F-SecureアンチウイルスLinuxゲートウェイ

「F-SecureアンチウィルスLinuxゲートウェイ」
- 負荷分散・冗長構成例 -
日本エフ・セキュア株式会社
http://www.f-secure.co.jp/
[email protected]
負荷分散・冗長構成の導入方法
•
•
•
•
•
•
•
•
A: PAC(プロキシ自動構成)ファイルによる負荷分散・冗長構成
B: DNSのMXレコードによる負荷分散・冗長構成
C: DNSのAレコードによる冗長構成
D: DNSラウンドロビンによる負荷分散
E: レイヤ4スイッチによる負荷分散・冗長構成
F:クラスタリングソフトによる冗長構成
G: ルーティング(RIP, OSPF等)による冗長構成
H: スパニングツリー(STP)による冗長構成
2
A: PAC(プロキシ自動構成)ファイルによる負荷分散・冗長構
成
•
•
•
•
プロキシ型のHTTPで利用できます。
各クライアントは、PACファイルのスクリプト実行結果からプロキシ一覧を取得し、順次接続します。
PAC(自動構成スクリプト)に対応した主要なブラウザで利用できます。
PACファイル
スクリプトを用いて、柔軟な負荷分散・冗長化を行えます。
function FindProxyForURL(url, host){
If(クライアント==1){
return “PROXY 1.1.1.1; “
プロキシ
+ “PROXY 1.1.1.2;”
一覧
+ “PROXY 1.1.1.3;”
PAC
(1.1.1.1
}else if(…){
ファイル
, 1.1.1.2
…
プロキシサーバ
,
1.1.1.3)
}
取得
}
クライアント
1
クライアント
2
接続要求
Linux
ゲートウェイ
1
(1.1.1.1)
クライアント
3
接続要求
Linux
ゲートウェイ
2
(1.1.1.2)
Linux
ゲートウェイ
3
(1.1.1.3)
3
B: DNSのMXレコードによる負荷分散・冗長構成
•
•
•
•
プロキシ型のSMTP(受信)で利用できます。
DNSサーバで、LinuxGWのホスト名に対して複数のIPアドレスを返すことで、冗長化を行います。
メールサーバは返された複数のIPアドレスに対して、優先度に従って順次接続を試みます
同じ優先度の場合は、ランダム順になり、負荷分散も行います。
IPアドレス
解決要求
(xxxx.com)
メールサーバ
1
DNS
サーバ
メールサーバ
2
接続要求
Linux
ゲートウェイ
1
(1.1.1.1)
IPアドレス
一覧
(1.1.1.1
, 1.1.1.2
, 1.1.1.3)
メールサーバ
3
接続要求
Linux
ゲートウェイ
2
(1.1.1.2)
Linux
ゲートウェイ
3
(1.1.1.3)
4
C: DNSのAレコードによる冗長構成
•
•
•
•
•
プロキシ型のHTTP等で利用できます。
ウェブブラウザなど、DNS冗長構成に対応したクライアントで利用できます。
DNSサーバで、LinuxGWのホスト名に対して複数のIPアドレスを返すことで、冗長化を行います。
クライアントは、返された複数のIPアドレスに対して、順次接続を試みます。
「DNSによる負荷分散」と組み合わせすることで、負荷分散と冗長化を同時に行えます。
DNS
サーバ
IPアドレス
解決要求
(xxxx.com)
IPアドレス
一覧
(1.1.1.1
, 1.1.1.2
, 1.1.1.3)
クライアント
接続要求
接続要求
接続要求
Linux
ゲートウェイ
1
(1.1.1.1)
Linux
ゲートウェイ
2
(1.1.1.2)
Linux
ゲートウェイ
3
(1.1.1.3)
5
D: DNSラウンドロビンによる負荷分散
•
•
•
プロキシ型のHTTP,SMTP,POP,FTPで利用できます。
DNSサーバで、LinuxGWのホスト名に対して、問い合わせごとに別のIPアドレス返すことで負荷分散を行います。
