ConnectControl - サーバのロードバランシング

重要-スケーラブルなプラットフォーム(MaestroとChassis)はこの機能をサポートしていません。 (既知の制限事項 MBS-10832)

ConnectControl は、Check Point Security Gateway またはクラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。を通過するトラフィックを、Check Point Security Gateway またはクラスタの背後にあるサーバに向けて分散させるためのチェック・ポイントソリューションです。

ConnectControlは、セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。やクラスタメンバのメモリやCPUの処理能力をより多く消費することはありません。

ConnectControlのパケットフロー

負荷分散されたサーバは、1つのVirtual IPアドレスで表されます。

SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。では、物理サーバのグループを表すLogical Server オブジェクトを定義します。

論理サーバは、負荷分散されたアプリケーションのサービス要求を受け取り、その要求を該当する物理サーバに転送します。

クライアントがConnectControlによって負荷分散されているアプリケーションへのアクセスを要求すると、その要求はセキュリティゲートウェイまたはクラスタを経由します。

項目

説明

1

クライアント要求-クライアントは、アプリケーションサーバの論理IPアドレス(論理サーバに割り当てられたアドレス)で接続を開始します。

2

インターネット- サービス依頼はインターネットを経由する。

3

Security Gateway- サービス要求は、Security Gateway上にあるLogical Serverの宛先パブリックIPアドレスに到着します。要求はルールベース閉じた 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。内の論理サーバルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。にマッチします。Security Gateway は Logical Server グループの内部 IP アドレスに要求を向ける。

4

論理サーバ- ConnectControl は、選択した負荷分散方法に基づいて、論理サーバ グループ内のどのサーバがリクエストに最適かを決定します。

- ConnectControl論理サーバへのサービスのトラフィックを許可するルールと、そのサーバグループが、それらのサービスのトラフィックを許可するアクセスコントロールポリシーのルールの前にあることを確認してください。

ConnectControlの設定

この手順では、お客様の環境にConnectControlをセットアップする手順を説明します。

  1. SmartConsoleで、Objectsメニュー > Object Explorerをクリックします(またはCtrl+Eを押します)。

  2. 負荷分散の対象となる各サーバに、Host オブジェクトを定義します。

    Object Explorer で、ツールバーからNew > Host をクリックします。

  3. Network Group オブジェクトを定義して、負荷分散される各サーバのすべてのHost オブジェクトを格納します。

    Object Explorer で、ツールバーからNew > Network Group をクリックします。

    1. グループ名を付ける(例:HTTP_Server_Group )。

    2. 各サーバのHost オブジェクトを追加します。

    ベストプラクティス- 29個以下のオブジェクトを追加することをお勧めします。

  4. Logical Server オブジェクトを定義します。

    1. Object Explorer で、ツールバーからNew > Network Object > More > Logical Server をクリックします。

    2. New Logical Server ウィンドウで、ConnectControl Logical Server の名前を入力します。

    3. クラスタ仮想 IP アドレス

      IPアドレスがパブリックIPアドレスであることを確認してください。

      負荷分散の対象となるすべてのトラフィックは、クラスタを経由する必要があります。

      割り当てられたIPアドレスがクラスタ仮想IPアドレスと同じサブネット上にある場合、このIPアドレスのManual ARPプロキシエントリも設定する必要があります。

      1. Menu >Global properties > NAT - Network Address Translationをクリックします。

      2. Merge manual proxy ARP configurationを選択します。

      3. OKをクリックします。。

      4. sk30197で説明したとおり、$FWDIR/conf/local.arpファイルを設定します。

      5. このクラスタ オブジェクトにアクセス コントロール ポリシーをインストールします。

    4. Server type を選択します。

      Logical serverオブジェクトを作成する際に、サーバの種類をHTTP またはOther に設定します。この区別は重要です。ConnectControlは、サーバの種類によって、クライアントへの接続を異なる方法で処理します。

      • HTTPサーバタイプは、HTTPリダイレクトを使用します。

        このタイプは、オフサイトのHTTPサーバとフォームベースのアプリケーションをサポートしますが、HTTPプロトコルのみで動作します。HTTP論理サーバは、多くのWebアプリケーションで必要とされる、すべてのHTTP接続セッションが1つのサーバに誘導されることを保証する。ConnectControlは、選択した負荷分散方法に基づいて、セキュリティゲートウェイの後ろまたはオフサイトにある正しい物理サーバを見つけます。セッション接続は、その1つのサーバに送られ続けます。

      • その他のサーバタイプは、NAT(アドレス変換)を使用して、グループ化されたサーバにトラフィックを送信します。

        HTTPを含むすべてのプロトコルに対応し、最も効果的に負荷を分散できるロジカルサーバです。サーバがSecurity GatewayによってNATされる必要があります。ConnectControlは、各サービスリクエストを仲介し、そのリクエストを取得するサーバを選択します。NATを利用して、受信パケットの宛先IPアドレスを変更するものです。リターン接続が開かれた場合、サーバとクライアントの間で自動的に接続が確立されます。パケットに含まれるサーバの送信元アドレスは、LogicalサーバのIPアドレスに変換されます。パケットが戻ってくると、Security Gatewayはパケットの元のアドレスをLogicalサーバのIPアドレスに変換する。

