IEではSSL-IDがセッション中に変化するので×
クッキーはブラウザでOFFにしたら×
結局、ソースアドレスでやってもProxyからでてくるものは一つのアドレスでまとめられてしまうので
同じサーバに負荷がかかってしまう・・・。
現在のテクノロジーではどのように解決してるのでしょうか?
教えてください。
ほとんどのやつはSSL-IDをみて振り分けられてくれるよ
ってゆーか、>>1 はどんなほうほうでやってんの?
ロードバランスだけでなくパーシステンスも必要な通信でした。
ロードバランスだけだったら簡単なんですけどね・・・。
↓これとかは多分そうでしょ?
http://www.cisco.com/japanese/warp/public/3/jp/solution/sp/css11000/topics.html#004
この場合、サーバ側のスクリプトでURLにIDを付加して
次の通信でそのIDをみてパーシステンスをすると認識していますが
通常の端末からのアクセスでもつかえるのでしょうか?
SSLの通信でサーバ側がIDを付加してくれるのでしょうか?
作りこみすればできそうですが、、、
まだ見えぬ負荷分散の定石ってやつ。
負荷分散装置の前でSSLを復号する必要があるって書いてあるんだけど
URI埋め込みもそうなのか?
そのへんがわからん。
BIG-IP
以上。
っていうかあんた自作自伝の宣伝?
NTT-MEの駄目社員なのかな>1
君はセ○ム情報の馬鹿社員?
ドキュソの書き込みはいらないです。
結局、説明できてませんね。
私は質問をしているのです。宣伝なんかどこにもしてませんよ。
凄い妄想力ですね。どこにも製品名出てないのに。
BIG-IPだって取り扱いはNTT-MEだけじゃないでしょ。
おいらも同じトラブルで悩んでた。で、結論。IEの(WINDOWS)の
レジストリ変えれば(2分だったっけ?)のSESSION IDの変更は
されない。試してみそ。
クライアントが不特定多数の場合はダメじゃん。
SSL stickyはsession to sessionでの認証だから、Poricy serverから
一度認証をもらってしまえば、その間のPASSは同一session IDであれば
間のCSS、LDなどの不可分散装置で均等に(per session, round robin等)
で、やってくれるよ。つまり、クライアントには依存しない。
IPでのstickyはダメだけどね。cockyでも理屈ではできるけど、
やった事無いから分からない。
SSL Session IDが短い周期で変わる場合の話しをしてるのでは?
IEのリジストリをいじるってのは公開サーバではソリューションにならない
と思うが。
ドコモの端末もSSL Session IDが変わるらしいぞ。
1.BIG-IPみたいにSSLのひんばんな最ネゴシエーションに対応した
ロードバランサを使う。(BIG-IP以外に出来るのある?)
2.前のスレで述べられていた様に、ロードバランサの手前にSSL専用機
を置いて復号化してしまう。で、パーシステンスはURLに識別IDを埋め
込んで行う。
3.2の応用だけど、セッションフェイルオーバー機能を持ったWebアプリ
ケーションサーバ(WebLogic/iPlanet etc)に整合性の維持は任せて
ロードバランサーはランダムに振り分けるに徹する
4.Cookieがダメならhiddenで対処
5.Webサーバ側にミドルウェア作り込み。URLにアプリサーバの
アドレスを埋め込んでしまい、ミドルウェアはそのアドレスに
従いアプリサーバにつなぎ込む仕組みにする。そうすればロード
バランサはランダムに振り分けるだけですむ。(某社のアプリ
サーバのパクリアイデアだけど)
いたなあ。
多くのサイトは1台で十分なのでは?
偏りがあったとしても、アプリサーバほど負荷は深刻にならないと
思われるので、Source IPでSSLに振り分けても良いだろうし。
甘い?
