の IP ア ド レ ス は、 ネ ッ ト ワー ク サーバの実際の IP ア ド レ ス であ っ て も 、 ネ ッ ト ワー ク サーバ上のエ イ リ ア ス IP ア ド レ ス であ っ て も 構い ません。 「プール メ ンバ」、 「 モニ タ 」 も 参照 し て く だ さ い。 ノードエイ リ アス ノ ー ド エ イ リ ア ス は、 BIG-IP が複数の ノ ー ド の状態を検証す る のに 使用す る ノ ー ド ア ド レ ス です。 BIG-IP は ノ ー ド エ イ リ ア ス を使用 し て ノ ー ド の状態をチ ェ ッ ク す る 際に、 ノ ー ド エ イ リ ア ス に ping を実 行 し ます。 BIG-IP は ping への応答を受信す る と 、 ノ ー ド エ イ リ ア ス に関連付け ら れたすべての ノ ー ド を up と マー ク し ます。 BIG-IP は ping への応答を受信 し ない場合は、ノ ー ド エ イ リ ア ス に関連付け ら れ たすべての ノ ー ド を down と マー ク し ます。 ノ ー ド の状態 ノ ー ド の状態は、 ノ ー ド が up で接続を 受信で き る 状態か、 ま たは down で利用で き ない状態であ る か を示 し ます。 BIG-IP は ノ ー ド に対 す る ping の実行 と ヘル ス チ ェ ッ ク 機能を使用 し て、 ノ ー ド の状態を 確認 し ます。 用語集 - 20 用語集 ノ ー ド ポー ト ノ ー ド ポー ト は、特定の ノ ー ド がホ ス ト す る ポー ト 番号ま たはサービ ス名です。 パーシ ス テ ン ス 「接続パーシ ス テ ン ス 」 ま たは 「 セ ッ シ ョ ンパーシ ス テ ン ス 」 を参照 し て く だ さ い。 パーシ ス テ ン ス プ ロ フ ァ イ ル パーシ ス テ ン ス プ ロ フ ァ イ ルは、特定の タ イ プのセ ッ シ ョ ンパーシ ス テ ン ス を実装す る 設定ツールです。パーシ ス テ ン ス プ ロ フ ァ イ ル タ イ プの例 と し て、 Cookie パーシ ス テ ン ス プ ロ フ ァ イ ルがあ り ます。 バース ト バース ト と は、 レー ト シ ェ ーピ ン グの一面で、 ト ラ フ ィ ッ ク フ ロ ーの レー ト が定義 さ れたベース レー ト を超過す る と 発生 し ます。 パーテ ィ シ ョ ン パーティ ショ ン は、 定義さ れた BIG-IP シス テム オブジェ ク ト のセッ ト を 含む、 ユーザによ り 作成さ れる 論理コ ン テナです。 パーティ ショ ン を 使用し て、 BIG-IP へのユーザア ク セス を 制御し ま す。「 ユーザ ロ ー ル」 も 参照し てく ださ い。 パイプラ イ ン パ イ プ ラ イ ンは、HTTP/1.1 の機能で、以前の要求に対す る 応答がサー バか ら 受信 さ れていな く て も 、ク ラ イ ア ン ト が要求を行え る よ う に し ます。 パケ ッ ト レー ト パケ ッ ト レー ト は、 サーバが処理す る 秒当た り のデー タ パケ ッ ト 数 です。 パ ッ シブモニ タ リ ン グ パ ッ シ ブモ ニ タ リ ン グは ク ラ イ ア ン ト リ ク エ ス ト の一環 と し て行わ れ ま す。 こ の種のモ ニ タ リ ン グ は、 一定時間内に試み ら れ る 接続や デー タ 要求の回数を指定 し て、プール メ ンバの健全性をチ ェ ッ ク し ま す。 「 ア ク テ ィ ブモニ タ リ ン グ 」 と 「 シ ンプルモニ タ リ ン グ 」 も あわ せて参照 し て く だ さ い。 ハ ッ シ ュ パーシ ス テ ン ス ハ ッ シ ュ パーシ ス テ ン ス に よ っ て、 既存の iRule に基づいてパーシ ス テ ン ス ハ ッ シ ュ を作成で き ます。 パフ ォ ーマ ン ス モニ タ パフ ォ ーマ ン ス モニ タ は、統計情報を収集 し て タ ーゲ ッ ト デバ イ ス の 状態を確認 し ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 用語集 - 21 用語集 標準 SNAT 標準 SNAT は、 設定ユーテ ィ リ テ ィ の SNAT 画面を使用 し て実装 し た SNAT です。 「SNAT (セキ ュ アネ ッ ト ワー ク ア ド レ ス変換)」 お よ び 「 イ ン テ リ ジ ェ ン ト SNAT」 も 参照 し て く だ さ い。 プール プールは、 プール メ ンバの論理グループです。 BIG-IP は、 プール設 定時に選択 し た ロ ー ド バ ラ ン シ ン グ 方式 と パー シ ス テ ン ス 方式に 従っ て、 プール メ ンバに対す る 要求を ロ ー ド バ ラ ン ス し ます。 「 ノ ー ド 」、 「プール メ ンバ」 も 参照 し て く だ さ い。 プール メ ンバ プール メ ン バは、 ロ ー ド バ ラ ン シ ン グ プールの メ ン バの 1 つです。 プール メ ンバ名は、 ノ ー ド IP ア ド レ ス と サービ ス 番号を示 し ま す。 「 ノ ー ド 」 も 参照 し て く だ さ い。 フ ェ イ ルオーバー フ ェ イ ルオーバーは、ア ク テ ィ ブユニ ッ ト 上で ソ フ ト ウ ェ ア障害ま た はハー ド ウ ェ ア障害が検出 さ れた場合に、冗長シ ス テ ム の ス タ ンバ イ ユニ ッ ト が処理を引 き 継 ぐ プ ロ セ ス です。 フ ェ イ ルオーバーケーブル フ ェ イ ルオーバーケーブルは、冗長シ ス テ ムの 2 つのユニ ッ ト を直接 接続 し ます。 フ ェ イ ルバ ッ ク フ ェ イ ルバ ッ ク は、 ア ク テ ィ ブユニ ッ ト が、 以前に失敗 し たが今は使 用で き る よ う にな っ たユニ ッ ト に処理を渡すプ ロ セ ス です。 フ ォ ワーデ ィ ン グバーチ ャ ルサーバ フ ォ ワーデ ィ ン グバーチ ャ ルサーバは、負荷を与え る プール メ ンバを 持たないバーチ ャ ルサーバです。 バーチ ャ ルサーバは、 ク ラ イ ア ン ト リ ク エ ス ト で指定 さ れてい る 宛先 IP ア ド レ ス にパケ ッ ト を直接転送 す る だけです。 「バーチ ャ ルサーバ」 も 参照 し て く だ さ い。 フ ロ ーテ ィ ン グセルフ IP ア ド レ ス フ ロ ーテ ィ ン グセルフ IP ア ド レ ス は、 VLAN の追加セルフ IP ア ド レ ス で、 BIG-IP 冗長シ ス テ ム の両方のユニ ッ ト で共有 さ れ る ア ド レ ス です。 プ ロ ト コ ルプ ロ フ ァ イ ル プ ロ ト コ ルプ ロ フ ァ イ ルは、 FastL4、 TCP、 UDP、 OneConnect、 RTSP ト ラ フ ィ ッ ク の動作を制御す る ために作成す る プ ロ フ ァ イ ルです。 用語集 - 22 用語集 プロ フ ァ イル プ ロ フ ァ イ ルは、ネ ッ ト ワー ク ト ラ フ ィ ッ ク の動作を定義す る 設定を 含む、 設定ツールです。 BIG-IP には、 FastL4、 HTTP、 TCP、 FTP、 SSL、RTSP ト ラ フ ィ ッ ク を管理 し 、パーシ ス テ ン スお よ びアプ リ ケー シ ョ ン認証を実装す る プ ロ フ ァ イ ルがあ り ます。 プ ロ フ ァ イ ル設定 プ ロ フ ァ イ ル設定は、 プ ロ フ ァ イ ル内の設定属性で、 値が関連付け ら れてい ます。 プ ロ フ ァ イ ル設定を行っ て、 BIG-IP が ト ラ フ ィ ッ ク を 管理す る 方法を カ ス タ マ イ ズで き ます。 プロ フ ァ イルタ イプ プ ロ フ ァ イ ル タ イ プは、特定の目的に使用で き る プ ロ フ ァ イ ルのカ テ ゴ リ です。プ ロ フ ァ イ ル タ イ プの 1 つに HTTP プ ロ フ ァ イ ルがあ り ま すが、こ れはHTTPネ ッ ト ワ ー ク ト ラ フ ィ ッ ク の管理用に設定 し ます。 ヘッ ダ ヘ ッ ダ と は、アプ リ ケーシ ョ ン が伝送中のペ イ ロ ー ド の前に付け る 補 足デー タ の こ と です。 ヘ ッ ダには、 その後に続 く ペ イ ロ ー ド を ど う 扱 えばいいかの情報が含ま れ ます。 ヘル ス チ ェ ッ ク ヘル ス チ ェ ッ ク は BIG-IP の機能で、 ノ ー ド が up か down か を判定 し ます。 ヘル ス チ ェ ッ ク は、 ヘル ス モニ タ で実装 さ れ ます。 「ヘル ス モ ニ タ 、 「ECV」、 「EAV」、 「外部モニ タ 」 も あわせて参照 し て く だ さ い。 ヘル ス モニ タ ヘル ス モニ タ は、 ノ ー ド が up で指定 さ れたサービ ス を実行 し てい る か確認 し ます。 ノ ー ド が こ のチ ェ ッ ク に合格 し ない と 、 down と 判定 さ れます。 チ ェ ッ ク す る サービ ス ご と に、 異な る モニ タ があ り ます。 