ホワイト ペーパー

ソフトウェア定義型のハードウェア:BIG-IP iSeriesアーキテクチャでパフォーマンスと俊敏性を実現

Updated November 11, 2016
  • Share via AddThis

はじめに

市場動向は最悪の状況にあり、アプリケーションとITの環境も変化しています。モバイル、ストリーミング メディア、モノのインターネット(IoT)、デジタル トランスフォーメーションがあらゆる業界に影響を与えているため、トラフィックの増加は衰えることを知りません。アプリケーション数の増加に伴い、俊敏性と迅速な導入を求める企業のニーズに応えるため、クラウドの採用が加速しています。アプリケーションを含めインターネットに接続されたすべてのものの増加に伴い、データ漏洩や重要なビジネス データおよび個人情報の盗難など、セキュリティ上の脅威が発生しています。その結果、転送中のすべてのデータが暗号化されるようになり、SSLトラフィックはこの1年で全トラフィックの29%から倍増して64%になりました。最終的にはマイクロサービスやDevOpsなど、新しいアプリケーション アーキテクチャとアジャイル開発モデルが登場し始めています。

このように急速に変化するIT環境は、企業に大きな課題を突きつけています。例えば、アプリケーションと関連サービスをどのようにしてコスト効率よくスケーリングするか、プライベート クラウドの導入に伴う複雑さにどのように対処するか、ハイブリッド環境でアプリケーションやデータをどのように保護するかといった課題があります。アーキテクチャに製品を追加すれば問題の一部は解消されますが、これでは製品が無秩序に増え、TCOの増加や新たな攻撃対象を生み出してしまいます。

このような課題を解決するためには、DevOpsのような俊敏性を備え、新旧両方のアプリケーションに必要なスケーリング、セキュリティの多層化、投資保護を実現する、クラウドに対応した次世代のアプリケーション デリバリ コントローラ(ADC)プラットフォームが必要です。F5® BIG-IP® iSeriesは、これらの課題に対処するために特別に設計された次世代のADCファミリです。この高性能でプログラム可能なADCは、以下のことが可能です。

  • 爆発的に増加するクライアントとサーバーのトラフィックに対応するために、アプリケーション デリバリとセキュリティのさまざまなメトリクスにおいて最大限のパフォーマンスと価格性能比を実現します。
  • コモディティ ハードウェア上で動作するソフトウェアベースの製品よりも優れたパフォーマンスを発揮します。
  • すべてのトラフィックを暗号化することで発生するSSL/TLSインフラストラクチャの膨大な負荷を克服することができます。楕円曲線暗号(ECC)や前方秘匿性(FS)などの暗号/鍵交換処理をオフロードして高速化することでこれを実現します。
  • プライベート クラウドの2層アーキテクチャでコスト効率の高いエッジ共有サービスを提供します。
  • パフォーマンスの最適化やソフトウェアのアップデートをユーザーが選択できることでハードウェアを別の目的に再利用できるため、アプリケーション インフラストラクチャの将来性を確保します。このようにハードウェアを別の用途に再利用できることで、進化するビジネス ニーズに対応するためのインフラストラクチャの俊敏性を実現します。

iSeriesアプライアンスは、非常に拡張性が高く低遅延のアプリケーション プロキシであり、レイヤ4~7のアプリケーション デリバリ サービスを提供するだけでなく、将来のアプリケーション デリバリのためのF5アーキテクチャ ビジョンの基盤でもあります。このファミリはCPU、メモリ、コプロセッシング コンポーネントの理想的な組み合わせで動作する専用ハードウェアおよびソフトウェアの能力と柔軟性を最適化する一方で、革新的なハードウェアの最適化により比類のないパフォーマンスと拡張性を実現します。

BIG-IP iSeriesのイノベーション

iSeriesには独自のハードウェア最適化によるいくつかの新機能が搭載されており、それらの機能はプライベート クラウド アーキテクチャへの移行、重要なデータの保護、アプリケーション サービスの統合など、企業のITに対する要望の変化に対応できるように統合されています。

再プログラム可能なパフォーマンス プロファイル

「同じコストで比べると集積回路のトランジスタの数は毎年2倍になっている」というGordon Moore氏の有名な言葉があります(後に「2年で2倍」に修正されました)。その後、ムーアの法則と呼ばれるようになりましたが、この法則は非常に正確な予測であったため、CPUの速度、メモリの速度、ネットワークの速度、ディスク ドライブの記憶密度など、コンピューティングの他の側面にも拡張されました。トランジスタの数やCPUの速度がこのまま倍になっていっても、この傾向が永遠に続くことはないと業界の誰もが知っていましたが、それでも速度と密度が規則的に向上していくことで、重要な機能をソフトウェアに実装することができました。

