...

WebSphere DataPower製品のご紹介 WebSphere DataPower 日本アイ・ビー・エム株式会社 ソフトウェア事業

by user

on
Category: Documents
59

views

Report

Comments

Transcript

WebSphere DataPower製品のご紹介 WebSphere DataPower 日本アイ・ビー・エム株式会社 ソフトウェア事業
®
WebSphere DataPower
WebSphere DataPower製品のご紹介
日本アイ・ビー・エム株式会社
ソフトウェア事業
WebSphereクライアントテクニカルプロフェッショナル
© 2010 IBM Corporation
WebSphere DataPower
IBMの提供するESB製品
•異なるお客様要件に対して最適化
•他のESBとの相互運用性
WebSphere
Message Broker
WebSphere ESB
WebSphere Application
Serverベースの統合SOA環境
異機種間での広範な接続インター
フェースと変換を実現
・ WebSphere MQベースのESBソリューション
・WAS NDベースのESBソリューション
・ 広範な接続性、データ変換をサポート
・Webサービスとの高い親和性
・ 既存システムとの連携、WebSphere MQとの高い親和性
・WASの運用管理方法などを継承
・ 高スループットが要求される業務に適合
・ 金融業界での豊富な実績
WebSphere DataPower
Integration Appliance
シンプルな操作と強固なセキュリティを提供する
ハードウェアESB
・SOAアプライアンスによるシンプルな構成
・高速なXML処理、強固なセキュリティの提供
2
WebSphere DataPower
WebSphere DataPower アプライアンスとは
SECURE
SOA, Web 2.0, B2B,Cloud 環境
をセキュアーに
SIMPLIFY
インフラの接続をシンプルに
ACCELERATE
お客様の時間を短縮
GOVERN
ITアーキテクチャーを集中管理
WebSphere DataPowerアプライアンスは、お客様のROIの増加、
TCO削減を手助けします。DataPowerは優れたパフォーマンスと強
固なセキュリティーを兼ね備えた特定機能に特化した製品です。
3
WebSphere DataPower
アプライアンスによりクリティカルな機能をシンプルにし集中化
ƒ 複数のアプリケーションのコード変更なしで、ルーティング、変換処理を実現し、
セキュリティーを高めることも可能
ƒ 低コストで複雑処理を実現
DataPowerアプライアンス導入前
DataPowerアプライアンス導入後
認証
変換
暗号/復号
妥当性検証
ルーティング
個々にアプリケーション
を更新
即座に全てのアプリケーションをセキュアーに
し、ルーティング、変換が可能に
アプリケーションへの変更は不要
4
WebSphere DataPower
DataPowerの革新
DGXT
最適なソフトウェア
インタープリター
1999
XA35
2000
XSLJIT
XS40
2001
最適化された
ソフトウェア
コンパイラー XG3
最適化された
ハードウェア
アクセラレーション
XI50
2002
2003
XG4
Gigabit/秒の
HWソリューション
による買収
ツールのサポート
(WebSphere
Transformation
Extender)
2004
2005
HW Model
7993
XB60
2006
XM70
2007
2008
ITCAM
for
SOAのサポート
HW Model
9235
2009
AOオプション機能
セルフバランシング
インテリジェントな負荷分散
2010
5
WebSphere DataPower
WebSphere DataPower アプライアンス製品ラインナップ
XM70
ƒ マイクロ秒のレイテンシーでエクストリーム
なデータを処理
ƒ 拡張メッセージングプロトコル変換
ƒ 拡張QoSとパフォーマンス
XB60
ƒ 圧倒的なB2Bパフォーマンス
ƒ B2Bメッセージ(AS1, AS2, AS3)をセ
キュアーに
ƒ 取引パートナープロファイル管理
ƒ B2Bトランザクションビューワー
XI50
ƒ ハードウェア ESB
XS40
ƒ ワイヤースピードで変換処理
ƒ Webサービスセキュリティー
ƒ “動的ルーティング、インテリジェンスな負荷
分散
ƒ 豊富な認証、認可
ƒ ポリシー管理の集中化
6
WebSphere DataPower
WebSphere DataPower アプライアンスのユースケース
Internet
DMZ
1 セキュアゲートウェイ
(Webサービス,
Webアプリケーション)
2 インテリジェントな負荷分散
Consumer
Trusted Domain
4 社内セキュリティー
5 Enterprise Service Bus
6 SOA ガバナンスの実行
7 Web サービス管理
8 ホストとの統合
System z
Application
Consumer
3 B2B パートナーゲートウェ
9 低レイテンシーゲート
イ
ウェイ
Application
7
WebSphere DataPower
XS40/XI50サポート機能
ƒXI50はXS40の機能を包含しています。
XI50 インテグレーション・
アプライアンス
XS40 XMLセキュリティー・
ゲートウェイ
ƒ
XML処理のオフロード
