IEではSSL-IDがセッション中に変化するので×
クッキーはブラウザでOFFにしたら×
結局、ソースアドレスでやってもProxyからでてくるものは一つのアドレスでまとめられてしまうので
同じサーバに負荷がかかってしまう・・・。
現在のテクノロジーではどのように解決してるのでしょうか?
教えてください。
ほとんどのやつはSSL-IDをみて振り分けられてくれるよ
ってゆーか、>>1 はどんなほうほうでやってんの?
ロードバランスだけでなくパーシステンスも必要な通信でした。
ロードバランスだけだったら簡単なんですけどね・・・。
↓これとかは多分そうでしょ?
http://www.cisco.com/japanese/warp/public/3/jp/solution/sp/css11000/topics.html#004
この場合、サーバ側のスクリプトでURLにIDを付加して
次の通信でそのIDをみてパーシステンスをすると認識していますが
通常の端末からのアクセスでもつかえるのでしょうか?
SSLの通信でサーバ側がIDを付加してくれるのでしょうか?
作りこみすればできそうですが、、、
まだ見えぬ負荷分散の定石ってやつ。
負荷分散装置の前でSSLを復号する必要があるって書いてあるんだけど
URI埋め込みもそうなのか?
そのへんがわからん。
BIG-IP
以上。
っていうかあんた自作自伝の宣伝?
NTT-MEの駄目社員なのかな>1
君はセ○ム情報の馬鹿社員?
ドキュソの書き込みはいらないです。
結局、説明できてませんね。
私は質問をしているのです。宣伝なんかどこにもしてませんよ。
凄い妄想力ですね。どこにも製品名出てないのに。
BIG-IPだって取り扱いはNTT-MEだけじゃないでしょ。
おいらも同じトラブルで悩んでた。で、結論。IEの(WINDOWS)の
レジストリ変えれば(2分だったっけ?)のSESSION IDの変更は
されない。試してみそ。
クライアントが不特定多数の場合はダメじゃん。
SSL stickyはsession to sessionでの認証だから、Poricy serverから
一度認証をもらってしまえば、その間のPASSは同一session IDであれば
間のCSS、LDなどの不可分散装置で均等に(per session, round robin等)
で、やってくれるよ。つまり、クライアントには依存しない。
IPでのstickyはダメだけどね。cockyでも理屈ではできるけど、
やった事無いから分からない。
SSL Session IDが短い周期で変わる場合の話しをしてるのでは?
IEのリジストリをいじるってのは公開サーバではソリューションにならない
と思うが。
ドコモの端末もSSL Session IDが変わるらしいぞ。
1.BIG-IPみたいにSSLのひんばんな最ネゴシエーションに対応した
ロードバランサを使う。(BIG-IP以外に出来るのある?)
2.前のスレで述べられていた様に、ロードバランサの手前にSSL専用機
を置いて復号化してしまう。で、パーシステンスはURLに識別IDを埋め
込んで行う。
3.2の応用だけど、セッションフェイルオーバー機能を持ったWebアプリ
ケーションサーバ(WebLogic/iPlanet etc)に整合性の維持は任せて
ロードバランサーはランダムに振り分けるに徹する
4.Cookieがダメならhiddenで対処
5.Webサーバ側にミドルウェア作り込み。URLにアプリサーバの
アドレスを埋め込んでしまい、ミドルウェアはそのアドレスに
従いアプリサーバにつなぎ込む仕組みにする。そうすればロード
バランサはランダムに振り分けるだけですむ。(某社のアプリ
サーバのパクリアイデアだけど)
いたなあ。
多くのサイトは1台で十分なのでは?
偏りがあったとしても、アプリサーバほど負荷は深刻にならないと
思われるので、Source IPでSSLに振り分けても良いだろうし。
甘い?
Intelの7110だけど大丈夫かな。
BIG-IPをHAで組むと800万円〜1000万円になるという見積もりをもらってこれは手が出ないと思いました。
金融関係なので、二重化必須なのです。要件的に。
>>22
Alteon switchは1台の機械に2つのアクセラレータを冗長のためつけられる。また、
Switch自体冗長可できる。
>>21 >>20
SSLだけの話であれば安いのでは?
