ADC

アプリケーションスイッチングとトラフィック管理機能

以下は、アプリケーションスイッチングとトラフィック管理機能です。

SSLオフロード

WebサーバーからSSL暗号化および解読を透過的にオフロードして、コンテンツ要求の処理用にサーバーのリソースを解放します。SSLはアプリケーションのパフォーマンスにとって大きな負担となり、多くの最適化方法が無効になることがあります。SSLオフロードおよびSSLアクセラレーションでは、Citrix Request Switching技術のすべての利点をSSLトラフィックに適用できるため、エンドユーザーのパフォーマンスを低下させることなく、Webアプリケーションのセキュリティ保護されたデリバリを実現できます。

詳細については、 SSL オフロードとアクセラレーションを参照してください

アクセス制御リスト

着信パケットとアクセス制御リスト(ACL:Access Control List)を比較します。パケットがACL規則と一致した場合は、規則で指定されたアクションがパケットに適用されます。一致しない場合は、デフォルトアクション(ALLOW)が適用され、パケットは通常どおりに処理されます。アプライアンスが着信パケットとACLを比較されるようにするには、ACLを適用する必要があります。すべてのACLはデフォルトで有効になっていますが、NetScalerアプライアンスが着信パケットをACLと比較するためには、管理者がACLを適用する必要があります。ルックアップテーブルに含める必要がなくても保持すべきACLがある場合は、それを無効にしてからACLを適用する必要があります。ADCアプライアンスは、着信パケットを無効なACLと比較しません。

詳細については、 アクセス制御リストを参照してください

負荷分散

負荷分散の決定は、ラウンドロビン、最小接続数、加重最小帯域幅、加重最小パケット数、最小応答時間、およびURL、ドメインソースIP、宛先IPに基づくハッシュなど、さまざまなアルゴリズムに基づいて行われます。TCPとUDPプロトコルの両方がサポートされているので、これらのプロトコルに基づくすべてのトラフィック(たとえば、HTTP、HTTPS、UDP、DNS、FTP、NNTP、および一般的なファイアウォールトラフィック)を負荷分散することができます。また、ADCアプライアンスは、ソースIP、Cookie、サーバー、グループ、またはSSLセッションに基づくセッションパーシステンスを維持できます。サーバー、キャッシュ、ファイアウォール、およびそのほかのインフラストラクチャデバイスが正常に動作して適切なコンテンツがユーザーに提供されるように、カスタムのExtended Content Verification(ECV)を適用できます。また、ping、TCP、またはHTTP URLを使用してヘルスチェックを実行したり、Perlスクリプトによるモニターを作成したりできます。 高度なWAN最適化を提供するには、データセンターで展開されているCloudBridgeアプライアンスをNetScalerアプライアンスで負荷分散することができます。これにより、帯域幅と同時セッションの数を大幅に改善できます。

詳細については、「 負荷分散」を参照してください。

トラフィックドメイン

トラフィックドメインを使用すると、単一のNetScalerアプライアンス内にいくつかの論理ADCパーティションを作成できます。トラフィックドメインを使用すると、異なるアプリケーション用にネットワークトラフィックを分離できます。トラフィックドメインを使用すると、リソース間のやり取りが行われない分離環境を複数作成できます。特定のトラフィックドメインに属しているアプリケーションは、そのドメイン内のエンティティおよびプロセストラフィックとのみ通信します。あるトラフィックドメインに属しているトラフィックは、別のトラフィックドメインの境界を越えることはできません。そのため、アドレスが同じドメイン内で重複していない限り、アプライアンスで重複するIPアドレスを使用できます。

詳細については、「 トラフィックドメイン」を参照してください。

ネットワークアドレス変換

ネットワークアドレス変換(NAT)では、NetScalerアプライアンスを通過するIPパケットの送信元/宛先IPアドレスやTCP/UDPポート番号が変更されます。アプライアンスでNATを有効にすると、プライベートネットワークのセキュリティが強化されます。また、データがNetScalerアプライアンスを通過するときにプライベートネットワークの送信元IPアドレスが変更されるため、インターネットなどのパブリックネットワークからプライベートネットワークが保護されます。

NetScalerアプライアンスでは、次の種類のネットワークアドレス変換がサポートされます。

INAT:受信NAT(Inbound NAT:INAT)では、NetScalerアプライアンスで構成されたIPアドレス(通常はパブリックアドレス)がサーバーの代わりに接続要求を待機します。アプライアンスがそのパブリックIPアドレスで要求パケットを受信した場合、Citrix ADCは、宛先IPアドレスをサーバーのプライベートIPアドレスに置き換えます。つまり、アプライアンスはクライアントとサーバー間のプロキシとして機能します。INAT構成には、NetScalerアプライアンスのIPアドレスとサーバーのIPアドレスの間の1対1の関係を定義するINAT規則が含まれます。

