SSLのロードバランス
SSLの通信をロードバランスさせようとしていますが
IEではSSL-IDがセッション中に変化するので×
クッキーはブラウザでOFFにしたら×
結局、ソースアドレスでやってもProxyからでてくるものは一つのアドレスでまとめられてしまうので
同じサーバに負荷がかかってしまう・・・。
現在のテクノロジーではどのように解決してるのでしょうか?
教えてください。そこらへんの負荷分散箱つかえばいいんでは?
ほとんどのやつはSSL-IDをみて振り分けられてくれるよ
ってゆーか、>>1 はどんなほうほうでやってんの?ごめんなさい・・・。
ロードバランスだけでなくパーシステンスも必要な通信でした。
ロードバランスだけだったら簡単なんですけどね・・・。URIを使うパーシステンスはブラウザフォン向けのソリューションですね。
この場合、サーバ側のスクリプトでURLにIDを付加して
次の通信でそのIDをみてパーシステンスをすると認識していますが
通常の端末からのアクセスでもつかえるのでしょうか?
SSLの通信でサーバ側がIDを付加してくれるのでしょうか?
作りこみすればできそうですが、、、日経コミュニケーションの2-19に記事があったよ。
まだ見えぬ負荷分散の定石ってやつ。
負荷分散装置の前でSSLを復号する必要があるって書いてあるんだけど
URI埋め込みもそうなのか?
そのへんがわからん。SSL+パーシステンス?
BIG-IP
以上。
っていうかあんた自作自伝の宣伝?
NTT-MEの駄目社員なのかな>1>8
ドキュソの書き込みはいらないです。
結局、説明できてませんね。
私は質問をしているのです。宣伝なんかどこにもしてませんよ。>>8
凄い妄想力ですね。どこにも製品名出てないのに。
BIG-IPだって取り扱いはNTT-MEだけじゃないでしょ。1>>
おいらも同じトラブルで悩んでた。で、結論。IEの(WINDOWS)の
レジストリ変えれば(2分だったっけ?)のSESSION IDの変更は
されない。試してみそ。>>12
クライアントが不特定多数の場合はダメじゃん。>>13
SSL stickyはsession to sessionでの認証だから、Poricy serverから
一度認証をもらってしまえば、その間のPASSは同一session IDであれば
間のCSS、LDなどの不可分散装置で均等に(per session, round robin等)
で、やってくれるよ。つまり、クライアントには依存しない。
IPでのstickyはダメだけどね。cockyでも理屈ではできるけど、
やった事無いから分からない。>>14
SSL Session IDが短い周期で変わる場合の話しをしてるのでは?
IEのリジストリをいじるってのは公開サーバではソリューションにならない
と思うが。
ドコモの端末もSSL Session IDが変わるらしいぞ。 方法はいくつかあると思う
1.BIG-IPみたいにSSLのひんばんな最ネゴシエーションに対応した
ロードバランサを使う。(BIG-IP以外に出来るのある?)
2.前のスレで述べられていた様に、ロードバランサの手前にSSL専用機
を置いて復号化してしまう。で、パーシステンスはURLに識別IDを埋め
込んで行う。
3.2の応用だけど、セッションフェイルオーバー機能を持ったWebアプリ
ケーションサーバ(WebLogic/iPlanet etc)に整合性の維持は任せて
ロードバランサーはランダムに振り分けるに徹する
4.Cookieがダメならhiddenで対処
5.Webサーバ側にミドルウェア作り込み。URLにアプリサーバの
アドレスを埋め込んでしまい、ミドルウェアはそのアドレスに
従いアプリサーバにつなぎ込む仕組みにする。そうすればロード
バランサはランダムに振り分けるだけですむ。(某社のアプリ
サーバのパクリアイデアだけど) 手前で復号化すると、サーバーの負荷が下がっていいですよ、と代理店が言って
いたなあ。 >>18
多くのサイトは1台で十分なのでは?