>>19
十分かどうかでなく、金融では意味も無くとりあえず
冗長は必須なのよ。
>>18 F5, AlteonとSSL単体(Intel)を組み合わせる
方法もあるが、
>>17
SUNでCPU負荷測ってみるとわかるよ。SSLのジェネレータは
そこらへんにある。
>>16
hiddenのやり方教えて下さい。
Session IDがころころ変わる件については
各社対応済み。(Alteon, Intel, F5)
URIに埋め込むのは常道だけど、やっぱり
ネットワークだけで極力対処したいのだけど。
App Serverは1 CPUあたり500万もするから却下。
Weblogicあまり良い話聞かないが、詳細希望。
>Session IDがころころ変わる件については
>各社対応済み。(Alteon, Intel, F5)
これ、詳細キボン。
うちは、ネットワークできたあとから、ユーザがログインしてログアウト
するまで同一サーバじゃないとダメなんて仕様が判明して(あれだけ確認
したのによ)、結局SSLアクセスはアドレス固定にしたけど。
間抜け杉。
某証券ですな。
session IDを覚えていて、新しいsession IDに変わった時に、
古い番号から新しい番号への引継ぎを行うというのが私の知っている
唯一の方法。メーカにより違うかもしれないけど、そこまでは不明。
現在server stickeyを解決できる一番確実なのはCookieによる方法である
事に変わりは無いのでは。そうでなければServer側でcgiを組む
及び、app serverなど。
server timeout, ネットワークのtimeout値の微妙な調整により、
LBは動いたり動かなかったりする。こればかりはSI業者のノウハウ
になるだろうね。かなり裏技のため、一般的な本には全然書かれて
いない。みんなこれで幾や徹夜を経験したことか...
メーカのサポートチームは猛省すべきだね。
解説サンクス。
古い番号から新しい番号、って、どうやってひきつぐんだろう???
>メーカのサポートチームは猛省すべきだね。
禿同。
>>26
ちがうよん。でもどこも同じようなダサイ解決策しかないのね。
Session IDはブラウザが発行する。新しいSession IDに変更
する時に、古いsession IDを同じパケットに付けて送ってくる。
LBは、このパケットの中にあるsession IDが、以前使用していた
IDと同じである事を読み取って同じ一連のsessionだと判断する。詳しくは
SSLのRFCがあるのでチャレンジしてみてください。このRFC,
すっごく難しいので暗号化の解説についてはお手上げでした。
サンクス!! 勉強します。
>>Session IDがころころ変わる件については
>>各社対応済み。(Alteon, Intel, F5)
BIG-IPが対応しているのは知っていたが、AlteonもOKなのですか?
>>hiddenのやり方
<INPUT TYPE=“hidden” NAME=......>
>>Weblogicあまり良い話聞かないが
そう?
具体的にはどの様な?
Alteon
うん。IEのversionに関係なく動いてる。
hidden
Thank you.
Weblogic
SSLとの絡みでどうなるかは知らないけど、Load balanceが正常に
動かない(実際には1つのサーバに負荷が集中する)というのを
小耳にはさんだもので。実際に自分で触っているわけでないので、
不正確な情報は混乱の元ですので、何かわかったらお知らせ
します。
RFC番号きぼーん
>>Weblogic
>>SSLとの絡みでどうなるかは知らないけど、Load balanceが正常に
>>動かない(実際には1つのサーバに負荷が集中する)
1台のサーバがセッション情報を管理するのはiPlanet。
WebLogicは分散で管理します。マスターとスレーブのセットが複数
あるって事。
だから、理論的にはWebLogicの方がスケーラビリティは上です。
でも、マスターが1台であっても、現実的にはそれほど問題には
ならないはず。アプリケーションサーバを何十台と並べる構成に
する人はあまりいないでしょうから。SMP機にして、出来るだけ
台数増えない様にするのがセオリー。
前段のACEdirectorは負荷分散はせず、2台の冗長構成で、iSDでSSLの
処理だけバランスさせる。
ACEdirectorが負荷に耐えれないほどのSSLのセッションが多いのなら
別だが、それは滅多にないのでは?
nomura證券?
ただ、ヘルスチェックがいいかげんな感じだし、
リアルサーバが輻輳したとき、そいつ宛の滞留しているセッションを
別のリアルサーバに投げているようなフシがある
誰かAD3で同じような現象を経験してる人いない?