    5. Server group を選択します。

      先に定義したServer Group オブジェクトを選択します(または、新規にServer Group オブジェクトを定義します)。

      グループのメンバは、ホスト、セキュリティゲートウェイ、またはOSEデバイスである必要があります。

    6. Use persistent server mode 環境に合ったものを選んでください。

      この設定は、ConnectControlが最初に選択したサーバへのクライアントの接続を維持します。

      • Persistency by server は、複数のWebサーバで負荷分散された環境において、フォームなどのHTTPアプリケーションを利用する場合に有効です。ConnectControlは、HTTPクライアントを1つのサーバに誘導し、すべてのリクエストを処理します。これにより、異なるサーバがリクエストを受け持つ場合に発生するデータの損失がなく、クライアントはフォームに入力することができます。

      • Persistency by service は、サーバグループ内の複数のサービスをロードバランシングしている場合に有効です。例えば、HTTPとFTPの2つのサーバが稼働する冗長化環境において、ConnectControlはあるクライアントからのトラフィックを正しいサービスのサーバに誘導します。これにより、Persistency by server で起こりうる、1つのサーバへの高負荷を防ぐことができます。

      項目

      説明

      1

      HTTPとFTPの複数のクライアントからのリクエスト。

      2

      インターネット

      3

      セキュリティゲートウェイ。

      サービスリクエストは,Security Gateway上にあるLogical Serverの宛先パブリックIPアドレスに到着する.

      Security Gatewayは,要求をLogical Serverグループの内部IPアドレスに向ける。

      4

      FTPとHTTPのサービスを提供する2つのサーバを持つ論理サーバグループ。

      ConnectControlは、サーバ間の負荷分散を行います。

    7. Balance method 環境に合ったものを選んでください。

      ConnectControlは、これらの事前定義されたバランス方法の1つに従って、負荷分散されたサーバにネットワークトラフィックを分散させます。

      メソッド

      説明

      ランダム

      セキュリティゲートウェイは、サービス要求をランダムにサーバに指示する。

      この方法は、すべてのロードバランスサーバが同じようなRAMとCPUを持ち、同じセグメントに配置されている場合に有効な選択です。

      サーバ負荷

      セキュリティゲートウェイは、新しい接続を処理するのに最適なサーバを判断する。

      ラウンドロビン

      セキュリティゲートウェイは、サービス要求を次のサーバに誘導する。

      この方法は、すべてのロードバランスサーバが同じようなRAMとCPUを持ち、同じセグメント上にある場合に有効な選択です。

      ラウンドトリップ

      対応していません。

      ドメイン

      対応していません。

    8. OKをクリックします。。

  5. オブジェクトエクスプローラーウィンドウを閉じます。

  6. 左側のナビゲーションパネルでSecurity Policiesをクリックし、Access Controlをクリックします。

  7. アクセスコントロールポリシールベースにロードバランシングルールを追加します。

    発信元

    宛先

    サービス&アプリケーション

    アクション

    *Any

    Logical Server object

    Load-balanced Services

    Accept
    or
    User Auth
    or
    Client Auth

  8. HTTPリダイレクトを使用するアプリケーションでは、ネットワークグループオブジェクト(ロードバランスサーバオブジェクトを含む)がクライアントと直接通信できるようにするルールを追加してください。

    発信元

    宛先

    サービス&アプリケーション

    アクション

    *Any

    Network Group object

    http

    Accept

  9. ConnectControlのグローバル設定を行います。

    1. 上部のMenu > Global propertiesをクリックします。

    2. 左側のツリーから、ConnectControl をクリックします。

    3. お客様の環境に合わせた設定を行います。

      • Server Availability

        ConnectControlが利用可能なサーバを見つける方法を設定します。

        • Server availability check interval は、Security Gatewayまたはクラスタから負荷分散されたサーバへのPingの間隔を秒数で制御します。

        • Server check retries は、ConnectControl が接続の指示を停止した後、応答しないサーバに接触する試行回数を制御します。

      • Server Persistency

        Persistency by server を有効にした場合、クライアントが1つのサーバを使用する際のタイムアウトを設定することができます。サーバが利用できなくなった場合、ConnectControlは新しい接続を、利用可能な新しいサーバに誘導します。これにより、パーシステンシーをバイパスし、ロードバランシングを最適化することができます。

      • Server Load Balancing

        対応していません。

    4. OKをクリックします。。

  10. Security Gatewayまたはクラスタオブジェクトにアクセスコントロールポリシーをインストールします。