All White Papers

ホワイト ペーパー

SDH(Software-Defined Hardware:ソフトウェアで機能を変更できるハードウェア)で実現した、BIG-IP iシリーズのパフォーマンスと柔軟性

更新済み 2016年12月21日

はじめに

市場トレンドの様々な動きが、ITとアプリケーションを取り巻く環境を大きく変えつつあります。モバイルデバイスの普及やストリーミングメディアの活用、IoT(Internet of Things)の台頭によって、トラフィックは急速な勢いで増大し続けており、デジタルトランスフォーメーション(デジタル技術によるビジネス変革)が、あらゆる業界で進みつつあるのです。企業が利用するアプリケーションの数も増大しており、これらを迅速に展開したいというニーズに対応するため、クラウド活用も加速しています。その一方で、インターネット経由で接続されるデバイスやアプリケーションが増えることで、情報漏えいや企業内の機密データや個人情報を狙った攻撃等、セキュリティの脅威も高まっています。その解決策として活用が広がっているのが、通信データの暗号化です。SSLトラフィックの比率は、この1年で29%から64%へと、約2倍に増えました。また最近では「マイクロサービス」や「DevOps」等のように、新たなソフトウェアアーキテクチャや開発モデルも登場しています。

このような急激な変化への対応は、企業にとって極めて重要な課題です。アプリケーションやそれに関連する各種サービスを、コスト効率の高い方法でスケールさせるにはどうしたらいいのか。複雑さを増すプライベートクラウドの展開を、いかにしてうまく管理すればいいのか。そしてハイブリッドクラウド環境で、アプリケーションやデータをどのようにして保護していけばいいのか。これらの問題を解決していかなければならないのです。既存のアーキテクチャに製品を追加していくことで、一部の問題は解決するかもしれません。しかし様々な製品を無秩序に導入してしまえば、TCOは増大し、新たなセキュリティホールを生み出す結果になってしまいます。

これらの課題を根本から解決するために必要となるのが、DevOpsのような迅速さ、スケール、高度なセキュリティ機能を兼ね備え、既存のアプリケーションだけではなく今後登場するアプリケーションにも対応可能な、次世代のクラウド対応ADC(Application Delivery Controller)です。そしてこれを具現化したのが、高いパフォーマンスとプログラマビリティを持つ、F5 BIG-IP iシリーズです。BIG-IP iシリーズには以下の特長があります。

  • 幅広いアプリケーション配信方法とセキュリティ手法に対応する一方で、最適なパフォーマンスとコストパフォーマンスも実現しています。これによってクライアント/サーバ間トラフィックの爆発的増加にも対応できます。
  • 汎用的なハードウェアを採用したソフトウェアベースの製品に比べ、圧倒的な性能を発揮します。
  • 暗号化や鍵交換の処理をハードウェアにオフロードし高速化することで、「常時SSL化」によって生じるSSL/TLSの膨大な負荷にも、問題なく対応できます。ECC(Elliptic Curve Cryptography:楕円曲線暗号)やPFS(Perfect Forward Secrecy:前方秘匿性)の処理も、ハードウェアにオフロード可能です。
  • アプリケーション配信やセキュリティの各種機能をADCに集約し、プライベートクラウドやオンプレミスシステムの前段に配置する「2層アーキテクチャ」によって、コスト効率を高められます。
  • ハードウェアによって提供される機能の内容は、ユーザ自らが選択することができ、ソフトウェアアップデートで拡張することも可能です。そのため長期にわたって安心して利用することができ、ビジネスニーズが大きく変化した場合でも迅速に対応できます。

BIG-IP iシリーズは、極めて高いスケーラビリティを備え、低遅延でのアプリケーション利用を可能にするアプリケーションプロキシです。またL4~7のネットワークレイヤに対応したアプリケーション配信機能を提供するだけではなく、将来のアプリケーション配信まで視野に入れた、F5のアーキテクチャビジョンの基盤となる製品でもあります。この製品ファミリーは、CPUやメモリ、各種コプロセッサを理想的な形で組み合わせており、その上で動くソフトウェアと専用ハードウェアがもたらすパワーと柔軟性を、最大限に引き出せるようになっています。そしてハードウェアを最適化する革新的な手法によって、卓越したパフォーマンスとスケーラビリティを実現しています。