正直手詰まり状態
かなりの負荷がかからんと症状で無いし、
そのかなりの負荷の中から該当するパケットを拾い出すのが大変なのよ
見つけたサンプルが少ないんで"フシ"とか"感じ"って言い方になっちゃうんだけど、
実際に発生してるのは確かだよ
ヘルスチェックがL7レベルであればそういう動作もあるかと。
実はへルスチェック失敗してサーバ死んでいるとおもっているのでは?
/info/slb/real
を叩き続けてみるとか。
へルスチェックタイミングを延すとか。
多分、そのせいだとは思うんだけど、
確立してるセッションのパケットなのに、宛先が死んだら
ハンドシェイクしてない相手に流すっていう動作をしてることになるよね?
これって重大な欠陥じゃないのかと、、、
本来はそのままため込んで、タイムアウト前に実際の宛先が復活したら
そこに流すという動作が正しいのでは?
ルールで振り分けれるようになたーYO!!
バランス先を決定した後、サーバーに暗号文送るーYO!!
わかりにくいよ。
正しくは、BIG-IP上でSSLを複合化し、CookieやURIを参照して
バランス先を決定した後、もう一度SSLに暗号化してサーバに送る、だろ?
金融とかのPKIの世界では必要になってくるだろうね。
Ver4.2では、クライアントの証明書やクライアントのIPアドレスを
HTTPヘッダ内にインサートしてサーバに送ることもできる。
>>1への答えだが、PC向けサイトではSSL複合+Cookieパーシステンス使う。
モバイル向けはSSL複合+URIパーシステンス使う、というのがサーバへの
負荷を下げる意味でも、セッションIDの変化に対応する意味でも、いまのところ
唯一の解だよ。CookieがOFFのユーザーには警告を出すような仕組みを作って
おけばいい。この場合、バランサーはLayer7処理能力の高い製品を使用しないと
いけない。Alteonじゃだめだろ。F5が一番で後は予算と相談。
正確だーYO!!
すっごい不思議なのはSSLの処理ってrainbowがやっているんじゃないの?なんで750TPSどまりなんだろう?
わたしゃ、Alteonを使っているんだけど、前、f5のセミナー行ったときAlteonだめだめの嘘ばっかりだったんだよなあ。あれだけ言われるとf5、特に2000とか5000とかイイナと思っても不審のカタマリ・・。f5、100TPSとは言わず200だったら太っ腹!だったよ。中途半端。
f5はSSLカード挿せるじゃん。
CPU負荷は問題にならネーよ。
>>51
f5以外でマトモニL7動くのは?
いやあね、前インタロップで負荷分散機いろいろ見ているときにT○Lの技術屋さんライクな人に750TPSってなんで中途半端な数字なの?って聞いたらCPUで限界なんですって言われたもんだから、そんなもんなのかなあって。
BIG-IP540でCPUが早くなって、800TPSになっていたのでやっぱそうなのかなって再度思ったりして。
まあ、そこまで多分使わないんだけどね、というより、使ってくれないんだけど。
日本人の悲しい性比較してしまっただけよ。でも、f5何でも出来そうで、手を出したいけど少しそういうのが怖いだけっす。
L7動くのはf5とAlteonとCSS(ArrowPoint)なんちゃうの?Ironは良く知りません。所詮、http headerの文字列カッティングしているだけだしぃ。CSMはL4までとか、風のうわさで聞いた。
金魚さん詳しそうなので、教えて!
BIG-IP5000とか2000とかってADやCSSと同じようにパフォーマンスいいの?
