アプリケーション ネットワーキング サービス : Cisco CSS 11500 ???? Content Services Switches

HTTP から SSL へセッションを変換し、スティッキ状態を維持するよう、CSS 11000 製品と Web アプリケーションを設定する方法

2003 年 4 月 22 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 1 月 31 日) | フィードバック

目次

概要
設定
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

注: この文書の情報は、すべての Cisco CSS 11000 シリーズ コンテント サービス スイッチおよび Cisco WebNS ソフトウェア リリース 3.02 以降に基づいています。

多くの Web サイトでは、Hypertext Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル)のポート 80 を使用してクライアントにサイトへのアクセスを許可しますが、セキュアなトランザクションのセッションの間は、クライアントを Secure Socket Layer(SSL)プロトコルに移行させる必要があります。 HTTP と SSL のどちらを使用しているかにかかわらず、同じサーバへのクライアントのスティッキ状態を維持する方法を、次に示します。

クライアントは、宛先が Virtual IP(VIP; 仮想 IP)である HTTP トラフィックを要求します。 スイッチは、ロード バランシングの決定を行います。 この例では、トラフィックはサーバ s1 に転送されています。 続いてクライアントは、次の拡張バランス方式(sticky-srip、sticky-srcip-dstport、クッキー)のいずれかに基づいて、サーバ s1 へのスティッキ状態を維持します。

クライアントのセッションの間、クライアントが https にリダイレクトされるページのリンクを選択すると、SSL ポート 443 への移行が行われます。 これにより新しいコンテンツ ルールがヒットし、クライアントが別のサーバにロード バランスされる場合があります。 この時点でトラフィックは暗号化 https(SSL/TLS)になり、情報が CSS を通過する際に要求が暗号化されるため、CSS は、クッキー、URL などに関してレイヤ 4(TCP ポート番号)より上のレイヤをチェックできません。 これを防ぐために、同じサーバの(VIP アドレスではなく)パブリック アドレスで https にポイント先を戻すように、各サーバでリダイレクト HREF を設定します。

<A HREF=https://servers_own_ip_address/path> secure site </A>

使用しているサーバがプライベート アドレス領域にある場合は、各サーバの HREF が SSL コンテンツ ルールの VIP をポイントするように、各サーバのコンテンツ ルールを設定します。

セキュリティ保護されたサーバ s1 と s2 上の Web アプリケーションの設定は、一部を修正しなければならない場合があります。

また、スティッキ設定が advanced-balance cookies に設定されているコンテンツ ルールでは、すべてのクライアントがブラウザのクッキーを有効にしている必要があります。

設定

WebNS 3.02 以降が動作する CSS11XXX : 実行コンフィギュレーション




!Generated on 10/10/2001 18:12:17 !Active version: ap0500015s configure !************************** SERVICE************************** service s1 ip address 10.10.1.101 active service s2 ip address 10.10.1.102 active !*************************** OWNER*************************** owner cookie-ssl
content layer5cookie vip address 10.10.1.66 protocol tcp port 80 url "/*" advanced-balance cookies
!--- 上記のオプションを使用するには、コンテンツ ルールでポートを指定する必要があります。
!--- ここではポート 80 トラフィックが使用されています。
!--- また、すべてのクライアントはブラウザでクッキーが有効になっている必要があります。
add service s1 add service s2 active
content s1-ssl vip address 10.10.1.88 protocol tcp port 443 url "/*" application ssl add service s1 active content s2-ssl vip address 10.10.1.99 protocol tcp port 443
url "/*" application ssl add service s2 active
!--- http から https への切り替えが行われるサーバ S1 で、この HREF を使用します -
<A HREF=https://10.10.1.101/applicationpath1/> secure site s1 </A>
!--- http から https への切り替えが行われるサーバ S2 で、この HREF を使用します -
<A HREF=https://10.10.1.102/applicationpath2> secure site s2 </A>
!--- この例では、サーバ S1 と S2 のアドレスは、クライアントから到達可能である必要があります。 !--- これに該当しない場合、各 SSL サーバに関して、一意かつパブリックにルーティング可能な VIP アドレスおよび 1 つのサービスを使用して、 !--- 各サーバに 1 つのコンテンツ ルールを追加する必要があります。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 16202