IPCOM
目次 1. はじめに... 1 2.SSL 通信を使用する上での課題... 2 3.SSL アクセラレーターによる解決... 3 4.SSL アクセラレーターの導入例... 4 5.SSL アクセラレーターの効果... 6 富士通の SSL アクセラレーター装置のラインナップ... 8
1. はじめに SSL は インターネット上で最も良く使われている暗号技術です SSL は 通信内容を暗号化して盗聴を防ぐ機能のほかに サーバ証明書を確認してなりすましを防ぐ機能があり インターネット上でビジネスを行う上で欠かせない技術です 今日 個人情報の保護法の対応や EC( 電子商取引 ) の拡大により SSL 通信の割合は増加する一方です SSL 通信を実現するためには Web サーバ自身で SSL の処理を行う方法と 暗号処理専用のハードウェアを搭載した SSL アクセラレーター を使用する方法があります 本書では SSL アクセラレーターと その効果について説明します はじめに
2.SSL 通信を使用する上での課題 通常 Web ブラウザと Web サーバの間のプロトコルは http ですが http を SSL で暗号化した物を https と呼んでいます "https:// ~ " で始まる URL は Web ブラウザと Web サーバの通信が SSL で暗号化される事を意味します SSL 通信を行う場合 基本的な方法は Web サーバのソフトウェアで SSL の処理を行う方法ですが この場合に注意しなければならない事が二つあります ひとつは SSL で使用する暗号アルゴリズムの演算処理が Web サーバの CPU にとって負担が大きいことです ブラウザ側では 通常ユーザひとり分の暗号処理しか行わないので あまり問題にはなりませんが 多くのユーザの暗号処理を同時に行うサーバ側では 大きな負担になります 実際 https のサービスを行う Web サーバでは その能力の半分以上を暗号処理に費やします 提供するサービスが同じでも http で通信する場合と https で通信する場合では Web サーバの処理能力が大きく違ってくるので システム構築の際には注意が必要です 図 2-1. SSL 通信を使用する上での課題もうひとつは 負荷分散装置やファイアーウォールの様に 通信内容を読み取りながら働くネットワーク機器を併用する場合です 通信が暗号化されていると これらの装置は本来持っている機能を十分に発揮する事が出来なくなります 例えば負荷分散装置の場合 通常は http リクエストに含まれる URL/ ヘッダ /Cookie 等の情報を判別して URL による分散やセッション維持の動作を制御しています 通信が暗号化された https の場合には これらの情報が一切見えなくなるために 最も単純な負荷分散機能しか利用できなくなります SSL 通信を使用する上での課題
3.SSL アクセラレーターによる解決 前記の課題を解決する手段として SSL アクセラレーターを採用する方法があ ります SSL アクセラレーターを使用する場合 ブラウザからの https のリクエストは まず SSL アクセラレーターが受け取ります SSL アクセラレーターは 通信内容を復号して http のリクエストとして Web サーバに送ります Web サーバからの応答は SSL アクセラレーターが受け取り 暗号化した後にブラウザに送られます Web サーバは暗号処理を行う必要がなくなるので サーバ本来の処理に専念できます SSL アクセラレーターは 暗号処理専用に設計されたハードウェアにより サーバのソフトウェアで暗号処理を行う場合に比べて 高い処理性能を低コストで提供できます 図 3-1. SSL アクセラレーターによる解決 -1 負荷分散装置などを利用する場合は SSL アクセラレーターと Web サーバの間に配置します この位置では 通信は暗号化されていないため これらの装置の機能を最大限に利用できます または 負荷分散装置の場合には SSL アクセラレーターを内蔵したモデルも用意されているため その様なモデルを採用しても良いでしょう 次に SSL アクセラレーターの導入方法について説明します 図 3-2. SSL アクセラレーターによる解決 -2 SSL アクセラレーターによる解決
4.SSL アクセラレーターの導入例 次に SSL アクセラレーターの導入方法について説明します 図 4-1. は Web サーバの前に SSL アクセラレーターを追加した例です SSL アクセラレーターを導入する事で Web サーバの処理能力を下げることなく https のサービスが可能になります また SSL アクセラレーターをブリッジモードで使用すると 周りのネットワークの構成を変更することなく導入できます IPCOM では IPCOM S1400/S1200 が対応しています 図 4-1. SSL アクセラレーターの導入例 -1 図 4-2. は SSL アクセラレーターを内蔵した負荷分散装置を使用した例です SSL アクセラレーター内蔵の負荷分散装置を使用することで 装置台数を減らすことができます IPCOM では IPCOM S2400/S2200/S2000 と IPCOM EX2000 LB が対応しています 図 4-2. SSL アクセラレーターの導入例 -2 図 4-3. は SSL アクセラレーターを負荷分散する構成の例です 複数の SSL アクセラレーターを導入して 負荷分散装置でリクエストを振り分けています この構成では Web サーバだけでなく SSL アクセラレーターの処理能力もスケーラブルになり 拡張性の高い Web サイトの構築できます SSL アクセラレーターの導入例
