X
トップページ通信技術
162コメント65KB
SSLのロードバランス
0001浜崎あゆみ垢版NGNG
SSLの通信をロードバランスさせようとしていますが
IEではSSL-IDがセッション中に変化するので×
クッキーはブラウザでOFFにしたら×
結局、ソースアドレスでやってもProxyからでてくるものは一つのアドレスでまとめられてしまうので
同じサーバに負荷がかかってしまう・・・。
現在のテクノロジーではどのように解決してるのでしょうか?
教えてください。
0002鬼束ちひろ垢版NGNG
そこらへんの負荷分散箱つかえばいいんでは?
ほとんどのやつはSSL-IDをみて振り分けられてくれるよ
ってゆーか、>>1 はどんなほうほうでやってんの?
0003浜崎あゆみ垢版NGNG
ごめんなさい・・・。
ロードバランスだけでなくパーシステンスも必要な通信でした。
ロードバランスだけだったら簡単なんですけどね・・・。
0006浜崎あゆみ垢版NGNG
URIを使うパーシステンスはブラウザフォン向けのソリューションですね。
この場合、サーバ側のスクリプトでURLにIDを付加して
次の通信でそのIDをみてパーシステンスをすると認識していますが
通常の端末からのアクセスでもつかえるのでしょうか?
SSLの通信でサーバ側がIDを付加してくれるのでしょうか?
作りこみすればできそうですが、、、
0007anonymous垢版NGNG
日経コミュニケーションの2-19に記事があったよ。
まだ見えぬ負荷分散の定石ってやつ。

負荷分散装置の前でSSLを復号する必要があるって書いてあるんだけど
URI埋め込みもそうなのか?
そのへんがわからん。
0008anonymous@host56-3.sisnet.ne.jp垢版NGNG
SSL+パーシステンス?
BIG-IP
以上。

っていうかあんた自作自伝の宣伝?
NTT-MEの駄目社員なのかな>1
0010浜崎あゆみ垢版NGNG
>8
ドキュソの書き込みはいらないです。
結局、説明できてませんね。
私は質問をしているのです。宣伝なんかどこにもしてませんよ。
0011anonymous垢版NGNG
>>8
凄い妄想力ですね。どこにも製品名出てないのに。
BIG-IPだって取り扱いはNTT-MEだけじゃないでしょ。
0012ムズカシネ垢版NGNG
1>>
おいらも同じトラブルで悩んでた。で、結論。IEの(WINDOWS)の
レジストリ変えれば(2分だったっけ?)のSESSION IDの変更は
されない。試してみそ。
0014ソカ?垢版NGNG
>>13
SSL stickyはsession to sessionでの認証だから、Poricy serverから
一度認証をもらってしまえば、その間のPASSは同一session IDであれば
間のCSS、LDなどの不可分散装置で均等に(per session, round robin等)
で、やってくれるよ。つまり、クライアントには依存しない。
IPでのstickyはダメだけどね。cockyでも理屈ではできるけど、
やった事無いから分からない。
0015anonymous垢版NGNG
>>14
SSL Session IDが短い周期で変わる場合の話しをしてるのでは?
IEのリジストリをいじるってのは公開サーバではソリューションにならない
と思うが。
ドコモの端末もSSL Session IDが変わるらしいぞ。
0016うちはalteon全盛垢版2001/07/01(日) 11:18ID:.tVrH9FA
方法はいくつかあると思う
1.BIG-IPみたいにSSLのひんばんな最ネゴシエーションに対応した
ロードバランサを使う。(BIG-IP以外に出来るのある?)

2.前のスレで述べられていた様に、ロードバランサの手前にSSL専用機
を置いて復号化してしまう。で、パーシステンスはURLに識別IDを埋め
込んで行う。

3.2の応用だけど、セッションフェイルオーバー機能を持ったWebアプリ
ケーションサーバ(WebLogic/iPlanet etc)に整合性の維持は任せて
ロードバランサーはランダムに振り分けるに徹する

4.Cookieがダメならhiddenで対処

5.Webサーバ側にミドルウェア作り込み。URLにアプリサーバの
アドレスを埋め込んでしまい、ミドルウェアはそのアドレスに
従いアプリサーバにつなぎ込む仕組みにする。そうすればロード
バランサはランダムに振り分けるだけですむ。(某社のアプリ
サーバのパクリアイデアだけど)
0017nobody垢版2001/07/01(日) 12:25ID:tcWrfK.M
手前で復号化すると、サーバーの負荷が下がっていいですよ、と代理店が言って
いたなあ。
0018なな氏ちゃん垢版2001/07/01(日) 13:02ID:tm.CHcYQ
SSLアクセラレータの二重化がむずかしいYO
0019anon垢版2001/07/01(日) 13:07ID:.tVrH9FA
>>18
多くのサイトは1台で十分なのでは?
偏りがあったとしても、アプリサーバほど負荷は深刻にならないと
思われるので、Source IPでSSLに振り分けても良いだろうし。
甘い?
0020名無しさん垢版2001/07/01(日) 13:17ID:xMfsN33E
うちは3でやっているけど、アクセラレータが一台です。
Intelの7110だけど大丈夫かな。
BIG-IPをHAで組むと800万円〜1000万円になるという見積もりをもらってこれは手が出ないと思いました。
0021IP屋垢版2001/07/01(日) 22:54ID:???
ちなみにintelのSSL製品安いの?評価は?
0022なな氏ちゃん垢版2001/07/02(月) 00:26ID:Vmk/fAu2
18っす。
金融関係なので、二重化必須なのです。要件的に。
0023ssl id垢版2001/07/08(日) 10:02ID:m024lt7U
けっきょく1はどう解決したのよ?
0024session ID垢版2001/07/12(木) 14:00ID:???
私もSSL + LBで困っている一人です。

>>22
Alteon switchは1台の機械に2つのアクセラレータを冗長のためつけられる。また、
Switch自体冗長可できる。

>>21 >>20
SSLだけの話であれば安いのでは?

