NI
Uploaded byNGINX, Inc.
PPTX, PDF1,019 views

講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー

Webinar on 講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー

Embed presentation

Downloaded 29 times
コスト最適なプライベートCDNを 「NGINX」で実現するWeb最適化 F5ネットワークスジャパン合同会社
| ©2020 F52 F5ネットワークスジャパン合同会社 NGINX Technical Solutions Architect 松本 央
| ©2020 F53 Agenda •自治体セキュリティクラウド要件とCDN •NGINX のご紹介 •NGINX CDN 顧客事例 •NGINX CDN 提供構成・サイジング •プライベートCDN で実現するWeb最適化 •まとめ
| ©2020 F54 自治体情報セキュリティクラウド要件と CDN (Content Delivery Network)
| ©2020 F55 CONFIDENTIAL 次期自治体情報セキュリティクラウドの標準要件 F5 BIG-IP/NGINX対応表 No サービス分類 機能/機器 用途 大分類 小分類 1 インターネット 通信の監視 監視 (障害切り分け、通報、 インシデント管理) ①Webサーバ 各自治体のWebサイトを運用するWebサーバを監視する 3 ③プロキシサーバ 各自治体とインターネットプロキシサーバ経由で通信させ、その通信を監視する 6 インシデントの 予防 ゲートウェイ対策 ①ファイアウォール 通信内容を検査し、管理する構成団体のポリシーに従った通信制御を行う 7 ④通信の復号対応 暗号化された通信やファイルを復号し、不正な通信内容の検知等を行い、不正 な通信を遮断する 10 ⑤URLフィルタ ブラックリスト方式及びホワイトリスト方式を利用し、不正なIPアドレス及びURLの 接続を遮断する 14 Webサーバ セキュリティ対策 ①WAF SQLインジェクションのような、Webアプリケーションへの不正 な通信を検知・防御する 15 ②CDN 住民への継続的な情報発信のために、Webサーバの負荷分 散をする 本セミナーご紹介機能 特別特価 キャンペーン 実施
| ©2020 F56 CONFIDENTIAL Private CDN(NGINX)とCDNサービス:コスト最適化(案) CDNのみ Origin1 3 セキュリティクラウド・DC • 静的コンテンツ • 動的コンテンツ キャッシュサーバ • 動的コンテンツ(議会動画など) CDN • 静的コンテンツ キャッシュサーバ • 静的コンテンツ • 動的コンテンツ(議会動画など) Origin Origin Hybrid CDN Private CDN ※WAFは考慮から外してます。 CDN 費用 費用 費用 2 本セミナーご紹介機能 セキュリティクラウド・DC 個別でCDN契約済み 団体
| ©2020 F57 本日のセミナーポイント:システムに求められる要件 高速動作安定性 Webサービスの 高度な監視 高いセキュリティ 自治体セキュリティクラウドにおいて安定運用を実現するシステムが不可欠です 省リソース・コスト最小、構築・運用効率化 Webサービス 大容量・高速・需要増 攻撃者に狙われる 情報セキュリティの重要度増加 求められる要件
| ©2020 F58 CONFIDENTIAL CDNサービス・プロバイダー CDNサービスの多くは「NGINX」によってコンテンツキャッシュを実現しています
| ©2020 F59 NGINX のご紹介
| ©2020 F510 NGINXの歴史 NGINX (オープンソース) 2011 : Nginx, Inc. 設立 2013 : Nginx Plusリリース 2017 : Announced; - NGINX Controller - NGINX Unit 等 2019 2014 : NGINXが世界中上位10,000サイト 中最も利用されているWebServerとなる 2004 : NGINX 最初のリリース 2002 : イゴール・シソエフ (CTO of NGINX, Inc.) NGINXの開発を開始 2008 : Chrome / Android 最初のリリー ス 2007 : iPhone 最初のリリース 2014 : 世界のスマートフォン 10億台超え 2017 : 世界のスマートフォン 15億台超え イゴール・シソエフ Apache httpdでは、1つのサーバー での同時アクセス数の上限に問題 (C10K問題)を感じていた。 Apache httpdより同時アクセス数 の多いサーバーソフトもあったが、 機能が限定されていた。「そこで、 C10K問題に対応しつつ、静的ファ イルだけでなくほかのサーバーとの 連携機能を持ったWebサーバーとし てNGINXを開発することを決めた」 買収 CONFIDENTIAL 2020 : シェアTOP(約36%)、 4.5億サイトでWebトラフィックを処理
| ©2020 F511 NGINX Plus – クラウドに依存せずポータブル ベアメタル マルチクラウド コンテナ Linux/BSD CPUs VMware vSphere Advanced Load Balancing Advanced Content Cache Web Server Reverse Proxy and Cache Advanced Monitoring & Management Advanced Security Controls CONFIDENTIAL
| ©2020 F512 DELIVERING MODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD NGINX 製品 NGINX Plus All-In-One Software ロードバランサー、コンテンツキャッシュ、 Webサーバ 安定、高速、高機能 必要となるリソースは最小 NGINX Controller NGINX+統合管理ソフトウェア NGINX+のロードバランサやAPI Gateway、更にマルチクラウド環境に おいても容易に管理が可能。 GUIに加えAPIでの制御が可能 NGINX Unit NGINXが開発する新しいダイナミック アプリケーションサーバ OSSで提供されており、複数の プログラミング言語をサポート。 NGINX UnitはREST APIを用いて 設定変更が可能 High quality Support
| ©2020 F513 DELIVERING MODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD NGINX Service Mesh NGINX Plusで複雑な マイクロサービス、アプリケーション間の 通信問題を解決するシンプルな サービスメッシュソリューション。 NGINX App Protect アプリケーションに特化した Web Application Firewall NGINX+にシームレスに統合可能な 新しいWAF。 F5の実績に基づき、 高速な高品質なWAFを実現 Open BetaNEW NGINX 製品 NGINX Ingress Controller Kubernetes環境への 外部アクセスをコントロール。 NGINX機能をIngressリソース を通じて管理可能。 NGINX App Protect対応 High quality Support
| ©2020 F514 CONFIDENTIAL NGINX同時接続の処理能力 メモリ使用量 秒間リクエスト処理数 https://www.nginx.com/blog/using-nginx-plus-web-server/ NGINXは同時コネクション数に関わらず 高い性能を維持 長期間に渡り、安定・高速動作を維持 導入時点の実装から長年に渡り大きな 構成変更は不要 NGINXは同時コネクション数メモリ使用 量を抑える設計 導入時点で最大値を見込んだ大きなリ ソースの確保は不要であり、長年の利用 に追いて大きな変更が発生しない システム運用に求められる 「高負荷時」の安定性
| ©2020 F515 CONFIDENTIAL NGINXサイジング (Reverse Proxy) ※サイジングの最新の情報は以下の記事を参照してください https://www.nginx.com/resources/datasheets/nginx-plus-sizing-guide/ https://www.nginx.com/blog/nginx-plus-sizing-guide-how-we-tested/ 1. Intel Xeon E5-2699 v4 CPUs @ 2.3 GHzでテストを実施 2. 1 KB response size 、 keepalive connection を利用 3. RSA 2048 bit, ECDHE-RSA-AES-GCM-SHA384, OpenSSL 1.0.2 4. ECC 256 bit, ECDHE-ECDSA-AES256-GCM-SHA384, OpenSSL 1.0.2 6. 1 MB response size HARDWARE SPECS EXPECTED PERFORMANCE 2 CPU cores *1 4 GB RAM 2x1 GbE NIC 500 GB HDD 90,000 RPS *2 4,000 SSL TPS (RSA) *3 4,500 SSL TPS (ECC) *4 1 Gbps throughput *5 2 CPU cores 4 GB RAM 2x10 GbE NIC 500 GB HDD 90,000 RPS 4,000 SSL TPS (RSA) 4,500 SSL TPS (ECC) 10 Gbps throughput 4 CPU cores 4 GB RAM 2x40 GbE NIC 500 GB HDD 175,000 RPS 7,500 SSL TPS (RSA) 8,500 SSL TPS (ECC) 5 Gbps throughput 8 CPU cores 4 GB RAM 2x40 GbE NIC 1 TB HDD 350,000 RPS 4,000 SSL TPS (RSA) 16,000 SSL TPS (ECC) 40 Gbps throughput 16 CPU cores 4 GB RAM 2x40 GbE NIC 1 TB HDD 650,000 RPS 27,000 SSL TPS (RSA) 30,000 SSL TPS (ECC) 40 Gbps throughput 32 CPU cores 8 GB RAM 4x40 GbE NIC 1 TB HDD 1,000,000 RPS 48,000 SSL TPS (RSA) 52,000 SSL TPS (ECC) 70 Gbps throughput 44 CPU cores 16 GB RAM 4x40 GbE NIC 1 TB HDD 1,200,000 RPS 61,000 SSL TPS (RSA) 64,000 SSL TPS (ECC) 70 Gbps throughput NGINXはCPU Core数に応じて通信の並列処理を実施します CPUコア数に応じてパフォーマンスが向上します ハードウェア:Dell PowerEdge + Intel NICs CPU Network Memor y 2x Intel(R) Xeon(R) CPU E5-2699 v3 @ 2.30GHz, 36 real (or 72 HT) cores 2x Intel XL710 40GbE QSFP+ (rev 01) 16 GB
| ©2020 F516 CONFIDENTIAL NGINX 利用構成:高機能キャッシュサーバ Drivers登録 microservice PC向け microservice モバイル microservice /app01 /pc/* = /mobile/* /app01 /pc/ /mobile/* TCP/UDP, HTTP/HTTPS, gRPC, コンテンツキャッシュ, WAF アクセス制御, レート制限, ダッシュボード
| ©2020 F517 CONFIDENTIAL NGINX Plusで追加されている機能 • ロードバランシング 負荷分散アルゴリズム, セッション維持, L7ヘルスチェック • 動的設定変更 REST API, アップストリーム, SSL証明書, Key-Valueストア, キャッシュ削除 • 監視 REST API, ダッシュボード, Prometheus, DataDogエージェント • 公式Dockerfile 公式ドキュメント, NGINX Ingress Controller • 高可用性とクラスタリング HA構成, ステート情報の共有, クラウド環境スケールアップ/ダウン • 認証 OpenID, JWT • Webアプリケーションファイアウォール NGINX App Protect • 認定サードパーティ動的モジュール NGINX, コミュニティ, 認定ISV
| ©2020 F518 CONFIDENTIAL NGINX Plus 商用サブスクリプション • テクニカルサポート 受賞歴 (Steve Gold 9.7/10) 顧客満足度 • 定期的な機能追加更新 安定したサイクル (年約3回, 4月,9月,12月) • F5でテストされたソフトウェアバイナリ コミュニティ実証済み, NGINXによる追加テスト • プロアクティブなセキュリティ更新プログラム セキュリティパッチ, ホットフィックスの提供 • 機密性 公開フォーラムではなく、プライベートでのサポート • 製品の方向性に影響を与える ロードマップ, 製品開発チームへのアクセス • 商用サブスクリプションの有効期限が切れた場合 • NGINX Plusは正常に動作し続けます. • 最新版アップデートが不可となります. • サブスクリプション更新後は最新版アップデートが可能です.
| ©2020 F519 NGINX コンテンツキャッシュ
| ©2020 F520 CONFIDENTIAL NGINX Plus キャッシュ ソリューションの仕組み DNS GSLB Big-IP 1 2 3 1. ローカルで利用可能なキャッ シュされたコンテンツは、 NGINX キャッシュから ユーザーに直接提供されます。 3 TCP/UDP, HTTP/HTTPS, gRPC, WAF, アクセス制御, レート制限, ダッシュボード コンテンツキャッシュ(Static/Dynamic/HLS etc) 1. ユーザーリクエスト www.example.comとDNS GSLB Big-IPは、ユーザーを 最も近い「POP」エッジキャッ シュの場所に誘導します。 2. 初回の要求、更新された新しい コンテンツ、またはキャッシュ できない動的コンテンツ等は、 配信サーバーにリクエストを行 います. 2 1
| ©2020 F521 CONFIDENTIAL NGINXキャッシュプロセス • NGINX は MD5 ハッシュを生成します。(キャッシュファイルのキー文字列) • NGINX は メモリ上ハッシュをチェックします。 dcc2d2aea7 ローカルディスク • ハッシュ値はメモリに保存 • キャッシュファイルはローカルディスクに保存
| ©2020 F522 CONFIDENTIAL APIによるDiskからキャッシュコンテンツのパージ パージ方法は以下の二種類 • キャッシュコンテンツのキーが分かる場合、当該 フォルダより該当のコンテンツを削除 • NGINX Plusの場合、以下のようにAPIを用 いたキャッシュコンテンツのパージが可能 $ curl -X PURGE -D – "http://localhost:8001/*" HTTP/1.1 204 No Content Server: nginx/1.5.12 Date: Sat, 03 May 2014 16:33:04 GMT Connection: keep-alive X-Cache-Key: httplocalhost:8002/* MethodがPURGEの場合 $purge_methodに値をセット (下の処理で値が上書きされる) 送信元IPアドレスに応じた値を $purge_allowedにセット MethodがPURGEの場合 $purge_methodに $purge_allowedの値をセット
| ©2020 F523 CONFIDENTIAL NGINX Plus:ステータス管理画面
| ©2020 F524 CONFIDENTIAL NGINX Controller:ステータス管理画面 Cache 利用状況 ORIGINへの通信状況 CPU負荷 その他詳細 東京エリア 大阪エリア
| ©2020 F525 NGINX WAF (App Protect)
| ©2020 F526 NGINX App Protect ワールドワイドで実績豊富なF5製WAFの機能を移植 (Signature/DataGuard/HTTP Compliance/Evasion Techniques等)Secure Manage CI/CD Friendly NGINXの動的モジュールとして提供(現在、NGINX Plusのみ対応) • 仮想マシン/コンテナの双方で動作可能 • ゲートウェイ型/ホスト型 • Ingress Controller 軽量なため、CI/CDパイプライン上でのデプロイが容易 CONFIDENTIAL
| ©2020 F527 最新のアプリに最適な デザイン パフォーマンスと拡張性を備えた高パフォーマ ンスセキュリティ Web アプリケーション プラットフォームへの シームレスな統合を実現 高性能 軽量 フットプリント シームレスな NGINX統合 OSSと比較して 20倍以上の速度 宣言型ポリシー AppDev有効 フィードバックループ セキュリティを 自動化する NGINXによる「高速性」「安定性」 DevSecOpsの実現。DevとSecのシームレスな統合 CONFIDENTIAL
| ©2020 F528 LB LB (CODE) (CODE) ホスト型による個別Webアプリケーション保護 • 個別のWebサーバへ導入 • WEBサーバの動的モジュールとして稼働 • ホスト単位でアプリケーション保護が可能 • 既存のサーバ構成をそのまま維持 (NGINX Plusの導入は別途必要) • NGINX Plusをリバースプロキシとして配置し、 NGINX App Protectを導入 • NGINX App Protectの導入数を抑えながら、包括 的にWebアプリケーションを保護 ゲートウェイ型によるWebアプリケーション保護 オンプレミス オンプレミス CONFIDENTIAL (CODE) (CODE)
| ©2020 F529 ロギング機能 Security Log
| ©2020 F530 Security Log Attribute Name Description attack_type A list of comma separated names of suspected attacks identified in a transaction. blocking_exception_reason The blocking exception reason when a configured violation was not blocked.| date_time The date and time the request was received by App Protect. dest_port The port assigned to listen to incoming requests. ip_client The source IP of the client initiating the request Note: if a proxy is being used, this may differ from the IP in the X-forwarded-for header. is_truncated A flag that returns TRUE if a request is truncated in the security logs. method The method of request. For example, GET, POST, HEAD. policy_name The name of the App Protect policy for which the violation was triggered. protocol The protocol used, either HTTP or HTTPS if terminating SSL on App Protect. request The entire request including headers, query string, and data. request_status •The status of client request made to Web Application as assigned by the App Protect policy. The possible values are:blocked: The request was blocked due to a violation encountered. A blocking response page was returned to the client. •alerted: The request contains violation(s) but is not blocked (typical in cases where the enforcement mode is set to transparent). •passed: A successful request with no violations. response_code The response code returned by the server. severity The maximum severity calculated from all violations found in the request. It is a static value coming from the Violations. sig_cves Signature CVEs value of the matched signatures. sig_ids Signature ID value of the matching signature that resulted in the violation. sig_names Signature name of the matching signature that resulted in the violation. sig_set_names The signature set names of the matched signatures. src_port The source port of the client. sub_violations Refers to the sub-violations detected under the ‘HTTP protocol compliance failed’ and the ‘Evasion technique detected’ violations. support_id A unique identifier for a transaction. unit_hostname host name of the app-protect instance uri The URI or Uniform Resource Identifier of the request. violation_details XML including details about each violation. violation_rating Estimation of the likelihood that the request is indeed a threat on a scale of 0 to 5: 0 - not a threat (no violations), 5 - most likely a threat vs_name A unique identifier of the location in the nginx.conf file that this request is associated with. It contains the line number of the containing server block in nginx.conf, the server name, a numeric discriminator that distinguishes between multiple entries within the same server, and the location name. For example: ’34-mydomain.com:0-~/.*php(2). x_forwarded_for_header_value X-Forwarded-For header information. This option is commonly used when proxies are involved to track the originator of the request. outcome •One of the following:PASSED: the request was sent to the backend server. •REJECTED: the request was blocked. outcome_reason •One of the following:SECURITY_WAF_OK: allowed with no violations (legal request). •SECURITY_WAF_VIOLATION: blocked due to security violations. •SECURITY_WAF_FLAGGED: allowed, although it has violations (illegal). violations Comma-separated list of logical violation names (e.g. “VIOL_ATTACK_SIGNATURES,VIOL_HTTP_PROTOCOL”) • App Protect独自にログを生成 • フィルタリングが可能 (all/illegal/blocked) • 右記属性を選択し出力可能 • syslog(TCP)にて出力 CONFIDENTIAL
| ©2020 F531 Custom Log https://docs.nginx.com/nginx-app-protect/troubleshooting/ { "filter": { "request_type": "all" }, "content": { "format": "default", "max_request_size": "any", "max_message_size": "5k" } } Simple Log "content": { "format": "user-defined", "format_string": "client_ip=%ip_client%,client_port=%src_port%,request=%request%,violations=%violations%,signature_ids=%sig_ids%", "max_request_size": "any", "max_message_size": "5k" } Log Message Key-Value Format "content": { "format": "user-defined", "format_string": "Request ID %support_id%: %method% %uri% received on %date_time% from IP %ip_client% had the following violations: %violations%", "max_request_size": "any", "max_message_size": "5k" } A Verbose Custom Format Message CONFIDENTIAL