IPCOM では SSL アクセラレーターとして IPCOM S1400/S1200 負荷分散 装置として IPCOM S2400/S2200/S2000 と IPCOM EX2000 LB/EX1200 LB/ EX1000 LB が対応しています 図 4-3. SSL アクセラレーターの導入例 -3 SSL アクセラレーターの導入例
5.SSL アクセラレーターの効果 Oracle Application Server 10g での導入例 図 5-1. は 日本オラクル株式会社のアプリケーションサーバ Oracle Application Server 10g を使用した Web サイトの例です Web サーバには Oracle Application Server 10g の OHS(Oracle HTTP Server) をインストールしてあり 2 台の Web サーバに IPCOM S2200 でサーバ負荷分散を行っています この IPCOM S2200 は SSL アクセラレーターを搭載したモデルです 図 5-1. システム構成パフォーマンス測定を行ったところ ソフトウェアである Oracle HTTP Server (OHS) で SSL を処理した場合には単位時間に 310 のリクエストが処理されましたが ( ケース 1) ハードウェアである IPCOM S2200 の SSL アクセラレーターを使用した場合には単位時間に 875 のリクエストが処理される ( ケース 2) という結果になりました このことから 今回のケースでは IPCOM S2200 の SSL アクセラレーター機能を使用することで 単位時間当たりのリクエスト処理数について少なくとも 3 倍弱程度の向上を見込むことができます 図 5-2. SSL アクセラレーターの効果 SSL アクセラレーターの効果
次に価格的な観点からの比較ですが IPCOM S2200 の SSL アクセラレーター搭載の有無での価格差は 800 千円 1 二重化する場合には 1,600 千円となります これに対し 例えば単位時間当たり約 900 リクエスト程度の処理を Web サーバの増設で実現しようとすると 2 台で単位時間辺り 310 リクエストを処理していたことから計算上 Web サーバを 4 台追加すれば単位時間当たり 930 リクエストを処理できることになります そのためにはハードウェア ( 本体 メモリ ) OS LAN 二重化ソフトなど約 14,000 千円 2 が必要となり 価格面でも IPCOM S2200 の SSL アクセラレーターを利用する方がコスト的に優れていることになります 1: IPCOM S2200 の価格 : SSL アクセラレーター搭載モデル : 8,700 千円 ( 税 別 ) 非搭載モデル : 7,900 千円 ( 税別 ) 2: Web サーバの構成 : ハードウェア PRIMEPOWER 250 オペレーティング システム Solaris(TM) 9 OS 9/04 アプリケーション Oracle Application Server 10g 伝送路二重化ソフト PRIMECLUSTER GLS 方式 Web サーバを 4 台追加 ( 計 6 台 ) IPCOM S2200 の SSL アクセラレーター 表 5-1. ハードウェアを増設した場合の価格差 Web サーバの予想されるリクエ CPU 使用率 この検証報告の詳細については 以下の URL で公開しています 富士通と日本オラクルの共同検証報告 スト数 / 単位時間 http://primeserver.fujitsu.com/ipcom/catalog/data/report01.html コスト [ 千円 ] 99% 930 Web サーバを 4 台増 (2 台 6 台で 310 設するコスト の 300% ) 14,000 (3,500 4) 30% 875 ( 検証結果 ) SSL アクセラレーターのコスト 1,600 (800 2) SSL アクセラレーターの効果
富士通の SSL アクセラレーター装置のラインナップ IPCOM 製品情報 http://primeserver.fujitsu.com/ipcom/ IPCOM では SSL アクセラレーター機能に加え 負荷分散や帯域制御 ファイアーウォールなど含む企 業のネットワーク構築に必要な機能を 1 台に集約 スピーディーなネットワーク構築とシンプルな運用 を実現します これからも進化し続ける IPCOM に御期待下さい 富士通の SSL アクセラレーター装置のラインナップ
SSL アクセラレーターの必要性 富士通株式会社 2006 年 12 月初版 SFP-B0304-05-01 Copyright 2006 Fujitsu Ltd. All Rights Reserved.