>>19
十分かどうかでなく、金融では意味も無くとりあえず
冗長は必須なのよ。

>>18 F5, AlteonとSSL単体(Intel)を組み合わせる
方法もあるが、

>>17
SUNでCPU負荷測ってみるとわかるよ。SSLのジェネレータは
そこらへんにある。

>>16
hiddenのやり方教えて下さい。

Session IDがころころ変わる件については
各社対応済み。(Alteon, Intel, F5)

URIに埋め込むのは常道だけど、やっぱり
ネットワークだけで極力対処したいのだけど。

App Serverは1 CPUあたり500万もするから却下。
Weblogicあまり良い話聞かないが、詳細希望。
0025コクチマス垢版2001/07/15(日) 23:34ID:zHFDNoyY
>>24
>Session IDがころころ変わる件については
>各社対応済み。(Alteon, Intel, F5)

これ、詳細キボン。

うちは、ネットワークできたあとから、ユーザがログインしてログアウト
するまで同一サーバじゃないとダメなんて仕様が判明して(あれだけ確認
したのによ)、結局SSLアクセスはアドレス固定にしたけど。
間抜け杉。
0027session ID変更垢版2001/07/16(月) 19:24ID:???
>>25
session IDを覚えていて、新しいsession IDに変わった時に、
古い番号から新しい番号への引継ぎを行うというのが私の知っている
唯一の方法。メーカにより違うかもしれないけど、そこまでは不明。

現在server stickeyを解決できる一番確実なのはCookieによる方法である
事に変わりは無いのでは。そうでなければServer側でcgiを組む
及び、app serverなど。

server timeout, ネットワークのtimeout値の微妙な調整により、
LBは動いたり動かなかったりする。こればかりはSI業者のノウハウ
になるだろうね。かなり裏技のため、一般的な本には全然書かれて
いない。みんなこれで幾や徹夜を経験したことか...
メーカのサポートチームは猛省すべきだね。
0028コクチマス垢版2001/07/17(火) 10:40ID:8UPZLS/.
>>27
解説サンクス。
古い番号から新しい番号、って、どうやってひきつぐんだろう???

>メーカのサポートチームは猛省すべきだね。
禿同。

>>26
ちがうよん。でもどこも同じようなダサイ解決策しかないのね。
0029session IDまた変更垢版2001/07/17(火) 19:40ID:???
>>28
Session IDはブラウザが発行する。新しいSession IDに変更
する時に、古いsession IDを同じパケットに付けて送ってくる。
LBは、このパケットの中にあるsession IDが、以前使用していた
IDと同じである事を読み取って同じ一連のsessionだと判断する。詳しくは
SSLのRFCがあるのでチャレンジしてみてください。このRFC,
すっごく難しいので暗号化の解説についてはお手上げでした。
0031SSL再ネゴシエーション対応垢版2001/07/21(土) 11:56ID:ufqOKK7w
>>24
>>Session IDがころころ変わる件については
>>各社対応済み。(Alteon, Intel, F5)
BIG-IPが対応しているのは知っていたが、AlteonもOKなのですか?

>>hiddenのやり方
<INPUT TYPE=“hidden” NAME=......>

>>Weblogicあまり良い話聞かないが
そう?
具体的にはどの様な?
0032sessionID再変更垢版2001/07/26(木) 12:28ID:???
>>31
Alteon
うん。IEのversionに関係なく動いてる。

hidden
Thank you.

Weblogic
SSLとの絡みでどうなるかは知らないけど、Load balanceが正常に
動かない(実際には1つのサーバに負荷が集中する)というのを
小耳にはさんだもので。実際に自分で触っているわけでないので、
不正確な情報は混乱の元ですので、何かわかったらお知らせ
します。
0033Alteoner垢版2001/07/29(日) 01:53ID:MpWuDVkI
>>29
RFC番号きぼーん
0034ServerIroner垢版2001/07/29(日) 15:14ID:xoJl1obQ
age
003531垢版2001/08/05(日) 11:43ID:kr8aTxbc
>>32
>>Weblogic
>>SSLとの絡みでどうなるかは知らないけど、Load balanceが正常に
>>動かない(実際には1つのサーバに負荷が集中する)
1台のサーバがセッション情報を管理するのはiPlanet。
WebLogicは分散で管理します。マスターとスレーブのセットが複数
あるって事。
だから、理論的にはWebLogicの方がスケーラビリティは上です。
でも、マスターが1台であっても、現実的にはそれほど問題には
ならないはず。アプリケーションサーバを何十台と並べる構成に
する人はあまりいないでしょうから。SMP機にして、出来るだけ
台数増えない様にするのがセオリー。
0036age垢版2001/08/12(日) 12:31ID:2SOl0J4A
age
0037iSD垢版01/10/27 20:20ID:S9dOgsVK
Alteon ACEdirector+iSDの組み合わせで一撃。
前段のACEdirectorは負荷分散はせず、2台の冗長構成で、iSDでSSLの
処理だけバランスさせる。
ACEdirectorが負荷に耐えれないほどのSSLのセッションが多いのなら
別だが、それは滅多にないのでは?
0038anonymous@ nttkngw013211.flets.ppp.infoweb.ne.jp垢版01/11/02 01:21ID:w/HSLpte
>>26
nomura證券?
0039anonymous@ ea-tokyo-1-177.dsnw.ne.jp垢版01/11/23 15:57ID:3OEh88+v
age
0040age垢版01/11/23 16:48ID:???
alteonはL4スイッチングやバランシング機能のみに限定すればすばらしいと思う

ただ、ヘルスチェックがいいかげんな感じだし、
リアルサーバが輻輳したとき、そいつ宛の滞留しているセッションを
別のリアルサーバに投げているようなフシがある

誰かAD3で同じような現象を経験してる人いない?
正直手詰まり状態
0041ーーー垢版01/11/24 01:54ID:FANxNtGK
「感じ」とか「フシがある」じゃなくて、もう少し突っ込んで調べてみようよ。
004240 垢版01/11/24 04:49ID:???
>>41
かなりの負荷がかからんと症状で無いし、
そのかなりの負荷の中から該当するパケットを拾い出すのが大変なのよ

見つけたサンプルが少ないんで"フシ"とか"感じ"って言い方になっちゃうんだけど、
実際に発生してるのは確かだよ
0043anonymous@ xdsl133233.210143.metallic.ne.jp垢版01/11/24 09:17ID:BSeRuaYI
んーそれ言うたらBigIPも冗長構成とった時綺麗に切り替わらないで黙っちゃう時有るなぁ。
0044ーーー垢版01/11/24 12:01ID:FANxNtGK
>>42
ヘルスチェックがL7レベルであればそういう動作もあるかと。
0045nobody垢版01/11/24 14:46ID:???
>42

実はへルスチェック失敗してサーバ死んでいるとおもっているのでは?
/info/slb/real
を叩き続けてみるとか。

へルスチェックタイミングを延すとか。
004640垢版01/11/24 16:05ID:???
>>45
多分、そのせいだとは思うんだけど、
確立してるセッションのパケットなのに、宛先が死んだら
ハンドシェイクしてない相手に流すっていう動作をしてることになるよね?

