SSLのロードバランス

1浜崎あゆみNGNG
SSLの通信をロードバランスさせようとしていますが
IEではSSL-IDがセッション中に変化するので×
クッキーはブラウザでOFFにしたら×
結局、ソースアドレスでやってもProxyからでてくるものは一つのアドレスでまとめられてしまうので
同じサーバに負荷がかかってしまう・・・。
現在のテクノロジーではどのように解決してるのでしょうか?
教えてください。

108anonymous@softbank220031144017.bbtec.net2007/02/28(水) 01:12:13ID:cb2+emmN
一つの方法として考えているのは、BIG IP のHDにNFSでパーティションを作って
各ウェブサーバーからBIG IP内の証明書を取ってくるという形を考えてるんだが
それでうまくいくのかどうかは疑問かつ余計なトラフィックがロードバランサとウェブサーバー間で
発生するし、さすがに規約上無理がある気がしてる。

109anonymous@4.152.210.220.dy.bbexcite.jp2007/02/28(水) 01:52:53ID:???
>>107
BLADEとかLivedoorSSLが1枚でOKだったけどもう売ってない、、、

ほかに1枚でOKな証明書があればぜひ教えてほしい。

110anonymous@softbank221089248024.bbtec.net2007/03/08(木) 14:45:58ID:I1NSe9OC
SSLの関係者はここ見てる?
SSL今落ちてない?
SSL使う認証のところGooもほかのとこもだめなんだけど?
メールチェックもできない
さっさとなおしやがれ

111anonymous@p5178-ipbffx02funabasi.chiba.ocn.ne.jp2007/03/09(金) 23:09:33ID:???
じゃーいまごろ SSL(株) も大変だね。

112名無しさん@負荷分散2007/05/30(水) 20:45:34ID:4s9jM0qA
1のレス見て他のレスはまったく読んでないので回答でてたら申し訳ないけど
SSL通信を分散且つセッション維持の要件があるのなら、
SSLアクセラレータ付き負荷分散機orSSLアクセラレータ(単体)+負荷分散機(単体)を
買いなされ。
そして任意のセッションIDCookieに入れるか携帯端末含むならURLに埋め込んで
複合化通信を負荷分散機に読み込める形にして通信すればおk
SSLアクセラレータ付き負荷分散機なら高いけど、SSL通信を分散機で暗号化を複合化するから
setCookieだろうがhttpヘッダーだろうが装置内で消化できる

113?2007/05/31(木) 19:42:49ID:???
>>111
具体的な製品をあげてみてよ

114anon2007/08/07(火) 21:03:46ID:???
>>112は6年前の>>1のレスに回答してるな
ここまで間の開いたレスは初めて見た

115anonymous@FNAfb-08p4-226.ppp11.odn.ad.jp2007/08/17(金) 00:50:46ID:4WQvxILd
BIG-IPか旧Alteonだろうな。

単体のSSLアクセラレータってあんま使わないきが。

116aaa2007/09/17(月) 00:54:16ID:Z3gAw+wT
>>115
ArrayTMXってのはどう?
ご存知な方、利用実績のある方いる?

117名無しだよもん@カラアゲうまうま2007/12/23(日) 15:12:41ID:???
>>112の後者の構成でArrayTMX使ってるけど
ファームウェアの不具合が酷かった。

一度構成固めてあと触らないなら構わないかも。

118anonymous@softbank219200036086.bbtec.net2008/03/25(火) 21:36:55ID:???
たった2台のxSeriesの負荷分散用に
ServerIron4G売りつけるのはやめようよ。

lvs+heartbeatで仮想IP構成で十分だよ。
http://www.linuxvirtualserver.org/

119anonymous@softbank219200039066.bbtec.net2008/07/22(火) 11:10:50ID:???
FoundryはBrocadeに買収されることに同意しました。

120anonymous@118x240x100x162.ap118.gyao.ne.jp2008/07/31(木) 04:30:13ID:HHCQrCDx
array、foundry、alteon、radware、f5などで一番高いヤツにSSL付のがありんす。

セッション維持はSSLアクセラレーター付ロードバランサでやるか、アクセラレーターをロードバランサ
の前に付ける方法が一般的なんでしょうか?

