SSLのロードバランス
Intelは旧7180の後継機を開発してるようだが。
主な特徴:i-modeパーシステンスに(ようやく)対応、
Management port搭載、見た目もちょっと変わる。コマンド体系はかなり変わる。
糞だったLB部分が少しまともになったと喜んでいたらhpが売らなくなるんだと。
開発機はどうなるのだろう。。。SSLに関してはF5より早かったのに。 >>72
結局 hp は直販で Cisco とか Alteon とか F5
をインテグレーションしているわけだから、
間接販売で NetStructure を販売しても意味ないわけだよね。
結局サポートもセンドバックだけで24時間オンサイトはないしね。
で、結局日本での一次代理店はどこになるのかな?
マクニカ?日商?そんなとこだっただろ。ただNetStructureとしての話だが。
1000TPSの出るらしいけど詳細きぼーん FIPS対応しているSSL Acceleratorはどんなところあるの?
SSL−LB−SSLは巨大IPだけなの?
知っていたら教えてください > 75
Nortel の Alteon iSD-SSL 310/FIPS というのが対応している。
でも、日本じゃまだ売っていないかも。
FIPS 140-1 Level 3 Certified ってやつですね。
でも、日本でそれ要求するところあるの?
あと、SSL-LB-SSL ってのが End to End Encryption って
ことなら、iSD-SSL も ver.3.0 で対応している。
> 74
Alteon からも iSD-SSL 410 っていうのが予定されている。
これ 1000TPS 出る。
>>76
お客様に聞かれました。
多分FIPSを上がご要求なさるとか。本当に使うかは分かりませんが。
きっと高そうですね。
1000TPSは使いません・・・。 >>78
> 多分FIPSを上がご要求なさるとか。本当に使うかは分かりませんが。
たしかに iSD には 310/FIPS というラインアップがあるけど、NIST
の FIPS-validated-product list には載ってないんだよねー。
どうなってるのやら。
あと、FIPS は取ってないけど、ANDES Network の PSSL シリーズは
“FIPS grade safe store”を謳ってるね。Brochure 通りならたしか
に機能的には level-3 はクリアしてそうに見える。
> 79
種明かし。単に Nortel とか iSD という名前で載っていないだけ。
実は 310/FIPS には Rainbow Technologies Inc. という会社の
CryptoSwift HSM というのが載っている。
これが FIPS 140-1 Level 3 --Certificate #162
を取得している。それだけのこと。(当然マニュアルには明記されているよ。)
ちなみに 310/FIPS じゃないモデルには何が載っているかは
知りません。
>>80
> 種明かし。単に Nortel とか iSD という名前で載っていないだけ。
もちろん Alteon でも載ってなかったし。
> CryptoSwift HSM というのが載っている。
> これが FIPS 140-1 Level 3 --Certificate #162
> を取得している。それだけのこと。(当然マニュアルには明記されているよ。)
ガ━━(゚Д゚;)━━ン! んなのアリ?
よーし、お父さん、SSL アクセラレータに iButton 載っけて FIPS
PUB 140-1 Level 3 Certified と銘打って売っちゃうぞー。
はともかく、それなら筐体含めて tamper resistent な ANDES の方が
実質マシじゃないのか?
> 81
resistant ですよね?
