BIG-IP - SSL/TLS



 ◆ BIG-IP - SSLトラフィックの処理

 LBでSSLを終端しない場合、下図の通り各サーバでサーバ証明書と秘密鍵を保持する必要があります。


  



 一方、BIG-IPをSSLアクセラレータとして動作させた場合、以下のようなメリットが生まれます。

 ・ サーバ証明書と秘密鍵をBIG-IPで集中管理できる。
 ・ サーバ証明書と秘密鍵はバーチャルサーバの数だけでOKとなる(コスト削減)
 ・ ハードウェアによるSSL秘密鍵の交換、ハードウェアによるSSLバルク暗号化
 ・ WebサーバからのSSL処理のオフロード(BIG-IPによるSSLオフロード ※1)
 ・ BIG-IPでは、CookieパーシステンスとiRuleとの併用が可能

 ※1 SSLオフロードとは、SSL通信でサーバをSSL処理から解放して、パフォーマンスを向上するSSL処理専用のシステム。


    


 ◆ BIG-IP - Client SSLとServer SSLとは

 BIG-IPによるSSLトラフィックの制御は、Client SSLとServer SSLの大きく2つの手法があります。
 BIG-IP ⇔ Server間は暗号化が一般的に不要なので、Client SSLのみを実装させることが多いです。

SSLの実装 使用するプロファイル 説明
Client SSL Client SSL Profile  Client ⇔ BIG-IP間でSSL通信させたい場合の実装
Server SSL Server Client Profile  BIG-IP ⇔ Server間でSSL通信させたい場合の実装



   



 ◇ トラフィックフロー:Client SSLのみ
 1. クライアントが
暗号化されたパケットをBIG-IPのバーチャルサーバに送信。
 2. BIG-IPが暗号化パケットを受信して復号して、Poolメンバーへ負荷分散。
 3. Poolメンバーが暗号化していないリクエストを処理して、暗号化していないレスポンスをBIG-IPに送信。
 4. BIG-IPがレスポンスパケットを受信して、
暗号化してクライアントに送信。


 ◇ トラフィックフロー:Client SSLとServer SSLの組合せ
 1. クライアントが暗号化されたパケットをBIG-IPのバーチャルサーバに送信。
 2. BIG-IPが暗号化パケットを受信して復号して処理を実施。その後、
暗号化してPoolメンバーへ負荷分散。
 3. Poolメンバーは暗号化リクエストを受信して処理して、
暗号化してからBIG-IPへレスポンスを送信。
 4. BIG-IPは暗号化レスポンスを受信して復号して処理して、レスポンスを
暗号化してクライアントに送信。


 なお、Server SSLが使用される場合、上記のようにClient SSLとServer SSLの実装を組み合わせてBIG-IPに
 実装するのが一般的です。Server SSLだけを実装させるようなケースはあまりありません。




BIG-IP Advanced Configuration

Copyright (C) 2002-2024 ネットワークエンジニアとして All Rights Reserved.