「ヘルス チ ェ ッ ク 」 、 「EAV」 、 「ECV」 、 「外部モニ タ 」 も あわせて参照 し て く だ さ い。 ポー ト ポー ト は、ホ ス ト がサポー ト す る 特定のサービ ス に関連付け ら れた番 号で表 さ れ ます。 ポー ト 番号 と 対応す る サービ ス の一覧については、 「サービ ス」 お よ び 「ポー ト 」 の項目を参照 し て く だ さ い。 ポー ト 固有の ワ イ ル ド カー ド バーチ ャ ルサーバ ポー ト 固有の ワ イ ル ド カー ド バーチ ャ ルサーバは、 0 以外のポー ト 番 号を使用す る ワ イ ル ド カー ド バーチ ャ ルサーバです。 「 ワ イ ル ド カー ド バーチ ャ ルサーバ」 も 参照 し て く だ さ い。 ポー ト ミ ラ ー リ ン グ ポー ト ミ ラ ー リ ン グは、 ポー ト ま たはポー ト の集合か ら 、 検出デバ イ ス が接続 さ れた独立 し た 1つのポー ト に ト ラ フ ィ ッ ク を コ ピーす る 機 能です。 BIG-IP® Local Traffic Management 設定ガ イ ド 用語集 - 23 用語集 ホ ス ト バーチ ャ ルサーバ ホ ス ト バーチ ャ ルサーバは、 イ ン タ ーネ ッ ト Web サ イ ト や FTP サ イ ト な ど、 特定のサ イ ト を表すバーチ ャ ルサーバで、 プールの メ ンバで あ る コ ン テ ン ツ サーバに向か う ト ラ フ ィ ッ ク の ロ ー ド バ ラ ン シ ン グ を実行 し ます。 モニ タ BIG-IP はモニ タ を使用 し て、 ノ ー ド が up か down か を判定 し ます。 モニ タ には複数の種類があ り 、さ ま ざ ま な手法を使用 し てサーバ ま た はサー ビ ス の状態 を 判定 し ま す。 モ ニ タ を ノ ー ド 、 プール、 お よ び 個々のプール メ ンバに関連付け る こ と がで き ます。 「 ノ ー ド 」 、 「プー ル」、 「プール メ ンバ」 も 参照 し て く だ さ い。 モニ タ イ ン ス タ ン ス モニ タ イ ン ス タ ン ス は、ヘル ス モニ タ がプール メ ンバ ま たは ノ ー ド に 関連付け ら れ る と き に作成 し ます。ヘル ス チ ェ ッ ク を実際に実行す る のはモニ タ イ ン ス タ ン ス で、 モニ タ ではあ り ません。 モニ タ テ ン プ レー ト モニ タ テ ン プ レー ト は、 BIG-IP が使用す る 内部 メ カ ニ ズ ム で、 事前 に設定 さ れたモ ニ タ がない場合に カ ス タ ム モ ニ タ のデ フ ォ ル ト 値を 提供 し ます。 モニ タ の関連付け モ ニ タ の関連付 け は、 ユ ーザ が作成す る 、 ヘル ス モ ニ タ ま た はパ フ ォ ーマ ン ス モニ タ と 、 プール、 プール メ ンバ、 ノ ー ド と の関連付け です。 ユーザ設定セ ッ ト (UCS) ユーザ設定セ ッ ト は、 BIG-IP のシ ス テ ム設定デー タ で作成す る バ ッ ク ア ッ プ フ ァ イ ルです。 UCS を作成す る と 、 BIG-IP はフ ァ イ ル名に 拡張子 .ucs を割 り 当て ます。 「 アーカ イ ブ」 も 参照 し て く だ さ い。 ユーザ ロ ール ユーザ ロ ールは、 BIG-IP ユーザア カ ウ ン ト に割 り 当て る 、 ア ク セ ス 権限 の タ イ プ と レ ベル で す。 ユ ー ザ ロ ール を 割 り 当 て る こ と で、 BIG-IP のシ ス テ ム管理者が BIG-IP の設定を表示 し て変更で き る 範囲 を制御で き ます。 ユニバーサルパーシ ス テ ン ス ユニバーサルパーシ ス テ ン ス に よ っ て、パケ ッ ト 内のあ ら ゆ る 文字列 を永続的に維持で き ます。 ま た、 プール メ ンバを直接選択 し て、 パー シ ス テ ン ス にす る こ と も で き ます。 予測方式 Predictive 方式は Observed 方式 と 同 じ 動的 ロ ー ド バ ラ ン シ ン グ方式で あ り 、 その時の接続数に基づ き ノ ー ド の評価が行われ ます。 ただ し 、 Predictive 方式では、BIG-IP は経時的な ラ ン キ ン グの傾向を分析 し て、 用語集 - 24 用語集 ノ ー ド のパフ ォ ーマ ン ス が現在向上 し てい る か劣化 し てい る か を 判断 し ま す。 よ り 優れた (現在劣化 し て い る のではな く 向上 し てい る ) パフ ォ ーマ ン ス ラ ン キ ン グ を持つ ノ ー ド が、 よ り 高い比率の接続 を受信 し ます。 ラス ト ホップ ラ ス ト ホ ッ プは、接続が BIG-IP に到達する ま での最後のホ ッ プです。 BIG-IP で、 パケ ッ ト を 送信元のデバイ ス に自動的に送り 返すた めの ラ ス ト ホ ッ プを 決定する こ と ができ ま す。 ま た 、 ラ ス ト ホ ッ ププー ルのメ ン バにする こ と で、 ラ ス ト ホ ッ プを 手動で指定する こ と も で き ま す。 リ モー ト 管理 IP ア ド レ ス リ モー ト 管理 IP ア ド レ ス は、BIG-IP で Telnet や SSH な ど のシ ェ ル接 続を可能にす る IP ド レ ス です。 リ ン ク ア グ リ ゲーシ ョ ン リ ン ク ア グ リ ゲーシ ョ ンは、 複数の リ ン ク を結合 し 、 1 つの リ ン ク と し て処理す る こ と で帯域幅を増加 さ せ る プ ロ セ ス です。 リ ン ク ア グ リ ゲーシ ョ ンは、ト ラ ン ク を作成す る と 発生 し ます。「 ト ラ ン ク 」、「LACP (Link Aggregation Control Protocol)」 も 参照 し て く だ さ い。 ルー タ ルー タ は、 レ イ ヤ 3 ネ ッ ト ワーキ ン グデバ イ ス です。 ネ ッ ト ワー ク で VLAN が定義 さ れていない場合、ルー タ がブ ロ ー ド キ ャ ス ト ド メ イ ン を定義 し ます。 ループバ ッ ク ア ダプ タ ループバッ ク アダプタ は、 実際のネッ ト ワ ーク カ ード と は関連付けら れていないソ フ ト ウ ェ アイ ン タ ーフ ェ イ ス です。nPath ルーティ ン グ 設 定では、 ループバッ ク アダプタ を サーバに設定する 必要があり ま す。 レ イヤ 1 から レ イヤ 7 レ イ ヤ 1 か ら レ イ ヤ 7 は、 OSI (Open System Interconnection) モデル の 7 層を示 し ます。 つま り 、 レ イ ヤ 2 はデー タ リ ン ク 層、 レ イ ヤ 3 は IP 層、 レ イ ヤ 4 は ト ラ ン ス ポー ト 層 (TCP お よ び UDP) を表 し ます。 レ イ ヤ 7はアプ リ ケーシ ョ ン層で、HTTPお よ びSSL な ど の ト ラ フ ィ ッ ク を処理 し ます。 レ イ ヤ 2 転送テーブル レ イ ヤ 2 転送テーブルは、ネ ッ ト ワ ー ク デバ イ ス の MAC ア ド レ ス を、 そのデバ イ ス がア ク セ ス で き る BIG-IP シ ス テ ム イ ン タ ーフ ェ イ ス に 関連付け ます。 BIG-IP では、 各 VLAN には独自の レ イ ヤ 2 転送テー ブルがあ り ます。 BIG-IP® Local Traffic Management 設定ガ イ ド 用語集 - 25 用語集 レー ト ク ラ ス レ ー ト フ ィ ル タ は、 設定ユーテ ィ リ テ ィ ま たは コ マ ン ド ラ イ ン ユー テ ィ リ テ ィ か ら 作成で き ます。レー ト ク ラ ス を レー ト フ ィ ル タ に割 り 当て る と 、 レー ト ク ラ ス は、 レー ト フ ィ ル タ で許可 さ れ る ト ラ フ ィ ッ ク の量を判定 し ます。 「 レー ト シ ェーピ ン グ 」 も 参照 し て く だ さ い。 レー ト シ ェ ーピ ン グ レー ト シ ェ ーピ ン グは、 拡張 IP フ ィ ル タ の一種です。 レー ト シ ェ ー ピ ン グは同 じ IP フ ィ ル タ 方式を使用 し ますが、 レー ト ク ラ ス を適用 し て、許可 さ れたネ ッ ト ワー ク ト ラ フ ィ ッ ク の量を判定 し ます。「 レー ト ク ラ ス 」 も 参照 し て く だ さ い。 レ ス ポ ン ダオブジ ェ ク ト 「OCSP レ ス ポ ン ダオブジ ェ ク ト 」 を参照 し て く だ さ い。 ロ ーカル ト ラ フ ィ ッ ク 管理 ロ ーカル ト ラ フ ィ ッ ク 管理は、イ ン ト ラ ネ ッ ト な ど の ロ ーカルエ リ ア ネ ッ ト ワー ク (LAN) か ら 送受信 さ れ る ネ ッ ト ワー ク ト ラ フ ィ ッ ク を 管理す る プ ロ セ ス で す。 BIG-IP® LTM を 使用 し て、 ロ ー カ ル ト ラ フ ィ ッ ク を管理で き ます。 