それはさておき、Nortel も ANDES を... もごもご。
SSLアクセラレータといえば、普通箱型かPCIスロットに刺すタイプ
ですよね。Pentium4のSSE2やAthlonの3D!nowみたいに、最近は
マルチメディア演算用の命令積んだCPUも多いから、これをSSLの
高速化に使えないものかなぁ、なんて思うのですが。できる? >83
マルチメディア系の演算命令がどんなものかわかってないとおもわれ >81
Andesはまだバグ多いらしいよ・・・
>82
その先は・・・(笑)Nortelも最近節操無いですね
SSLの負荷かけたいならCAWとか使えばって感じ。
SSLのカードって言っても結局NICとかBUSのトラフィックはCPU処理だから専用箱の方がいいんでないの?そんで鍵の管理は専用オペレーターがいるでしょ。LDAPとかHTTPとかFTPとかでCRL管理できるintelとiSDに一票。 >>83 >>86
UNIXのpasswdファイル解読して弱いパスワードを見つける
John the ripper っていうプログラムがあるけど、
こいつの中で DES の計算の高速化に MMX 命令使ってた。
(MMX には長いワードを一気に XOR する命令なんかが用意されている。)
ただし、SSLの計算で大きな時間を占める公開鍵暗号系
(RSAとかDSA)の高速化に応用できるかどうかはわからん。 SSLアクセラレータ+SLB+Webサーバー2台の環境で
通信の流れが想像できないっす。
公開するFQDNはSLBのIPアドレスがDNSに登録されていているようです。
だから、ブラウザからアクセスしに行くと、SLBに行ってアクセラレータを
経由しないでWebサーバーにいってしまうような気がするのです。
今は、業者さんが書いた申請書を元に想像してるだけなんで
申請書が間違っている可能性もあるんですが、こんな感じになってます。
SSLアクセラレータ 192.168.0.2 実サーバー 192.168.0.10と192.168.0.11
SLB 192.168.0.3 実サーバー 192.168.0.10と192.168.0.11
Webサーバー1 192.168.0.10
Webサーバー2 192.168.0.11
申請書をお見せ出来ないので、何を言っているか分からないかもしれないですが、
私の想像ではSSLアクセラレータはSLBのアドレスだけ設定すればいい、
むしろそうでないといけないのでは?って思うのですがどうなんでしょうか。 >>99
> 私の想像ではSSLアクセラレータはSLBのアドレスだけ設定すればいい、
> むしろそうでないといけないのでは?って思うのですがどうなんでしょうか。
何を言っているかやっぱり分からないけど…
何となくそんな感じかな。
Client --> 負荷分散機 --> SSLアクセラレータ --> 負荷分散機 --> 実サーバ
(Redirect処理) (負荷分散処理)
って感じが一般的だと思うけど。
細かいところはSIerさんに聞いてください、お金払ってるんですよね!?
>>100
レスありがとう。
SIerさんはSSLアクセラレータを入れるのにWebサーバに
証明書入れて443で受けようとしてた事もあり、まかせっきり
にするのもなと思い、勉強しているしだいです。
SLB --- SSLアクセラレータ --- SLB という図を見て
納得しました。DNSにはSLBのFQDNが登録されるようなので
SSLアクセラレータにどう繋がるかが想像出来なかったんですが
L4スイッチというのでしょうか、SLBがその機能も持っている
ためアクセラレータからSLBに戻れるのですね。
当初の想像は
ブラウザ --- SSLアクセラレータ --- SLB --- Webサーバ
と考えてしまったため、通信の流れが???でした。
勉強になったっす! >>101
> SIerさんはSSLアクセラレータを入れるのにWebサーバに
> 証明書入れて443で受けようとしてた事もあり、
SIerを庇ってる訳じゃないけど補足させて。
一般的にはSSLアクセラレータが気が狂ってお亡くなりになった時のために、
実サーバにも証明書入れて443を待ち受けてたりするかも。
負荷分散機でもSSLアクセラレータがお亡くなりになった時の設定が入ってるかも。
>>102
なるほど、気が利いているというか
専門外の私には思いも付かなかったです。
でも、そんな話してくれなかったな。。。シャイな人でも
無いんだが。
ちょっと聞いてみよ。 暗号化や復号はwebサーバーにやらせて、証明書はロードバランサに入れるなんて事は
できますか?証明書は高いので少しでも安くしたい。でもSSLロードバランサは高いし
すべての処理を任せるのは心もとないと考えてるんで。 ロードバランサ使えば一枚でオーケーだった所があったはず。
基本的に盗聴されていようがいまいがあんまり気にはしないんだが費用にうるさい
会社なもんで、安く出来る方法ないかななどと思った次第。
バックエンドに入れる証明書をすべてのサーバーにコピーして入れちゃえばいいような
気もするんだがそれでは規約違反だろうし、後で怒られそうというわけです。
ばれなきゃいいという噂もあるが。。。 一つの方法として考えているのは、BIG IP のHDにNFSでパーティションを作って
各ウェブサーバーからBIG IP内の証明書を取ってくるという形を考えてるんだが
それでうまくいくのかどうかは疑問かつ余計なトラフィックがロードバランサとウェブサーバー間で
発生するし、さすがに規約上無理がある気がしてる。
>>107
BLADEとかLivedoorSSLが1枚でOKだったけどもう売ってない、、、
ほかに1枚でOKな証明書があればぜひ教えてほしい。 SSLの関係者はここ見てる?
