クラスタリングによる大規模環境への対応
PacketiX VPN Server ではクラスタリング機能をサポートしており、複数台の VPN Server を 1 つの VPN
Server として管理し、各 VPN Server
の間で負荷分散およびフォールトトレランスを実現することができるようになっています。クラスタリング機能は PacketiX VPN Server
2.0 の Enterprise Edition および Carrier Edition で利用することができます。
クラスタリング機能について、より具体的で詳しい情報については 「3.9 クラスタリング」 をお読みください。
クラスタリングの必要性
PacketiX VPN Server は優れた性能と機能を持つ VPN サーバーソフトウェアです。しかし、1 台の VPN Server
でサポートすることができる同時 VPN 接続数およびスループットは、VPN Server
を動作させるコンピュータのハードウェア性能によって異なり、常にハードウェアリソースによって 1
台のサーバーコンピュータが発揮することができる能力は制限されてしまいます。この問題は、どれだけサーバーソフトウェアが最適化され高速化されても、最終的にはハードウェアの性能限界が存在し、それよりも多くの処理を
1 台のサーバーコンピュータで行うことはできません。
PacketiX VPN Server をクラスタリング機能を使用すると、複数台の VPN Server を 1
つのクラスタとしてまとめることができます。これにより、そのクラスタに接続しようとした VPN 接続元のコンピュータ (通常は VPN
Client からの接続ですが、VPN Server / Bridge などからのカスケード接続である場合もあります)
はクラスタコントローラによって自動的にクラスタ内の VPN Server のうちの 1
つに接続されます。この際に、クラスタコントローラは接続先の仮想 HUB の動作モードによってロードバランシングのアルゴリズムを決定します。
クラスタリングによる大量の VPN 接続の処理 |
また、クラスタ内で動作しているコンピュータのうち 1
台が故障などの障害が発生して動作が停止した場合は、自動的にそのクラスタに参加している他のクラスタコンピュータに対して接続がリダイレクトされ、VPN
通信の処理が継続して行われます。この際、VPN 接続元は一瞬 VPN 通信が停止したように見えますが、すぐに VPN 接続が復元され別の VPN
Server によって先ほどまで通信していた仮想 HUB の処理が行われるため、VPN Server の管理者や VPN
ユーザーが一切特殊な処理を行うことなく自動的に障害が回避され通信が継続されます。
これらの特徴を利用して、1 台の PacketiX VPN Server
だけでは処理できなかったり、処理しようとしてもスループットが大幅に低下してしまうような数の大量の同時接続を、適切にロードバランシングして並列処理でき、またクラスタ内のサーバーが停止しても自動的に他のサーバーに処理を引き継がせることができるので、大規模環境および高信頼性が要求される環境において有効に利用することができます。
図1-7-2 ロードバランシング |
PacketiX VPN Server クラスタに参加するコンピュータの種類は下記の 2 種類があります。
クラスタコントローラ
クラスタコントローラは、複数のサーバーによって構成されるクラスタ内に 1
台だけ設置する必要がある特殊なコンピュータです。クラスタコントローラはそのクラスタに参加している他のコンピュータ (クラスタメンバサーバー)
すべてを常に管理し、それぞれのサーバー間の状態の整合性を保つような重要な処理を行います。
PacketiX VPN Server を使用して複数台の VPN Server でクラスタを構築する場合は、最初に 1
台のサーバーコンピュータをクラスタコントローラに設定し、他のサーバーコンピュータをクラスタメンバサーバーとしてそのクラスタコントローラに接続します。
クラスタメンバサーバー
クラスタメンバサーバーは、クラスタに参加しているクラスタコントローラ以外のすべてのコンピュータです。クラスタメンバサーバーはそれ単体では全く動作しませんが、クラスタコントローラに対してクラスタの制御用の接続を行うことによって、接続先クラスタコントローラが中心となって動作する
PacketiX VPN Server クラスタの一部となって動作を開始します。
クラスタコントローラとクラスタメンバサーバー |
クラスタリングの用途
PacketiX VPN Server のクラスタ機能は、主に 2 種類の用途に対して最適に動作するようになっています。2
種類の用途を複合的に利用する必要がある場合でも正しく機能します。
大規模リモートアクセス型 VPN サーバー
PacketiX VPN Server を使用して遠隔地のコンピュータを社内 LAN に接続させるためのリモートアクセス用 VPN
サーバーを PacketiX VPN Server を用いて構築しようとする場合において、非常に多くの VPN
接続数が見込まれる場合や、高信頼性が要求されリモートアクセス VPN
サーバーのハードウェア故障などによる停止時間を可能な限り短縮したい場合は、PacketiX VPN Server
のクラスタリング機能を使用してください。
複数台の VPN Server でクラスタを構築し、その内部に「スタティック仮想 HUB」を設置し、さらに各 VPN Server
