スライド 1

日本

HP テクノロジーコンサルティング統括本部 ソリューションアーキテクト

久保 俊彦

目次

はじめに

１．

HP IceWall SSOとVMwareのユースケース

１．１ 基本構成の統合イメージ

１．２ 応用構成の統合イメージ

２． 動作検証

２．１ 基本構成の動作確認

２．２ 応用構成の動作確認

２．３ 動作検証まとめ

３． パフォーマンス検証

３．１

IceWallサーバー パフォーマンス測定

３．２ 認証サーバー パフォーマンス測定

３．３ パフォーマンス検証まとめ

おわりに

はじめに

近年のハードウェア性能向上と仮想化技術の進歩により、

OSを含めたシステ

ムを仮想化し１つのハードウェア上で複数稼動させるなど、仮想化サーバー

による運用が一般的に行なわれています。

HP IceWall SSOと仮想化ソフトウェアであるVMwareを組み合わせる事によ

り、サーバーハードウェアの統合と、

VMware機能による仮想OS単位でのリ

ソース配分と冗長化が可能になります。

この資料では、まず

HP IceWall SSOとVMware ESXの組み合わせ構成例を、

次に同構成での動作検証結果を、最後に同構成でのパフォーマンス測定結

果についてご紹介致します。

IceWallサーバーと認証サーバーの統合を考えてみます。

DMZネットワーク クライアント PC IceWallサーバー 認証サーバー お客様サーバー HP IceWall SSO FW IceWall認証 モジュール Apache HTTP Server IceWall フォワーダ RHEL HP ProLiant セキュアネットワーク HP IceWall SSO RHEL HP ProLiant サーバー サーバー

1.1 基本構成の統合イメージ

ネットワーク

そのまま同一サーバー

OSにIceWallサーバーと認証サーバーを載せるとDMZの問題が発生しま

す。

DMZネットワーク クライアント PC IceWallサーバー 認証サーバー お客様サーバー HP IceWall SSO FW サーバー IceWall認証 モジュール Apache HTTP Server IceWall フォワーダ RHEL HP ProLiant セキュアネットワーク

1.1 基本構成の統合イメージ

ネットワーク

仮想化DMZネットワーク クライアント PC 仮想化IceWallサーバー 仮想化認証サーバー お客様サーバー HP IceWall SSO FW

VMwareの仮想化環境により

ネットワークセキュリティを保ったままでのサーバー統合が可能です。

仮想化ホストサーバー IceWall認証 モジュール Apache HTTP Server IceWall フォワーダ RHEL HP ProLiant RHEL VMware ESX 仮想化セキュアネットワーク

1.1 基本構成の統合イメージ

ネットワーク

仮想化で複数

HP IceWall SSOシステムを統合すると

リソース有効活用と冗長性向上が両立できま

す。

システムA システムB システムC システムD

仮想化によるサーバー集約

物理マシン台数を削減（

8台→4台）

IWサーバー 1号機 IWサーバー 1号機 IWサーバー2号機 IWサーバー1号機 IWサーバー 2号機 IWサーバー2号機 IWサーバー2号機

物理マシン

物理マシン

物理マシン

物理マシン

IWサーバー 1号機

IceWallサーバーの仮想化（1）

1.2 応用構成の統合イメージ

IWサーバー

1号機 IWサーバー2号機 IWサーバー1号機 IWサーバー2号機

IWサーバー

IWサーバー

1号機 IWサーバー2号機 IWサーバー1号機 IWサーバー2号機 IWサーバー1号機 IWサーバー2号機 IWサーバー1号機 IWサーバー2号機

物理マシン

物理マシン

物理マシン

物理マシン

仮想化による自由な再配置

IWサーバー 1号機 IWサーバー2号機 IWサーバー2号機 IWサーバー 1号機 IWサーバー2号機 IWサーバー 1号機

物理マシン

物理マシン

物理マシン

物理マシン

H/W故障

負荷分散のための

仮想マシンの移動

H/W障害対応のための

_{仮想マシンの移動}

IWサーバー 2号機 IWサーバー 1号機 IWサーバー2号機 IWサーバー 1号機 IWサーバー2号機

IceWallサーバーの仮想化（2）

1.2 応用構成の統合イメージ

システムA システムB システムC システムD

仮想化によるサーバー集約

認証サーバー マスター 認証サーバー マスター 認証サーバー マスター 認証サーバー レプリカ 認証サーバー レプリカ 認証サーバー レプリカ 認証サーバー レプリカ

