1.7 クラスタリングによる大規模環境への対応

    SoftEther VPN Server では「クラスタリング機能」をサポートしており、複数台の VPN Server を 1 つの VPN Server として管理し、各 VPN Server の間で「負荷分散」および「フォールトトレランス」を実現します。PacketiX VPN Server では「Professional Edition」、「Enterprise Edition」および「Ultimate Edition」で利用することができます。

    クラスタリング機能についての、より具体的で詳しい情報は、「3.9 クラスタリング」 をお読みください。

    1.7.1 クラスタリングの必要性

    SoftEther VPN Server は、優れた性能と機能を持つ VPN サーバーソフトウェアです。しかし、1 台の VPN Server でサポートすることができる同時 VPN 接続数およびスループットは、VPN Server を動作させるコンピュータのハードウェア性能によって異なり、常にハードウェアリソースによって 1 台のサーバーコンピュータが発揮することができる能力は制限されてしまいます。この問題は、どれだけサーバーソフトウェアが最適化され高速化されても、最終的にはハードウェアの性能限界が存在し、それよりも多くの処理を 1 台のサーバーコンピュータで行うことはできません。

    SoftEther VPN Server の「クラスタリング機能」を使用すると、複数台の VPN Server を 1 つのクラスタとしてまとめることができます。これにより、そのクラスタに接続しようとした VPN 接続元のコンピュータ (通常は VPN Client からの接続ですが、VPN Server / Bridge などからのカスケード接続である場合もあります) は「クラスタコントローラ」によって自動的にクラスタ内の VPN Server のうちの 1 つに接続されます。この際に、クラスタコントローラは、接続先の仮想 HUB の動作モードによって「ロードバランシング」のアルゴリズムを決定します。

     

    1-7-1.png

    クラスタリングによる大量の VPN 接続の処理

    また、クラスタ内で動作しているコンピュータのうちの 1 台に故障などの障害が発生して動作が停止した場合は、自動的にそのクラスタに参加している他のクラスタコンピュータに対して接続がリダイレクトされ、VPN 通信の処理が継続して行われます。この際、VPN 接続元からは一瞬 VPN 通信が停止したように見えますが、すぐに VPN 接続が復元され、別の VPN Server によって先ほどまで通信していた仮想 HUB の処理が行われるため、VPN Server の管理者や VPN ユーザーが一切特殊な処理を行うことなく自動的に障害が回避され通信が継続されます。

    これらの特徴を利用して、1 台の SoftEther VPN Server だけでは処理できない場合や、処理しようとしてもスループットが大幅に低下してしまうような大量の同時接続数を、適切にロードバランシングして並列して処理でき、またクラスタ内のサーバーが停止した場合でも、自動的に他のサーバーに処理を引き継がせることができるので、大規模環境および高信頼性が要求される環境において有効に利用することができます。

    1-7-2.png

    ロードバランシング

    SoftEther VPN Server クラスタに参加するコンピュータの種類は「クラスタコントローラ」と「クラスタメンバサーバー」の 2 種類があります。

    クラスタコントローラ

    「クラスタコントローラ」は、複数のサーバーによって構成されるクラスタ内に、 1 台だけ設置する必要がある特殊なコンピュータです。クラスタコントローラはそのクラスタに参加している他のコンピュータ (クラスタメンバサーバー) すべてを常に管理し、それぞれのサーバー間の状態の整合性を保つような重要な処理を行います。

    SoftEther VPN Server を使用して複数台の VPN Server でクラスタを構築する場合は、最初に 1 台のサーバーコンピュータをクラスタコントローラに設定し、他のサーバーコンピュータをクラスタメンバサーバーとしてそのクラスタコントローラに接続します。

    クラスタメンバサーバー

    「クラスタメンバサーバー」は、クラスタに参加しているクラスタコントローラ以外のすべてのコンピュータです。クラスタメンバサーバーはそれ単体では全く動作しませんが、クラスタコントローラに対してクラスタの制御用の接続を行うことによって、接続先クラスタコントローラが中心となって動作する SoftEther VPN Server クラスタの一部となって動作を開始します。

    1-7-3.png

    クラスタコントローラとクラスタメンバサーバー

    1.7.2 クラスタリングの用途

    SoftEther VPN Server のクラスタ機能は、主に 「大規模リモートアクセス型 VPN サーバー」と「大規模仮想 HUB ホスティング型 VPN サーバー」の、2 種類の用途に対して最適に動作するようになっています。2 種類の用途を、複合的に利用する必要がある場合でも正しく機能します。

