Amazon Web Services の Brocade Virtual Traffic Manager

WHITE PAPER
Amazon Web Services の
アプリケーション・デリバリと
負荷分散機能を拡張する
Brocade Virtual Traffic Manager
AMAZON
ELASTIC LOAD BALANCING
をご利用中ですか ?
抽象化されたサービスである Amazon ELB
は、基本的な Web サービス・ロード・バラ
ンサとして優れた機能を提供します。しかし、
時代の最先端を行く多くのグローバル企業に
は、アプリケーション・デリバリ・コントローラ
にしか提供できない高度な機能が必要です。
Brocade Virtual Traffic Manager は、
Amazon Web Services 上に展開されたあ
らゆるアプリケーションとシームレスに統合
するように設計されており、負荷分散、ユー
ザ・エクスペリエンスの最適化、アプリケー
ションの拡張、アプリケーションのきめ細か
い制御などを行えます。
Amazon ELB を補完する機能が充実した
Brocade Virtual Traffic Manager なら、き
わめて信頼性の高いクラウド環境を構築で
きます。
リージョン間の負荷分散
Amazon Elastic Load Balancing(Amazon ELB)は、単一のリージョン内にある 1 つ
以上のアベイラビリティ・ゾーン(AZ)のインスタンス間で負荷を分散することができま
す。これに対し、Brocade Virtual Traffic Manager の高度なアプリケーション・デリバリ機
能を使用すると、複数のリージョン間で負荷を分散でき、AWS GovCloud などにも対応で
きます。 Virtual Traffic Manager には、2 種類のアプローチが用意されています。1 つは、
Traffic Manager インスタンスを分散させ、1 つのクラスタとして管理するアプローチ。も
う 1 つは、地理的なロケーションを考慮しながらサーバの負荷分散をグローバルに行うア
プローチです。また、Traffic Manager を Amazon EC2 の Auto Scaling と連携させるこ
とによって、AZ、リージョンの内部または AZ、リージョン間での負荷の変化に合わせて、
アプリケーション・インスタンスを動的に追加、削除することができます。
マルチ・サイト・クラスタ管理
マルチ・サイト構成(図 1 参照)では、1 つ以上の AZ またはリージョンに複数の Traffic
Manager インスタンスを展開して一元的に管理できるクラスタを構築し、アプリケーション・
サービスを高い耐障害性で提供することができます。
Brocade Virtual Traffic Manager のサービス構成は、クラスタ内のすべてのインスタンス
間でレプリケートされます。マルチ・サイト以外の環境の場合と同様に、構成データの大
半は共有されます。ただし、マルチ・サイト管理では、この機能がさらに拡張されており、
AZ、リージョン固有の構成を行い、その AZ またはリージョンでマークしたインスタンスの
みでアクティブにすることができます。つまり、ある種の下位クラスタを構築し、地域に応
じてサービスを提供できます。各リージョンの Traffic Manager インスタンスは、アクティ
ブ/アクティブ・モードに構成できるため、単一障害点によってシステムが停止する可能性
を最小限に抑えることができます。
図 1: Brocade Virtual Traffic Manager は、AWS の複数のリージョンにわたってローカルおよびグロー
バルに負荷分散を行うとともに、高度なクラスタリング機能によって管理を簡易化します。
マルチ・サイト・クラスタ管理機能は、通常、1 つのリージョンでサービスの提供を開始し
たあとに、2 つ目のリージョンに複製した場合に使用します。 Traffic Manager のインスタ
ンスは、そのロケーションに関係なく、1 つの仮想クラスタとして管理されます。管理イ
ンターフェイスでは、インスタンスがインタラクティブな世界地図上に表示されます。この
ため、管理者は、リソースの展開状況を大局的に把握でき、また表示を絞り込んで特定の
Traffic Manager インスタンス、アプリケーション・サーバ、サービスを要求しているユー
ザについての情報を見ることもできます。
2
グローバル・サーバ・ロード・バランシング
Brocade Virtual Traffic Manager は、使いやすく、機能に優れたグローバル・サーバ・ロー