これって重大な欠陥じゃないのかと、、、
本来はそのままため込んで、タイムアウト前に実際の宛先が復活したら
そこに流すという動作が正しいのでは?
0047名無しがご連絡します垢版02/02/10 01:14ID:cNgXyXXz
BIGIPでSSLパケット平文にしてクッキーなりURIなりを
ルールで振り分けれるようになたーYO!!
バランス先を決定した後、サーバーに暗号文送るーYO!!
0048ponta垢版02/02/10 07:05ID:uzdrVlez
>>47
わかりにくいよ。
正しくは、BIG-IP上でSSLを複合化し、CookieやURIを参照して
バランス先を決定した後、もう一度SSLに暗号化してサーバに送る、だろ?
金融とかのPKIの世界では必要になってくるだろうね。
Ver4.2では、クライアントの証明書やクライアントのIPアドレスを
HTTPヘッダ内にインサートしてサーバに送ることもできる。

>>1への答えだが、PC向けサイトではSSL複合+Cookieパーシステンス使う。
モバイル向けはSSL複合+URIパーシステンス使う、というのがサーバへの
負荷を下げる意味でも、セッションIDの変化に対応する意味でも、いまのところ
唯一の解だよ。CookieがOFFのユーザーには警告を出すような仕組みを作って
おけばいい。この場合、バランサーはLayer7処理能力の高い製品を使用しないと
いけない。Alteonじゃだめだろ。F5が一番で後は予算と相談。
0049名無しがご連絡します垢版02/02/10 14:44ID:v56HlizL
>>48
正確だーYO!!
0050金魚垢版02/02/19 01:07ID:DkGcFxfT
F5はSSLが多いとCPU負荷高くなるし、どうせNICだから。
すっごい不思議なのはSSLの処理ってrainbowがやっているんじゃないの?なんで750TPSどまりなんだろう?
0051金魚垢版02/02/19 01:23ID:DkGcFxfT
f5がL7処理能力が高いの?ワイヤスピード出ていればあんまし気にしないんだけどとっても気になる。その前に、そこまで使用したこと無いんだけど。どこか資料落ちていない?
わたしゃ、Alteonを使っているんだけど、前、f5のセミナー行ったときAlteonだめだめの嘘ばっかりだったんだよなあ。あれだけ言われるとf5、特に2000とか5000とかイイナと思っても不審のカタマリ・・。f5、100TPSとは言わず200だったら太っ腹!だったよ。中途半端。
0052あたぁ垢版02/02/19 16:58ID:???
>>50
f5はSSLカード挿せるじゃん。
CPU負荷は問題にならネーよ。

>>51
f5以外でマトモニL7動くのは?
0053金魚垢版02/02/19 21:52ID:0d83qKGp
>>52
いやあね、前インタロップで負荷分散機いろいろ見ているときにT○Lの技術屋さんライクな人に750TPSってなんで中途半端な数字なの?って聞いたらCPUで限界なんですって言われたもんだから、そんなもんなのかなあって。
BIG-IP540でCPUが早くなって、800TPSになっていたのでやっぱそうなのかなって再度思ったりして。
まあ、そこまで多分使わないんだけどね、というより、使ってくれないんだけど。
日本人の悲しい性比較してしまっただけよ。でも、f5何でも出来そうで、手を出したいけど少しそういうのが怖いだけっす。
L7動くのはf5とAlteonとCSS(ArrowPoint)なんちゃうの?Ironは良く知りません。所詮、http headerの文字列カッティングしているだけだしぃ。CSMはL4までとか、風のうわさで聞いた。
0054でもさあ垢版02/02/20 00:47ID:???
>>53
金魚さん詳しそうなので、教えて!
BIG-IP5000とか2000とかってADやCSSと同じようにパフォーマンスいいの?
F5の代理店がすごいこといって帰ったけど。
0055金魚垢版02/02/20 02:27ID:Tp/9LY7i
>> 54
Tollyの資料にL7パフォーマンスのデータがあるとF5のセミナーで聞いた
よ。いいらしい。中身は有料なので見たことないです。
ただ、セミナーの内容が他社批判がひどかっただけに、にわかに信じがたい
んだよね。Radwareなんて乗りたくもない土俵に乗せられて価格比較されて
いるんだから。LD/CSSもAlteonもボロクソ。できる機能をできない、と言い
切られているし。Userの立場になって比較して欲しいよ。それだったらSSL
でたった100TPSで他のSSL Acceleratorの200〜600TPSと同じように書かれ
ている。
いまどき、800TPSがMAXってNetStructure7115の拡張性にも負けているよ。
まあ冷静になればフツーそこまで使わないんだけどさ。そんなつまらない部
分が気になるし突っ込み入れたくなる。
個人的に機能が充実していそうで、しかも速そう、安定していればと期待し
ていたBIG-IP2000/5000だけに、あそこまで他社が批判されていると嘘っぽ
い。自信があるのなら堂々とパフォーマンスと機能で売ればBIG-IPで行って
みようかなって検討するのに。
パフォーマンスもL7に限定しているし、L4、UDPどうよ?とか邪推してしま
うよ、あのセミナーじゃ。知らない人に刷りこむにはいいんだろうけど。
で、僕も、でもさあさん、正直L4TCP, L7, UDPのパフォーマンス僕も知り
たいです。どなたか1秒間のsession handlingの巨砲IPやCSS・Alteon・
ServerIronの負荷分散能力知っている方ヒミツでここだけの話教えてくれま
せんか?
0056F5垢版02/02/21 00:07ID:???
アルテオンの代理店はゼロックスとネットマークス。ゼロックスは世界で一番アルテオンを売ってる代理店
らしいです。そのあたりから、推して知るべしですね。
0057F5垢版02/02/21 00:08ID:???
すいません。板間違えました。
0058?垢版02/02/21 01:21ID:???
>>56
その割にはなんでもかんでもノーテルに丸投げするんだよなあ <FX
0059F6垢版02/02/21 02:36ID:???
>>58
かばうわけじゃないけど。Xの技術陣はこの分野はすごいよ。
何もしないでの丸投げはないでしょ。
意地張って抱えるより、メーカーマターはメーカーに投げるべき。

