Security Akademeia

誊肌 †

誊肌
ロ〖ドバランサ
ロ〖ドバランサの怠墙
悟凰
ロ〖ドバランサの硷梧
- 肋弥妨轮による尸梧
  - スイッチタイプ
  - プロキシタイプ
- ロ〖ドバラインシング缄恕による尸梧
  - 簿鳞サ〖バ〖ベ〖ス
  - フィルタ〖ベ〖ス
砷操尸欢アルゴリズムの硷梧
パ〖システンス
- 肩なパ〖システンス
ロ〖ドバランサのヘルスチェック
ロ〖ドバランサの芹弥の硷梧
- Two-Arm(inline)
- One-Arm
  - One-Armの硷梧
ロ〖ドバランサのデメリット
ロ〖ドバランサの鹃墓步の缄恕
啪流黎サ〖バ〖の俱巢
バ〖チャルホスティング
パケットタイプとプロキシタイプの般い
- 妈7霖の攫鼠を答にロ〖ドバランシングする眷圭
- 妈4霖の攫鼠を答にロ〖ドバランシングする眷圭
ロ〖ドバランサによるセキュリティ滦忽
スイッチタイプのロ〖ドバランサで菇喇したホットスタンバイ菇喇
徊雇矢弗

↑

ロ〖ドバランサ †

♂砷操尸欢刘弥
♂LB
レイヤ4レベルとレイヤ7レベルの砷操尸欢刘弥がある。
MSのNLBの怠墙は、砷操尸欢刘弥ではないが、砷操尸欢の慌寥みである。
SSLによって芭规步されると、Cookieなどのデ〖タの面咳を冉们した砷操尸欢は乖えない。
- 滦忽としては、SSLアクセラレ〖タを砷操尸欢刘弥の涟に芹弥する。
ロ〖ドバランサはVIPを积ち、ポ〖トにサ〖バ〖プ〖ルを充り碰てる。
- VIPはグロ〖バルIPアドレス娄のポ〖トに充り慷る。

↑

ロ〖ドバランサの怠墙 †

パケットの豺老ˇ恃垂
- パケットの流慨黎IPアドレス∈VIP∷を慷り尸け黎のIPアドレスに弥き垂える。
借妄の慷り尸け
- 慷り尸け数恕は砷操尸欢アルゴリズムに巴赂する。
セッション瓷妄
- ロ〖ドバランサによって票办ユ〖ザ〖のアクセスを剩眶のサ〖バ〖に慷り尸けられると、セッション攫鼠の瓷妄をDBなどに积ち、アクセスの刨にDB攫鼠を徊救する涩妥がある。これはDBに砷操がかかることを罢蹋する。
  - この啼玛を松ぐために、ロ〖ドバランサ娄では票办ユ〖ザ〖のアクセスは票办サ〖バ〖に慷り尸けるように扩告する涩妥がある。
ヘルスチェック
ロ〖ドバランサ极咳の鹃墓步

↑

悟凰 †

インタ〖ネットトラフィックの笼络によって、ボトルネックになり幌めたサ〖バ〖儡鲁婶尸∈100Mbps∷の砷操沸赋のためにギガビットNICが判眷した。
- 鲁けてこれを箭推するためにギガビットL2スイッチが判眷した。
NICとL2スイッチがギガビットに滦炳したことにより、サ〖バ〖とスイッチの粗の掠拌は澄瘦されたが、しばらくするとサ〖バ〖のCPUに光い砷操がかかることが啼玛になってきた。
- この啼玛への滦炳として、1パケット碰たりのデ〖タサイズを笼裁させるジャンボフレ〖ムという祷窖を脱い、パケットの眶を负らすことでサ〖バ〖の砷操を负らす数忽を何る怠达が判眷した。
- ところが、インタ〖ネットのトラフィックはその稿も笼え鲁け、1骆のサ〖バ〖で滦炳するという缄恕极挛が稍材墙なほどになるまでに笼络してしまった。
碰箕材墙であった滦忽としては、络きなコストをかけてサ〖バ〖のスペックを羹惧させるか、DNSラウンドロビンを脱いてサ〖バ〖へのアクセスを尸欢することであった。
- しかし、DNSラウンドロビンは赖澄なアクセス尸欢ができない。
そこでロ〖ドバランサ∈L4-7スイッチ∷が判眷した。
- 碰介のロ〖ドバランサは附哼の办忍弄なものと佰なり、妈3霖の借妄はできず、サポ〖トするプロトコルもHTTPを面看としたものであった。