通常、「DNSによる冗長構成」と組み合わせ、負荷分散と冗長化を同時に行います。
DNS
サーバ
IPアドレス
解決要求
(xxxx.com)
IPアドレス
(1.1.1.1)
クライアント
接続要求
Linux
ゲートウェイ
1
(1.1.1.1)
IPアドレス
(1.1.1.2)
クライアント
接続要求
Linux
ゲートウェイ
2
(1.1.1.2)
IPアドレス
(1.1.1.3)
クライアント
接続要求
Linux
ゲートウェイ
3
(1.1.1.3)
6
E: レイヤ4スイッチによる負荷分散・冗長構成
•
•
•
•
•
プロキシ型・透過ルータ型のHTTP,SMTP,POP,FTPで利用できます。
負荷分散・冗長化はレイヤ4スイッチが行います。
仮想IPアドレスを用いるので、任意のサービスで利用できます。
レイヤ4スイッチは、専用ハードウェアを利用する方法と、Linuxサーバ等にソフトウェアで構築する方法があります。
詳細は各レイヤ4スイッチの仕様に依存します。
クライアント
1
クライアント
2
パケット
パケット
クライアント
3
パケット
レイヤ4
スイッチ
(1.1.1.100)
パケット
パケット
パケット
Linux
ゲートウェイ
1
(1.1.1.1)
Linux
ゲートウェイ
2
(1.1.1.2)
Linux
ゲートウェイ
3
(1.1.1.3)
7
F: クラスタリングソフトによる冗長構成
•
•
•
•
•
プロキシ型・透過ルータ型のHTTP,SMTP,POP,FTPで利用できます。
冗長化は各サーバが協調することで行います。
仮想IPアドレスを用いるので、任意のサービスで利用できます。
ボトルネックが少なく、性能・可用性の高い構成が実現しやすくなります。
詳細は各クラスタリングソフトの仕様に依存します。
クライアント
1
パケット
クライアント
2
パケット
クライアント
3
パケット
ハブ
パケット
Linux
ゲートウェイ
1
(1.1.1.100)
パケット
動作確認
Linux
ゲートウェイ
3
(1.1.1.100)
8
G: ルーティング(RIP, OSPF等)による冗長構成
•
•
透過ルータ型のHTTP,SMTP,POP,FTPで利用できます。
ルータとLinuxGWがルーティングプロトコル(RIP, OSPF)で定期的に動作確認を行うことで冗長化します。
クライアント
1
クライアント
2
パケット
パケット
クライアント
3
パケット
ルータ
パケット
動作確認
動作確認
Linux
ゲートウェイ
1
(1.1.1.1)
Linux
ゲートウェイ
2
(1.1.1.2)
9
H: スパニングツリー(STP)による冗長構成
•
•
透過ブリッジ型のHTTP,SMTP,POP,FTPで利用できます。
ハブとLinuxGWがスパニングツリープロトコル(STP)で定期的に動作確認を行うことで冗長化します。
クライアント
1
クライアント
2
パケット
パケット
クライアント
3
パケット
ハブ
パケット
動作確認
動作確認
Linux
ゲートウェイ
1
(1.1.1.1)
Linux
ゲートウェイ
2
(1.1.1.2)
10
各方式の比較
•
各方式の比較表は以下の通りです。
負荷分散
冗長化
対応プロトコル
設置方法
A: PACファイル
○
○
HTTP(ブラウザ)
プロキシ型
B: DNSのMXレコード
○
○
SMTP(受信)
プロキシ型
C: DNSのAレコード
×
○
HTTP(ブラウザ)等
プロキシ型
D: DNSラウンドロビン
○
×
全て
プロキシ型
E: レイヤ4スイッチ
○
○
全て
プロキシ型、透過ルータ型
F: クラスタリングソフト
×
○
全て
プロキシ型、透過ルータ型
G:ルーティング(RIP,
OSPF等)
×
○
全て
透過ルータ型
H: スパニングツリー
(STP)
×
○
全て
透過ブリッジ型
追加機器
レイヤ4スイッチ
ハブ
11
12