SlideShare a Scribd company logo

講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー

Download as PPTX, PDF
N
NGINX, Inc.

Webinar on 講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー

Software
1 of 53
Downloaded 27 times
1
2
3
4
5
6
Most read
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
Most read
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
Most read
コスト最適なプライベートCDNを 「NGINX」で実現するWeb最適化 F5ネットワークスジャパン合同会社
| ©2020 F52 F5ネットワークスジャパン合同会社 NGINX Technical Solutions Architect 松本 央
| ©2020 F53 Agenda •自治体セキュリティクラウド要件とCDN •NGINX のご紹介 •NGINX CDN 顧客事例 •NGINX CDN 提供構成・サイジング •プライベートCDN で実現するWeb最適化 •まとめ
| ©2020 F54 自治体情報セキュリティクラウド要件と CDN (Content Delivery Network)
| ©2020 F55 CONFIDENTIAL 次期自治体情報セキュリティクラウドの標準要件 F5 BIG-IP/NGINX対応表 No サービス分類 機能/機器 用途 大分類 小分類 1 インターネット 通信の監視 監視 (障害切り分け、通報、 インシデント管理) ①Webサーバ 各自治体のWebサイトを運用するWebサーバを監視する 3 ③プロキシサーバ 各自治体とインターネットプロキシサーバ経由で通信させ、その通信を監視する 6 インシデントの 予防 ゲートウェイ対策 ①ファイアウォール 通信内容を検査し、管理する構成団体のポリシーに従った通信制御を行う 7 ④通信の復号対応 暗号化された通信やファイルを復号し、不正な通信内容の検知等を行い、不正 な通信を遮断する 10 ⑤URLフィルタ ブラックリスト方式及びホワイトリスト方式を利用し、不正なIPアドレス及びURLの 接続を遮断する 14 Webサーバ セキュリティ対策 ①WAF SQLインジェクションのような、Webアプリケーションへの不正 な通信を検知・防御する 15 ②CDN 住民への継続的な情報発信のために、Webサーバの負荷分 散をする 本セミナーご紹介機能 特別特価 キャンペーン 実施
| ©2020 F56 CONFIDENTIAL Private CDN(NGINX)とCDNサービス:コスト最適化(案) CDNのみ Origin1 3 セキュリティクラウド・DC • 静的コンテンツ • 動的コンテンツ キャッシュサーバ • 動的コンテンツ(議会動画など) CDN • 静的コンテンツ キャッシュサーバ • 静的コンテンツ • 動的コンテンツ(議会動画など) Origin Origin Hybrid CDN Private CDN ※WAFは考慮から外してます。 CDN 費用 費用 費用 2 本セミナーご紹介機能 セキュリティクラウド・DC 個別でCDN契約済み 団体
| ©2020 F57 本日のセミナーポイント:システムに求められる要件 高速動作安定性 Webサービスの 高度な監視 高いセキュリティ 自治体セキュリティクラウドにおいて安定運用を実現するシステムが不可欠です 省リソース・コスト最小、構築・運用効率化 Webサービス 大容量・高速・需要増 攻撃者に狙われる 情報セキュリティの重要度増加 求められる要件
| ©2020 F58 CONFIDENTIAL CDNサービス・プロバイダー CDNサービスの多くは「NGINX」によってコンテンツキャッシュを実現しています
| ©2020 F59 NGINX のご紹介
| ©2020 F510 NGINXの歴史 NGINX (オープンソース) 2011 : Nginx, Inc. 設立 2013 : Nginx Plusリリース 2017 : Announced; - NGINX Controller - NGINX Unit 等 2019 2014 : NGINXが世界中上位10,000サイト 中最も利用されているWebServerとなる 2004 : NGINX 最初のリリース 2002 : イゴール・シソエフ (CTO of NGINX, Inc.) NGINXの開発を開始 2008 : Chrome / Android 最初のリリー ス 2007 : iPhone 最初のリリース 2014 : 世界のスマートフォン 10億台超え 2017 : 世界のスマートフォン 15億台超え イゴール・シソエフ Apache httpdでは、1つのサーバー での同時アクセス数の上限に問題 (C10K問題)を感じていた。 Apache httpdより同時アクセス数 の多いサーバーソフトもあったが、 機能が限定されていた。「そこで、 C10K問題に対応しつつ、静的ファ イルだけでなくほかのサーバーとの 連携機能を持ったWebサーバーとし てNGINXを開発することを決めた」 買収 CONFIDENTIAL 2020 : シェアTOP(約36%)、 4.5億サイトでWebトラフィックを処理
| ©2020 F511 NGINX Plus – クラウドに依存せずポータブル ベアメタル マルチクラウド コンテナ Linux/BSD CPUs VMware vSphere Advanced Load Balancing Advanced Content Cache Web Server Reverse Proxy and Cache Advanced Monitoring & Management Advanced Security Controls CONFIDENTIAL
| ©2020 F512 DELIVERING MODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD NGINX 製品 NGINX Plus All-In-One Software ロードバランサー、コンテンツキャッシュ、 Webサーバ 安定、高速、高機能 必要となるリソースは最小 NGINX Controller NGINX+統合管理ソフトウェア NGINX+のロードバランサやAPI Gateway、更にマルチクラウド環境に おいても容易に管理が可能。 GUIに加えAPIでの制御が可能 NGINX Unit NGINXが開発する新しいダイナミック アプリケーションサーバ OSSで提供されており、複数の プログラミング言語をサポート。 NGINX UnitはREST APIを用いて 設定変更が可能 High quality Support
| ©2020 F513 DELIVERING MODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD NGINX Service Mesh NGINX Plusで複雑な マイクロサービス、アプリケーション間の 通信問題を解決するシンプルな サービスメッシュソリューション。 NGINX App Protect アプリケーションに特化した Web Application Firewall NGINX+にシームレスに統合可能な 新しいWAF。 F5の実績に基づき、 高速な高品質なWAFを実現 Open BetaNEW NGINX 製品 NGINX Ingress Controller Kubernetes環境への 外部アクセスをコントロール。 NGINX機能をIngressリソース を通じて管理可能。 NGINX App Protect対応 High quality Support
| ©2020 F514 CONFIDENTIAL NGINX同時接続の処理能力 メモリ使用量 秒間リクエスト処理数 https://www.nginx.com/blog/using-nginx-plus-web-server/ NGINXは同時コネクション数に関わらず 高い性能を維持 長期間に渡り、安定・高速動作を維持 導入時点の実装から長年に渡り大きな 構成変更は不要 NGINXは同時コネクション数メモリ使用 量を抑える設計 導入時点で最大値を見込んだ大きなリ ソースの確保は不要であり、長年の利用 に追いて大きな変更が発生しない システム運用に求められる 「高負荷時」の安定性
| ©2020 F515 CONFIDENTIAL NGINXサイジング (Reverse Proxy) ※サイジングの最新の情報は以下の記事を参照してください https://www.nginx.com/resources/datasheets/nginx-plus-sizing-guide/ https://www.nginx.com/blog/nginx-plus-sizing-guide-how-we-tested/ 1. Intel Xeon E5-2699 v4 CPUs @ 2.3 GHzでテストを実施 2. 1 KB response size 、 keepalive connection を利用 3. RSA 2048 bit, ECDHE-RSA-AES-GCM-SHA384, OpenSSL 1.0.2 4. ECC 256 bit, ECDHE-ECDSA-AES256-GCM-SHA384, OpenSSL 1.0.2 6. 1 MB response size HARDWARE SPECS EXPECTED PERFORMANCE 2 CPU cores *1 4 GB RAM 2x1 GbE NIC 500 GB HDD 90,000 RPS *2 4,000 SSL TPS (RSA) *3 4,500 SSL TPS (ECC) *4 1 Gbps throughput *5 2 CPU cores 4 GB RAM 2x10 GbE NIC 500 GB HDD 90,000 RPS 4,000 SSL TPS (RSA) 4,500 SSL TPS (ECC) 10 Gbps throughput 4 CPU cores 4 GB RAM 2x40 GbE NIC 500 GB HDD 175,000 RPS 7,500 SSL TPS (RSA) 8,500 SSL TPS (ECC) 5 Gbps throughput 8 CPU cores 4 GB RAM 2x40 GbE NIC 1 TB HDD 350,000 RPS 4,000 SSL TPS (RSA) 16,000 SSL TPS (ECC) 40 Gbps throughput 16 CPU cores 4 GB RAM 2x40 GbE NIC 1 TB HDD 650,000 RPS 27,000 SSL TPS (RSA) 30,000 SSL TPS (ECC) 40 Gbps throughput 32 CPU cores 8 GB RAM 4x40 GbE NIC 1 TB HDD 1,000,000 RPS 48,000 SSL TPS (RSA) 52,000 SSL TPS (ECC) 70 Gbps throughput 44 CPU cores 16 GB RAM 4x40 GbE NIC 1 TB HDD 1,200,000 RPS 61,000 SSL TPS (RSA) 64,000 SSL TPS (ECC) 70 Gbps throughput NGINXはCPU Core数に応じて通信の並列処理を実施します CPUコア数に応じてパフォーマンスが向上します ハードウェア:Dell PowerEdge + Intel NICs CPU Network Memor y 2x Intel(R) Xeon(R) CPU E5-2699 v3 @ 2.30GHz, 36 real (or 72 HT) cores 2x Intel XL710 40GbE QSFP+ (rev 01) 16 GB
| ©2020 F516 CONFIDENTIAL NGINX 利用構成:高機能キャッシュサーバ Drivers登録 microservice PC向け microservice モバイル microservice /app01 /pc/* = /mobile/* /app01 /pc/ /mobile/* TCP/UDP, HTTP/HTTPS, gRPC, コンテンツキャッシュ, WAF アクセス制御, レート制限, ダッシュボード
| ©2020 F517 CONFIDENTIAL NGINX Plusで追加されている機能 • ロードバランシング 負荷分散アルゴリズム, セッション維持, L7ヘルスチェック • 動的設定変更 REST API, アップストリーム, SSL証明書, Key-Valueストア, キャッシュ削除 • 監視 REST API, ダッシュボード, Prometheus, DataDogエージェント • 公式Dockerfile 公式ドキュメント, NGINX Ingress Controller • 高可用性とクラスタリング HA構成, ステート情報の共有, クラウド環境スケールアップ/ダウン • 認証 OpenID, JWT • Webアプリケーションファイアウォール NGINX App Protect • 認定サードパーティ動的モジュール NGINX, コミュニティ, 認定ISV
| ©2020 F518 CONFIDENTIAL NGINX Plus 商用サブスクリプション • テクニカルサポート 受賞歴 (Steve Gold 9.7/10) 顧客満足度 • 定期的な機能追加更新 安定したサイクル (年約3回, 4月,9月,12月) • F5でテストされたソフトウェアバイナリ コミュニティ実証済み, NGINXによる追加テスト • プロアクティブなセキュリティ更新プログラム セキュリティパッチ, ホットフィックスの提供 • 機密性 公開フォーラムではなく、プライベートでのサポート • 製品の方向性に影響を与える ロードマップ, 製品開発チームへのアクセス • 商用サブスクリプションの有効期限が切れた場合 • NGINX Plusは正常に動作し続けます. • 最新版アップデートが不可となります. • サブスクリプション更新後は最新版アップデートが可能です.
