業界最安クラスの価格ながら、
高いインテリジェンスを備えた「BIG-IP i850」
「BIG-IP i850のポイントは、コスト、柔軟性、インテリジェンスの3点です。業界最安クラスの価格ながら十分なスループットを発揮し、多様なユースケースに対応、ADCとして高いインテリジェンスを備えたトラフィック管理を実現できます」(臼澤氏)
BIG-IPの現行ラインアップとして2月から販売されている「BIG-IP iシリーズ」(モデル名の数字の前に「i」がつく)は、ハードウェア性能を大幅に引き上げただけでなく、例えば楕円曲線暗号(Elliptic Curve Cryptography:ECC)にも対応する新開発の暗号アクセラレーターも備えるなど、数々の新機能が搭載されたもの。BIG-IP i850も、これら上位モデルゆずりの機能をほぼ踏襲している。
BIG-IP iシリーズのラインアップ
※クリックすると拡大画像が見られます
その結果、項目によって違いはあるが、総合的にみてBIG-IP 800の2倍ほどのスループットを実現している。
BIG-IP i850と前モデルBIG-IP 800との比較
※クリックすると拡大画像が見られます
上位モデルとの大きな違いは製品ライセンスの対応だ。BIG-IP製品には数々のアプリケーション デリバリー サービスの製品ライセンスが用意されているが、BIG-IP i850で稼働するのは、中心となる製品「BIG-IP Local Traffic Manager(LTM)」のみ。とはいえ、このBIG-IP LTMには重要なADC機能が含まれており、ネットワークに出入りする様々なトラフィックを監視し、インテリジェントに制御して、ユーザーエクスペリエンスを大幅に改善させることができる。この製品のおかげで、BIG-IP i850は、簡単な設定を行うだけで、Webサービスの運営、クラウドサービスの利用を改善することができ、非常に多彩な活用が可能となっているのだ。
それでは、代表的な4つのユースケースを紹介していこう。
デジタル時代の武器となるクラウドサービストラフィックの管理が切れ味を左右する
デジタル技術でビジネスを変革しようとしている中小企業にとって心強い武器となるのは、やはり何と言っても無数のクラウドサービスの存在だろう。マイクロソフトのOffice 365を筆頭に、コラボレーションやコミュニケーション、情報共有、さらには各種業務アプリケーションまで多彩な機能が提供されており、自由に選択して使った分だけの料金で利用することが可能だ。また、ほとんどのクラウドサービスは、モバイルPCやスマートデバイスなど様々な端末に対応しているため場所や時間を問わない柔軟な働き方を実現し、業務のスピードアップや効率化など数々の効果が期待できる。
とはいえ、クラウドの利用が拡大すると、自社サーバを運用していた頃に比べてWANトラフィックが増大することにも留意しておかねばならない。例えばOffice 365を契約し、社内ファイルサーバの代わりにOneDriveを利用するとなれば、それらはWANのトラフィックとなるわけだ。ならばWAN回線の帯域を増強すればいい、と考えがちだが、実はWAN帯域よりもTCPセッションが先に頭打ちになるケースが少なくない。
臼澤氏は、「Office365では、1ユーザーで多くのTCPセッションを同時に使用するため、既存のネットワーク環境(プロキシサーバー等)で、パフォーマンス不足が発生します。これを改善するには、ADCが効果的です」と説明する。
ユースケース1 プロキシのバイパス
※クリックすると拡大画像が見られます
上図は、Office 365のトラフィックだけWebプロキシを迂回させ、プロキシサーバのセッション負荷を軽減させる構成例だ。場合によっては、Office 365のみ別のWAN回線を利用するといった構成も可能となっている。
「特定アプリケーションだけ経路を変えるなら簡単、と思われがちですが、実はOffice 365ではURLが固定されておらず頻繁に変わるため、手動で設定するのは非常に困難です。BIG-IPは高度なインテリジェンスを備え、動的なURLにも対応してくれるので、管理者の負担もなく安定したユーザーエクスペリエンスを実現できます」(臼澤氏)
近年のWeb技術の進歩も体感速度に影響快適に利用するポイントは「SSLオフロード」