↑

ロ〖ドバランサの硷梧 †

↑

肋弥妨轮による尸梧 †

　笆布の2硷梧が赂哼するのは、ロ〖ドバランサがアプリケ〖ションサ〖バ〖のようにサ〖ビスを捏丁する泼魔を积つためである。

↑

スイッチタイプ †

ロ〖ドバランサに泼步した肋纷されたネットワ〖クプロセッサ∈ASIC∷を烹很し、パケットのヘッダ婶尸を今き垂えてスイッチングすることで、润撅に光庐なロ〖ドバランシング怠墙を捏丁する。

↑

プロキシタイプ †

ネットワ〖ク怠达に泼步して倡券されたOSを何脱することで、光い慨完拉を澄瘦する。
スイッチタイプとは佰なり、IntelのPentiumプロセッサのような绕脱チップをメインCPUとして蝗脱している眷圭が驴く、コスト烫やハ〖ドウェア菇喇の极统刨にメリットを积つ。
ソフトウェアの极统刨も光く、UNIX/Linuxベ〖スのものも驴い。

↑

ロ〖ドバラインシング缄恕による尸梧 †

↑

簿鳞サ〖バ〖ベ〖ス †

簿鳞サ〖バ〖ベ〖スとは、ロ〖ドバランサ惧に簿鳞のIPアドレス∈VIP∷を肋年する缄恕である。
- ロ〖ドバランサは奶撅嘲婶からアクセスを减けるため、VPIとしてグロ〖バルIPアドレスを充り碰てることが驴い。この眷圭、嘲婶のDNSサ〖バ〖に判峡されるIPアドレスとVIPは票办になる。
- すべてのクライアントはこのVIPにアクセスして、VIPを瘦积するロ〖ドバランサは极尸案のアクセスを借妄しながら悸狠のサ〖バ〖と奶慨し、クライアントとサ〖バ〖粗の奶慨を苗拆する。
  - そのため、クライアントからは1つのサ〖バ〖にアクセスしているように斧える。
- クライアントからパケットが流られてくると、ロ〖ドバランサはパケットヘッダに淡很されている孟刻のVIPとVMAC(Virtual MAC Address)を、サ〖バ〖ファ〖ムの悸狠のサ〖バ〖のRMAC(Real MAC Address)とRIP(Real IP Address)へ今き垂えてから流叫する。
- サ〖バ〖からの提りパケットについては、これと嫡の今き垂えを乖い、クライアント娄へパケットを流叫する。

[输怪]クライアントとスイッチ粗、スイッチとサ〖バ〖粗の奶慨に尸充して雇えるとわかりやすい。　〓

↑

フィルタ〖ベ〖ス †

フィルタ〖ベ〖スとは、クライアントからの奶慨を减け烧ける湿妄ポ〖トでフィルタリングを乖い、泼年のパケットをサ〖バ〖へ动扩弄に啪流∈リダイレクト∷する数及である。
- このフィルタリングには、肩にクライアントから流られてくるパケットの案黎アプリケ〖ションポ〖ト戎规を脱いる。
フィルタベ〖スでは、パケットはル〖ティングされるのではなく、あくまで减慨するパケットの攫鼠を答に湿妄ポ〖トへ动扩啪流される。
- この慌寥みは戮のネットワ〖ク怠达では斧られないロ〖ドバランサ迫极の啪流借妄である。

[毋]キャッシュサ〖バ〖の砷操尸欢を乖う眷圭、HTTP∈TCP/80戎∷をフィルタル〖ルに肋年することで、クライアントのWebブラウザ娄で部らかの肋年をすることなく、HTTPのパケットのみをリダイレクトできる。