RNAT:逆ネットワークアドレス変換(Reverse Network Address Translation:RNAT)では、サーバーによって開始されたセッションについて、NetScalerアプライアンスは、サーバーが生成したパケットの送信元IPアドレスをアプライアンスで設定されたIPアドレス(種類:SNIP)に置き換えます。これにより、サーバーが生成したパケットでサーバーのIPアドレスがさらされるのを防止します。RNAT構成には、条件を指定するRNAT規則が含まれます。アプライアンスは、条件に一致するパケットに対してRNAT処理を実行します。

ステートレスNAT46変換:ステートレスNAT46は、セッション情報をNetScalerアプライアンスに保持せずに、IPv4パケットとIPv6パケットを相互に変換することにより、IPv4ネットワークとIPv6ネットワーク間の通信を実現します。ステートレスNAT46構成には、IPv4-IPv6 INAT規則とNAT46 IPv6プレフィックスが含まれます。

ステートフルNAT64変換:ステートフルNAT64機能は、セッション情報をNetScalerアプライアンスに保持しながら、IPv6パケットとIPv4パケットを相互に変換することにより、IPv4クライアントとIPv6サーバー間の通信を実現します。ステートレスNAT64構成には、NAT64規則とNAT64 IPv6プレフィックスが含まれます。

詳しくは、「ネットワークアドレス変換の構成」を参照してください。

マルチパスTCPのサポート

NetScalerアプライアンスでは、マルチパスTCP(Multipath TCP:MPTCP)がサポートされます。MPTCPは、ホスト間で使用可能な複数のパスを識別および使用してTCPセッションを保持するTCP/IPプロトコル拡張機能です。TCPプロファイルでMPTCPを有効にして仮想サーバーにバインドする必要があります。MPTCPが有効な場合、仮想サーバーはMPTCPゲートウェイとして機能し、クライアントとのMPTCP接続を、サーバーとの間で保持しているTCP接続に変換します。

詳細については、「 MPTCP (マルチパス TCP)」を参照してください。

コンテンツスイッチ

ポリシーを切り替えるコンテンツの構成に基づいて要求を送信するサーバーを決定します。ポリシールールは、IPアドレス、URL、HTTPヘッダーに基づいて設定できます。これにより、そのときのユーザー、使用されているエージェントの種類、ユーザーが要求したコンテンツなど、ユーザーとデバイスの特性に基づいて、スイッチを決定することができます。

詳しくは、「コンテンツスイッチ」を参照してください。

広域サーバー負荷分散(Global Server Load Balancing:GSLB)

NetScalerのトラフィック管理機能を拡張して、分散インターネットサイトとグローバル企業に対応します。設置場所が、複数のネットワークの場所や1箇所の複数のクラスターに分散していても、NetScalerは可用性を維持し、それらの間でトラフィックを分散します。インテリジェントなDNS決定を行って、ダウンまたは過負荷状態のサイトにユーザーが割り当てられるのを防ぎます。近接ベースのGSLB方式が有効な場合、NetScalerは、さまざまなサイトからクライアントのローカルDNSサーバー(LDNS)までの距離に基づいて、負荷分散の決定を行うことができます。距離ベースのGSLB方式の最大の長所は、最も近い使用可能なサイトが選択されて、応答時間が短くなることです。

詳しくは、「グローバルサーバー負荷分散」を参照してください。

動的ルーティング

ルーターが、隣接するルーターからトポロジ情報、ルート、およびIPアドレスを自動的に取得できるようにします。動的ルーティングが有効な場合、対応するルーティングプロセスはルート更新をリスンして、ルート情報を提供します。ルーティングプロセスはパッシブモードにすることもできます。ルーティングプロトコルを利用して、アップストリームルーターはEqual Cost Multipath手法を使用し、2台のスタンドアロンNetScaler装置にホスティングされた同一の仮想サーバーに、トラフィックを負荷分散することができます。