ƒ
WS-Securityのサポート
XSL変換
パーシング
スキーマによる妥当性検証
圧縮
キャッシュ
ƒ
基本機能のサポート
SSL アクセラレーター
ƒ
後段サーバーへのロードバ
ランシング
ロギング(syslogなど)
ƒ
ƒ
ƒ
ƒ
SNMP
ƒ
プロトコル変換のサポート
WebSphere MQ
電子署名
WebSphere JMS
アクセス制御
XMLレベルでのフィルタリング
FTP,SFTP(SSH),FTPS
(SSL)
XDoS攻撃対応、X threatへの対応
IMS connect
認証サーバーとの連携
LDAP、Tivoli Access Manager、Netgrity、
SAMLなど
サービス監視機能
レジストリーのサポート
WSRR、UDDIレジストリー
監視ツール
ƒ
XML暗号化
サービスレベルモニタリング機能を実装
サポートプロトコル
HTTP,HTTPS,NFS
XML、Webサービスのセキュア化
Tibco
ƒ
Non-XML変換をサポート
ƒ
ODBC接続サポート
Oracle、Oracle RAC、
DB2、SQL Server 、
Sybase
Webサービスの監視
ITCAM for SOA v6.1
8
WebSphere DataPower
アプライアンスとしての処理パフォーマンス
ƒ SOAアプライアンス(専用ハードウェア)としての高速XML処理
ƒ 負荷のかかるセキュリティー関連の処理も高速実施
基本XML処理
XMLセキュリティ処理
1.2
1
0.8
0.6
`
0.4
Time
Time
1
0.8
0.6
0.4
約1/10
0.2
約1/10
0.2
0
Software
WebSphere
DataPower
0
Software
Software with
アクセラレータ
WebSphere
DataPower
XML処理はソフトウェアと比較して約1/10に!
*USデモンストレーション環境での概算.
実際の処理時間の差異はXML構造や処理内容に依存します。
9
WebSphere DataPower
WebSphere DataPowerの特長
10
WebSphere DataPower
構成ベースなので迅速に構築可能
ƒ コーディングなしでセキュリティー標準を実装
ƒ メッセージ処理は直感的なパイプラインを使用
ƒ 環境間でのインポート/エクスポート 構成
11
WebSphere DataPower
コンテンツベースルーティングにより効果的に既存資産を活用
ƒ どんなメッセージでも動的にルーティング
IPアドレス、リクエストURL、プロトコルヘッダーなどのような属性
SOAPヘッダー、XMLのようなメッセージ内のデータ
ƒ ルーティング情報の保管先
DataPower上のXMLファイル
Webサーバー、DB
WebSphere Service Registry & Repositoryにも問い合わせ可能
ƒ ルーティングポリシーの変更
に停止時間は不要
ƒ シンプルなルーティング変更で
トランスポートプロトコルも変更可能
12
WebSphere DataPower
サービスレベル管理とロードバランスによりトラフィックを制限
ƒ アプリケーションを過負荷から守るためサービスレベル管理(SLM) を使用
リクエスト数、エラー数、ユーザー名、XMLコンテンツ、接続数などの頻度
カスタムの閾値に到達した際のアクション
ƒ Notify (ロギング)
ƒ Shape (遅延させる)
ƒ Throttle (拒否)
複数デバイスにまたがったSLMも実行可能
ƒ SLMデータを複数デバイスで共有
ƒ SLMとルーティングの併用し、インテリジェントなフェイルオーバーを決定
閾値に達した場合、代わりのサーバーを使用
Logに通知
リクエスト
CPU
アプリケーションサーバー
shape
リクエスト拒否
13
WebSphere DataPower
Webサービスを集中管理
ƒ WebSphere Service Registry & Repository (WSRR) を使用し、Webサービ
スをストアし、公開し、統制
ƒ WSRRサブスクリプションを経由し、DataPowerに自動的にサービスを公開
WS-PolicyAttachmentを通し、 WS-Policyステートメントを含む
特定のバージョン数ごとにWSDLを取得可能
ƒ WSRRから実行ルーティング情報を動的に取得
ƒ SOAガバナンス ソリューションを実行
WSRRで、Webサービスの
ライフサイクルポリシー管理
DataPowerで、Webサービスの
ランタイムポリシーを実行
WSRR
14
WebSphere DataPower
DataPowerトラフィックをモニター
ƒ 既存のモニターインフラとDataPowerは簡単に統合可能
SNMPを通して、広範囲の状態情報を取得
syslogを通して、詳細のトランザクションログ情報を取得
ƒ さらなる全体解析のため、SOAモニターツールを利用
IBM Tivoli Composite Application Manager (ITCAM) for SOA
ƒ アプリケーション要件に適合する拡張ログ/監査ソリューションを作成
同期・非同期ロギング
ƒ 柔軟なログサブスクリプション
によりモニターをカスタマイズ
複数ターゲットに送信
複数フォーマットで送信
SNMP
syslog
syslog
ITCAM
SOA
Other
15
WebSphere DataPower
容易なプロトコル変換
ƒ 設定のみでプロトコル変換を容易に実現
複数通信プロトコルのサポートとプロトコル変換
N対Nの変換が可能
