Global Load balancer

Lesson 4 – クラウド・ネットワーク, Part 2
このレッスンではSoftLayerネットワークとlocal、globalのload balancing、Firewallに関して学習
します。
このレッスンにより以下が行えるようになります:
•load balancingの理解
•Globalおよびlocal balancingの違い
•Localとglobal load balancerのオーダー
•Local load balancerの構成
•SoftLayer firewallの理解
•SoftLayer環境でのIPアドレス
•SoftLayerのDomain Name Service
•SoftLayer環境でのVLAN構成
1
© 2014 IBM Corporation
Lesson 4 – クラウド・ネットワーク, Part 2 (続き)
このレッスンでは以下のトピックを学習します:
•用語の定義
•SoftLayer local load balancerによる負荷分散
•SoftLayer global load balancerによる負荷分散
•SoftLayer環境でのFirewallの構成
•追加IPアドレスの構成
•SoftLayerのDomain Name Serviceの使用
•SoftLayer環境でのVLAN構成
2
© 2014 IBM Corporation
用語の定義
以下はこのレッスンで使用される共通の用語となります。
3
Term
Definition
Command line interface
(CLI)
ユーザーがテキストファイルまたはコマンドラインにてプラグラムを対
話形式で実行する方法。
Denial of service (DoS)
attack
ネット上のトラフィック(通信量)を増大させ、通信を処理して
いる回線やサーバの処理能力(リソース)を占有することによっ
て、システムを使用困難にしたり、ダウンさせたり、過負荷によっ
てサーバの機材そのものを誤動作させたり破壊したりすること。
Domain Name System
(DNS)
インターネットを使った階層的な分散型データベースシステム。現
在では主にインターネット上のホスト名や電子メールに使われる
ドメイン名と、IPアドレスとの対応づけを管理するために使用され
ている。
© 2014 IBM Corporation
用語の定義(続き)
4
Term
Definition
File transfer protocol (FTP)
ネットワークでファイルの転送を行うためのTCP/IPベースの通信
プロトコルの1つ。
Intelligent Platform
Management Interface
(IPMI)
応答が無い、電源offの機器を管理するための標準インターフェ
イス。OSやshellの代わりにHWに接続して管理を行う。
© 2014 IBM Corporation
用語の定義(続き)
5
Term
Definition
Secure shell (SSH)
暗号や認証の技術を利用して、安全にリモートコンピュータと通
信するためのプロトコル。パスワードなどの認証部分を含むすべて
のネットワーク上の通信が暗号化される。
Transmission Control
Protocol (TCP)
伝送制御プロトコルといわれ、インターネット・プロトコル・スイート
の中核プロトコルのひとつ。TCPは、セッションという形で1対1の
通信を実現し、パケットシーケンスチェックによる欠損パケット再
送などのエラー訂正機能などを持ち、データ転送などの信頼性の
必要な場面でよく使用される。
User Datagram Protocol
(UDP)
もう一つのインターネット・プロトコル・スイートの中核プロトコルの
一つ。アプリケーションから Internet Protocol (IP) ネットワー
ク上の他のホストへ「データグラム」と呼ばれるメッセージを送るの
に使われ、事前に転送チャネルやデータ経路といった特別な設
定をする必要がない。
© 2014 IBM Corporation
SoftLayerでの負荷分散
このトピックでは、以下を学習します。
•ロードバランサーでのVIPオプション
•負荷分散方式
6
© 2014 IBM Corporation
Local load balancerによるSoftLayerでの負荷分散
SoftLayerの local load balancer は業界標準の Array Networks を採用。負荷分散方式として
round-robin, lowest latency, least connections, shortest response, およびIP
persistenceを2つ以上サーバーに適用可能。Local load balancerの構成は、リアルタイムに行うこと
が可能であり、サーバーの追加や削除をダウンタイム無しで可能。
Local load balancer:
•パブリック・ネットワークのVLANのみをサポート
•レイヤー4までをサポート
•コンソールアクセス不要; ポータルを通じての管理
7
© 2014 IBM Corporation
VIPオプション
VIP
connections
per second
• 共用 (shared) load balancing
• 1 virtual IP addressの提供:
 250 VIP connections per second
(with SSL option)
 500 VIP connections per second
(with SSL option)
 1,000 VIP connections per
second (with SSL option)
 2,500 VIP connections per
second
• 占有(dedicated) load balancing
• 8までのvirtual IP addressesの提供:
 15,000 VIP connections per