Intelの7110だけど大丈夫かな。
BIG-IPをHAで組むと800万円〜1000万円になるという見積もりをもらってこれは手が出ないと思いました。
金融関係なので、二重化必須なのです。要件的に。
>>22
Alteon switchは1台の機械に2つのアクセラレータを冗長のためつけられる。また、
Switch自体冗長可できる。
>>21 >>20
SSLだけの話であれば安いのでは?
>>19
十分かどうかでなく、金融では意味も無くとりあえず
冗長は必須なのよ。
>>18 F5, AlteonとSSL単体(Intel)を組み合わせる
方法もあるが、
>>17
SUNでCPU負荷測ってみるとわかるよ。SSLのジェネレータは
そこらへんにある。
>>16
hiddenのやり方教えて下さい。
Session IDがころころ変わる件については
各社対応済み。(Alteon, Intel, F5)
URIに埋め込むのは常道だけど、やっぱり
ネットワークだけで極力対処したいのだけど。
App Serverは1 CPUあたり500万もするから却下。
Weblogicあまり良い話聞かないが、詳細希望。
>Session IDがころころ変わる件については
>各社対応済み。(Alteon, Intel, F5)
これ、詳細キボン。
うちは、ネットワークできたあとから、ユーザがログインしてログアウト
するまで同一サーバじゃないとダメなんて仕様が判明して(あれだけ確認
したのによ)、結局SSLアクセスはアドレス固定にしたけど。
間抜け杉。
某証券ですな。
session IDを覚えていて、新しいsession IDに変わった時に、
古い番号から新しい番号への引継ぎを行うというのが私の知っている
唯一の方法。メーカにより違うかもしれないけど、そこまでは不明。
現在server stickeyを解決できる一番確実なのはCookieによる方法である
事に変わりは無いのでは。そうでなければServer側でcgiを組む
及び、app serverなど。
server timeout, ネットワークのtimeout値の微妙な調整により、
LBは動いたり動かなかったりする。こればかりはSI業者のノウハウ
になるだろうね。かなり裏技のため、一般的な本には全然書かれて
いない。みんなこれで幾や徹夜を経験したことか...
メーカのサポートチームは猛省すべきだね。
解説サンクス。
古い番号から新しい番号、って、どうやってひきつぐんだろう???
>メーカのサポートチームは猛省すべきだね。
禿同。
>>26
ちがうよん。でもどこも同じようなダサイ解決策しかないのね。
Session IDはブラウザが発行する。新しいSession IDに変更
する時に、古いsession IDを同じパケットに付けて送ってくる。
LBは、このパケットの中にあるsession IDが、以前使用していた
IDと同じである事を読み取って同じ一連のsessionだと判断する。詳しくは
SSLのRFCがあるのでチャレンジしてみてください。このRFC,
すっごく難しいので暗号化の解説についてはお手上げでした。
サンクス!! 勉強します。
>>Session IDがころころ変わる件については
>>各社対応済み。(Alteon, Intel, F5)
BIG-IPが対応しているのは知っていたが、AlteonもOKなのですか?
>>hiddenのやり方
<INPUT TYPE=“hidden” NAME=......>
>>Weblogicあまり良い話聞かないが
そう?
具体的にはどの様な?
Alteon
うん。IEのversionに関係なく動いてる。
hidden
Thank you.
Weblogic
SSLとの絡みでどうなるかは知らないけど、Load balanceが正常に
動かない(実際には1つのサーバに負荷が集中する)というのを
小耳にはさんだもので。実際に自分で触っているわけでないので、
不正確な情報は混乱の元ですので、何かわかったらお知らせ
します。
RFC番号きぼーん
>>Weblogic
>>SSLとの絡みでどうなるかは知らないけど、Load balanceが正常に
>>動かない(実際には1つのサーバに負荷が集中する)
1台のサーバがセッション情報を管理するのはiPlanet。
WebLogicは分散で管理します。マスターとスレーブのセットが複数
あるって事。
だから、理論的にはWebLogicの方がスケーラビリティは上です。
でも、マスターが1台であっても、現実的にはそれほど問題には
ならないはず。アプリケーションサーバを何十台と並べる構成に
する人はあまりいないでしょうから。SMP機にして、出来るだけ
台数増えない様にするのがセオリー。
前段のACEdirectorは負荷分散はせず、2台の冗長構成で、iSDでSSLの
処理だけバランスさせる。
ACEdirectorが負荷に耐えれないほどのSSLのセッションが多いのなら
別だが、それは滅多にないのでは?
nomura證券?