| ©2020 F532 Security Logの可視化 (ELKスタックとの組み合わせ) NGINX App Protect Syslog/tcp CONFIDENTIAL
| ©2020 F533 顧客事例
Akamaiから NGINX Plusへ 変更したCDNは 初年度で400万 ドルのコスト削減 34 チャレンジ • アプリケーションのモダナイ ゼーション • 支払カードの取り扱いの ためのセキュリティとコンプ ライアンス • 既存のCDNサービスには 高価な超過料金 ソリューション • NGINX Plus と NGINX App Protect • クラウド ベンダーによるDNS グローバル負荷分散 • マルチクラウドでコンテンツ キャッシュ環境を構築 結果 • 複数のクラウドプラットフォーム の導入の柔軟性とサポート • 使いやすさ、数時間でのリリー スデプロイ • Web アプリケーション ファイア ウォールを使用した高度なセ キュリティ アメリカの大手電子商取引小売業者で、売上高は120億ドルを超え ています。同社は、カタログ、ウェブサイト、および米国の店舗を通じて ランジェリー、婦人服、美容製品を販売しています
Netflixは CDNコストを削 減し、190カ国で 1億5,800万人 以上の加入者を 支える 35 チャレンジ • 需要に追いつくために苦慮し たCDNベンダー(Akamai、 Limelight, Level3) • コスト上昇 • CDNコントロール欠如 ソリューション • NGINXを使用して独自の CDNを作成 • すべてのISPに無料で14 TB 1RUアプライアンスを提供 『NGINX Webサーバーソフトウェアは、その実績ある拡張性とパフォーマ ンスが実証されているため、このソフトウェアを選択しました。NGINX社の コアエンジニアリングチームと直接協力することで、プロジェクトの開発支援 を受けました』 - フローランス、Netflixのコンテンツ配信担当副社長 結果 • ユーザーのエクスペリエンスを向上 • CDN手数料なしでコストを削減 • ISP のパートナーのネットワーク トラフィックの削減
| ©2020 F536 CONFIDENTIAL 国内事例: NTT Plala様 https://sios.jp/products/oss/nginx/showcase/nttplala.html REST APIによる キャッシュ削除
| ©2020 F537 提案構成・サイジング
| ©2020 F538 CONFIDENTIAL NGINX キャッシュ環境構成 Load Balancer Content Caching NGINX共通の特徴 Site-A Site-B Site-C : Original Contents User Application DDoS : RateLimit Web Attack : WAF NGINX Controller NGINX Plus BIG-IP • 柔軟なプロトコル対応 • 高速なSSL・通信制御 • 同一サイトを通常時利用し、障害時別サイトを バックアップと指定 • 高度なアプリケーション制御を実現 • コンテンツキャッシュ • 通信量に応じた自由な水平スケール • 各種設定による自由なコンテンツキャッシュ • キャッシュPURGE APIを用いた外部より容易な キャッシュファイル管理 • キャッシュ転送に対する課金など発生しない • 環境に依存しない自由なデプロイ • ハードウェア、仮想マシン、コンテナ • オンプレミス、各種パブリッククラウド • DevOps , DevSecOpsによるキャッシュ管理 も含めた自動化 • NGINX Controllerによる横断的な設定管理 (LB)、アプリケーションセントリックな管理GUI
| ©2020 F539 CONFIDENTIAL NGINX キャッシュ環境構成:ご提供方法 Site-A Site-B Site-C : Original Contents User Application DDoS : RateLimit Web Attack : WAF NGINX Controller NGINX Plus BIG-IP 1年間のサブスクリプションライセンス • NGINX Controller + NGINX Plus ご提供方法・ライセンス ご確認内容 • NGINX App Protectのご利用想定有無 • 構築される環境で実施を予定されている通信量 (各環境で1時間あたり250Gbyte等)
| ©2020 F540 CONFIDENTIAL 参考:NGINX キャッシュサーバ サイジング 動作環境:Dell PowerEdge R730 CPU OS STORAGE MEMORY 24 CPUs x Intel(R) Xeon(R) CPU E5-2650 v4 @ 2.20GHz VMware vSphere 6 Enterprise Plus 72 TB 190 GB HOST origin cache1 cache2 cache3 CPU 12 vCPU 2 vCPU 4 vCPU 8 vCPU MEMORY 10 GB 4 GB 4 GB 4 GB MISS HTTP Requests/s: 159,841.66 Requests/s: 16,177.97 Requests/s: 30,023.65 Requests/s: 39,819.66 CACHE Transfer/s: 38.11MB Transfer/s: 3.86MB Transfer/s: 7.16MB Transfer/s: 9.49MB なし HTTPS Requests/s: 137,648.65 Requests/s: 10,220.42 Requests/s: 25,190.14 Requests/s: 33,833.40 Transfer/s: 32.81MB Transfer/s: 2.44MB Transfer/s: 6.01MB Transfer/s: 8.07MB HIT HTTP Requests/s: 33,904.27 Requests/s: 55,444.81 Requests/s: 10,8604.66 CACHE Transfer/s: 8.76MB Transfer/s: 14.33MB Transfer/s: 28.06MB あり HTTPS Requests/s: 28,507.00 Requests/s: 50,944.91 Requests/s: 88,162.65 Transfer/s: 7.37MB Transfer/s: 13.16MB Transfer/s: 22.78MB Client Cache Origin • wrkコマンドを用いて 負荷を計測 • 1byteのデータを取得
| ©2020 F541 プライベートCDN デモ
| ©2020 F542 CONFIDENTIAL プライベートCDN デモ Site-A Site-B Site-C : Original Contents User Application DDoS : RateLimit Web Attack : WAF NGINX Controller NGINX Plus • 動画ファイルのキャッシュ動作 • キャッシュファイルの削除・Purge API • キャッシュファイルを簡単にリフレッシュする方法 • 攻撃のブロック • NGINX Controller / ELK によるステータスの確認
| ©2020 F543 プライベートCDN で実現するWeb最適化
| ©2020 F5 NETWORKS44 オリジンサーバ 各団体・ Webサーバ DC 県DC FW/ UTM/ IPS BIG-IPプラットフォーム ・ADC (LTM) ・Proxy (LTM) ・WAF (AWAF) HW HW (Server) セキュリティクラウド NGINX Plus ・コンテンツキャッシュ BIG-IPプラットフォーム ・ADC (LTM) ・Proxy (LTM) ・WAF (AWAF) 仮想版 仮想版 GSLB F5 Cloud Service DNS 災害情報や 緊急の情報配信時など アクセス増加 平時 有事 HW (Server) 仮想版 NGINX Plus ・コンテンツキャッシュ 2 仮想基盤上にBIG-IP、 NGINX Plusを効率的 に配置。柔軟性向上 1 ハードウェアで堅牢な環 境を構築。専用リソース で高い性能 構成パターン オプション 3 有事における、突発的な ニーズに対応。 F5 CS/DNSによる自動 的な切り替え 4 Apache(OSS)で稼働さ せているWEBサイトを NGINXで高速化 1 2 3 3 4 仮想基盤 NGINX Controller による統合管理 NGINX Plus ・コンテンツキャッシュ ・ADC / WAF ・Rate Limit /GeoIP
| ©2020 F545 CONFIDENTIAL F5ご提供ソリューション 提供費用イメージ NGINX Controller 時間あたりの通信量 1年間のサブスクリプション BIG-IP LB / WAF等 アプライアンス費用 F5 Cloud Service 従量課金 ( ) 1 2 3 構成パターン オプション 自由なプランを設計することが可能ですので詳細についてはF5営業へお問い合わせください
| ©2020 F546 まとめ
| ©2020 F547 • NGINXのWebアプリケーションサーバとして高い柔軟性・安定性 • 大規模コンテンツキャッシュを支えるNGINXをお客様要件に合わせて 柔軟に・自由な構成でご利用いただけます • NGINXの活用の幅は広く、高速なWebServerとしてご活用いただくことも 可能であり、NGINX Controllerを用いて横断的な管理が可能です • F5による実績の豊富なWAF機能や、メーカーサポートを提供しシステムの 安定した運用保守の実現が可能です まとめ NGINXの活用により、柔軟でコスト最適なプライベートCDN環境を実現いただけます
| ©2020 F548 その他参考情報
NGINX ドキュメントとコンテンツ https://nginx.com/ https://docs.nginx.com/ RESOURCE BLOG https://nginx.co.jp/ リソース ブログ https://nginx.org/en/docs/ https://nginx.org/en/docs/dirindex.html
| ©2020 F550 無料トライアル https://www.nginx.co.jp/free-trial-request/ https://www.nginx.co.jp/free-trial-request-nginx-controller/ NGINX Plus, NGINX App Protect 無料トライアル NGINX Plusは、オールインワン型のソフトウェアロードバランサ、コンテンツキャッシュ、 Webサーバ、APIゲートウェイ、マイクロサービスプロキシです。NGINX App Protect は、業界トップクラスのF5の高度なWAFテクノロジーをNGINX Plusに搭載し最新の アプリケーションセキュリティを提供します。この2つの技術の融合により、最新の分散型 環境におけるWeb/モバイルアプリケーションの拡張性と保護が実現します。 NGINX Controllerの評価版 NGINX Controllerは、NGINXデータプレーンを管理するNGINXのコントロールプ レーンソリューションです。マルチクラウド環境でロードバランサ―、APIゲートウェイ、およ びサービスメッシュのスケーラブルな実装を容易に集中管理することができます。 お申し込みのお客様向けに、NGINX Controllerの無償評価版をご用意しています。 NGINX Plus無料トライアル NGINX Controller 無料トライアル
日本人コンサルタントがNGINX対応 1. コンサルティングチケットサービス 【サービス内容】 ・ リモートQAサポート ・ 窓口時間: F5営業日 (平日 9:00 - 18:00) ・ チケット有効期限: サービス開始から1年間 ※翌年同条件で更新いただいた場合、更新時点の未使用チケットの有効期限を3か月間延伸します。 ・ 対応数: 15チケット (1チケット4時間相当) ・ F5オフィスでのご対応(メールベース、必要に応じて電話連絡) - チケットの消費量と残りチケット数は、連絡時に担当コンサルタントよりご提示させていただきます。 - 通常は1チケットによる対応となります。ただし、作業の想定所要時間に応じて 複数チケットまたは1チケット以下の対応になる場合もあります。 - 受付けたチケットの想定チケット消費量に関してはF5コンサルタントがチケット受付の際にご報告いたします。 以上 F5 コンサルティングチケットサービス
お問い合わせ https://www.nginx.co.jp/contact-sales/ • 製品/購入に関するお問い合わせ • 構成・設計に関するご相談 など お気軽にお問い合わせください ■ NGINX お問い合わせ■ F5担当営業
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー

More Related Content

PPTX
分散システムについて語らせてくれ
byKumazaki Hiroki
 
PDF
CDNの仕組み(JANOG36)
byJ-Stream Inc.
 
PPTX
SageMakerを使った異常検知
byRyohei Yamaguchi
 
PDF
Google Cloud で実践する SRE
byGoogle Cloud Platform - Japan
 
PDF
nginx入門
byTakashi Takizawa
 
PDF
マルチテナントのアプリケーション実装〜実践編〜
byYoshiki Nakagawa
 
PDF
ツール比較しながら語る O/RマッパーとDBマイグレーションの実際のところ
byY Watanabe
 
PDF
Ethernetの受信処理
byTakuya ASADA
 
分散システムについて語らせてくれ
byKumazaki Hiroki
 
CDNの仕組み(JANOG36)
byJ-Stream Inc.
 
SageMakerを使った異常検知
byRyohei Yamaguchi
 
Google Cloud で実践する SRE
byGoogle Cloud Platform - Japan
 
nginx入門
byTakashi Takizawa
 
マルチテナントのアプリケーション実装〜実践編〜
byYoshiki Nakagawa
 
ツール比較しながら語る O/RマッパーとDBマイグレーションの実際のところ
byY Watanabe
 
Ethernetの受信処理
byTakuya ASADA
 

What's hot

PPTX
Linux の hugepage の開発動向
byNaoya Horiguchi
 
PDF
CRDT in 15 minutes
byShingo Omura
 
PDF
ネットワーク ゲームにおけるTCPとUDPの使い分け
byモノビット エンジン
 
PDF
マイクロサービス 4つの分割アプローチ
by増田 亨
 
PDF
ストリーム処理を支えるキューイングシステムの選び方
byYoshiyasu SAEKI
 
PDF
KubernetesでRedisを使うときの選択肢
byNaoyuki Yamada
 
PPT
Cassandraのしくみ データの読み書き編
byYuki Morishita
 
PDF
InnoDBのすゝめ(仮)
byTakanori Sejima
 
PPTX
初心者向けMongoDBのキホン!
byTetsutaro Watanabe
 
PDF
GKE に飛んでくるトラフィックを 自由自在に操る力 | 第 10 回 Google Cloud INSIDE Games & Apps Online
byGoogle Cloud Platform - Japan
 
PPTX
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
byShota Shinogi
 
PDF
マイクロにしすぎた結果がこれだよ!
bymosa siru
 
PDF
Elasticsearchを使うときの注意点 公開用スライド
by崇介 藤井
 
PDF
テスト文字列に「うんこ」と入れるな
byKentaro Matsui
 
PDF
#logstudy 01 rsyslog入門
byTakashi Takizawa
 
PPTX
AWSで作る分析基盤
byYu Otsubo
 
PDF
DockerとPodmanの比較
byAkihiro Suda
 
PDF
Mavenの真実とウソ
byYoshitaka Kawashima
 
PDF
ロードバランスへの長い道
byJun Kato
 
PDF
ソフトウェア開発における『知の高速道路』
byYoshitaka Kawashima
 
Linux の hugepage の開発動向
byNaoya Horiguchi
 
CRDT in 15 minutes
byShingo Omura
 
ネットワーク ゲームにおけるTCPとUDPの使い分け
byモノビット エンジン
 
マイクロサービス 4つの分割アプローチ
by増田 亨
 
ストリーム処理を支えるキューイングシステムの選び方
byYoshiyasu SAEKI
 
KubernetesでRedisを使うときの選択肢
byNaoyuki Yamada
 
Cassandraのしくみ データの読み書き編
byYuki Morishita
 
InnoDBのすゝめ(仮)
byTakanori Sejima
 
初心者向けMongoDBのキホン!
byTetsutaro Watanabe
 
GKE に飛んでくるトラフィックを 自由自在に操る力 | 第 10 回 Google Cloud INSIDE Games & Apps Online
byGoogle Cloud Platform - Japan
 
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
byShota Shinogi
 
マイクロにしすぎた結果がこれだよ!
bymosa siru
 
Elasticsearchを使うときの注意点 公開用スライド
by崇介 藤井
 
テスト文字列に「うんこ」と入れるな
byKentaro Matsui
 
#logstudy 01 rsyslog入門
byTakashi Takizawa
 
AWSで作る分析基盤
byYu Otsubo
 
DockerとPodmanの比較
byAkihiro Suda
 
Mavenの真実とウソ
byYoshitaka Kawashima
 
ロードバランスへの長い道
byJun Kato
 
ソフトウェア開発における『知の高速道路』
byYoshitaka Kawashima
 

Similar to 講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー

PPTX
Introducing NGINX App Protect (Japanese Webinar)
byNGINX, Inc.
 
PDF
NGINXセミナー(基本編)~いまさら聞けないNGINXコンフィグなど基本がわかる!
byNGINX, Inc.
 
PDF
「これからはじめるNGINX技術解説~基本編」セミナー (NGINX Back to Basic in JP)
byNGINX, Inc.
 
PDF
NGINX製品の最新機能アップデート情報
byNGINX, Inc.
 
PDF
【NGINXセミナー】 Ingressを使ってマイクロサービスの運用を楽にする方法
byNGINX, Inc.
 
PDF
NGINX Back to Basic 2 Part 2 (Japanese Webinar)
byNGINX, Inc.
 
PDF
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
byNGINX, Inc.
 
PPTX
API and Modern App Security for Microservices
byNGINX, Inc.
 
PPTX
NGINX + Ansible Automation Webinar (日本語版)
byNGINX, Inc.
 
PDF
Fundamentals of Microservices Japanese Webinar
byNGINX, Inc.
 
PDF
NGINX & OpenShift Webinar for Energy Sector
byNGINX, Inc.
 
PPTX
NGINX Back to Basics Part 3: Security (Japanese Version)
byNGINX, Inc.
 
PDF
NGINX Ingress Controllerで実現するセキュリティ.pdf
byFumieNakayama
 
PPTX
NGINX New Features (Japanese Webinar)
byNGINX, Inc.
 