　この缄恕は、FWやSSLアクセラレ〖タ〖のロ〖ドバラインシングでも驴脱される。　〓

↑

砷操尸欢アルゴリズムの硷梧 †

　ロ〖ドバランサの充り慷りアルゴリズムとして、砷操尸欢アルゴリズムが蝗脱される。

ラウンドロビン
脚み烧け
庭黎界疤
儡鲁眶∈リ〖ストコネクション∷
炳批箕粗∈レスポンスタイム∷
剩圭房
HTTPヘッダ

↑

ラウンドロビン †

アクセス界ごとに、慷り尸ける黎を磊り仑える。
称サ〖バ〖に拉墙汗がない眷圭に、ラウンドロビンを脱いることが驴い。

↑

脚み烧け †

称サ〖バ〖に脚みを烧け、アクセスを慷り尸けるときに蝗脱する。
拉墙汗があるサ〖バ〖が赂哼する眷圭に铜跟である。

↑

庭黎界疤 †

サ〖バ〖に庭黎界疤∈プライオリティ∷を烧け、庭黎界疤の光いサ〖バ〖のアクセスが办年笆惧を亩えた眷圭に、庭黎界疤が肌に光いサ〖バ〖に慷り尸ける。
プライオリティが你いサ〖バ〖が砷操が你いときは、佰なる脱庞に蝗脱することができる。

↑

儡鲁眶 †

附哼アクティブなセッションの眶より、呵もセッション眶の警ないサ〖バ〖のIPアドレスにリクエストを充り慷る。

セッション拜积眶が警ないサ〖バ〖に慷り尸ける。

↑

炳批箕粗 †

サ〖バ〖のCPU蝗脱唯やレスポンスタイムなどを雇胃し、呵も砷操の你いサ〖バ〖のIPアドレスにリクエストを充り慷る。
ロ〖ドバランサからパケットを流慨し、炳批箕粗が呵没であるサ〖バ〖に慷り尸ける。
- ≈炳批箕粗が呵没♂砷操が呵も你い∽と冉们する。

↑

剩圭房 †

戮のアルゴリズムを剩圭して蝗脱する。

↑

HTTPヘッダ †

L7のロ〖ドバランサで蝗脱材墙。
サ〖バ〖によって瓢侯を恃えたい眷圭に蝗脱する。

[毋]HTTPヘッダのURLに".cgi"が崔まれるのみ、CGIサ〖バ〖に慷り尸ける。　〓

[毋]HTTPヘッダ柒のUser-Agentでサ〖バ〖を慷り尸ける。

↑

パ〖システンス †

ロ〖ドバランサでセッションステ〖トフルを悸附する怠墙のこと。

↑

肩なパ〖システンス †

パ〖システンスの硷梧	柒推
ソ〖スIPアドレス	クライアントIPアドレスを答にリクエストを充り慷るWebサ〖バ〖を疯年する。毋¨クライアントIPアドレスの琐萨が瘩眶なら、Webサ〖バ〖#1にするなど。
Cookie	HTTPヘッダ柒に、どのWebサ〖バ〖にアクセスしたかという攫鼠を瘦积する。
URL	URLコンテキスト柒にどのWebサ〖バ〖にアクセスしたか、攫鼠を瘦积する。

↑

ソ〖スIPアドレス∈券慨傅IPアドレス∷によるパ〖システンス †

クライアントの流慨傅IPアドレスが票办の眷圭に、票办サ〖バ〖に慷り尸ける。
Proxy、ファイアウォ〖ル、NATにより票办ユ〖ザ〖が泼年しにくい眷圭は、慷り尸けに市りが栏じる材墙拉がある。
クライアント娄のネットワ〖クがProxyのロ〖ドバランスを乖っていて、髓搀流慨傅IPアドレスが恃わる眷圭は、この数及でセッション瓷妄はできない。

↑

Cookieによるパ〖システンス †

HTTPヘッダのCookieが票办の眷圭に、票办サ〖バ〖に慷り尸ける。
Cookieの虽め哈み数恕として、≈ロ〖ドバランサ娄でCookieにサ〖バIDを虽め哈む数恕∽と≈サ〖バ〖娄にてCOOKIEに泼年の矢机误を虽め哈む数恕∽がある。
戮APサ〖バ〖などがCookieを蝗脱する眷圭に、ロ〖ドバランサが烧涂したCookieを惧今きしないかどうかなどの澄千が涩妥である。

↑

URLによるパ〖システンス †

URLへの攫鼠虽め哈みの眷圭、URLはユ〖ザ〖が木儡试礁材墙な攫鼠のために、稍赖アクセスの滦忽が涩妥である。
办忍にハッシュ猛を寥み哈むようにする。

↑

SSL Session-IDによるパ〖システンス †

SSL Session-IDによるセッション瓷妄は、Session-IDが票办な眷圭に、票办サ〖バ〖に儡鲁する。
ブラウザによってはこの数恕は蝗えない。
- 毋えば、IEは蝗脱稍墙。IEの怠墙でデフォルト2尸に1搀、SSLネゴシエイションを乖うためにSSL Session-IDが恃わってしまうためである。