偏りがあったとしても、アプリサーバほど負荷は深刻にならないと
思われるので、Source IPでSSLに振り分けても良いだろうし。
甘い? うちは3でやっているけど、アクセラレータが一台です。
Intelの7110だけど大丈夫かな。
BIG-IPをHAで組むと800万円〜1000万円になるという見積もりをもらってこれは手が出ないと思いました。 18っす。
金融関係なので、二重化必須なのです。要件的に。 私もSSL + LBで困っている一人です。
>>22
Alteon switchは1台の機械に2つのアクセラレータを冗長のためつけられる。また、
Switch自体冗長可できる。
>>21 >>20
SSLだけの話であれば安いのでは?
>>19
十分かどうかでなく、金融では意味も無くとりあえず
冗長は必須なのよ。
>>18 F5, AlteonとSSL単体(Intel)を組み合わせる
方法もあるが、
>>17
SUNでCPU負荷測ってみるとわかるよ。SSLのジェネレータは
そこらへんにある。
>>16
hiddenのやり方教えて下さい。
Session IDがころころ変わる件については
各社対応済み。(Alteon, Intel, F5)
URIに埋め込むのは常道だけど、やっぱり
ネットワークだけで極力対処したいのだけど。
App Serverは1 CPUあたり500万もするから却下。
Weblogicあまり良い話聞かないが、詳細希望。 >>24
>Session IDがころころ変わる件については
>各社対応済み。(Alteon, Intel, F5)
これ、詳細キボン。
うちは、ネットワークできたあとから、ユーザがログインしてログアウト
するまで同一サーバじゃないとダメなんて仕様が判明して(あれだけ確認
したのによ)、結局SSLアクセスはアドレス固定にしたけど。
間抜け杉。 >>25
session IDを覚えていて、新しいsession IDに変わった時に、
古い番号から新しい番号への引継ぎを行うというのが私の知っている
唯一の方法。メーカにより違うかもしれないけど、そこまでは不明。
現在server stickeyを解決できる一番確実なのはCookieによる方法である
事に変わりは無いのでは。そうでなければServer側でcgiを組む
及び、app serverなど。
server timeout, ネットワークのtimeout値の微妙な調整により、
LBは動いたり動かなかったりする。こればかりはSI業者のノウハウ
になるだろうね。かなり裏技のため、一般的な本には全然書かれて
いない。みんなこれで幾や徹夜を経験したことか...
メーカのサポートチームは猛省すべきだね。 >>27
解説サンクス。
古い番号から新しい番号、って、どうやってひきつぐんだろう???
>メーカのサポートチームは猛省すべきだね。
禿同。
>>26
ちがうよん。でもどこも同じようなダサイ解決策しかないのね。 >>28
Session IDはブラウザが発行する。新しいSession IDに変更
する時に、古いsession IDを同じパケットに付けて送ってくる。
LBは、このパケットの中にあるsession IDが、以前使用していた
IDと同じである事を読み取って同じ一連のsessionだと判断する。詳しくは
SSLのRFCがあるのでチャレンジしてみてください。このRFC,
すっごく難しいので暗号化の解説についてはお手上げでした。 >>24
>>Session IDがころころ変わる件については
>>各社対応済み。(Alteon, Intel, F5)
BIG-IPが対応しているのは知っていたが、AlteonもOKなのですか?
>>hiddenのやり方
<INPUT TYPE=“hidden” NAME=......>
>>Weblogicあまり良い話聞かないが
そう?
具体的にはどの様な? >>31
Alteon
うん。IEのversionに関係なく動いてる。
hidden
Thank you.
Weblogic
SSLとの絡みでどうなるかは知らないけど、Load balanceが正常に
動かない(実際には1つのサーバに負荷が集中する)というのを
小耳にはさんだもので。実際に自分で触っているわけでないので、
不正確な情報は混乱の元ですので、何かわかったらお知らせ
します。 >>32
>>Weblogic
>>SSLとの絡みでどうなるかは知らないけど、Load balanceが正常に
>>動かない(実際には1つのサーバに負荷が集中する)
1台のサーバがセッション情報を管理するのはiPlanet。
WebLogicは分散で管理します。マスターとスレーブのセットが複数
あるって事。
だから、理論的にはWebLogicの方がスケーラビリティは上です。
でも、マスターが1台であっても、現実的にはそれほど問題には
ならないはず。アプリケーションサーバを何十台と並べる構成に
する人はあまりいないでしょうから。SMP機にして、出来るだけ
台数増えない様にするのがセオリー。