ソフトウェアとCPUでは必要なパフォーマンスが得られない機能には、特定のアプリケーションに特化した集積回路である特定用途向け集積回路(ASIC)で技術的に対応してきました。ASICを使用するとハードウェアの最大限の速度で特定の機能を実現できるというメリットがあります。ASICはネットワーク カード、メモリ コントローラ、グラフィック プロセッサ、暗号化など、パフォーマンスが重視されるコンピューティング分野で使用されました。ASICは可能な最大限の速度で処理を行うことができますが、その機能はチップに設計されているものに限られます。アプリケーションでASICにない機能が必要な場合、アプリケーションは代わりにCPUを使用し、ソフトウェアでタスクを実行する必要がありました。

現在ではCPUの速度がそれほど短期間で倍になることはありません。CPUは柔軟だが遅く、ASICは柔軟ではないが速いとすると、その中間に位置する第3のテクノロジがフィールドプログラマブル ゲート アレイ(FPGA)です。FPGAはASICより遅いですがCPUよりはるかに高速で、FPGAの設計者が想定していなかったタスクもプログラムして実行することができます。

CPU、ASIC、およびFPGA
図1:CPU、ASIC、およびFPGA

iSeriesに搭載されているFPGAテクノロジにより、ネットワークとアプリケーションのトラフィック処理をFPGAシリコンにオフロードすることができます。これによりCPUリソースが解放され、より柔軟性を必要とするより複雑な他のタスクに使用することができます。FPGAの利点として以下があります。

  • プラットフォームの役割に合わせてオフロード機能を調整できる。
  • 再プログラムすることで、ソフトウェアの柔軟性を高めることができる。

バランスの取れたアプローチでASICとFPGAの両方の利点を活かすことができます。

BIG-IP iSeriesアーキテクチャでFPGAテクノロジを利用
図2:BIG-IP iSeriesシステム アーキテクチャにおけるFPGAテクノロジの利用方法

FPGAはアプライアンスを通過するトラフィックの中心に位置してトラフィックを検査し、重要なトラフィックの管理上の決定を行い、プロトコルやセキュリティの処理をオフロードします。FPGAは以下の機能を実現します。

  • トラフィックの集約と分離を行い、適切なCPUにトラフィックを誘導。(この機能について詳しくはこちら。)
  • SSL/TLSを処理するため適切な暗号化ハードウェアにトラフィックを誘導。
  • 適切なトラフィックが圧縮ハードウェアに送られていることを保証。
  • より大規模な攻撃(ソフトウェアのみの場合に比べて最大10倍)を阻止できるDDoS緩和対策。
  • クライアントのホワイトリスト、グレーリスト、ブラックリストを作成(シャニングとも呼ばれる)。
  • プライベート クラウドのトンネリング プロトコルのパフォーマンスを向上(トラフィック処理が最大50%向上)。
  • ハードウェアにより以下のL4ロード バランシングを強化。
    • UDPおよびTCP。
    • IPv4およびIPv6。
  • ネットワーク オーバーレイのカプセル化/脱カプセル化。

さらにFPGAは遅延を抑えてトラフィックに応答できるため、負荷がかかってもトラフィックが適切に処理され、一定のパフォーマンス レベルが維持されます。一方、CPUでは同じCPUリソースを他のソフトウェアと奪い合うためソフトウェアのパフォーマンスが変化する可能性があります。特にソフトウェアがトラフィックの誘導に使用されていて、DDoS攻撃やSSLネゴシエーション攻撃などの負荷がCPUにかかると、CPUとソフトウェアの応答性が下がり、攻撃に対処するADCの能力が低下します。一方、FPGAがトラフィックを誘導している場合は、CPUの負荷にかかわらず予測どおりの応答が行われます。

これらのトラフィック管理タスクはすべて、トラフィックが下流のコンポーネントでさらに処理される前に実行することができます。FPGAは検査と適切なコンポーネントへの転送を可能にし、ハードウェアの速度でのインテリジェントなトラフィック管理を実現します。

BIG-IP iSeriesのTurboFlex機能

FPGAテクノロジは前世代のADCにも搭載されていましたが、iSeriesではF5® TurboFlex™のパフォーマンス プロファイルを使用することで、パフォーマンスの最適化の数と種類、およびその選択方法が大幅に強化されています。