ロ ー ド バ ラ ン シ ン グバーチ ャ ルサーバ ロ ー ド バ ラ ン シ ン グバーチ ャ ルサーバは、ク ラ イ ア ン ト ト ラ フ ィ ッ ク を ロ ー ド バ ラ ン シ ン グプールにダ イ レ ク ト す る バーチ ャ ルサーバで、 バーチ ャ ルサーバの基本 タ イ プです。 「バーチ ャ ルサーバ」 も 参照 し て く だ さ い。 ロ ー ド バ ラ ン シ ン グプール 「 プール」 を参照 し て く だ さ い。 ロ ー ド バ ラ ン シ ン グ方式 接続 を ロ ー ド バ ラ ン シ ン グ プールに分散 さ せ る 方法を決定す る 特定 の方式です。 ワ イ ル ド カー ド バーチ ャ ルサーバ ワ イ ルド カ ード バーチャ ルサーバは、 IP アド レ ス と し て、 0.0.0.0、 *、 ま たは "any" を 使用する バーチャ ルサーバです。 ワ イ ルド カ ード バー チャ ルサーバは、 ロ ーカ ルネッ ト ワ ーク の外部の宛先への接続要求を 受理し ま す。 ワ イ ルド バーチャ ルサーバは、 透過ノ ード モード の設定 の場合にのみ使用でき ま す。 用語集 - 26 索引 索引 記号 /config/eav file A-45 /etc/bigip.comf フ ァ イル 17-19 A Accept-Encoding ヘ ッ ダ 6-11 Accounting Bug の設定 10-12 Active Directory サーバ、 認証用 10-4 Adaptive 圧縮 6400、 6800、 8400 での設定 6-25 概要 6-23 admin ア カ ウン ト 10-5 [AIA] フ ィ ール ド 10-30 Apache バ リ ア ン ト 7-9 Application Security Manager 8-13 ARP 要求 2-20 ASN.1 DER 形式 C-3 [AuthorityInfoAccess] フ ィ ール ド 10-30 B [Base Rate] 設定、 設定 16-5 BEA WebLogic ア プ リ ケーシ ョ ン 1-18 BIGipCookie Cookie 名 7-9 BIGipServer<pool_name> Cookie 名 7-8, 7-9 BIG-IP オブ ジ ェ ク ト の状態 表示 1-16 bigpipe -? コ マ ン ド 17-5, 17-11 Bind DN の設定 10-5 Bind Password の設定 10-5 Bind Time Limit の設定 10-5 [Burst Size] 設定、 設定 16-6 C [Ceiling Rate] 設定、 設定 16-5 Certificate Revocation List Distribution Point CRLDP モ ジ ュ ールを参照 Check SSL Peer の設定 10-6 Client ID の設定 10-12 clientside iRule コ ン テキス ト 17-10 CMP 2-8 Configuration の設定 10-7, 10-13, 10-42 Confirm Bind Password の設定 10-5 Confirm Secret の設定 10-11, 10-39 contains 演算子 17-16 Content-Encoding ヘ ッ ダ 6-11 Content-Type 応答 6-16 Cookie HTTP Cookie パーシ ス テ ン ス も参照 Cookie Hash モー ド 7-10 Cookie、 HTTP Cookie Rewrite 7-9 Cookie 値 7-10 Cookie テ ン プ レー ト 7-10 Cookie の暗号化 と 復号化 6-9 Cookie パーシス テ ン ス HTTP Cookie パーシ ス テ ン ス も参照 定義 7-7 Cookie プ ロ フ ァ イルの設定 7-7 Cookie 名 7-8 CPU 使用率 BIG-IP® Local Traffic Management 設定ガ イ ド 圧縮 6-21 CPU メ ト リ ッ ク、 収集 A-53 CRL LDAP サーバ 10-38 OCSP も 参照 ク ラ イ ア ン ト 側 SSL 9-29 欠点 10-29 作成 C-3 生成 説明 9-5 タ イ ムアウ ト 10-40 バイパス 10-30 表示 C-4 CRLDP 認証モ ジ ュ ール C-3 CRLDP モ ジ ュ ール、 定義 10-38 CRL 配布点 10-38 CRL フ ァ イル 9-29 D Debug Logging の設定 10-6, 10-12 deflate 圧縮方式 6-17 destaddr プ ロ フ ァ イル設定 7-11, 7-12 [Direction] 設定、 設定 16-8 dirname ベースのア ド レ ス C-1 DNS 参照 A-23 Dynamic Ratio モー ド RealSystem Server の設定 B-1 WMI の設定 B-3 説明 4-12 F Fast HTTP プ ロ フ ァ イル設定 8-7 Fast L4 プ ロ フ ァ イル設定 8-2 Fastest モー ド 、 説明 4-12 Filter の設定 10-5 FQDN、 リ ダ イ レ ク シ ョ ン 6-5 FTP プ ロ フ ァ イルの設定 6-38 G genconf および genkey ユーテ ィ リ テ ィ 9-4 Group DN の設定 10-6 Group Member Attribute の設定 10-6 gzip 圧縮、 メ モ リ レ ベル 6-19 gzip 圧縮方式 6-17 H Hosts の設定 10-5 Host の設定、 RADIUS オブ ジ ェ ク ト 10-10 HTTP Class プ ロ フ ァ イルの設定 8-10 HTTP Cookie Passive モー ド 7-9 HTTP Cookie Insert 方式 7-8 HTTP Cookie Rewrite 方式 7-9 HTTP Cookie パーシ ス テ ン ス 7-7, 7-8 HTTP Location ヘ ッ ダ 6-8 HTTP Redirect Rewrite 設定 6-5 HTTP/1.0 圧縮 6-20 httpd.conf フ ァ イル、 Cookie 7-9 HTTP 圧縮設定 6-13, 6-32 HTTP 応答、 圧縮 6-12 索引 - 1 索引 HTTP オブ ジ ェ ク ト 格納 6-28 HTTP 書き換え、 例 6-8 HTTP コ ン テ ン ツ 検査 6-5 HTTP 承認の失敗 6-4 HTTP デー タ 圧縮 説明 6-11 有効化 6-15 HTTP ト ラ フ ィ ッ ク管理 6-1 HTTP パイ プ ラ イ ニ ング パイ プ ラ イ ニ ン グを参照 HTTP プ ロ フ ァ イル 説明 6-1 デ フ ォル ト およびプ ロ フ ァ イル 5-6 HTTP プ ロ フ ァ イル設定、 設定 6-2 HTTP プ ロ フ ァ イルの共有 1-20 HTTP ヘ ッ ダ 検査 6-5 挿入 6-5 HTTP ヘ ッ ダ コ ン テ ン ツ、 消去 6-6 HTTP メ ソ ッ ド 、 キ ャ ッ シ ュ 6-29 HTTP モニ タ A-64 HTTP リ ク エ ス ト 、 リ ダ イ レ ク ト 17-5 HTTP リ ダ イ レ ク シ ョ ン 書き換え 6-8 プールの選択 17-5 例 17-5 I ID、 信頼 9-6 IDEA 暗号ス イ ー ト 9-17 Idle Timeout の設定 LDAP プ ロ フ ァ イル 10-7 RADIUS プ ロ フ ァ イル 10-13, 10-42 Ignore Unknown User の設定 10-6 ignore オプ シ ョ ン 9-26 IIS ア プ リ ケーシ ョ ン 1-18 IMAP モニ タ A-24 IP ア ド レ ス Cookie 7-9 NAT に指定 13-6 SNAT プールへのマ ッ ピ ング 14-6 一致 2-5, 2-6 共有 2-2 ク ラ イ ア ン ト 7-19 パーシ ス テ ン ス 7-20 バーチ ャルサーバ 2-5 変換 2-6 リ ダ イ レ ク シ ョ ン 6-5 IP ア ド レ スデー タ グループ 17-17 IP ア ド レ スの宛先 2-6 iRule HTTP ヘ ッ ダの挿入 9-6 SNAT 14-6 SSL ト ラ フ ィ ッ ク管理 9-1 暗号 9-5 作成 17-7 定義 17-1 認証 10-2 ネ ッ ト ワー ク マ ッ プ 1-17 索引 - 2 バーチ ャルサーバ 17-7 バーチ ャルサーバ と の関連付け 17-8 割 り 当て 2-23, 17-11 iRule イ ベン ト 宣言 17-2 iRule イ ベン ト タ イ プ 17-10 iRule 演算子 17-3 iRule コ マ ン ド の種類 17-3 iRule ス テー ト メ ン ト コ マ ン ド 17-12 iRule の設定 LDAP プ ロ フ ァ イル 10-7 RADIUS プ ロ フ ァ イル 10-13, 10-42 iRule の前提条件 17-9 iRule の例 HTTP リ ダ イ レ ク シ ョ ン iRule 17-5 iRule 評価、 制御 17-9 iRule 要素 17-2 [Issuer] フ ィ ール ド 10-30 K Keep-Alive サポー ト 、 追加 1-4 L L2 フ ォ ワーデ ィ ン グバーチ ャルサーバ、 定義 2-2 L3 Address モー ド 4-13 LDAP 10-4 LDAP CRL 分散ポ イ ン ト C-2 LDAP Version の設定 10-5 LDAP 構成オブ ジ ェ ク ト 、 作成 10-5 LDAP サーバ 10-38 ト ラ フ ィ ッ ク認証 10-21 ト ラ フ ィ ッ ク認証 と 承認 10-16, 10-21, 10-44 認証、 承認 10-4 LDAP 承認の基準 10-23 LDAP 設定済みモニ タ A-22 LDAP デー タ ベース、 検索 10-22 ldap デ フ ォル ト プ ロ フ ァ イル、 変更 10-7 LDAP 認証、 概念 10-22 LDAP 認証パラ メ ー タ 、 一覧 10-24, 10-34 LDAP プ ロ フ ァ イル 作成 10-7 バーチ ャルサーバ 10-9 LDAP ベースデ ィ レ ク ト リ 名 10-39 LDAP モ ジ ュ ール、 定義 10-1 LDAP モニ タ A-22 Least Connections モー ド 、 説明 4-12 Least Sessions モー ド 4-13 Lightweight Directory Access Protocol モ ジ ュ ール LDAP モ ジ ュ ールを参照、 定義 Location ヘ ッ ダ 6-8 Login Attribute の設定 10-5 M Manual Resume 属性 3-9, 12-12 matchclass コ マ ン ド 17-16 MD5 ハ ッ シ ュ 9-20 Microsoft Exchange Outlook Web Access ア プ リ ケー シ ョ ン 1-18 Microsoft IIS ア プ リ ケーシ ョ ン 1-18 Microsoft SharePoint ア プ リ ケーシ ョ ン 索引 SharePoint ア プ リ ケーシ ョ ン 1-18 min active members 値 4-14 ModSSL 方式のエ ミ ュ レーシ ョ ン、 有効化および無 効化 9-20 MSRDP パーシス テ ン ス 旧プ ラ ッ ト フ ォ ーム 7-15 有効化 7-14, 7-15 MSRDP プ ラ ッ ト フ ォ ームの要件 7-14 MSRDP プ ロ フ ァ イルの設定 7-15 N Nagle's algorithm 8-17, 8-19, 8-20 NAT オープ ンポー ト 13-2 設定 13-6 定義 13-1 例 13-3, 13-4 NAT ア ド レ ス 共有 13-3 NAT 接続 追跡 13-3, 14-1 NAT 設定 13-5, 13-6 nntp モ ニ タ A-26 NT Lan Manager NTLM プ ロ フ ァ イルを参照 NTLM も参照 定義 11-4 NTLM プ ロ フ ァ イル 2-16 目的 11-4 O Observed モー ド 、 説明 4-13 OCSP 構成オブ ジ ェ ク ト 、 作成 10-32, 10-34 OCSP 前提条件 10-31 OCSP プ ロ ト コル 説明 10-29 定義 10-30 OCSP プ ロ フ ァ イル 作成 10-35 バーチ ャ ルサーババ 10-37 OCSP モ ジ ュ ール 10-2 OCSP レ スポン ダ CA 10-31 選択 10-30 OCSP レ スポン ダ定義、 選択 10-30 OCSP レ スポン ダオブ ジ ェ ク ト 作成 10-32 定義 10-23 OneConnect 受信 SNAT 14-2 OneConnect、 有効化 6-7 OneConnect プ ロ フ ァ イル設定 11-2 Online Certificate Status Protocol モ ジ ュ ール OCSP モ ジ ュ ールを参照 OpenSSL 0.9.8.x C-1 OpenSSL Web サイ ト 9-17 openssl コ マ ン ド 9-29 openssl ユーテ ィ リ テ ィ C-1, C-2, C-3, C-4 Oracle Application Server ア プ リ ケーシ ョ ン 1-18 Outlook Web Access ア プ リ ケーシ ョ ン 1-18 BIG-IP® Local Traffic Management 設定ガ イ ド P Packet Velocity ASIC 8-2 PAM、 定義 10-1 PAM 認証モ ジ ュ ール、 リ ス ト 1-5 PAM モ ジ ュ ール 10-1 Parent Profile の設定 10-7 [Parent Class] 設定、 設定 16-8 Passive モー ド 7-9 PEM 形式 9-10, 9-15 PEM 形式への変換 C-4 PFIFO、 定義 16-9 PKCS12 フ ァ イルの作成 C-1 Platform Guide 1-22 Pluggable Authentication Module PAM モ ジ ュ ールを参照 PAM を参照 [Pools] 画面、 表示 1-12 pop3 モ ニ タ A-33 Predictive モー ド 、 説明 4-13 Privacy Enhanced Mail 形式 PEM 形式を参照 Protocol Security Manager 2-16 PSM SMTP プ ロ フ ァ イル 2-16 PVA ハー ド ウ ェ アの高速化 8-2, 8-5 Q QoS プールの属性 4-10 QoS レ ベル 設定 4-10 [QueueDiscipline] 設定、 設定 16-9 R RADIUS ア カ ウン テ ィ ング A-67 RADIUS 構成オブ ジ ェ ク ト 、 作成 10-11, 10-40 RADIUS サーバ ト ラ フ ィ ッ ク認証 10-10 認証 10-10 RADIUS サーバオブ ジ ェ ク ト 、 作成 10-10, 10-39 RADIUS プ ロ フ ァ イル 作成 10-13, 10-41 バーチ ャルサーバ 10-43, 10-15 変更 10-42 RADIUS モ ジ ュ ール、 定義 10-1 RADIUS モニ タ A-35 RAM キ ャ ッ シ ュ機能 6-28 RAM キ ャ ッ シ ュ仕様 6-28 Ratio 方式、 説明 4-11, 4-12 Real Time Streaming Protocol (RTSP) RTSP プ ロ ト コルを参照 RealSystem Server、 ロー ド バラ ン シ ングの設定 B-1 Remote LDAP Tree の設定 10-5 request オプ シ ョ ン 9-26 require オプ シ ョ ン 9-26 Retries の設定 10-12 Reverse 設定 12-12 Rewrite モー ド 7-9 Round Robin モー ド 、 説明 4-11 RPC モニ タ A-37, A-42 RSA キー C-4 索引 - 3 索引 RTCP Port 6-45 RTP Port 6-45 RTSP ト ン ネ リ ング 6-44 RTSP プ ロ ト コ ル 定義 6-44, 6-47 RTSP プ ロ フ ァ イル 2-16 TCP 6-44 バーチ ャルサーバ 6-44, 6-45 RTSP プ ロ フ ァ イル設定 6-45 RTSP プ ロ フ ァ イルの設定 6-44, 6-47 S SAP ア プ リ ケーシ ョ ン 1-18 SASP モニ タ A-42 Scripted モニ タ A-44 SCTP ス ト リ ーム 8-22 SCTP プ ロ ト コ ル 定義 8-22 SCTP プ ロ フ ァ イルの設定 8-22 Search Time Limit の設定 10-5 [Search] ボ ッ ク ス ネ ッ ト ワー ク マ ッ プ 1-13 プ ロ フ ァ イル リ ス ト の フ ィ ル タ リ ング 5-11 Secret の設定 10-11 serverside iRule コ ン テキス ト 17-10 Service Port の設定 LDAP モ ジ ュ ール 10-5 RADIUS オブ ジ ェ ク ト 10-10, 10-39 Session Directory、 MSRDP パーシ ス テ ン ス 7-15 Session Directory サービ ス 7-15 Session Initiation Protocol 6-40, 7-17 SFQ キ ュ ー方式 定義 16-9 Simple Mail Transport Protocol 2-16 SIP パーシス テ ン ス 6-43, 7-17 SIP パーシス テ ン ス、 定義 7-17 SIP プ ロ フ ァ イル設定 6-40 SIP プ ロ フ ァ イルのセ ッ シ ョ ン終了基準 6-42 SIP プ ロ フ ァ イルの設定 6-40, 7-17 SIP ヘ ッ ダサイ ズの指定 6-42 SIP ヘ ッ ダの取 り 扱い 6-42 SIP メ ッ セージへの Record-Route ヘ ッ ダの挿入 6-43 SIP メ ッ セージへの Secure Via ヘ ッ ダの挿入 6-43 SIP メ ッ セージへの Via ヘ ッ ダの挿入 6-43 SIP モニ タ A-46 SMB モニ タ A-49 SMTP プ ロ フ ァ イル 2-16 SMTP モニ タ A-51 SNAT 受信 SNAT も あわせて参照 OneConnect 14-2 仮想バウン スバ ッ ク 14-2 定義 14-1 例 14-4, 14-18 SNAT automap 定義 14-5 SNAT、 有効化および無効化 4-8 snatpool コ マ ン ド 14-9, 17-6 SNAT ア ド レ ス デ フ ォル ト ゲー ト ウ ェ イ 14-2 索引 - 4 SNAT 接続 追跡 14-1 SNAT と NAT の比較 14-1 SNAT の動作 14-4 SNAT プール 作成 14-8 定義 14-6 バーチ ャルサーバ 2-18 バーチ ャルサーバへの割 り 当て 14-13 パーテ ィ シ ョ ン 14-7 SNAT プールの設定 2-18, 14-7 snmp_dca_base template A-55 SNMP DCA Base モニ タ B-10 SNMP DCA モ ニ タ B-10 SOAP モニ タ A-56 SQL Enterprise Manager A-28 SQL ベースのサービ ス、 サービ スのチ ェ ッ ク A-26 SQL ベースのサービ スのチ ェ ッ ク、 ト ラ ブル シ ュ ーテ ィ ング A-28 SSL CA Certificate の設定 10-6 [SSL Certificates] 画面 9-7 SSL Ciphers の設定 10-6 SSL Client Certificate の設定 10-6 SSL Client Key の設定 10-6 SSL OCSP 構成オブ ジ ェ ク ト 、 作成 10-34 SSL、 ク ラ イ ア ン ト への認証 9-15 SSLv2 プ ロ ト コ ル 9-19 SSLv3 プ ロ ト コ ル 9-19 SSL 暗号化および復号化 9-5 SSL キー、 管理 9-7 SSL キー暗号化 9-15 SSL 機能の要約 9-2 SSL ク ラ イ ア ン ト 証明書 LDAP 構成オブ ジ ェ ク ト 10-24 SSL ク ラ イ ア ン ト 証明書 LDAP プ ロ フ ァ イル 10-26, 10-28 SSL ク ラ イ ア ン ト 証明書 LDAP モ ジ ュ ール、 定義 10-2 SSL 検証、 チ ェ ーン フ ァ イル 9-4 SSL シ ャ ッ ト ダウン 9-23 SSL 承認 説明 9-3 SSL 証明書、 管理 9-7 SSL セ ッ シ ョ ン、 ネゴ シ エーシ ョ ン 9-28 SSL セ ッ シ ョ ンキ ャ ッ シ ュのサイ ズ 9-21 SSL セ ッ シ ョ ンキ ャ ッ シ ュの タ イムアウ ト 9-20, 9-21 SSL セ ッ シ ョ ンの再ネゴ シ エーシ ョ ン、 強制 9-22 SSL 接続、 シ ャ ッ ト ダウン ア ラ ー ト 9-23 SSL 設定作業 9-1 SSL タ イムアウ ト 期間 9-21 SSL 認証 証明書の失効 10-29, 10-38 SSL 認証機能 9-2, 9-25 SSL の設定 10-6 SSL パーシ ス テ ン ス、 定義 7-20 SSL パーシ ス テ ン ス タ イ プ 9-6 SSL パーシ ス テ ン ス プ ロ フ ァ イルの設定 7-21 SSL パス フ レーズ 暗号化 9-15 キー暗号化 9-15 SSL プ ロ ト コルバージ ョ ン、 設定 9-19 索引 SSL プ ロ フ ァ イル 一覧 5-2 SSL プ ロ フ ァ イル、 定義 と リ ス ト 9-1 SSL プ ロ フ ァ イル タ イ プ 9-1, 9-11 SSL プ ロ フ ァ イル名、 指定 9-14 SSL 問題回避策、 設定 9-17 Statistics プ ロ フ ァ イル 11-6 Stochastic Fair Queue SFQ キ ュ ー方式を参照 Stream Control Transmission Protocol (SCTP) SCTP プ ロ ト コ ルを参照 Stream プ ロ フ ァ イル 11-7 SYN フ ラ ッ ド 攻撃、 防止 1-5 SYSLOG デバ ッ グ 10-6 T TACACS+ 構成オブ ジ ェ ク ト 、 作成 10-16, 10-45 TACACS+ サーバ、 ト ラ フ ィ ッ ク 認証 10-16 TACACS+ プ ロ フ ァ イル 作成 10-18, 10-46 バーチ ャ ルサーバ 10-20, 10-48 TACACS+ モ ジ ュ ール、 定義 10-1 Tcl 構文 17-2 TCP ス ト リ ーム 8-22 TCP 接続、 シ ャ ッ ト ダウン ア ラ ー ト 9-23 TCP モニ タ A-64 Timeout の設定、 RADIUS オブ ジ ェ ク ト 10-11 TLSv1 プ ロ ト コ ル 9-19 TMM サービ ス リ モー ト 認証 10-1 TMOS Management Guide for BIG-IP Systems 1-22 Tools Command Language の構文 17-2 ToS フ ィ ール ド キ ュ ー イ ング 16-9 ToS プールの属性 4-9 ToS レ ベル、 設定 4-9 Transparent 設定 12-11 transparent モー ド 4-8, 4-18 Type of Service フ ィ ール ド ToS フ ィ ール ド を参照 U UC Davis エージ ェ ン ト A-53, B-10 UDP プ ロ フ ァ イル設定 8-21 UDP モニ タ A-64 UIE、 定義 17-1 UIE 関数 コ マ ン ド 、 一覧 17-13 UIE コ マ ン ド 、 定義 17-3 Uniform Resource Identifier (URI) 10-38 Universal Inspection Engine、 定義 17-1 URI 書き換え 6-8 包含 と 除外 6-12 リ ダ イ レ ク シ ョ ン 6-8 URI 指定応答、 管理 6-15 URI パス、 リ ダ イ レ ク ト 6-4 URL チ ェ ッ ク 10-30 BIG-IP® Local Traffic Management 設定ガ イ ド V Vary ヘ ッ ダ 挿入 6-19 有効化 と 無効化 6-19 VLAN グループ、 作成 2-12 VMware VDI ア プ リ ケーシ ョ ン 1-18 W WAP モ ニ タ A-66 Warning Logging の設定 10-6 WebAccelerator モ ジ ュ ール 8-13 Web サーバ、 Cookie 生成 7-10 [Welcome] 画面 1-25 when キーワー ド 17-11 Windows 2000 Server エージ ェ ン ト A-53, B-10 Wireless Application Protocol モ ニ タ WAP モ ニ タ を参照 WMI、 Dynamic Ratio ロー ド バラ ン シ ングの設定 B-3 WMI モニ タ A-66 X X-Forwarded-For ヘ ッ ダ 6-10 あ ア カ ウン テ ィ ング、 RADIUS A-67 圧縮 CPU 使用率 6-21 RAM キ ャ ッ シ ュ機能 6-28 圧縮、 有効化 6-15 圧縮設定 6-13, 6-32 圧縮戦略 概要 6-22 説明 6-23 圧縮統計情報の説明 6-26 圧縮バ ッ フ ァ サイ ズ 6-17 圧縮プ ロバイ ダの概要 6-22 圧縮プ ロ フ ァ イル 6-34 宛先 IP ア ド レ ス パーシス テ ン ス 7-10 変換 2-3, 13-1 宛先 IP 変換 2-3, 14-3 宛先ア ド レ スのア フ ィ ニテ ィ パーシス テ ン ス 7-10 宛先ア ド レ スの範囲、 ダ イ レ ク ト 先 2-5 宛先ア ド レ ス範囲 2-5 ア ド レ スデー タ グループ 17-17 ア ド レ ス変換 1-7, 13-1 ア ド レ ス変換設定 2-17 ア プ リ ケーシ ョ ン セキ ュ リ テ ィ ク ラ ス 8-13 ア プ リ ケーシ ョ ン テ ン プ レー ト 使用 1-19 説明 1-18 表示 と 削除 1-20 ア プ リ ケーシ ョ ン導入ガ イ ド 1-19 ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク 管理 5-1 設定 1-18 認証 10-1 ア ラ ー ト タ イ ムアウ ト 、 指定 9-21 索引 - 5 索引 暗号、 ヘ ッ ダでの指定 9-16, 9-19 暗号化 Cookie 6-9 説明 9-5 要約 9-3 い イ ベン ト 実行、 終了 17-11 イ ベン ト 宣言 17-9 イ ベン ト ベースの ト ラ フ ィ ッ ク管理 17-9 イ ン テ リ ジ ェ ン ト SNAT 14-9 イ ン ラ イ ンデー タ グループ ス ト レージ 17-19 え エージ ェ ン ト タ イ プ B-10 エ ラ ー コ ー ド 6-5 エ ン コ ー ド 、 チ ャ ン ク およびチ ャ ン ク解除 6-6 演算子 17-3 お 応答 圧縮 6-12 チ ャ ン ク およびチ ャ ン ク解除 6-6 応答の受け入れ 14-4 応答の受け取 り 拒否 2-3, 14-2 図解 