ArrayAPVシリーズ
ArrayAPVシリーズは、SSLアクセラレーターと負荷分散装置をひとつにした統合アプライアンス製品です。
サーバー負荷分散
クラウドサービスやモバイルデバイスの普及などで、インターネットトラフィックは増加の一途を辿っており、サーバー負荷分散の重要性は一層高まっています。
ArrayAPVシリーズはその中核としてロードバランサーとしての機能を有しており、洗練されたサーバー負荷分散を実現します。
サーバー負荷分散とは
サーバー負荷分散とは、クライアントからのアクセス要求処理のため、Webサイトなどのアプリケーションに掛かる負荷を複数のサーバーに分散させることを指します。例えば、ある企業のWebサイトにアクセスがあった場合、その企業のWebサーバーは要求されたページを結果として返せるようにアクセス要求を処理します。しかし、アクセスが多数となりWebサーバー内での処理が追い付かなくなってしまうと、クライアントのWebブラウザーでの表示遅延や最悪の場合、サービス停止につながる可能性があります。このような事態を防ぐために、Webサイトへの負荷を複数のサーバーに分散させ、一つのサーバーに掛かる負荷を低減させることでWebサイトの信頼性や性能を確保します。
サーバー負荷分散の種類
サーバー負荷分散の種類は多数あります。例えば「DNSラウンドロビン」や「広域負荷分散」、「専用装置を利用した負荷分散」です。
-
DNSラウンドロビン
アクセス要求をうけたDNSサーバーが、自身に紐づけられている複数の公開サーバーのIPアドレスを各クライアントに順番に返していくことで処理を分散させます。分散先のサーバーの負荷状況の確認などは行わないため、場合によってはサーバーへの負荷軽減につながらないこともあります。
-
広域負荷分散
負荷分散を行うために用意する複数のサーバーを、ひとつの建屋内などに用意するのではなく、世界各地に用意し、アクセス要求を分散させます。例えばアメリカからのアクセスがあった場合は、アメリカにあるサーバーに処理を分散させることで、サーバーへの負荷を軽減するだけでなく、クライアントに対しても迅速に応答することができ、耐障害性も高まります。
-
専用装置を利用した負荷分散
専用装置を導入し、その装置が複数のサーバーにアクセス要求を分散させます。外部からのアクセス要求だけではなく、社内システム利用時など、社内からのアクセス要求も分散させることができます。
専用装置を導入することで、サーバー負荷分散だけでなく、SSL通信高速化や回線負荷分散といった信頼性や性能をさらに高める機能も一緒に利用できます。
サーバー負荷分散の手法
サーバー負荷分散の手法も多数あります。例えば「ラウンドロビン方式」や「重みづけ方式」、「最小コネクション方式」です。
-
ラウンドロビン方式
分散先の各サーバーに対し、クライアントからの要求を順番に均等に割り振ります。
-
重みづけ方式
分散先の各サーバーの性能を鑑みて、要求の割り振りを調整します。
-
最小コネクション方式
分散先の各サーバーの中でコネクション数が一番少ないサーバーにクライアントからの要求を割り振ります。
負荷分散アルゴリズム
負荷分散アルゴリズムとして、以下をサポートしています。
- ラウンドロビン
- 最小帯域
- 最小コネクション数
- 重み付けラウンドロビン
- SNMPポーリング
- 最短応答時間
など
セッション維持機能
以下の情報をキーとしてクライアントとバックエンドサーバー間のセッションを維持することが可能です。
- Arrayが発行するCookie
- URLに含まれる特定の文字列
- QoSネットワーク
- サーバーの発行するCookie
- HTTPヘッダ
- SSLセッションID
- URLに含まれるホスト名
- ソースIPアドレス
- jsessionID
など
サーバーヘルスチェック
ArrayAPVシリーズは、一定の間隔でバックエンドの実サーバーへ、ヘルスチェックパケットを送信します。実サーバーから応答がなかった場合、ArrayAPVシリーズはその実サーバーがDOWNしたと判断します。
サポートしているヘルスチェック方式は、以下のとおりです。
- Ping(ICMP)
- HTTPS
- HTTP
- TCP
- LDAP
- HTTP カスタマイズ
- Script TCP
- RADIUS