PPTX
マイクロサービスの基盤として注目の「NGINX」最新情報 | 20180127 OSC2018 OSAKA
byMurata Tatsuhiro
 
PDF
通信と放送の融合を考えるBoF 5
byMasaaki Nabeshima
 
PPTX
NGINX Plus Hands On Training
byNGINX, Inc.
 
PDF
いまさら聞けないNGINXコンフィグ_F5-NGINX-Community-20200805
byshinyatsukasaki
 
PPTX
Why NGINX Plus/NGINX Controller for NGINX OSS users
byNGINX, Inc.
 
PDF
Jaws days ランキング1位の人気スマホアプリを カジュアル×セキュアに運用する
byHirotomo Oi
 
Introducing NGINX App Protect (Japanese Webinar)
byNGINX, Inc.
 
NGINXセミナー(基本編)~いまさら聞けないNGINXコンフィグなど基本がわかる!
byNGINX, Inc.
 
「これからはじめるNGINX技術解説~基本編」セミナー (NGINX Back to Basic in JP)
byNGINX, Inc.
 
NGINX製品の最新機能アップデート情報
byNGINX, Inc.
 
【NGINXセミナー】 Ingressを使ってマイクロサービスの運用を楽にする方法
byNGINX, Inc.
 
NGINX Back to Basic 2 Part 2 (Japanese Webinar)
byNGINX, Inc.
 
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
byNGINX, Inc.
 
API and Modern App Security for Microservices
byNGINX, Inc.
 
NGINX + Ansible Automation Webinar (日本語版)
byNGINX, Inc.
 
Fundamentals of Microservices Japanese Webinar
byNGINX, Inc.
 
NGINX & OpenShift Webinar for Energy Sector
byNGINX, Inc.
 
NGINX Back to Basics Part 3: Security (Japanese Version)
byNGINX, Inc.
 
NGINX Ingress Controllerで実現するセキュリティ.pdf
byFumieNakayama
 
NGINX New Features (Japanese Webinar)
byNGINX, Inc.
 
マイクロサービスの基盤として注目の「NGINX」最新情報 | 20180127 OSC2018 OSAKA
byMurata Tatsuhiro
 
通信と放送の融合を考えるBoF 5
byMasaaki Nabeshima
 
NGINX Plus Hands On Training
byNGINX, Inc.
 
いまさら聞けないNGINXコンフィグ_F5-NGINX-Community-20200805
byshinyatsukasaki
 
Why NGINX Plus/NGINX Controller for NGINX OSS users
byNGINX, Inc.
 
Jaws days ランキング1位の人気スマホアプリを カジュアル×セキュアに運用する
byHirotomo Oi
 

More from NGINX, Inc.

PDF
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
byNGINX, Inc.
 
PDF
【NGINXセミナー】API ゲートウェイとしてのNGINX Plus活用方法
byNGINX, Inc.
 
PPTX
Get Hands-On with NGINX and QUIC+HTTP/3
byNGINX, Inc.
 
PPTX
Managing Kubernetes Cost and Performance with NGINX & Kubecost
byNGINX, Inc.
 
PDF
Manage Microservices Chaos and Complexity with Observability
byNGINX, Inc.
 
PDF
Accelerate Microservices Deployments with Automation
byNGINX, Inc.
 
PDF
Unit 2: Microservices Secrets Management 101
byNGINX, Inc.
 
PDF
Unit 1: Apply the Twelve-Factor App to Microservices Architectures
byNGINX, Inc.
 
PDF
Easily View, Manage, and Scale Your App Security with F5 NGINX
byNGINX, Inc.
 
PDF
Keep Ahead of Evolving Cyberattacks with OPSWAT and F5 NGINX
byNGINX, Inc.
 
PPTX
Install and Configure NGINX Unit, the Universal Application, Web, and Proxy S...
byNGINX, Inc.
 
PPTX
Protecting Apps from Hacks in Kubernetes with NGINX
byNGINX, Inc.
 
PPTX
NGINX Kubernetes API
byNGINX, Inc.
 
PPTX
Successfully Implement Your API Strategy with NGINX
byNGINX, Inc.
 
PPTX
Installing and Configuring NGINX Open Source
byNGINX, Inc.
 
PPTX
Shift Left for More Secure Apps with F5 NGINX
byNGINX, Inc.
 
PPTX
How to Avoid the Top 5 NGINX Configuration Mistakes.pptx
byNGINX, Inc.
 
PDF
Kubernetes環境で実現するWebアプリケーションセキュリティ
byNGINX, Inc.
 
PDF
Software Delivery and the Rube Goldberg Machine: What Is the Problem We Are T...
byNGINX, Inc.
 
PDF
Open Sourcing NGINX Agent and Demo
byNGINX, Inc.
 
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
byNGINX, Inc.
 
【NGINXセミナー】API ゲートウェイとしてのNGINX Plus活用方法
byNGINX, Inc.
 
Get Hands-On with NGINX and QUIC+HTTP/3
byNGINX, Inc.
 
Managing Kubernetes Cost and Performance with NGINX & Kubecost
byNGINX, Inc.
 
Manage Microservices Chaos and Complexity with Observability
byNGINX, Inc.
 
Accelerate Microservices Deployments with Automation
byNGINX, Inc.
 
Unit 2: Microservices Secrets Management 101
byNGINX, Inc.
 
Unit 1: Apply the Twelve-Factor App to Microservices Architectures
byNGINX, Inc.
 
Easily View, Manage, and Scale Your App Security with F5 NGINX
byNGINX, Inc.
 
Keep Ahead of Evolving Cyberattacks with OPSWAT and F5 NGINX
byNGINX, Inc.
 
Install and Configure NGINX Unit, the Universal Application, Web, and Proxy S...
byNGINX, Inc.
 
Protecting Apps from Hacks in Kubernetes with NGINX
byNGINX, Inc.
 
NGINX Kubernetes API
byNGINX, Inc.
 
Successfully Implement Your API Strategy with NGINX
byNGINX, Inc.
 
Installing and Configuring NGINX Open Source
byNGINX, Inc.
 
Shift Left for More Secure Apps with F5 NGINX
byNGINX, Inc.
 
How to Avoid the Top 5 NGINX Configuration Mistakes.pptx
byNGINX, Inc.
 
Kubernetes環境で実現するWebアプリケーションセキュリティ
byNGINX, Inc.
 
Software Delivery and the Rube Goldberg Machine: What Is the Problem We Are T...
byNGINX, Inc.
 
Open Sourcing NGINX Agent and Demo
byNGINX, Inc.
 

