SSLのロードバランス

[0001 浜崎あゆみ NG NG]

SSLの通信をロードバランスさせようとしていますが
IEではSSL-IDがセッション中に変化するので×
クッキーはブラウザでOFFにしたら×
結局、ソースアドレスでやってもProxyからでてくるものは一つのアドレスでまとめられてしまうので
同じサーバに負荷がかかってしまう・・・。
現在のテクノロジーではどのように解決してるのでしょうか？
教えてください。

[0002 鬼束ちひろ NG NG]

そこらへんの負荷分散箱つかえばいいんでは？
ほとんどのやつはSSL-IDをみて振り分けられてくれるよ
ってゆーか、>>1 はどんなほうほうでやってんの？

[0003 浜崎あゆみ NG NG]

ごめんなさい・・・。
ロードバランスだけでなくパーシステンスも必要な通信でした。
ロードバランスだけだったら簡単なんですけどね・・・。

[0004 sage NG NG]

URL に埋め込むんじゃないでしょうか。

↓これとかは多分そうでしょ?
http://www.cisco.com/japanese/warp/public/3/jp/solution/sp/css11000/topics.html#004

[0005 age NG NG]

age

[0006 浜崎あゆみ NG NG]

URIを使うパーシステンスはブラウザフォン向けのソリューションですね。
この場合、サーバ側のスクリプトでURLにIDを付加して
次の通信でそのIDをみてパーシステンスをすると認識していますが
通常の端末からのアクセスでもつかえるのでしょうか？
SSLの通信でサーバ側がIDを付加してくれるのでしょうか？
作りこみすればできそうですが、、、

[0007 anonymous NG NG]

日経コミュニケーションの2-19に記事があったよ。
まだ見えぬ負荷分散の定石ってやつ。

負荷分散装置の前でSSLを復号する必要があるって書いてあるんだけど
URI埋め込みもそうなのか？
そのへんがわからん。

[0008 anonymous@host56-3.sisnet.ne.jp NG NG]

SSL＋パーシステンス？
BIG-IP
以上。

っていうかあんた自作自伝の宣伝？
NTT-MEの駄目社員なのかな＞1

[0009 anony NG NG]

>>8
君はセ○ム情報の馬鹿社員？

[0010 浜崎あゆみ NG NG]

>8
ドキュソの書き込みはいらないです。
結局、説明できてませんね。
私は質問をしているのです。宣伝なんかどこにもしてませんよ。

[0011 anonymous NG NG]

>>8
凄い妄想力ですね。どこにも製品名出てないのに。
BIG-IPだって取り扱いはNTT-MEだけじゃないでしょ。

[0012 ムズカシネ NG NG]

1>>
おいらも同じトラブルで悩んでた。で、結論。IEの（WINDOWS)の
レジストリ変えれば（２分だったっけ？）のSESSION IDの変更は
されない。試してみそ。

[0013 nanasisan NG NG]

>>12
クライアントが不特定多数の場合はダメじゃん。

[0014 ソカ？ NG NG]

>>13
SSL stickyはsession to sessionでの認証だから、Poricy serverから
一度認証をもらってしまえば、その間のPASSは同一session IDであれば
間のCSS、LDなどの不可分散装置で均等に（per session, round robin等）
で、やってくれるよ。つまり、クライアントには依存しない。
IPでのstickyはダメだけどね。cockyでも理屈ではできるけど、
やった事無いから分からない。

[0015 anonymous NG NG]

>>14
SSL Session IDが短い周期で変わる場合の話しをしてるのでは？
IEのリジストリをいじるってのは公開サーバではソリューションにならない
と思うが。
ドコモの端末もSSL Session IDが変わるらしいぞ。

[0016 うちはalteon全盛 2001/07/01(日) 11:18 ID:.tVrH9FA]

方法はいくつかあると思う
1.BIG-IPみたいにSSLのひんばんな最ネゴシエーションに対応した
ロードバランサを使う。（BIG-IP以外に出来るのある？）

2.前のスレで述べられていた様に、ロードバランサの手前にSSL専用機
を置いて復号化してしまう。で、パーシステンスはURLに識別IDを埋め
込んで行う。

3.2の応用だけど、セッションフェイルオーバー機能を持ったWebアプリ
ケーションサーバ(WebLogic/iPlanet etc)に整合性の維持は任せて
ロードバランサーはランダムに振り分けるに徹する

4.Cookieがダメならhiddenで対処

5.Webサーバ側にミドルウェア作り込み。URLにアプリサーバの
アドレスを埋め込んでしまい、ミドルウェアはそのアドレスに
従いアプリサーバにつなぎ込む仕組みにする。そうすればロード
バランサはランダムに振り分けるだけですむ。（某社のアプリ
サーバのパクリアイデアだけど）

[0017 nobody 2001/07/01(日) 12:25 ID:tcWrfK.M]

手前で復号化すると、サーバーの負荷が下がっていいですよ、と代理店が言って
いたなあ。

[0018 なな氏ちゃん 2001/07/01(日) 13:02 ID:tm.CHcYQ]

SSLアクセラレータの二重化がむずかしいYO

[0019 anon 2001/07/01(日) 13:07 ID:.tVrH9FA]

>>18
多くのサイトは1台で十分なのでは？
偏りがあったとしても、アプリサーバほど負荷は深刻にならないと
思われるので、Source IPでSSLに振り分けても良いだろうし。
甘い？

[0020 名無しさん 2001/07/01(日) 13:17 ID:xMfsN33E]

うちは３でやっているけど、アクセラレータが一台です。
Intelの7110だけど大丈夫かな。
BIG-IPをHAで組むと800万円〜1000万円になるという見積もりをもらってこれは手が出ないと思いました。

[0021 IP屋 2001/07/01(日) 22:54 ID:???]