複数フロントエンド・ハンドラーの定義と複数宛先へのディスパッチ
フロントサイド
HTTP
HTTPS
プ
変換
ル
コ
ロト
+
HTTP
HTTPS
Stateless RAW XML
Stateless RAW XML
File(NFS/FTP/SFTP)
FTP
MQ
処理ポリシー
バックサイド
MQ
TIBCO EMS
TIBCO EMS
WAS JMS
WAS JMS
IMS Connect
IMS Connect
Stateful RAW XML
Stateful RAW XML
16
WebSphere DataPower
データフォーマット変換
ƒプロトコル変換機能との併用により、レガシー⇔Webサービス連携などが容易に可能
ƒ日本の文字コードもサポート済み
ƒDataGlueTMエンジン:非XMLメッセージ変換のランタイム
ƒWebSphere DataPower XI50に標準搭載
ƒXML以外のフォーマット(Binaryなど)へ変換する機能
ƒWebSphere Transformation Extender Design Studio(別ライセンス)にてマップ用ファイルを作成
ƒGUI上でドラッグ&ドロップでInとOutのファイルをマッピング(コーディング不要)
ƒメッセージBの
フォーマット表記
(アウトプット)
ƒメッセージAの
フォーマット表記
(インプット)
インプット/アウトプットファイルのフォーマット
を指定 (Corba IDL, COBOLコピー句,binary,CSV, etc.)
WTX Design Studio
メッセージ A
ホスト環境
DataGlue™
エンジン
ツールで作成した
マップファイルを
WebSphere
DataPowerで指定
メッセージ B
オープン環境
17
WebSphere DataPower
WebSphere DataPowerの構成
18
WebSphere DataPower
WebSphere DataPowerの構成
ƒ WebSphere DataPowerの構成
Applicationドメイン(Domain)単位で構成情報を保持
ユーザー/グループはドメインごとにアクセス制御可能
Applicationドメイン
ドメイン単位で
様々な構成情報を保持
オブジェクトA
オブジェクトB
オブジェクトC
ユーザーA
Applicationドメイン
オブジェクトA
オブジェクトB
オブジェクトC
特定のドメインに対してログインし、
構成管理を行う
グループB
19
WebSphere DataPower
構成管理
ƒ WebGUI コントロールパネル
サービスオブジェクトの新規作成ウィザードの提供
メンテナンスメニューの提供
ƒ 証明書/鍵管理、リソース管理、ログ管理、デバッグ機能、サービスステータス確認
プライマリー・サービス
マルチプロトコルゲートウェイ
Webサービスプロキシー
XMLファイアウォール
XSLアクセラレーター
個別オブジェクト構成
その他管理メニュー
ログ確認
デバッグ機能
ファイル管理
システム
コントロール
モニタリング
ステータス確認
構成のインポート/
エクスポート
証明書/鍵管理
20
WebSphere DataPower
プライマリー・サービス
ƒ プライマリー・サービス
フロント(クライアント)サイドとバックエンドを結ぶ基本構成
ƒ フロントサイドとバックエンドのエンドポイント情報を設定
目的に応じてプライマリー・サービスを選択
ƒ
ƒ
ƒ
ƒ
ƒ
XMLファイアウォール
:XMLメッセージレベルでのファイアウォール
Webサービスプロキシー
:Webサービスのプロキシー
マルチプロトコルゲートウェイ
:複数トランスポートプロトコルのゲートウェイ
XSLアクセラレーター
:XML処理のオフロード
Webアプリケーションファイアウォール:HTTP(S)レベルのファイアウォール
メッセージに対する処理はサービスの処理ポリシーとして定義
ƒ 全てのプライマリー・サービスは処理ポリシーを必須オブジェクトとして保持
ƒ サービスを生成し、ドキュメント処理ポリシー、ルール、アクションを作成
ƒ 各プライマリーサービスの作成ウィザードが提供される
フロントサイドの設定
サービス・
リクエスター
プロトコル別パラメータ
メッセージタイプ
ListenするIP:Port設定
SSL 復号化
Decompress処理
etc・・
処理ポリシー
メッセージに対する処理を
ステップバイステップの
ルールとして定義
バックエンドの設定
プロトコル別パラメータ
メッセージタイプ
エンドポイント設定
SSL 暗号化
Compress設定
etc・・
サービス・
プロバイダー
21
WebSphere DataPower
処理ポリシー
ƒ メッセージに対する処理は処理ポリシーとして定義
複数のルール(マッチングルール+処理ルール)の集合
リクエスト/レスポンス/エラーごとに優先度に従い順次評価・実行
プライマリー・サービス
フロントサイドの処理
サービス・
リクエスター
処理ポリシー
バックエンドの処理
サービス・
プロバイダー
処理ルール
マッチング
ルール
複数の処理ルール
が順番に評価・実行
優先度
処理フローの方向
22
WebSphere DataPower
ルール
ƒ マッチングルール
処理ルールの実施有無を決定する条件
ƒ HTTPヘッダー/URL/XPath/エラーコード
ƒ 処理ルール
メッセージに対する処理をステップバイステップで構成
ƒ リクエストフロー/リプライフロー/処理エラー発生時フローの別に定義
1つ以上のアクション(処理)から構成される