で生成されるスタティック仮想 HUB のインスタンスに対してリモートアクセス先の物理的な社内 LAN
などのネットワークをブリッジ接続することにより、そのネットワークにリモートアクセスしようとした大量のユーザーは自動的に負荷分散され、適切なクラスタ内の
VPN Server
コンピュータに接続されます。この際、ユーザーはクラスタに接続していることを意識することなく、一切の特別な操作も必要ありません。また、負荷分散の結果どの
VPN Server コンピュータに対して接続した場合でも同一の通信を行うことができます。さらに、万が一接続先の VPN Server
コンピュータにハードウェア障害が発生したり、またはハードウェアの増設やオペレーティングシステムのアップデートなどによってサーバーの一時的な停止または再起動が必要になったりした場合は、すでにそのコンピュータに接続されて
VPN 通信中であった VPN セッションは自動的に他の VPN Server に瞬時で接続が切り替わり、通信を継続することができます。
これにより、リモートアクセス型 VPN サーバーにおいてスケーラビリティおよびフォールトトレランスを確保することができます。
また、リモートアクセスさせたい先の物理的な LAN が複数ある場合は、複数のスタティック仮想 HUB を作成し、それぞれの仮想 HUB
を物理的なそれぞれの LAN に対してローカルブリッジ接続させることもできます。
大規模リモートアクセス型 VPN サーバーにおけるクラスタリング機能の利用例については、「10.8 大規模なリモートアクセス VPN サービスの構築」 もお読みください。
大規模リモートアクセス型 VPN サーバー |
大規模仮想 HUB ホスティング型 VPN サーバー
PacketiX VPN Server を使用して大量の仮想 HUB
をホスティングするような利用方法を行う場合も、クラスタリング機能を有効に活用することができます。インターネットサービスプロバイダや大企業の IT
部門などが顧客やユーザーに対して仮想 HUB の機能を提供するようなサービスを実施する場合において、仮想 HUB の数が多い場合や同時に接続する
VPN セッション数が多い場合は、PacketiX VPN Server のクラスタリング機能を使用してください。
複数台の VPN Sever でクラスタを構築し、その内部に「ダイナミック仮想
HUB」を必要な数だけ作成することができます。このような構成の場合、VPN Server に対して遠隔地の VPN Client や VPN
Bridge などが VPN 接続またはカスケード接続した場合、その接続先の仮想 HUB は現在クラスタ内で動作している VPN Server
のいちいずれか 1 台にインスタンスが作成され、その仮想 HUB 内での通信が可能になります。仮想 HUB およびその仮想 HUB に対する
VPN
接続セッションは、自動的に負荷分散されます。この際、ユーザーはクラスタに接続していることを意識することなく、一切の特別な操作も必要ありません。さらに、万が一接続先の
VPN Server
コンピュータにハードウェア障害が発生したり、またはハードウェアの増設やオペレーティングシステムのアップデートなどによってサーバーの一時的な停止または再起動が必要になったりした場合は、すでにそのコンピュータに接続されて
VPN 通信中であった VPN セッションは自動的に他の VPN Server に瞬時で接続が切り替わり、通信を継続することができます
(その際、仮想 HUB のインスタンスも自動的に別のサーバーに移動します)。通常の仮想 HUB と同様に、別々の仮想 HUB
間では一切の通信が行われないため、仮想 HUB 同士の独立性は維持されます。また、各仮想 HUB
の管理者権限をそれぞれの顧客やユーザーに委譲することができます。
大規模仮想 HUB ホスティング型 VPN サーバーにおけるクラスタリング機能の利用例については、「10.9 大規模な仮想 HUB ホスティングサービスの構築」 もお読みください。
大規模仮想 HUB ホスティング型 VPN サーバー |
クラスタリング時の製品ライセンスおよび接続ライセンス
PacketiX VPN Server のクラスタリング機能を使用する場合は、クラスタに参加する PacketiX VPN Server
のそれぞれについて、製品ライセンス「PacketiX VPN Server 2.0 Enterprise Edition
License」または「PacketiX VPN Server 2.0 Carrier Edition License」が必要です。
また、接続ライセンス (クライアント接続ライセンス、およびサーバー接続ライセンスの 2 種類)
については、クラスタ全体で管理されます。したがって、クラスタ全体に同時に接続する可能性のある接続数を見積もって、不足しないだけの接続ライセンスを入手していただき、クラスタコントローラに対して登録するだけで接続ライセンスの登録は完了します。各
VPN Server について接続ライセンスを購入する必要はありません。このため、個々の VPN Server
に対して手動で負荷を分散させる場合に比べ、大量の同時接続ユーザーをクラスタ化して処理することによって大幅に接続ライセンス数を節約することができる場合があります。
クラスタリング時の製品ライセンスおよび接続ライセンス |
|