F5の代理店がすごいこといって帰ったけど。
Tollyの資料にL7パフォーマンスのデータがあるとF5のセミナーで聞いた
よ。いいらしい。中身は有料なので見たことないです。
ただ、セミナーの内容が他社批判がひどかっただけに、にわかに信じがたい
んだよね。Radwareなんて乗りたくもない土俵に乗せられて価格比較されて
いるんだから。LD/CSSもAlteonもボロクソ。できる機能をできない、と言い
切られているし。Userの立場になって比較して欲しいよ。それだったらSSL
でたった100TPSで他のSSL Acceleratorの200〜600TPSと同じように書かれ
ている。
いまどき、800TPSがMAXってNetStructure7115の拡張性にも負けているよ。
まあ冷静になればフツーそこまで使わないんだけどさ。そんなつまらない部
分が気になるし突っ込み入れたくなる。
個人的に機能が充実していそうで、しかも速そう、安定していればと期待し
ていたBIG-IP2000/5000だけに、あそこまで他社が批判されていると嘘っぽ
い。自信があるのなら堂々とパフォーマンスと機能で売ればBIG-IPで行って
みようかなって検討するのに。
パフォーマンスもL7に限定しているし、L4、UDPどうよ?とか邪推してしま
うよ、あのセミナーじゃ。知らない人に刷りこむにはいいんだろうけど。
で、僕も、でもさあさん、正直L4TCP, L7, UDPのパフォーマンス僕も知り
たいです。どなたか1秒間のsession handlingの巨砲IPやCSS・Alteon・
ServerIronの負荷分散能力知っている方ヒミツでここだけの話教えてくれま
せんか?
らしいです。そのあたりから、推して知るべしですね。
その割にはなんでもかんでもノーテルに丸投げするんだよなあ <FX
かばうわけじゃないけど。Xの技術陣はこの分野はすごいよ。
何もしないでの丸投げはないでしょ。
意地張って抱えるより、メーカーマターはメーカーに投げるべき。
それより、ウチはF5ユーザーだけど、よくトラブル。
問題は、代理店のレスがないぞ!!
Xさん助けて!でもF5じゃだめ?
ちょっと板違いかもしれないけど、興味あるので続報キボンヌ
たしかにXさん、質問投げてもレスポンス早いしな。
わたしもそう思います。<X
何度も助けていただきました。
抱えているかなんだろうけど。
嘘を語るところはそう言う意味で信頼できねェ。
でも真実のつもりで誠意的に真っ赤な嘘をつくヤツには弱いんだよなあ。
SSLってネットワーク屋の仕事でないトラブル多くない?
pass phrase忘れたとか、private keyって何ですか?とか。
iPla○指してこれから取り出してください、といわれたときにはマイッタ。
最近は取り出せるというウワサは聞いたけど、実際どうよ?
F5 KKってホントにプレゼンだめな奴ばっかりよね。
持ってる情報古すぎるし、説得力0だった。
(確信犯だったかは、謎。)
F5のセミナーでは、日本語のプレゼンを聞いちゃいけない。
外人が来てしゃべるところだけ、聞けばいい。
彼ら、i-modeのL7スイッチングっつうネタで日本市場に根を
張り出してるから、そこから脱皮できてないんじゃないかな。
L4だったら、F5は高すぎるし、使わんほうがいいでしょ。だから、
L7って連呼してたんだと思う。
F5のSSLが800TPSがMAXで、750TPSがCPUの限界だったってのは本当。
昔はRainbowだけど、今はBroadcomのchipが載ってる。
それ以上は、SSL専用箱があるから、それを置けばいいってのが、
F5のやり方。それは今でもそうだね。
F5のL7はHTTP/1.1を全て読み取るところがミソなので、
他と簡単には比べられないかもしれないけど、20000transaction/sec
ぐらいは出てたよ。俺がテストしたときは。L4でもやってみたけど、
20000connection/sec以上出てた。それ以上は測定不能だった。
SSLはネットワーク屋の仕事じゃないっつーのに痛く同感。
ベリサインの証明書は、本当に負荷分散装置配下にあるサーバの
台数ごとに必要なんですか??
なんて俺に聞かないでもらいたい。
L7はだめ。
600 ssl/sec、1200 ssl/secだよ。
うーん、マニアックだ。
broadcomとは知らなかった。ナルホド勉強になりました。
F5のsession handlingはHA+とかEnterpriseで17K〜21K/secだから
カタログスペック値は出ているということか。カタログは信じられるかな。
L7は判らんがL4での速さはAlteon, CSS, Ironか。
L7でのハンドリングスピードとSSLのオーバーヘッド、L7の自由度が今後の競争のポイントか。
SSL、台数ごととに必要ですか、オレも何十回と聞かれた質問。
頼むからVeri○ignのホームページ見てくれよ。CA局の問題なんだから。
多分苦しんでいるNEはいっぱいいるはず。
いろんな意味で、SSLを100TPSでもincludeしたF5には畏敬の念を表す。
intel NetStructure7180/85ね。
懐かしい思い出です。
DCで見たことない。
LBのsession handlingが数千だったもんな。SSLは拡張できないし。
7110/15の方が売れたんじゃないの?もうOEMもなくなるらしいけど。
7110/7115 は冗長性考えたときに直列に数珠繋ぎする
奇妙な方法だから、
通常の機器のようにVRRPとか専用のケーブルを使った
2重化の設計をするときが面倒くさい。確かに冗長を
考えない場合は、簡単で良いんだけれどね。逆に簡単
すぎて金取れないよ。ちなみに、OEM が無くなるって、確かHPが販売
していたと思うけれど、販売止めちゃうの?