それより、ウチはF5ユーザーだけど、よくトラブル。
問題は、代理店のレスがないぞ!!
Xさん助けて!でもF5じゃだめ?
0061nobody垢版02/02/21 22:08ID:509saCZ/
>59

たしかにXさん、質問投げてもレスポンス早いしな。
0062nobody2垢版02/02/21 23:15ID:???
>>61
わたしもそう思います。<X
何度も助けていただきました。
0063金魚垢版02/02/22 01:25ID:ytjUqTmX
どこでもRESの早くて的確なこと突く優秀なSEはいるよ。 数をどれだけ
抱えているかなんだろうけど。
嘘を語るところはそう言う意味で信頼できねェ。
でも真実のつもりで誠意的に真っ赤な嘘をつくヤツには弱いんだよなあ。
SSLってネットワーク屋の仕事でないトラブル多くない?
pass phrase忘れたとか、private keyって何ですか?とか。
iPla○指してこれから取り出してください、といわれたときにはマイッタ。
最近は取り出せるというウワサは聞いたけど、実際どうよ?
0064ponta垢版02/02/22 03:30ID:eRyxvIr6
>>金魚
F5 KKってホントにプレゼンだめな奴ばっかりよね。
持ってる情報古すぎるし、説得力0だった。
(確信犯だったかは、謎。)
F5のセミナーでは、日本語のプレゼンを聞いちゃいけない。
外人が来てしゃべるところだけ、聞けばいい。

彼ら、i-modeのL7スイッチングっつうネタで日本市場に根を
張り出してるから、そこから脱皮できてないんじゃないかな。
L4だったら、F5は高すぎるし、使わんほうがいいでしょ。だから、
L7って連呼してたんだと思う。

F5のSSLが800TPSがMAXで、750TPSがCPUの限界だったってのは本当。
昔はRainbowだけど、今はBroadcomのchipが載ってる。
それ以上は、SSL専用箱があるから、それを置けばいいってのが、
F5のやり方。それは今でもそうだね。

F5のL7はHTTP/1.1を全て読み取るところがミソなので、
他と簡単には比べられないかもしれないけど、20000transaction/sec
ぐらいは出てたよ。俺がテストしたときは。L4でもやってみたけど、
20000connection/sec以上出てた。それ以上は測定不能だった。

SSLはネットワーク屋の仕事じゃないっつーのに痛く同感。
ベリサインの証明書は、本当に負荷分散装置配下にあるサーバの
台数ごとに必要なんですか??
なんて俺に聞かないでもらいたい。
0065anonymous垢版02/02/22 21:37ID:kL/2PwFu
IronはL2なら最強なんだけどね。
L7はだめ。
0066anonymous垢版02/02/23 02:21ID:2wyPIKPd
intelの7180,7185も忘れないで・・・
600 ssl/sec、1200 ssl/secだよ。
うーん、マニアックだ。
0067金魚垢版02/02/23 03:01ID:x7vk6bTZ
>>64
broadcomとは知らなかった。ナルホド勉強になりました。
F5のsession handlingはHA+とかEnterpriseで17K〜21K/secだから
カタログスペック値は出ているということか。カタログは信じられるかな。
L7は判らんがL4での速さはAlteon, CSS, Ironか。
L7でのハンドリングスピードとSSLのオーバーヘッド、L7の自由度が今後の競争のポイントか。

SSL、台数ごととに必要ですか、オレも何十回と聞かれた質問。
頼むからVeri○ignのホームページ見てくれよ。CA局の問題なんだから。
多分苦しんでいるNEはいっぱいいるはず。
いろんな意味で、SSLを100TPSでもincludeしたF5には畏敬の念を表す。
0068金魚垢版02/02/23 03:05ID:x7vk6bTZ
>>66
intel NetStructure7180/85ね。
懐かしい思い出です。
DCで見たことない。
LBのsession handlingが数千だったもんな。SSLは拡張できないし。
7110/15の方が売れたんじゃないの?もうOEMもなくなるらしいけど。
0069名無しさん@三年寝たろう垢版02/02/24 19:22ID:RjSAo74Z
>>68
7110/7115 は冗長性考えたときに直列に数珠繋ぎする
奇妙な方法だから、
通常の機器のようにVRRPとか専用のケーブルを使った
2重化の設計をするときが面倒くさい。確かに冗長を
考えない場合は、簡単で良いんだけれどね。逆に簡単
すぎて金取れないよ。ちなみに、OEM が無くなるって、確かHPが販売
していたと思うけれど、販売止めちゃうの?
ちなみにノーテル社について衝撃的な記事が....
http://www.hotwired.co.jp/news/news/business/story/20020215101.html
第二のエンロンかも?
0071金魚垢版02/02/26 01:30ID:6QyCjIde
>>69
Active-Standbyでの負荷分散機と組み合わせるには上位に置くと待機系が遊ぶ
からね。かといって下に置くとSwitchではさむか、各サーバの前に置くしかない
けど、それだとL7での負荷分散できないし。

>>69
Nortelが倒れるっちゅうことはあるのかいな?カナダ政府がそうするのかね?
だれかがあおっているんじゃないの?まあアルゼンチン共和国債みたいなこと
があるのでまったく無いとは言えないけどね。エンロンどころじゃないよ。
ホントかいな?
0072そういえば垢版02/02/26 14:22ID:GngezeY6
Intelは旧7180の後継機を開発してるようだが。
主な特徴:i-modeパーシステンスに(ようやく)対応、
Management port搭載、見た目もちょっと変わる。コマンド体系はかなり変わる。

