セキュリティー保護されたデータ転送には、SSL (Secure Seckets Layer) や TLS (Transport Layer Security) など、セキュリティー保護された転送プロトコルを通じたトランザクションの処理が伴います。多くの場合、セキュリティー保護された転送を通じて処理されるトランザクションは、セキュリティー保護されたセッションの確立 (ハンドシェークと呼ばれる) および転送データの暗号化と復号化のために、追加の処理能力を必要とします。使用する暗号化アルゴリズム (たとえば、40 ビットまたは 128 ビットの暗号化アルゴリズム、など) によっては、かなりの追加処理能力が必要になることもあります。
セキュリティー保護されたトランザクションを、保護されていないトランザクションと同一レベルで実行するには、追加の処理能力を計画する必要があります。トランザクションおよびそれを処理する Sun JavaTM Enterprise System サービスの性質によっては、セキュリティー保護されたトランザクションの処理に、保護されていないトランザクションの場合の 4 倍の処理能力が必要になることもあります。
セキュリティー保護されたトランザクションを処理するための処理能力を見積もるには、ユースケースを分析し、セキュリティー保護された転送を必要とするトランザクションの割合を求めます。セキュリティー保護されたトランザクションと保護されないトランザクションのパフォーマンス要件が同じであれば、セキュリティー保護されたトランザクションに必要な追加の処理能力を考慮して CPU の見積もりを調整します。
場合によっては、セキュリティー保護された転送が認証時にだけ必要になることもあります。システムに対するユーザーの認証が完了すれば、データの転送に追加のセキュリティー対策は必要なくなります。また、場合によっては、セキュリティー保護された転送がすべてのトランザクションで求められることもあります。
たとえば、オンラインの電子商取引サイトで製品カタログを参照する場合、顧客が商品の選択を終え、購入のための支払い手続きを開始するまでは、すべてのトランザクションはセキュリティー保護の必要がありません。しかし、銀行や仲介取引業向けの配備では、ほとんど、またはすべてのトランザクションをセキュリティー保護し、セキュリティー保護されたトランザクションと、保護されていないトランザクションの両方に同じパフォーマンス標準を適用する必要があります。
ここでは、引き続き同じ配備例を使用して、セキュリティー保護されたトランザクションと保護されないトランザクションの両方を含む理論上のユースケースに基づいて CPU 要件を計算する方法について説明します。
セキュリティー保護されたトランザクションの CPU 要件を見積もるには、次の計算を行います。
前節の、「プロセッサ要件の見積もりの例」に示されている CPU 見積もりの基準値から開始します。
セキュリティー保護された転送を必要とするトランザクションの割合を計算し、セキュリティー保護されたトランザクションの CPU 見積もりを計算します。
セキュリティー保護されないトランザクションによって減少する分の CPU 見積もりを計算します。
セキュリティー保護されたトランザクションと保護されないトランザクションの見積もりを集計し、合計 CPU 見積もりを計算します。
合計 CPU 見積もりを偶数値に切り上げます。
「セキュリティー保護されたトランザクションのための CPU の見積もり」は、次を前提とした Portal Server の場合のユースケースおよび使用パターン分析に基づいた計算例を示しています。
すべてのログインは、セキュリティー保護された認証を必要とする。
すべてのログインは、Portal Server の負荷全体の 10% に相当する。
セキュリティー保護されたトランザクションのパフォーマンス要件は、セキュリティー保護されないトランザクションのパフォーマンス要件と同じである。
セキュリティー保護されたトランザクションの処理によって必要となる追加処理能力を考慮するには、これらのトランザクションを処理するための CPU の数を 4 倍に増やします。この例のその他の CPU の見積もり値と同様に、これは説明用の任意の値に過ぎません。
手順 |
説明 |
計算 |
結果 |
---|---|---|---|
1 |
すべての Portal Server トランザクションの基準見積もりから始めます。 |
「ユースケースによるピーク負荷の調査」から、基準見積もり値は 4 CPU です。 |
- - - - - |
2 |
セキュリティー保護されるトランザクションの追加の CPU 見積もりを計算します。セキュリティー保護されたトランザクションには、保護されないトランザクションの 4 倍の CPU 能力が必要であると仮定します。 |
基準見積もり値の 10% がセキュリティー保護された転送を必要とします。
0.10 x 4 CPU = 0.4 CPU
4 倍して、セキュリティー保護されたトランザクションのための CPU を増やします。
4 x 0.4 = 1.6 CPU |
1.6 CPU |
3 |
セキュリティー保護されないトランザクションによって減少する分の CPU 見積もりを計算します。 |
基準見積もり値の 90% が、セキュリティー保護されない転送です。
0.9 x 4 CPU = 3.6 CPU |
3.6 CPU |
4 |
セキュリティー保護されるトランザクションと保護されないトランザクションの調整後の合計 CPU 見積もりを計算します。 |
セキュリティー保護される場合の見積もり + セキュリティー保護されない場合の見積もり = 合計
1.6 CPU + 3.6 CPU = 5.2 CPU |
5.2 CPU |
5 |
偶数値に切り上げます。 |
5.2 CPU ==> 6 CPU |
6 CPU |
この例でのセキュリティー保護されるトランザクションのための計算に基づいて、追加の 2 CPU と 4G バイトのメモリを加算して 「セキュリティー保護されたトランザクションのための CPU の見積もり」の CPU 見積もりの合計を修正すると、Portal Server について次の合計が得られます。
コンポーネント |
CPU の数 |
メモリ |
---|---|---|
Portal Server |
6 |
12G バイト |
SSL アクセラレータカードなどの特殊なハードウェアデバイスを使用して、セキュリティー保護されたセッションの確立およびデータの暗号化と復号化を処理するための追加の処理能力を供給することができます。SSL 操作に特化されたハードウェアを使用した場合、その処理能力は一部の特定の SSL 処理専用に使用され、通常は、セキュリティー保護されたセッションを確立するための「ハンドシェーク」処理だけに使用されます。
このハードウェアは、配備の最終的なアーキテクチャーにメリットをもたらす可能性があります。しかし、これは特殊なハードウェアであるため、まず、セキュリティー保護されたトランザクションのパフォーマンス要件を CPU の処理能力単位で見積もり、そのあとで追加負荷を処理する専用ハードウェアの導入メリットを検討してください。
専用ハードウェアの導入を検討するときは、ユースケースがそのハードウェアの利用をサポートするかどうか (たとえば、多数の SSL ハンドシェーク処理を必要とするユースケースなど)、また、このようなハードウェアによって設計にもたらされる追加処理層の複雑さを考慮します。この複雑さには、これらのデバイスのインストール、設定、テスト、管理が含まれます。