ド・バランシング(GSLB)に構成できます。このことにより、複数のリージョン間でのフェ
サイトのパフォー
イルオーバが可能になります
(図 2 参照)。GSLB は、容易に展開できる上、
マンスやトラフィックの分散状況を詳細に把握することができます。
GSLB を使用する主な目的は、1 つ以上のサービス・ロケーションが利用できなくなった
場合でもサービスを常に提供できるビジネス継続性を実現することです。また、GSLB は、
世界中に分散された複数のロケーションの中から最適なロケーションに各ユーザをルーティ
ングして、ユーザ・エクスペリエンスを向上させるためにも使用されます。
GSLB は、サービスが複数のリージョンでホストされている場合に、クライアントを特定の
地理的なロケーションに接続する方法を管理します。
• アクティブ/パッシブ : サービスごとに 1 つのロケーションをアクティブとして指定します。
他のロケーションは、そのサービスのアイドル・ロケーションとなります。アクティブ・ロケー
ションが利用できなくなると、パッシブ・ロケーションの 1 つがアクティブになり、すべて
のクライアントがルーティングされます。
• アクティブ/アクティブ : すべてのロケーションが使用され、クライアントは、ロケーショ
ンのパフォーマンスと距離に応じて、すべてのロケーション間で負荷分散されます。
図 2: グローバル・サーバ・ロード・バランシングは、地域に応じてサービスやユーザを振り分け、ユーザ・
エクスペリエンスを向上させます。
各クライアントが最高レベルのサービスを受けられるよう、ロケーションのパフォーマンス、
クライアントとの距離、リソースの需要と可用性など、ロケーションの決定に影響する要素
を完全にカスタマイズできます。サービスの各インスタンスを異なる IP アドレスから提供
できます。各クライアントが同じ完全修飾ドメイン名を使用してサービスにアクセスできる
ようにするために、サービスをホストしているすべてのロケーションの IP アドレスを返すよ
うに DNS サーバを構成します。 Brocade vADC は、DNS プロキシとして機能し、DNS
のラウンド・ロビン応答を書き換えて、各クライアントが最適なロケーションにルーティング
されるようにします。 Brocade vADC は、各ロケーションのパフォーマンスと可用性を監視
しており、負荷分散先を決定する際にこの情報を使用します。
3
HTTP 接続の多重化
Brocade Virtual Traffic Manager は、クライアント側、サーバ側の接続をそれぞれ管理し、
可能なかぎりサーバ側のキープアライブ接続を再利用して、サーバに対する確立済み TCP
接続と新規 TCP 接続の数を減らします。接続の多重化(図 3 参照)は、個々のクライア
ントからの大量の外部接続要求をプールして、アプリケーション・サーバへの接続数を削
減します。また、多重化によって、サーバへの接続が長い時間オープン状態に維持されま
す。こうした技術によって、
サーバが処理する必要がある同時接続の数が最小限に抑えられ、
パフォーマンスや容量の点で大きなメリットがもたらされます。
図 3: 接続の多重化によって、クライアントからの多数の外部接続が統合され、アプリケーション・イン
スタンスの負荷が軽減されます。
Traffic Manager は、個々のクライアント接続の管理に必要なオーバーヘッドを削減して、
サーバが大量の外部接続要求に迅速に応答できるようにします。既存のアプリケーション・
サーバ・インスタンスでは、同時に発生する外部接続要求に対する処理能力が大幅に向上
するため、すぐにメリットを実感できます。
また、他の ADC とは異なり、Brocade Virtual Traffic Manager は、この機能を透過的に
実装します。接続の多重化によるパフォーマンスの向上を実現するために、特別な構成や
スクリプト・ルールは不要です。開発者は、パフォーマンスの最適化を ADC に自動で任せ、
アプリケーションのデリバリを向上させるルールに集中的に取り組むことができます。
クライアント側のパフォーマンス管理
帯域管理
Brocade Virtual Traffic Manager では、インバウンド・トラフィックまたはアウトバウンド・ト
ラフィックによって使用される帯域幅を制限できます。通常、ネットワーク帯域は、すべて
の接続に最大限提供されます。この方法では、アプリケーションが不均等に使用される可
能性があり、より重要なサービスではなく、2 番目に重要なサービスに大量の帯域が使用
される場合があります。帯域管理は、
この不均衡を明確に制御します。たとえば、20 メガビッ