second with SSL only
 100,000 VIP connections per
second with SSL only
8
© 2014 IBM Corporation
負荷分散の方式
Local load balancerではround robin, shortest response, least connections, お
よび consistent hash IPの方式をデータセンター内の負荷分散方式として使用可能。
SoftLayer data center
Round
robin
VIP
connections
per second
Shortest
response
Least
connections
Local
load
balancer
Consistent
hash IP
9
© 2014 IBM Corporation
サーバーへの振分けルール
SoftLayer data center
Round
robin
VIP
connections
per second
Shortest
response
Least
connections
Local
load
balancer
Consistent
hash IP
10
© 2014 IBM Corporation
Global load balancerによるSoftLayerでの負荷分散
このトピックでは、以下を学習します。
•Global load balancingの構成例
•Global load balancingのVIPオプション
•負荷分散方式
•Citrix NetScaler load balancer
11
© 2014 IBM Corporation
Global load balancerによるSoftLayerでの負荷分散
SoftLayerのglobal load balancerはF5 Networks をベースにしており、異なるデータセンター間で
の負荷分散を可能にします。Anycast DNS systemを使用することにより、global load balancer
は高い可用性を持ったDNS名前解決を提供します。
Global load balancingの特徴は以下のとおり:
•コンソールアクセス不要; ポータルを通じた管理のみ
•Anycast DNS システムにより、冗長化されたDNS名前解決を通じて関連づけられたデータセンター
へ誘導
•Global load balancingはレイヤー4のみをサポート
•任意のタイミングで、振り分け先のサーバーの追加/削除が可能
12
© 2014 IBM Corporation
構成の例
以下は、global load balancerのシンプル、および複雑な2つの構成例です。
構成例
13
Simple
configuration
2つのサーバーが、異なるデータセンターにそれぞれ配置されているシンプル
な構成。ユーザーから最も近いロケーションにリダイレクトを行う。片方の
サーバーで障害が発生した場合は、稼働しているもう片方のサーバーへリ
ダイレクトを行う。
Complex
configuration
複数のデータセンター内のlocal load balancerに対する負荷分散を行
う複雑な構成。さらに、すべてのサイトで障害が発生した場合は災害対策
用のサイトへ振り分けを実施する。
© 2014 IBM Corporation
VIPオプション
VIP
connections
per second
14
構成のオプション:
•50 VIP connections per second
•100 VIP connections per second
•200 VIP connections per second
•500 VIP connections per second
•1,000 VIP connections per second
© 2014 IBM Corporation
負荷分散の方式
Global load balancerはweight round robin, geography, round robin, および
failoverの負荷分散方式を一つ以上のデータセンター上の二つ以上のサーバーに対して適用可
能。
全てのSoftLayer
のデータセンターお
よびPoPに配置
Weighted
round robin
VIP
connections
per second
Geography
Round
robin
Global
load
balancer
Failover
15
© 2014 IBM Corporation
サーバーへの振分けルール
全てのSoftLayer
のデータセンターお
よびPoPに配置
Weighted
round robin
VIP
connections
per second
Geography
Round
robin
Global
Load
balancer
SoftLayer data center 1
SoftLayer data center 2
Failover
16
© 2014 IBM Corporation
SoftLayer Citrix NetScaler load balancer
SoftLayer Citrix NetScaler load balancer はウェブアプリケーションに対応したアプライアンスであり、ア
プリケーションのパフォーマンス向上、低コストでのセキュリティ確保を可能にします。
Citrix NetScaler load balancer:
•SoftLayerのパブリック、プライベート双方の環境に配置が可能
•パブリックI/Fを持たないサーバーへ負荷分散を行うことのできる唯一のオプション
•レイヤー7までをサポート
•5 TB/月までのパブリック・ネットワークでのアウトバウンド通信と無制限のプライベート・ネットワークの通信が
無償
Citrix NetScalerのStandard、およびPlatinum Editions では以下をオプションで選択可能
•10 Mbps, 200 Mbps, もしくは1 Gbps.