14-3 オブ ジ ェ ク ト の状態 1-15 重み付け、 指定 4-17 親 HTTP プ ロ フ ァ イル、 指定 6-4 親 SIP プ ロ フ ァ イル、 指定 6-42 親プ ロ フ ァ イル 定義 5-5 親レー ト ク ラ ス、 帯域幅の借用 16-8 オン ラ イ ンヘルプ 1-25 か カ ーネルルーテ ィ ン グテーブル 2-20 外部デー タ グループ 17-20 外部デー タ グループ ス ト レージ 17-19 カ ス タ ム HTTP プ ロ フ ァ イル 5-6 カ ス タ ムプ ロ フ ァ イル 5-4, 5-5, 10-8 カ ス タ ムモニ タ 12-4 仮想バウン スバ ッ ク 14-2 関係演算子、 リ ス ト 17-3 管理パーテ ィ シ ョ ン ア プ リ ケーシ ョ ン テ ン プ レー ト 1-18 き キーワー ド 、 予約済み 12-9, A-1 期限切れのセ ッ シ ョ ン ID 9-21 基準の指定 8-10 規則 1-23 逆変換 2-3 キ ャ ッ シ ュ項目 一覧 6-28 ク リ ア 6-31 キ ャ ッ シ ュ プ ロ フ ァ イル 6-34 く 空白の Cookie 概要 7-9 挿入 と 検索 7-9 ク エ リ コ マ ン ド 、 定義 17-3 組み込み配布点 C-1 ク ラ イ ア ン ト 、 セキ ュ ア な接続 6-8 ク ラ イ ア ン ト CRL パス、 指定 9-29 ク ラ イ ア ン ト CRL フ ァ イル、 指定 9-29 ク ラ イ ア ン ト IP ア ド レ ス 接続の追跡 7-19 ヘ ッ ダへの挿入 6-5 保持 6-5 ク ラ イ ア ン ト 側 SSL プ ロ フ ァ イル 9-1 ク ラ イ ア ン ト 側のセ ッ シ ョ ンキ ャ ッ シ ュのサイ ズ 9-21 ク ラ イ ア ン ト 側の接続 証明書の検証 9-15 信頼で き る CA 9-4 ク ラ イ ア ン ト 側のプ ロ フ ァ イル、 暗号化 と 復号化 9-5 ク ラ イ ア ン ト 検証プ ロ セス 9-4 ク ラ イ ア ン ト 証明書、 要求 9-26 ク ラ イ ア ン ト 証明書の作成 C-1 ク ラ イアン ト ト ラ フ ィ ッ ク サブネ ッ ト のダ イ レ ク ト 2-5 リ ダ イ レ ク ト 4-1 レー ト ク ラ ス 16-8 ク ラ イ ア ン ト 認証方式 9-26 ク ラ イ ア ン ト の信頼で き る CA パス、 説明 9-15 ク ラ イ ア ン ト の信頼で き る CA フ ァ イル、 説明 9-15 ク ラ イ ア ン ト の接続、 認証 10-4, 10-10 ク ラ イ ア ン ト ヘ ッ ダ、 承認 9-6 ク ラ イ ア ン ト リ ク エ ス ト 、 承認 10-21 ク ラ ス タ リ ングマルチ プ ロ セ ッ シ ング CMP を参照 グループベースの LDAP 承認 10-23 グループベースの承認 10-23 ク ローン プール 2-18 ク ローン プール、 バーチ ャルサーバ 2-18 キー 管理 9-7 削除 9-10 キー暗号化 9-15 キー タ イ プ 9-7 キー と 証明書のアー カ イ ブ、 イ ンポー ト 9-10 キー と 証明書のペア、 イ ンポー ト 9-4 キーのアー カ イ ブ、 作成 9-11 キーの作成 C-1 キーのペア、 イ ンポー ト 9-10 索引 - 6 け 形式 PEM 形式を参照 検索ア カ ウン ト 10-5 検索方法、 LDAP デー タ ベース 10-22 検証 証明書の検証、 ク ラ イ ア ン ト 側参照 証明書の検証、 サーバ側も参照 索引 検証の失敗 10-31 検証プ ロ セス ク ラ イ ア ン ト 検証プ ロ セス を参照 検証も 参照 こ 高需要オブ ジ ェ ク ト 6-28 更新イ ン タ ーバル 10-40 高速化 CMP 2-8 PVA 8-5 ハー ド ウ ェ アの高速化を参照 コ ネ ク シ ョ ン プー リ ング NTLM NTLM 接続 11-4 X-Forwarded-For ヘ ッ ダ も参照 定義 1-4, 11-2 コネクシ ョ ン リ ミ ッ ト CMP が有効にな っ たシ ス テム 2-9 許可 2-20 ノ ー ド 3-7, 4-17 子レー ト ク ラ ス 16-8 コ ン テキス ト 、 iRule 17-10 コ ンテンツ 検査 8-10 コ ン テ ン ツ圧縮 6-28 コ ン テ ン ツの切 り 替え カ ス タ マ イ ズ 17-1 定義 1-4 コ ン テ ン ツの検索 17-1 さ サーバ、 iRule によ る選択 17-4 サーバオブ ジ ェ ク ト 、 定義 10-2 サーバ側 SSL プ ロ フ ァ イル 暗号化 9-5 管理 9-2 定義 9-1 サーバ側の SSL 接続 証明書の検証 9-15 信頼で き る CA 9-4 サーバ側の検証、 説明 9-4 サーバ側のセ ッ シ ョ ンキ ャ ッ シ ュのサイ ズ 9-21 サーバ側の接続 1-4 サーバ証明書の作成 C-2 サーバチ ェ ーン フ ァ イル、 説明 9-4 サーバ ト ラ フ ィ ッ ク 、 レー ト ク ラ ス 16-8 サーバ認証 C-2 サーバのアベ イ ラ ビ リ テ ィ 3-9, 12-12 サーバのアベ イ ラ ビ リ テ ィ 、 向上 2-1 サーバの過負荷 4-1 サーバ負荷 6-28 サービ スのチ ェ ッ ク 、 ト ラ ブルシ ュ ーテ ィ ング A-28 サービ ス プ ロ フ ァ イル 一覧 5-1 サービ ス プ ロ フ ァ イル、 リ ス ト 5-1 最小ヘルスモ ニ タ 3-7 サイ ズ、 SSL セ ッ シ ョ ンキ ャ ッ シ ュ 9-21 サブネ ッ ト BIG-IP® Local Traffic Management 設定ガ イ ド サーバ ノ ー ド 14-2 し 識別名 10-5 識別名、 指定 10-5 自己署名証明書、 生成および要求 9-7 シス テムパ フ ォ ーマ ン ス、 監視 1-7 失効 CRL を参照 失効、 証明書 9-5 失効状態 チ ェ ッ ク 10-30 評価 10-29 送信元ア ド レ スのア フ ィ ニテ ィ パーシス テ ン ス 7-19 自動エ ン コ ー ド 7-10 シ ャ ッ ト ダウン ア ラ ー ト 9-23 受信 SNAT OneConnect 14-2 同 じ ネ ッ ト ワー ク 14-2 図解 14-4 定義 14-3 受信接続 着信接続を参照 上限レー ト 16-6, 16-9 承認 SSL 証明書の使用 9-3 グループ と ロール 10-23 承認オプ シ ョ ン、 リ ス ト 9-6 承認の失敗 6-4 承認パラ メ ー タ 、 一覧 10-24, 10-34 証明書 CA からの要求 9-8 イ ンポー ト 9-10 管理 9-7 更新 9-9 削除 9-10 承認 10-21 信頼 9-15 生成および イ ン ス ト ール 9-4 必要 9-26 ヘ ッ ダ と し ての挿入 9-6 目的 9-3 証明書検証の失敗 9-29, 10-31 証明書失効状態 チ ェ ッ ク 10-30 評価 10-29, 10-30 証明書失効 リ ス ト CRL を参照 証明書情報の確認 C-4 証明書チ ェ ーン フ ァ イル 9-29 証明書 と キーのペア、 要求 9-7 証明書のアー カ イ ブ、 作成 9-11 証明書の検証 C-4 証明書の検証、 ク ラ イ ア ン ト 側 9-4, 9-15 証明書の検証、 サーバ側 9-4, 9-15 証明書の失効 C-3 CRL を参照 証明書のス テー タ ス、 表示 9-7 証明書の認証機能 9-2 証明書の発行者 9-7 索引 - 7 索引 証明書の比較、 検索方法 10-22 証明書のマ ッ ピ ン グ、 検索方法 10-22 証明書要求、 送信 9-8 証明書要求方式 9-8 署名入 り の証明書 承認 10-21 証明書 も参照 侵入検知 2-18 シ ン プルパーシ ス テ ン ス 7-19 信頼で き る CA、 指定 9-4 信頼で き る CA パスの名前、 指定 9-15 信頼で き る CA フ ァ イルの名前、 指定 9-15 信頼で き る CA リ ス ト 、 送信 9-28 信頼で き る認証局の フ ァ イル 10-30 す 数式 と エ ン コ ー ド 7-10 数値 ク ラ ス 17-18 ス タ テ ィ ッ ク コ ン テ ン ツ 6-28 ス テ ィ ッ キーパーシ ス テ ン ス 宛先ア ド レ スのア フ ィ ニ テ ィ パーシ ス テ ン ス も 参照 ス テ ィ ッ キーパーシ ス テ ン ス タ イ プ 7-10 ス テー タ スア イ コ ン ノ ー ド 3-9 バーチ ャルサーバおよびア ド レ ス 2-24 プール 4-22 プール メ ンバ 4-24 ス テー ト メ ン ト コ マ ン ド 指定 17-12 定義 17-3 ス ト リ ー ミ ング メ デ ィ アプロ ト コル スループ ッ ト カ ス タ マ イ ズ 1-5 実施 16-1 スループ ッ ト 制限 16-2 スループ ッ ト 制約、 適用 16-8 スループ ッ ト ポ リ シー 16-1 スループ ッ ト ポ リ シー、 実施 16-1 スループ ッ ト レー ト 16-5 せ 正規表現 デー タ 圧縮 6-12 ト ラ フ ィ ッ ク分類 6-11, 