ただ、ヘルスチェックがいいかげんな感じだし、
リアルサーバが輻輳したとき、そいつ宛の滞留しているセッションを
別のリアルサーバに投げているようなフシがある
誰かAD3で同じような現象を経験してる人いない?
正直手詰まり状態
かなりの負荷がかからんと症状で無いし、
そのかなりの負荷の中から該当するパケットを拾い出すのが大変なのよ
見つけたサンプルが少ないんで"フシ"とか"感じ"って言い方になっちゃうんだけど、
実際に発生してるのは確かだよ
ヘルスチェックがL7レベルであればそういう動作もあるかと。
実はへルスチェック失敗してサーバ死んでいるとおもっているのでは?
/info/slb/real
を叩き続けてみるとか。
へルスチェックタイミングを延すとか。
多分、そのせいだとは思うんだけど、
確立してるセッションのパケットなのに、宛先が死んだら
ハンドシェイクしてない相手に流すっていう動作をしてることになるよね?
これって重大な欠陥じゃないのかと、、、
本来はそのままため込んで、タイムアウト前に実際の宛先が復活したら
そこに流すという動作が正しいのでは?
ルールで振り分けれるようになたーYO!!
バランス先を決定した後、サーバーに暗号文送るーYO!!
わかりにくいよ。
正しくは、BIG-IP上でSSLを複合化し、CookieやURIを参照して
バランス先を決定した後、もう一度SSLに暗号化してサーバに送る、だろ?
金融とかのPKIの世界では必要になってくるだろうね。
Ver4.2では、クライアントの証明書やクライアントのIPアドレスを
HTTPヘッダ内にインサートしてサーバに送ることもできる。
>>1への答えだが、PC向けサイトではSSL複合+Cookieパーシステンス使う。
モバイル向けはSSL複合+URIパーシステンス使う、というのがサーバへの
負荷を下げる意味でも、セッションIDの変化に対応する意味でも、いまのところ
唯一の解だよ。CookieがOFFのユーザーには警告を出すような仕組みを作って
おけばいい。この場合、バランサーはLayer7処理能力の高い製品を使用しないと
いけない。Alteonじゃだめだろ。F5が一番で後は予算と相談。
正確だーYO!!
すっごい不思議なのはSSLの処理ってrainbowがやっているんじゃないの?なんで750TPSどまりなんだろう?
わたしゃ、Alteonを使っているんだけど、前、f5のセミナー行ったときAlteonだめだめの嘘ばっかりだったんだよなあ。あれだけ言われるとf5、特に2000とか5000とかイイナと思っても不審のカタマリ・・。f5、100TPSとは言わず200だったら太っ腹!だったよ。中途半端。
f5はSSLカード挿せるじゃん。
CPU負荷は問題にならネーよ。
>>51
f5以外でマトモニL7動くのは?
いやあね、前インタロップで負荷分散機いろいろ見ているときにT○Lの技術屋さんライクな人に750TPSってなんで中途半端な数字なの?って聞いたらCPUで限界なんですって言われたもんだから、そんなもんなのかなあって。
BIG-IP540でCPUが早くなって、800TPSになっていたのでやっぱそうなのかなって再度思ったりして。
まあ、そこまで多分使わないんだけどね、というより、使ってくれないんだけど。
日本人の悲しい性比較してしまっただけよ。でも、f5何でも出来そうで、手を出したいけど少しそういうのが怖いだけっす。
L7動くのはf5とAlteonとCSS(ArrowPoint)なんちゃうの?Ironは良く知りません。所詮、http headerの文字列カッティングしているだけだしぃ。CSMはL4までとか、風のうわさで聞いた。
金魚さん詳しそうなので、教えて!
