|
 |
今回の技術レポートでは、2007年4月に発表された、HP-UXの最新バージョンHP-UX 11i v3 ※1におけるHP IceWall SSOのパフォーマンスについてご紹介いたします。
今回、最新バージョンのHP-UX 11i v3 と Oracle Database 10g Release2 (以下、Oracle 10g R2) とを組み合わせた環境下で、HP IceWall SSO 8.0 R2のログインパフォーマンスの測定を行いました。測定の結果、最新のHP-UX 11iv3とHP IceWall SSOの組み合わせは、従来よりもさらに良好なパフォーマンスを提供できる事が確認されました。以降に検証の内容と結果を説明いたします。
※1 本トピックス記述時点では、HP IceWall SSO 8.0 R2 は正式に
HP-UX 11i v3上での動作をサポートしておりません。
正式な対応の時期は未定ですが、できるだけ早い時期を検討しております。 |
 |
 |
|
 |
 |
1.3 検証環境 |
 |
 |
 |
負荷ツールクライアント、認証サーバ、DBサーバの各マシン環境は以下の表のとおりです。
|
ハードウェア環境 |
ソフトウェア環境 |
負荷ツール
クライアント |
HP Proliant DL360G5
CPU: Dual Core Xeon 5160 3GHz x 2
MEM: 5GB
HDD: SAS 72GB 10krpm x 2 |
OS: Red Hat Enterprise Linux 4 Update 2
SW: 自社製負荷ツール |
認証サーバ |
HP Integrity rx3600
CPU: Dual Core Itanium2 1.6G/18M x 2
MEM: 4GB
HDD: SAS 72GB 10krpm x 3 |
OS: HP-UX 11i v3
SW: HP IceWall SSO 8.0 R2認証モジュールcertd |
DBサーバ |
HP Integrity rx6600
CPU: Dual Core Itanium2 1.6G/24M x 4
MEM: 16GB
HDD: SAS 72GB 10k rpm x 4 |
OS: HP-UX 11i v3
SW: Oracle 10g R2 (10.2.0.2) |
各ソフトウェアには以下の設定を行っています。
- HP-UX 11i v3
・パッチ PHKL_35936 をインストールします。
・Hyper Threading を有効にします。 (CPUリソース最大限に生かすため)
・カーネルパラメータに Oracle 10g R2の推奨値を設定します。
・DBサーバへHP-UXをインストールする際のコマンドに-ignoreSysPrereqsオプションを指定します。
- Oracle 10g R2 (10.2.0.2)
・パフォーマンス・チューニング
後述のCOMMIT_WRITEを除き、ほとんどチューニングせず、インストール直後のデフォルト状態の ままです。
- HP IceWall SSO
・最新バージョン 8.0 R2をインストールします。
・最高のパフォーマンスが得られるように、以下の認証サーバのパラメータを調整します。
- MAXREQTHREAD
- REQQUESIZE
- MAXDBCONNECT
- データベース
・表領域
デフォルトのUSERS表領域を使用します。
表領域とREDOログのファイル、および制御ファイルは、rx6600の内蔵 ハードディスク(SAS 72GB 10k rpm)に置かれています。
|
 |
1.4 検証シナリオ |
 |
 |
 |
検証は以下の2つのパターンで行いました。
- 認証DBサーバへはRead Onlyでアクセスを行い、40ユーザが同時にログインし続けるシナリオを負荷ツールが実行する。総ログイン数をログインにかかった総時間を割ることで、一秒当たりのログインの速度を割り出す。
- 認証DBサーバへは Read/Write でアクセスを行い、40ユーザが同時にログインし続けるシナリオを負荷ツールが実行する。OracleのパラメータCOMMIT_WRITEの値を変えて、それぞれの値について測定を行う。
※ COMMIT_WRITEパラメータについて
Oracle Database 10g R2から、COMMIT時におけるREDOログファイルへの書き込み制御するパラメータ COMMIT_WRITEがサポートされました。このパラメータがパフォーマンスに影響を及ぼすことが判明したため、このパラメータの値を変えて検証を行っています。
COMMIT_WRITEに設定できるパラメータの値は以下のとおりです。
- IMMEDIATE: コミット時にREDOログファイルへ書き込む。I/Oが発生する(デフォルト)
- BATCH: バッファリングされ、I/Oは発生しない。ログ・ライター・プロセスにより特定の時間内に
REDOログファイルへ書き込むことができる。
- WAIT: 書き込みが完了すると制御が戻る(デフォルト)
- NOWAIT: 書き込み完了を待たずにアプリケーションへ制御が戻る
|
 |
|
 |
 |
|
 |
 |
2.1 結果 |
 |
 |
 |
検証結果は以下のとおりです。
シナリオ |
DBアクセス |
COMMIT_WRITE設定 |
ログイン処理速度 |
1 |
Read Only |
- |
7060 ログイン/秒 |
2 |
Read/Write |
IMMEDIATE,WAIT |
1562 ログイン/秒 |
IMMEDIATE,NOWAIT |
3030 ログイン/秒 |
BATCH,NOWAIT |
3030 ログイン/秒 |
|
 |
2.2 考察 |
 |
 |
 |
認証DBへのアクセスがReadOnlyの場合、ログイン性能は1日あたり1億人分のログイン処理を可能にするレベルの性能であり、Webシングルサインオン・ソリューションとしては業界最高水準の値です。
認証DB へのRead/Write のアクセスにおいて、COMMIT_WRITE= IMMEDIATE, WAITの場合が一番遅い結果となりました。これは、COMMIT時のREDOログファイルへの書き込みで発生したディスクI/Oがボトルネックになっているためです。COMMIT_WRITE=BATCHの場合の結果と比較すれば一目瞭然です。
このボトルネックを解消するには、
- REDOログファイルを速いディスク装置に置くこと
- COMMIT_WRITE=IMMEIDIATE,NOWAIT、もしくは、BATCH,NOWAITでCOMMIT書き込みするように設定すること
が考えられます。
しかし速いディスク装置は大抵非常に高価ですし、COMMIT_WRITEの値をNOWAITにすると、もしもシステムがクラッシュした時にREDOログが失われるリスクがあります。
|
 |
|
 |
 |
|
 |
 |
今回HP-UX 11i v3、Oracle 10g R2、HP IceWall SSO 8.0 R2を組み合わせた構成におけるパフォーマンス検証結果を行いました。実際のシステムでは様々な要因により、必ずしも同じ結果が得られるわけではありませんが、新しいHP-UX 11i v3の効果とHP IceWall SSOのパフォーマンスをどこまで引き出す事が可能かを検証する事ができました。
今回の検証結果は、本製品がシングルサインオン製品としての活用範囲を広げ、一般生活者が利用するような非常に大規模なシステムのログイン処理にも十分に耐えうること証明といえます。
|
 |
2007.5.25 日本ヒューレット・パッカード コンサルティング・インテグレーション統括本部 セキュリティスペシャリスト CISSP-ISSJP 藤波 勉 |
 |
|