SSLオフロード

SSLオフロード とは、SSLの処理を専門に行うノードを使い、アプリケーションサーバは本来の機能に集中させることができます。

読み方

SSLオフロード

えすえすえる おふろーど

offload

おふ ろーど

概要

SSLは、暗号化を行います。そのため、クライアントとサーバは、それぞれ、暗号化と復号化の処理をします。SSLオフロードは、SSL処理を専門に行うノードを設置し、SSL処理をサーバの代わりに肩代わりすることで、サーバの負荷を軽減します。

SSLオフロードなしの場合は、このような構成です。

クライアント -> サーバ

SSLオフロードを使用する場合は、このようになります。

クライアント -> SSLオフローダー -> サーバ

オフロードとは

オフロード(offload)は、システム負荷(loading)を軽減させる(off)仕組みのことをいいます。

SSLオフロードを実現する方法

• ロードバランサでSSLを処理する
• アプリケーションサーバの前に、SSL用のプロキシを設置する

ロードバランサによるSSL処理

ロードバランサでSSLの処理をする利点を挙げます。

• L7 hashing ができます。
• サーバを並べるより、少なくて済むかもしれません。

デメリット

• 対応できる暗号アルゴリズムがハードやベンダーに縛られる可能性があります。
• 最新のアルゴリズムやプロトコルに対応していくのが難しい可能性があります。
• サーバを並べるよりも、高価格になる可能性があります。

プロキシサーバによるSSL処理

サーバでSSLの処理をする利点を挙げます。

• 暗号アルゴリズムの対応など柔軟に選択可能です
• ロードバランサで実現するよりも、価格が安価になる可能性があります。
• 普通のサーバを使うことで、ほかのサーバと統一的な方法で管理できます。

デメリット

• ロードバランサより性能が劣るかもしれません。
• ロードバランサの台数より、多くのサーバが必要になる可能性があります。サーバが多くなると運用負荷や電気代や設置場所などデータセンター利用料金への影響も出るでしょう。
• L7 hashing をするために、プロキシサーバを多段にする必要があるかもしれません。

関連項目

• Transport Layer Security
• ネットワーク
• ロードバランサ
• プロキシ