ドラッグアンドドロップでアクション(処理)を処理ルールに追加
アクションのパレット
マッチング
ルール
ゴミ箱
処理の順番は必ず左→右で定義
レスポンスフロー
両方向
リクエストフロー
エラーフロー
処理ルール
処理フローの方向
23
WebSphere DataPower
使用可能アクション -1Transform
XSLTによるメッセージ変換
Validate
URLスキーマ、スキーマ属性、Rewrite属性、WSDL URLによる妥当性検証
Filter
メッセージのフィルター処理(xslファイルを指定)
Route
XSLT、Xpath、変数による動的ルーティング処理
Fetch
外部リソースを取得
Header Rewrite
URL、ヘッダーの書き換え
Call
別のルールを呼び出し
Conditional
Xpathで条件を指定、指定した別のアクションを実行
For-each
ループ条件(Xpathか回数)を指定し、ループさせるアクションを指定
Convert Query Params to XML
HTTPからXMLへの変換処理
Crypto Binary
バイナリーに対するPKCSによるセキュリティー処理(署名、暗号、復号、署名検証)
Event-sink
非同期アクションの完了を待ち、非同期アクションに含まれるアウトプットコンテキストを他のア
クションで利用可能にする
Extract Using XPath
XpathによりXMLを抽出し、変数にセット
Log
指定した宛先にログメッセージを送信
On error
エラーをキャッチし、処理継続か中断を決定。中断を選択するとエラールールに処理が流れる
Set Variable
値を変数としてセット
Transform Binary
Non-XMLへの変換(WTX開発ツールで生成したファイルを指定)
Results
メッセージを後段サーバーへ送信、複数サーバーへの送信も可能
Results Asynchronous
非同期でコンテキストを宛先に送信。fetch, log, routeアクションと一緒に使う必要がある
24
WebSphere DataPower
使用可能アクション –2Encrypt
WS-Security,XMLによる暗号処理
Decrypt
WS-Security,XMLによる復号処理
Sign
XMLメッセージ署名を付加
Verify
XMLメッセージ署名検証
AAA
AAA(認証・認可・監査)フレームワークによる処理(LDAPやTAMなど認証サーバーと連携)
Anti-Virus
ICAPサーバーを指定し、XMLウィルスの検知
SQL
ODBCによるDBアクセス。SQL文の発行が可能
Strip Attachments
アタッチメント全てあるいはMIME/DIMEアタッチメントを除去
Method Rewrite
HTTPメソッドの操作
MQ Header
MQMDヘッダーの変更、挿入が可能
SLM
WebSphere DataPowerを通過するメッセージのカウント。設定した閾値を越えるとアクション
(ログ、キューイング、拒否)を実行
Checkpoint Event
WS-Management エージェントおよびSLMの情報取得
チェックポイントイベントは認証、リクエスト、レスポンス、フォルトから選択
25
WebSphere DataPower
アクションの非同期処理
ƒ 各アクションで非同期(Asynchronous)を指定可能
ƒ 非同期アクションの終了を待たずに、ルール内の次のアクションの処理が
可能
ƒ ログアクションなどアクションの処理結果を待つ必要がない場合に有効
ƒ 複数のアクション実行によるネットワークI/Oおよび遅延の削減
26
WebSphere DataPower
その他管理機能
Probe
アクション毎のメッ
セージの確認が
可能
ƒ デバッグ機能:Probe機能
メッセージ処理をアクション毎に確認可
能
ƒ ロギング
外部書き出し(syslog,SNMPサポート)
debugモード、errorモードなどログレベ
ルを選択可能
SMTPによる通知が可能
製品購入時、HDDオプションをつけるこ
とにより、HDDにログを保管することが
可能
ƒ WebSphere DataPowerの監視ツール
通過するメッセー
ジを表示
Log
SNMP
ITCAM for SOA *
* IBM Tivoli Composite Application Manager for SOA
27
WebSphere DataPower
WebSphere DataPowerによる
セキュリティー対策
28
WebSphere DataPower
システム連携におけるセキュリティー課題
ƒ
DMZ 上の Web サーバーなどを経由する構成
IP Firewallでは、XML DoS攻撃などの脅威に対しては脆弱
Web サーバーでは認証・認可を行わないため(行わない場合)、様々な不正なメッセー
ジを含む、全てのメッセージがプロバイダー用のノードまで到達する
SSLレベルの認証・復号以外の、全ての負荷がプロバイダー用のノードに集中する
al
l
Fi
re
w
Fi
re
w
サービス
プロバイダー
IP
リクエスター
Webサーバー
IP
正当な
XML/SOAP
Secured
DMZ
al
l
Internet
不正な
XML/SOAP
XML
特有な攻撃
„SSL認証
„SSL復号
„HTTPレベルの検証
„認証・認可
„XML復号
„XML署名検証
„スキーマ検証
„サービスの処理
29
WebSphere DataPower
WebSphere DataPowerによるセキュリティー対策概要
