Citrix ADC

アプリケーションスイッチングおよびトラフィック管理機能

次に、アプリケーションスイッチング機能とトラフィック管理機能を示します。

SSLオフロード

WebサーバーからSSL暗号化および解読を透過的にオフロードして、コンテンツ要求の処理用にサーバーのリソースを解放します。SSLはアプリケーションのパフォーマンスにとって大きな負担となり、多くの最適化方法が無効になることがあります。SSLオフロードおよびSSLアクセラレーションでは、Citrix Request Switching技術のすべての利点をSSLトラフィックに適用できるため、エンドユーザーのパフォーマンスを低下させることなく、Webアプリケーションのセキュリティ保護されたデリバリを実現できます。

詳しくは、「SSLオフロードおよびSSLアクセラレーション」を参照してください。

アクセス制御リスト

着信パケットとアクセス制御リスト(ACL:Access Control List)を比較します。パケットがACL規則と一致した場合は、規則で指定されたアクションがパケットに適用されます。一致しない場合は、デフォルトアクション(ALLOW)が適用され、パケットは通常どおりに処理されます。アプライアンスが着信パケットとACLを比較されるようにするには、ACLを適用する必要があります。すべてのACLはデフォルトで有効になっていますが、Citrix ADCアプライアンスが着信パケットとを比較するには、ACLを適用する必要があります。ルックアップテーブルに含める必要がなくても保持すべきACLがある場合は、それを無効にしてからACLを適用する必要があります。ADC アプライアンスは、着信パケットを無効にした ACL と比較しません。

詳しくは、「アクセス制御リスト」を参照してください。

負荷分散

負荷分散の決定は、ラウンドロビン、最小接続数、加重最小帯域幅、加重最小パケット数、最小応答時間、およびURL、ドメインソースIP、宛先IPに基づくハッシュなど、さまざまなアルゴリズムに基づいて行われます。TCPプロトコルとUDPプロトコルの両方がサポートされるため、Citrix ADCアプライアンスは、これらのプロトコルを基盤となるキャリアとして使用するすべてのトラフィック(HTTP、HTTPS、UDP、DNS、NNTP、一般的なファイアウォールトラフィックなど)を負荷分散できます。さらに、ADCアプライアンスは、ソースIP、クッキー、サーバ、グループ、またはSSLセッションに基づいてセッションの永続性を維持できます。サーバー、キャッシュ、ファイアウォール、およびそのほかのインフラストラクチャデバイスが正常に動作して適切なコンテンツがユーザーに提供されるように、カスタムのExtended Content Verification(ECV)を適用できます。また、ping、TCP、またはHTTP URLを使用してヘルスチェックを実行したり、Perlスクリプトによるモニターを作成したりできます。 大規模なWAN最適化を提供するために、データセンターに展開されたCloudBridgeアプライアンスは、Citrix ADCアプライアンスを介して負荷分散することができます。これにより、帯域幅と同時セッションの数を大幅に改善できます。

詳しくは、「負荷分散」を参照してください。

トラフィックドメイン

トラフィックドメインは、単一のCitrix ADCアプライアンス内に論理ADCパーティションを作成する方法を提供します。トラフィックドメインを使用すると、異なるアプリケーション用にネットワークトラフィックを分離できます。トラフィックドメインを使用すると、リソース間のやり取りが行われない分離環境を複数作成できます。特定のトラフィックドメインに属しているアプリケーションは、そのドメイン内のエンティティおよびプロセストラフィックとのみ通信します。あるトラフィックドメインに属しているトラフィックは、別のトラフィックドメインの境界を越えることはできません。そのため、アドレスが同じドメイン内で重複していない限り、アプライアンスで重複するIPアドレスを使用できます。

詳しくは、「トラフィックドメイン」を参照してください。

ネットワークアドレス変換

ネットワークアドレス変換(NAT)では、Citrix ADCアプライアンスを通過するIPパケットの送信元または宛先のIPアドレス、TCP/UDPポート番号、あるいはその両方を変更する必要があります。アプライアンスでNATを有効にすると、データがCitrix ADCアプライアンスを通過するときにネットワークの送信元IPアドレスを変更することで、プライベートネットワークのセキュリティが強化され、インターネットなどのパブリックネットワークから保護されます。