BIG-IP iシリーズがもたらすイノベーション

クラウドアーキテクチャへのシフトや、重要データの保護、アプリケーションサービスの統合等、企業ITのニーズは変化し続けています。BIG-IP iシリーズはこれに対応するため、かつてなかったユニークなハードウェア最適化手法によって、様々な可能性を切り拓いています。

処理の高速化と柔軟性向上を両立するFPGAの活用

ゴードン・ムーアは、同じコストで実装できる集積回路のトランジスタ数が、1年間で2倍に増大してくことを発見しました。これは後に「2年毎に倍増」へと修正されましたが、「ムーアの法則」として広く知られています。これは極めて正確な予測だったため、CPUスピードやメモリスピード、ネットワークスピード、ディスクドライブの記録密度等、コンピューティングの他の要素に対しても適用されるようになりました。もちろん、集積回路のトランジスタ数やCPUスピードが倍増し続ける時代は、いつかは終焉を迎えます。業界内の全ての人々はそのことを理解していましたが、このトレンドが安定して続いていった結果、多くの重要な機能がソフトウェアとして実装されるようになりました。

その一方で、CPUによるソフトウェア処理で十分なパフォーマンスが得られない場合には、ASIC(Application Specific Integrated Circuit:特定用途向け集積回路)が利用されてきました。ASICには、特定の機能をハードウェアで高速に処理できるという利点があり、ネットワークカード、メモリコントローラ、グラフィックボード、暗号処理等、高いパフォーマンスが必須となる用途で活用されています。ASICは極めて高い処理能力を発揮しますが、設計段階でチップに実装された機能以外のことはできない、という弱点もあります。ASICが提供する機能だけでは不十分な場合には、CPUを使いソフトウェアとして実行する必要があります。

しかし現在では、CPUの処理スピードはそれほど急速には増加しません。CPUは「柔軟性は高いがスピードが遅く」、ASICは「高速処理は可能だが融通が利かない」のです。しかしこれらの中間にある第三の選択肢も存在します。それがFPGA(Field-Programmable Gate Array)です。FPGAはASICよりは遅いものの、CPUに比べれば圧倒的に高速な処理が可能です。そして設計段階では想定されていなかった処理内容も、プログラミングによって実装可能なのです。

図1:CPU、ASIC、FPGAの関係
CPUs, ASICs, and FPGAs

BIG-IP iシリーズはこのFPGAを搭載しており、アプリケーションの通信トラフィック処理を、FPGAにオフロードできます。これによってCPUリソースを、より複雑で高い柔軟性が求められる他の用途に活用できます。またFPGAによって、以下のことも可能になります。

  • ユーザがプラットフォーム(BIG-IP iシリーズ)に求める役割に応じて、オフロードする機能を選択できます。
  • 再プログラミングによって、オフロード可能な機能を後で変更することも可能です。これによってソフトウェア処理と同等の柔軟性を享受できます。

 ASICとFPGAの長所を活用することで、バランスの取れたアプローチが可能になるのです。

図2:BIG-IP iシリーズのアーキテクチャにおけるFPGAテクノロジーの活用方法
BIG-IP iSeries  architecture uses FPGA technology

BIG-IP iシリーズにおいて、FPGAはアーキテクチャの中心的存在であり、トラフィックの中継や検査、トラフィック処理をどのように行うのかの判断、実際のプロトコル処理やセキュリティ処理のオフロード等で、重要な役割を果たしています。具体的には以下のような機能を提供しています。