•1、2、4、8、もしくは16 パブリックIPアドレス
17
© 2014 IBM Corporation
SoftLayer Citrix NetScaler load balancer (続き)
Standard Edition
• TCP buffering
• TCP multiplexing
• SSL offload and
acceleration
• Client and server TCP
optimizations
• L4 DoS defenses
• Layer 7 content
filtering
• HTTP rewrite
• URL rewrite
• Citrix Access Gateway
• Layer 4 load
balancing
• Layer 7 content
switching
• AppExpert rate
controls
• IPv6
18
Platinum Edition
• TCP buffering
• TCP multiplexing
• SSL offload and
acceleration
• Cache redirection
• Client and server TCP
optimizations
• Citrix AppCompress
for HTTP
• Citrix AppCache
• L4 DoS defenses
• Layer 7 content
filtering
• HTTP rewrite
• URL rewrite
• Citrix Access Gateway
• Layer 7 DoS defenses
• NetScaler Application
Firewall
• Layer 4 load
balancing
• Layer 7 content
switching
• AppExpert rate
controls
• IPv6
• Global server load
balancing
• Surge protection
• Priority queuing
© 2014 IBM Corporation
FAQs
学習した内容をもとに、下記の質問に回答してください。
1.SoftLayerのプライベート・ネットワーク上にlocal load balancerを構成可能?
________________________________________________________________________
________________________________________________________________________
2.Global load balancerでの基本的な負荷分散方式は何?
________________________________________________________________________
________________________________________________________________________
3.Local, globalおよびCitrix NetScalerにて最も高い負荷分散のレイヤーは?
________________________________________________________________________
________________________________________________________________________
19
© 2014 IBM Corporation
SoftLayerのFirewalls
このトピックでは、以下を学習します。
•Managed firewalls
•FortiGate security appliance
•Vyatta gateway appliance
20
© 2014 IBM Corporation
SoftLayerのmanaged firewall
SoftLayerのhardware firewallはFortinet FortiGate 300 Seriesを採用。要件に応じて
dedicated hardware firewall(占有)、もしくはstandard hardware firewall(共用)を
選択可能。
•Dedicated firewallは同一VLAN上の(単一、または複数)サーバーを対象にすることが可能
•Standard firewallsは個別のサーバーごとにセキュリティルールを適用。Firewallの追加はサーバー
の停止なしで行うことが可能。
21
© 2014 IBM Corporation
SoftLayerのmanaged firewall (続き)
Dedicated hardware firewalls
Standard (shared) hardware
firewall
構成オプション:
•1 Gbps dedicated
•1 Gbps dedicated with high
availability
構成オプション:
•10 Mbps
•100 Mbps
•1 Gbps
• 指定したVLAN全体を防御
• VLAN全体、およびサーバー個別のルールを
• サーバー個別での防御(物理/仮想サーバー)
• 対象サーバーのIPアドレスに対してルールを適
適用可能
• ポータルおよびAPIで管理が可能
• Firewall、アンチウィルス、および侵入検知
22
用
• ポータルおよびAPIで管理が可能
• Firewall、アンチウィルス
© 2014 IBM Corporation