Citrix ADCアプライアンスは、次の種類のネットワークアドレス変換をサポートしています。

INAT:インバウンドNAT(INAT)では、Citrix ADCアプライアンスで構成されたIPアドレス(通常はパブリック)がサーバーの代わりに接続要求をリッスンします。アプライアンスがパブリック IP アドレスで受信した要求パケットの場合、ADC は宛先 IP アドレスをサーバのプライベート IP アドレスに置き換えます。つまり、アプライアンスはクライアントとサーバー間のプロキシとして機能します。INAT構成にはINATルールが含まれます。INATルールは、Citrix ADCアプライアンス上のIPアドレスとサーバーのIPアドレスとの間に1対1の関係を定義します。

RNAT:リバースネットワークアドレス変換(RNAT)では、サーバーによって開始されたセッションの場合、Citrix ADCアプライアンスは、サーバーによって生成されたパケットの送信元IPアドレスをアプライアンスで構成されたIPアドレス(SNIPタイプ)に置き換えます。これにより、サーバーが生成したパケットでサーバーのIPアドレスがさらされるのを防止します。RNAT構成には、条件を指定するRNAT規則が含まれます。アプライアンスは、条件に一致するパケットに対してRNAT処理を実行します。

ステートレスNAT46変換:ステートレスNAT46は、Citrix ADCアプライアンス上でセッション情報を維持することなく、IPv4からIPv6へのパケット変換、またはその逆を介して、IPv4とIPv6ネットワーク間の通信を可能にします。ステートレスNAT46構成には、IPv4-IPv6 INAT規則とNAT46 IPv6プレフィックスが含まれます。

ステートフル NAT64 変換:ステートフル NAT64 機能を使用すると、Citrix ADC アプライアンスでセッション情報を維持しながら、IPv6 から IPv4 へのパケット変換、またはその逆によって IPv4 クライアントと IPv6 サーバー間の通信が可能になります。ステートレスNAT64構成には、NAT64規則とNAT64 IPv6プレフィックスが含まれます。

詳しくは、「ネットワークアドレス変換の設定」を参照してください。

マルチパスTCPのサポート

Citrix ADCアプライアンスは、マルチパスTCP(MPTCP)をサポートしています。MPTCPは、ホスト間で使用可能な複数のパスを識別および使用してTCPセッションを保持するTCP/IPプロトコル拡張機能です。TCPプロファイルでMPTCPを有効にして仮想サーバーにバインドする必要があります。MPTCPが有効な場合、仮想サーバーはMPTCPゲートウェイとして機能し、クライアントとのMPTCP接続を、サーバーとの間で保持しているTCP接続に変換します。

詳しくは、「MPTCP(マルチパスTCP)」を参照してください。

コンテンツ スイッチ

ポリシーを切り替えるコンテンツの構成に基づいて要求を送信するサーバーを決定します。ポリシールールは、IPアドレス、URL、HTTPヘッダーに基づいて設定できます。これにより、そのときのユーザー、使用されているエージェントの種類、ユーザーが要求したコンテンツなど、ユーザーとデバイスの特性に基づいて、スイッチを決定することができます。

詳しくは、「コンテンツ スイッチ」を参照してください。

広域サーバー負荷分散(Global Server Load Balancing:GSLB)

NetScalerのトラフィック管理機能を拡張して、分散インターネットサイトとグローバル企業に対応します。設置場所が、複数のネットワークの場所や1箇所の複数のクラスターに分散していても、NetScalerは可用性を維持し、それらの間でトラフィックを分散します。インテリジェントなDNS決定を行って、ダウンまたは過負荷状態のサイトにユーザーが割り当てられるのを防ぎます。近接ベースのGSLB方式が有効な場合、NetScalerは、さまざまなサイトからクライアントのローカルDNSサーバー(LDNS)までの距離に基づいて、負荷分散の決定を行うことができます。距離ベースのGSLB方式の最大の長所は、最も近い使用可能なサイトが選択されて、応答時間が短くなることです。

詳しくは、「グローバル サーバーの負荷分散」を参照してください。

動的ルーティング

ルーターが、隣接するルーターからトポロジ情報、ルート、およびIPアドレスを自動的に取得できるようにします。動的ルーティングが有効な場合、対応するルーティングプロセスはルート更新をリスンして、ルート情報を提供します。ルーティングプロセスはパッシブモードにすることもできます。ルーティングプロトコルを利用して、アップストリームルーターはEqual Cost Multipath手法を使用し、2台のスタンドアロンNetScaler装置にホスティングされた同一の仮想サーバーに、トラフィックを負荷分散することができます。