  • トラフィックのアグリゲーション、ディスアグリゲーション、適切なCPUへの誘導。(この機能の詳細はこちらをご参照ください)
  • SSL/TLS処理が必要な場合には、トラフィックを暗号ハードウェアに送る。
  • データ圧縮ハードウェアに対し、正確なトラフィックを確実に送る。
  • より大規模なDDoS攻撃への対応(ソフトウェアのみでの対応に比べ、10倍の規模の攻撃に対応可能)。
  • ホワイトリスト、グレイリスト、ブラックリストへのクライアントの分類(これはシャニングとも呼ばれています)。
  • プライベートクラウドが使用するトンネリングプロトコルのパフォーマンス改善(最大50%の改善が可能です)。
  • ハードウェアによるL4ロードバランシングの処理能力向上。UDP、TCP、IPv4、IPv6のプロトコル処理を高速化できます。
  • オーバレイネットワークのカプセル化とカプセル化解除。

またFPGAは、一定以内のレイテンシ(時間遅れ)でトラフィックに対応でき、負荷の高い状況でも均一なパフォーマンスレベルで、トラフィックを確実に処理できます。これは、複数のソフトウェアタスクを同時に処理した場合にパフォーマンスが変化しやすいCPUとは、大きく異なる点です。特に、CPUをトラフィック処理に使用している時に、DDoS攻撃やSSLネゴシエーション攻撃等を受けて高負荷になった場合、CPU上で動くソフトウェアのレスポンスは著しく悪化し、攻撃への対処能力が低下してしまいます。FPGAでトラフィック処理を行えば、このような問題は解決できます。CPUにかかる負荷とは関係なく、予測可能なレスポンスが得られるからです。

これら全てのトラフィック処理は、下流に位置するコンポーネントにトラフィックを引き渡す前に実行されます。FPGAを利用すれば、トラフィックの検査や適切なコンポーネントへの引き渡し、インテリジェントなトラフィック管理の支援等を、ハードウェアレベルのスピードで行なえるのです。

BIG-IP iシリーズで新たに実装された「TurboFlex」機能で、FPGA機能の「再プログラミング」が可能に

これまでのADCにも、FPGAは組み込まれていました。BIG-IP iシリーズが従来のADCと大きく異なるのは、パフォーマンス最適化に対する複数のアプローチを用意し、それを「F5 TurboFlex」のパフォーマンスプロファイルで選択可能にしたことです。

従来のシステムでは、設計者はバランスの取れた機能セットを作り上げることを目指した上で、これらの機能に特定のFPGAリソースを割り当ててきました。FPGAは特定のタスクに対して静的に割り当てられており、設計段階で想定されたものとは異なるタスクに対して、動的に割り当てることはできなかったのです。つまりFPGAで並列処理を行うことで高速化を図ることはできるものの、柔軟性は犠牲になっていたわけです。

これに対しBIG-IP iシリーズは、ユーザが選択できる複数のFPGAパフォーマンスプロファイル(TurboFlexパフォーマンスプロファイル)を導入することで、高い柔軟性を実現しています。TruboFlexパフォーマンスプロファイルは、BIG-IPの設定変更やAPIの呼び出し等で選択可能です。これによってユーザは、FPGAのリソースを目的に応じて割り当て、その目的に対応したタスクをFPGAにオフロードできるようになります。

例えばセキュリティ強化のためのエッジデバイスとして活用したいのであれば、DDoS攻撃への対処やTCPの処理、ホワイトリスティング等をFPGAで処理するといいでしょう。OpenStackを実装したクラウドで先進的なアプリケーション配信を行いたいのであれば、VXLANやGREのカプセル化のように、ネットワークオーバレイの処理が優先されるはずです。適切なパフォーマンスプロファイルを選択することで、FPGAのリソースを最適な形で活用できるのです。

 処理内容が比較的シンプルでボリュームの大きいタスクをFPGAにオフロードすれば、システムのパフォーマンスを全体的に向上させることができます。FPGAならタスクをワイヤースピードで処理できる上、CPUの負荷も軽減するからです。なおTurboFlexパフォーマンスプロファイルは、特定のユースケースに合わせたパフォーマンス最適化を実現するものであり、機能制限は伴いません。どのプロファイルを使用した場合でも、全ての機能が利用可能です。

インターネットの世界はこれからも間違いなく、変化し続けていくはずです。システム基盤は新たなプロトコルやセキュリティ脅威に対応しながら、新たなサービスを提供し続ける必要があります。「静的」「不変」という言葉は、将来を見据えたシステム基盤にとって、ふさわしい言葉ではありません。