| ©2020 F519 NGINX コンテンツキャッシュ
| ©2020 F520 CONFIDENTIAL NGINX Plus キャッシュ ソリューションの仕組み DNS GSLB Big-IP 1 2 3 1. ローカルで利用可能なキャッ シュされたコンテンツは、 NGINX キャッシュから ユーザーに直接提供されます。 3 TCP/UDP, HTTP/HTTPS, gRPC, WAF, アクセス制御, レート制限, ダッシュボード コンテンツキャッシュ(Static/Dynamic/HLS etc) 1. ユーザーリクエスト www.example.comとDNS GSLB Big-IPは、ユーザーを 最も近い「POP」エッジキャッ シュの場所に誘導します。 2. 初回の要求、更新された新しい コンテンツ、またはキャッシュ できない動的コンテンツ等は、 配信サーバーにリクエストを行 います. 2 1
| ©2020 F521 CONFIDENTIAL NGINXキャッシュプロセス • NGINX は MD5 ハッシュを生成します。(キャッシュファイルのキー文字列) • NGINX は メモリ上ハッシュをチェックします。 dcc2d2aea7 ローカルディスク • ハッシュ値はメモリに保存 • キャッシュファイルはローカルディスクに保存
| ©2020 F522 CONFIDENTIAL APIによるDiskからキャッシュコンテンツのパージ パージ方法は以下の二種類 • キャッシュコンテンツのキーが分かる場合、当該 フォルダより該当のコンテンツを削除 • NGINX Plusの場合、以下のようにAPIを用 いたキャッシュコンテンツのパージが可能 $ curl -X PURGE -D – "http://localhost:8001/*" HTTP/1.1 204 No Content Server: nginx/1.5.12 Date: Sat, 03 May 2014 16:33:04 GMT Connection: keep-alive X-Cache-Key: httplocalhost:8002/* MethodがPURGEの場合 $purge_methodに値をセット (下の処理で値が上書きされる) 送信元IPアドレスに応じた値を $purge_allowedにセット MethodがPURGEの場合 $purge_methodに $purge_allowedの値をセット
| ©2020 F523 CONFIDENTIAL NGINX Plus:ステータス管理画面
| ©2020 F524 CONFIDENTIAL NGINX Controller:ステータス管理画面 Cache 利用状況 ORIGINへの通信状況 CPU負荷 その他詳細 東京エリア 大阪エリア
| ©2020 F525 NGINX WAF (App Protect)
| ©2020 F526 NGINX App Protect ワールドワイドで実績豊富なF5製WAFの機能を移植 (Signature/DataGuard/HTTP Compliance/Evasion Techniques等)Secure Manage CI/CD Friendly NGINXの動的モジュールとして提供(現在、NGINX Plusのみ対応) • 仮想マシン/コンテナの双方で動作可能 • ゲートウェイ型/ホスト型 • Ingress Controller 軽量なため、CI/CDパイプライン上でのデプロイが容易 CONFIDENTIAL
| ©2020 F527 最新のアプリに最適な デザイン パフォーマンスと拡張性を備えた高パフォーマ ンスセキュリティ Web アプリケーション プラットフォームへの シームレスな統合を実現 高性能 軽量 フットプリント シームレスな NGINX統合 OSSと比較して 20倍以上の速度 宣言型ポリシー AppDev有効 フィードバックループ セキュリティを 自動化する NGINXによる「高速性」「安定性」 DevSecOpsの実現。DevとSecのシームレスな統合 CONFIDENTIAL
| ©2020 F528 LB LB (CODE) (CODE) ホスト型による個別Webアプリケーション保護 • 個別のWebサーバへ導入 • WEBサーバの動的モジュールとして稼働 • ホスト単位でアプリケーション保護が可能 • 既存のサーバ構成をそのまま維持 (NGINX Plusの導入は別途必要) • NGINX Plusをリバースプロキシとして配置し、 NGINX App Protectを導入 • NGINX App Protectの導入数を抑えながら、包括 的にWebアプリケーションを保護 ゲートウェイ型によるWebアプリケーション保護 オンプレミス オンプレミス CONFIDENTIAL (CODE) (CODE)
| ©2020 F529 ロギング機能 Security Log
| ©2020 F530 Security Log Attribute Name Description attack_type A list of comma separated names of suspected attacks identified in a transaction. blocking_exception_reason The blocking exception reason when a configured violation was not blocked.| date_time The date and time the request was received by App Protect. dest_port The port assigned to listen to incoming requests. ip_client The source IP of the client initiating the request Note: if a proxy is being used, this may differ from the IP in the X-forwarded-for header. is_truncated A flag that returns TRUE if a request is truncated in the security logs. method The method of request. For example, GET, POST, HEAD. policy_name The name of the App Protect policy for which the violation was triggered. protocol The protocol used, either HTTP or HTTPS if terminating SSL on App Protect. request The entire request including headers, query string, and data. request_status •The status of client request made to Web Application as assigned by the App Protect policy. The possible values are:blocked: The request was blocked due to a violation encountered. A blocking response page was returned to the client. •alerted: The request contains violation(s) but is not blocked (typical in cases where the enforcement mode is set to transparent). •passed: A successful request with no violations. response_code The response code returned by the server. severity The maximum severity calculated from all violations found in the request. It is a static value coming from the Violations. sig_cves Signature CVEs value of the matched signatures. sig_ids Signature ID value of the matching signature that resulted in the violation. sig_names Signature name of the matching signature that resulted in the violation. sig_set_names The signature set names of the matched signatures. src_port The source port of the client. sub_violations Refers to the sub-violations detected under the ‘HTTP protocol compliance failed’ and the ‘Evasion technique detected’ violations. support_id A unique identifier for a transaction. unit_hostname host name of the app-protect instance uri The URI or Uniform Resource Identifier of the request. violation_details XML including details about each violation. violation_rating Estimation of the likelihood that the request is indeed a threat on a scale of 0 to 5: 0 - not a threat (no violations), 5 - most likely a threat vs_name A unique identifier of the location in the nginx.conf file that this request is associated with. It contains the line number of the containing server block in nginx.conf, the server name, a numeric discriminator that distinguishes between multiple entries within the same server, and the location name. For example: ’34-mydomain.com:0-~/.*php(2). x_forwarded_for_header_value X-Forwarded-For header information. This option is commonly used when proxies are involved to track the originator of the request. outcome •One of the following:PASSED: the request was sent to the backend server. •REJECTED: the request was blocked. outcome_reason •One of the following:SECURITY_WAF_OK: allowed with no violations (legal request). •SECURITY_WAF_VIOLATION: blocked due to security violations. •SECURITY_WAF_FLAGGED: allowed, although it has violations (illegal). violations Comma-separated list of logical violation names (e.g. “VIOL_ATTACK_SIGNATURES,VIOL_HTTP_PROTOCOL”) • App Protect独自にログを生成 • フィルタリングが可能 (all/illegal/blocked) • 右記属性を選択し出力可能 • syslog(TCP)にて出力 CONFIDENTIAL