ƒ トランスポートレベルとメッセージレベルのセキュリティーを提供
ƒ 広範囲なセキュリティー機能を提供
暗号・復号
ƒ SSLによる暗号・復号
ƒ WS-Security/XML暗号・復号
署名・署名検証
ƒ XML署名・署名検証
認証・認可・監査
ƒ SSLクライアント認証
ƒ メッセージに含まれるユーザー情報・認証情報による認証・認可
ƒ 監査ログの取得
不正XMLへの防御
ƒ XML脅威への防御
ƒ スキーマ検証
ƒ GUIベースでシンプルに設定可能
ウィザードに従って、必要な設定項目のみを表示
柔軟なセキュリティー設定も可能
30
WebSphere DataPower
WebSphere DataPower を使用した構成
DMZ 上に セキュリティー・ゲートウェイとして設置し、認証・認可および XML の検
証を行う
アプリケーション側でセキュリティーを意識する必要が無く、複数プロバイダーに対して
設定する必要が無い
WebSphere DataPowerで認証・認可を行うことにより、アクセス権のないメッセージをプ
ロバイダーに到達させない
メッセージレベルの復号や署名の検証の負荷を、プロバイダーのノードからオフロード
不正なメッセージを検知、XML threat, XML DoS攻撃の防御
al
l
Fi
re
w
WebSphere DataPower
セキュリティー・ゲートウェイ
サービス
プロバイダー
IP
リクエスター
Fi
re
w
正当な
XML/SOAP
Secured
DMZ
al
l
Internet
IP
ƒ
不正な
XML/SOAP
„SSL復号
„XML復号
„XML署名検証
XML
特有な攻撃
„認証・認可
„不正XML の検証
„サービスの処理
31
WebSphere DataPower
柔軟なAAA (認証、認可、監査) ポリシー
HTTPヘッダー
WS-Securityトークン
WS-SecureConversation
WS-Trust
Kerberos
X.509
SAMLアサーション
IPアドレス
LTPAトークン
カスタム
IDの
抽出
LDAP
System/z NSS (RACF, SAF)
Tivoli Access Manager
Kerberos
WS-Trust
Netegrity SiteMinder
RADIUS
SAML
LTPA
署名検証
カスタム
認証
AAA
IDの
マップ
入力
メッセージ
LDAP
ActiveDirectory
System/z NSS
Tivoli Access Manager
SAML
XACML
カスタム
認可
リソースの
抽出
WS-Securityの付加
z/OS ICRXトークンの生成
Kerberosの生成
SAMLの生成
LTPAの生成
Tivoli Federated Identityに
マップ
Audit &
Post-Process
出力
メッセージ
リソースの
マップ
URL
SOAPオペレーション
HTTPオペレーション
カスタム
外部アクセス制御サーバー/DataPower上のID管理ストア
32
WebSphere DataPower
WebSphere DataPowerによるXML脅威への防御
ƒ XML脅威への防御機能
Single Message XML Denial of Service (XDoS) Protection
ƒ 悪意のあるXMLメッセージから防御
Multiple Message XML Denial of Service (MMXDoS) Protection
ƒ 大量のXMLリクエストにより負荷を増大させる攻撃への防御
SQL Injection Protection
Protocol Threat Protection
ƒ サービスで使用するメッセージタイプ(SOAP/XML)を検証
XML Virus (X-Virus) Protection
ƒ Attachmentのあるメッセージに対する制御
Dictionary Attack Protection
ƒ パスワードハッキングなどの防御
33
WebSphere DataPower
WebSphere DataPowerデバイスセキュリティー
ƒ
脆弱性を最小限に抑えたWebSphere DataPowerデバイス
ハードディスク、USB、CD-ROMをもたない
ƒ 製品オーダー時にログ用のハードディスクオプションを選択可能
ƒ ハードディスクオプションを付けない場合はコンパクトフラッシュ
ファームウェアは署名・暗号化
ƒ ソフトウェアの導入は不可
全ての設定がデフォルトOFF
Hardwareには秘密鍵、ログを保管
タンパー・プルーフ・デバイス
ƒ 解体等の操作を行うと、格納されたデータが消去されるため、秘密鍵などを不正に取り出すこ
とが不可能
管理者
構成情報
ファームウェア
WebGUI、SSH接続などで
構成管理
XML
Acceleration
Crypto
Acceleration
Hardware
34
WebSphere DataPower
WebSphere DataPowerの配置と負荷分散
35
WebSphere DataPower
WebSphere DataPowerの基本構成
リクエスター(クライアント)
ロードバランサー
(Active-Standby)
DataPower
(Active-Active)
DataPowerから生死確認
ヘルスチェック
DataPowerの生死確認
Application Optimizationオプションの付加によりDataPowerの前段の負荷分散装置が不要に
DataPower
(Active-Active)
