A10 ネットワークス Thunder シリーズ 株式会社富士通ソーシアルサイエンスラボラトリ 0
A10 Thunder によるソリューション概要 インバウンドトラフィック アウトバウンドトラフィック SLB SSL Offload SSL-I GSLB Link LB Cloud 様々な通信を制御するハイパフォーマンス ADP 1
サーバ負荷分散 SLB=Server Load balancing 01 ハイパフォーマンスなサーバ負荷分散 10Gbps 以上のスループットを安価に提供 02 サーバの可用性 運用性向上負荷分散を行うことで 複数サーバでのサービス提供が可能に 03 aflex による柔軟なトラフィック制御 Tcl ベースのスクリプトにより 柔軟なトラフィック制御を実現 04 SSL オフロード専用チップによる SSL 通信複合化処理により 暗号化通信によるサーバ負荷を軽減 2
負荷分散装置の統合 ADP=Application Delivery Partition #active partition NAME コマンドで ADP を切替ながら操作 ADP-1 ADP-2 ADP-3 01 複数の負荷分散装置を ADP 機能で統合同一筐体上に仮想ロードバランサ (ADP) を複数配備 システム単位に配置していた負荷分散装置を統合 02 ADP 単位の管理者設定仮想ロードバランサの管理者が異なる場合は ADP 単位で管理者を作成 3
センタ間の負荷分散(GSLB) GSLB=Global Server Load Balancing DNSサーバとして センタ毎の通信を分散 1st Center 2nd Center 01 データセンタ間でトラフィックを分散 02 DR切替え 複数データセンタをActive/Active構成で活用 Geo-Locationにも対応 死活監視を行い センタの切替も可能 4
回線の負荷分散 (Link LB) Link LB=Link Load Balancing 01 複数回線を有効活用通信内容ごとに利用する回線を選択 回線品質 コストにあわせた有効な回線利用 02 インターネットアクセスの可用性向上各回線を PING 監視 障害を検知した回線を自動的に排除 03 回線増設が容易回線帯域不足には増設で対応 振り分け先に追加すれば完了 5
クラウド向けトラフィックの制御 (Explicit ) Cloud その他インターネット 通常の Web トラフィック クラウド向けトラフィック 会社アカウント 個人アカウント 01 プロキシサーバの負荷軽減 増設コスト削減クラウドアクセスはプロキシサーバをスキップ 02 クラウドアクセス回線を分離クラウドアクセスではベストエフォート回線を使用することで 回線コストを削減 03 業務以外のテナントへのアクセスを防止 Office365,G-Suite 等の利用ドメインを指定することで 自社以外のドメインでのアクセスを禁止 04 Office365 の自動ドメイン更新に対応 運用負荷軽減 DLIST Manager との連携により Office365 ドメインを自動で取込み 6 DLIST Manager は A10 Thunder が自動的に Office365 ドメイン更新に対応するためのオプションです
SSL-I SSL-I=SSL Insight=SSL 可視化 正常アクセス 不正アクセス サーバ セキュリティデバイス 01 SSL 通信もセキュリティ適用対象に SSL 通信を複合化してセキュリティ装置を通過することで SSL 通信にもセキュリティを適用 02 セキュリティ装置のコスト削減専用チップによる高速な SSL 複合 / 再暗号処理 セキュリティ装置の SSL 対応によるアップグレードが不要 7
管理インターフェース Cisco ライクな CLI 日本語対応した GUI slb server web01 10.0.0.1 port 80 tcp slb server web02 10.0.0.2 port 80 tcp slb service-group web-g01 tcp member web01 80 member web02 80 slb virtual-server web 10.1.0.1 port 80 http service-group web-g01 port 443 https service-group web-g01 template client-ssl ssl-accr 使い慣れたコマンド形式 一括適用 / 差分確認が容易 日本語対応 ( 官公庁案件にも対応 ) パーティション単位で画面切替 8
ソリューション適用例 9
クラウド時代のインターネットアクセス環境最適化 クラウドアクセスによるプロキシサーバ負荷上昇増設の検討が必要 業務環境で私用アカウントを利用できてしまう クラウドアクセスがインターネット回線を圧迫 Cloud として 必要な通信のみをプロキシサーバへ振り分け SSL 通信の複合化 利用可能ドメイン指定ヘッダ挿入により 私用アカウント利用を禁止 クラウドプロキシと Link LB の組合せにより クラウドアクセス用の回線を使い分け プロキシサーバ増設不要私用アカウント利用を禁止回線コスト低減 10