その他、負荷分散対象以外のDBサーバーなどにヘルスチェックを行うことも可能です。
セッション集約
複数のHTTPセッションを少数のセッションに集約。さらに、セッションの再利用により、サーバーの負荷を軽減します。
ロードバランサーとしての機能を有するArrayAPVシリーズは、インサイド側のHTTP通信のTCPセッションを集約・再利用することでサーバー負荷の軽減を図ります。ひとつのページの中に画像など多くのコンテンツが存在するWebページでは多数のTCPセッションが使用されます。セッション集約により、これを解消することができます。
TCPセッションの集約
HTTP1.1では、KeepAlive機能がサポートされており、ひとつのTCPセッションで複数のHTTPリクエストを処理することが可能です。ArrayAPVシリーズはデフォルトでKeepAlive機能によるセッション集約を行います。
TCPセッションの再利用
HTTP1.1のKeepAlive機能を用いたHTTPリクエストでは、サーバーはリクエスト終了を判断できない場合があり、タイムアウトとして設定された時間だけ、無駄なセッションを維持することになります。ArrayAPVシリーズは、既存のセッションを再利用することでこの問題に対応します。
その他
サーバーのグルーピング
個々の実サーバーをグループ単位で扱うことが可能です。ひとつの実サーバーは複数のグループに属することが可能です。サーバーをグループ単位で負荷分散の対象と設定することで、単一のサーバーを複数の論理サーバーとして扱うことが可能です。
グレースフルシャット機能
エンドユーザーからの接続を途切れさせることなく、実サーバーのメンテナンスが可能です。
特定の実サーバーへの新規リクエストの振り分けを中止し、セッション維持された既存のリクエストは、該当セッション終了まで振り分けられます。
バックアップサーバー機能
負荷分散対象のサーバーが全てDOWNした際にリクエストを割り振る、バックアップサーバーを定義可能です。
HTTPエラーメッセージの
HTTPエラーコードごとに、ArrayAPVシリーズへユーザー定義のエラーページをインポート可能です。障害発生時やサーバーメンテナンス時などに表示されるエラーページをカスタマイズできます。
ポリシーネスティング
ツリー状にポリシーを定義することで、別途スクリプトプログラムを準備することなく、複数の異なる負荷分散グループにクライアントからのリクエストを振り分けることが可能です。
SSLアクセラレーター
ArrayAPVシリーズは、全機種ハイパフォーマンスなハードウェアSSLアクセラレーターを標準装備しています。
サーバー側で行うSSL暗号処理を、ArrayAPVが代わりに処理することでサーバーのSSL暗号処理コストを"ゼロ"にし、Webアプリケーションのパフォーマンスを最大化します。
業界でもトップレベルの
SSLアクセラレーション機能をロードバランス機能とともに合わせもつことは、ArrayAPVシリーズの大きな特長のひとつです。
単純にSSLアクセラレーターとしてだけ見てもその性能は秀逸で、SSLトランザクションの処理能力は、業界でもトップレベルの性能を発揮することができます。
ArrayOSの
SSLクライアント認証
クライアント証明書を持つクライアントのみにアクセスを許可することが可能です。
- CRL(Certificate Revoked List:失効リスト)もサポート。
- クライアント証明書をHTTPのX-Client-Certヘッダに格納し、バックエンドの実サーバーへ受け渡すことも可能。
HTTPからHTTPSへの
HTTPによるクライアントからのリクエストを、ArrayAPVシリーズが自動的にHTTPSへリダイレクトすることが可能です。
インサイドSSL
クライアント-ArrayAPVシリーズ間だけでなく、ArrayAPVシリーズ-バックエンドサーバー間のトラフィックも暗号化が可能。End-to-Endのセキュアなアクセスを実現します。
ArrayAPVシリーズ-バックエンドサーバー間の通信は、単一SSLコネクションに複数のHTTPリクエストを多重化(セッション集約)します。そのため、サーバーの負荷はクライアントと直接接続する場合に比べて小さくなります。
SSLヘルスチェック
バックエンドサーバーが、SSLハンドシェイク・リクエストに正しく応答しているかを確認することが可能です。インサイドSSLを利用する場合に効果的です。