| ©2020 F531 Custom Log https://docs.nginx.com/nginx-app-protect/troubleshooting/ { "filter": { "request_type": "all" }, "content": { "format": "default", "max_request_size": "any", "max_message_size": "5k" } } Simple Log "content": { "format": "user-defined", "format_string": "client_ip=%ip_client%,client_port=%src_port%,request=%request%,violations=%violations%,signature_ids=%sig_ids%", "max_request_size": "any", "max_message_size": "5k" } Log Message Key-Value Format "content": { "format": "user-defined", "format_string": "Request ID %support_id%: %method% %uri% received on %date_time% from IP %ip_client% had the following violations: %violations%", "max_request_size": "any", "max_message_size": "5k" } A Verbose Custom Format Message CONFIDENTIAL
| ©2020 F532 Security Logの可視化 (ELKスタックとの組み合わせ) NGINX App Protect Syslog/tcp CONFIDENTIAL
| ©2020 F533 顧客事例
Akamaiから NGINX Plusへ 変更したCDNは 初年度で400万 ドルのコスト削減 34 チャレンジ • アプリケーションのモダナイ ゼーション • 支払カードの取り扱いの ためのセキュリティとコンプ ライアンス • 既存のCDNサービスには 高価な超過料金 ソリューション • NGINX Plus と NGINX App Protect • クラウド ベンダーによるDNS グローバル負荷分散 • マルチクラウドでコンテンツ キャッシュ環境を構築 結果 • 複数のクラウドプラットフォーム の導入の柔軟性とサポート • 使いやすさ、数時間でのリリー スデプロイ • Web アプリケーション ファイア ウォールを使用した高度なセ キュリティ アメリカの大手電子商取引小売業者で、売上高は120億ドルを超え ています。同社は、カタログ、ウェブサイト、および米国の店舗を通じて ランジェリー、婦人服、美容製品を販売しています
Netflixは CDNコストを削 減し、190カ国で 1億5,800万人 以上の加入者を 支える 35 チャレンジ • 需要に追いつくために苦慮し たCDNベンダー(Akamai、 Limelight, Level3) • コスト上昇 • CDNコントロール欠如 ソリューション • NGINXを使用して独自の CDNを作成 • すべてのISPに無料で14 TB 1RUアプライアンスを提供 『NGINX Webサーバーソフトウェアは、その実績ある拡張性とパフォーマ ンスが実証されているため、このソフトウェアを選択しました。NGINX社の コアエンジニアリングチームと直接協力することで、プロジェクトの開発支援 を受けました』 - フローランス、Netflixのコンテンツ配信担当副社長 結果 • ユーザーのエクスペリエンスを向上 • CDN手数料なしでコストを削減 • ISP のパートナーのネットワーク トラフィックの削減
| ©2020 F536 CONFIDENTIAL 国内事例: NTT Plala様 https://sios.jp/products/oss/nginx/showcase/nttplala.html REST APIによる キャッシュ削除
| ©2020 F537 提案構成・サイジング
| ©2020 F538 CONFIDENTIAL NGINX キャッシュ環境構成 Load Balancer Content Caching NGINX共通の特徴 Site-A Site-B Site-C : Original Contents User Application DDoS : RateLimit Web Attack : WAF NGINX Controller NGINX Plus BIG-IP • 柔軟なプロトコル対応 • 高速なSSL・通信制御 • 同一サイトを通常時利用し、障害時別サイトを バックアップと指定 • 高度なアプリケーション制御を実現 • コンテンツキャッシュ • 通信量に応じた自由な水平スケール • 各種設定による自由なコンテンツキャッシュ • キャッシュPURGE APIを用いた外部より容易な キャッシュファイル管理 • キャッシュ転送に対する課金など発生しない • 環境に依存しない自由なデプロイ • ハードウェア、仮想マシン、コンテナ • オンプレミス、各種パブリッククラウド • DevOps , DevSecOpsによるキャッシュ管理 も含めた自動化 • NGINX Controllerによる横断的な設定管理 (LB)、アプリケーションセントリックな管理GUI
| ©2020 F539 CONFIDENTIAL NGINX キャッシュ環境構成:ご提供方法 Site-A Site-B Site-C : Original Contents User Application DDoS : RateLimit Web Attack : WAF NGINX Controller NGINX Plus BIG-IP 1年間のサブスクリプションライセンス • NGINX Controller + NGINX Plus ご提供方法・ライセンス ご確認内容 • NGINX App Protectのご利用想定有無 • 構築される環境で実施を予定されている通信量 (各環境で1時間あたり250Gbyte等)
| ©2020 F540 CONFIDENTIAL 参考:NGINX キャッシュサーバ サイジング 動作環境:Dell PowerEdge R730 CPU OS STORAGE MEMORY 24 CPUs x Intel(R) Xeon(R) CPU E5-2650 v4 @ 2.20GHz VMware vSphere 6 Enterprise Plus 72 TB 190 GB HOST origin cache1 cache2 cache3 CPU 12 vCPU 2 vCPU 4 vCPU 8 vCPU MEMORY 10 GB 4 GB 4 GB 4 GB MISS HTTP Requests/s: 159,841.66 Requests/s: 16,177.97 Requests/s: 30,023.65 Requests/s: 39,819.66 CACHE Transfer/s: 38.11MB Transfer/s: 3.86MB Transfer/s: 7.16MB Transfer/s: 9.49MB なし HTTPS Requests/s: 137,648.65 Requests/s: 10,220.42 Requests/s: 25,190.14 Requests/s: 33,833.40 Transfer/s: 32.81MB Transfer/s: 2.44MB Transfer/s: 6.01MB Transfer/s: 8.07MB HIT HTTP Requests/s: 33,904.27 Requests/s: 55,444.81 Requests/s: 10,8604.66 CACHE Transfer/s: 8.76MB Transfer/s: 14.33MB Transfer/s: 28.06MB あり HTTPS Requests/s: 28,507.00 Requests/s: 50,944.91 Requests/s: 88,162.65 Transfer/s: 7.37MB Transfer/s: 13.16MB Transfer/s: 22.78MB Client Cache Origin • wrkコマンドを用いて 負荷を計測 • 1byteのデータを取得
| ©2020 F541 プライベートCDN デモ
| ©2020 F542 CONFIDENTIAL プライベートCDN デモ Site-A Site-B Site-C : Original Contents User Application DDoS : RateLimit Web Attack : WAF NGINX Controller NGINX Plus • 動画ファイルのキャッシュ動作 • キャッシュファイルの削除・Purge API • キャッシュファイルを簡単にリフレッシュする方法 • 攻撃のブロック • NGINX Controller / ELK によるステータスの確認
| ©2020 F543 プライベートCDN で実現するWeb最適化
| ©2020 F5 NETWORKS44 オリジンサーバ 各団体・ Webサーバ DC 県DC FW/ UTM/ IPS BIG-IPプラットフォーム ・ADC (LTM) ・Proxy (LTM) ・WAF (AWAF) HW HW (Server) セキュリティクラウド NGINX Plus ・コンテンツキャッシュ BIG-IPプラットフォーム ・ADC (LTM) ・Proxy (LTM) ・WAF (AWAF) 仮想版 仮想版 GSLB F5 Cloud Service DNS 災害情報や 緊急の情報配信時など アクセス増加 平時 有事 HW (Server) 仮想版 NGINX Plus ・コンテンツキャッシュ 2 仮想基盤上にBIG-IP、 NGINX Plusを効率的 に配置。柔軟性向上 1 ハードウェアで堅牢な環 境を構築。専用リソース で高い性能 構成パターン オプション 3 有事における、突発的な ニーズに対応。 F5 CS/DNSによる自動 的な切り替え 4 Apache(OSS)で稼働さ せているWEBサイトを NGINXで高速化 1 2 3 3 4 仮想基盤 NGINX Controller による統合管理 NGINX Plus ・コンテンツキャッシュ ・ADC / WAF ・Rate Limit /GeoIP
| ©2020 F545 CONFIDENTIAL F5ご提供ソリューション 提供費用イメージ NGINX Controller 時間あたりの通信量 1年間のサブスクリプション BIG-IP LB / WAF等 アプライアンス費用 F5 Cloud Service 従量課金 ( ) 1 2 3 構成パターン オプション 自由なプランを設計することが可能ですので詳細についてはF5営業へお問い合わせください
| ©2020 F546 まとめ
| ©2020 F547 • NGINXのWebアプリケーションサーバとして高い柔軟性・安定性 • 大規模コンテンツキャッシュを支えるNGINXをお客様要件に合わせて 柔軟に・自由な構成でご利用いただけます • NGINXの活用の幅は広く、高速なWebServerとしてご活用いただくことも 可能であり、NGINX Controllerを用いて横断的な管理が可能です • F5による実績の豊富なWAF機能や、メーカーサポートを提供しシステムの 安定した運用保守の実現が可能です まとめ NGINXの活用により、柔軟でコスト最適なプライベートCDN環境を実現いただけます
| ©2020 F548 その他参考情報
NGINX ドキュメントとコンテンツ https://nginx.com/ https://docs.nginx.com/ RESOURCE BLOG https://nginx.co.jp/ リソース ブログ https://nginx.org/en/docs/ https://nginx.org/en/docs/dirindex.html
| ©2020 F550 無料トライアル https://www.nginx.co.jp/free-trial-request/ https://www.nginx.co.jp/free-trial-request-nginx-controller/ NGINX Plus, NGINX App Protect 無料トライアル NGINX Plusは、オールインワン型のソフトウェアロードバランサ、コンテンツキャッシュ、 Webサーバ、APIゲートウェイ、マイクロサービスプロキシです。NGINX App Protect は、業界トップクラスのF5の高度なWAFテクノロジーをNGINX Plusに搭載し最新の アプリケーションセキュリティを提供します。この2つの技術の融合により、最新の分散型 環境におけるWeb/モバイルアプリケーションの拡張性と保護が実現します。 NGINX Controllerの評価版 NGINX Controllerは、NGINXデータプレーンを管理するNGINXのコントロールプ レーンソリューションです。マルチクラウド環境でロードバランサ―、APIゲートウェイ、およ びサービスメッシュのスケーラブルな実装を容易に集中管理することができます。 お申し込みのお客様向けに、NGINX Controllerの無償評価版をご用意しています。 NGINX Plus無料トライアル NGINX Controller 無料トライアル
日本人コンサルタントがNGINX対応 1. コンサルティングチケットサービス 【サービス内容】 ・ リモートQAサポート ・ 窓口時間: F5営業日 (平日 9:00 - 18:00) ・ チケット有効期限: サービス開始から1年間 ※翌年同条件で更新いただいた場合、更新時点の未使用チケットの有効期限を3か月間延伸します。 ・ 対応数: 15チケット (1チケット4時間相当) ・ F5オフィスでのご対応(メールベース、必要に応じて電話連絡) - チケットの消費量と残りチケット数は、連絡時に担当コンサルタントよりご提示させていただきます。 - 通常は1チケットによる対応となります。ただし、作業の想定所要時間に応じて 複数チケットまたは1チケット以下の対応になる場合もあります。 - 受付けたチケットの想定チケット消費量に関してはF5コンサルタントがチケット受付の際にご報告いたします。 以上 F5 コンサルティングチケットサービス
お問い合わせ https://www.nginx.co.jp/contact-sales/ • 製品/購入に関するお問い合わせ • 構成・設計に関するご相談 など お気軽にお問い合わせください ■ NGINX お問い合わせ■ F5担当営業
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー

More Related Content

PDF
YugabyteDBを使ってみよう(NewSQL/分散SQLデータベースよろず勉強会 #1 発表資料)
NTT DATA Technology & Innovation
 
PDF
Windowsコンテナ入門
Kyohei Mizumoto
 
PDF
DockerとPodmanの比較
Akihiro Suda
 
PDF
initramfsについて
Kazuhiro Nishiyama
 
PDF
コンテナにおけるパフォーマンス調査でハマった話
Yuta Shimada
 
PDF
WebSocket / WebRTCの技術紹介
Yasuhiro Mawarimichi
 
PDF
HTTP/2 入門
Yahoo!デベロッパーネットワーク
 
PDF
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
Daichi Koike
 
YugabyteDBを使ってみよう(NewSQL/分散SQLデータベースよろず勉強会 #1 発表資料)
NTT DATA Technology & Innovation
 
Windowsコンテナ入門
Kyohei Mizumoto
 
DockerとPodmanの比較
Akihiro Suda
 
initramfsについて
Kazuhiro Nishiyama
 
コンテナにおけるパフォーマンス調査でハマった話
Yuta Shimada
 
WebSocket / WebRTCの技術紹介
Yasuhiro Mawarimichi
 
HTTP/2 入門
Yahoo!デベロッパーネットワーク
 
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
Daichi Koike
 

What's hot (20)

PDF
アーキテクチャから理解するPostgreSQLのレプリケーション
Masahiko Sawada
 
PPTX
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
NTT DATA Technology & Innovation
 
PDF
こわくない Git
Kota Saito
 
PPTX
Metaspace
Yasumasa Suenaga
 
PPTX
このPHP QAツールがすごい!2019
sasezaki
 
PPTX
冬のLock free祭り safe
Kumazaki Hiroki
 
PPTX
Dockerからcontainerdへの移行
Akihiro Suda
 
PDF
コンテナの作り方「Dockerは裏方で何をしているのか?」
Masahito Zembutsu
 
PPTX
HTTP2 最速実装 〜入門編〜
Kaoru Maeda
 
PPTX
Rootlessコンテナ
Akihiro Suda
 
PPTX
std::pin の勘所
Hiroaki Goto
 
PDF
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Noritaka Sekiyama
 
PDF
Pythonでパケット解析
euphoricwavism
 
PDF
DPDKによる高速コンテナネットワーキング
Tomoya Hibi
 
PDF
株式会社コロプラ『GKE と Cloud Spanner が躍動するドラゴンクエストウォーク』第 9 回 Google Cloud INSIDE Game...
Google Cloud Platform - Japan
 
PPTX
Apache Spark on Kubernetes入門(Open Source Conference 2021 Online Hiroshima 発表資料)
NTT DATA Technology & Innovation
 
PDF
IoT時代におけるストリームデータ処理と急成長の Apache Flink
Takanori Suzuki
 
PPTX
Redisの特徴と活用方法について
Yuji Otani
 
PDF
Linux女子部 systemd徹底入門
Etsuji Nakai
 
PDF
Nginxを使ったオレオレCDNの構築
ichikaway
 
アーキテクチャから理解するPostgreSQLのレプリケーション
Masahiko Sawada
 
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
NTT DATA Technology & Innovation
 
こわくない Git
Kota Saito
 
Metaspace
Yasumasa Suenaga
 
このPHP QAツールがすごい!2019
sasezaki
 
冬のLock free祭り safe
Kumazaki Hiroki
 
Dockerからcontainerdへの移行
Akihiro Suda
 
コンテナの作り方「Dockerは裏方で何をしているのか?」
Masahito Zembutsu
 
HTTP2 最速実装 〜入門編〜
Kaoru Maeda
 
Rootlessコンテナ
Akihiro Suda
 
std::pin の勘所
Hiroaki Goto
 
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Noritaka Sekiyama
 
Pythonでパケット解析
euphoricwavism
 
DPDKによる高速コンテナネットワーキング
Tomoya Hibi
 
株式会社コロプラ『GKE と Cloud Spanner が躍動するドラゴンクエストウォーク』第 9 回 Google Cloud INSIDE Game...
Google Cloud Platform - Japan
 
Apache Spark on Kubernetes入門(Open Source Conference 2021 Online Hiroshima 発表資料)
NTT DATA Technology & Innovation
 
IoT時代におけるストリームデータ処理と急成長の Apache Flink
Takanori Suzuki
 
Redisの特徴と活用方法について
Yuji Otani
 
Linux女子部 systemd徹底入門
Etsuji Nakai
 
Nginxを使ったオレオレCDNの構築
ichikaway
 
Ad

Similar to 講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー (20)

PDF
NGINXセミナー(基本編)~いまさら聞けないNGINXコンフィグなど基本がわかる!
NGINX, Inc.
 
PPTX
Introducing NGINX App Protect (Japanese Webinar)
NGINX, Inc.
 
PDF
NGINX製品の最新機能アップデート情報
NGINX, Inc.
 
PDF
NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」
Takaaki Suzuki
 
PDF
NGINX Instance Manager Tames the Sprawl (Japanese version)
NGINX, Inc.
 
PPTX
Why NGINX Plus/NGINX Controller for NGINX OSS users
NGINX, Inc.
 
PDF
「これからはじめるNGINX技術解説~基本編」セミナー (NGINX Back to Basic in JP)
NGINX, Inc.
 
PDF
【Interop Tokyo 2015】最新セキュリティサーベイからみるトレンドと解決策
Juniper Networks (日本)
 
PDF
Otrs&OTOBO_document 20210402
IO Architect Inc.
 
