ConnectControl - サーバ負荷分散

重要 -スケーラブルなプラットフォーム(MaestroとChassis)はこの機能をサポートしていません。 (既知の制限 MBS-14173)。

ConnectControl は、Check Point Security ゲートウェイ または クラスタ を通過するトラフィックを、Check Point Security ゲートウェイ または クラスタ の背後にあるサーバに向けて分散するためのチェック・ポイント のソリューションです。

ConnectControlは、セキュリティゲートウェイやクラスタメンバでメモリやCPUの処理能力を消費しません。

コネクトコントロールのパケットフロー

負荷分散されたサーバは1つの仮想IPアドレスで表されます。

SmartConsole閉じた Check Point環境の管理に使用されるCheck Point GUIアプリケーション。セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなどを行う。 では、物理サーバのグループを表すLogical Serverオブジェクトを定義します。

論理サーバは、負荷分散されたアプリケーションのサービス要求を受け取り、その要求を該当する物理サーバに向けます。

クライアントがConnectControlによって負荷分散されているアプリケーションへのアクセスを要求すると、要求はセキュリティゲートウェイまたはクラスタを経由します。

項目

説明

1

クライアント要求 - クライアントは、アプリケーションサーバの論理IPアドレス(論理サーバに割り当てられたアドレス)で接続を開始します。

2

インターネット- サービス要求はインターネットを経由します。

3

セキュリティゲートウェイ- サービス要求は、セキュリティゲートウェイ上にある論理サーバの宛先パブリックIPアドレスに到着します。リクエストはルールベース内の論理サーバルールにマッチします。セキュリティゲートウェイは、リクエストを論理サーバグループの内部IPアドレスに向けます。

4

論理サーバ - ConnectControlは、選択された負荷分散方法に基づいて、論理サーバグループ内のどのサーバが要求に最適かを決定します。

- ConnectControl論理サーバおよびサーバグループへのサービスのトラフィックを許可するルールが、これらのサービスのトラフィックを許可するアクセス制御ポリシールールより前にあることを確認してください。

ConnectControlの設定

この手順では、お使いの環境でConnectControlを設定する手順を説明します。

  1. SmartConsoleで、Objectsメニュー > Object Explorerをクリックします(またはCtrl+Eを押す)。

  2. 負荷分散される各サーバについて、Hostオブジェクトを定義します。

    Object Explorerで、ツールバーからNew > Hostをクリックします。

  3. Network Groupオブジェクトを定義し、負荷分散される各サーバのすべてのHostオブジェクトを格納するコンテナ。

    Object Explorerで、ツールバーからNew >Network Group をクリックします。

    1. グループに名前を付けます(HTTP_Server_Groupなど)。

    2. 各サーバのHostオブジェクトを追加します。

    ベストプラクティス- 29個以下のオブジェクトを追加することをお勧めします。

  4. Logical Server オブジェクトを定義します。

    1. Object Explorerで、ツールバーからNew >Network Object >More >Logical Server をクリックします。

    2. New Logical Serverウィンドウで、ConnectControl 論理サーバの名前を入力します。

    3. 仮想IPアドレスを入力します。

      IPアドレスがパブリックIPアドレスであることを確認してください。

      負荷分散の対象となるすべてのトラフィックは、クラスタを経由する必要があります。

      割り当てられたIPアドレスがクラスタ仮想IPアドレスと同じサブネット上にある場合は、このIPアドレスにManual ARPプロキシエントリを設定する必要もあります。

      1. Menu >Global properties > NAT - Network Address Translationをクリックします。

      2. Merge manual proxy ARP configurationを選択します。

      3. クリックOK

      4. $FWDIR/conf/local.arpで説明されているように、sk30197ファイルを設定します。

      5. このクラスタ オブジェクトにアクセス コントロール ポリシーをインストールします。

    4. Server typeを選択します。

      Logical serverオブジェクトの作成時に、サーバタイプをHTTPまたはOtherに設定します。この区別は重要です。ConnectControlは、サーバの種類ごとにクライアントへの接続を異なる方法で処理します。

      • HTTPサーバタイプはHTTPリダイレクトを使用します。

        このタイプは、オフサイトのHTTPサーバやフォームベースのアプリケーションをサポートするが、HTTPプロトコルのみで動作します。HTTP論理サーバは、すべてのHTTP接続セッションが1つのサーバに向けられるようにします。ConnectControlは、選択された負荷分散方法に基づいて、セキュリティゲートウェイの背後またはオフサイトの適切な物理サーバを見つけます。セッション接続はその1つのサーバに送られ続けます。

      • その他のサーバタイプは、NAT(アドレス変換)を使ってグループ化されたサーバにトラフィックを送ります。

        このロジカルサーバは、すべてのプロトコル(HTTPを含む)をサポートし、最も効果的に負荷分散を行います。そのためには、サーバがセキュリティゲートウェイによってNATedされる必要があります。ConnectControlは、各サービスリクエストを仲介し、そのリクエストを取得するサーバを選択します。NATを使用して、受信パケットの宛先IPアドレスを変更します。リターンコネクションがオープンされると、サーバとクライアントの間で自動的にコネクションが確立されます。パケット内のサーバのソースアドレスは、論理サーバのIPアドレスに変換されます。パケットが戻ってくると、セキュリティゲートウェイはパケットの元のアドレスを論理サーバのIPアドレスに変換します。