糞だったLB部分が少しまともになったと喜んでいたらhpが売らなくなるんだと。
開発機はどうなるのだろう。。。SSLに関してはF5より早かったのに。
0073名無しさん垢版02/02/26 16:06ID:dMIGtakh
>>72
結局 hp は直販で Cisco とか Alteon とか F5
をインテグレーションしているわけだから、
間接販売で NetStructure を販売しても意味ないわけだよね。
結局サポートもセンドバックだけで24時間オンサイトはないしね。
で、結局日本での一次代理店はどこになるのかな?
00743年寝る垢版02/03/26 00:25ID:Yu7xgvf/
マクニカ?日商?そんなとこだっただろ。ただNetStructureとしての話だが。
1000TPSの出るらしいけど詳細きぼーん
0075FIPS垢版02/07/13 02:24ID:???
FIPS対応しているSSL Acceleratorはどんなところあるの?
SSL−LB−SSLは巨大IPだけなの?
知っていたら教えてください
0076??垢版02/07/14 01:14ID:c33yAxVT
> 75
Nortel の Alteon iSD-SSL 310/FIPS というのが対応している。
でも、日本じゃまだ売っていないかも。
FIPS 140-1 Level 3 Certified ってやつですね。
でも、日本でそれ要求するところあるの?

あと、SSL-LB-SSL ってのが End to End Encryption って
ことなら、iSD-SSL も ver.3.0 で対応している。
0077??垢版02/07/14 01:25ID:c33yAxVT
> 74
Alteon からも iSD-SSL 410 っていうのが予定されている。
これ 1000TPS 出る。
0078FIPS垢版02/07/14 21:46ID:???
>>76
お客様に聞かれました。
多分FIPSを上がご要求なさるとか。本当に使うかは分かりませんが。
きっと高そうですね。
1000TPSは使いません・・・。
0079名無しさん@XEmacs垢版02/07/15 18:26ID:???
>>78
> 多分FIPSを上がご要求なさるとか。本当に使うかは分かりませんが。

たしかに iSD には 310/FIPS というラインアップがあるけど、NIST
の FIPS-validated-product list には載ってないんだよねー。

どうなってるのやら。

あと、FIPS は取ってないけど、ANDES Network の PSSL シリーズは
“FIPS grade safe store”を謳ってるね。Brochure 通りならたしか
に機能的には level-3 はクリアしてそうに見える。
0080??垢版02/07/15 20:13ID:???
> 79
種明かし。単に Nortel とか iSD という名前で載っていないだけ。
実は 310/FIPS には Rainbow Technologies Inc. という会社の
CryptoSwift HSM というのが載っている。
これが FIPS 140-1 Level 3 --Certificate #162
を取得している。それだけのこと。(当然マニュアルには明記されているよ。)
ちなみに 310/FIPS じゃないモデルには何が載っているかは
知りません。
0081名無しさん@XEmacs垢版02/07/16 15:13ID:???
>>80
> 種明かし。単に Nortel とか iSD という名前で載っていないだけ。

もちろん Alteon でも載ってなかったし。

> CryptoSwift HSM というのが載っている。
> これが FIPS 140-1 Level 3 --Certificate #162
> を取得している。それだけのこと。(当然マニュアルには明記されているよ。)

ガ━━(゚Д゚;)━━ン! んなのアリ?

よーし、お父さん、SSL アクセラレータに iButton 載っけて FIPS
PUB 140-1 Level 3 Certified と銘打って売っちゃうぞー。

はともかく、それなら筐体含めて tamper resistent な ANDES の方が
実質マシじゃないのか?
0082??垢版02/07/16 22:54ID:???
> 81
resistant ですよね?
それはさておき、Nortel も ANDES を... もごもご。
0083a垢版02/07/17 05:04ID:???
SSLアクセラレータといえば、普通箱型かPCIスロットに刺すタイプ
ですよね。Pentium4のSSE2やAthlonの3D!nowみたいに、最近は
マルチメディア演算用の命令積んだCPUも多いから、これをSSLの
高速化に使えないものかなぁ、なんて思うのですが。できる?
0084b垢版02/08/15 20:32ID:j8R2cIgn
作れば出来るんじゃない。
0086nobody垢版02/08/15 23:27ID:FwJ+Xgvm
>83

マルチメディア系の演算命令がどんなものかわかってないとおもわれ
0087メ?ツ?ツ?ツ?ツ?リT垢版02/08/18 16:15ID:MiT9MZAV
>81
Andesはまだバグ多いらしいよ・・・

>82
その先は・・・(笑)Nortelも最近節操無いですね

SSLの負荷かけたいならCAWとか使えばって感じ。
SSLのカードって言っても結局NICとかBUSのトラフィックはCPU処理だから専用箱の方がいいんでないの?そんで鍵の管理は専用オペレーターがいるでしょ。LDAPとかHTTPとかFTPとかでCRL管理できるintelとiSDに一票。
0088anonymous垢版02/08/18 23:03ID:ncvhMabQ
>>83 >>86
UNIXのpasswdファイル解読して弱いパスワードを見つける
John the ripper っていうプログラムがあるけど、
こいつの中で DES の計算の高速化に MMX 命令使ってた。
(MMX には長いワードを一気に XOR する命令なんかが用意されている。)
ただし、SSLの計算で大きな時間を占める公開鍵暗号系
(RSAとかDSA)の高速化に応用できるかどうかはわからん。
0090てて垢版02/08/29 23:11ID:HIyJpOCJ
>>89
アクセス権ネーってよ
0091俺の仕垢版02/12/19 23:11ID:T6SJ/17u
保存上げ
0092俺の仕垢版02/12/20 21:49ID:W9DfQwvf
保存上げ
0099anonymous@ p6ea3c6.tkyoac00.ap.so-net.ne.jp垢版2005/09/23(金) 10:06:30ID:gq7TxXBE
SSLアクセラレータ+SLB+Webサーバー2台の環境で
通信の流れが想像できないっす。

公開するFQDNはSLBのIPアドレスがDNSに登録されていているようです。
だから、ブラウザからアクセスしに行くと、SLBに行ってアクセラレータを
経由しないでWebサーバーにいってしまうような気がするのです。
今は、業者さんが書いた申請書を元に想像してるだけなんで
申請書が間違っている可能性もあるんですが、こんな感じになってます。