他のシステムでは、設計者はバランスを考えて機能セットを作成し、それらの機能にFPGAリソースを具体的に割り当てています。FPGAは静的に特定のタスクに割り当てられているため、リソースが追加されても異なるタスクに動的に割り当てることはできません。この方法は並列処理という意味では利点がありますが、柔軟性が犠牲になっています。

iSeriesでは、お客様が選択可能な複数のFPGAパフォーマンス プロファイルが導入されています。BIG-IPのGUI、コマンド ライン、またはAPI呼び出しで特定のTurboFlexパフォーマンス プロファイルを有効にすることで、お客様は要件を満たすようにFPGAのリソースを異なる方法で割り当てることも、追加のタスクをオフロードすることもできます。

例えば、プラットフォームの主なユース ケースがセキュリティ重視のエッジ デバイスである場合は、DDoS緩和対策、TCP処理、ホワイトリストの作成などの機能を優先します。またOpenStackを利用したクラウドで高度なアプリケーション デリバリ サービスを提供するデバイスでは、VXLANやGREのカプセル化などのネットワーク オーバーレイ処理を優先します。最適なパフォーマンス プロファイルを選択することで、ワークロードに対して可能な限り最善の方法でFPGAリソースが割り当てられます。

大量でも比較的シンプルなタスクをFPGAに移行することで、ワイヤ スピードでタスクを実行し、CPUの負荷を軽減して、システム全体のパフォーマンスを向上させることができます。TurboFlexプロファイルを変更することで、完全な機能を提供しながら、さまざまなユース ケースに合わせてパフォーマンスを最適化することができます。

今後数年間でさらに変化が起こることは間違いありません。インフラストラクチャは新しいプロトコルをサポートし、新しい脅威に対処し、新しいサービスを提供しなければなりません。「静的」や「変更不能」という言葉は将来を見据えたインフラストラクチャにはふさわしくありません。

iSeriesでは、BIG-IPソフトウェアのアップデートを介して、タスクのオフロードや機能が新しいTurboFlexパフォーマンス プロファイルの形でFPGAテクノロジに追加されます。これらが追加されることで新しい機能が提供され、新しいプラットフォームを調達する必要はありません。実際、iSeriesプラットフォームはアーキテクチャに合わせて進化し、その機能を制限するのではなく追加していきます。

新しいハードウェアSSL機能

SSL/TLSへの攻撃が進むなか、攻撃者に対抗するためには鍵長を長くする必要があります。鍵が長いほどより多くのコンピューティング能力が必要になりますが、前述したようにCPUの速度はもはやそれに見合うペースで進歩していません。SSL/TLS接続を管理する際のパフォーマンスの問題は、インターネットの一般的な使用量と保護されている接続の割合がどちらも増加していることでさらに悪化しています。一般的なトラフィックは増加しており、HTTP/2と、Google、Apple、Facebook、Microsoftなどの大規模Web企業による強力な導入により、そのトラフィックの多くが暗号化されています。

最近のCPUはTLSの鍵交換を問題なく処理しますが、これらのタスクをオフロードすることは、ハードウェアADCを考えると依然として理にかなっています。特に、より複雑な処理を必要とするWeb Application Firewalサービスなどの高レベルのタスクにCPUを利用する必要がある場合には有益です。さらに専用のハードウェアを使用すると、CPUと比較してハンドシェイクごとのコスト効率がより高くなります。

これはトラフィックを保護する新しい暗号スイートの需要を考えると特に顕著です。最近まで、鍵交換に使われる暗号は主にRSAでした。しかしRSAには重大な欠陥があります。暗号自体は安全ですが、秘密鍵が漏洩した場合、第三者がその秘密鍵を使ってその秘密鍵で暗号化された記録済みのトラフィックを再生することができてしまいます。

これには重大な意味があります。RSAで暗号化されたSSLトラフィックを記録した人は、その鍵が漏洩していれば、その後いつでもそれを再生することができます。人為的なミスやHeartbleedバグのようなソフトウェアの不具合により、無数の秘密鍵が漏洩しています。これらの鍵で暗号化されたトラフィックは、その鍵を持つ誰もが読むことができます。

この懸念から組織は、漏洩した秘密鍵を使用しても再生できないようにする前方秘匿性(FS)と呼ばれる概念に移行し始めています。Diffie-Hellman暗号は前方秘匿性を備えた最初の暗号として普及しましたが、ほとんどのソフトウェアで実装上の欠陥が指摘されています。より高度なDiffie-Hellman楕円曲線暗号(ECDHE)には、既知の脆弱性はありません。前方秘匿性への移行に伴い、ECDHE暗号スイートをサポートし、優先的に使用するサイトが増えています。