講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー

  • 1.
  • 2.
  • 3.
    | ©2020 F53 Agenda •自治体セキュリティクラウド要件とCDN •NGINXのご紹介 •NGINX CDN 顧客事例 •NGINX CDN 提供構成・サイジング •プライベートCDN で実現するWeb最適化 •まとめ
  • 4.
  • 5.
    | ©2020 F55CONFIDENTIAL 次期自治体情報セキュリティクラウドの標準要件 F5 BIG-IP/NGINX対応表 No サービス分類 機能/機器 用途 大分類 小分類 1 インターネット 通信の監視 監視 (障害切り分け、通報、 インシデント管理) ①Webサーバ 各自治体のWebサイトを運用するWebサーバを監視する 3 ③プロキシサーバ 各自治体とインターネットプロキシサーバ経由で通信させ、その通信を監視する 6 インシデントの 予防 ゲートウェイ対策 ①ファイアウォール 通信内容を検査し、管理する構成団体のポリシーに従った通信制御を行う 7 ④通信の復号対応 暗号化された通信やファイルを復号し、不正な通信内容の検知等を行い、不正 な通信を遮断する 10 ⑤URLフィルタ ブラックリスト方式及びホワイトリスト方式を利用し、不正なIPアドレス及びURLの 接続を遮断する 14 Webサーバ セキュリティ対策 ①WAF SQLインジェクションのような、Webアプリケーションへの不正 な通信を検知・防御する 15 ②CDN 住民への継続的な情報発信のために、Webサーバの負荷分 散をする 本セミナーご紹介機能 特別特価 キャンペーン 実施
  • 6.
    | ©2020 F56CONFIDENTIAL Private CDN(NGINX)とCDNサービス:コスト最適化(案) CDNのみ Origin1 3 セキュリティクラウド・DC • 静的コンテンツ • 動的コンテンツ キャッシュサーバ • 動的コンテンツ(議会動画など) CDN • 静的コンテンツ キャッシュサーバ • 静的コンテンツ • 動的コンテンツ(議会動画など) Origin Origin Hybrid CDN Private CDN ※WAFは考慮から外してます。 CDN 費用 費用 費用 2 本セミナーご紹介機能 セキュリティクラウド・DC 個別でCDN契約済み 団体
  • 7.
  • 8.
    | ©2020 F58CONFIDENTIAL CDNサービス・プロバイダー CDNサービスの多くは「NGINX」によってコンテンツキャッシュを実現しています
  • 9.
    | ©2020 F59 NGINXのご紹介
  • 10.
    | ©2020 F510 NGINXの歴史 NGINX (オープンソース) 2011: Nginx, Inc. 設立 2013 : Nginx Plusリリース 2017 : Announced; - NGINX Controller - NGINX Unit 等 2019 2014 : NGINXが世界中上位10,000サイト 中最も利用されているWebServerとなる 2004 : NGINX 最初のリリース 2002 : イゴール・シソエフ (CTO of NGINX, Inc.) NGINXの開発を開始 2008 : Chrome / Android 最初のリリー ス 2007 : iPhone 最初のリリース 2014 : 世界のスマートフォン 10億台超え 2017 : 世界のスマートフォン 15億台超え イゴール・シソエフ Apache httpdでは、1つのサーバー での同時アクセス数の上限に問題 (C10K問題)を感じていた。 Apache httpdより同時アクセス数 の多いサーバーソフトもあったが、 機能が限定されていた。「そこで、 C10K問題に対応しつつ、静的ファ イルだけでなくほかのサーバーとの 連携機能を持ったWebサーバーとし てNGINXを開発することを決めた」 買収 CONFIDENTIAL 2020 : シェアTOP(約36%)、 4.5億サイトでWebトラフィックを処理
  • 11.
    | ©2020 F511 NGINXPlus – クラウドに依存せずポータブル ベアメタル マルチクラウド コンテナ Linux/BSD CPUs VMware vSphere Advanced Load Balancing Advanced Content Cache Web Server Reverse Proxy and Cache Advanced Monitoring & Management Advanced Security Controls CONFIDENTIAL
  • 12.
    | ©2020 F512 DELIVERINGMODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD NGINX 製品 NGINX Plus All-In-One Software ロードバランサー、コンテンツキャッシュ、 Webサーバ 安定、高速、高機能 必要となるリソースは最小 NGINX Controller NGINX+統合管理ソフトウェア NGINX+のロードバランサやAPI Gateway、更にマルチクラウド環境に おいても容易に管理が可能。 GUIに加えAPIでの制御が可能 NGINX Unit NGINXが開発する新しいダイナミック アプリケーションサーバ OSSで提供されており、複数の プログラミング言語をサポート。 NGINX UnitはREST APIを用いて 設定変更が可能 High quality Support
  • 13.
    | ©2020 F513 DELIVERINGMODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD NGINX Service Mesh NGINX Plusで複雑な マイクロサービス、アプリケーション間の 通信問題を解決するシンプルな サービスメッシュソリューション。 NGINX App Protect アプリケーションに特化した Web Application Firewall NGINX+にシームレスに統合可能な 新しいWAF。 F5の実績に基づき、 高速な高品質なWAFを実現 Open BetaNEW NGINX 製品 NGINX Ingress Controller Kubernetes環境への 外部アクセスをコントロール。 NGINX機能をIngressリソース を通じて管理可能。 NGINX App Protect対応 High quality Support
  • 14.
    | ©2020 F514CONFIDENTIAL NGINX同時接続の処理能力 メモリ使用量 秒間リクエスト処理数 https://www.nginx.com/blog/using-nginx-plus-web-server/ NGINXは同時コネクション数に関わらず 高い性能を維持 長期間に渡り、安定・高速動作を維持 導入時点の実装から長年に渡り大きな 構成変更は不要 NGINXは同時コネクション数メモリ使用 量を抑える設計 導入時点で最大値を見込んだ大きなリ ソースの確保は不要であり、長年の利用 に追いて大きな変更が発生しない システム運用に求められる 「高負荷時」の安定性
  • 15.
    | ©2020 F515CONFIDENTIAL NGINXサイジング (Reverse Proxy) ※サイジングの最新の情報は以下の記事を参照してください https://www.nginx.com/resources/datasheets/nginx-plus-sizing-guide/ https://www.nginx.com/blog/nginx-plus-sizing-guide-how-we-tested/ 1. Intel Xeon E5-2699 v4 CPUs @ 2.3 GHzでテストを実施 2. 1 KB response size 、 keepalive connection を利用 3. RSA 2048 bit, ECDHE-RSA-AES-GCM-SHA384, OpenSSL 1.0.2 4. ECC 256 bit, ECDHE-ECDSA-AES256-GCM-SHA384, OpenSSL 1.0.2 6. 1 MB response size HARDWARE SPECS EXPECTED PERFORMANCE 2 CPU cores *1 4 GB RAM 2x1 GbE NIC 500 GB HDD 90,000 RPS *2 4,000 SSL TPS (RSA) *3 4,500 SSL TPS (ECC) *4 1 Gbps throughput *5 2 CPU cores 4 GB RAM 2x10 GbE NIC 500 GB HDD 90,000 RPS 4,000 SSL TPS (RSA) 4,500 SSL TPS (ECC) 10 Gbps throughput 4 CPU cores 4 GB RAM 2x40 GbE NIC 500 GB HDD 175,000 RPS 7,500 SSL TPS (RSA) 8,500 SSL TPS (ECC) 5 Gbps throughput 8 CPU cores 4 GB RAM 2x40 GbE NIC 1 TB HDD 350,000 RPS 4,000 SSL TPS (RSA) 16,000 SSL TPS (ECC) 40 Gbps throughput 16 CPU cores 4 GB RAM 2x40 GbE NIC 1 TB HDD 650,000 RPS 27,000 SSL TPS (RSA) 30,000 SSL TPS (ECC) 40 Gbps throughput 32 CPU cores 8 GB RAM 4x40 GbE NIC 1 TB HDD 1,000,000 RPS 48,000 SSL TPS (RSA) 52,000 SSL TPS (ECC) 70 Gbps throughput 44 CPU cores 16 GB RAM 4x40 GbE NIC 1 TB HDD 1,200,000 RPS 61,000 SSL TPS (RSA) 64,000 SSL TPS (ECC) 70 Gbps throughput NGINXはCPU Core数に応じて通信の並列処理を実施します CPUコア数に応じてパフォーマンスが向上します ハードウェア:Dell PowerEdge + Intel NICs CPU Network Memor y 2x Intel(R) Xeon(R) CPU E5-2699 v3 @ 2.30GHz, 36 real (or 72 HT) cores 2x Intel XL710 40GbE QSFP+ (rev 01) 16 GB
  • 16.
    | ©2020 F516CONFIDENTIAL NGINX 利用構成:高機能キャッシュサーバ Drivers登録 microservice PC向け microservice モバイル microservice /app01 /pc/* = /mobile/* /app01 /pc/ /mobile/* TCP/UDP, HTTP/HTTPS, gRPC, コンテンツキャッシュ, WAF アクセス制御, レート制限, ダッシュボード
  • 17.
    | ©2020 F517CONFIDENTIAL NGINX Plusで追加されている機能 • ロードバランシング 負荷分散アルゴリズム, セッション維持, L7ヘルスチェック • 動的設定変更 REST API, アップストリーム, SSL証明書, Key-Valueストア, キャッシュ削除 • 監視 REST API, ダッシュボード, Prometheus, DataDogエージェント • 公式Dockerfile 公式ドキュメント, NGINX Ingress Controller • 高可用性とクラスタリング HA構成, ステート情報の共有, クラウド環境スケールアップ/ダウン • 認証 OpenID, JWT • Webアプリケーションファイアウォール NGINX App Protect • 認定サードパーティ動的モジュール NGINX, コミュニティ, 認定ISV
  • 18.
    | ©2020 F518CONFIDENTIAL NGINX Plus 商用サブスクリプション • テクニカルサポート 受賞歴 (Steve Gold 9.7/10) 顧客満足度 • 定期的な機能追加更新 安定したサイクル (年約3回, 4月,9月,12月) • F5でテストされたソフトウェアバイナリ コミュニティ実証済み, NGINXによる追加テスト • プロアクティブなセキュリティ更新プログラム セキュリティパッチ, ホットフィックスの提供 • 機密性 公開フォーラムではなく、プライベートでのサポート • 製品の方向性に影響を与える ロードマップ, 製品開発チームへのアクセス • 商用サブスクリプションの有効期限が切れた場合 • NGINX Plusは正常に動作し続けます. • 最新版アップデートが不可となります. • サブスクリプション更新後は最新版アップデートが可能です.
  • 19.
    | ©2020 F519 NGINXコンテンツキャッシュ
  • 20.