物理マシン

物理マシン

物理マシン

物理マシン

認証サーバー マスター

認証サーバーの仮想化（

1）

物理マシン台数を削減（

8台→4台）

1.2 応用構成の統合イメージ

認証サーバー マスター 認証サーバー レプリカ 認証サーバー マスター 認証サーバー レプリカ 認証サーバー マスター 認証サーバー レプリカ 認証サーバー マスター 認証サーバー レプリカ

認証サーバー マスター 認証サーバー マスター 認証サーバー マスター 認証サーバー マスター 認証サーバー レプリカ 認証サーバー レプリカ 認証サーバー レプリカ 認証サーバー レプリカ

物理マシン

物理マシン

物理マシン

物理マシン

仮想化による自由な再配置

認証サーバー マスター 認証サーバー レプリカ 認証サーバー レプリカ 認証サーバー マスター 認証サーバー レプリカ 認証サーバー マスター

物理マシン

物理マシン

物理マシン

物理マシン

H/W故障

負荷分散のための

仮想マシンの移動

H/W障害対応のための

_{仮想マシンの移動}

認証サーバー レプリカ 認証サーバー マスター 認証サーバー レプリカ 認証サーバー マスター 認証サーバー レプリカ

認証サーバーの仮想化（

2）

1.2 応用構成の統合イメージ

2. HP IceWall SSO + VMware 動作検証

動作検証環境

–

サーバーハードウェア

•

HP ProLiant BL460c G1 x 2台(vSphereによるクラスタ構成)

•

Intel(R) Xeon(R) CPU L5335 @ 2.00GHz 2P/8C

–

仮想化ソフトウェア

•

VMware vSphere Version 4.0

•

VMware ESX 4.0

–

ゲスト

OS

•

RedHat Enterprise Linux Version 5.4(x64)

–

HP IceWall SSOVersion 10.0

•

フォワーダ

(dfw)、認証モジュール(cert)

2.1 HP IceWall SSO+ VMware 基本構成検証

HP IceWall SSO基本動作検証

仮想化 IceWallサーバー 仮想化 認証サーバー 擬似バックエンド サーバー テスト クライアント

VMwareESX

検証項目 検証内容 検証結果

HP IceWall SSO基本動作 仮想化IceWallサーバー及び仮想化認証サーバー構成にてロ グイン / アクセスコントロール / ログアウトが正しく機能するこ と

問題ありません

データベース サーバー

2.1 HP IceWall SSO+ VMware 基本構成検証

HP IceWall SSO冗長機能検証

認証サーバーのマスタとレプリカを別々の物理マシンに配置。

※全ての機能について確認したわけでありません。構成上のご参考情報としてお取り扱い下さい。

検証項目 検証内容 検証結果 HP IceWall SSO冗長機能 仮想化認証サーバーの冗長機能が正しく機能すること ・レプリケーション機能 ・フェイルオーバー機能 問題ありません 仮想化 IceWallサーバー 仮想化マスタ 認証サーバー 擬似バックエンド サーバー テスト クライアント

VMwareESX

データベース サーバー 仮想化レプリカ 認証サーバー

VMwareESX

レプリケーション 通信フェイルオーバー

2.2 HP IceWall SSO + VMware 応用構成検証

VMwareHA動作検証

検証項目 検証内容 検証結果 VMwareHA VMwareHA機能により仮想化IceWallサーバー及び仮想化認 証サーバーの物理マシンを切り替えても認証・認可の動作が 継続出来ること 問題ありません 仮想化 IceWallサーバー 仮想化 認証サーバー 擬似バックエンド サーバー テスト クライアント