ちなみにノーテル社について衝撃的な記事が....
http://www.hotwired.co.jp/news/news/business/story/20020215101.html
第二のエンロンかも?
HPも終わりだよ。
Active-Standbyでの負荷分散機と組み合わせるには上位に置くと待機系が遊ぶ
からね。かといって下に置くとSwitchではさむか、各サーバの前に置くしかない
けど、それだとL7での負荷分散できないし。
>>69
Nortelが倒れるっちゅうことはあるのかいな?カナダ政府がそうするのかね?
だれかがあおっているんじゃないの?まあアルゼンチン共和国債みたいなこと
があるのでまったく無いとは言えないけどね。エンロンどころじゃないよ。
ホントかいな?
主な特徴:i-modeパーシステンスに(ようやく)対応、
Management port搭載、見た目もちょっと変わる。コマンド体系はかなり変わる。
糞だったLB部分が少しまともになったと喜んでいたらhpが売らなくなるんだと。
開発機はどうなるのだろう。。。SSLに関してはF5より早かったのに。
結局 hp は直販で Cisco とか Alteon とか F5
をインテグレーションしているわけだから、
間接販売で NetStructure を販売しても意味ないわけだよね。
結局サポートもセンドバックだけで24時間オンサイトはないしね。
で、結局日本での一次代理店はどこになるのかな?
1000TPSの出るらしいけど詳細きぼーん
SSL−LB−SSLは巨大IPだけなの?
知っていたら教えてください
Nortel の Alteon iSD-SSL 310/FIPS というのが対応している。
でも、日本じゃまだ売っていないかも。
FIPS 140-1 Level 3 Certified ってやつですね。
でも、日本でそれ要求するところあるの?
あと、SSL-LB-SSL ってのが End to End Encryption って
ことなら、iSD-SSL も ver.3.0 で対応している。
Alteon からも iSD-SSL 410 っていうのが予定されている。
これ 1000TPS 出る。
お客様に聞かれました。
多分FIPSを上がご要求なさるとか。本当に使うかは分かりませんが。
きっと高そうですね。
1000TPSは使いません・・・。
> 多分FIPSを上がご要求なさるとか。本当に使うかは分かりませんが。
たしかに iSD には 310/FIPS というラインアップがあるけど、NIST
の FIPS-validated-product list には載ってないんだよねー。
どうなってるのやら。
あと、FIPS は取ってないけど、ANDES Network の PSSL シリーズは
“FIPS grade safe store”を謳ってるね。Brochure 通りならたしか
に機能的には level-3 はクリアしてそうに見える。
種明かし。単に Nortel とか iSD という名前で載っていないだけ。
実は 310/FIPS には Rainbow Technologies Inc. という会社の
CryptoSwift HSM というのが載っている。
これが FIPS 140-1 Level 3 --Certificate #162
を取得している。それだけのこと。(当然マニュアルには明記されているよ。)
ちなみに 310/FIPS じゃないモデルには何が載っているかは
知りません。
> 種明かし。単に Nortel とか iSD という名前で載っていないだけ。
もちろん Alteon でも載ってなかったし。
> CryptoSwift HSM というのが載っている。
> これが FIPS 140-1 Level 3 --Certificate #162
> を取得している。それだけのこと。(当然マニュアルには明記されているよ。)
ガ━━(゚Д゚;)━━ン! んなのアリ?
よーし、お父さん、SSL アクセラレータに iButton 載っけて FIPS
PUB 140-1 Level 3 Certified と銘打って売っちゃうぞー。
はともかく、それなら筐体含めて tamper resistent な ANDES の方が
実質マシじゃないのか?
resistant ですよね?