セキュリティ機能
ArrayAPVシリーズは独自ビルドのArrayOSで動作し、オープンソースを使用したOSに比べ安全に利用可能です。
また、簡単なパケットフィルタリング機能も備えています。
OSの堅ろう性
ArrayOSはサービス
ArrayOSはサービスコンポーネントが独自ビルドのため、以下のような優位性があります。
- 一般的な脆弱性に該当しないケースが多い
- 攻撃対象となる可能性自体が少ない
| 脆弱性名称 | 該当箇所 | ArrayOS APV | 競合製品 F社 TMOS |
|---|---|---|---|
| Heartbleed | OpenSSL | 非該当 | 該当 |
| POODLE | SSL v3, TLS 1.0 | 該当 | 該当 |
| Shell Shock | GNU Bash | 非該当 | 該当 |
| GHOST | GNU Cライブラリ | 非該当 | 該当 |
Webwall機能
Webwall機能は、自分自身とバックエンドサーバーを守るための簡単なパケットフィルタリング機能です。
アクセスコントロールリスト(ACL)によってIPアドレス/ポートの組み合わせを定義します。定義に適合した通信を許可または拒否します。
Webwallはステートフルインスペクション機能も持ちます。
ゼロコストACL
Webwall機能におけるACLはゼロコストACLと呼ばれ、非常に高速です。ACLは一般的に、リストのエントリ数に応じて処理時間が増大します。しかし、Arrayシリーズにおいては「Acalable Permissions Architecture技術」によって、数千というエントリ数でも処理速度がほとんど低下しません。WebwallのCPUへの負荷はわずか1%程度です。
高速リバースキャッシュ
ArrayAPVシリーズは、キャッシュサーバーとしても動作します。バックエンドサーバーからのレスポンスをキャッシュし、サーバーに代わってArrayAPVシリーズがクライアントからのリクエストに応答します。
これにより、サーバーの負荷を軽減し、クライアントへの応答を高速化します。
ArrayAPVシリーズの高速リバースキャッシュ機能は、ハードディスクを使用しない100%オンメモリー処理により、卓越した高速応答を実現しています。
- URLや拡張子によってキャッシュする/しないを指定することが可能。容量が大きく更新頻度の少ない画像データのみキャッシュする、といった運用も可能です。
- 高速リバースキャッシュ機能は、すべてのArrayAPVシリーズで標準装備しています。
コンテンツ圧縮/変換
コンテンツ圧縮
クライアントへのコンテンツをArrayAPVシリーズがダイナミックにgzip圧縮して送信。特に低速回線でアクセスするクライアントでは、応答速度が目に見えて向上します。
圧縮されたコンテンツは、クライアントのブラウザで自動的に解凍されます。
- ※一般的なブラウザは、gzip解凍機能を標準で備えています。
そのため、クライアントには特別な準備は必要ありません。
コンテンツを圧縮することで、データの転送に必要な帯域を削減し、回線を効率よく利用できるようになります。
コンテンツ変換
htmlやxmlに記載された、HTMLのBody部分を書き換えます。
各サービスごとに、URL正規表現に一致するファイルの書き換え/拒否などが設定可能です。
冗長化
ArrayAPVシリーズ自身を冗長化し、システムのノンストップ化を実現します。
ArrayAPVシリーズの冗長化機能には、HA構成と、クラスタ構成の2種類を備えています。
どちらの構成も、vAPVを含むArrayAPVシリーズでご利用いただけます。
HA構成
ArrayAPVシリーズ同士のネットワークインタフェースをLANケーブルで直結接続し、機器全体もしくはサービスグループといった単位で冗長化することが可能です。
また直結接続した機器間で設定情報やTCPコネクションの同期などを行えます。設定情報の同期やファイルオーバーをスムーズに行えます。
- ※HA構成は一般の通信と混在しないよう機器のインタフェース直結接続を推奨しています。
クラスタ構成
クラスタ構成は、従来のArrayAPVx200シリーズなどの旧モデルから搭載されており、
冗長機器間でネットワーク越しにVRRPベースの死活監視を行い、障害発生時に切替りを行います。
