HP IceWall SSO

SSO製品はクライアントとアプリケーションの間のすべてのトラフィックに介在し、認証やアクセス制御を行なうため、SSO製品は大規模システムでは毎秒数千件にも及ぶトラフィックを処理できるスケーラビリティが要求されます。

SSOのパフォーマンススケーラービリティを実現するには、今ではWebサーバ負荷分散として一般的に広く普及している「ロードバランサ」と呼ばれるネットワーク製品の併用が非常に有効です。

また、メジャーなロードバランサメーカでは、単に負荷分散を行うネットワーク機器としての機能だけでなく、アプリケーションレベルのトラフィックコントロール技術を活かし、Webアプリケーションに効く様々な機能を実装しています。

今回はIcewallを用いたSSO環境で、問題となる2つのボトルネックに触れ、ロードバランサを活用したパフォーマンスの解決方法をご紹介いたします。

IceWall自体の超高速処理については、「パフォーマンス特集 SSO製品のスケーラビリティの考え方とHP IceWall SSOのアーキテクチャ」を併せてご覧下さい。

図1.SSO環境でのトラフィックパターン

この場合、アクセス量に応じて、リバースプロキシ、エージェントにもアクセス量に見合う処理能力が必要となります。このような状況で、柔軟にパフォーマンスを改善できるようSSOを設計するには、サーバ負荷分散装置として一般的に普及しているロードバランサと呼ばれるネットワーク製品が非常に有効です。
以降、HPでミッションクリティカルなお客様へ多数の導入実績がありコストパフォーマンスの高いRadware社のロードバランサWSD-Proを例にご紹介します。

図2のように、リバースプロキシもしくはエージェントの前段にWSD-Proを置く事によってサービスを止める事無く、リーバスプロキシもしくはエージェントの追加で柔軟に、パフォーマンスアップが可能です。
また、WSD-Proは、常にリバースプロキシ、エージェントの状態を管理し、Downしているサーバにはトラフィックを振らないため、耐障害性・メンテナンス性も向上します。

図2.ロードバランサによるSSOの構成

大半のお客様でこのような構成を取られているケースがほとんどですが、WSD-Proはこのようにサーバを単純に負荷分散するだけでなく、さらなる活用法があります。その活用法とは？
次にもう1つのボトルネックと、WSD-Proのさらなる活用によるパフォーマンス改善について紹介します。

図3.Webアプリケーションによるボトルネック

このような場合は、WSD-Proに同社のWebアクセラレータCertainT100を追加することにより比較的容易にパフォーマンス改善が可能です。
図4のようにCertainT100によって、大量のHTTPリクエストを束ね、1セッションでサーバにリクエストすることにより、サーバのCPU負荷を低減し、クライアント側にはHTTPコンテンツを圧縮して返すことによりレスポンスを上げることができます。
また多大なCPUリソースを消費するHTTPSの暗復号化処理もCertainT100で処理することができ、個々のサーバは本来のアプリケーション処理に専念できます。

そのためサーバの効率が上がり、サーバ追加時にも効率良くパフォーマンスUPにつながります。またWSD-ProはCertainT100自体も負荷分散可能ですので、CertainT100を並列に追加することにより、Webアクセラレーションを柔軟に増強することができます。
環境によって異なりますが、CertainT100を追加するだけで、Webアプリケーションのレスポンス1.5〜3倍程度の改善が期待できます。

図4.WebアクセラレータによるWebアプリケーションのボトルネック解消

このようにSSOの構成にWSD-Proを置くことにより、Icewallサーバによるボトルネック、Webアプリケーションの通信によるボトルネックに柔軟に対処可能な構成が実現できます。