PPTX
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
 
PDF
オープンソースのIoT向けスケールアウト型データベース GridDB 〜性能ベンチマーク結果とOSSを利用したビッグデータ分析環境〜
griddb
 
PDF
NGINX Ingress Controller on RedHat OpenShift.pdf
FumieNakayama
 
PPTX
Secure Kubernetes Apps in Production (Japanese Webinar)
NGINX, Inc.
 
PPTX
NGINX + Ansible Automation Webinar (日本語版)
NGINX, Inc.
 
PDF
Cisco Systems ACI概要 とCitrix NetScaler との連携
Citrix Systems Japan
 
PPTX
API and Modern App Security for Microservices
NGINX, Inc.
 
PDF
Cloud Days Tokyo 2015 "オンプレミス環境のクラウド化と運用を楽にする OpenStack ソリューション ~ハイブリッド・クラウドを...
Shinichiro Arai
 
PDF
Gmo media.inc 第9回西日本ossの普及を考える会
Dai Utsui
 
PPTX
NGINX New Features (Japanese Webinar)
NGINX, Inc.
 
PDF
201805 webcast and kollective digital media proposal west
Hiroyuki Yokota
 
NGINXセミナー(基本編)~いまさら聞けないNGINXコンフィグなど基本がわかる!
NGINX, Inc.
 
Introducing NGINX App Protect (Japanese Webinar)
NGINX, Inc.
 
NGINX製品の最新機能アップデート情報
NGINX, Inc.
 
NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」
Takaaki Suzuki
 
NGINX Instance Manager Tames the Sprawl (Japanese version)
NGINX, Inc.
 
Why NGINX Plus/NGINX Controller for NGINX OSS users
NGINX, Inc.
 
「これからはじめるNGINX技術解説~基本編」セミナー (NGINX Back to Basic in JP)
NGINX, Inc.
 
【Interop Tokyo 2015】最新セキュリティサーベイからみるトレンドと解決策
Juniper Networks (日本)
 
Otrs&OTOBO_document 20210402
IO Architect Inc.
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
 
オープンソースのIoT向けスケールアウト型データベース GridDB 〜性能ベンチマーク結果とOSSを利用したビッグデータ分析環境〜
griddb
 
NGINX Ingress Controller on RedHat OpenShift.pdf
FumieNakayama
 
Secure Kubernetes Apps in Production (Japanese Webinar)
NGINX, Inc.
 
NGINX + Ansible Automation Webinar (日本語版)
NGINX, Inc.
 
Cisco Systems ACI概要 とCitrix NetScaler との連携
Citrix Systems Japan
 
API and Modern App Security for Microservices
NGINX, Inc.
 
Cloud Days Tokyo 2015 "オンプレミス環境のクラウド化と運用を楽にする OpenStack ソリューション ~ハイブリッド・クラウドを...
Shinichiro Arai
 
Gmo media.inc 第9回西日本ossの普及を考える会
Dai Utsui
 
NGINX New Features (Japanese Webinar)
NGINX, Inc.
 
201805 webcast and kollective digital media proposal west
Hiroyuki Yokota
 
Ad

More from NGINX, Inc. (20)

PDF
【NGINXセミナー】 Ingressを使ってマイクロサービスの運用を楽にする方法
NGINX, Inc.
 
PDF
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
NGINX, Inc.
 
PDF
【NGINXセミナー】API ゲートウェイとしてのNGINX Plus活用方法
NGINX, Inc.
 
PPTX
Get Hands-On with NGINX and QUIC+HTTP/3
NGINX, Inc.
 
PPTX
Managing Kubernetes Cost and Performance with NGINX & Kubecost
NGINX, Inc.
 
PDF
Manage Microservices Chaos and Complexity with Observability
NGINX, Inc.
 
PDF
Accelerate Microservices Deployments with Automation
NGINX, Inc.
 
PDF
Unit 2: Microservices Secrets Management 101
NGINX, Inc.
 
PDF
Unit 1: Apply the Twelve-Factor App to Microservices Architectures
NGINX, Inc.
 
PDF
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
NGINX, Inc.
 
PDF
Easily View, Manage, and Scale Your App Security with F5 NGINX
NGINX, Inc.
 
PDF
Keep Ahead of Evolving Cyberattacks with OPSWAT and F5 NGINX
NGINX, Inc.
 
PPTX
Install and Configure NGINX Unit, the Universal Application, Web, and Proxy S...
NGINX, Inc.
 
PPTX
Protecting Apps from Hacks in Kubernetes with NGINX
NGINX, Inc.
 
PPTX
NGINX Kubernetes API
NGINX, Inc.
 
PPTX
Successfully Implement Your API Strategy with NGINX
NGINX, Inc.
 
PPTX
Installing and Configuring NGINX Open Source
NGINX, Inc.
 
PPTX
Shift Left for More Secure Apps with F5 NGINX
NGINX, Inc.
 
PPTX
How to Avoid the Top 5 NGINX Configuration Mistakes.pptx
NGINX, Inc.
 
PDF
Kubernetes環境で実現するWebアプリケーションセキュリティ
NGINX, Inc.
 
【NGINXセミナー】 Ingressを使ってマイクロサービスの運用を楽にする方法
NGINX, Inc.
 
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
NGINX, Inc.
 
【NGINXセミナー】API ゲートウェイとしてのNGINX Plus活用方法
NGINX, Inc.
 
Get Hands-On with NGINX and QUIC+HTTP/3
NGINX, Inc.
 
Managing Kubernetes Cost and Performance with NGINX & Kubecost
NGINX, Inc.
 
Manage Microservices Chaos and Complexity with Observability
NGINX, Inc.
 
Accelerate Microservices Deployments with Automation
NGINX, Inc.
 
Unit 2: Microservices Secrets Management 101
NGINX, Inc.
 
Unit 1: Apply the Twelve-Factor App to Microservices Architectures
NGINX, Inc.
 
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
NGINX, Inc.
 
Easily View, Manage, and Scale Your App Security with F5 NGINX
NGINX, Inc.
 
Keep Ahead of Evolving Cyberattacks with OPSWAT and F5 NGINX
NGINX, Inc.
 
Install and Configure NGINX Unit, the Universal Application, Web, and Proxy S...
NGINX, Inc.
 
Protecting Apps from Hacks in Kubernetes with NGINX
NGINX, Inc.
 
NGINX Kubernetes API
NGINX, Inc.
 
Successfully Implement Your API Strategy with NGINX
NGINX, Inc.
 
Installing and Configuring NGINX Open Source
NGINX, Inc.
 
Shift Left for More Secure Apps with F5 NGINX
NGINX, Inc.
 
How to Avoid the Top 5 NGINX Configuration Mistakes.pptx
NGINX, Inc.
 
Kubernetes環境で実現するWebアプリケーションセキュリティ
NGINX, Inc.
 