ト/秒のネットワーク接続が匿名のブラウザによって過剰に使用されている場合、ログイン
中のユーザへの応答が遅くなることがあります。ログイン中のユーザに対して高いパフォー
マンスを確実に提供するために、ルールによって、認証クッキーがないすべての接続のアウ
トバウンド帯域を 2 メガビット/秒に制限することができます。帯域の制限は、クラスタ内
のすべての Traffic Manager インスタンス間で自動的に共有、実施されます。それぞれの
インスタンスは、その負荷に応じて総制限に占める割合を個別に調整し、未使用の帯域は
それぞれインスタンスのニーズに応じてクラスタ全体で均等に割り当てられます。
4
リクエスト・レート・シェイピング
個々のユーザが、他のユーザに影響をもたらすほどにサービスを独占的に使用することが
あります。拡張性に制約があるバック・エンドのアプリケーション・インフラストラクチャは、
過剰な数の要求を受け取ると、処理不能に陥りやすくなる可能性があります。リクエスト・レー
ト・シェイピングは、特定のアクティビティが発生できるレートを制限します。さまざまなイ
ベントに対して秒単位、分単位で制限を指定できるほか、イベントの識別方法についても
非常にきめ細かく制御できます。たとえば、次のような制限が可能です。
• レート・シェイピング : 個々の Web スパイダーのレート・シェイピングによって Web サイ
トが処理不能に陥ることを防止できます。リモートの IP アドレスごとで、各 Web スパイダー
に要求レートの最大値を設定できます。
• スロットリング : 個々の接続、または同じクライアントからの一連の接続のスロットリング
によって、各接続の 1 秒あたりのトランザクション数に最大値を設定できます。
• グローバルなレート・シェイピング : 1 秒あたりの接続数のグローバルなレート・シェイピ
ングは、アプリケーションに適用できます。
• 制限 : 1 分あたりの各ユーザによるログイン試行数の制限によって、辞書ベースのログイ
ン攻撃を回避できます。
アクティブ/アクティブ・ロード・バランシング
Brocade Virtual Traffic Manager は、Amazon Web Services の高度な負荷分散にアクティ
ブ/アクティブ・フェイルオーバ機能をプラスすることによって、ROI を 2 倍にします。こ
アクティ
れは、
すべての ADC がトラフィックにサービスをアクティブに提供できるようになり、
ブ/パッシブ構成のように未使用の ADC インスタンスが発生しないためです。
アクティブ/アクティブ構成では、複数のアクティブ・メンバーでクラスタを構築し、複数の
トラフィック IP グループ内で複数のトラフィック IP をサポートできるため、
すべてのトラフィッ
ク・マネージャにおいてトラフィックがアクティブに処理されるようになり、トラフィック管理
レイヤの拡張性と信頼性を大幅に高めることができます。
アプリケーションに統合されるセキュリティ機能
Amazon EC2 インスタンスは、セキュリティ・グループによって保護されています。セキュ
リティ・グループでは、許可するインバウンド・トラフィック・ソースとデスティネーション・ポー
トを定義します。 Brocade Virtual Traffic Manager と Brocade Virtual Web Application
Firewall は、セキュリティ・グループが提供する基本的な保護を拡張して、攻撃からの保護
を強化します。
Traffic Manager は、アプリケーション・レベルですべての受信トラフィックと発信トラフィッ
クを検査するため、TrafficScript でルールを記述して、データの漏洩を最小限に抑えるこ
とができます。たとえば、クレジットカード番号、社会保障番号などの個人を特定できる情
報の可能性がある数字のパターンをサーバの応答から削除できます。このようなアプロー
チは、アプリケーションを修正しても迷惑行為を排除できない場合に役立ちます。また、
Traffic Manager は、サービス拒否(DoS)攻撃や分散型サービス拒否(DDoS)攻撃な
どの簡単な悪用や攻撃からアプリケーションを保護します。
Web Application Firewall は、アプリケーション・レイヤで攻撃を検知し、ブロックすることで、
高度な保護を実現します。 OWASP などの情報源から提供されるベースライン・ルールセッ
トを使用して、Web Application Firewall は、すべてのトラフィックにおいて既知の脅威や
未知の異常がないかどうかをスキャンします。ルールセットは頻繁に更新されます。これは、
攻撃者が攻撃手法を常に進化させているためです。
5