旧世代のハードウェアSSLアクセラレーション コンポーネントはECDHEをサポートしていないため、接続処理にソフトウェアとCPUのリソースが消費され、システムにさらに負荷がかかります。ECDHEの導入が進むにつれ、これらの接続をハードウェアで管理することがますます重要になっています。

F5は、最新世代の暗号アクセラレーション ハードウェアを搭載し、BIG-IPシステムに慎重に統合することで、すべてのプラットフォームでECDHEのハードウェア オフロードを提供できるようにiSeriesを設計しました。これにより高負荷のTLS環境においても、既存の暗号をサポートするだけでなくECDHEのハードウェア アクセラレーションを提供することで、楕円曲線暗号(ECC)およびECDHE暗号スイートの迅速な導入が可能になります。

より多くのオブジェクトと接続のためにメモリを増加

インターネットのトラフィックは増加し続けています。実際、Ciscoは2016年のレポートで今後5年間でトラフィックが3倍に増加すると予測しています1。このトラフィック増加の一部は、消費者の接続性の向上とより豊かなWeb体験を実現するための本質的なものです。また、「モノのインターネット」と呼ばれる接続デバイスの爆発的な増加が予測されており、これによるトラフィックの増加もあります。Gartnerは、2020年までに接続デバイスが200億台を超えると予測しています。このようなデバイスの増加に伴い、インフラストラクチャがサポートしなければならない接続数も増加します。クライアントあたりの接続数が少ないHTTP/2を採用することで並行して緩和されることも考えられますが、フロント エンドの接続数が大幅に増加することは間違いありません。

同時にアプリケーション アーキテクチャは、一体型アーキテクチャから、複数のサービスを疎結合したシステムへと移行しつつあります。サービス間のトラフィック(東西方向のトラフィック)の管理には、クライアント アプリケーションのトラフィック(南北方向のトラフィック)と同様の管理およびセキュリティ サービスが必要になります。これもまた、管理する接続数の大幅な増加につながります。

iSeriesはメモリ プロビジョニングの増加と接続処理の効率化により、従来の製品と比べて最大2倍の接続数をサポートするように設計されています。これにより、新世代の接続デバイスやアプリケーションで生じるトラフィックを管理して保護するための能力と拡張性を提供します。

広範なビジョンの一部

iSeriesは将来に向けたF5のアーキテクチャ ビジョンの中心的な役割を担っています。iSeriesの新しいハードウェア機能により、iSeriesは多くのユース ケースや状況に即した理想的なプラットフォームとなり、F5のエコシステムの他の部分と統合されることで、BIG-IPアプライアンスの導入、統合、管理が俊敏になり、運用効率も向上します。

まとめ

iSeriesは次世代のADCであり、お客様が急速に変化する環境がもたらす課題に対応するための重要な革新的技術を備えています。iSeriesはその容量が大幅に増加しただけでなく、専用ハードウェアの能力とプログラム可能でアップデート可能なプラットフォームの柔軟性を兼ね備えています。CPU上のソフトウェアと最新のASICおよびFPGAテクノロジを慎重に統合することで、iSeriesデバイスは、最大のパフォーマンスと投資保護、そして複数のアプリケーションおよびセキュリティ サービスを統合プラットフォームに一体化するための柔軟性を提供します。

特にトラフィック パスの早い段階にFPGAを配置することで、CPUをまったく使わずに想定内の遅延でトラフィックを検査して適切なコンポーネントに転送することができます。再プログラム可能なTurboFlexパフォーマンス プロファイルにより、セキュリティ重視のエッジではDDoS緩和対策やTCPホワイトリスト作成、クラウドではネットワーク オーバーレイ処理など、特定の用途に合わせてFPGAを調整することができます。

ソフトウェアとTurboFlexパフォーマンス プロファイルがどちらもプログラム可能であるため、iSeriesは現在のニーズに加え将来の予想外のニーズにも対応することができます。ECDHEなどの暗号スイートのハードウェア アクセラレーションをサポートし、今後数年間で爆発的に増加する接続数にも対応できることで、iSeriesは次世代のデータ センタとプライベート クラウド アーキテクチャの中心となります。また、F5の幅広いアーキテクチャに統合することで、トラフィック処理の速度に合わせてサービスを導入することができます。

iSeriesはアプリケーション デリバリ コントローラの進化を飛躍的に向上させます。

1 Cisco Visual Networking Index:「予測と方法論」、2015年~2020年。2016年6月1日更新。