FortiGate security appliance
FortiGate security application はsingleまたはhigh availability構成の選択が可能
ハードウェアーはSoftLayerのhardware firewall offering (FortiGate 300 series)と同一
このアプラインスでは、ポータル経由ではなく直接FortiGateのコンソールにアクセスが可能となり、製品
が提供する管理ツールをそのまま使用可能。コンソールとツールにより、さらに高度なfirewallおよびセ
キュリティ機能を使用することが可能。セキュリティ機能としては、アンチウィルス、侵入検知、およびVPN
(IPSec, PPTP, およびL2TP)を使用可能。
23
© 2014 IBM Corporation
Vyatta gateway appliance
Vyatta gateway appliance は、SoftLayer環境にて高度なネットワーク・ルーティングおよび
VLAN構成を可能にします。
構成オプション
24
CPU
RAM
Disk
configuration
Disk options
Xeon Quad Core 1230
3.2 Ghz
Xeon Quad Core 1270
3.4 Ghz
4 GB
8 GB
12 GB
16 GB
32 GB
JBOD
RAID 0
RAID 1
RAID 5
RAID 10
SATA
SATA 10K
SCSI 10K
SCSI 15K
SSD
© 2014 IBM Corporation
Vyatta gateway appliance (続き)
機能:
• IPSec VPN トンネル
• NAT
• Firewallサービス
• Routerサービス
すべてのVyattaの機能はVyatta Network OSへのSSH接続によるCLIまたは、VPN経由でのウェ
ブブラウザー経由でのGUIコンソールで管理を行うことが可能。
Note: SoftLayerのshared、または
dedicated firewallとVyatta network
gatewayは同一VLAN上に共存でき
ないため注意が必要
25
© 2014 IBM Corporation
FAQs
学習した内容をもとに、下記の質問に回答してください。
1.SoftLayerのmanaged firewallとFortigate security applianceの違いは何か?
________________________________________________________________________
________________________________________________________________________
2.大規模なサーバーを対象とするfirewallとして最適なものは何か?
________________________________________________________________________
________________________________________________________________________
3.高度なネットワーク構成が求められる場合、必要となるデバイスは何か?
________________________________________________________________________
________________________________________________________________________
26
© 2014 IBM Corporation
IPアドレスのオプション・サービス
このトピックでは、SoftLayer環境でのIPアドレスについて学習します。
27
© 2014 IBM Corporation
SoftLayer環境のIPアドレス
SoftLayerのサーバー(仮想/物理) では1つのprimary IPv4アドレスが付与される。追加のIPアドレ
スとして1、2、4、8、16、32単位でオーダーが可能。
IP block type
内容
Static IP block
固定のIPアドレスに直接ルーティングされるIPアドレス
Portable IP
block
同一VLAN上の複数のサーバーに設定可能なIPアドレス。Portable IP
addressはサーバー間でスイッチすることが可能。以下のような2つの特徴を持
つ。
• Routed to VLAN は固定のIPアドレスではなく、VLAN全体にルーティ
ングを行うもの。このIPブロックのアドレスにはすべてアクセス可能。
• Secondary to VLAN は仮想環境での使用を想定したもの。
network, gateway, およびbroadcast用のIPを含むセグメントが提供
される。このセグメント内のIPアドレスを仮想サーバーにエイリアスとして設定
し2次アドレスとして使用する。 (1つの使用可能なIPアドレスが必要な場
合は、少なくとも4アドレスを持つセグメントのオーダーが必要)
28
© 2014 IBM Corporation
SoftLayer環境のIPアドレス(続き)
Global IPは異なるデータセンター上に配置されているサーバー間で、ワークロードを柔軟に切り替える
ことを可能にします。さらに、Global IPは永続アドレスとして物理サーバーと仮想サーバー間での移動
も可能にします。この機能はリージョン制限のないAWSのElastic IPと同等の機能になります。
構成オプション:
•月額課金
•ポータルおよびAPIでのIP設定の変更が可能
29
© 2014 IBM Corporation
SoftLayer環境のDomain Name Systemサービス
このトピックでは、以下を学習します。
Domain Name Systemのサービス内容
30
© 2014 IBM Corporation
Domain Name System (DNS)
SoftLayer環境では以下の4つのオプションをDNSサービスとして選択可能:
1.ドメインを取得し、SoftLayerのDNSサーバーに登録
2.SoftLayerのDNSサーバーを使用して、ユーザー所有のドメインを登録
3.外部ベンダーのDNSサーバーを使用し、ユーザー所有のドメインを登録
4.ユーザー所有のDNSサーバーを使用して、ユーザー所有のドメインを管理
SoftLayer DNS サービス:
•パブリック・オプション (ユーザー所有ドメインをSoftLayerで管理)
ポータルを通じて、SoftLayer環境のDNSサーバーをauthoritative serverとして使用することが可
能。これらのサーバーにてユーザー環境のDNSサーバーとして使用することも可能。
•プライベート・ネットワーク
プライベート・ネットワークでの名前解決が可能。パブリック・ネットワークでのDNSサーバーのスレーブとし
てプライベート環境でも利用可能なためユーザーにとって有用なサービス。
31
© 2014 IBM Corporation
SoftLayer環境のVLAN
このトピックでは以下を学習します。
•VLANの定義
•VLAN spanning
•高度なVLANのデザイン
32
© 2014 IBM Corporation
VLAN
VLANとは?
Virtual LAN (VLAN) は異なるルーター、スイッチ、およびサーバーにて同一のブロードキャスト・ドメイ
ン(セグメント)を実現するもの。
SoftLayerではどのようにVLANを使用するのか?
SoftLayerのサーバーは、パブリックおよびプライベート用の(データセンター内の)ルーターごとに作成
されたVLAN上に配置される。概要図は以下を参照。
Public network
DC
1
VLAN
1
33
VLAN
5
VLAN
4
VLAN
2
VLAN
3
Private network
DC
2
DC
3
VLAN
6
© 2014 IBM Corporation
Spanning
•
•
•
•
•
•
34
VLANスパニングはデフォルトではオフ
VLANスパニングにより、複数のVLAN上およびデータセンター上の仮想/物理インスタンスにて通
信は可能
VLANスパニングをONにすることにより、プライベートVLANのIPアドレスにて通信することが可能
設定変更の反映は5〜10分の所要時間
異なるアカウント間でのVLANスパニングもオプション(Ticket経由)で可能
1VLANあた$25/月の課金
© 2014 IBM Corporation
セキュリティ・ゾーンに対応したVLANの構成例
• セグメント毎に仮想/
物理サーバーをプライ
ベートVLAN上に配
置
• SoftLayerのプライ
ベートネットワークを
通じて、複数のデー
タセンター間との通信
も可能
• Distributed
denial of service
(DDoS) 対策はパ
ブリックネットワーク上
に設置されたCisco
Guard devicesに
て対応
35
© 2014 IBM Corporation
FAQs
学習した内容をもとに、下記の質問に回答してください。
1.3つのIPアドレスを使用したい場合、どのIPブロックのオーダーが必要でしょう?
________________________________________________________________________
________________________________________________________________________
2.SoftLayer環境でDomain Name Servicesを持つことはできますか?
________________________________________________________________________
________________________________________________________________________
3.プライベート・ネットワークを通じて、2つ以上のデータセンター間で通信を行う方法はありますか?
________________________________________________________________________
________________________________________________________________________
36
© 2014 IBM Corporation
レッスン サマリー
このレッスンでは、以下を学習しました。
•Load balancing
•Globalとlocal load balancingの違い
•Localおよびglobal load balancerのオーダー
•Local load balancerの構成
•SoftLayer firewallの種類
•SoftLayer環境でのIPアドレス
•SoftLayerでのDomain Name System services
•パブリックおよびプライベート・ネットワーク環境でのVLAN
37
© 2014 IBM Corporation