    | ©2020 F520CONFIDENTIAL NGINX Plus キャッシュ ソリューションの仕組み DNS GSLB Big-IP 1 2 3 1. ローカルで利用可能なキャッ シュされたコンテンツは、 NGINX キャッシュから ユーザーに直接提供されます。 3 TCP/UDP, HTTP/HTTPS, gRPC, WAF, アクセス制御, レート制限, ダッシュボード コンテンツキャッシュ(Static/Dynamic/HLS etc) 1. ユーザーリクエスト www.example.comとDNS GSLB Big-IPは、ユーザーを 最も近い「POP」エッジキャッ シュの場所に誘導します。 2. 初回の要求、更新された新しい コンテンツ、またはキャッシュ できない動的コンテンツ等は、 配信サーバーにリクエストを行 います. 2 1
  • 21.
    | ©2020 F521CONFIDENTIAL NGINXキャッシュプロセス • NGINX は MD5 ハッシュを生成します。(キャッシュファイルのキー文字列) • NGINX は メモリ上ハッシュをチェックします。 dcc2d2aea7 ローカルディスク • ハッシュ値はメモリに保存 • キャッシュファイルはローカルディスクに保存
  • 22.
    | ©2020 F522CONFIDENTIAL APIによるDiskからキャッシュコンテンツのパージ パージ方法は以下の二種類 • キャッシュコンテンツのキーが分かる場合、当該 フォルダより該当のコンテンツを削除 • NGINX Plusの場合、以下のようにAPIを用 いたキャッシュコンテンツのパージが可能 $ curl -X PURGE -D – "http://localhost:8001/*" HTTP/1.1 204 No Content Server: nginx/1.5.12 Date: Sat, 03 May 2014 16:33:04 GMT Connection: keep-alive X-Cache-Key: httplocalhost:8002/* MethodがPURGEの場合 $purge_methodに値をセット (下の処理で値が上書きされる) 送信元IPアドレスに応じた値を $purge_allowedにセット MethodがPURGEの場合 $purge_methodに $purge_allowedの値をセット
  • 23.
    | ©2020 F523CONFIDENTIAL NGINX Plus:ステータス管理画面
  • 24.
    | ©2020 F524CONFIDENTIAL NGINX Controller:ステータス管理画面 Cache 利用状況 ORIGINへの通信状況 CPU負荷 その他詳細 東京エリア 大阪エリア
  • 25.
    | ©2020 F525 NGINXWAF (App Protect)
  • 26.
    | ©2020 F526 NGINXApp Protect ワールドワイドで実績豊富なF5製WAFの機能を移植 (Signature/DataGuard/HTTP Compliance/Evasion Techniques等)Secure Manage CI/CD Friendly NGINXの動的モジュールとして提供(現在、NGINX Plusのみ対応) • 仮想マシン/コンテナの双方で動作可能 • ゲートウェイ型/ホスト型 • Ingress Controller 軽量なため、CI/CDパイプライン上でのデプロイが容易 CONFIDENTIAL
  • 27.
    | ©2020 F527 最新のアプリに最適な デザイン パフォーマンスと拡張性を備えた高パフォーマ ンスセキュリティ Webアプリケーション プラットフォームへの シームレスな統合を実現 高性能 軽量 フットプリント シームレスな NGINX統合 OSSと比較して 20倍以上の速度 宣言型ポリシー AppDev有効 フィードバックループ セキュリティを 自動化する NGINXによる「高速性」「安定性」 DevSecOpsの実現。DevとSecのシームレスな統合 CONFIDENTIAL
  • 28.
    | ©2020 F528 LB LB (CODE) (CODE) ホスト型による個別Webアプリケーション保護 •個別のWebサーバへ導入 • WEBサーバの動的モジュールとして稼働 • ホスト単位でアプリケーション保護が可能 • 既存のサーバ構成をそのまま維持 (NGINX Plusの導入は別途必要) • NGINX Plusをリバースプロキシとして配置し、 NGINX App Protectを導入 • NGINX App Protectの導入数を抑えながら、包括 的にWebアプリケーションを保護 ゲートウェイ型によるWebアプリケーション保護 オンプレミス オンプレミス CONFIDENTIAL (CODE) (CODE)
  • 29.
  • 30.
    | ©2020 F530 SecurityLog Attribute Name Description attack_type A list of comma separated names of suspected attacks identified in a transaction. blocking_exception_reason The blocking exception reason when a configured violation was not blocked.| date_time The date and time the request was received by App Protect. dest_port The port assigned to listen to incoming requests. ip_client The source IP of the client initiating the request Note: if a proxy is being used, this may differ from the IP in the X-forwarded-for header. is_truncated A flag that returns TRUE if a request is truncated in the security logs. method The method of request. For example, GET, POST, HEAD. policy_name The name of the App Protect policy for which the violation was triggered. protocol The protocol used, either HTTP or HTTPS if terminating SSL on App Protect. request The entire request including headers, query string, and data. request_status •The status of client request made to Web Application as assigned by the App Protect policy. The possible values are:blocked: The request was blocked due to a violation encountered. A blocking response page was returned to the client. •alerted: The request contains violation(s) but is not blocked (typical in cases where the enforcement mode is set to transparent). •passed: A successful request with no violations. response_code The response code returned by the server. severity The maximum severity calculated from all violations found in the request. It is a static value coming from the Violations. sig_cves Signature CVEs value of the matched signatures. sig_ids Signature ID value of the matching signature that resulted in the violation. sig_names Signature name of the matching signature that resulted in the violation. sig_set_names The signature set names of the matched signatures. src_port The source port of the client. sub_violations Refers to the sub-violations detected under the ‘HTTP protocol compliance failed’ and the ‘Evasion technique detected’ violations. support_id A unique identifier for a transaction. unit_hostname host name of the app-protect instance uri The URI or Uniform Resource Identifier of the request. violation_details XML including details about each violation. violation_rating Estimation of the likelihood that the request is indeed a threat on a scale of 0 to 5: 0 - not a threat (no violations), 5 - most likely a threat vs_name A unique identifier of the location in the nginx.conf file that this request is associated with. It contains the line number of the containing server block in nginx.conf, the server name, a numeric discriminator that distinguishes between multiple entries within the same server, and the location name. For example: ’34-mydomain.com:0-~/.*php(2). x_forwarded_for_header_value X-Forwarded-For header information. This option is commonly used when proxies are involved to track the originator of the request. outcome •One of the following:PASSED: the request was sent to the backend server. •REJECTED: the request was blocked. outcome_reason •One of the following:SECURITY_WAF_OK: allowed with no violations (legal request). •SECURITY_WAF_VIOLATION: blocked due to security violations. •SECURITY_WAF_FLAGGED: allowed, although it has violations (illegal). violations Comma-separated list of logical violation names (e.g. “VIOL_ATTACK_SIGNATURES,VIOL_HTTP_PROTOCOL”) • App Protect独自にログを生成 • フィルタリングが可能 (all/illegal/blocked) • 右記属性を選択し出力可能 • syslog(TCP)にて出力 CONFIDENTIAL
  • 31.
    | ©2020 F531 CustomLog https://docs.nginx.com/nginx-app-protect/troubleshooting/ { "filter": { "request_type": "all" }, "content": { "format": "default", "max_request_size": "any", "max_message_size": "5k" } } Simple Log "content": { "format": "user-defined", "format_string": "client_ip=%ip_client%,client_port=%src_port%,request=%request%,violations=%violations%,signature_ids=%sig_ids%", "max_request_size": "any", "max_message_size": "5k" } Log Message Key-Value Format "content": { "format": "user-defined", "format_string": "Request ID %support_id%: %method% %uri% received on %date_time% from IP %ip_client% had the following violations: %violations%", "max_request_size": "any", "max_message_size": "5k" } A Verbose Custom Format Message CONFIDENTIAL