SSL今落ちてない?
SSL使う認証のところGooもほかのとこもだめなんだけど?
メールチェックもできない
さっさとなおしやがれ
1のレス見て他のレスはまったく読んでないので回答でてたら申し訳ないけど
SSL通信を分散且つセッション維持の要件があるのなら、
SSLアクセラレータ付き負荷分散機orSSLアクセラレータ(単体)+負荷分散機(単体)を
買いなされ。
そして任意のセッションIDCookieに入れるか携帯端末含むならURLに埋め込んで
複合化通信を負荷分散機に読み込める形にして通信すればおk
SSLアクセラレータ付き負荷分散機なら高いけど、SSL通信を分散機で暗号化を複合化するから
setCookieだろうがhttpヘッダーだろうが装置内で消化できる
>>112は6年前の>>1のレスに回答してるな
ここまで間の開いたレスは初めて見た BIG-IPか旧Alteonだろうな。
単体のSSLアクセラレータってあんま使わないきが。 >>115
ArrayTMXってのはどう?
ご存知な方、利用実績のある方いる?
>>112の後者の構成でArrayTMX使ってるけど
ファームウェアの不具合が酷かった。
一度構成固めてあと触らないなら構わないかも。 たった2台のxSeriesの負荷分散用に
ServerIron4G売りつけるのはやめようよ。
lvs+heartbeatで仮想IP構成で十分だよ。
http://www.linuxvirtualserver.org/ FoundryはBrocadeに買収されることに同意しました。 array、foundry、alteon、radware、f5などで一番高いヤツにSSL付のがありんす。
セッション維持はSSLアクセラレーター付ロードバランサでやるか、アクセラレーターをロードバランサ
の前に付ける方法が一般的なんでしょうか?
L4ロードバランサでセッション維持機能の無いもの(バカバランサ)を使い、
サーバー間でセッションを複製するという方法を取ったほうが安くできるのではないかと思うのです。 >>417
ホンダのミニバン
ていゆかていじゅうしん >>120
他は知らんが
f5は普通にセッション維持できるけど
SSL複合しなくても・・・ >>120
LBをSSL対応品にするか、LBの前段にSSLアクセラレータをいれるかしないと、負荷分散装置を通るときに
SSL暗号化を解除できない。そうすっと、パーシステンス/スティッキーの方式として事実上、SSL session ID
とソースIPくらいしか選べなくなるんじゃね。
SSL session ID方式は「一部ブラウザがSSL session IDを頻繁に再ネゴシエートする」って問題があったので、
個人的には避けたい。
現行バージョンのメジャーブラウザは問題ないはずだけど、未来を含めて絶対の保証はされないだろうし。
システム仕様で完全固定IPのみを相手にするという絶対的な保証があるなら、ソースID対応でなんとかなる。
ていうかそのほうが楽だ。
んで、サーバシステム側で「いつ別の物理サーバに振り分けられても問題ないような」構造にするのも手だ‥
ただし、アプリが状態の遷移を完全に把握して設計されていて、実装も問題なく、性能上の影響も一切生じず、
