HTTP

HTTP論理サーバ・タイプはHTTPサービスのみをサポートし、HTTPリダイレクトを使用してネッ トワーク・トラフィックを分散します。リダイレクト・メカニズムによって、HTTP接続を構成す るすべてのセッションは1台のサーバに送信されます。これは、HTTPベースのフォームなど、す べてのユーザ・データを1台のサーバで処理する必要がある多くのWebアプリケーションにとって 不可欠です。

HTTPリダイレクト・メカニズムは、ConnectControlの負荷分散方式と連携して機能します。最初の HTTP接続は、選択した負荷分散方式を基にして適切なサーバに送信されます。次にConnectControl は、論理サーバのIPアドレスではなく、選択された物理サーバのIPアドレスにその後の接続を送信 する必要があることをクライアントに通知します。 IPアドレスには、ファイアウォールの背後または オフサイトにあるサーバのIPアドレスを使用できます。 セッションの残りの処理はConnectControl の介入なしで実行され、すべての操作はエンド・ユーザに対して透過的です。

論理サーバは、ConnectControlによる負荷分散の結果に応じて、クライアントをファイアウォールの 背後にあるHTTPサーバまたはオフサイトのHTTPサーバに接続します（図 5-2）。

図 5-2 HTTP論理サーバのパケットの流れ

クライアントとサーバ間のその後のすべての通信は、ConnectControlの介入なしで実行されます。

Other

Otherタイプの論理サーバは、HTTPを含む、VPN-1によってサポートされるすべてのサービスで

使用できます。このタイプではNATを使用して、ネットワーク・トラフィックをグループ化された サーバに送信します。 ConnectControlは、クライアントがセッションを継続している場合でも各 サービス・リクエストを調停します。 Otherタイプの論理サーバを作成すると、ConnectControlに よって自動的にVPN-1のカーネル・テーブル内にエントリが格納され、接続が許可されます。

ConnectControlはリクエストを受け取るサーバを決定し、NATを使用して着信パケットの宛先IPア

ドレスを変更します。 戻りの接続が開かれた場合は、サーバとクライアントの間に自動的に接続が 確立され、パケット内のサーバの発信元アドレスが論理サーバのアドレスに変換されます。 図 5-3 は、ファイアウォール内のネットワーク・アドレス変換されるFTPサーバへの接続を示しています。

図 5-3 Otherタイプの論理サーバのパケットの流れ

パケットの返信では、ファイアウォールがパケットの元のアドレスを論理サーバのアドレスに変換 します。

Otherタイプの論理サーバを使用してHTTPサービス・リクエストを処理することもできます。

HTTPタイプとは異なり、クライアントとサーバの間の接続が確立されたあと、Otherタイプの論 理サーバでは接続は切断されません。ConnectControlはクライアントからの各HTTPサービス・リ クエストを処理し、1つのクライアントからの複数のサービス・リクエストは異なる複数のサーバ に送信されます。

論理サーバのタイプの検討

環境に適した実装方法を検討する場合、HTTPフォームの使用、サーバの場所、サーバにNATを使

用という3つの判断基準があります。 HTTPタイプは、オフサイトのHTTPサーバおよびフォーム・

ベースのアプリケーションをサポートしますが、HTTPプロトコルでのみ機能します。Otherタイ プは、すべてのプロトコルをサポートし、最も効果的に負荷分散を実現しますが、ゲートウェイで

永続サーバ・モード

永 続 サ ー バ・モ ー ド は、最 初 に 接 続 さ れ た サ ー バ へ の ク ラ イ ア ン ト の 接 続 を 維 持 す る ConnectControl機能です（詳細については、161ページの「永続サーバのタイムアウト」を参照し てください）。 この機能を使用する場合は、サーバごとの永続性またはサービスごとの永続性のいず れかを選択する必要があります。

サーバごとの永続性

サーバごとの永続性は、たとえば、3台のWebサーバで負荷分散を行う環境（図 5-4）において、

フォームのサポートなど特定のタイプのHTTPアプリケーションで便利です。［Persistency by server］を有効にすると、ConnectControlがHTTPクライアントを特定のサーバに接続し、そのク ライアントによる後続の各リクエストは同じサーバに送信されます。このモードを使用すると、ク ライアントがフォームに入力するときに、個別のサービス・リクエストが異なるサーバに配信され る場合に発生する可能性があるデータ損失が起こりません。フォームをサポートする場合は、

［Persistent server mode］（デフォルトの設定）と［Persistency by server］オプションを有効 にします。

サービスごとの永続性

サービスごとの永続性機能は、たとえば、それぞれHTTPとFTPを実行する2台のコンピュータか ら成る冗長な環境（図 5-4）において、サーバ・グループ内で複数のサービスを負荷分散する場合 に便利です。

図 5-4 サービスごとの永続性の例

サービスごとの永続性を使用すると、クライアントはHTTPサービスの場合はある1台のサーバに 接続され、FTPサービスの場合は別のサーバに接続されます。 これにより、サーバごとの永続性を 選択した場合に、大きな負荷がかかったサーバがロック状態になるのを防ぐことができます。

［Persistency by service］を利用すると、以前に負荷分散されたクライアントが別のサービスを 要求した場合、再び負荷分散の処理を行い、適切なサーバに接続させることができます。

