SDN時代における失敗しないロードバランサーの選び方(前編)

ユーザーごとにSLA保証しつつ、サービスを集約するには?

この内容をPDFで読む

SDN時代における失敗しないロードバランサーの選び方

SDN時代の要件を満たすロードバランサーとは

クライアントサーバの時代が過ぎ、モバイルとクラウド全盛の時代に突入している。

多くのシステムがWebアプリケーションとして開発され、インターネットを通じてエンドユーザーへ提供されるのが一般的になった。

インターネットは、シェアード型のネットワークであり、ユーザーやデバイスの状態によって通信状況が大きく変わる。しかし、いかなる環境においてもビジネスを遅らせたり止めたりすることはできない。したがって、企業のシステム部門やサービスプロバイダーは、安全かつすぐれたパフォーマンスでWebアプリケーションをエンドユーザーへ届ける必要がある。

sdn-image1

シトリックス・システムズ・ジャパン株式会社
システムズエンジニアリング本部
ネットワーククラウドSE部 部長
犬塚昌利氏

従来この分野は、ロードバランサーを用いてサーバやサービスの冗長性や継続性を実現するのが限界であった。しかし、Webアプリケーションの重要性が高まるにつれ、トラフィックの内容を把握したうえで最適なデリバリーを提供することが求められるようになった。それを実現するシステムが「アプリケーション デリバリー コントローラ(ADC)」である。

シトリックス・システムズ・ジャパン株式会社 システムズエンジニアリング本部 ネットワーククラウドSE部 部長の犬塚 昌利氏によれば、この分野をドライブしているサービスプロバイダーやキャリアなどのサービス事業者において、状況が変わりつつあるという。

「最近、サービス事業者は、コストメリットやサービスの俊敏性といった厳しいユーザーニーズに応えるため、ネットワークを共通プラットフォームとして再構築すべく動き始めています。彼らが実現したいのは、ネットワークレイヤーから上位のアプリケーションレイヤーまで、統合的に見える化,自動化された環境です」(犬塚氏)

従来のキャリア/サービスプロバイダーのプラットフォームは、ネットワークとアプリケーションとは分断されている状態であった。ルーティングやロードバランサー、アプリケーションなどは個別に稼働しており、統合的に管理できていたわけではなかった。そのため、共通のプラットフォームと言ってもレイヤー2~3までの設計思想を持つのが一般的でありで、上位のサービスは顧客ごとに個別に構築,提供せざるを得ない状況だった。

しかし昨今、注目されている「SDN (Software Defined Network)」や「NFV (Network Functions Virtualization)」のような技術の発展によって、単一のポリシーでルーティングからアプリケーションデリバリーまでコントロールできるプラットフォームが構築できるようになってきている。

「サービス事業者は、サービスを集約できることに加えて、ユーザーごとにサービスレベルを保証した状態でアプリケーションをデリバリーでき、かつ拡張性と俊敏性に優れたコストメリットの高いソリューションを求めています。その中核となるのがシトリックスの『Citrix®NetScaler®』です。NetScalerは、REST APIに対応し、さまざまなコントローラとの接続性が高く、キャリアネットワークで求められるサービスチェイニングもサポートします」(犬塚氏)

高い性能と集約性を実現するプラットフォーム

ネットワークサービス基盤として NetScaler が優れているのは、負荷分散や高速化という ADC 機能の「パフォーマンス」に加えて、「セキュリティ」機能が集約されていることにある。

sdn-image2

NetScalerの機能一覧

パフォーマンスにおいては、特にSSLオフロードの機能が特長的だ。最近のSSL通信は、安全性の向上のため、従来の1,024bitの倍である2,048bitの鍵長を用いるのが一般的になりつつある。SSL処理は高負荷になりがちで、特に2,048ビットの鍵長を用いたSSLは従来の3倍以上のチップ性能が求められるため、ADCのボトルネックとなっている。

「NetScalerには、専用のハイパフォーマンスなSSLカードを搭載していますが、ポイントはそれを扱うソフトウェアです。当社はSSLカードの開発会社と協力し、最高のパフォーマンスを発揮するためにコードの最適化を図りました。結果的に、他社製品と比べて数倍のパフォーマンスを実現しています」(犬塚氏)

セキュリティについては、コンテンツフィルタリングやL4/L7 DoS攻撃対策など、今日必要とされる機能が統合されているが、特筆すべきはWebアプリケーションファイアウォール(WAF)機能である。昨今のサイバー攻撃は、Webサービスを狙った巧妙な手口のものが多く、一般的なファイアウォールでは防ぐことが難しく、WAFへの注目度が高まっている。

「NetScaler の WAF は、米国メディアのEssential Guide – Security Readers’ Choice Awardsに選ばれるほどで、安全性に加えて設定や管理のしやすさという点でも高い評価を得ています。単体でも優れたWAFが NetScalerに統合されているという点で、非常にコストパフォーマンスに優れた製品と言えるでしょう」(犬塚氏)

シトリックス独自のプロトコルICA接続をSSL化するICAプロキシを提供するNetScaler Gateway機能は、仮想デスクトップや仮想アプリケーションへのセキュアなアクセスを実現する。また、モバイルアプリケーションやデバイスの管理を実現するCitrix®XenMobile®と組み合わせることで、ラッピングしたモバイルアプリ毎にMicro VPN接続を実現でき、モバイルやリモートの接続でもセキュアな利用が可能となる。さらに、NetScaler Insight Centerにより、ネットワークトラフィックの遅延の要因を効率的に把握することもできる。

NetScalerファミリーは、物理アプライアンスの「NetScaler MPX」と仮想アプライアンスの「NetScaler VPX」、共通インフラ向けのマルチテナントプラットフォーム「NetScaler SDX」という3つのプラットフォームがラインアップされている。

sdn-image3

NetScaler MPXは、コストパフォーマンスに優れ、エントリーレベルからハイエンドまで幅広く対応する基本的なアプライアンスである。NetScaler MPXは、複数のハイパーバイザーに対応しており、既存の環境に合わせて導入することが可能だ。これらは単一のアーキテクチャで開発されているため、用途や規模などの要件に応じて使い分けるのも容易である。

これらのファミリーの中で最も特徴的なのは、NetScaler SDXである。本機は 2U サイズのハードウェアであるが、そのものは仮想アプライアンスを稼働させるために最適化された仮想プラットフォームである。最大80の仮想アプライアンスを稼働させることができるが、各インスタンスは完全に分離されているため、負荷が互いに影響することはない。そのため、厳格なSLAが求められるマルチテナントでも、個別のサービスを提供することができる。

NetScaler SDXは、NetScalerVPXだけでなく、サードパーティ製の仮想アプライアンスも実行することができる。アプリケーションデリバリーだけでなく、サービスデリバリーも実現するプラットフォームとして、さらに集約性を高めることが可能というわけだ。

現在のところ、パロアルトネットワークスの次世代ファイアウォールやシー・エス・イーの認証システム、ブルーキャットのIPアドレス管理(IPAM)、ウェブセンスの情報漏洩対策といったサービスを搭載することが可能で、今後も対応サービスを増やしていく予定とのことである。

後編へ続く