BIG-IP5000とか2000とかってADやCSSと同じようにパフォーマンスいいの?
F5の代理店がすごいこといって帰ったけど。
Tollyの資料にL7パフォーマンスのデータがあるとF5のセミナーで聞いた
よ。いいらしい。中身は有料なので見たことないです。
ただ、セミナーの内容が他社批判がひどかっただけに、にわかに信じがたい
んだよね。Radwareなんて乗りたくもない土俵に乗せられて価格比較されて
いるんだから。LD/CSSもAlteonもボロクソ。できる機能をできない、と言い
切られているし。Userの立場になって比較して欲しいよ。それだったらSSL
でたった100TPSで他のSSL Acceleratorの200〜600TPSと同じように書かれ
ている。
いまどき、800TPSがMAXってNetStructure7115の拡張性にも負けているよ。
まあ冷静になればフツーそこまで使わないんだけどさ。そんなつまらない部
分が気になるし突っ込み入れたくなる。
個人的に機能が充実していそうで、しかも速そう、安定していればと期待し
ていたBIG-IP2000/5000だけに、あそこまで他社が批判されていると嘘っぽ
い。自信があるのなら堂々とパフォーマンスと機能で売ればBIG-IPで行って
みようかなって検討するのに。
パフォーマンスもL7に限定しているし、L4、UDPどうよ?とか邪推してしま
うよ、あのセミナーじゃ。知らない人に刷りこむにはいいんだろうけど。
で、僕も、でもさあさん、正直L4TCP, L7, UDPのパフォーマンス僕も知り
たいです。どなたか1秒間のsession handlingの巨砲IPやCSS・Alteon・
ServerIronの負荷分散能力知っている方ヒミツでここだけの話教えてくれま
せんか?
らしいです。そのあたりから、推して知るべしですね。
その割にはなんでもかんでもノーテルに丸投げするんだよなあ <FX
かばうわけじゃないけど。Xの技術陣はこの分野はすごいよ。
何もしないでの丸投げはないでしょ。
意地張って抱えるより、メーカーマターはメーカーに投げるべき。
それより、ウチはF5ユーザーだけど、よくトラブル。
問題は、代理店のレスがないぞ!!
Xさん助けて!でもF5じゃだめ?
ちょっと板違いかもしれないけど、興味あるので続報キボンヌ
たしかにXさん、質問投げてもレスポンス早いしな。
わたしもそう思います。<X
何度も助けていただきました。
抱えているかなんだろうけど。
嘘を語るところはそう言う意味で信頼できねェ。
でも真実のつもりで誠意的に真っ赤な嘘をつくヤツには弱いんだよなあ。
SSLってネットワーク屋の仕事でないトラブル多くない?
pass phrase忘れたとか、private keyって何ですか?とか。
iPla○指してこれから取り出してください、といわれたときにはマイッタ。
最近は取り出せるというウワサは聞いたけど、実際どうよ?
F5 KKってホントにプレゼンだめな奴ばっかりよね。
持ってる情報古すぎるし、説得力0だった。
(確信犯だったかは、謎。)
F5のセミナーでは、日本語のプレゼンを聞いちゃいけない。
外人が来てしゃべるところだけ、聞けばいい。
彼ら、i-modeのL7スイッチングっつうネタで日本市場に根を
張り出してるから、そこから脱皮できてないんじゃないかな。
L4だったら、F5は高すぎるし、使わんほうがいいでしょ。だから、
L7って連呼してたんだと思う。
F5のSSLが800TPSがMAXで、750TPSがCPUの限界だったってのは本当。
昔はRainbowだけど、今はBroadcomのchipが載ってる。
それ以上は、SSL専用箱があるから、それを置けばいいってのが、
F5のやり方。それは今でもそうだね。
F5のL7はHTTP/1.1を全て読み取るところがミソなので、
他と簡単には比べられないかもしれないけど、20000transaction/sec
ぐらいは出てたよ。俺がテストしたときは。L4でもやってみたけど、
20000connection/sec以上出てた。それ以上は測定不能だった。
SSLはネットワーク屋の仕事じゃないっつーのに痛く同感。
ベリサインの証明書は、本当に負荷分散装置配下にあるサーバの
台数ごとに必要なんですか??