L4ロードバランサでセッション維持機能の無いもの(バカバランサ)を使い、
サーバー間でセッションを複製するという方法を取ったほうが安くできるのではないかと思うのです。

121anonymous@softbank219019220034.bbtec.net2008/08/03(日) 10:30:22ID:xSp5Csh/
>>417
ホンダのミニバン
ていゆかていじゅうしん

122anonymous@eatkyo073134.adsl.ppp.infoweb.ne.jp2008/09/16(火) 00:56:32ID:mK2/4lG1
>>120
他は知らんが
f5は普通にセッション維持できるけど
SSL複合しなくても・・・

123_2008/09/17(水) 02:34:18ID:???
>>120
LBをSSL対応品にするか、LBの前段にSSLアクセラレータをいれるかしないと、負荷分散装置を通るときに
SSL暗号化を解除できない。そうすっと、パーシステンス/スティッキーの方式として事実上、SSL session ID
とソースIPくらいしか選べなくなるんじゃね。
SSL session ID方式は「一部ブラウザがSSL session IDを頻繁に再ネゴシエートする」って問題があったので、
個人的には避けたい。
現行バージョンのメジャーブラウザは問題ないはずだけど、未来を含めて絶対の保証はされないだろうし。

システム仕様で完全固定IPのみを相手にするという絶対的な保証があるなら、ソースID対応でなんとかなる。
ていうかそのほうが楽だ。

んで、サーバシステム側で「いつ別の物理サーバに振り分けられても問題ないような」構造にするのも手だ‥
ただし、アプリが状態の遷移を完全に把握して設計されていて、実装も問題なく、性能上の影響も一切生じず、
セキュリティ的な懸念もあり得ない、というのなら、だが。

個人的経験で言えば、その手の方法は動作試験以降が大変だ。
まれにアプリ的な動作が妙になったりで、「LBが悪いんだろう!てか頼むからそういって下さい!」と詰め寄ら
れたりとか。んでどこに問題があるのか切り分けが面倒だとか。(苦笑

個人的経験では、その手の案は「目先の小銭を節約する代わりに、実装と運用を無駄に複雑にする選択」と
言わざるを得ない。


「必要なのはサービスの可用性であり、トラフィック総量は少ないから負荷分散は不要」という要件でなら、
負荷分散を行わず、トラフィックの振り分け先は常に1台。主系サーバが落ちたら、トラフィックを副系サーバ
に振り分ける、みたいな設計もありだな。これならL4パーシステンスしかできないLBでもあまり問題ない。

124anonymous2008/09/19(金) 23:49:13ID:???
ウチはこれで、SSLアクセラレータとL7負荷分散を入れてます。
ttp://fenics.fujitsu.com/products/ipcom/products/lineup/ipcom_ex_lb.html

125anonymous2008/11/22(土) 18:54:43ID:???
もうBIG-IPなんて見たくもさわりたくもない

126anonymous2008/11/22(土) 18:59:42ID:???
じゃあ何ならいいんだよ

127anonymous2008/11/23(日) 12:44:42ID:???
Д10

128hoge2008/11/23(日) 19:18:00ID:???
>>125

何があったんですか…

129anonymous2008/11/24(月) 18:14:19ID:???
>>125
NEらしくL2SWとRでいいや
>>128
何があったというわけでもないけど
結構すぐ壊れるし
それにもう飽きたし
BIG一筋2年間・・・秋田

1301282008/11/30(日) 01:36:59ID:???
>>129

結構、壊れるんですね…F5
お付き合いのある代理店さんがやたらと勧めてくるので、
評価機でも借りようかと思っていたんですが…

1311292008/12/02(火) 00:08:03ID:???
>>130
まあ壊れてもまるごと交換だから
そんなに面倒ではないかもだけど

値段も高いし・・・
ただ、やれることは他機器に比べて多いらしい
iruleとか使いこなしたら柔軟性も抜群だし

あ、何オレあんな機械のこと庇ってんだろ・・・
こ、これが・・・愛?

132anonymous2008/12/02(火) 01:59:01ID:???
>>131
ただのストックホルム症候群です。

1331292008/12/03(水) 01:04:42ID:???
>>132
被害者なのに犯人に同情しちゃう気持ち?

普段は好きじゃないんだけど、
ケナサレルとなんかムカムカする的な?

ま、F5も悪いやつじゃないんで
考慮してやってね

134ぽんたろう2008/12/09(火) 16:28:17ID:ppR78r3I
URL REWRITE(再書込み)のセッション制御って、
バランサのセッション維持で対応できるのでしょうかぁ?

