Jump to content 日本-日本語

ソフトウェア  >  セキュリティ

HP IceWall SSO

HP IceWall技術レポート:パフォーマンス特集2

IceWall ソフトウェア

認証技術開発センター・
認証コンサルティング
サポート
お客様事例
技術レポート
カタログ
お問い合わせ
IceWall製品サイト一覧
IceWall ソフトウェア
IceWall SSO
IceWall MFA
IceWall Federation
   
日本ヒューレット・パッカード メールニュース
サイトマップ
Webからのお問い合わせ、資料ダウンロードはこちら
※IceWall SSO は株式会社SCCとの共同開発製品です。
コンテンツに進む
IceWall+ロードバランサが実現するパフォーマンス
Icewall自体がボトルネックとなるケース
Webアプケーション自体がボトルネックとなるケース

技術レポート一覧へ戻る
企業アプリケーションのWeb対応化が進み、Webアプリケーション増え続ける昨今、SSO(シングルサインオン)設計を行う際には、既存のシステム状況のみならず、将来的なWebアプリケーションの増大やユーザ数の増加等を見越して、柔軟にパフォーマンスを改善できる様に設計しておく事が大変重要です。

SSO製品はクライアントとアプリケーションの間のすべてのトラフィックに介在し、認証やアクセス制御を行なうため、SSO製品は大規模システムでは毎秒数千件にも及ぶトラフィックを処理できるスケーラビリティが要求されます。

SSOのパフォーマンススケーラービリティを実現するには、今ではWebサーバ負荷分散として一般的に広く普及している「ロードバランサ」と呼ばれるネットワーク製品の併用が非常に有効です。

また、メジャーなロードバランサメーカでは、単に負荷分散を行うネットワーク機器としての機能だけでなく、アプリケーションレベルのトラフィックコントロール技術を活かし、Webアプリケーションに効く様々な機能を実装しています。

今回はIcewallを用いたSSO環境で、問題となる2つのボトルネックに触れ、ロードバランサを活用したパフォーマンスの解決方法をご紹介いたします。

IceWall自体の超高速処理については、「パフォーマンス特集 SSO製品のスケーラビリティの考え方とHP IceWall SSOのアーキテクチャ」を併せてご覧下さい。

Icewall自体がボトルネックとなるケース

Icewallで提供されるSSO方式は、アーキテクチャにより「リバースプロキシ型」と「エージェントモジュール型」がありますが、どちらの場合でも全てのトラフィックがリバースプロキシもしくはエージェントを通過します。

SSO環境でのトラフィックパターン
図1.SSO環境でのトラフィックパターン

この場合、アクセス量に応じて、リバースプロキシ、エージェントにもアクセス量に見合う処理能力が必要となります。このような状況で、柔軟にパフォーマンスを改善できるようSSOを設計するには、サーバ負荷分散装置として一般的に普及しているロードバランサと呼ばれるネットワーク製品が非常に有効です。
以降、HPでミッションクリティカルなお客様へ多数の導入実績がありコストパフォーマンスの高いRadware社のロードバランサWSD-Proを例にご紹介します。

図2のように、リバースプロキシもしくはエージェントの前段にWSD-Proを置く事によってサービスを止める事無く、リーバスプロキシもしくはエージェントの追加で柔軟に、パフォーマンスアップが可能です。
また、WSD-Proは、常にリバースプロキシ、エージェントの状態を管理し、Downしているサーバにはトラフィックを振らないため、耐障害性・メンテナンス性も向上します。

ロードバランサによるSSOの構成
図2.ロードバランサによるSSOの構成

大半のお客様でこのような構成を取られているケースがほとんどですが、WSD-Proはこのようにサーバを単純に負荷分散するだけでなく、さらなる活用法があります。その活用法とは?
次にもう1つのボトルネックと、WSD-Proのさらなる活用によるパフォーマンス改善について紹介します。

Webアプケーション自体がボトルネックとなるケース

SSO環境において、通常HTTPによる通信は、クライアントPCが1画面表示するにも細かく複数のHTTPリクエストが発生するため、Client/Server型のアプリケーションの通信に比べ、約10倍程度のトランザクションが発生すると言われています。
Webアプリケーションの増加、ユーザの増加に伴い、細かい大量のトランザクションが発生するとWebサーバにはCPU負荷がかかり、クライアント側もTCPのオーバーヘッドのため、高速回線であっても、なかなか思ったようなパフォーマンスがでない状況に陥るケースがあります。またHTTPSによる暗号化通信を行う場合、暗復号化にサーバの多大なCPUリソースを消費します。

Webアプリケーションによるボトルネック
図3.Webアプリケーションによるボトルネック

このような場合は、WSD-Proに同社のWebアクセラレータCertainT100を追加することにより比較的容易にパフォーマンス改善が可能です。
図4のようにCertainT100によって、大量のHTTPリクエストを束ね、1セッションでサーバにリクエストすることにより、サーバのCPU負荷を低減し、クライアント側にはHTTPコンテンツを圧縮して返すことによりレスポンスを上げることができます。
また多大なCPUリソースを消費するHTTPSの暗復号化処理もCertainT100で処理することができ、個々のサーバは本来のアプリケーション処理に専念できます。

そのためサーバの効率が上がり、サーバ追加時にも効率良くパフォーマンスUPにつながります。またWSD-ProはCertainT100自体も負荷分散可能ですので、CertainT100を並列に追加することにより、Webアクセラレーションを柔軟に増強することができます。
環境によって異なりますが、CertainT100を追加するだけで、Webアプリケーションのレスポンス1.5〜3倍程度の改善が期待できます。

WebアクセラレータによるWebアプリケーションのボトルネック解消
図4.WebアクセラレータによるWebアプリケーションのボトルネック解消

このようにSSOの構成にWSD-Proを置くことにより、Icewallサーバによるボトルネック、Webアプリケーションの通信によるボトルネックに柔軟に対処可能な構成が実現できます。

2005.09.28.
・ 日本ヒューレット・パッカード コンサルティング・インテグレーション統括本部 ソリューションプロダクト企画
  今井 正樹
●関連技術レポート
≫ パフォーマンス特集(1) SSO製品のスケーラビリティの考え方とHP IceWall SSOのアーキテクチャ
≫ パフォーマンス特集(2) IceWall+ロードバランサが実現するパフォーマンス(本トピックス)
≫ パフォーマンス特集(3) HP IceWall SSOのパフォーマンス調査方法
≫ パフォーマンス特集(4) 新しいパフォーマンスモニタリングツール(iwpm)のご紹介
≫ パフォーマンス特集(5) HP-UX 11i v3におけるHP IceWall SSOのパフォーマンス
≫ 技術レポート一覧へ戻る
このページのトップへ
印刷用画面へ印刷用画面へ
プライバシー ご利用条件・免責事項