    1.7.3 大規模リモートアクセス型 VPN サーバー

    SoftEther VPN Server を使用して、遠隔地のコンピュータを社内 LAN に接続させるためのリモートアクセス用 VPN サーバーを、SoftEther VPN Server を用いて構築しようとする場合において、非常に多くの VPN 接続数が見込まれる場合や、高信頼性が要求されリモートアクセス VPN サーバーのハードウェア故障などによる停止時間を可能な限り短縮したい場合は、SoftEther VPN Server の「クラスタリング機能」を使用してください。

    複数台の VPN Server でクラスタを構築し、その内部に「スタティック仮想 HUB」を設置し、さらに各 VPN Server で生成されるスタティック仮想 HUB のインスタンスに対して、リモートアクセス先の物理的な社内 LAN などのネットワークをブリッジ接続することにより、そのネットワークにリモートアクセスしようとした大量のユーザーは自動的に負荷分散され、適切なクラスタ内の VPN Server コンピュータに接続されます。この際、ユーザーはクラスタに接続していることを意識する必要もなく、特別な操作の必要もありません。また、負荷分散の結果、どの VPN Server コンピュータに対して接続した場合でも、同一の通信を行うことができます。さらに、万が一接続先の VPN Server コンピュータにハードウェア障害が発生したり、またはハードウェアの増設やオペレーティングシステムのアップデートなどによってサーバーの一時的な停止、または再起動が必要になった場合でも、すでにそのコンピュータに接続されて VPN 通信中であった VPN セッションは再接続時に自動的に他の VPN Server に接続が切り替わり、通信を継続することができます。

    これによって、リモートアクセス型 VPN サーバーにおいて「スケーラビリティ」および「フォールトトレランス」を確保することができます。

    また、リモートアクセスさせたい物理的な LAN が複数ある場合は、複数のスタティック仮想 HUB を作成し、それぞれの仮想 HUB をそれぞれの物理的な LAN に対してローカルブリッジ接続させることもできます。

    大規模リモートアクセス型 VPN サーバーにおけるクラスタリング機能の利用例については、「10.8 大規模なリモートアクセス VPN サービスの構築」 もお読みください。

    1-7-4.png

    大規模リモートアクセス型 VPN サーバー

    1.7.4 大規模仮想 HUB ホスティング型 VPN サーバー

    SoftEther VPN Server を使用して、大量の仮想 HUB をホスティングするような場合でも、「クラスタリング機能」を有効に活用することができます。インターネットサービスプロバイダや大企業の IT 部門などが、顧客やユーザーに対して仮想 HUB の機能を提供するようなサービスを実施する場合に、仮想 HUB の数が多い場合や同時に接続する VPN セッション数が多い場合は、SoftEther VPN Server のクラスタリング機能を使用してください。

    複数台の VPN Sever でクラスタを構築し、その内部に「ダイナミック仮想 HUB」を必要な数だけ作成することができます。このような構成の場合、VPN Server に対して遠隔地の VPN Client や VPN Bridge などが VPN 接続またはカスケード接続した場合、その接続先の仮想 HUB は現在クラスタ内で動作している VPN Server のいちいずれか 1 台にインスタンスが作成され、その仮想 HUB 内での通信が可能になります。仮想 HUB およびその仮想 HUB に対する VPN 接続セッションは、自動的に負荷分散されます。この際、ユーザーはクラスタに接続していることを意識することなく、特別な操作も必要ありません。さらに、万が一接続先の VPN Server コンピュータにハードウェア障害が発生したり、またはハードウェアの増設やオペレーティングシステムのアップデートなどによってサーバーの一時的な停止または再起動が必要になったりした場合は、すでにそのコンピュータに接続されて VPN 通信中であった VPN セッションは再接続時に自動的に他の VPN Server に接続が切り替わり、通信を継続することができます (その際、仮想 HUB のインスタンスも自動的に別のサーバーに移動します)。通常の仮想 HUB と同様に、別々の仮想 HUB 間では一切の通信が行われないため、仮想 HUB 同士の独立性は維持されます。また、各仮想 HUB の管理者権限を、それぞれの顧客やユーザーに委譲することができます。

    大規模仮想 HUB ホスティング型 VPN サーバーにおけるクラスタリング機能の利用例については、「10.9 大規模な仮想 HUB ホスティングサービスの構築」 もお読みください。

    1-7-5.png

    大規模仮想 HUB ホスティング型 VPN サーバー