8-10 整数デー タ グループ 17-18 セキ ュ アネ ッ ト ワー ク ア ド レ ス変換 SNAT を参照 セキ ュ リ テ ィ 侵犯、 防止 1-5 セ ッ シ ョ ン ID、 挿入 9-6 セ ッ シ ョ ンキ ャ ッ シ ュのサイ ズ 9-21 セ ッ シ ョ ンキ ャ ッ シ ュの タ イ ムアウ ト 9-21 セ ッ シ ョ ンの共有 7-15 セ ッ シ ョ ンの再ネゴ シ エーシ ョ ン、 強制 9-22 セ ッ シ ョ ンの認証 9-27 セ ッ シ ョ ンパーシ ス テ ン ス 2-1 iRule 17-15 SSL 接続 9-6 セ ッ シ ョ ンロス 監視 と 検出 8-22 索引 - 8 接続 シ ャ ッ ト ダウン ア ラ ー ト 9-23 証明書の検証 9-15 信頼で き る CA 9-4 認証 10-4, 10-10 プ ラ イ オ リ テ ィ によ る分散 4-14 接続キ ュ ー イ ング 16-9 接続の終端 9-26 接続パーシ ス テ ン ス 6-7 接続分配 4-13 接続要求 受信 2-5 設定 プ ロ ト コルプ ロ フ ァ イル 8-1 設定ユーテ ィ リ テ ィ Web ベースの使用 1-7 Welcome 画面 1-25 オ ン ラ イ ンヘルプの概要 1-25 設定ユーテ ィ リ テ ィ 1-7 目的 1-7 設定用ワー ク シー ト 1-22 セルフ IP ア ド レ ス SNAT 14-5 セルフ IP ア ド レ ス、 割 り 当て 2-12 線形空白、 管理 6-10 そ 送信元 IP ア ド レ ス 変換 13-1 送信元 IP 変換 2-3, 14-3 送信元ア ド レ スのア フ ィ ニ テ ィ パーシ ス テ ン ス 7-19 Insert モー ド 、 HTTP Cookie パーシ ス テ ン ス 7-8 た タ ー ミ ナルサーバの設定 7-15 帯域幅 借用 16-8, 16-9 補給 16-6 保存 16-6 ダ イ ナ ミ ッ ク IP ア ド レ ス、 パーシ ス テ ン ス 7-20 タ イムアウ ト 値 7-19 短命ポー ト 14-3 ち チ ェ ーン フ ァ イル 9-4, 9-15 着信接続 NAT 13-2 チ ャ ン ク 6-6 中間 CA、 信頼 9-15 中間者攻撃、 防御 9-22 て デ ィ ス ク メ ト リ ッ ク、 収集 A-53 デー タ 圧縮 説明 6-11 有効化 6-15 デー タ グループ 設定 17-16 索引 保存 17-20 デー タ グループサイ ズ 17-17 デー タ グループ ス ト レージ 17-19 デー タ グループ タ イ プ 17-17 デー タ グループ メ ンバ 17-21 デー タ 収集エージ ェ ン ト B-10 テ ス ト ア カ ウン ト 、 作成 A-28 デ フ ォル ト HTTP プ ロ フ ァ イル 5-6, 6-2 デ フ ォル ト LDAP プ ロ フ ァ イル、 変更 10-7 デ フ ォル ト RADIUS プ ロ フ ァ イル 10-42 デ フ ォル ト ゲー ト ウ ェ イ 14-2, 14-3 ア ド レ ス変換 2-3 デ フ ォル ト の圧縮値 6-13, 6-32 デ フ ォル ト のパーシ ス テ ン ス プ ロ フ ァ イル 2-19 デ フ ォル ト のワ イル ド カ ー ド バーチ ャ ルサーバ、 作 成 2-12 デ フ ォル ト プ ロ フ ァ イル 5-3 使用 5-3 要約 5-5 デ フ ォル ト ルー ト 14-2 テ ン プ レー ト ア プ リ ケーシ ョ ン テ ン プ レー ト も 参照 ア プ リ ケーシ ョ ンの設定 1-18 と 透過デバイ ス、 接続の受信 2-7 透過デバイ ス プール、 作成 2-12 透過 ノ ー ド 2-6, 2-7 統計情報 表示 2-8 統計情報、 バーチ ャ ルサーバ 2-23 同時 コ ネ ク シ ョ ンの制限 4-17 同時接続 2-20 同時接続の制限 3-7 匿名検索、 許可 10-5 ト ラフ ィ ック QoS レ ベル 4-10 管理 5-1 キ ュ ー イ ング 16-9 認証 10-1 プ ラ イ オ リ テ ィ によ る分散 4-14 リ ダ イ レ ク ト 6-4 ト ラ フ ィ ッ ク ク ラス 管理 15-3 作成 15-1 定義 15-1 ト ラ フ ィ ッ ク ク ラ スの設定 15-2 ト ラ フ ィ ッ ク ク ラ スは 15-1 ト ラ フ ィ ッ ク ク ラ ス リ ス ト 2-17 ト ラ フ ィ ッ ク タ イ プ、 管理 2-1 ト ラ フ ィ ッ ク のキ ュ ー イ ング 16-9 ト ラ フ ィ ッ ク の高速化 CMP 2-8 Fast L4 プ ロ フ ァ イルの使用 8-2 PVA 8-5 ト ラ フ ィ ッ ク の方向 と レー ト ク ラ ス 16-1 ト ラ フ ィ ッ ク の複製 2-18 ト ラ フ ィ ッ ク 複製 2-18 ト ラ フ ィ ッ ク フ ロー制限 16-5 ト ラ フ ィ ッ ク フ ロー タ ギング 2-17 ト ラ フ ィ ッ ク フ ローレー ト 16-6, 16-8 BIG-IP® Local Traffic Management 設定ガ イ ド ト ラ フ ィ ッ ク分類 8-10 ト ラ フ ィ ッ ク レー ト 、 バース ト 16-6 に 認識 さ れない宛先ア ド レ ス 2-5 認証、 セ ッ シ ョ ン ご と 9-27 認証 iRule 定義 10-2 割 り 当て 10-9, 10-43 認証 iRules 割 り 当て 10-15 認証局 10-30 CA を参照 認証プ ロ フ ァ イル 一覧 5-2 定義 10-2 割 り 当て 10-9, 10-15, 10-43 認証方式 9-26 認証モ ジ ュ ール 一覧 1-5 実装 10-2 定義 と リ ス ト 10-1 認証モ ジ ュ ールの種別 10-1 認証レ ベル 9-29 ね ネ ッ ト マス ク、 指定 2-12 ネ ッ ト ワー ク IP ア ド レ スデー タ グループ 17-17 ネ ッ ト ワー ク ア ド レ ス変換 (NAT) NAT を参照 ネ ッ ト ワー ク ト ラ フ ィ ッ ク 管理 5-1 認証 10-1 ネ ッ ト ワー クバーチ ャルサーバ 定義 2-5 ネ ッ ト ワー クバーチ ャルサーバの タ イ プ 2-5 ネ ッ ト ワー クパフ ォ ーマ ン ス、 最適化 1-4, 1-5 ネ ッ ト ワー ク マ ッ プ ア プ リ ケーシ ョ ン テ ン プ レー ト 1-21 定義 1-16 表示 1-16, 1-17 ネ ッ ト ワー ク マ ッ プ機能 定義 1-13 の ノード コ ネ ク シ ョ ン リ ミ ッ ト 3-7, 4-17 接続の受信 4-10 定義 3-1 ト ラ フ ィ ッ クのダ イ レ ク ト 7-20 プール メ ンバ と し て 4-7 ノ ー ド 情報、 Cookie 7-9 ノ ー ド のアベ イ ラ ビ リ テ ィ 3-9, 12-12 は パーシス テ ン ス iRule 17-1, 17-15 MSRDP プ ラ ッ ト フ ォ ームの要件 7-14 SSL 接続 9-6 索引 - 9 索引 条件 7-5 必要性 7-1 平文の ト ラ フ ィ ッ ク 7-20 パーシ ス テ ン スの タ イ マー 7-19 パーシ ス テ ン ス プ ロ フ ァ イル iRule 7-2 一覧 5-2 パーシ ス テ ン ス プ ロ フ ァ イルの種類 7-4 バース ト の制約事項 16-7 バース ト 保管域 16-6 バーチ ャルサーバ Fast HTTP プ ロ フ ァ イル 2-2 Fast L4 プ ロ フ ァ イル 2-2 iRule 2-1, 17-11 RTSP プ ロ ト コ ル 6-44 SNAT 14-6, 14-9 宛先 8-10 削除 2-26 定義 2-1 ネ ッ ト ワー ク マ ッ プ 1-14 パーシ ス テ ン ス 7-5 表示 2-23 プ ロ フ ァ イル 2-15, 5-12 無効化 2-12 バーチ ャルサーバア ド レ ス、 VLAN 2-12 バーチ ャルサーバ機能 2-1 バーチ ャルサーバの画面、 表示 1-11 バーチ ャルサーバの設定 設定 2-14 バーチ ャルサーバの タ イ プ 2-5 バーチ ャルサーバの統計情報、 表示 2-23 バーチ ャルサーバの動作 2-3 バーチ ャルサーバのプ ロパテ ィ 、 設定 2-14 バーチ ャルサーバのマ ッ ピ ン グ、 ワ イル ド カ ー ド の 定義 2-13 バーチ ャルサーバの リ ソ ース 変更 2-22 割 り 当て 2-14 パーテ ィ シ ョ ン iRule 17-7 SNAT 14-10 SNAT プール 14-7, 14-10 デー タ グループ 17-16 ノ ー ド 3-2 バーチ ャルサーバ 2-11 プール 4-2 プ ロ フ ァ イル 5-8 モニ タ 12-8, 12-17 レー ト ク ラ ス 16-2 ハー ド ウ ェ アの高速化 8-2, 8-5 パイ プ ラ イ ニ ン グ 定義 HTTP パイ プ ラ イ ニ ング íËã` 6-9 パイ プ ラ イ ン 定義 1-4 パケ ッ ト 、 キ ュ ー イ ン グ、 デキ ュ ー イ ング 16-1 パケ ッ ト スケジ ュ ー リ ン グ手法 16-2 パケ ッ ト スループ ッ ト 、 実施 16-1 パケ ッ ト の順序 16-9 パケ ッ ト フ ィ ル タ 16-11 索引 - 10 パケ ッ ト レー ト 、 超過 16-5 パケ ッ ト レー ト 制限、 指定 16-5 パケ ッ ト 、 キ ュ ー イ ング、 デキ ュ ー イ ング 16-9 パス フ レーズ SSL パス フ レーズ参照 パス フ レーズ暗号化 9-15 パス フ レーズの長 さ 9-15 パスワー ド の追加 と 削除 C-4 パ タ ーン文字列 ト ラ フ ィ ッ ク分類 6-11, 8-10 ハ ッ シ ュパーシ ス テ ン ス、 定義 7-12 発信接続 NAT 13-4 発信接続を参照 発信 ト ラ フ ィ ッ ク、 ToS レ ベル 4-10 バ ッ フ ァ サイ ズ、 圧縮 6-17 パフ ォ ーマ ン ス ロー ド バ ラ ン シ ング 4-13 パフ ォ ーマ ン ス (HTTP) バーチ ャルサーバ 2-2 パフ ォ ーマ ン ス (レ イヤ 4) バーチ ャ ルサーバ 2-2 パブ リ ッ ク IP ア ド レ ス プ ラ イ ベー ト へのマ ッ ピ ング 13-1 パラ メ ー タ 、 LDAP 認証 10-21 ひ ピ ア認証 9-15 表記規則 1-23 標準 SNAT 14-9 標準ア ド レ ス変換 14-2, 14-3 平文の ト ラ フ ィ ッ ク、 ロー ド バラ ン シ ング 7-20 ふ フ ァ イ アウ ォ ール 2-6 フ ァ イル、 包含 と 除外 6-12 プール iRule によ る選択 17-1, 17-4 SNAT または NAT 接続 4-8 削除 4-22, 4-26 定義 4-1 プール監視 4-7 プールス テー タ ス 4-22 プール設定、 デ フ ォル ト 値 4-16 プール と モニ タ の関連付け、 管理 4-27 プール名 4-7, 14-11 プール メ ンバ iRule によ る選択 17-4 サーバ と し て 4-7 追加 4-15 定義 1-12, 4-1 プール メ ンバス テー タ ス 4-24 プール メ ンバのアベ イ ラ ビ リ テ ィ 12-12 フ ォ ールバ ッ クパーシ ス テ ン ス プ ロ フ ァ イル 2-19 フ ォ ールバ ッ ク ホス ト 6-4, 6-5 フ ォ ワーデ ィ ングバーチ ャルサーバ 2-2 復号化 Cookie 6-9 説明 9-5 要約 9-3 複数の TMM イ ン ス タ ン ス 2-8 複数の要求 索引 開始 6-9 プ ラ イ オ リ テ ィ 値、 割 り 当て 4-14 プ ラ イ オ リ テ ィ メ ンバのア ク テ ィ ベーシ ョ ン 4-14 プ ラ イ ベー ト ク ラ ス IP ア ド レ ス パブ リ ッ ク へのマ ッ ピ ング 13-1 ブ ラ ウザ シ ャ ッ ト ダウン ア ラ ー ト 9-23 信頼で き る CA 9-28 デー タ 圧縮 6-11 ブ ラ ウザの回避策 6-20 ブ ラ ウザの制限 ネ ッ ト ワー ク マ ッ プ 1-14 フラッ ド 抵抗 8-22 プ ラ ッ ト フ ォ ームの要件、 MSRDP パーシ ス テ ン ス 7-14 フ ローテ ィ ング IP ア ド レ ス SNAT 14-5 プ ロキシサーバ 2-6 プ ロキシサーバのキ ャ ッ シ ュ 7-10 プロ ト コル パーシ ス テ ン スの設定 7-17, 7-19 バーチ ャ ルサーバ 2-15 プ ロ ト コ ルバージ ョ ン 指定 9-16, 9-19 設定 9-19 プ ロ ト コ ルプ ロ フ ァ イル 一覧 5-1, 5-2 プ ロ フ ァ イル 親の作成 5-4 カ ス タ ムの作成 5-4 説明 5-1, 9-11 定義 1-12, 5-1 デ フ ォル ト の使用 5-3 バーチ ャ ルサーバ 5-12 バーチ ャ ルサーババ 2-15, 5-12 バーチ ャ ルサーバ と の関連付け 1-12 プ ロ フ ァ イル設定、 オーバー ラ イ ド 9-12, 17-14 プ ロ フ ァ イル タ イ プ 5-1 プ ロ フ ァ イルの依存関係 5-13 プ ロ フ ァ イルの要約 5-5 プ ロ フ ァ イル名、 書き換え 6-8, 6-9 プ ロ フ ァ イル名、 指定 6-4, 6-41 へ ベーススループ ッ ト レー ト 16-5 ベースパケ ッ ト レー ト 16-6, 16-8 ヘッダ ク ラ イ ア ン ト 承認 9-6 検査 8-10 挿入 6-6 ヘ ッ ダ コ ン テ ン ツ、 消去 6-6 ヘ ッ ダ挿入 Cookie パーシス テ ン ス 7-8 ク ラ イ ア ン ト 側の認証 9-27 ヘ ッ ダ挿入構文 6-5, 6-6 ヘ ッ ダの検索 17-1 ヘルスモニ タ 設定 B-10 透過モー ド 4-8, 4-18 プール 4-7 BIG-IP® Local Traffic Management 設定ガ イ ド 論理グループ 4-8, 4-18 ヘルプ、 オン ラ イ ン 1-25 変換ア ド レ ス SNAT のための選択 14-9 パーシス テ ン ス 7-20 変換ア ド レ ス プ ロパテ ィ 14-11 ほ ポー ト 固有のワ イル ド カ ー ド バーチ ャルサーバ、 作 成 2-12, 2-13 ポー ト 番号 Cookie 7-9 書き換え 6-8 リ ダ イ レ ク ト 6-4 ポー ト 変換 NAT 13-2 ポー ト 変換、 オ フ にする 2-12, 2-13 ポー ト 変換設定 2-17 保管域 バース ト 保管域を参照 ホス ト IP ア ド レ スデー タ グループ 17-17 ホス ト バーチ ャルサーバ 定義 2-5 ホス ト 名、 リ ダ イ レ ク ト 6-4 補足情報 Platform Guide 1-22 TMOS Management Guide for BIG-IP Systems 1-22 設定用ワー ク シー ト 1-22 ま マス カ レー ド 攻撃 抵抗 8-22 マス ク、 シ ン プルパーシス テ ン ス 7-19 マップ ネ ッ ト ワー クの確認 1-16 み 未使用の帯域幅 借用 16-8 補給 16-6 保存 16-6 む 無効な プ ロ ト コ ルバージ ョ ン、 設定 9-19 め メ ソ ッ ド 、 キ ャ ッ シ ュ 6-29 メ タ デー タ 、 外部デー タ グループ 17-19 メ モ リ メ ト リ ッ ク、 収集 A-53 メ モ リ レ ベル gzip ア ッ シ ュ ク 6-19 も 文字列照合 6-11, 8-10 文字列デー タ グループ 17-18 モニ タ 管理 12-17 ノ ー ド 3-5 索引 - 11 索引 プール 4-7 モニ タ 関連付け、 タ イ プ 12-15 モニ タ と プールの関連付け、 管理 4-27 モニ タ のイ ン ス タ ン ス、 有効化、 無効化 12-17 モニ タ の設定 12-4 選択 10-30 レ スポン ダ URL パラ メ ー タ 10-30 レ スポン ダオブ ジ ェ ク ト 、 定義 10-2, 10-23 レ スポン ダ認証局パラ メ ー タ 10-31 レ スポン ダ定義、 選択 10-30 ゆ ろ ユーザ定義の メ ト リ ッ ク、 収集 A-53 ユーザ名を抽出、 検索方法 10-22 ユーザロール SNAT プール 14-7, 14-10 レー ト ク ラ ス 16-2 ユニバーサルパーシ ス テ ン ス、 定義 7-21 ユニバーサルプ ロ フ ァ イルの設定 7-21 要求、 チ ャ ン ク およびチ ャ ン ク解除 6-6 予約済みキーワー ド 12-9, A-1 ロー カル ト ラ フ ィ ッ ク管理、 定義 1-1 ロー カル ト ラ フ ィ ッ クサマ リ 1-14, 1-15 ロー ド バ ラ ン シ ング、 概要 1-7 ロー ド バ ラ ン シ ングバーチ ャルサーバ 2-1 ロー ド バラ ン シ ングプール 1-12, 4-1 ロー ド バ ラ ン シ ング方式 CMP 2-9 定義 4-1 デ フ ォル ト 4-11 ロールベースの LDAP 承認 10-23 ロールベースの承認 10-23 論理演算子、 リ ス ト 17-3 ら わ よ ラ ス ト ホ ッ プ プール、 バーチ ャルサーバ 2-18 り リ ソ ース、 制御 9-6 リ タ ーンパス 14-2 リ ダイ レ クシ ョ ン 書き換え 6-8 定義 6-4 プールの選択 17-5 リ ダ イ レ ク シ ョ ン書き換え 有効化 6-8 例 6-8 リ モー ト 認証 TMM サービ ス 10-1 る ルー タ 2-6 ルーテ ィ ン グの問題 14-3 ルー ト ア ド バ タ イ ズ 2-20 ルー ト 挿入 2-20 ルール iRule を参照 ルール演算子、 リ ス ト 17-3 れ レー ト ク ラ ス 管理 16-11 作成 16-2 定義 16-1, 16-2 名前付け 16-5 方向 16-8 割 り 当て 16-2 レー ト ク ラ ス設定 16-4 レー ト ク ラ スの例 16-7 レー ト シ ェ ーピ ン グ、 定義 1-5, 16-1 レ スポン ダ CA 10-31 索引 - 12 ワ イル ド カ ー ド サーバ VLAN への割 り 当て 2-7 作成 2-12 ワ イル ド カ ー ド バーチ ャルサーバ、 定義 2-6
© Copyright 2024 Paperzz