SSLアクセラレータ 192.168.0.2  実サーバー 192.168.0.10と192.168.0.11
SLB          192.168.0.3  実サーバー 192.168.0.10と192.168.0.11
Webサーバー1   192.168.0.10
Webサーバー2   192.168.0.11

申請書をお見せ出来ないので、何を言っているか分からないかもしれないですが、
私の想像ではSSLアクセラレータはSLBのアドレスだけ設定すればいい、
むしろそうでないといけないのでは?って思うのですがどうなんでしょうか。
0100hoge垢版2005/09/26(月) 09:28:35ID:???
>>99

> 私の想像ではSSLアクセラレータはSLBのアドレスだけ設定すればいい、
> むしろそうでないといけないのでは?って思うのですがどうなんでしょうか。

何を言っているかやっぱり分からないけど…
何となくそんな感じかな。

Client --> 負荷分散機 --> SSLアクセラレータ --> 負荷分散機 --> 実サーバ
(Redirect処理) (負荷分散処理)

って感じが一般的だと思うけど。
細かいところはSIerさんに聞いてください、お金払ってるんですよね!?

010199垢版2005/09/27(火) 00:51:45ID:???
>>100
レスありがとう。

SIerさんはSSLアクセラレータを入れるのにWebサーバに
証明書入れて443で受けようとしてた事もあり、まかせっきり
にするのもなと思い、勉強しているしだいです。

SLB --- SSLアクセラレータ --- SLB という図を見て
納得しました。DNSにはSLBのFQDNが登録されるようなので
SSLアクセラレータにどう繋がるかが想像出来なかったんですが
L4スイッチというのでしょうか、SLBがその機能も持っている
ためアクセラレータからSLBに戻れるのですね。

当初の想像は
ブラウザ --- SSLアクセラレータ --- SLB --- Webサーバ
と考えてしまったため、通信の流れが???でした。

勉強になったっす!
0102hoge垢版2005/09/27(火) 02:30:44ID:???
>>101

> SIerさんはSSLアクセラレータを入れるのにWebサーバに
> 証明書入れて443で受けようとしてた事もあり、

SIerを庇ってる訳じゃないけど補足させて。
一般的にはSSLアクセラレータが気が狂ってお亡くなりになった時のために、
実サーバにも証明書入れて443を待ち受けてたりするかも。
負荷分散機でもSSLアクセラレータがお亡くなりになった時の設定が入ってるかも。
010399垢版2005/09/27(火) 08:02:16ID:???
>>102
なるほど、気が利いているというか
専門外の私には思いも付かなかったです。

でも、そんな話してくれなかったな。。。シャイな人でも
無いんだが。
ちょっと聞いてみよ。
0105anonymous@softbank220031144017.bbtec.net垢版2007/02/27(火) 22:01:16ID:ZX5upSE1
暗号化や復号はwebサーバーにやらせて、証明書はロードバランサに入れるなんて事は
できますか?証明書は高いので少しでも安くしたい。でもSSLロードバランサは高いし
すべての処理を任せるのは心もとないと考えてるんで。
0107anonymous@softbank220031144017.bbtec.net垢版2007/02/28(水) 00:58:23ID:cb2+emmN
ロードバランサ使えば一枚でオーケーだった所があったはず。
基本的に盗聴されていようがいまいがあんまり気にはしないんだが費用にうるさい
会社なもんで、安く出来る方法ないかななどと思った次第。
バックエンドに入れる証明書をすべてのサーバーにコピーして入れちゃえばいいような
気もするんだがそれでは規約違反だろうし、後で怒られそうというわけです。
ばれなきゃいいという噂もあるが。。。
0108anonymous@softbank220031144017.bbtec.net垢版2007/02/28(水) 01:12:13ID:cb2+emmN
一つの方法として考えているのは、BIG IP のHDにNFSでパーティションを作って
各ウェブサーバーからBIG IP内の証明書を取ってくるという形を考えてるんだが
それでうまくいくのかどうかは疑問かつ余計なトラフィックがロードバランサとウェブサーバー間で
発生するし、さすがに規約上無理がある気がしてる。
0110anonymous@softbank221089248024.bbtec.net垢版2007/03/08(木) 14:45:58ID:I1NSe9OC
SSLの関係者はここ見てる?
SSL今落ちてない?
SSL使う認証のところGooもほかのとこもだめなんだけど?
メールチェックもできない
さっさとなおしやがれ
0112名無しさん@負荷分散垢版2007/05/30(水) 20:45:34ID:4s9jM0qA
1のレス見て他のレスはまったく読んでないので回答でてたら申し訳ないけど
SSL通信を分散且つセッション維持の要件があるのなら、
SSLアクセラレータ付き負荷分散機orSSLアクセラレータ(単体)+負荷分散機(単体)を
買いなされ。
そして任意のセッションIDCookieに入れるか携帯端末含むならURLに埋め込んで
複合化通信を負荷分散機に読み込める形にして通信すればおk
SSLアクセラレータ付き負荷分散機なら高いけど、SSL通信を分散機で暗号化を複合化するから
setCookieだろうがhttpヘッダーだろうが装置内で消化できる
0113?垢版2007/05/31(木) 19:42:49ID:???
>>111
具体的な製品をあげてみてよ
0114anon垢版2007/08/07(火) 21:03:46ID:???
>>112は6年前の>>1のレスに回答してるな
ここまで間の開いたレスは初めて見た
0115anonymous@FNAfb-08p4-226.ppp11.odn.ad.jp垢版2007/08/17(金) 00:50:46ID:4WQvxILd
BIG-IPか旧Alteonだろうな。

単体のSSLアクセラレータってあんま使わないきが。
0116aaa垢版2007/09/17(月) 00:54:16ID:Z3gAw+wT
>>115
ArrayTMXってのはどう?
ご存知な方、利用実績のある方いる?
0120anonymous@118x240x100x162.ap118.gyao.ne.jp垢版2008/07/31(木) 04:30:13ID:HHCQrCDx
array、foundry、alteon、radware、f5などで一番高いヤツにSSL付のがありんす。

セッション維持はSSLアクセラレーター付ロードバランサでやるか、アクセラレーターをロードバランサ
の前に付ける方法が一般的なんでしょうか?

L4ロードバランサでセッション維持機能の無いもの(バカバランサ)を使い、
サーバー間でセッションを複製するという方法を取ったほうが安くできるのではないかと思うのです。
0121anonymous@softbank219019220034.bbtec.net垢版2008/08/03(日) 10:30:22ID:xSp5Csh/
>>417
ホンダのミニバン
ていゆかていじゅうしん
0122anonymous@eatkyo073134.adsl.ppp.infoweb.ne.jp垢版2008/09/16(火) 00:56:32ID:mK2/4lG1
>>120
他は知らんが
f5は普通にセッション維持できるけど
SSL複合しなくても・・・
0123_垢版2008/09/17(水) 02:34:18ID:???
>>120
LBをSSL対応品にするか、LBの前段にSSLアクセラレータをいれるかしないと、負荷分散装置を通るときに
SSL暗号化を解除できない。そうすっと、パーシステンス/スティッキーの方式として事実上、SSL session ID
とソースIPくらいしか選べなくなるんじゃね。
SSL session ID方式は「一部ブラウザがSSL session IDを頻繁に再ネゴシエートする」って問題があったので、
個人的には避けたい。
現行バージョンのメジャーブラウザは問題ないはずだけど、未来を含めて絶対の保証はされないだろうし。

システム仕様で完全固定IPのみを相手にするという絶対的な保証があるなら、ソースID対応でなんとかなる。
ていうかそのほうが楽だ。

んで、サーバシステム側で「いつ別の物理サーバに振り分けられても問題ないような」構造にするのも手だ‥
ただし、アプリが状態の遷移を完全に把握して設計されていて、実装も問題なく、性能上の影響も一切生じず、
セキュリティ的な懸念もあり得ない、というのなら、だが。

個人的経験で言えば、その手の方法は動作試験以降が大変だ。
まれにアプリ的な動作が妙になったりで、「LBが悪いんだろう!てか頼むからそういって下さい!」と詰め寄ら
れたりとか。んでどこに問題があるのか切り分けが面倒だとか。(苦笑

個人的経験では、その手の案は「目先の小銭を節約する代わりに、実装と運用を無駄に複雑にする選択」と
言わざるを得ない。


「必要なのはサービスの可用性であり、トラフィック総量は少ないから負荷分散は不要」という要件でなら、
負荷分散を行わず、トラフィックの振り分け先は常に1台。主系サーバが落ちたら、トラフィックを副系サーバ
に振り分ける、みたいな設計もありだな。これならL4パーシステンスしかできないLBでもあまり問題ない。
0124anonymous垢版2008/09/19(金) 23:49:13ID:???
ウチはこれで、SSLアクセラレータとL7負荷分散を入れてます。
ttp://fenics.fujitsu.com/products/ipcom/products/lineup/ipcom_ex_lb.html
0125anonymous垢版2008/11/22(土) 18:54:43ID:???
もうBIG-IPなんて見たくもさわりたくもない
0126anonymous垢版2008/11/22(土) 18:59:42ID:???
じゃあ何ならいいんだよ
0128hoge垢版2008/11/23(日) 19:18:00ID:???
>>125

何があったんですか…
0129anonymous垢版2008/11/24(月) 18:14:19ID:???
>>125
NEらしくL2SWとRでいいや
>>128
何があったというわけでもないけど
結構すぐ壊れるし
それにもう飽きたし
BIG一筋2年間・・・秋田
0130128垢版2008/11/30(日) 01:36:59ID:???
>>129

結構、壊れるんですね…F5
お付き合いのある代理店さんがやたらと勧めてくるので、
評価機でも借りようかと思っていたんですが…
0131129垢版2008/12/02(火) 00:08:03ID:???
>>130
まあ壊れてもまるごと交換だから
そんなに面倒ではないかもだけど

値段も高いし・・・
ただ、やれることは他機器に比べて多いらしい
iruleとか使いこなしたら柔軟性も抜群だし

あ、何オレあんな機械のこと庇ってんだろ・・・
こ、これが・・・愛?
0132anonymous垢版2008/12/02(火) 01:59:01ID:???
>>131
ただのストックホルム症候群です。
0133129垢版2008/12/03(水) 01:04:42ID:???
>>132
被害者なのに犯人に同情しちゃう気持ち?

普段は好きじゃないんだけど、
ケナサレルとなんかムカムカする的な?

ま、F5も悪いやつじゃないんで
考慮してやってね
0134ぽんたろう垢版2008/12/09(火) 16:28:17ID:ppR78r3I
URL REWRITE(再書込み)のセッション制御って、
バランサのセッション維持で対応できるのでしょうかぁ?
0135anonymous@118x241x102x41.ap118.gyao.ne.jp垢版2009/04/17(金) 10:40:58ID:fdh3PYbW
結論として、SSLロードバランスにはSSLロードバランサを購入する以外になさそうですね。
0136A10垢版2009/06/05(金) 23:07:57ID:???
>>129
俺も疲れた。。。
トクに電源壊れ過ぎ。
0137anonymous@05001014093382_mc垢版2009/07/02(木) 22:13:32ID:U6uIwWk4
UltraMonkey-L7+SSL Proxyって実サービスに投入してる人いる?
経験談をぜひ聞きたい。
0138あのにます垢版2009/07/31(金) 11:55:41ID:gf+SyfBp
>>137
あれはそのパッケージだけでなく、周辺の連動パッケージもそれなりに理解してないと動かせないね。
でも幾つか解説本片手に構築すれば、1週間で投入可能なレベルに持っていけるよ。
0139anonymous@z219.211-19-70.ppp.wakwak.ne.jp垢版2010/02/27(土) 15:58:06ID:M1F3O0FC
>>136
ゴネたら電源タダで交換してくれたよ!
0140anonymous@ZJ020197.ppp.dion.ne.jp垢版2010/03/21(日) 19:04:29ID:NffwCBa0
光回線よりも速い通信プログラムができた。木下、瀬谷貴史、リナックス君が使って、知っている
0141anonymous@ZJ020197.ppp.dion.ne.jp垢版2010/03/21(日) 19:06:11ID:NffwCBa0
光回線よりも速い通信プログラムができた。木下、瀬谷貴史、リナックス君が使って、知っている。
0142anonymous@ZJ020197.ppp.dion.ne.jp垢版2010/03/21(日) 19:06:53ID:???
光回線よりも速い通信プログラムができた。木下、瀬谷貴史、リナックス君が使って、知っている。
0144anonymous垢版2010/09/25(土) 17:56:32ID:???
とりあえずここでいいんじゃね?
0151anonymous@KD111100180182.ppp-bb.dion.ne.jp垢版2015/02/19(木) 21:37:36.08ID:1xhN9gZn
BIG-IPの勉強をしております
パーシステンスをSSLのsession IDにて行う場合の事について教えて下さい