なんて俺に聞かないでもらいたい。
L7はだめ。
600 ssl/sec、1200 ssl/secだよ。
うーん、マニアックだ。
broadcomとは知らなかった。ナルホド勉強になりました。
F5のsession handlingはHA+とかEnterpriseで17K〜21K/secだから
カタログスペック値は出ているということか。カタログは信じられるかな。
L7は判らんがL4での速さはAlteon, CSS, Ironか。
L7でのハンドリングスピードとSSLのオーバーヘッド、L7の自由度が今後の競争のポイントか。
SSL、台数ごととに必要ですか、オレも何十回と聞かれた質問。
頼むからVeri○ignのホームページ見てくれよ。CA局の問題なんだから。
多分苦しんでいるNEはいっぱいいるはず。
いろんな意味で、SSLを100TPSでもincludeしたF5には畏敬の念を表す。
intel NetStructure7180/85ね。
懐かしい思い出です。
DCで見たことない。
LBのsession handlingが数千だったもんな。SSLは拡張できないし。
7110/15の方が売れたんじゃないの?もうOEMもなくなるらしいけど。
7110/7115 は冗長性考えたときに直列に数珠繋ぎする
奇妙な方法だから、
通常の機器のようにVRRPとか専用のケーブルを使った
2重化の設計をするときが面倒くさい。確かに冗長を
考えない場合は、簡単で良いんだけれどね。逆に簡単
すぎて金取れないよ。ちなみに、OEM が無くなるって、確かHPが販売
していたと思うけれど、販売止めちゃうの?
ちなみにノーテル社について衝撃的な記事が....
http://www.hotwired.co.jp/news/news/business/story/20020215101.html
第二のエンロンかも?
HPも終わりだよ。
Active-Standbyでの負荷分散機と組み合わせるには上位に置くと待機系が遊ぶ
からね。かといって下に置くとSwitchではさむか、各サーバの前に置くしかない
けど、それだとL7での負荷分散できないし。
>>69
Nortelが倒れるっちゅうことはあるのかいな?カナダ政府がそうするのかね?
だれかがあおっているんじゃないの?まあアルゼンチン共和国債みたいなこと
があるのでまったく無いとは言えないけどね。エンロンどころじゃないよ。
ホントかいな?
主な特徴:i-modeパーシステンスに(ようやく)対応、
Management port搭載、見た目もちょっと変わる。コマンド体系はかなり変わる。
糞だったLB部分が少しまともになったと喜んでいたらhpが売らなくなるんだと。
開発機はどうなるのだろう。。。SSLに関してはF5より早かったのに。
結局 hp は直販で Cisco とか Alteon とか F5
をインテグレーションしているわけだから、
間接販売で NetStructure を販売しても意味ないわけだよね。
結局サポートもセンドバックだけで24時間オンサイトはないしね。
で、結局日本での一次代理店はどこになるのかな?
1000TPSの出るらしいけど詳細きぼーん
SSL−LB−SSLは巨大IPだけなの?
知っていたら教えてください
Nortel の Alteon iSD-SSL 310/FIPS というのが対応している。
でも、日本じゃまだ売っていないかも。
FIPS 140-1 Level 3 Certified ってやつですね。
でも、日本でそれ要求するところあるの?