VMwareESX

vSphere

仮想化 認証サーバー

VMwareESX

仮想化 IceWallサーバー

VMware HA

© Copyright 2011 Hewlett-Packard Development Company, L.P. 15

2.2 HP IceWall SSO + VMware 応用構成検証

VMmotion動作検証

１台の物理マシンで

IceWallサーバーと認証サーバーを同一の仮想マシン上に配置。仮想マシンを別の物理

マシンに再配置。

※全ての機能について確認したわけでありません。構成上のご参考情報としてお取り扱い下さい。

検証項目 検証内容 検証結果

VMware VMotion VMotion機能により仮想化IceWallサーバー及び仮想化認証 サーバーの物理マシン再配置を行なっても認証・認可の動作 が継続出来ること 問題ありません 仮想化 IceWallサーバー 仮想化 認証サーバー 擬似バックエンド サーバー テスト クライアント

VMwareESX

vSphere

仮想化 認証サーバー

VMwareESX

仮想化 IceWallサーバー

VMotion

2.2 HP IceWall SSO + VMware 応用構成検証

VMware FT動作検証

検証項目 検証内容 検証結果

VMware Fault Tolerance VMware Fault Tolerance機能により仮想化IceWallサーバー 及び仮想化認証サーバーの物理マシンを切り替えても認証・ 認可の動作が継続出来ること 推奨致しません 仮想化 IceWallサーバー 仮想化 認証サーバー 擬似バックエンド サーバー テスト クライアント

VMwareESX

vSphere

仮想化 認証サーバー

VMwareESX

仮想化 IceWallサーバー

Fault Tolerance

2.2 HP IceWall SSO + VMware 応用構成検証

VMware Fault Tolerance と HP IceWall SSOにつきまして

・

IceWallサーバーは多量のネットワーク入出力を処理しますので、その特性

上

VMware Fault Tolerance構成には適しておりません

・認証サーバーは

HP IceWall SSO製品自体に冗長機能がありますので、代

替環境がホットスタンバイである必要がありません

・現状では

VMware Fault Tolerance推奨構成のハードルも高く、HP

IceWall SSO製品自体の冗長機能とVMware HAを組み合わせての

構成を推奨致します。

※全ての機能について確認したわけでありません。構成上のご参考情報としてお取り扱い下さ

い。

2.3 HP IceWall SSO + VMware 動作検証

まとめ

検証項目

検証内容

検証結果

HP IceWall SSO

基本動作

ゲスト

OS上でのHP IceWall SSO基本機能動

作

問題ありません

HP IceWall SSO

冗長機能

ゲスト

OSでの認証サーバーのレプリケーション

機能動作

問題ありません

VMware HA

HA機能による物理マシン切り替わりによるHP

_{IceWall SSOサービス継続}

問題ありません

VMware VMotion

VMotion機能による物理マシン再配置でのHP

_{IceWall SSOサービス継続}

問題ありません

VMware

FT機能による物理マシン切り替わりによるHP

_{推奨致しません}

3. HP IceWall SSO + VMware

パフォーマンス検証

パフォーマンス検証環境

–

サーバーハードウェア

•

HP ProLiant DL360 G6

•

Intel(R) Xeon(R) CPU X5550 @ 2.67GHz 2P/8C

–

仮想化ソフトウェア

•

VMware ESX 4.1

–

ゲスト

OS

•

RedHat Enterprise Linux Version 5.4(x64)

–

HP IceWall SSO Version 10.0

•

フォワーダ

(dfw)、認証モジュール(certd)