詳しくは、「ダイナミックルートの設定」を参照してください。

リンク負荷分散

複数のWANリンクを負荷分散して、リンクフェールオーバーを提供し、ネットワークのパフォーマンスをさらに最適化して、ビジネスの継続性を保証します。インテリジェントなトラフィック制御とヘルスチェックを行って、アップストリームルーター間で効率的にトラフィックを分散することにより、ネットワーク接続の高い可用性を維持します。ポリシーとネットワーク状態に基づいて、着信トラフィックと送信トラフィックの両方をルーティングする最適なWANリンクを特定し、高速な障害検出とフェールオーバーによって、WANやインターネットリンク障害からアプリケーションを保護します。

詳しくは、「リンク負荷分散」を参照してください。

TCP 最適化

TCPプロファイルを使用すると、TCPトラフィックを最適化できます。TCPプロファイルでは、NetScaler仮想サーバーによるTCPトラフィックの処理方法を定義します。管理者は、組み込みのTCPプロファイルを使用するか、カスタムプロファイルを作成することができます。TCPプロファイルを定義した後、そのプロファイルを1つまたは複数の仮想サーバーにバインドできます。

TCP プロファイルで有効にできる主な最適化機能には、次のようなものがあります。

  • TCP Keep-Alive - リンクが切断されるのを防ぐために、指定された間隔で通信先の動作状態をチェックします。
  • SACK(Selective Acknowledgment:選択的確認応答) - 特にLFN(Long Fat Network:広帯域高遅延ネットワーク)において伝送のパフォーマンスを向上させます。
  • TCPウィンドウスケーリング — LFN経由の効率的なデータ転送を可能にします。

TCP プロファイルの詳細については、TCP プロファイルの設定を参照してください。

CloudBridge Connector

Citrix OpenCloudフレームワークの基本機能であるCitrix NetScaler CloudBridge Connectorは、クラウド拡張型のデータセンターの構築に使用されるツールです。OpenCloud Bridgeを使用すると、ネットワークを再構成することなく、クラウド上の1つまたは複数のCitrix ADCアプライアンスまたはNetScaler 仮想アプライアンスをネットワークに接続できます。クラウドがホストするアプリケーションは、組織内の単一ネットワーク上で実行されているかのように動作します。OpenCloud Bridgeの主な目的は、企業がアプリケーションをクラウドに移行しながら、コストやアプライアンス障害のリスクを削減できるようにすることにあります。また、OpenCloud Bridgeは、クラウド環境のネットワークセキュリティを向上します。OpenCloudブリッジは、Citrix ADCアプライアンスまたはクラウドインスタンス上のNetScaler 仮想アプライアンスをLAN上のCitrix ADCアプライアンスまたはNetScaler仮想アプライアンスに接続するレイヤー2ネットワークブリッジです。接続は、GRE(Generic Routing Encapsulation)プロトコルを使用するトンネルを介して確立されます。GREプロトコルは、さまざまなネットワークプロトコルからのパケットをカプセル化し、別のプロトコル経由で転送するメカニズムを提供しています。IPSec(Internet Protocol Security:インターネットプロトコルセキュリティ)プロトコルは、OpenCloud Bridgeのピア間の通信を確保します。

詳しくは、「CloudBridge」を参照してください。

DataStream

NetScaler DataStream機能は、送信中のSQLクエリに基づいて要求を分散することで、データベース層で要求の割り振りを実行するインテリジェントなメカニズムを提供します。

データベースサーバーの前にNetScalerを導入すれば、アプリケーションサーバーまたはWebサーバーからのトラフィックを最適に分散することができます。管理者は、SQLクエリの情報と、データベース名、ユーザー名、文字セット、およびパケットサイズに基づいて、トラフィックをセグメント化できます。

負荷分散を構成して、負荷分散アルゴリズムに基づいて要求を割り振ることができます。または、ユーザー名、データベース名、コマンドパラメーターなどのSQLクエリパラメーターに基づくコンテンツスイッチを構成して、スイッチ条件を詳細に設定できます。さらに、モニターを構成してデータベースサーバーの状態を監視することもできます。

Citrix ADCアプライアンスの高度なポリシーインフラストラクチャには、要求の評価と処理に使用できる式が含まれています。高度な式により、MySQLデータベースサーバーに関連付けられたトラフィックが評価されます。高度なポリシーの要求ベースの式(MYSQL.CLIENTおよびMYSQL.REQで始まる式)を使用すると、コンテンツスイッチ仮想サーバーのバインドポイントで要求スイッチの意思決定を行うことが可能になり、応答ベースの式(MYSQL.RESで始まる式)を使用すると、ユーザー設定のヘルスモニターへのサーバー応答を評価することができます。

注:DataStream は、MySQL およびMS SQLデータベースでサポートされています。

詳しくは、「DataStream」を参照してください。

アプリケーションスイッチングおよびトラフィック管理機能