BIG-IP iシリーズには、今後もソフトウェアアップデートを通じ、新たなTurboFlexパフォーマンスプロファイルの形で、オフロード可能なタスクや機能が追加される予定です。能力を拡張するために、新たなプラットフォームを調達する必要はありません。BIG-IP iシリーズは、能力に制限を加えることなく拡張できるという、これまでになかったユニークな特長によって、あなたのシステム基盤を進化させ続けることができるのです。

SSL処理のための新たなハードウェア

SSL/TLSに対する攻撃は高度化し続けています。攻撃者に遅れを取らないようにするには、より鍵長の長い暗号を採用する必要があります。鍵長が長くなれば、当然ながらより高い計算能力が必要になりますが、すでに述べたように、CPUスピードがかつてのペースで向上していくことは期待できません。求められる計算能力を提供できるCPUの確保は、次第に困難になっているのです。SSL/TLS接続のパフォーマンス問題には、大きく2つの要因があります。インターネットそのもの利用が拡大していることと、その中におけるセキュアな接続(SSL接続)の比率が増大していることです。一般的なトラフィックが増えている上、より多くのトラフィックが暗号化されるようになっているのです。その背景としては、HTTP/2の登場や、その採用をGoogleやApple、Facebook、Microsoft等の巨大なWeb企業が強力に推進していることが挙げられます。

現在のCPUは、TLS鍵交換処理にも十分に対応できます。しかし「ハードウェアでADCの処理を高速化したい」のであれば、この処理のオフロードも視野に入れるべきです。特にWAF(Web Application Firewall)のような、複雑な処理が必要な高度なタスクをCPUで実行する場合には、計算負荷の高い暗号処理をオフロードすることで、大きな効果が得られるはずです。また専用ハードウェアを活用することで、CPUより高いコスト効率も実現できます。

トラフィックをさらにしっかり保護するために、最近では新たな暗号スイートの採用も求められるようになっています。これまで鍵交換のための主要な暗号方式はRSAでした。しかしRSAには重大な欠陥があります。暗号そのものは安全性が高いのですが、第三者がいったん秘密鍵を入手してしまうと、この秘密鍵で暗号化されたトラフィック全てを、この秘密鍵で解読できてしまうのです。

この懸念事項1つだけでも、PFSに取り組む十分な理由になり得ます。PFSであれば、漏洩した秘密鍵を繰り返し使うことはできません。これを実現するために最初に普及したディフィー・ヘルマン暗号は、ほとんどのソフトウェアへの実装で欠陥が存在することが示されましたが、さらに進歩したECDHE(Elliptic Curve Diffie–Hellman Ephemeral:エフェメラル楕円曲線ディフィー・ヘルマン)には、脆弱性が見つかっていません。そのためPFSに取り組む数多くのサイトが、ECDHE暗号の採用に向けて動いています。

しかし旧世代のハードウェアSSLアクセラレータは、ECDHEの処理をサポートしていません。ECDHEを使用した暗号化通信を行う場合にはCPUリソースが消費され、システムにより大きな負荷がかかることになります。ECDHEの採用が今後さらに拡大すれば、その処理をハードウェア化することが、重要な課題になっていくはずです。

F5はBIG-IP iシリーズに最新の暗号処理ハードウェアを採用し、これを注意深くシステムに統合することで、全てのモデルでECDHEをハードウェアにオフロードできるようにしました。これによってECC(Elliptic Curve Cryptography:楕円曲線暗号)やECDHEの採用を迅速に行えるようになります。このハードウェアアクセラレータは、ECDHEだけではなく既存の暗号もサポートしており、負荷の高いTLS環境でも高いパフォーマンスを発揮します。