  • 32.
    | ©2020 F532 SecurityLogの可視化 (ELKスタックとの組み合わせ) NGINX App Protect Syslog/tcp CONFIDENTIAL
  • 33.
  • 34.
    Akamaiから NGINX Plusへ 変更したCDNは 初年度で400万 ドルのコスト削減 34 チャレンジ • アプリケーションのモダナイ ゼーション •支払カードの取り扱いの ためのセキュリティとコンプ ライアンス • 既存のCDNサービスには 高価な超過料金 ソリューション • NGINX Plus と NGINX App Protect • クラウド ベンダーによるDNS グローバル負荷分散 • マルチクラウドでコンテンツ キャッシュ環境を構築 結果 • 複数のクラウドプラットフォーム の導入の柔軟性とサポート • 使いやすさ、数時間でのリリー スデプロイ • Web アプリケーション ファイア ウォールを使用した高度なセ キュリティ アメリカの大手電子商取引小売業者で、売上高は120億ドルを超え ています。同社は、カタログ、ウェブサイト、および米国の店舗を通じて ランジェリー、婦人服、美容製品を販売しています
  • 35.
    Netflixは CDNコストを削 減し、190カ国で 1億5,800万人 以上の加入者を 支える 35 チャレンジ • 需要に追いつくために苦慮し たCDNベンダー(Akamai、 Limelight, Level3) •コスト上昇 • CDNコントロール欠如 ソリューション • NGINXを使用して独自の CDNを作成 • すべてのISPに無料で14 TB 1RUアプライアンスを提供 『NGINX Webサーバーソフトウェアは、その実績ある拡張性とパフォーマ ンスが実証されているため、このソフトウェアを選択しました。NGINX社の コアエンジニアリングチームと直接協力することで、プロジェクトの開発支援 を受けました』 - フローランス、Netflixのコンテンツ配信担当副社長 結果 • ユーザーのエクスペリエンスを向上 • CDN手数料なしでコストを削減 • ISP のパートナーのネットワーク トラフィックの削減
  • 36.
    | ©2020 F536CONFIDENTIAL 国内事例: NTT Plala様 https://sios.jp/products/oss/nginx/showcase/nttplala.html REST APIによる キャッシュ削除
  • 37.
  • 38.
    | ©2020 F538CONFIDENTIAL NGINX キャッシュ環境構成 Load Balancer Content Caching NGINX共通の特徴 Site-A Site-B Site-C : Original Contents User Application DDoS : RateLimit Web Attack : WAF NGINX Controller NGINX Plus BIG-IP • 柔軟なプロトコル対応 • 高速なSSL・通信制御 • 同一サイトを通常時利用し、障害時別サイトを バックアップと指定 • 高度なアプリケーション制御を実現 • コンテンツキャッシュ • 通信量に応じた自由な水平スケール • 各種設定による自由なコンテンツキャッシュ • キャッシュPURGE APIを用いた外部より容易な キャッシュファイル管理 • キャッシュ転送に対する課金など発生しない • 環境に依存しない自由なデプロイ • ハードウェア、仮想マシン、コンテナ • オンプレミス、各種パブリッククラウド • DevOps , DevSecOpsによるキャッシュ管理 も含めた自動化 • NGINX Controllerによる横断的な設定管理 (LB)、アプリケーションセントリックな管理GUI
  • 39.
    | ©2020 F539CONFIDENTIAL NGINX キャッシュ環境構成:ご提供方法 Site-A Site-B Site-C : Original Contents User Application DDoS : RateLimit Web Attack : WAF NGINX Controller NGINX Plus BIG-IP 1年間のサブスクリプションライセンス • NGINX Controller + NGINX Plus ご提供方法・ライセンス ご確認内容 • NGINX App Protectのご利用想定有無 • 構築される環境で実施を予定されている通信量 (各環境で1時間あたり250Gbyte等)
  • 40.
    | ©2020 F540CONFIDENTIAL 参考:NGINX キャッシュサーバ サイジング 動作環境:Dell PowerEdge R730 CPU OS STORAGE MEMORY 24 CPUs x Intel(R) Xeon(R) CPU E5-2650 v4 @ 2.20GHz VMware vSphere 6 Enterprise Plus 72 TB 190 GB HOST origin cache1 cache2 cache3 CPU 12 vCPU 2 vCPU 4 vCPU 8 vCPU MEMORY 10 GB 4 GB 4 GB 4 GB MISS HTTP Requests/s: 159,841.66 Requests/s: 16,177.97 Requests/s: 30,023.65 Requests/s: 39,819.66 CACHE Transfer/s: 38.11MB Transfer/s: 3.86MB Transfer/s: 7.16MB Transfer/s: 9.49MB なし HTTPS Requests/s: 137,648.65 Requests/s: 10,220.42 Requests/s: 25,190.14 Requests/s: 33,833.40 Transfer/s: 32.81MB Transfer/s: 2.44MB Transfer/s: 6.01MB Transfer/s: 8.07MB HIT HTTP Requests/s: 33,904.27 Requests/s: 55,444.81 Requests/s: 10,8604.66 CACHE Transfer/s: 8.76MB Transfer/s: 14.33MB Transfer/s: 28.06MB あり HTTPS Requests/s: 28,507.00 Requests/s: 50,944.91 Requests/s: 88,162.65 Transfer/s: 7.37MB Transfer/s: 13.16MB Transfer/s: 22.78MB Client Cache Origin • wrkコマンドを用いて 負荷を計測 • 1byteのデータを取得
  • 41.
  • 42.
    | ©2020 F542CONFIDENTIAL プライベートCDN デモ Site-A Site-B Site-C : Original Contents User Application DDoS : RateLimit Web Attack : WAF NGINX Controller NGINX Plus • 動画ファイルのキャッシュ動作 • キャッシュファイルの削除・Purge API • キャッシュファイルを簡単にリフレッシュする方法 • 攻撃のブロック • NGINX Controller / ELK によるステータスの確認
  • 43.
    | ©2020 F543 プライベートCDNで実現するWeb最適化
  • 44.
    | ©2020 F5NETWORKS44 オリジンサーバ 各団体・ Webサーバ DC 県DC FW/ UTM/ IPS BIG-IPプラットフォーム ・ADC (LTM) ・Proxy (LTM) ・WAF (AWAF) HW HW (Server) セキュリティクラウド NGINX Plus ・コンテンツキャッシュ BIG-IPプラットフォーム ・ADC (LTM) ・Proxy (LTM) ・WAF (AWAF) 仮想版 仮想版 GSLB F5 Cloud Service DNS 災害情報や 緊急の情報配信時など アクセス増加 平時 有事 HW (Server) 仮想版 NGINX Plus ・コンテンツキャッシュ 2 仮想基盤上にBIG-IP、 NGINX Plusを効率的 に配置。柔軟性向上 1 ハードウェアで堅牢な環 境を構築。専用リソース で高い性能 構成パターン オプション 3 有事における、突発的な ニーズに対応。 F5 CS/DNSによる自動 的な切り替え 4 Apache(OSS)で稼働さ せているWEBサイトを NGINXで高速化 1 2 3 3 4 仮想基盤 NGINX Controller による統合管理 NGINX Plus ・コンテンツキャッシュ ・ADC / WAF ・Rate Limit /GeoIP
  • 45.
    | ©2020 F545CONFIDENTIAL F5ご提供ソリューション 提供費用イメージ NGINX Controller 時間あたりの通信量 1年間のサブスクリプション BIG-IP LB / WAF等 アプライアンス費用 F5 Cloud Service 従量課金 ( ) 1 2 3 構成パターン オプション 自由なプランを設計することが可能ですので詳細についてはF5営業へお問い合わせください
  • 46.
  • 47.
    | ©2020 F547 •NGINXのWebアプリケーションサーバとして高い柔軟性・安定性 • 大規模コンテンツキャッシュを支えるNGINXをお客様要件に合わせて 柔軟に・自由な構成でご利用いただけます • NGINXの活用の幅は広く、高速なWebServerとしてご活用いただくことも 可能であり、NGINX Controllerを用いて横断的な管理が可能です • F5による実績の豊富なWAF機能や、メーカーサポートを提供しシステムの 安定した運用保守の実現が可能です まとめ NGINXの活用により、柔軟でコスト最適なプライベートCDN環境を実現いただけます
  • 48.
  • 49.
    NGINX ドキュメントとコンテンツ https://nginx.com/ https://docs.nginx.com/ RESOURCEBLOG https://nginx.co.jp/ リソース ブログ https://nginx.org/en/docs/ https://nginx.org/en/docs/dirindex.html
  • 50.
    | ©2020 F550 無料トライアル https://www.nginx.co.jp/free-trial-request/ https://www.nginx.co.jp/free-trial-request-nginx-controller/ NGINXPlus, NGINX App Protect 無料トライアル NGINX Plusは、オールインワン型のソフトウェアロードバランサ、コンテンツキャッシュ、 Webサーバ、APIゲートウェイ、マイクロサービスプロキシです。NGINX App Protect は、業界トップクラスのF5の高度なWAFテクノロジーをNGINX Plusに搭載し最新の アプリケーションセキュリティを提供します。この2つの技術の融合により、最新の分散型 環境におけるWeb/モバイルアプリケーションの拡張性と保護が実現します。 NGINX Controllerの評価版 NGINX Controllerは、NGINXデータプレーンを管理するNGINXのコントロールプ レーンソリューションです。マルチクラウド環境でロードバランサ―、APIゲートウェイ、およ びサービスメッシュのスケーラブルな実装を容易に集中管理することができます。 お申し込みのお客様向けに、NGINX Controllerの無償評価版をご用意しています。 NGINX Plus無料トライアル NGINX Controller 無料トライアル
  • 51.
    日本人コンサルタントがNGINX対応 1. コンサルティングチケットサービス 【サービス内容】 ・ リモートQAサポート ・窓口時間: F5営業日 (平日 9:00 - 18:00) ・ チケット有効期限: サービス開始から1年間 ※翌年同条件で更新いただいた場合、更新時点の未使用チケットの有効期限を3か月間延伸します。 ・ 対応数: 15チケット (1チケット4時間相当) ・ F5オフィスでのご対応(メールベース、必要に応じて電話連絡) - チケットの消費量と残りチケット数は、連絡時に担当コンサルタントよりご提示させていただきます。 - 通常は1チケットによる対応となります。ただし、作業の想定所要時間に応じて 複数チケットまたは1チケット以下の対応になる場合もあります。 - 受付けたチケットの想定チケット消費量に関してはF5コンサルタントがチケット受付の際にご報告いたします。 以上 F5 コンサルティングチケットサービス
  • 52.