DataPowerから生死確認
ヘルスチェック
36
WebSphere DataPower
Application Optimization(AO)オプション
ƒ 新規オプション機能(有償)
9235/ 9004モデル XI50 、XS40モデルに実装可能
静的な重みに基づくリクエストの負荷分散
閾値に基づくフロントサイドリクエストのSLA管理
DataPowerのバックエン
ドにルーティングと負荷
分散を実行
AOオプションの二つの機能
ƒ セルフバランシング
2台以上のDataPowerで自身に負荷分散が可能で
す。それにより負荷分散装置をDataPowerの前段
に配置する必要がなくなります。
ƒ インテリジェントな負荷分散
WebSphere NDやnon-WAS環境において負荷分
散機能を提供します。
クライアント
インバウンドリクエスト
をセルフバランシング
37
WAS NDのセルに問い合わせ、ロードバランサーグループ
を動的に作成
WAS NDセルから負荷分散を決定する重みを取得
WAS NDメンバーとのセッションアフィニティーをサポート
WAS以外のアプリケーションサーバーでもセッションアフィニ
ティーをサポート
37
WebSphere DataPower
Application Optimization – セルフバランシング
複数デバイスで定義したプール内でリクエストを分散
ƒ DataPowerの前段に負荷
分散装置は必要ない
ƒ クライアントには仮想IPを
公開
同じ仮想IPを定義した
DataPowerはグループの
他のメンバーにトラフィック
を分散
フェイルオーバーも可能
38
WebSphere DataPower
Application Optimization – インテリジェントな負荷分散
WebSphere Application Server環境では…
ƒ WAS ND,VEのサーバーインスタンスのワークロード管理を利用
効果的にサーバーリソースを利用
リアルタイムのトラフィック条件によって動的に構成をアップデート
ƒ WASとDataPowerのアーキテクチャーフレームワークを使用
ODCInfo アプリケーション (WebSphereセル内のDeployment Manager 上で稼動)を使用
DataPowerは定期的にWLM情報を取得
DataPowerのLoad Balancerオブジェクトでメンバーと重みをアップデート
39
WebSphere DataPower
Application Optimization – インテリジェントな負荷分散
ƒ Cookieベースのセッションアフィニティー
効果的なセッションハンドリング
ƒ 同一セッション内で全トランザクションを同じバックエンドサーバーに転送
DataPowerはどのバックエンド環境でも各種のアフィニティーモードを提供
ƒ Passive (WASのみ), Active-Conditional, Active
IDテーブルを区分する更新によりフェイルオーバー
40
WebSphere DataPower
後段サーバーへの負荷分散機能
ƒ WebSphere DataPowerはロードバランス機能をもつため、WebSphere DataPowerの後段に
負荷分散装置は不要
ƒ ロードバランシング機能
WebSphere DataPowerの機能でサービスのロードバランシングが可能
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
first-alive:プライマリーサーバーがダウンした場合のみバックアップサーバーへ割り振り
hash:クライアントIPによるアフィニティ
least-connection:コネクションが最も少ないサーバーへの割り振り
Weighted Least Connections:重み付けleast-connection
round-robin:ラウンドロビン
weighted-round-robin:重み付けラウンドロビン
ƒ ヘルスチェック機能
サービスのレベルでの生死確認が可能
HTTP GETもしくはSOAPリクエストでの定期チェック
– XPathを用いてレスポンスを走査
– ダウンと検知したサーバーにはリクエストを転送しない
41
WebSphere DataPower
WebSphere DataPower
ハードウェア・アプライアンスによるシンプルで高速なESB基盤
ƒ 早期に構築するESB
MQなどのプロトコル変換、データ変換を行うことでレガシーとの連携が可能
HTTP,MQ,WebSphereJMS,FTP,Tibco,IMSをサポート
ODBC接続によるDB連携
WebSphere DataPowerから始めて、将来BPELエンジンを使用した本格的SOA基盤構築
サービスレベルモニタリング機能によるリクエストの監視
ƒ 簡単にシステムを機能アップ
GUIによる簡単な構成設定
面倒なWS-Securityも簡単に設定
アプリケーションの改変なしにレガシーと連携
アプリケーションサーバーの負荷を軽減可能
専用デバイスによりXMLやSSL処理を効率化
負荷のかかるセキュリティー処理、XML処理をオフロード
ƒ よりセキュアなシステムに
より安全な企業間・企業内連携を可能に
XML特有の攻撃に対する防御機能
Webサービスのセキュリティレベルを容易にアップ
42
WebSphere DataPower
事例紹介
43
WebSphere DataPower
日本のお客様事例
ソリューション
課題とニーズ