セキュリティ的な懸念もあり得ない、というのなら、だが。
個人的経験で言えば、その手の方法は動作試験以降が大変だ。
まれにアプリ的な動作が妙になったりで、「LBが悪いんだろう!てか頼むからそういって下さい!」と詰め寄ら
れたりとか。んでどこに問題があるのか切り分けが面倒だとか。(苦笑
個人的経験では、その手の案は「目先の小銭を節約する代わりに、実装と運用を無駄に複雑にする選択」と
言わざるを得ない。
「必要なのはサービスの可用性であり、トラフィック総量は少ないから負荷分散は不要」という要件でなら、
負荷分散を行わず、トラフィックの振り分け先は常に1台。主系サーバが落ちたら、トラフィックを副系サーバ
に振り分ける、みたいな設計もありだな。これならL4パーシステンスしかできないLBでもあまり問題ない。 ウチはこれで、SSLアクセラレータとL7負荷分散を入れてます。
ttp://fenics.fujitsu.com/products/ipcom/products/lineup/ipcom_ex_lb.html >>125
NEらしくL2SWとRでいいや
>>128
何があったというわけでもないけど
結構すぐ壊れるし
それにもう飽きたし
BIG一筋2年間・・・秋田 >>129
結構、壊れるんですね…F5
お付き合いのある代理店さんがやたらと勧めてくるので、
評価機でも借りようかと思っていたんですが…
>>130
まあ壊れてもまるごと交換だから
そんなに面倒ではないかもだけど
値段も高いし・・・
ただ、やれることは他機器に比べて多いらしい
iruleとか使いこなしたら柔軟性も抜群だし
あ、何オレあんな機械のこと庇ってんだろ・・・
こ、これが・・・愛?
>>132
被害者なのに犯人に同情しちゃう気持ち?
普段は好きじゃないんだけど、
ケナサレルとなんかムカムカする的な?
ま、F5も悪いやつじゃないんで
考慮してやってね
URL REWRITE(再書込み)のセッション制御って、
バランサのセッション維持で対応できるのでしょうかぁ?
結論として、SSLロードバランスにはSSLロードバランサを購入する以外になさそうですね。
>>129
俺も疲れた。。。
トクに電源壊れ過ぎ。
UltraMonkey-L7+SSL Proxyって実サービスに投入してる人いる?
経験談をぜひ聞きたい。 >>137
あれはそのパッケージだけでなく、周辺の連動パッケージもそれなりに理解してないと動かせないね。
でも幾つか解説本片手に構築すれば、1週間で投入可能なレベルに持っていけるよ。 光回線よりも速い通信プログラムができた。木下、瀬谷貴史、リナックス君が使って、知っている
光回線よりも速い通信プログラムができた。木下、瀬谷貴史、リナックス君が使って、知っている。
光回線よりも速い通信プログラムができた。木下、瀬谷貴史、リナックス君が使って、知っている。
ロードバランサとかL4-7スイッチ、ADCのスレはどこかにありますか? >>144
やはりそうですか。ありがとうございました。 BIG-IPの勉強をしております
パーシステンスをSSLのsession IDにて行う場合の事について教えて下さい
SSLのセッションIDは暗号化されてしまっていると思うのですが
どのようにして判断しているのでしょうか?