※パフォーマンスは計測条件と構成機器により大きく変わります。構成上のご参考情報としてお取り扱い下さ

い。

3.1 HP IceWall SSO + VMware IceWallサー

バー パフォーマンス検証

物理マシンでの基準値計測構成

IceWallサーバーと認証サーバーをそれぞれ別の物理マシン上に配置。

IceWall サーバー 認証 サーバー 擬似バックエンド サーバー 擬似クライアント 負荷サーバー データベース サーバー

物理マシン

物理マシン

3.1 HP IceWall SSO + VMware IceWallサー

バー パフォーマンス検証

仮想化環境での

IceWallサーバー計測結果

IceWallサーバーを仮想マシン上に配置。認証サーバーを別の物理マシン上に配置。

相対性能： 物理マシン比

-8%

※パフォーマンスは計測条件と構成機器により大きく変わります。構成上のご参考情報としてお取り扱い下さ

い。

仮想化 IceWallサーバー 認証 サーバー 擬似バックエンド サーバー 擬似クライアント 負荷サーバー データベース サーバー

VMwareESX

物理マシン

3.1 HP IceWall SSO + VMware IceWallサー

バー パフォーマンス検証

仮想化環境での

IceWallサーバー・認証サーバー計測結果

１台の物理マシンで

IceWallサーバーと認証サーバーをそれぞれ別の仮想マシン上に配置。

相対性能： 物理マシン比

-9%

仮想化 IceWallサーバー 仮想化 認証サー バー 擬似バックエンド サーバー 擬似クライアント 負荷サーバー データベース サーバー

VMwareESX

3.2 HP IceWall SSO + VMware IceWallサー

バー パフォーマンス検証

仮想化環境での複数

IceWallサーバー計測結果

１台の物理マシンで２つの

IceWallサーバーをそれぞれ別の仮想マシン上に配置。認証サーバーを別の物理

マシン上に配置。

相対性能： 物理マシン比

-23%

※パフォーマンスは計測条件と構成機器により大きく変わります。構成上のご参考情報としてお取り扱い下さ

い。

認証 サーバー 擬似バックエンド サーバー 擬似クライアント 負荷サーバー データベース サーバー

VMwareESX

物理マシン

仮想化 IceWallサーバー 仮想化 IceWallサーバー

3.2 HP IceWall SSO + VMware IceWallサー

バー パフォーマンス検証

仮想化環境での複数

IceWallサーバー・認証サーバー計測結果

１台の物理マシンで２つの

IceWallサーバーと１つの認証サーバーをそれぞれ別の仮想マシン上に配置。

相対性能： 物理マシン比

-24%

仮想化 認証サー バー 擬似バックエンド サーバー 擬似クライアント 負荷サーバー データベース サーバー

VMwareESX

仮想化 IceWallサーバー 仮想化 IceWallサーバー

3.3 HP IceWall SSO + VMware 認証サー

バー パフォーマンス検証

物理マシンでの基準値計測構成

認証サーバーを物理マシン上に配置。

認証サーバーのパフォーマンス検証については本構成の測定値を基準とします。

認証 サーバー 負荷ツール サーバー データベース サーバー

物理マシン

3.3 HP IceWall SSO + VMware 認証サー

バー

パフォーマンス検証

仮想化環境での認証サーバー計測結果

認証サーバーを仮想マシン上に配置。

相対性能： 物理マシン比較

-6%

※パフォーマンスは計測条件と構成機器により大きく変わります。構成上のご参考情報としてお取り扱い下さ

負荷ツール サーバー データベース サーバー 仮想化 認証サーバー

VMwareESX

3.4 HP IceWall SSO + VMware パフォーマン

ス検証まとめ

IceWallサーバー パフォーマンス計測結果まとめ

※パフォーマンスは計測条件と構成機器により大きく変わります。構成上のご参考情報としてお

取り扱い下さい。

サーバー構成

物理マシン性能比

IceWallサーバー

認証サーバー

物理マシン

物理マシン

（基準）

仮想マシン

物理マシン

-8%

仮想マシン

仮想マシン

-9%

仮想マシン

x 2

物理マシン

-23%

仮想マシン

x 2

仮想マシン

-24%

3.4 HP IceWall SSO + VMware パフォーマン

ス検証まとめ

認証サーバー パフォーマンス計測結果まとめ

※パフォーマンスは計測条件と構成機器により大きく変わります。構成上のご参考情報としてお

取り扱い下さい。

サーバー構成

物理マシン性能比

認証サーバー

物理マシン

（基準）

仮想マシン

-6%

おわりに

サーバーの仮想化はクラウド化と並び今後サーバー環境の主流になっていく

と思われます。是非ご検討ください。

ここで述べた内容な技術的観点に基づいて検証した結果を示したもので特定の仮想環境での動作や性能を保

証するものではありません。実際の構築に関しては、

HPまたはHPパートナーへご相談願います。

HP / VMware Joint ポータルサイト：

http://info.vmware.com/content/apac_jp_pt_hp_lp

VMware公式 ：

http://www.vmware.com/jp/

VMware for HP ProLiant ：