G Suite 利用時の適用例 その他インターネット G suite トラフィック用に回線を増設し 使い分ける運用も可能 Link LB Internet A10 Thunder 既存 HTTPS 通信を一時的に復号し HTTP ヘッダ挿入により 指定外のドメインでログインが出来なくなる X-GoogApps-Allowed-Domains: ssl.fujitsu.com URL から接続ドメインをチェック G Suite の通信は既存 を利用させないことで サーバの負荷を軽減 SSL-I+aFleX *drive.google.com* *mail.google.com* *site.google.com* *accounts.google.com* Cloud 11
某製造業 A 様 Office365 導入時の課題 Cloud その他インターネット 通常の Web トラフィック クラウド向けトラフィック 会社アカウント 個人アカウント 01 プロキシサーバの負荷軽減 増設コスト削減クラウドアクセスはプロキシサーバをスキップ 02 クラウドアクセス回線を分離 クラウドアクセスではベストエフォート回線を使用することで 回線コストを削減 Express Route を利用 03 業務以外のテナントへのアクセスを防止 Office365,G-Suite 等の利用ドメインを指定することで 自社以外のドメインでのアクセスを禁止 04 Office365の自動ドメイン更新に対応 運用負荷軽減 PACファイルでは運用負荷高い DLIST Manager との連携により Office365 ドメインを自動で取込み DLIST Manager は A10 Thunder が自動的に Office365 ドメイン更新に対応するためのオプションです 12
某製造業 A 様構成 Internet 取引先 A 取引先 B 取引先 C Internet A 向け B 向け C 向け ユーザ数 :3,000 人取引先が多く プロキシの台数が多い PAC PAC で全てのアクセスを振り分け Office365= 対象ドメインが頻繁に更新 PAC では運用しきれなくなる プライマリプロキシとして A10 Thunder を導入 Web アクセス振り分けは A10 Thunder で一括管理 Office 365 ドメイン経路制御を自動化 Office365 ドメインリスト配信サーバ リストの自動取得 (*1) DLIST Manager Cloud 自動取得 Internet 取引先 A 取引先 B 取引先 C Internet 自動更新 DLIST Agent A 向け B 向け Express Route C 向け PAC PAC は最低限の情報のみ 13
某製造業 B 様クラウドアクセス増加に伴う回線帯域圧迫課題 容易な回線増設を実現 重要業務向け帯域保障高価 ベストエフォート安価簡単な増設クラウドアクセス向け 01 複数回線を有効活用通信内容ごとに利用する回線を選択 回線品質 コストにあわせた有効な回線利用 クラウドアクセスは安価な回線へ 02 インターネットアクセスの可用性向上各回線を PING 監視 障害を検知した回線を自動的に排除 03 回線増設が容易回線帯域不足には増設で対応 振り分け先に追加すれば完了 クラウドトラフィックサイズに合わせて回線を増設 14
製品ラインナップ 15
ハードウェアアプライアンス TH840 CFW TH1040S CFW TH3040S CFW プラットフォーム ラックユニット数 1U 1U 1U 電源最大消費電力 75W 108W 240W AC 電源数 ( 標準 ) 1 1 2 AC 冗長対応 ( 標準 / オプション ) - オプション 標準 ネットワークインターフェース ポート総数 7 9 12 10/100/1000 Mbps Ports( 標準搭載 ) 5 5 6 1 Gbps Fiber Ports( 標準搭載 ) 0 0 2 10 Gbps Ports( 標準搭載 ) 2 4 ( 1) 4 ( 2) 10 Gbps 種別 SFP+ SFP+ ( 1) SFP+ ( 2) パフォーマンス L4 Throughput 5 Gbps 20 Gbps 30 Gbps L4 CPS 200,000 CPS 450,000 CPS 750,000 CPS SSLアクセラレーション Max. SSL CPS/TPS RSA(1024bit):500 CPS RSA(2048bit):4,000 CPS RSA(2048bit):8,000 CPS RSA(2048bit):300 CPS ECDHE:3,000 CPS ECDHE:4,500 CPS 筐体 外形寸法 (H W D)mm 44.45 431.8 304.8 44.45 444.5 438.15 44.45 444.5 443.23 重量 (kg) 3.99 6.8 9.12 7.71( 冗長電源搭載時 ) ラック取付 標準 ( 同梱 ) ブラケット ( 耳 ) ブラケット ( 耳 ) レールキット オプション - レールキット ASK-RAILKIT-040-SL - 1 TH1040SのSFP+ ポートには1000Base-T SFPを搭載することはできません 2 TH3040SのSFP+ ポートには1000Base-LX/SX SFPを搭載することはできません 1000Base-T SFPの搭載は可能ですが 正常時であってもLink LEDは点灯しません 16
お問い合わせ 株式会社富士通ソーシアルサイエンスラボラトリ ( 富士通 SSL) http://www.fujitsu.com/jp/group/ssl/ E-mail:ssl-info@cs.jp.fujitsu.com 17