Fast Failoverケーブル
Fast Failoverケーブル(FFOケーブル)は、HA構成、クラスタ構成どちらの場合でもご利用頂けます。
FFO専用ケーブルで冗長機器間を接続することで、ハードウェア障害などをすばやく検知し、1秒以下での高速な切替りを実現します。
- ※FFOケーブルをご利用の場合、最大2台での冗長構成となります。
vAPVの場合は、FFOケーブルによる各種機能をご利用いただけません。
コンフィグレーションの
ネットワークインタフェースを介し、クラスタを構成するArrayAPVシリーズ間で設定情報の同期を行うことが可能です。
通信プロトコルにはSSHを使用しており、SSL証明書や秘密鍵もセキュアにやりとりすることが可能です。
クラスタを構成するArrayAPVシリーズが多数存在する場合でも、それぞれの機器での設定を迅速に行うことが可能です。
リンク負荷分散
Link Load Balance
リンク負荷分散とは、ISP(インターネットサービスプロバイダ)接続を冗長化し、回線を負荷分散する機能です。一方の回線の障害時にも、他方の回線を使ってサービスを継続します。
- 負荷分散アルゴリズムは、ラウンドロビン、重み付けラウンドロビン、最小応答時間、および動的検出に対応。
- ポリシーを設定することにより、送信元/宛先IPアドレス・ポートといったパラメータに応じて、静的経路を定義可能。例えば、Webアクセスは必ず固定のISPリンクを使用するといった設定が可能です。
- ISPリンクは、Active-Activeで利用できます。回線のパフォーマンスや投資を無駄にしません。
Inbound & Outbound
ArrayAPVのマルチホーミング機能は、Outbound方向の回線負荷分散だけでなく、独自のSmart DNS機能によってArrayAPV自身がDNSサーバーのように振舞うことでInbound方向の回線負荷分散にも対応します。
Inbound回線負荷分散
独自のSmart DNS機能によってArrayAPV自身がDNSサーバーのように振舞うことでInbound方向の回線負荷分散にも対応します。
クライアントからのDNSリクエスト受け取ったArrayは、負荷分散アルゴリズムに基づき、ISP1/ISP2といった回線に振り分けます。
Outbound回線負荷分散
クライアントがインターネット上のサーバーにアクセスする際Arrayは受け取ったパケットを、設定された負荷分散アルゴリズムに基づいて、ISP1/SP2といった回線を選択し、Next Hop Routerへ振り分けます。
管理機能
ArrayAPVシリーズは、設定作業を行うSEや管理者向けに以下のような多彩な管理機能を提供します。
コンフィグレーション
Arrayのコンフィグレーションは、以下の2通りの方法で行えます。
CLI
一般的なコマンドラインで設定を行います。シリアル接続を介したものと、ネットワークを介したSSHによるものとがあります。
WebUI
親しみやすいGUIで、ブラウザから設定を行います。
日本語GUIもサポートしています。
設定内容は、単一のファイルとしてバックアップ/リストアが可能です。
XML-RPC/SOAP
XML-RPCを使用し、コマンドを設定し外部からの制御を行うことが可能です。
また、XML-RPCの拡張版である、SOAP-APIにも対応しています。
SNMP
SNMP機能による、機器情報の取得およびTRAPの送出が可能です。プライベートMIBもサポートしています。
マルチネット/VLAN/リンクアグリゲーション対応
物理的なひとつのポートで複数セグメントとの通信を可能にするマルチネットやVLANをサポート。また、複数のポートを論理的にひとつのインタフェースとして集約するリンクアグリゲーション機能も備え、さまざまなネットワーク環境に対応します。
ログ機能と
システム状況やHTTPアクセスログは、ArrayAPVシリーズ内部で記録されます。これをSyslogサーバーへ出力することも可能です。
- ※HTTPアクセスログは、squid、welf、common、combind、およびユーザー定義フォーマットでの出力が可能。
また、設定した特定の文字列を含むログが出力されたときに、管理者へメールで通知することが可能です。
パケットトレース機能