永続サーバのタイムアウト

［Persistent server timeout］は、特定のサーバに一度接続されたクライアントがそのサーバに継 続的に接続される時間を設定します。サーバが使用不能になった場合は、永続サーバ・モードが有 効になっている場合でも、新しい接続は使用可能なサーバに送信されます。 サーバ間で最適な負荷 分散を行うには、［Persistent server mode］を無効にして、負荷分散方式に従ってすべてのアプ リケーションのトラフィックを分散します。［Persistent server timeout］は［Global Properties］

ウィンドウの［ConnectControl］ページで設定します。

サーバの可用性

論理サーバ・グループ内のサーバの可用性を確認するために、ConnectControlのさまざまなプロパ ティを設定できます。 サーバが継続的にアクティブであることを確認するためにモジュールでPing を 行 な う 頻 度 と、応 答 し な い サ ー バ へ の 接 続 を 試 行 す る 回 数（そ の 回 数 に 到 達 す る と、

ConnectControlはそのサーバへの接続を停止します）を定義できます。

これらの設定は、［Global Properties］ウィンドウの［ConnectControl］ページにあります。［Server availability check interval］オプションは、サーバに対してPingを実行する頻度を定義します。

［Server check retries］オプションは、応答しないサーバへの接続の試行回数を定義します。

負荷の測定

Server Loadの負荷分散方式は、グループ内の各サーバで負荷測定エージェントを実行する必要が

あるという点で独特です。 このエージェントは軽量であり、遅延やシステム・オーバヘッドがサー バで増加することはありません。このエージェントは、UDPプロトコルを使用して、負荷測定エー ジェントとConnectControlモジュールの間で通信を行います。

チェック・ポイントは、サーバにインストールするサンプルの負荷測定エージェント・アプリ ケーション、および独自のエージェントを作成する必要がある組織のための負荷測定アプリケー ション・プログラミング・インタフェース（API）を提供しています。

SecureKnowledge(https://support.checkpoint.com/login/login.jsp)から、使用するOS用の負荷エー ジェント・アプリケーションをダウンロードできます。ユーザ・センターの電子メールとパス ワードを使用してサインインし、SecureKnowledge ID 47.0.1569467.2530820を検索します。

［Global Properties］ウィンドウの［ConnectControl］ページで負荷測定エージェントのプロパ ティを設定できます。 ［Load agents port］プロパティで、負荷測定エージェントがVPN-1と通信 するために使用するポートを指定します。 設定内のすべての負荷測定エージェントが同じポート番 号を使用する必要があります。 ［Load measurement interval］プロパティは、エージェントが サーバの負荷に関する情報をファイアウォールに返す間隔を定義します（デフォルト値は20秒ご とです）。

Windowsサーバの場合は、load_agent_nt <port_number> <load_value>の構文を使用して負荷測 定エージェントを設定して有効にします。

バージョンNG以降のConnectControlによって使用されるデフォルトのポートは18212です。

load_valueの値は、0、1、2です。

• 0は1分間隔で負荷を測定します。

• 1は5分間隔で負荷を測定します。

• 2は15分間隔で負荷を測定します。

ConnectControl の設定

ConnectControlを設定するには、以下の手順に従います。

1. SmartDashboardで、ネットワーク・オブジェクト・ツリーの［Network Objects］を右ク

リックし、［New］>［Node］>［Host］を選択します。

2. 負荷分散対象のサーバを表すサーバ・オブジェクトを定義します。

3. グループ内に配置する各サーバについて手順2を繰り返します。

4. ［Network Objects］を右クリックし、［New］>［Group］>［Simple Group］を選択します。

5. グループに名前を付けます（たとえばHTTP_Server_Group）。

6. サーバ・オブジェクトを［Group Properties］ボックスのグループに追加します。29を超え る数の論理サーバをグループに追加しないことをお勧めします。

7. SmartDashboardで、ネットワーク・オブジェクト・ツリーの［Network Objects］を右ク

リックし、［New］>［Logical Server］を選択します。割り当てるIPアドレスがルーティン グ可能なIPアドレスであることを確認します。 負荷分散されるすべてのトラフィックがゲー トウェイ経由で送信される必要があります。

8. ［Server's Type］を選択します。

9. 手順4で作成したグループ・オブジェクトを［Servers Group］に追加します。

10. 永続サーバ・モードを有効にするには、［Persistency by service］または［Persistency by server］を選択します（デフォルト・モードは［Persistency by service］です）。

11.［Balance Method］として負荷分散方式を選択します。

12. 以下のルール（表 5-1）をルール・ベースに追加します。

13. HTTPリダイレクトを使用するアプリケーション（HTTPタイプの論理サーバ）に対しては、

セッションの開始後に物理サーバ・グループがクライアントと直接通信できるように2番目の ルールを追加します（表 5-2）。

表 5-1

SOURCE DESTINATION SERVICE ACTIOIN

Any Logical_Server [負荷分散する

サービス]

Acceptまたは User Authまたは Client Authまたは Session Auth

表 5-2

SOURCE DESTINATION SERVICE ACTION

Any HTTP_Server_Group http Accept