あと、SSL-LB-SSL ってのが End to End Encryption って
ことなら、iSD-SSL も ver.3.0 で対応している。
Alteon からも iSD-SSL 410 っていうのが予定されている。
これ 1000TPS 出る。
お客様に聞かれました。
多分FIPSを上がご要求なさるとか。本当に使うかは分かりませんが。
きっと高そうですね。
1000TPSは使いません・・・。
> 多分FIPSを上がご要求なさるとか。本当に使うかは分かりませんが。
たしかに iSD には 310/FIPS というラインアップがあるけど、NIST
の FIPS-validated-product list には載ってないんだよねー。
どうなってるのやら。
あと、FIPS は取ってないけど、ANDES Network の PSSL シリーズは
“FIPS grade safe store”を謳ってるね。Brochure 通りならたしか
に機能的には level-3 はクリアしてそうに見える。
種明かし。単に Nortel とか iSD という名前で載っていないだけ。
実は 310/FIPS には Rainbow Technologies Inc. という会社の
CryptoSwift HSM というのが載っている。
これが FIPS 140-1 Level 3 --Certificate #162
を取得している。それだけのこと。(当然マニュアルには明記されているよ。)
ちなみに 310/FIPS じゃないモデルには何が載っているかは
知りません。
> 種明かし。単に Nortel とか iSD という名前で載っていないだけ。
もちろん Alteon でも載ってなかったし。
> CryptoSwift HSM というのが載っている。
> これが FIPS 140-1 Level 3 --Certificate #162
> を取得している。それだけのこと。(当然マニュアルには明記されているよ。)
ガ━━(゚Д゚;)━━ン! んなのアリ?
よーし、お父さん、SSL アクセラレータに iButton 載っけて FIPS
PUB 140-1 Level 3 Certified と銘打って売っちゃうぞー。
はともかく、それなら筐体含めて tamper resistent な ANDES の方が
実質マシじゃないのか?
resistant ですよね?
それはさておき、Nortel も ANDES を... もごもご。
ですよね。Pentium4のSSE2やAthlonの3D!nowみたいに、最近は
マルチメディア演算用の命令積んだCPUも多いから、これをSSLの
高速化に使えないものかなぁ、なんて思うのですが。できる?
マルチメディア系の演算命令がどんなものかわかってないとおもわれ
Andesはまだバグ多いらしいよ・・・
>82
その先は・・・(笑)Nortelも最近節操無いですね
SSLの負荷かけたいならCAWとか使えばって感じ。
SSLのカードって言っても結局NICとかBUSのトラフィックはCPU処理だから専用箱の方がいいんでないの?そんで鍵の管理は専用オペレーターがいるでしょ。LDAPとかHTTPとかFTPとかでCRL管理できるintelとiSDに一票。
UNIXのpasswdファイル解読して弱いパスワードを見つける
John the ripper っていうプログラムがあるけど、
こいつの中で DES の計算の高速化に MMX 命令使ってた。
(MMX には長いワードを一気に XOR する命令なんかが用意されている。)
ただし、SSLの計算で大きな時間を占める公開鍵暗号系
(RSAとかDSA)の高速化に応用できるかどうかはわからん。
アクセス権ネーってよ
通信の流れが想像できないっす。
公開するFQDNはSLBのIPアドレスがDNSに登録されていているようです。
だから、ブラウザからアクセスしに行くと、SLBに行ってアクセラレータを
経由しないでWebサーバーにいってしまうような気がするのです。
今は、業者さんが書いた申請書を元に想像してるだけなんで
申請書が間違っている可能性もあるんですが、こんな感じになってます。
SSLアクセラレータ 192.168.0.2 実サーバー 192.168.0.10と192.168.0.11
SLB 192.168.0.3 実サーバー 192.168.0.10と192.168.0.11
Webサーバー1 192.168.0.10
Webサーバー2 192.168.0.11
申請書をお見せ出来ないので、何を言っているか分からないかもしれないですが、
私の想像ではSSLアクセラレータはSLBのアドレスだけ設定すればいい、
むしろそうでないといけないのでは?って思うのですがどうなんでしょうか。
> 私の想像ではSSLアクセラレータはSLBのアドレスだけ設定すればいい、
> むしろそうでないといけないのでは?って思うのですがどうなんでしょうか。
何を言っているかやっぱり分からないけど…
何となくそんな感じかな。
Client --> 負荷分散機 --> SSLアクセラレータ --> 負荷分散機 --> 実サーバ
(Redirect処理) (負荷分散処理)
って感じが一般的だと思うけど。
細かいところはSIerさんに聞いてください、お金払ってるんですよね!?