クラウドサービスに関連したWeb技術にも、体感速度を左右する要因がある。その一つが「常時SSL化」、すなわち多くのサイトで常時、SSL/TLS暗号化が利用されるようになってきたことだ。通信内容の漏えい対策に加え、ドメイン偽装対策などの効果も期待され、近年急速に広まってきたが、一方で懸念もある。暗号化/復号化の処理でサーバ負荷が増大すること、サイバー攻撃にもSSL/TLSが使われるようになってきたことなどだ。
これに対し、BIG-IP i850は前述した通り最新鋭の暗号アクセラレーターを搭載しているため、サーバの負荷を軽減するのに役立てることができる。暗号化方式としては、現在広く使われているRSA暗号にも、より少ない計算量で高い安全性を実現できるECCにも、どちらにも対応する。
ユースケース2 SSLオフロード
※クリックすると拡大画像が見られます
さらに、2台のBIG-IP i850を組み合わせて復号化と暗号化を担わせ、復号化されている間にセキュリティスキャンを実施するという構成が上の図に示したものだ。
「セキュリティアプライアンスでは、暗号化されたトラフィックを復号化してスキャンすることが可能な製品もありますが、その際のスループットが大幅に低下する場合もあります。SSL処理をBIG-IPにオフロードすれば、セキュリティアプライアンスのスループットを低下させず、フルスピードでトラフィックを流すことが可能です」(臼澤氏)
新世代Web技術であるHTTP/2への対応も「プロトコルゲートウェイ」で安心
台頭しつつある、もう一つの新たなWeb技術は、HTTPプロトコルの最新版として2015年に仕様が確定した「HTTP/2」だ。
「HTTPプロトコルは、1999年に規定されたHTTP1.1が十数年に渡って使い続けられてきました。この古い規格では、例えば近年でいうと、画像や動画のコンテンツを数多く掲載したページを開く際に待ち時間が長くなるなどの問題が指摘されてきたのです。それに対しHTTP/2では様々な技術を盛り込み、通信内容を大きく変更してユーザーエクスペリエンスの改善を図っています。ただし、クライアント側は対応が進んでいるのに対し、サーバ側は対応が遅れているのが現状です」(臼澤氏)
i850ユースケース3 プロトコルゲートウェイ
※クリックすると拡大画像が見られます
サーバ側のソフトウェアをHTTP/2対応のものに入れ替えるには、綿密な検証などの作業が必要となる。次の更新までHTTP1.xのサーバをそのまま利用しつつ、HTTP/2のクライアントにはユーザーエクスペリエンスを向上させる策として、BIG-IPをプロトコル変換ゲートウェイに用いる構成が上の図だ。
「HTTP/2の問題は、SSLオフロードに比べて認知度が低く、気付いていない方も多いかと思います。プロトコル変換を行うことで体感速度が改善されるケースは少なくないと思われるので、気になる方はサーバの仕様を調べてみるといいかもしれません。BIG-IPはコンテンツ(オブジェクト)をキャッシュすることもできるほか、HTTP/2は実質的に暗号化が必須となるため、サーバのSSLオフロードにも有効です」(臼澤氏)
アプリケーション要件に応じて最適振り分け「L7トラフィック管理」
i850ユースケース4 L7トラフィック管理
※クリックすると拡大画像が見られます
最後に紹介するユースケースは、BIG-IP LTMが得意とするL7(レイヤー7:アプリケーション層)でのトラフィック管理だ。例えばロードバランス処理においては、L7のほかL4(トランスポート層)の情報も用いられるが、より詳細な情報を持つL7の方がきめ細かなトラフィック管理を実現できる。BIG-IP LTMは、「ディープパケットインスペクション」機能でペイロードまでの全ての情報を精査するため、この高度なL7トラフィック管理が可能だ。
「近年のWebは、一つのページのコンテンツが常にサーバから送られてくるとは限りません。コンテンツがCDN上にあり、別サイトにリダイレクトするといったことが普通に行われており、非常に複雑な経路をたどっているのです。BIG-IPは、そのような複雑な環境に合わせてトラフィックを管理することが可能です。これが、まだADCを使ったことのない方にも、ぜひ知っていただきたい使い方です」