講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー

  • 3. | ©2020 F53 Agenda •自治体セキュリティクラウド要件とCDN •NGINX のご紹介 •NGINX CDN 顧客事例 •NGINX CDN 提供構成・サイジング •プライベートCDN で実現するWeb最適化 •まとめ
  • 5. | ©2020 F55 CONFIDENTIAL 次期自治体情報セキュリティクラウドの標準要件 F5 BIG-IP/NGINX対応表 No サービス分類 機能/機器 用途 大分類 小分類 1 インターネット 通信の監視 監視 (障害切り分け、通報、 インシデント管理) ①Webサーバ 各自治体のWebサイトを運用するWebサーバを監視する 3 ③プロキシサーバ 各自治体とインターネットプロキシサーバ経由で通信させ、その通信を監視する 6 インシデントの 予防 ゲートウェイ対策 ①ファイアウォール 通信内容を検査し、管理する構成団体のポリシーに従った通信制御を行う 7 ④通信の復号対応 暗号化された通信やファイルを復号し、不正な通信内容の検知等を行い、不正 な通信を遮断する 10 ⑤URLフィルタ ブラックリスト方式及びホワイトリスト方式を利用し、不正なIPアドレス及びURLの 接続を遮断する 14 Webサーバ セキュリティ対策 ①WAF SQLインジェクションのような、Webアプリケーションへの不正 な通信を検知・防御する 15 ②CDN 住民への継続的な情報発信のために、Webサーバの負荷分 散をする 本セミナーご紹介機能 特別特価 キャンペーン 実施
  • 6. | ©2020 F56 CONFIDENTIAL Private CDN(NGINX)とCDNサービス:コスト最適化(案) CDNのみ Origin1 3 セキュリティクラウド・DC • 静的コンテンツ • 動的コンテンツ キャッシュサーバ • 動的コンテンツ(議会動画など) CDN • 静的コンテンツ キャッシュサーバ • 静的コンテンツ • 動的コンテンツ(議会動画など) Origin Origin Hybrid CDN Private CDN ※WAFは考慮から外してます。 CDN 費用 費用 費用 2 本セミナーご紹介機能 セキュリティクラウド・DC 個別でCDN契約済み 団体
  • 8. | ©2020 F58 CONFIDENTIAL CDNサービス・プロバイダー CDNサービスの多くは「NGINX」によってコンテンツキャッシュを実現しています
  • 9. | ©2020 F59 NGINX のご紹介
  • 10. | ©2020 F510 NGINXの歴史 NGINX (オープンソース) 2011 : Nginx, Inc. 設立 2013 : Nginx Plusリリース 2017 : Announced; - NGINX Controller - NGINX Unit 等 2019 2014 : NGINXが世界中上位10,000サイト 中最も利用されているWebServerとなる 2004 : NGINX 最初のリリース 2002 : イゴール・シソエフ (CTO of NGINX, Inc.) NGINXの開発を開始 2008 : Chrome / Android 最初のリリー ス 2007 : iPhone 最初のリリース 2014 : 世界のスマートフォン 10億台超え 2017 : 世界のスマートフォン 15億台超え イゴール・シソエフ Apache httpdでは、1つのサーバー での同時アクセス数の上限に問題 (C10K問題)を感じていた。 Apache httpdより同時アクセス数 の多いサーバーソフトもあったが、 機能が限定されていた。「そこで、 C10K問題に対応しつつ、静的ファ イルだけでなくほかのサーバーとの 連携機能を持ったWebサーバーとし てNGINXを開発することを決めた」 買収 CONFIDENTIAL 2020 : シェアTOP(約36%)、 4.5億サイトでWebトラフィックを処理
  • 11. | ©2020 F511 NGINX Plus – クラウドに依存せずポータブル ベアメタル マルチクラウド コンテナ Linux/BSD CPUs VMware vSphere Advanced Load Balancing Advanced Content Cache Web Server Reverse Proxy and Cache Advanced Monitoring & Management Advanced Security Controls CONFIDENTIAL
  • 12. | ©2020 F512 DELIVERING MODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD NGINX 製品 NGINX Plus All-In-One Software ロードバランサー、コンテンツキャッシュ、 Webサーバ 安定、高速、高機能 必要となるリソースは最小 NGINX Controller NGINX+統合管理ソフトウェア NGINX+のロードバランサやAPI Gateway、更にマルチクラウド環境に おいても容易に管理が可能。 GUIに加えAPIでの制御が可能 NGINX Unit NGINXが開発する新しいダイナミック アプリケーションサーバ OSSで提供されており、複数の プログラミング言語をサポート。 NGINX UnitはREST APIを用いて 設定変更が可能 High quality Support
  • 13. | ©2020 F513 DELIVERING MODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD NGINX Service Mesh NGINX Plusで複雑な マイクロサービス、アプリケーション間の 通信問題を解決するシンプルな サービスメッシュソリューション。 NGINX App Protect アプリケーションに特化した Web Application Firewall NGINX+にシームレスに統合可能な 新しいWAF。 F5の実績に基づき、 高速な高品質なWAFを実現 Open BetaNEW NGINX 製品 NGINX Ingress Controller Kubernetes環境への 外部アクセスをコントロール。 NGINX機能をIngressリソース を通じて管理可能。 NGINX App Protect対応 High quality Support
  • 14. | ©2020 F514 CONFIDENTIAL NGINX同時接続の処理能力 メモリ使用量 秒間リクエスト処理数 https://www.nginx.com/blog/using-nginx-plus-web-server/ NGINXは同時コネクション数に関わらず 高い性能を維持 長期間に渡り、安定・高速動作を維持 導入時点の実装から長年に渡り大きな 構成変更は不要 NGINXは同時コネクション数メモリ使用 量を抑える設計 導入時点で最大値を見込んだ大きなリ ソースの確保は不要であり、長年の利用 に追いて大きな変更が発生しない システム運用に求められる 「高負荷時」の安定性
  • 15. | ©2020 F515 CONFIDENTIAL NGINXサイジング (Reverse Proxy) ※サイジングの最新の情報は以下の記事を参照してください https://www.nginx.com/resources/datasheets/nginx-plus-sizing-guide/ https://www.nginx.com/blog/nginx-plus-sizing-guide-how-we-tested/ 1. Intel Xeon E5-2699 v4 CPUs @ 2.3 GHzでテストを実施 2. 1 KB response size 、 keepalive connection を利用 3. RSA 2048 bit, ECDHE-RSA-AES-GCM-SHA384, OpenSSL 1.0.2 4. ECC 256 bit, ECDHE-ECDSA-AES256-GCM-SHA384, OpenSSL 1.0.2 6. 1 MB response size HARDWARE SPECS EXPECTED PERFORMANCE 2 CPU cores *1 4 GB RAM 2x1 GbE NIC 500 GB HDD 90,000 RPS *2 4,000 SSL TPS (RSA) *3 4,500 SSL TPS (ECC) *4 1 Gbps throughput *5 2 CPU cores 4 GB RAM 2x10 GbE NIC 500 GB HDD 90,000 RPS 4,000 SSL TPS (RSA) 4,500 SSL TPS (ECC) 10 Gbps throughput 4 CPU cores 4 GB RAM 2x40 GbE NIC 500 GB HDD 175,000 RPS 7,500 SSL TPS (RSA) 8,500 SSL TPS (ECC) 5 Gbps throughput 8 CPU cores 4 GB RAM 2x40 GbE NIC 1 TB HDD 350,000 RPS 4,000 SSL TPS (RSA) 16,000 SSL TPS (ECC) 40 Gbps throughput 16 CPU cores 4 GB RAM 2x40 GbE NIC 1 TB HDD 650,000 RPS 27,000 SSL TPS (RSA) 30,000 SSL TPS (ECC) 40 Gbps throughput 32 CPU cores 8 GB RAM 4x40 GbE NIC 1 TB HDD 1,000,000 RPS 48,000 SSL TPS (RSA) 52,000 SSL TPS (ECC) 70 Gbps throughput 44 CPU cores 16 GB RAM 4x40 GbE NIC 1 TB HDD 1,200,000 RPS 61,000 SSL TPS (RSA) 64,000 SSL TPS (ECC) 70 Gbps throughput NGINXはCPU Core数に応じて通信の並列処理を実施します CPUコア数に応じてパフォーマンスが向上します ハードウェア:Dell PowerEdge + Intel NICs CPU Network Memor y 2x Intel(R) Xeon(R) CPU E5-2699 v3 @ 2.30GHz, 36 real (or 72 HT) cores 2x Intel XL710 40GbE QSFP+ (rev 01) 16 GB
  • 16. | ©2020 F516 CONFIDENTIAL NGINX 利用構成:高機能キャッシュサーバ Drivers登録 microservice PC向け microservice モバイル microservice /app01 /pc/* = /mobile/* /app01 /pc/ /mobile/* TCP/UDP, HTTP/HTTPS, gRPC, コンテンツキャッシュ, WAF アクセス制御, レート制限, ダッシュボード
  • 17. | ©2020 F517 CONFIDENTIAL NGINX Plusで追加されている機能 • ロードバランシング 負荷分散アルゴリズム, セッション維持, L7ヘルスチェック • 動的設定変更 REST API, アップストリーム, SSL証明書, Key-Valueストア, キャッシュ削除 • 監視 REST API, ダッシュボード, Prometheus, DataDogエージェント • 公式Dockerfile 公式ドキュメント, NGINX Ingress Controller • 高可用性とクラスタリング HA構成, ステート情報の共有, クラウド環境スケールアップ/ダウン • 認証 OpenID, JWT • Webアプリケーションファイアウォール NGINX App Protect • 認定サードパーティ動的モジュール NGINX, コミュニティ, 認定ISV
  • 18. | ©2020 F518 CONFIDENTIAL NGINX Plus 商用サブスクリプション • テクニカルサポート 受賞歴 (Steve Gold 9.7/10) 顧客満足度 • 定期的な機能追加更新 安定したサイクル (年約3回, 4月,9月,12月) • F5でテストされたソフトウェアバイナリ コミュニティ実証済み, NGINXによる追加テスト • プロアクティブなセキュリティ更新プログラム セキュリティパッチ, ホットフィックスの提供 • 機密性 公開フォーラムではなく、プライベートでのサポート • 製品の方向性に影響を与える ロードマップ, 製品開発チームへのアクセス • 商用サブスクリプションの有効期限が切れた場合 • NGINX Plusは正常に動作し続けます. • 最新版アップデートが不可となります. • サブスクリプション更新後は最新版アップデートが可能です.
  • 19. | ©2020 F519 NGINX コンテンツキャッシュ