[输怪]HTTPSの奶慨∈儡鲁がSSL∷の眷圭、アプリケ〖ションデ〖タは芭规步されるためCookieを脱いる数恕は蝗えない。

　なお、流慨傅IPアドレス、SSL Session-IDをセッション瓷妄に脱いることはできる。〓

↑

ロ〖ドバランサのヘルスチェック †

L3の雌浑¨Ping雌浑
- ネットワ〖クの毗茫拉しか雌浑できない。
L4の雌浑¨TCP雌浑
- TCP儡鲁澄千しか雌浑できない。
L7の雌浑¨アプリケ〖ション雌浑
- アプリケ〖ションの瓢侯に圭わせた雌浑ができる。

[输怪]UDPポ〖トの雌浑は氦岂である。　〓

↑

ロ〖ドバランサの芹弥の硷梧 †

Two-Arm(inline)
One-Arm

↑

Two-Arm(inline) †

奶慨沸烯惧にロ〖ドバランサを芹弥するため、奶慨沸烯がわかりやすく菇喇がシンプルになる。
橙磨拉がなく、ロ〖ドバランサがボトルネックとなる材墙拉がある。
- 泼にサ〖バ〖からクライアントへの瓢茶や不兰の提り奶慨がロ〖ドバランサに礁面して、砷操が光くなる。

↑

One-Arm †

ロ〖ドバランサをスイッチに玻烧けで芹弥する数恕である。
One-Arm芹弥では、刘弥の拉墙を呵络嘎に苞き叫せるほか、スイッチ娄のVLAN肋年により、ロ〖ドバランサとの儡鲁を侠妄弄に肋年できるため、嚼起に菇喇の纳裁恃构を乖うことが材墙である。
サ〖バのVirtual Interface∈Loopback interface∷にロ〖ドバランサのVIPと票じIPアドレスを肋年する涩妥があり、これに燃い奶慨沸烯を悄爱しづらくなる。

↑

One-Armの硷梧 †

One-Arm(DSR)
- 手りのトラフィックがロ〖ドバランサを沸统しない菇喇のこと。
- DSRとは"Direct Server Return"のことである。
One-Arm(Bridged)
- 玻烧けに芹弥しつつ、乖きと手りで票じル〖トを奶る菇喇のこと。
- クライアント娄とサ〖バ〖娄で、VLANなどを尸ける涩妥がある。
One-Arm(Routed)
- 玻烧けに芹弥しつつ、乖きと手りで票じル〖トを奶る菇喇のこと。
- クライアント娄とサ〖バ〖娄で、VLANなどを尸ける涩妥がある。

↑

ロ〖ドバランサのデメリット †

メンテナンスの砷操が笼络する。
- サ〖バ〖が笼えると、笼えた尸だけメンテナンスの缄粗が笼える。
- 剩眶のサ〖バ〖にアクセスログが尸欢するため、アクセスログ豺老に供勺が涩妥である。

↑

ロ〖ドバランサの鹃墓步の缄恕 †

VRRPを网脱した鹃墓步菇喇
- 赖撅箕はロ〖ドバランサAからVRRP Advertisement∈弓桂∷パケットが流慨される。
- 俱巢によりロ〖ドバランサAがダウンし、VRRP Advertisement∈弓桂∷パケットが流慨稍材になると、ロ〖ドバランサBはロ〖ドバランサAのIPアドレスとMACアドレスを苞き费ぐ。
- 牲奠した稿、プライオリティが光いVRRP Advertisementパケットがロ〖ドバランサから流慨されるようになるため、傅の觉轮に提る。
鼎铜IPアドレス≤シリアル儡鲁によるハ〖トビ〖ト
- サ〖バ〖アプライアンス房のロ〖ドバランサに驴い。
- 赖撅箕はロ〖ドバランサAで鼎铜IPアドレスをアップする。また、ロ〖ドバランサAとロ〖ドバランサBはシリアルケ〖ブル沸统でハ〖トビ〖ト澄千を乖っている。
- ロ〖ドバランサAが俱巢によってダウンすると、ハ〖トビ〖ト澄千が己窃する。すると、ロ〖ドバランサBは鼎铜IPアドレスをアップする。
- ロ〖ドバランサAを牲奠した稿で、缄瓢でロ〖ドバランサAに鼎铜IPアドレスをアップする。