詳細については、 ダイナミックルートの設定を参照してください

リンク負荷分散

複数のWANリンクを負荷分散して、リンクフェールオーバーを提供し、ネットワークのパフォーマンスをさらに最適化して、ビジネスの継続性を保証します。インテリジェントなトラフィック制御とヘルスチェックを行って、アップストリームルーター間で効率的にトラフィックを分散することにより、ネットワーク接続の高い可用性を維持します。ポリシーとネットワーク状態に基づいて、着信トラフィックと送信トラフィックの両方をルーティングする最適なWANリンクを特定し、高速な障害検出とフェールオーバーによって、WANやインターネットリンク障害からアプリケーションを保護します。

詳細については、「 リンク負荷分散」を参照してください。

TCP最適化

TCPプロファイルを使用すると、TCPトラフィックを最適化できます。TCPプロファイルでは、NetScaler仮想サーバーによるTCPトラフィックの処理方法を定義します。管理者は、組み込みのTCPプロファイルを使用するか、カスタムプロファイルを作成することができます。TCPプロファイルを定義した後、そのプロファイルを1つまたは複数の仮想サーバーにバインドできます。

TCPプロファイルで有効にできる主要な最適化機能のいくつかは次のとおりです。

  • TCP Keep-Alive - リンクが切断されるのを防ぐために、指定された間隔で通信先の動作状態をチェックします。
  • SACK(Selective Acknowledgment:選択的確認応答) - 特にLFN(Long Fat Network:広帯域高遅延ネットワーク)において伝送のパフォーマンスを向上させます。
  • TCPウィンドウスケーリング — LFN経由の効率的なデータ転送を可能にします。

TCP プロファイルの詳細については、TCP プロファイルの設定を参照してください

CloudBridge Connector

Citrix OpenCloudフレームワークの基本的な部分であるNetScaler CloudBridgeコネクタ機能は、クラウド拡張データセンターの構築に使用されるツールです。OpenCloud Bridgeにより、ネットワークを再構成することなく、クラウド上の1つ以上のNetScalerアプライアンスまたはNetScaler仮想アプライアンスをネットワークに接続することができます。クラウドがホストするアプリケーションは、組織内の単一ネットワーク上で実行されているかのように動作します。OpenCloud Bridgeの主な目的は、企業がアプリケーションをクラウドに移行しながら、コストやアプライアンス障害のリスクを削減できるようにすることにあります。また、OpenCloud Bridgeは、クラウド環境のネットワークセキュリティを向上します。OpenCloud Bridgeは、クラウドインスタンス上のNetScalerアプライアンスまたはNetScaler仮想アプライアンスをLAN上のNetScalerアプライアンスまたはNetScaler仮想アプライアンスに接続するレイヤー2ネットワークブリッジです。接続は、GRE(Generic Routing Encapsulation)プロトコルを使用するトンネルを介して確立されます。GREプロトコルは、さまざまなネットワークプロトコルからのパケットをカプセル化し、別のプロトコル経由で転送するメカニズムを提供しています。IPSec(Internet Protocol Security:インターネットプロトコルセキュリティ)プロトコルは、OpenCloud Bridgeのピア間の通信を確保します。

詳細については、 CloudBridgeを参照してください。

DataStream

NetScaler DataStream機能は、送信中のSQLクエリに基づいて要求を分散することで、データベース層で要求の割り振りを実行するインテリジェントなメカニズムを提供します。

データベースサーバーの前にNetScalerを導入すれば、アプリケーションサーバーまたはWebサーバーからのトラフィックを最適に分散することができます。管理者は、SQLクエリの情報と、データベース名、ユーザー名、文字セット、およびパケットサイズに基づいて、トラフィックをセグメント化できます。

負荷分散を構成して、負荷分散アルゴリズムに基づいて要求を割り振ることができます。または、ユーザー名、データベース名、コマンドパラメーターなどのSQLクエリパラメーターに基づくコンテンツスイッチを構成して、スイッチ条件を詳細に設定できます。さらに、モニターを構成してデータベースサーバーの状態を監視することもできます。

NetScalerアプライアンスの高度なポリシーインフラストラクチャには、要求の評価と処理に使用できる式が含まれています。高度な式により、MySQLデータベースサーバーに関連付けられたトラフィックが評価されます。高度なポリシーの要求ベースの式(MYSQL.CLIENTおよびMYSQL.REQで始まる式)を使用すると、コンテンツスイッチ仮想サーバーのバインドポイントで要求スイッチの意思決定を行うことが可能になり、応答ベースの式(MYSQL.RESで始まる式)を使用すると、ユーザー設定のヘルスモニターへのサーバー応答を評価することができます。

注:DataStreamは、MySQLとMS SQLのデータベースでサポートされています。

詳細については、 DataStreamを参照してください。

アプリケーションスイッチングとトラフィック管理機能