  • 20. | ©2020 F520 CONFIDENTIAL NGINX Plus キャッシュ ソリューションの仕組み DNS GSLB Big-IP 1 2 3 1. ローカルで利用可能なキャッ シュされたコンテンツは、 NGINX キャッシュから ユーザーに直接提供されます。 3 TCP/UDP, HTTP/HTTPS, gRPC, WAF, アクセス制御, レート制限, ダッシュボード コンテンツキャッシュ(Static/Dynamic/HLS etc) 1. ユーザーリクエスト www.example.comとDNS GSLB Big-IPは、ユーザーを 最も近い「POP」エッジキャッ シュの場所に誘導します。 2. 初回の要求、更新された新しい コンテンツ、またはキャッシュ できない動的コンテンツ等は、 配信サーバーにリクエストを行 います. 2 1
  • 21. | ©2020 F521 CONFIDENTIAL NGINXキャッシュプロセス • NGINX は MD5 ハッシュを生成します。(キャッシュファイルのキー文字列) • NGINX は メモリ上ハッシュをチェックします。 dcc2d2aea7 ローカルディスク • ハッシュ値はメモリに保存 • キャッシュファイルはローカルディスクに保存
  • 22. | ©2020 F522 CONFIDENTIAL APIによるDiskからキャッシュコンテンツのパージ パージ方法は以下の二種類 • キャッシュコンテンツのキーが分かる場合、当該 フォルダより該当のコンテンツを削除 • NGINX Plusの場合、以下のようにAPIを用 いたキャッシュコンテンツのパージが可能 $ curl -X PURGE -D – "http://localhost:8001/*" HTTP/1.1 204 No Content Server: nginx/1.5.12 Date: Sat, 03 May 2014 16:33:04 GMT Connection: keep-alive X-Cache-Key: httplocalhost:8002/* MethodがPURGEの場合 $purge_methodに値をセット (下の処理で値が上書きされる) 送信元IPアドレスに応じた値を $purge_allowedにセット MethodがPURGEの場合 $purge_methodに $purge_allowedの値をセット
  • 23. | ©2020 F523 CONFIDENTIAL NGINX Plus:ステータス管理画面
  • 24. | ©2020 F524 CONFIDENTIAL NGINX Controller:ステータス管理画面 Cache 利用状況 ORIGINへの通信状況 CPU負荷 その他詳細 東京エリア 大阪エリア
  • 25. | ©2020 F525 NGINX WAF (App Protect)
  • 26. | ©2020 F526 NGINX App Protect ワールドワイドで実績豊富なF5製WAFの機能を移植 (Signature/DataGuard/HTTP Compliance/Evasion Techniques等)Secure Manage CI/CD Friendly NGINXの動的モジュールとして提供(現在、NGINX Plusのみ対応) • 仮想マシン/コンテナの双方で動作可能 • ゲートウェイ型/ホスト型 • Ingress Controller 軽量なため、CI/CDパイプライン上でのデプロイが容易 CONFIDENTIAL
  • 27. | ©2020 F527 最新のアプリに最適な デザイン パフォーマンスと拡張性を備えた高パフォーマ ンスセキュリティ Web アプリケーション プラットフォームへの シームレスな統合を実現 高性能 軽量 フットプリント シームレスな NGINX統合 OSSと比較して 20倍以上の速度 宣言型ポリシー AppDev有効 フィードバックループ セキュリティを 自動化する NGINXによる「高速性」「安定性」 DevSecOpsの実現。DevとSecのシームレスな統合 CONFIDENTIAL
  • 28. | ©2020 F528 LB LB (CODE) (CODE) ホスト型による個別Webアプリケーション保護 • 個別のWebサーバへ導入 • WEBサーバの動的モジュールとして稼働 • ホスト単位でアプリケーション保護が可能 • 既存のサーバ構成をそのまま維持 (NGINX Plusの導入は別途必要) • NGINX Plusをリバースプロキシとして配置し、 NGINX App Protectを導入 • NGINX App Protectの導入数を抑えながら、包括 的にWebアプリケーションを保護 ゲートウェイ型によるWebアプリケーション保護 オンプレミス オンプレミス CONFIDENTIAL (CODE) (CODE)
  • 30. | ©2020 F530 Security Log Attribute Name Description attack_type A list of comma separated names of suspected attacks identified in a transaction. blocking_exception_reason The blocking exception reason when a configured violation was not blocked.| date_time The date and time the request was received by App Protect. dest_port The port assigned to listen to incoming requests. ip_client The source IP of the client initiating the request Note: if a proxy is being used, this may differ from the IP in the X-forwarded-for header. is_truncated A flag that returns TRUE if a request is truncated in the security logs. method The method of request. For example, GET, POST, HEAD. policy_name The name of the App Protect policy for which the violation was triggered. protocol The protocol used, either HTTP or HTTPS if terminating SSL on App Protect. request The entire request including headers, query string, and data. request_status •The status of client request made to Web Application as assigned by the App Protect policy. The possible values are:blocked: The request was blocked due to a violation encountered. A blocking response page was returned to the client. •alerted: The request contains violation(s) but is not blocked (typical in cases where the enforcement mode is set to transparent). •passed: A successful request with no violations. response_code The response code returned by the server. severity The maximum severity calculated from all violations found in the request. It is a static value coming from the Violations. sig_cves Signature CVEs value of the matched signatures. sig_ids Signature ID value of the matching signature that resulted in the violation. sig_names Signature name of the matching signature that resulted in the violation. sig_set_names The signature set names of the matched signatures. src_port The source port of the client. sub_violations Refers to the sub-violations detected under the ‘HTTP protocol compliance failed’ and the ‘Evasion technique detected’ violations. support_id A unique identifier for a transaction. unit_hostname host name of the app-protect instance uri The URI or Uniform Resource Identifier of the request. violation_details XML including details about each violation. violation_rating Estimation of the likelihood that the request is indeed a threat on a scale of 0 to 5: 0 - not a threat (no violations), 5 - most likely a threat vs_name A unique identifier of the location in the nginx.conf file that this request is associated with. It contains the line number of the containing server block in nginx.conf, the server name, a numeric discriminator that distinguishes between multiple entries within the same server, and the location name. For example: ’34-mydomain.com:0-~/.*php(2). x_forwarded_for_header_value X-Forwarded-For header information. This option is commonly used when proxies are involved to track the originator of the request. outcome •One of the following:PASSED: the request was sent to the backend server. •REJECTED: the request was blocked. outcome_reason •One of the following:SECURITY_WAF_OK: allowed with no violations (legal request). •SECURITY_WAF_VIOLATION: blocked due to security violations. •SECURITY_WAF_FLAGGED: allowed, although it has violations (illegal). violations Comma-separated list of logical violation names (e.g. “VIOL_ATTACK_SIGNATURES,VIOL_HTTP_PROTOCOL”) • App Protect独自にログを生成 • フィルタリングが可能 (all/illegal/blocked) • 右記属性を選択し出力可能 • syslog(TCP)にて出力 CONFIDENTIAL
  • 31. | ©2020 F531 Custom Log https://docs.nginx.com/nginx-app-protect/troubleshooting/ { "filter": { "request_type": "all" }, "content": { "format": "default", "max_request_size": "any", "max_message_size": "5k" } } Simple Log "content": { "format": "user-defined", "format_string": "client_ip=%ip_client%,client_port=%src_port%,request=%request%,violations=%violations%,signature_ids=%sig_ids%", "max_request_size": "any", "max_message_size": "5k" } Log Message Key-Value Format "content": { "format": "user-defined", "format_string": "Request ID %support_id%: %method% %uri% received on %date_time% from IP %ip_client% had the following violations: %violations%", "max_request_size": "any", "max_message_size": "5k" } A Verbose Custom Format Message CONFIDENTIAL
