本日(7月24日)は、過去3か月の開発が完了し、 NGINX Plus Release 4(R4)がリリースされた日です。
NGINX Plus R4 は、オープンソース ブランチで最近リリースされた機能と、多数の商用専用機能を統合し、完全にテストされ、サポートされているリリースです。
アップストリームの証明書検証と SNI サポートにより、信頼できない環境での API 呼び出しと負荷分散されたトラフィックのセキュリティが向上します。 外部パスフレーズ ストアにより、貴重な SSL 秘密キーのセキュリティが向上します。
エンドツーエンドのセキュリティは、特に複数の場所にまたがるアプリケーションを構築する場合に重要な懸念事項です。 内部トラフィックがオープンインターネット(またはパブリッククラウド内)を通過する場合、基本的な SSL だけでは、単純な中間者攻撃(MITM)から保護するには不十分です。 このリリースでは ( CloudFlareに感謝)アップストリーム サーバーの証明書検証が追加されているため、NGINX Plus が意図したサーバーと通信していることを確信できます。 また、アップストリームの SNI サポートも追加され、複雑なアップストリーム サービスを安全にスケールアウトできるようになります。
内部のセキュリティも同様に重要です。 多くのサイトでは、NGINX Plus の設定を一元的に保存していますが、SSL 秘密鍵を秘密に保つことに関して懸念が生じます。 秘密鍵を復号化するパスフレーズは適切な解決策ですが、これまでは非常に不便でした。
NGINX Plus を使用すると、各サーバーにローカルで、構成とは別の外部パスフレーズ ストアを使用できます。 これにより、構成が保存されているときや転送中にキーが保護され、承認されたサーバーだけがキーを復号化できるようになります。
NGINX Plus の負荷分散とキャッシュの最適化と新しい規律により、Web アプリケーションを配信するための非常に有能なフロントエンドが実現します。
リリース 4 では、既存のアルゴリズム (ラウンド ロビン、IP ハッシュ、最小接続) に新しい負荷分散アルゴリズムであるハッシュが追加されました。 ハッシュベースの負荷分散を使用すると、送信元 IP アドレスとポート、URL などのリクエスト パラメータの任意の組み合わせのハッシュ関数に基づいて、アップストリーム グループ全体にトラフィックを均等に分散できます。
ハッシュ
ディレクティブにオプションの一貫性
パラメータを有効にすると、ハッシュ メソッドが非常に便利になります。 これにより、一貫性のあるハッシュ負荷分散(memcached との相互運用性のためにketama負荷分散方式を使用)が可能になります。これは、キャッシュ サーバーと状態を蓄積するその他のアプリケーションの負荷分散を行うときに大きなメリットとなります。
一貫性のあるハッシュでは、ユーザーが指定したキーのハッシュ値に基づいて、リクエストがターゲット サーバー間で均等に共有されます。 サーバーが追加または削除された場合 (たとえば、障害が発生したため)、キャッシュ ミスを最小限に抑えるために、可能な限り最小限のハッシュ スペースが再分配されます。 均等に分散するために、NGINX Plus の ketama ベースの実装では、ハッシュ スペースでサーバーごとに 160 ポイントを使用します (上の図では 8 ポイントのみを示しています)。
リリース 4 では、既存のメカニズム (スティッキー ルートおよびスティッキー クッキー) に、新しいセッション アフィニティ メカニズムであるスティッキー ラーンも追加されています。 学習メカニズムは非常に柔軟です。 NGINX Plus は、各サーバーによって開始されたセッションを動的に学習し、クライアント要求内のセッション署名を識別する方法を知っています。 アップストリーム グループ内でリクエストをルーティングする方法を細かく制御する必要がある場合、この機能を使用する余地は広くあります。
最後に、キャッシュはアップストリーム サーバーの負荷を最小限に抑えるのにさらに効果的になりました。 キャッシュの再検証では、 ETag
とLast-Modified
タイムスタンプを使用して、コンテンツが変更されていないことを確認できます。
ログ記録と監視データをフィルタリングおよびドリルダウンするテクニックを使用して、必要な情報に集中します。
NGINX Plus は、access_log と独自のライブ アクティビティ監視機能を通じて、豊富なデータを生成します。 場合によっては、膨大な量のデータが手に負えなくなることがあります。特に、多数のサービスとユーザーを抱える忙しいサイトでは、データの収集、保存、分析にかかるコストが高すぎる可能性があります。
アクセス ログへの条件付きログ記録により、ログに記録される興味深い要求を定義し、それほど重要でない要求を無視することができます。 これは実行時の決定に非常に役立ちます。おそらく、5xx サーバー エラーを生成するリクエストをログに記録したいだけでしょう。 または、ローカル ネットワークからの要求を無視しますか? 外部のヘルスモニターによって生成される無駄なデータを削除したい場合もあります。 要件が何であれ、実行時にログエントリをフィルタリングして制限したい場合は、条件付きログ記録が最適です。
NGINX Plus の以前のリリースでは、拡張ステータス モジュールによって生成されたライブ アクティビティ監視データに対するリクエストは、現在のアクティビティと状態を説明する大量の内部データを返しました。 ただし、1 つのカウンター (たとえば、リクエスト数) を監視するだけの場合、またはアップストリーム内のノードのヘルス ステータスを取得するだけの場合は、ステータス データのセット全体を取得するのは非効率的です。 リリース 4 では、RESTful API を使用してデータのサブセットまたは単一の値をドリルダウンして取得できるため、監視がより効率的かつ軽量になります。
NGINX Plus R4 は、NGINX 1.7.3 リリースからのその他の最近の更新、修正、および新機能を継承し、 nginx-plus-luaおよびnginx-plus-extrasパッケージに含まれるサードパーティ モジュールは、Lua バージョン 0.9.10 および Passenger Open Source バージョン 4.0.45 を使用するように更新されました。
ベンダーがサポートするバージョンのオペレーティング システム ディストリビューションをサポートするというポリシーに従い、CentOS/RHEL 7 のサポートを追加し、Ubuntu 12.10、13.04、13.10 のサポートを終了しました。
リリース 4 の新機能と変更点の完全なリストについては、 NGINX Plus リリースページを参照してください。
NGINX Plus を実行している場合は、できるだけ早くリリース 4 にアップデートすることを強くお勧めします。 数多くの修正と改善が行われており、サポート チケットを発行する必要がある場合に、当社がサポートしやすくなります。 インストールとアップグレードの手順については、 NGINX Plus カスタマー ポータルをご覧ください。
NGINX Plus をまだお試しいただいていない方は、今すぐ30 日間の無料トライアルを開始して、NGINX Plus がアプリケーションのスケールアウトと配信にどのように役立つかをご確認ください。
「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。 利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。 以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"