それはさておき、Nortel も ANDES を... もごもご。
ですよね。Pentium4のSSE2やAthlonの3D!nowみたいに、最近は
マルチメディア演算用の命令積んだCPUも多いから、これをSSLの
高速化に使えないものかなぁ、なんて思うのですが。できる?
マルチメディア系の演算命令がどんなものかわかってないとおもわれ
Andesはまだバグ多いらしいよ・・・
>82
その先は・・・(笑)Nortelも最近節操無いですね
SSLの負荷かけたいならCAWとか使えばって感じ。
SSLのカードって言っても結局NICとかBUSのトラフィックはCPU処理だから専用箱の方がいいんでないの?そんで鍵の管理は専用オペレーターがいるでしょ。LDAPとかHTTPとかFTPとかでCRL管理できるintelとiSDに一票。
UNIXのpasswdファイル解読して弱いパスワードを見つける
John the ripper っていうプログラムがあるけど、
こいつの中で DES の計算の高速化に MMX 命令使ってた。
(MMX には長いワードを一気に XOR する命令なんかが用意されている。)
ただし、SSLの計算で大きな時間を占める公開鍵暗号系
(RSAとかDSA)の高速化に応用できるかどうかはわからん。
アクセス権ネーってよ
通信の流れが想像できないっす。
公開するFQDNはSLBのIPアドレスがDNSに登録されていているようです。
だから、ブラウザからアクセスしに行くと、SLBに行ってアクセラレータを
経由しないでWebサーバーにいってしまうような気がするのです。
今は、業者さんが書いた申請書を元に想像してるだけなんで
申請書が間違っている可能性もあるんですが、こんな感じになってます。
SSLアクセラレータ 192.168.0.2 実サーバー 192.168.0.10と192.168.0.11
SLB 192.168.0.3 実サーバー 192.168.0.10と192.168.0.11
Webサーバー1 192.168.0.10
Webサーバー2 192.168.0.11
申請書をお見せ出来ないので、何を言っているか分からないかもしれないですが、
私の想像ではSSLアクセラレータはSLBのアドレスだけ設定すればいい、
むしろそうでないといけないのでは?って思うのですがどうなんでしょうか。
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
FITELnet○古河電工○FITELnet (112)
収容局までトドカナイ・・(ADSL) (222)
Docomoのメールサーバに関わってる方いますか? (208)
▲専用線統一スレッド▲ (318)
Internetルーティング講座 (167)
Zebra - Free routing software (264)
--log9.info------------------
強豪高校新入生情報 Part5 (335)
【bjリーグ】京都ハンナリーズ 13【滋賀ブス消えろ】 (103)
【bjリーグ】審判&オフィシャルルール総合スレ (268)
【bj】京都プロバスケ絶対成功スレ。一乗寺【参入】 (387)
北海道のミニバス (178)
審判に対する質問・疑問・要望等ありますか?part2 (189)
bjに未来はない、廃れるのも時間の問題 (456)
90年代NBAではレブロンは通用しないpart1 (151)
【大濠】新チームトロージャンズ【片峯part4】 (916)
bj 新規参入予想スレ (596)
☆NBA 2012 オフシーズンスレ 55th LeChoke★ (408)
bjリーグ■秋田ノーザンハピネッツ第35Q■ あんべいいなロビー (970)
【林・超人】Houston Rockets 55【髭・色男】 (177)
【bjリーグ】首都圏チームについて【東京埼玉横浜千葉】 (153)
バスケの強豪校こと桜宮高校の歴史に幕!!! (106)
凸攻凹 DETROIT PISTONS Part24 凹守凸 (493)
--log55.com------------------
【もういくつ寝ると】国家一般職575点【初任給】
国家公務員経験者採用試験(国税調査官級)part 12
@-@-@ 天然石ビーズアクセサリー制作14連目 @-@-@
【のまネコなんて】モナーを守れ【ぶっとばせ】
【革細工】◆◇◆レザークラフト 58DS◆◇◆
格安でお洋服作れだと?!49
【minne】ハンクラ作品売買サイト総合84【Creema】
【イベント】イベント出展者のスレ13【フリマ】