拡張性とパフォーマンスを高める分散展開
Web Application Firewall を分散構成で展開すると、パフォーマンスに影響が及ぶ可能性
を最小限に抑えることができます。許可されたトラフィックは、アプリケーション・サーバ上
で稼働する実行モジュールを自動で通過します。疑いのあるトラフィックは、検査のために
決定ノードのファームに送信されます。トラフィックが正当なものであれば、その後トラフィッ
クは実行ノードで許可されます。トラフィックが悪質であると判断された場合は、実行ノー
ドによってブロックされます。ルールを「シャドー」モードで実行すると、実働トラフィック
を使用して、可用性に影響を与えることなくルールのテストと修正が行えます。想定通り
に動作していることを確認できたルールは、完全に有効にすることができます。 Brocade
Virtual Web Application Firewall は、PCI-DSS 6.6 セキュリティ要件の順守に役立ちます。
その他の機能
Brocade Virtual Traffic Manager を Amazon Web Services で使用すると、前述の機能に
加えて、従来のロード・バランサにはなかった以下のようなトラフィック管理機能を利用でき
ます。
• 自動化アプリケーションによる、バックエンド・サーバ向けの自動拡張機能
• HTTP/HTTPS 以外のアプリケーション向けの高度なセッション・パーシステンス
• クライアント IP アドレスの透過
• アプリケーションの可用性とレイテンシの監視
• コンテンツ・ベースのルーティング決定
• 受信および送信の要求/応答トラフィックの操作
• あらゆるポートでの TCPトラフィックのバランス調整
• インスタンスの登録解除(インスタンスの完全削除の準備)
• Web コンテンツのキャッシュと Webトラフィックの圧縮(必要な場合)
Brocade Virtual Traffic Manager を、堅牢で信頼性の高い Amazon Web Services クラウ
ド・コンピューティング・インフラストラクチャと組み合わせることで、組織の規模に関係なく、
世界規模での事業の展開、拡張を迅速に実現できます。
詳細については、http://www.brocadejapan.com/vadc および
http://www.brocadejapan.com/products/application-delivery-controllers/steelapptraffic-manager/overview をご覧ください。
6
ブロケード コミュニケーションズ システムズ株式会社
〒 100-0013 東京都千代田区霞ヶ関 1-4-2 大同生命霞ヶ関ビル
TEL.03-6203-9100 FAX.03-6203-9101 Email:japan-info@brocade.com
BROCADE に関するより詳しい情報は、以下の Web サイトをご覧ください。
http://www.brocadejapan.com
© 2015 Brocade Communications Systems, Inc. All Rights Reserved. 09/15 GA-WP-1977-00-J
ADX、Brocade、Brocade Assurance、B-wing シンボル、DCX、Fabric OS、HyperEdge、ICX、MLX、MyBrocade、OpenScript、The Effortless Network、
米国およびその他の国における Brocade Communications Systems, Inc. の登録商標です。Fabric Vision および vADX は、
VCS、
VDX、
Vplane および Vyatta は、
米国およびその他の国における Brocade Communications Systems, Inc. の商標です。その他、記載されているブランド、製品名、サービス名は各社の商標であ
る場合があります。
注意:本文書は情報提供のみを目的としており、Brocade の提供する、またはこれから提供する予定のいかなる装置、装置の機能またはサービスに関して、
明示的あるいは暗示的ないかなる保証も行うものではありません。Brocade は、予告なくいつでも、本文書を変更する権利を留保し、その使用に関して一切
の責任を負わないものとします。本情報提供文書には、現在利用できない機能が含まれている場合もあります。機能および製品の利用可能性についての情報
は Brocade の販売担当者にお問い合わせください。本文書に含まれる技術的データを輸出するには、アメリカ合衆国政府からの輸出許可が必要となる場合が
あります。