ちなみにintelのSSL製品安いの？評価は？

[0022 なな氏ちゃん 2001/07/02(月) 00:26 ID:Vmk/fAu2]

18っす。
金融関係なので、二重化必須なのです。要件的に。

[0023 ssl id 2001/07/08(日) 10:02 ID:m024lt7U]

けっきょく１はどう解決したのよ？

[0024 session ID 2001/07/12(木) 14:00 ID:???]

私もSSL + LBで困っている一人です。

>>22
Alteon switchは１台の機械に2つのアクセラレータを冗長のためつけられる。また、
Switch自体冗長可できる。

>>21 >>20
SSLだけの話であれば安いのでは？

>>19
十分かどうかでなく、金融では意味も無くとりあえず
冗長は必須なのよ。

>>18 F5, AlteonとSSL単体(Intel)を組み合わせる
方法もあるが、

>>17
SUNでCPU負荷測ってみるとわかるよ。SSLのジェネレータは
そこらへんにある。

>>16
hiddenのやり方教えて下さい。

Session IDがころころ変わる件については
各社対応済み。(Alteon, Intel, F5)

URIに埋め込むのは常道だけど、やっぱり
ネットワークだけで極力対処したいのだけど。

App Serverは1 CPUあたり500万もするから却下。
Weblogicあまり良い話聞かないが、詳細希望。

[0025 コクチマス 2001/07/15(日) 23:34 ID:zHFDNoyY]

>>24
>Session IDがころころ変わる件については
>各社対応済み。(Alteon, Intel, F5)

これ、詳細ｷﾎﾞﾝ。

うちは、ネットワークできたあとから、ユーザがログインしてログアウト
するまで同一サーバじゃないとﾀﾞﾒなんて仕様が判明して(あれだけ確認
したのによ)、結局SSLアクセスはアドレス固定にしたけど。
間抜け杉。

[0026 サポセン人 2001/07/15(日) 23:38 ID:???]

>>25
某証券ですな。

[0027 session ID変更 2001/07/16(月) 19:24 ID:???]

>>25
session IDを覚えていて、新しいsession IDに変わった時に、
古い番号から新しい番号への引継ぎを行うというのが私の知っている
唯一の方法。メーカにより違うかもしれないけど、そこまでは不明。

現在server stickeyを解決できる一番確実なのはCookieによる方法である
事に変わりは無いのでは。そうでなければServer側でcgiを組む
及び、app serverなど。

server timeout, ネットワークのtimeout値の微妙な調整により、
LBは動いたり動かなかったりする。こればかりはSI業者のノウハウ
になるだろうね。かなり裏技のため、一般的な本には全然書かれて
いない。みんなこれで幾や徹夜を経験したことか...
メーカのサポートチームは猛省すべきだね。

[0028 コクチマス 2001/07/17(火) 10:40 ID:8UPZLS/.]

>>27
解説ｻﾝｸｽ。
古い番号から新しい番号、って、どうやってひきつぐんだろう???

>メーカのサポートチームは猛省すべきだね。
禿同。

>>26
ちがうよん。でもどこも同じようなﾀﾞｻｲ解決策しかないのね。

[0029 session IDまた変更 2001/07/17(火) 19:40 ID:???]

>>28
Session IDはブラウザが発行する。新しいSession IDに変更
する時に、古いsession IDを同じパケットに付けて送ってくる。
LBは、このパケットの中にあるsession IDが、以前使用していた
IDと同じである事を読み取って同じ一連のsessionだと判断する。詳しくは
SSLのRFCがあるのでチャレンジしてみてください。このRFC,
すっごく難しいので暗号化の解説についてはお手上げでした。

[0030 コクチマス 2001/07/17(火) 23:31 ID:???]

>>29
ｻﾝｸｽ!! 勉強します。

[0031 SSL再ネゴシエーション対応 2001/07/21(土) 11:56 ID:ufqOKK7w]

>>24
>>Session IDがころころ変わる件については
>>各社対応済み。(Alteon, Intel, F5)
BIG-IPが対応しているのは知っていたが、AlteonもOKなのですか？

>>hiddenのやり方
<INPUT TYPE=“hidden” NAME=......>

>>Weblogicあまり良い話聞かないが
そう？
具体的にはどの様な？

[0032 sessionID再変更 2001/07/26(木) 12:28 ID:???]

>>31
Alteon
うん。IEのversionに関係なく動いてる。

hidden
Thank you.

Weblogic
SSLとの絡みでどうなるかは知らないけど、Load balanceが正常に
動かない（実際には１つのサーバに負荷が集中する）というのを
小耳にはさんだもので。実際に自分で触っているわけでないので、
不正確な情報は混乱の元ですので、何かわかったらお知らせ
します。

[0033 Alteoner 2001/07/29(日) 01:53 ID:MpWuDVkI]

>>29
RFC番号きぼーん

[0034 ServerIroner 2001/07/29(日) 15:14 ID:xoJl1obQ]

age

[0035 31 2001/08/05(日) 11:43 ID:kr8aTxbc]

>>32
>>Weblogic
>>SSLとの絡みでどうなるかは知らないけど、Load balanceが正常に
>>動かない（実際には１つのサーバに負荷が集中する）
1台のサーバがセッション情報を管理するのはiPlanet。
WebLogicは分散で管理します。マスターとスレーブのセットが複数
あるって事。
だから、理論的にはWebLogicの方がスケーラビリティは上です。
でも、マスターが1台であっても、現実的にはそれほど問題には
ならないはず。アプリケーションサーバを何十台と並べる構成に
する人はあまりいないでしょうから。SMP機にして、出来るだけ
台数増えない様にするのがセオリー。

[0036 age 2001/08/12(日) 12:31 ID:2SOl0J4A]

age