↑

啪流黎サ〖バ〖の俱巢 †

ロ〖ドバランサは芹布のWebサ〖バ〖の苍瓢觉轮を雌浑する。俱巢を浮梦した眷圭、クライアントのリクエストを戮のサ〖バ〖へ瓢弄に慷り羹ける∈フェイルオ〖バ〖∷ことができる。
琅弄コンテンツであれば、クライアントは部も罢急する涩妥はない。
- 办数、瓢弄コンテンツであれば、フェイルオ〖バ〖するとセッションの攫鼠が己われるため、そのときのセッション觉轮は介袋步される。
俱巢箕にセッションの攫鼠が己われないためには、ファイルオ〖バ〖笆嘲の部らかの慌寥みが涩妥である。

[输怪]ServletやJSPのHTTPSession、EJBのStateful Session Beanというセッション攫鼠がある。

　これらの攫鼠はAPサ〖バ〖のJVM惧に呈羌されている。リクエストの尸欢、セッション攫鼠の鹃墓步の2つの怠墙により、APサ〖バ〖は鹃墓步される。また、APサ〖バ〖柒の鹃墓步も、この2つの怠墙により悸附される。　〓

↑

バ〖チャルホスティング †

HTTPヘッダのHostやUser-Agentの攫鼠を网脱して、IPアドレスやホスト叹を簿鳞弄に拎侯する缄恕のこと。

↑

パケットタイプとプロキシタイプの般い †

↑

妈7霖の攫鼠を答にロ〖ドバランシングする眷圭 †

冯侠から咐うと、尉荚のロ〖ドバランサに般いはない。
パケットを啪流するためには、パケットの柒推を澄千する涩妥がある。
- 刁瓢はスイッチタイプとプロキシタイプの陵般爬が赂哼している。
  - 尉タイプとも妈7霖の攫鼠を答にする眷圭には、办枚クライアントからのセッションを姜眉し、サ〖バ〖とセッションを磨り木している。

↑

妈4霖の攫鼠を答にロ〖ドバランシングする眷圭 †

佰なるのは妈4霖の攫鼠を胺う眷圭には、般いがある。
スイッチタイプは妈4霖の攫鼠を胺う眷圭、パケットのヘッダを今き垂えてサ〖バ〖娄へ啪流するか、あるいは泼年の湿妄ポ〖トへ动扩弄に啪流する。
- つまり、スイッチ弄な刁瓢となる。
办数、プロキシタイプは妈7霖の攫鼠を胺う眷圭と票屯に、セッションを姜眉にして磨り木す。
- つまり、Proxyサ〖バ〖弄な刁瓢となる。

↑

ロ〖ドバランサによるセキュリティ滦忽 †

DoS苟封やワ〖ムは、四络なパケットを流慨してくるために、ファイアウォ〖ルでの砷操が啼玛になる。
- そこでインタ〖ネットとの董肠に弥かれたロ〖ドバランサがこれらのパケットを浮梦ˇ撬逮することで、ファイアウォ〖ルが浮汉すべきパケットが负るため、砷操を汾负できる。

↑

スイッチタイプのロ〖ドバランサで菇喇したホットスタンバイ菇喇 †

アクティブなスイッチが秦稿のサ〖バ〖の觉轮によって、マスタ〖ˇバックアップを磊り仑えたり、スタンバイのスイッチがブロッキングポ〖トを肋年したりすることよって、嚼起な鹃墓菇喇を悸附する。
このようなホットスタンバイ菇喇を寥もうとすると、VLAN1とVLAN2の称セグメントでL2ル〖プができてしまう。
- そこで、スタンバイ觉轮のロ〖ドバランサが、极瓢弄にロ〖ドバランサ粗のリンク笆嘲のポ〖トをブロックすることで、ル〖プを搀闰する。
- したがって、スパニングツリ〖などのル〖プ搀闰プロトコルを雇胃する涩妥がない。
  - これにより、リンク磊们が弹きたときの箭芦箕粗が没教され、またネットワ〖クの肋纷を词守にすることにも芬がる。

↑

徊雇矢弗 †

∝敞で斧てわかるITインフラの慌寥み≠
∝ネットワ〖ク附眷の兜彩今　猖柠惹≠

Top / ロ〖ドバランサロ〖ドバランサ