ƒ Webサービスを企業顧客にインターネット経由で公開するにあたり、 ƒ WebSphere DataPower XML Security Gatewayにて要件を全
て満たせることを実証
システムおよびアプリケーションを保護する必要があった
Webサービス妥当性検証
ƒ 全てのリクエストの正当性をチェック(悪意がなくても攻撃になりうる)
XML Threat Protectionとサービスレベルモニタリング
企業顧客からのXMLメッセージをチェックし、正当なものだ
機能によるXMLDos攻撃対策
け受け入れる
XMLメッセージの中身に応じたルーティング(コンテン
ƒ XML特有の攻撃パターンをフィルター
ツベースルーティング)
WebSphere DataPowerをn+1台構成にすることでス
ƒ リクエストがテスト段階のものか、商用サービスのリクエストかを見分
けて、高速にルーティング
ケーラビリティーを確保
WebSphere DataPowerの監視はSNMPを使用
(企業顧客が本サービスを利用する場合、テストフェーズを
経て正常稼動を確認した後、商用サービスへと移行する)
ƒ 接続先の企業顧客の数が増加しても、動的更新が可能であること
テストシステム
ƒ BEA AquaLogic Serverとシームレスに連携できること
企業顧客
Secured
Internet
AquaLogic Webサービス
Service Bus
プロバイダー
XML/SOAP
XS40 Webサービスゲートウェイ
Schema
Validate
SLM
Route
不正
XML/SOAP
XML
Dos攻撃
XML 脅威防御
Log
サーバー
SNMP
サーバー
商用システム
44
WebSphere DataPower
Wachovia
米国最大規模の金融機関。一般的な預金のほか、資産管理、コーポレートバンキング、投資銀行業
務など多様に展開
セキュアでリアルタイムの ATM- 支店間処理を実現
課題とニーズ
ƒ ATMでの“処理”情報をFTPで一晩かけて銀行支店に転送
セキュリティのため固定IPアドレスやVPNを利用
ネットワークも機器も、リソースは飽和状態。
ƒ銀行間の小切手取引も電子取引“Check21”に対応する必要
認証サーバー
ATM
WEBサービス
リクエスター
認証要求
(詐欺防止、ペーパーレス化のチェックプロセス)
ハイボリュームでリアルタイムの処理をセキュリティを確保しながらコストを下げる方
法を模索
ソリューション
XI50
ATM
AppServer
ƒ WebSphere DataPower XI50をDMZに導入。
入ってくるメッセージをチェック、フォーマット変換、メッセージをルーティング
ƒ メッセージ・レベルのセキュリティ、暗号化、デジタル署名、アクセス制御の機能で、
VPNを使わなくてもセキュアな転送。
ƒ バッチファイルの代わりに、“メッセージ”でATMからほぼリアルタイムに銀行の支
店に送付。
クライアント
WEBサービス
リクエスター
ƒ 次フェーズ、MQとの統合も予定
導入効果
ƒ 2~3週間で運用開始。(他の方法では6ヶ月の構築期間)
ƒ ハイボリュームの処理を安全でリアルタイムに実現。
月間の取扱量が増大
ƒ VPN利用料金の削減
ƒ フォーマット変換
ƒ コンテンツベースルーティング
ƒ 認証
本来のコアビジネスへの投資を可能に。
45
WebSphere DataPower
ING Bank Slaski
ヨーロッパ本拠地の世界的金融機関。銀行業務、保険、アセットマネジメント・
サービスを提供
既存システムを変更せず、新業務をWebサービスで提供
課題とニーズ
ƒ 24時間365日のオンライン・サービスなどの新サービスの提供
既存システムでは変更の為のアプリ開発に時間がかかる
クライアント
ƒ 既存システムに手を入れずに、お客様サービスにも、販売チャネ
ルとのプロセスにも、柔軟に対応・拡張していけるインフラを検討
MQ
MQマネージャー
MQ
FTP
ソリューション
ƒ WebSphere DataPower XI50 を2台導入
クライアント
FTPサーバー
HTTP
ƒ お客様やパートナーからは、XMLでデータを受け取り、DPで
プロトコル変換し、MQでバックエンドのシステムへ転送。
DPはデータをASCII からEBCDICに
ƒ いくつかの金融取引と銀行業務をWebサービスで直接お客
様にオンライン・サービスとして提供
XI50
バックエンド・
システム
クライアント
WEBアプリケーション・
サーバー
導入効果
ƒ バックエンドのアプリケーションに手をいれないことで、コスト
を抑えて、変化に柔軟なインフラを構築
ƒ プロトコル変換
ƒ 新規サービスへの早期対応
ƒ フォーマット変換
ƒ MQ経由でレガシーに接続
ƒ 早期に投資の回収
46
WebSphere DataPower
Charles Schwab 大手オンライン証券会社
課題とニーズ
ƒ 1) 既存ESB(RR Bus)のおきかえ
ƒ 2)インターネット、イントラネットのアプリケーション用に新しい Web
サービスセキュリティーの導入が必要
ƒ 既存ESB (RR Bus)をJ2EEサーバー上に自前で構築していたが、管
理不可能に。22台の サーバーが、2007年末に44台になる予定で
あった。
ƒ 2007年-2008年にかけて、 schwab.comサイトが、RR Bus のインフ
ラに移行するため、負荷が増えることが予想されていた。
解決策
ƒ WebSphere DataPower Integration Appliance XI50 と
WebSphere DataPower XML Security Gateway XS40を導入.