    5. Server groupを選択します。

      先に定義したServer Group オブジェクトを選択します(または新しいServer Group オブジェクトを定義する)。

      グループのメンバは、ホスト、セキュリティゲートウェイ、またはOSデバイスでなければなりません。

    6. Use persistent server mode あなたの環境に合ったものを選んでください。

      重要- 現在論理サーバが1つしかない場合は、このオプションを無効にします。

      この設定は、ConnectControlが最初に選択したサーバへのクライアントの接続を維持します。

      • Persistency by serverは、複数のWebサーバで負荷分散された環境でのフォームなどのHTTPアプリケーションに有用です。ConnectControlは、HTTPクライアントをすべてのリクエストに対して1つのサーバに誘導します。これにより、異なるサーバがリクエストを受け持った場合に発生するデータ損失なしに、クライアントがフォームに入力できるようになる。

      • Persistency by serviceは、サーバグループで複数のサービスを負荷分散する場合に便利です。たとえば、HTTPとFTPをそれぞれ実行する2つのサーバの冗長環境では、ConnectControlは、1つのクライアントから正しいサービスのサーバにトラフィックを誘導します。これにより、Persistency by serverで起こりうる1つのサーバへの高負荷を防ぐことができます。

      項目

      説明

      1

      HTTPとFTPの複数のクライアントからのリクエスト。

      2

      インターネット

      3

      セキュリティゲートウェイ。

      サービスリクエストは、セキュリティゲートウェイ上の論理サーバの宛先パブリックIPアドレスに到着します。

      セキュリティゲートウェイは、リクエストを論理サーバグループの内部IPアドレスに向けます。

      4

      FTPとHTTPサービスを持つ2台のサーバを持つ論理サーバグループ。

      ConnectControlは、サーバ間の負荷分散を行います。

    7. ご使用の環境に合ったBalance method

      ConnectControlは、これらの事前定義されたバランシング方法の1つに従って、負荷分散されたサーバにネットワークトラフィックを分散します:

      方法

      説明

      ランダム

      セキュリティゲートウェイは、サービス要求をランダムにサーバに向けます。

      この方法は、すべての負荷分散サーバが同じようなRAMとCPUを持ち、同じセグメントに配置されている場合に適しています。

      サーバ負荷

      セキュリティゲートウェイは、どのサーバが新しい接続を処理するのに最も適しているかを判断します。

      ラウンドロビン

      セキュリティーゲートウェイは、サービスリクエストを次のサーバに誘導します。

      この方法は、すべての負荷分散サーバが同じようなRAMとCPUを持ち、同じセグメント上にある場合に適しています。

      ラウンドトリップ

      サポートされていません。

      ドメイン

      サポートされていません。

    8. クリックOK

  5. オブジェクトエクスプローラウィンドウを閉じます。

  6. 左のナビゲーションパネルから、セキュリティ ポリシーをクリックし、Access Controlをクリックします。

  7. 負荷分散ルールをアクセスコントロールルールベースに追加します:

    発信元

    宛先

    サービス&アプリケーション

    アクション

    *Any

    論理サーバオブジェクト

    負荷分散サービス

    Accept
    または
    User Auth
    または
    Client Auth

  8. HTTPリダイレクトを使用するアプリケーションでは、ネットワークグループオブジェクト(負荷分散サーバオブジェクトを含む)がクライアントと直接通信することを許可するルールを追加します:

    発信元

    宛先

    サービス&アプリケーション

    アクション

    *Any

    ネットワークグループオブジェクト

    http

    Accept

  9. ConnectControlのグローバル設定を行います。

    1. 上部で、Menu >Global properties をクリックします。

    2. 左側のツリーから、ConnectControl をクリックします。

    3. あなたの環境に合った設定をしてください:

      • Server Availability

        ConnectControlが利用可能なサーバを見つける方法を設定します。

        • Server availability check interval は、セキュリティゲートウェイまたはクラスタから負荷分散されたサーバへの ping 間の秒数を制御します。

        • Server check retries は、ConnectControl が接続をそのサーバに向けるのを停止した後、応答しないサーバに接触する試行回数を制御します。

      • Server Persistency

        Persistency by server を有効にすると、クライアントが1つのサーバを使用する際のタイムアウトを設定できます。サーバが利用できなくなった場合、ConnectControlは新しい接続を利用可能な新しいサーバに誘導します。これにより、永続性が回避され、ロードバランシングが最適化される。

      • Server Load Balancing

        サポートされていません。

    4. クリックOK

  10. Security Gatewayまたはクラスタオブジェクトにアクセスコントロールポリシーをインストールします。