  • 32. | ©2020 F532 Security Logの可視化 (ELKスタックとの組み合わせ) NGINX App Protect Syslog/tcp CONFIDENTIAL
  • 34. Akamaiから NGINX Plusへ 変更したCDNは 初年度で400万 ドルのコスト削減 34 チャレンジ • アプリケーションのモダナイ ゼーション • 支払カードの取り扱いの ためのセキュリティとコンプ ライアンス • 既存のCDNサービスには 高価な超過料金 ソリューション • NGINX Plus と NGINX App Protect • クラウド ベンダーによるDNS グローバル負荷分散 • マルチクラウドでコンテンツ キャッシュ環境を構築 結果 • 複数のクラウドプラットフォーム の導入の柔軟性とサポート • 使いやすさ、数時間でのリリー スデプロイ • Web アプリケーション ファイア ウォールを使用した高度なセ キュリティ アメリカの大手電子商取引小売業者で、売上高は120億ドルを超え ています。同社は、カタログ、ウェブサイト、および米国の店舗を通じて ランジェリー、婦人服、美容製品を販売しています
  • 35. Netflixは CDNコストを削 減し、190カ国で 1億5,800万人 以上の加入者を 支える 35 チャレンジ • 需要に追いつくために苦慮し たCDNベンダー(Akamai、 Limelight, Level3) • コスト上昇 • CDNコントロール欠如 ソリューション • NGINXを使用して独自の CDNを作成 • すべてのISPに無料で14 TB 1RUアプライアンスを提供 『NGINX Webサーバーソフトウェアは、その実績ある拡張性とパフォーマ ンスが実証されているため、このソフトウェアを選択しました。NGINX社の コアエンジニアリングチームと直接協力することで、プロジェクトの開発支援 を受けました』 - フローランス、Netflixのコンテンツ配信担当副社長 結果 • ユーザーのエクスペリエンスを向上 • CDN手数料なしでコストを削減 • ISP のパートナーのネットワーク トラフィックの削減
  • 36. | ©2020 F536 CONFIDENTIAL 国内事例: NTT Plala様 https://sios.jp/products/oss/nginx/showcase/nttplala.html REST APIによる キャッシュ削除
  • 38. | ©2020 F538 CONFIDENTIAL NGINX キャッシュ環境構成 Load Balancer Content Caching NGINX共通の特徴 Site-A Site-B Site-C : Original Contents User Application DDoS : RateLimit Web Attack : WAF NGINX Controller NGINX Plus BIG-IP • 柔軟なプロトコル対応 • 高速なSSL・通信制御 • 同一サイトを通常時利用し、障害時別サイトを バックアップと指定 • 高度なアプリケーション制御を実現 • コンテンツキャッシュ • 通信量に応じた自由な水平スケール • 各種設定による自由なコンテンツキャッシュ • キャッシュPURGE APIを用いた外部より容易な キャッシュファイル管理 • キャッシュ転送に対する課金など発生しない • 環境に依存しない自由なデプロイ • ハードウェア、仮想マシン、コンテナ • オンプレミス、各種パブリッククラウド • DevOps , DevSecOpsによるキャッシュ管理 も含めた自動化 • NGINX Controllerによる横断的な設定管理 (LB)、アプリケーションセントリックな管理GUI
  • 39. | ©2020 F539 CONFIDENTIAL NGINX キャッシュ環境構成:ご提供方法 Site-A Site-B Site-C : Original Contents User Application DDoS : RateLimit Web Attack : WAF NGINX Controller NGINX Plus BIG-IP 1年間のサブスクリプションライセンス • NGINX Controller + NGINX Plus ご提供方法・ライセンス ご確認内容 • NGINX App Protectのご利用想定有無 • 構築される環境で実施を予定されている通信量 (各環境で1時間あたり250Gbyte等)
  • 40. | ©2020 F540 CONFIDENTIAL 参考:NGINX キャッシュサーバ サイジング 動作環境:Dell PowerEdge R730 CPU OS STORAGE MEMORY 24 CPUs x Intel(R) Xeon(R) CPU E5-2650 v4 @ 2.20GHz VMware vSphere 6 Enterprise Plus 72 TB 190 GB HOST origin cache1 cache2 cache3 CPU 12 vCPU 2 vCPU 4 vCPU 8 vCPU MEMORY 10 GB 4 GB 4 GB 4 GB MISS HTTP Requests/s: 159,841.66 Requests/s: 16,177.97 Requests/s: 30,023.65 Requests/s: 39,819.66 CACHE Transfer/s: 38.11MB Transfer/s: 3.86MB Transfer/s: 7.16MB Transfer/s: 9.49MB なし HTTPS Requests/s: 137,648.65 Requests/s: 10,220.42 Requests/s: 25,190.14 Requests/s: 33,833.40 Transfer/s: 32.81MB Transfer/s: 2.44MB Transfer/s: 6.01MB Transfer/s: 8.07MB HIT HTTP Requests/s: 33,904.27 Requests/s: 55,444.81 Requests/s: 10,8604.66 CACHE Transfer/s: 8.76MB Transfer/s: 14.33MB Transfer/s: 28.06MB あり HTTPS Requests/s: 28,507.00 Requests/s: 50,944.91 Requests/s: 88,162.65 Transfer/s: 7.37MB Transfer/s: 13.16MB Transfer/s: 22.78MB Client Cache Origin • wrkコマンドを用いて 負荷を計測 • 1byteのデータを取得
  • 42. | ©2020 F542 CONFIDENTIAL プライベートCDN デモ Site-A Site-B Site-C : Original Contents User Application DDoS : RateLimit Web Attack : WAF NGINX Controller NGINX Plus • 動画ファイルのキャッシュ動作 • キャッシュファイルの削除・Purge API • キャッシュファイルを簡単にリフレッシュする方法 • 攻撃のブロック • NGINX Controller / ELK によるステータスの確認
  • 43. | ©2020 F543 プライベートCDN で実現するWeb最適化
  • 44. | ©2020 F5 NETWORKS44 オリジンサーバ 各団体・ Webサーバ DC 県DC FW/ UTM/ IPS BIG-IPプラットフォーム ・ADC (LTM) ・Proxy (LTM) ・WAF (AWAF) HW HW (Server) セキュリティクラウド NGINX Plus ・コンテンツキャッシュ BIG-IPプラットフォーム ・ADC (LTM) ・Proxy (LTM) ・WAF (AWAF) 仮想版 仮想版 GSLB F5 Cloud Service DNS 災害情報や 緊急の情報配信時など アクセス増加 平時 有事 HW (Server) 仮想版 NGINX Plus ・コンテンツキャッシュ 2 仮想基盤上にBIG-IP、 NGINX Plusを効率的 に配置。柔軟性向上 1 ハードウェアで堅牢な環 境を構築。専用リソース で高い性能 構成パターン オプション 3 有事における、突発的な ニーズに対応。 F5 CS/DNSによる自動 的な切り替え 4 Apache(OSS)で稼働さ せているWEBサイトを NGINXで高速化 1 2 3 3 4 仮想基盤 NGINX Controller による統合管理 NGINX Plus ・コンテンツキャッシュ ・ADC / WAF ・Rate Limit /GeoIP
  • 45. | ©2020 F545 CONFIDENTIAL F5ご提供ソリューション 提供費用イメージ NGINX Controller 時間あたりの通信量 1年間のサブスクリプション BIG-IP LB / WAF等 アプライアンス費用 F5 Cloud Service 従量課金 ( ) 1 2 3 構成パターン オプション 自由なプランを設計することが可能ですので詳細についてはF5営業へお問い合わせください
  • 47. | ©2020 F547 • NGINXのWebアプリケーションサーバとして高い柔軟性・安定性 • 大規模コンテンツキャッシュを支えるNGINXをお客様要件に合わせて 柔軟に・自由な構成でご利用いただけます • NGINXの活用の幅は広く、高速なWebServerとしてご活用いただくことも 可能であり、NGINX Controllerを用いて横断的な管理が可能です • F5による実績の豊富なWAF機能や、メーカーサポートを提供しシステムの 安定した運用保守の実現が可能です まとめ NGINXの活用により、柔軟でコスト最適なプライベートCDN環境を実現いただけます
  • 49. NGINX ドキュメントとコンテンツ https://nginx.com/ https://docs.nginx.com/ RESOURCE BLOG https://nginx.co.jp/ リソース ブログ https://nginx.org/en/docs/ https://nginx.org/en/docs/dirindex.html
  • 50. | ©2020 F550 無料トライアル https://www.nginx.co.jp/free-trial-request/ https://www.nginx.co.jp/free-trial-request-nginx-controller/ NGINX Plus, NGINX App Protect 無料トライアル NGINX Plusは、オールインワン型のソフトウェアロードバランサ、コンテンツキャッシュ、 Webサーバ、APIゲートウェイ、マイクロサービスプロキシです。NGINX App Protect は、業界トップクラスのF5の高度なWAFテクノロジーをNGINX Plusに搭載し最新の アプリケーションセキュリティを提供します。この2つの技術の融合により、最新の分散型 環境におけるWeb/モバイルアプリケーションの拡張性と保護が実現します。 NGINX Controllerの評価版 NGINX Controllerは、NGINXデータプレーンを管理するNGINXのコントロールプ レーンソリューションです。マルチクラウド環境でロードバランサ―、APIゲートウェイ、およ びサービスメッシュのスケーラブルな実装を容易に集中管理することができます。 お申し込みのお客様向けに、NGINX Controllerの無償評価版をご用意しています。 NGINX Plus無料トライアル NGINX Controller 無料トライアル
  • 51. 日本人コンサルタントがNGINX対応 1. コンサルティングチケットサービス 【サービス内容】 ・ リモートQAサポート ・ 窓口時間: F5営業日 (平日 9:00 - 18:00) ・ チケット有効期限: サービス開始から1年間 ※翌年同条件で更新いただいた場合、更新時点の未使用チケットの有効期限を3か月間延伸します。 ・ 対応数: 15チケット (1チケット4時間相当) ・ F5オフィスでのご対応(メールベース、必要に応じて電話連絡) - チケットの消費量と残りチケット数は、連絡時に担当コンサルタントよりご提示させていただきます。 - 通常は1チケットによる対応となります。ただし、作業の想定所要時間に応じて 複数チケットまたは1チケット以下の対応になる場合もあります。 - 受付けたチケットの想定チケット消費量に関してはF5コンサルタントがチケット受付の際にご報告いたします。 以上 F5 コンサルティングチケットサービス