レスありがとう。
SIerさんはSSLアクセラレータを入れるのにWebサーバに
証明書入れて443で受けようとしてた事もあり、まかせっきり
にするのもなと思い、勉強しているしだいです。
SLB --- SSLアクセラレータ --- SLB という図を見て
納得しました。DNSにはSLBのFQDNが登録されるようなので
SSLアクセラレータにどう繋がるかが想像出来なかったんですが
L4スイッチというのでしょうか、SLBがその機能も持っている
ためアクセラレータからSLBに戻れるのですね。
当初の想像は
ブラウザ --- SSLアクセラレータ --- SLB --- Webサーバ
と考えてしまったため、通信の流れが???でした。
勉強になったっす!
> SIerさんはSSLアクセラレータを入れるのにWebサーバに
> 証明書入れて443で受けようとしてた事もあり、
SIerを庇ってる訳じゃないけど補足させて。
一般的にはSSLアクセラレータが気が狂ってお亡くなりになった時のために、
実サーバにも証明書入れて443を待ち受けてたりするかも。
負荷分散機でもSSLアクセラレータがお亡くなりになった時の設定が入ってるかも。
なるほど、気が利いているというか
専門外の私には思いも付かなかったです。
でも、そんな話してくれなかったな。。。シャイな人でも
無いんだが。
ちょっと聞いてみよ。
できますか?証明書は高いので少しでも安くしたい。でもSSLロードバランサは高いし
すべての処理を任せるのは心もとないと考えてるんで。
ほとんどの証明書は、バックエンドのwebサーバの台数分必要ですよ。
Verign
http://www.verisign.co.jp/server/help/license.html
【認証局】SSLに関するスレ1枚目【ぼろ儲け】
http://pc10.2ch.net/test/read.cgi/mysv/1071339107/l50
基本的に盗聴されていようがいまいがあんまり気にはしないんだが費用にうるさい
会社なもんで、安く出来る方法ないかななどと思った次第。
バックエンドに入れる証明書をすべてのサーバーにコピーして入れちゃえばいいような
気もするんだがそれでは規約違反だろうし、後で怒られそうというわけです。
ばれなきゃいいという噂もあるが。。。
各ウェブサーバーからBIG IP内の証明書を取ってくるという形を考えてるんだが
それでうまくいくのかどうかは疑問かつ余計なトラフィックがロードバランサとウェブサーバー間で
発生するし、さすがに規約上無理がある気がしてる。
BLADEとかLivedoorSSLが1枚でOKだったけどもう売ってない、、、
ほかに1枚でOKな証明書があればぜひ教えてほしい。
SSL今落ちてない?
SSL使う認証のところGooもほかのとこもだめなんだけど?
メールチェックもできない
さっさとなおしやがれ
SSL通信を分散且つセッション維持の要件があるのなら、
SSLアクセラレータ付き負荷分散機orSSLアクセラレータ(単体)+負荷分散機(単体)を
買いなされ。
そして任意のセッションIDCookieに入れるか携帯端末含むならURLに埋め込んで
複合化通信を負荷分散機に読み込める形にして通信すればおk
SSLアクセラレータ付き負荷分散機なら高いけど、SSL通信を分散機で暗号化を複合化するから
setCookieだろうがhttpヘッダーだろうが装置内で消化できる
具体的な製品をあげてみてよ
ここまで間の開いたレスは初めて見た
単体のSSLアクセラレータってあんま使わないきが。
ArrayTMXってのはどう?
ご存知な方、利用実績のある方いる?
