弊社がお客様と会話をする中で、Office 365の負荷を軽減するソリューションに関する話題が今、非常に多くなっています。実際にヒアリングを重ねると、Office 365のトラフィックの急増によって、データセンターに設置されたセキュリティ機器の中でも、特にプロキシサーバの負荷が上がって、ユーザーに悪影響を及ぼしてしまっているようです。
■前編はこちらから
Office 365繋がらない問題に対してSD-WANで解決する際のプロキシサーバに関する考慮事項 前編
この課題に対して、プロキシサーバに集中しているインターネットのトラフィックの中で、Office 365のトラフィックだけを直接インターネットへ出したい、それをSD-WANで実現できないか?というような依頼を受けます。
SD-WANのソリューションとしてはOffice 365のローカルブレークアウトがありますが、プロキシサーバを使用している構成に対してこのローカルブレークアウトを単純に導入することはできません。それは、プロキシサーバを経由する通信としない通信では、その方法に違いがあるためです。
今回のブログでは、この課題と解決方法についてご紹介する記事の後編です。Versa Networks社のソリューションでどのように解決できるか、に焦点を当ててご紹介します。
注:ここでいうプロキシサーバは特に断りが無い限りすべてHTTP/HTTPSのプロキシサーバとなります。
Versa Networks社によるプロキシ経由の通信のローカルブレークアウトの実現方法と利用例
弊社が提供しているVersa Networks社のSD-WAN製品群はすべてこれらの機能をサポートしています。それぞれの課題に対してどのような解決策を持っているかをご紹介致します。
Office 365のFQDNの自動更新機能
Office 365のプロファイルを独自に作成しているため、Office 365のプロファイルを選択するだけで、ローカルブレークアウトや、プロキシチェイニングを行うことが可能です。また、定期的にプロファイルを自動更新することができるため、常に最新のものに保つことができます。そのため、今まで手動で行っていたOffice 365のURLを定期的に管理し、PACファイルをクライアントに配布するといった管理の手間がなくなります。また、プロファイルを別途購入する必要もありません。
トラフィックの負荷分散と障害時の切り替え
サーバロードバランシングとヘルスチェック機能を持っています。そのため、宛先のプロキシに対して様々な振り分け方法(ラウンドロビン、リーストコネクションなど)と、ヘルスチェックを組み合わせて、耐障害性と負荷分散を同時に行える設計が可能になります。
導入構成の柔軟性とプロキシチェイニング機能について
明示的なプロキシ(Explicit Proxy)と透過型プロキシ(Transparent Proxy)の両方をサポートしています。
明示的なプロキシは一般的なプロキシと同様に、IPアドレスまたはホスト名とポート番号の設定を行い、そのポート宛に来たトラフィックに対してプロキシの処理を行います。
一方で、透過型プロキシの場合は、ポート番号のみを設定し、そのポート宛に来たトラフィックすべてに対してプロキシの処理を行います。宛先のIPアドレスに関係はありません。
前者の場合は、クライアントにプロキシのIPアドレス、ポート番号を設定する必要がありますが、後者の場合は、それらを行う必要が無いため、既存の構成が変えられないというような要件でも導入することが可能です。ここでは、主に透過型プロキシの実際のユースケースを2つご紹介致します。
ユースケース その1
例えば、クライアントのプロキシの設定を変更することはできないが、プロキシサーバに負荷をかけているOffice 365だけローカルブレークアウトを行いたいという要件に対して、透過型プロキシはかなり効果的です。
トラフィックの中身を見てOffice 365に合致すればローカルブレークアウトさせ、それ以外のトラフィックは既存のプロキシサーバに転送するといったことが可能になります。
ユースケースその2
例えば、クライアント側でプロキシの設定やPACファイルの管理を一切やめて、SD-WAN装置側でOffice 365のローカルブレークアウトを行い、さらにプロキシ経由の通信をしたいといった要件を満たすことができます。
トラフィックの中身を見てOffice 365ならローカルブレークアウトさせ、それ以外のトラフィックをプロキシサーバに転送することが可能です。
その他の機能
それ以外にも、事前にクライアントに証明書をインポートする必要はありますが、SSL/TLSを復号化と、URLフィルタリング、アンチウイルス、IPSを有効化するといったUTM機能を使用することも可能です。
[SMART_CONTENT]まとめ
冒頭にもお伝えしたとおり単なるルーティングでのローカルブレークアウトだけでは、根本的な課題を解決することは困難です。プロキシサーバが存在する環境でも柔軟に導入ができ、クライアントのログを残すXFF(X-Forwarded-For)の挿入機能や、ウェブ プロキシの耐障害性と負荷分散機能が備わっている点は、Versa Networks社が他のSD-WANベンダと比較してかなり優位になるのでないでしょうか?
是非、ご検討ください。
この記事に関するサービスのご紹介
Versa FlexVNF
VersaFlexVNFを使用することで、サービスプロバイダーは、vCPE、SD-WAN、セキュリティに対するネクストジェネレーションのマネージドサービスを提供することが可能になります。
詳細はこちら