135anonymous@118x241x102x41.ap118.gyao.ne.jp2009/04/17(金) 10:40:58ID:fdh3PYbW
結論として、SSLロードバランスにはSSLロードバランサを購入する以外になさそうですね。

136A102009/06/05(金) 23:07:57ID:???
>>129
俺も疲れた。。。
トクに電源壊れ過ぎ。

137anonymous@05001014093382_mc2009/07/02(木) 22:13:32ID:U6uIwWk4
UltraMonkey-L7+SSL Proxyって実サービスに投入してる人いる?
経験談をぜひ聞きたい。

138あのにます2009/07/31(金) 11:55:41ID:gf+SyfBp
>>137
あれはそのパッケージだけでなく、周辺の連動パッケージもそれなりに理解してないと動かせないね。
でも幾つか解説本片手に構築すれば、1週間で投入可能なレベルに持っていけるよ。

139anonymous@z219.211-19-70.ppp.wakwak.ne.jp2010/02/27(土) 15:58:06ID:M1F3O0FC
>>136
ゴネたら電源タダで交換してくれたよ!

140anonymous@ZJ020197.ppp.dion.ne.jp2010/03/21(日) 19:04:29ID:NffwCBa0
光回線よりも速い通信プログラムができた。木下、瀬谷貴史、リナックス君が使って、知っている

141anonymous@ZJ020197.ppp.dion.ne.jp2010/03/21(日) 19:06:11ID:NffwCBa0
光回線よりも速い通信プログラムができた。木下、瀬谷貴史、リナックス君が使って、知っている。

142anonymous@ZJ020197.ppp.dion.ne.jp2010/03/21(日) 19:06:53ID:???
光回線よりも速い通信プログラムができた。木下、瀬谷貴史、リナックス君が使って、知っている。

143anonymous@softbank126102040102.bbtec.net2010/09/25(土) 14:35:38ID:???
ロードバランサとかL4-7スイッチ、ADCのスレはどこかにありますか?

144anonymous2010/09/25(土) 17:56:32ID:???
とりあえずここでいいんじゃね?

145anonymous@i118-19-80-116.s05.a014.ap.plala.or.jp2010/09/26(日) 17:09:13ID:???
>>144
やはりそうですか。ありがとうございました。

146 【46.5m】 電脳プリオン2012/05/26(土) 15:25:47.98ID:????PLT(12079)
TLSは?

147anonymous2013/09/12(木) 11:13:35.41ID:???
TLSは?

148anonymous2014/02/05(水) 09:18:05.44ID:???
はい?

149anonymous2014/04/27(日) 11:09:10.27ID:???
TLSは?

150anonymous2014/05/13(火) 16:52:07.63ID:???
ぬるぽ

151anonymous@KD111100180182.ppp-bb.dion.ne.jp2015/02/19(木) 21:37:36.08ID:1xhN9gZn
BIG-IPの勉強をしております
パーシステンスをSSLのsession IDにて行う場合の事について教えて下さい

SSLのセッションIDは暗号化されてしまっていると思うのですが
どのようにして判断しているのでしょうか?
そもそも暗号化されてしまっているという認識が間違っていますでしょうか?
vmを使いアパッチでHTTPS通信を行いwiresharkでキャプってみたのですが
複合しなければtcp通信としてしか確認出来ませんでした

ご存知の方がいらっしゃいましたらご教授ください

152anonymous@KD111100180182.ppp-bb.dion.ne.jp2015/03/22(日) 21:10:15.05ID:xaTBY1pK
BIG-IPのトライアル版でHA構成は組めるでしょうか?

153anonymous@KD106167143236.ppp-bb.dion.ne.jp2015/03/29(日) 19:04:25.69ID:???
>>151
素人ですまん
たぶん復号化してからバランシングしてんでね?

154ななし2015/07/19(日) 14:17:05.65ID:???
>>151
セッションIDは暗号化されてないよ

と太古の書き込みにレスしてみる。

155anonymous@KD111100180182.ppp-bb.dion.ne.jp2015/09/19(土) 17:33:33.69ID:???
>>153-154
有難うございます

あれから色々とSSL関連勉強しまして
セッションIDは暗号化されてない事もキャプって確認出来ました

156anonymous@111-90-59-171.koalanet.ne.jp2016/04/29(金) 02:28:41.89ID:dmyglX0e
BIG-IPのコンソール上,
[Local Traffic]に、[SSL Certificates]がない.v11になってGUIが変わったなんてことないよね.

157anonymous2016/04/30(土) 23:30:19.18ID:???
デバイス管理系の項目に移動してたと思うよ
Platfromとかの項目がある場所だったかな

158anonymous2016/05/02(月) 20:39:15.50ID:???
SystemのFile Managementとかその辺りに移動した

新着レスの表示
レスを投稿する