そもそも暗号化されてしまっているという認識が間違っていますでしょうか?
vmを使いアパッチでHTTPS通信を行いwiresharkでキャプってみたのですが
複合しなければtcp通信としてしか確認出来ませんでした
ご存知の方がいらっしゃいましたらご教授ください BIG-IPのトライアル版でHA構成は組めるでしょうか? >>151
素人ですまん
たぶん復号化してからバランシングしてんでね? >>151
セッションIDは暗号化されてないよ
と太古の書き込みにレスしてみる。 >>153-154
有難うございます
あれから色々とSSL関連勉強しまして
セッションIDは暗号化されてない事もキャプって確認出来ました BIG-IPのコンソール上,
[Local Traffic]に、[SSL Certificates]がない.v11になってGUIが変わったなんてことないよね. デバイス管理系の項目に移動してたと思うよ
Platfromとかの項目がある場所だったかな SystemのFile Managementとかその辺りに移動した 誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。
グーグル検索⇒『加藤のセセエイウノノ』
QEPBUGPUR0 r''"''ー-,,_
| "''ー──‐---''ヽ
| /
| |
、--───‐ノ''ー-,,,_ |
`ヽ \ "'''ー-,,,_ |
\ \ "''''ー--┤
/\ "'''-,,,__ |
/ r‐\ "'''ー‐-.,,,__ |、
/ ||,-`| \ "` \
/ ヽYi | /`-,,_ \
| \ | | "''ー-,,,_ \
| ‖ | |"'''''┬--,,,_ \
| | | ゙、 | `ー-'
| | ゙、 、 > |
゙、 /| ,、゙、 `ー- .,__ /
,へ / ノ,イ二ヽ、 ‐- ̄ / <
ノ `''y''i|.r''⌒ヽヽヽ-、 人,,,/、
_,,,-‐'''"\ r'"‖| | | | ゙''" ゙、
/ ,,--`-|| .(l| ゝ`ー‐' ,人-.,,_ \
| / ||) rヽ、゙、。/ ゙、 "''ヽ、 、 __ "''-,,_
.| / ,-─i゙、ヽ `''`i! ||、 ゙、. | `ゞ`=i-"、` ̄
| | / /ト、`Tヽ<||‖ \ ゙、|、 | ゙、 \
| | / / | `‐`r、 ゙i!()ー‐--、 ゙、ヽ、 | ゙、 \
| ゙、| / r''"" ̄ ̄ ̄ ̄| |"'''ヽ、_ヽ ゙、 Y二|゙、 ゙、 /|
.| / | / 、.____|_|,,_ )) ゙、〈 ‐->| ゙、 / |
| ゙、. 〉 ´ ̄ ̄ ̄ ̄ ̄""ヽ´ ゙、| || / |
.| |゙、. 〉 _丿 ゙i ‖ / | ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
O41DV プーチン大統領は、欧州はロシアのエネルギー資源の代替源を躍起になって探しているものの、それがガス価格の高騰を呼んでいると指摘し、このこと全てが、「対露制裁がはるかに大きな損害をもたらすのは、まさに制裁を発動する国であることを改めて示している」と述べた。
プーチン大統領は欧州諸国の首脳らには世界のエネルギーの複合的状況について幾度も警告してきたものの、誰も耳を傾けなかったとして、次のように語っている。
「こういう結果になることは常に、再三にわたり欧州諸国の同僚らに警告してきた。個人的に顔を合わせる機会も含めて警告したが、誰も聞いてくれなかった。我々の警告を彼らは軽々しく受け流してきた。これはまさに、私たちが起こりうると言ってきた、そして今、起きている状況だ」
プーチン大統領は、欧米がこの先も制裁を続けた場合、世界のエネルギー市場は悲惨な結果になる恐れがあると付け加えた。
西側諸国は、石油やガスの輸出によるロシアの収入を制限するためのさまざまな措置について引き続き協議している。一方、今のところ、欧州連合(EU)全体による海上輸送を含むロシア産石油の輸入禁止や、外国企業の自発的な拒否によってもロシアの収入は制限されていない。
西側諸国はウクライナでの特殊作戦を受け、ロシアに対して制裁を発動している。これに関連して、ロシアのプーチン大統領は、ロシア封じ込め政策とロシア弱体化政策は西側の長期戦略であり、制裁は世界経済全体に深刻な打撃を与えたと述べた。