メモリの増強によって処理可能なコネクション数も増大

インターネット上のトラフィックは成長し続けています。2016年のレポートによれば、シスコは今後5年間でトラフィックが3倍に増大すると予測しています(※1)。このトラフィック増の一部は、インターネット利用者の増大やWebコンテンツのリッチ化によるオーガニックグロースです。その一方で、IoT(Internet of Thing)による接続デバイスの爆発的な増大も予測されており、これによってもたらされるトラフィック増もあります。ガートナーは2020年までに200億を超えるデバイスがインターネットに接続されると予測しています。接続されるデバイス数が増えれば、システム基盤がサポートすべきコネクション数も増大します。HTTP/2を採用することでクライアントあたりの接続数を削減できるため、コネクション数の増大もある程度は抑えられるかもしれません。それでも、ADCが処理すべきコネクション数が今後著しく増大することは、間違いないと言えるでしょう。

これと並行してアプリケーションアーキテクチャも、従来のモノリシックアーキテクチャから、複数のサービスが疎結合したシステム形態へと移行しつつあり、これらのサービス間で発生する「東西トラフィック」も増大しています。ここでも当然ながら、クライアントとアプリケーションの間で発生する「南北トラフィック」と同様の管理性とセキュリティが求められます。そしてこれも、処理すべきコネクション数の増大をもたらすことになります。

BIG-IP iシリーズは、従来製品に比べて最大2倍という、非常に多くのコネクションを扱えるように設計されています。これを可能にしたのが実装メモリの増強と、より効率的なコネクションハンドリングです。これによって、新世代の接続デバイスやアプリケーションが生み出すトラフィックを、パワフルかつスケーラブルに管理・保護できるようになっています。

F5アーキテクチャビジョンの中核となるBIG-IP iシリーズ

BIG-IP i-シリーズは、今後のF5アーキテクチャビジョンの中で、中心的な役割を果たす製品だと言えます。最先端のハードウェア機能を搭載したBIG-IP iシリーズは、多くのユースケースで理想的なプラットフォームとなるでしょう。そしてこれをF5のエコシステムに統合することで、BIG-IPアプライアンスの展開や統合、管理を、迅速かつ効果的に行えるようになります。

まとめ

BIG-IP iシリーズは、インターネットの急速な変化がもたらす課題を解決できる、次世代のADCです。処理能力が増強されているだけではなく、専用ハードウェアのパワーをプログラミングによって柔軟に組み合わせて活用でき、その機能をアップデートすることも可能です。CPUで動くソフトウェアと最新のASIC/FPGAテクノロジーを注意深く統合したことで、BIG-IP iシリーズは最高のパフォーマンス、投資保護、複数のアプリケーションとセキュリティサービスを単一のプラットフォームに統合できる柔軟性を実現しています。

FPGAをトラフィックパスの上流に配置したことは、特に重要なポイントだと言えます。これによってトラフィックの検査や適切なコンポーネントへの引き渡しといった処理全てを、CPUを使うことなく、安定したスピード(予測可能なレイテンシ)で実行できるようになったからです。また再プログラミング可能なTurboFlexパフォーマンスプロファイルを活用すれば、FPGAの機能を特定のユースケースに合わせて最適化できます。セキュリティに焦点を当てたエッジデバイスとして使うためにDDoS攻撃への対策やTCPホワイトリスティング等を行わせることも、クラウドで使用するためにネットワークオーバレイの処理を行わせることも可能なのです。

TurboFlexパフォーマンスプロファイルによって、ソフトウェアだけではなくFPGAも再プログラミング可能にしたことで、BIG-IP iシリーズは現在のニーズはもちろんのこと、将来生じる可能性のある「未知のニーズ」にも対応できるようになりました。またECDHEを含む暗号スイートのハードウェアアクセラレーションをサポートしており、今後数年間で発生するコネクションの爆発的増大に対応できる処理能力も備えているため、次世代データセンターやプライベートクラウドアーキテクチャにおいて、中心的な役割を果たすことも可能です。これを幅広いF5アーキテクチャに統合することで、トラフィック処理のスピードと同様に、サービス展開のスピードも向上します。

BIG-IP iシリーズはADCのさらなる進化に向け、劇的な飛躍を遂げたのです。

※1:Cisco Visual Networking Index: Forecast and Methodology, 2015–2020. Updated June 1, 2016.

お問い合わせ