各インタフェースのパケットトレースを取得できます。トラブルシューティングに有効です。
仮想アプライアンス vAPV
仮想環境サーバー上で動作するArrayAPVのソフトウェアアプライアンスです。
ArrayAPVの搭載する全機能を搭載しており(*)、オンデマンドにスケールアウト可能な新しいArrayのアプリケーションデリバリコントローラーです。
*FFOなど一部機能はご利用いただけません。
ライセンスには、ソフトウェアライセンスとサブスクリプションライセンスの2種類があり、お客さまのご用途に合わせた使い分けが可能です。
- ※サブスクリプションライセンスは月/年単位でご購入いただけます。(ご購入は最短6カ月分からとなります)
ライセンス体系
vAPVには、ソフトウェアライセンスとサブスクリプションライセンスの2種類があります。
それぞれvAPVに割り当てるハイパーバイザー環境のvCPUコア数を選択してください。
| ライセンスの種類 | vCPUコア数 |
|---|---|
| vAPVソフトウェアライセンス | 1 / 2 / 4 / 8 |
| vAPVサブスクリプションライセンス (1カ月または1年単位) |
1 / 2 / 4 / 8 |
- ※サブスクリプションライセンスは1カ月または1年単位のライセンス購入となります。
- ※サブスクリプションライセンスは最短6カ月から購入可能です。
システム要件
| 仮想マシン環境 | 仮想ネットワークI/F | 4 / 8 |
|---|---|---|
| 仮想メモリー容量(GB) | 2 / 4 / 8 | |
| 仮想ディスク容量(GB) | 40 | |
| vCPUコア数 | 1 / 2 / 4 / 8 | |
| 対応ハイパーバイザー(64bit) | VMware vSphere Hypervisor | |
| Citrix Xen | ||
| Microsoft Hyper-V | ||
| OpenXen | ||
| KVM | ||
| 対応パプリッククラウド | Amazon Web Services | |
- ※ハイパーバイザーのバージョン詳細はお問い合わせください。
その他の機能
ArrayAPVではその他の機能として、以下の4つの機能もご利用いただけます。
Global Server Load
グローバルサーバー負荷分散機能は、離れた拠点間でのサーバー負荷分散を実現します。ディザスタリカバリを考慮した、耐障害性の高いWebサイトを構築可能です。
グローバルサーバー負荷分散は、Smart DNSとも呼ばれます。ArrayAPVシリーズ自身が補完的なDNSサーバーとして動作することで、負荷分散を実現します。
ArrayAPVシリーズのSmart DNS機能のプロセスは、以下の通りです。
-
エンドユーザーが、ArrayAPVシリーズによってホストされているURLへリクエストを送信。それに先立ち、クライアントは名前解決のためにローカルDNSに対してDNSクエリを送信します。
-
DNSサーバーが、そのクエリをいずれかのArrayAPVシリーズに送信します。
-
ArrayAPVシリーズは設定されている負荷分散アルゴリズムに基づいて、最適なIPアドレスをDNSサーバーへ応答します。
-
クライアントのブラウザが、DNSサーバーより受け取ったIPアドレスを用いてWebサイトへアクセスします。
Traffic Shaping Management
ArrayAPVシリーズのトラフィックシェイピングマネジメント機能は、ネットワーク帯域の制御を可能とします。これにより、限られたネットワーク資源を効率的に運用することができます。
- パケットへ優先度と帯域幅の上限を設定し、パフォーマンスを最適化します。
Dynamic Routing
- ※RIPおよびOSPFを用いた、ルーティングテーブルの更新をサポートしています。
IPv4/IPv6への対応
ArrayAPVシリーズはアプリケーション・デリバリ・コントローラーとしては世界初となる「IPv6 Ready Logo Gold認定」を取得しています。
負荷分散をはじめ、管理IPや、HA機能などArrayAPVの主要機能でIPv6を利用可能です。
また、単純なIPv6への対応だけでなく、IPv4からIPv6環境へのスムーズな移行を実現するためIPv4/v6,IPv6/v4変換機能も搭載しています。