ƒ RR Bus – 22台のJ2EEサーバーを4台のDataPower XI50
Integration appliancesでおきかえ
ƒ Web サービスセキュリティー – 2台のDataPower XS40 XML
Security Gateway Appliancesで、インターネット、イントラネットのア
プリケーション用に標準のWeb サービスセキュリティーを提供
導入効果
ƒ 自前のルーティングソリューションを簡素化-22台のサーバーに比
べ、4台の管理で済むので保守と管理が大幅に簡素化
ƒ 1年目で投資を回収予定
ƒ リアルタイムのルーティングとメインフレームへのトランザクション処
理を提供
ƒ 新サービスの構築: Webサービスセキュリティー
ƒ WebSphere DataPower
Integration Appliance XI50
ƒ WebSphere DataPower XML
Security Gateway XS40
ƒ WebSphere MQ
47
WebSphere DataPower
イギリス某都市 警察署
Webサービスセキュリティの導入により犯罪率を減少
課題とニーズ
ƒ 増え続ける犯罪撲滅を目的として、3年以内(2008/3まで)に犯罪
発生率23%削減を目標
ƒ 警察の犯罪情報を他の協力機関と共有することは犯罪減少に
つながる重要な方策であったが、個人情報が含まれるため、取
り扱いについてはイギリス個人情報保護法の準拠が必要
ƒ 既存のIPセキュリティは脆弱性があっため、情報を公開するた
めには適切なセキュリティを確保したIPファイヤーウォールイン
フラの導入が必須
ソリューション
ƒ 2台のWebSphere DataPower XS40を導入
ƒ 署内インフラはMS BizTalk,SQL Serverが導入されており、こ
れら既存システムとのシームレスな連携が可能であることが前
提条件
導入効果
ƒ WebSphere DataPowerの導入により、犯罪データを安全、且
つリアルタイムに、協力機関と共有することが可能に
ƒ 規定のITセキュリティ要件に準拠し、犯罪発生率減少への非常
に有効な手段に
国家警察シス
テムに連携
XML FWとして導入
XML攻撃をチェック・防御
スキーマ検証
デジタル署名・署名検証
BizTalkと連携
48
WebSphere DataPower
US 大手携帯電話会社
SOAを目指してESBの構築を実現
課題とニーズ
ƒ 外部のパートナーと社内システムを共有する仕組み構築の
取り組み
ƒ その仕組みとして、限られた予算内でXMLメッセージセキュリティの
実装とメディエー ション機能を実現するESBの構築を検討
解決策
ƒ 12台の WebSphere DataPower XI50を同社ネットワークのDMZに
配置
ƒ 他社のソフトウエアESB製品とのコンペであったが、構成上4倍以上
の価格差により、WebSphere DataPower採用を決定
ƒ ライセンス費用もさることながら、導入に際しての開発コスト、運用費
用で圧倒的な金額差
ƒ その他、パフォーマンス、将来の拡張性でもWebSphere DataPower
の方が優位性ありと判断
導入効果
ƒ スケーラビリティが高く、導入設定、運用が容易なESB構築に成功
ƒ パートナーとの社内システム共有の仕組みも、当初予定スケジュー
ルよりも大幅に前倒しで構築
ƒ WebSphere DataPower Integration
Appliance XI50
49
WebSphere DataPower
WebSphere DataPower 価格
WebSphere DataPower XM70
低レイテンシーメッ
セージング
WebSphere DataPower XB60
B2B メッセージング
(AS2/AS3)
WebSphere DataPower XI50
XML 統合と既存のシステム
との接続機能の追加
WebSphere DataPower XS40
XMLセキュリティー
機能
※1年目の保守費用が含まれています
ƒXM70 LLMアプライアンス
¥15,015,000
ƒXB60 B2Bアプライアンス
¥15,802,000
ƒXI50 インテグレーション・アプライアンス
¥12,155,000~
Option for Database Connectivity ¥772,200
Option for Tibco ¥893,800
ƒXS40 XML セキュリティ・ゲートウェイ
¥10,296,000~
Option for Tivoli Access Manager
¥772,200
50
Fly UP