SSLロードバランサーは、ロードバランシングだけでなく、HTTPSで転送されるデータの暗号化と復号化も実行します。HTTPSは、SSL(Secure Sockets Layer)プロトコル、またはその後継プロトコルであるTLS(Transport Layer Security)プロトコルを使用して、ネットワークを通過するHTTPデータを保護します。ロードバランサーは、受信したクライアントのリクエストを、バックエンドサーバのグループに分配させることで、Webサイトのパフォーマンス、信頼性、拡張性を向上させます。
ロードバランサーに関する一般的な情報については、「ハードウェアロードバランサーと比べ、80%のコスト節約」をご覧ください。
SSLとTLSは、HTTPデータをネットワークで送る前に暗号化するための標準プロトコルであり、データを傍受した権限のない第三者がデータを読み取ることを防止します。インターネットのような公共のネットワークを介して送信される、クレジットカード番号や社会保障番号などの機密データを保護するためには不可欠です。
SSLロードバランサーは、クライアントとの接続において、サーバ側のSSLエンドポイントとして機能します。つまり、Webサーバやアプリケーションサーバが行わなければならない、リクエストの復号化とレスポンスの暗号化を行います。このプロセスは、ロードバランサーとサーバの間のネットワークのセキュリティに応じて多少異なります。
- ロードバランサーとサーバが、セキュリティで保護された同じネットワーク上にある場合(一般的にはファイアウォールの内側にあることを意味します)、SSLロードバランサーは通常、リクエストを復号化し、ロードバランシングに必要な情報を抽出して、リクエストを平文で(暗号化せず)サーバに転送するように構成されます。サーバからのレスポンスは、暗号化してクライアントに返します。
- ロードバランサーとサーバの間のネットワークが安全でない場合、SSLロードバランサーは通常リクエストを復号化し、ロードバランシングに必要な情報を抽出し、リクエストを再暗号化してからサーバに転送するように構成されます。このプロセスは、サーバからクライアントへのレスポンスでは逆になります。
計算負荷の高い復号化/暗号化プロセスをオフロードすることで、Webサーバやアプリケーションサーバが本来の業務に専念できるようになります。これにより、コンテンツデリバリーが高速化され、全体的なユーザエクスペリエンスが向上します。ロードバランサーとサーバの間のネットワークが安全であれば、すべてのWebサーバやアプリケーションサーバではなく、1つのロードバランサーにSSL証明書をインストールして管理するだけで済みます。これにより、大規模なサーバグループでは管理のオーバーヘッドを大幅に削減できます。
NGINX Plusはどのように役立ちますか?
NGINX PlusとNGINXは、クラス最高のロードバランシングソリューションであり、Dropbox、Netflix、Zyngaなどの高トラフィックのWebサイトで使用されています。世界中で4.5億以上のWebサイトがNGINX PlusとNGINX Open Sourceを利用しており、迅速かつ確実で安全なコンテンツのデリバリーを実現しています。
ソフトウェアベースのロードバランサー/SSLターミネーションソリューションを担うNGINX Plusは、同様の機能を持つハードウェアベースのソリューションに比べて、はるかに低いコストで利用できます。OpenSSLと標準プロセッサーの利用においても、SSLのほとんどの要件を満たす費用対効果の高いソリューションを実現します。詳細については、「SSL/TLS Offloading, Encryption, and Certificates with NGINX and NGINX Plus」をご覧ください。
アプリケーションのロードバランシングにNGINX Plusを活用するメリットについて詳しく知りたい方は、当社EBOOK「ロードバランシングをソフトウェアに切り替える5つの理由」をダウンロードの上、詳細をご覧ください。