SSLのセッションIDは暗号化されてしまっていると思うのですが
どのようにして判断しているのでしょうか?
そもそも暗号化されてしまっているという認識が間違っていますでしょうか?
vmを使いアパッチでHTTPS通信を行いwiresharkでキャプってみたのですが
複合しなければtcp通信としてしか確認出来ませんでした

ご存知の方がいらっしゃいましたらご教授ください
0152anonymous@KD111100180182.ppp-bb.dion.ne.jp垢版2015/03/22(日) 21:10:15.05ID:xaTBY1pK
BIG-IPのトライアル版でHA構成は組めるでしょうか?
0154ななし垢版2015/07/19(日) 14:17:05.65ID:???
>>151
セッションIDは暗号化されてないよ

と太古の書き込みにレスしてみる。
0156anonymous@111-90-59-171.koalanet.ne.jp垢版2016/04/29(金) 02:28:41.89ID:dmyglX0e
BIG-IPのコンソール上,
[Local Traffic]に、[SSL Certificates]がない.v11になってGUIが変わったなんてことないよね.
0157anonymous垢版2016/04/30(土) 23:30:19.18ID:???
デバイス管理系の項目に移動してたと思うよ
Platfromとかの項目がある場所だったかな
0158anonymous垢版2016/05/02(月) 20:39:15.50ID:???
SystemのFile Managementとかその辺りに移動した
0159anonymous@fusianasan垢版2017/12/28(木) 06:43:06.84ID:qH5jGHED
誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。

グーグル検索⇒『加藤のセセエイウノノ』

QEPBUGPUR0
0160anonymous@fusianasan垢版2018/02/16(金) 04:03:21.71ID:???
               r''"''ー-,,_
                |      "''ー──‐---''ヽ
                |              /
                |                |
          、--───‐ノ''ー-,,,_           |
         `ヽ     \   "'''ー-,,,_     |
              \     \        "''''ー--┤
              /\    "'''-,,,__        |
             /  r‐\       "'''ー‐-.,,,__ |、
          /   ||,-`| \           "` \
           /    ヽYi |  /`-,,_                \
        |     \ | |   "''ー-,,,_        \
           |       ‖ |         |"'''''┬--,,,_  \
         |      |  |           ゙、   |       `ー-'
           |      |   ゙、   、        > |
         ゙、     /|  ,、゙、  `ー- .,__    /       
           ,へ / ノ,イ二ヽ、     ‐- ̄ /      < 
            ノ   `''y''i|.r''⌒ヽヽヽ-、   人,,,/、       
    _,,,-‐'''"\  r'"‖| |   | |    ゙''"    ゙、
   /     ,,--`-|| .(l| ゝ`ー‐' ,人-.,,_       \
    |    /    ||) rヽ、゙、。/  ゙、 "''ヽ、 、  __ "''-,,_
   .|  /   ,-─i゙、ヽ `''`i! ||、   ゙、. | `ゞ`=i-"、` ̄
   |  |    /  /ト、`Tヽ<||‖ \   ゙、|、     |  ゙、 \
   |  |  /   / | `‐`r、 ゙i!()ー‐--、   ゙、ヽ、   |  ゙、   \
   |  ゙、| / r''"" ̄ ̄ ̄ ̄| |"'''ヽ、_ヽ  ゙、 Y二|゙、   ゙、   /|
   .|  / | /   、.____|_|,,_    ))   ゙、〈 ‐->|    ゙、 / |
   | ゙、.  〉   ´ ̄ ̄ ̄ ̄ ̄""ヽ´     ゙、|  ||    /  |
   .|  |゙、. 〉            _丿       ゙i   ‖   /   |
0161anonymous@fusianasan垢版2018/05/21(月) 20:29:24.13ID:WI69FONG
ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』

O41DV
0162対露制裁でより大損害を受けるのは発動した側垢版2022/07/11(月) 01:09:37.93ID:kCj1sz/t
プーチン大統領は、欧州はロシアのエネルギー資源の代替源を躍起になって探しているものの、それがガス価格の高騰を呼んでいると指摘し、このこと全てが、「対露制裁がはるかに大きな損害をもたらすのは、まさに制裁を発動する国であることを改めて示している」と述べた。

プーチン大統領は欧州諸国の首脳らには世界のエネルギーの複合的状況について幾度も警告してきたものの、誰も耳を傾けなかったとして、次のように語っている。

「こういう結果になることは常に、再三にわたり欧州諸国の同僚らに警告してきた。個人的に顔を合わせる機会も含めて警告したが、誰も聞いてくれなかった。我々の警告を彼らは軽々しく受け流してきた。これはまさに、私たちが起こりうると言ってきた、そして今、起きている状況だ」

プーチン大統領は、欧米がこの先も制裁を続けた場合、世界のエネルギー市場は悲惨な結果になる恐れがあると付け加えた。

西側諸国は、石油やガスの輸出によるロシアの収入を制限するためのさまざまな措置について引き続き協議している。一方、今のところ、欧州連合(EU)全体による海上輸送を含むロシア産石油の輸入禁止や、外国企業の自発的な拒否によってもロシアの収入は制限されていない。

西側諸国はウクライナでの特殊作戦を受け、ロシアに対して制裁を発動している。これに関連して、ロシアのプーチン大統領は、ロシア封じ込め政策とロシア弱体化政策は西側の長期戦略であり、制裁は世界経済全体に深刻な打撃を与えたと述べた。
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況