ファームウェアの不具合が酷かった。
一度構成固めてあと触らないなら構わないかも。
ServerIron4G売りつけるのはやめようよ。
lvs+heartbeatで仮想IP構成で十分だよ。
http://www.linuxvirtualserver.org/
セッション維持はSSLアクセラレーター付ロードバランサでやるか、アクセラレーターをロードバランサ
の前に付ける方法が一般的なんでしょうか?
L4ロードバランサでセッション維持機能の無いもの(バカバランサ)を使い、
サーバー間でセッションを複製するという方法を取ったほうが安くできるのではないかと思うのです。
ホンダのミニバン
ていゆかていじゅうしん
他は知らんが
f5は普通にセッション維持できるけど
SSL複合しなくても・・・
LBをSSL対応品にするか、LBの前段にSSLアクセラレータをいれるかしないと、負荷分散装置を通るときに
SSL暗号化を解除できない。そうすっと、パーシステンス/スティッキーの方式として事実上、SSL session ID
とソースIPくらいしか選べなくなるんじゃね。
SSL session ID方式は「一部ブラウザがSSL session IDを頻繁に再ネゴシエートする」って問題があったので、
個人的には避けたい。
現行バージョンのメジャーブラウザは問題ないはずだけど、未来を含めて絶対の保証はされないだろうし。
システム仕様で完全固定IPのみを相手にするという絶対的な保証があるなら、ソースID対応でなんとかなる。
ていうかそのほうが楽だ。
んで、サーバシステム側で「いつ別の物理サーバに振り分けられても問題ないような」構造にするのも手だ‥
ただし、アプリが状態の遷移を完全に把握して設計されていて、実装も問題なく、性能上の影響も一切生じず、
セキュリティ的な懸念もあり得ない、というのなら、だが。
個人的経験で言えば、その手の方法は動作試験以降が大変だ。
まれにアプリ的な動作が妙になったりで、「LBが悪いんだろう!てか頼むからそういって下さい!」と詰め寄ら
れたりとか。んでどこに問題があるのか切り分けが面倒だとか。(苦笑
個人的経験では、その手の案は「目先の小銭を節約する代わりに、実装と運用を無駄に複雑にする選択」と
言わざるを得ない。
「必要なのはサービスの可用性であり、トラフィック総量は少ないから負荷分散は不要」という要件でなら、
負荷分散を行わず、トラフィックの振り分け先は常に1台。主系サーバが落ちたら、トラフィックを副系サーバ
に振り分ける、みたいな設計もありだな。これならL4パーシステンスしかできないLBでもあまり問題ない。
ttp://fenics.fujitsu.com/products/ipcom/products/lineup/ipcom_ex_lb.html
何があったんですか…
NEらしくL2SWとRでいいや
>>128
何があったというわけでもないけど
結構すぐ壊れるし
それにもう飽きたし
BIG一筋2年間・・・秋田
結構、壊れるんですね…F5
お付き合いのある代理店さんがやたらと勧めてくるので、
評価機でも借りようかと思っていたんですが…
まあ壊れてもまるごと交換だから
そんなに面倒ではないかもだけど
値段も高いし・・・
ただ、やれることは他機器に比べて多いらしい
iruleとか使いこなしたら柔軟性も抜群だし
あ、何オレあんな機械のこと庇ってんだろ・・・
こ、これが・・・愛?
ただのストックホルム症候群です。
被害者なのに犯人に同情しちゃう気持ち?
普段は好きじゃないんだけど、
ケナサレルとなんかムカムカする的な?
ま、F5も悪いやつじゃないんで
考慮してやってね
バランサのセッション維持で対応できるのでしょうかぁ?
俺も疲れた。。。
トクに電源壊れ過ぎ。
経験談をぜひ聞きたい。
あれはそのパッケージだけでなく、周辺の連動パッケージもそれなりに理解してないと動かせないね。
でも幾つか解説本片手に構築すれば、1週間で投入可能なレベルに持っていけるよ。
ゴネたら電源タダで交換してくれたよ!
やはりそうですか。ありがとうございました。