【BIG-IP(F5)】 Access Policy Manage(APM)のサイジング
結論
・ユーザが希望する最大同時接続数を意識しておけばとりあえず困りません
・APMにユーザライセンスを追加する事で同時接続数を後から増やすこともできます
・筐体ごとに限界値はあるのでそこは事前に把握しておきましょう
補足
➀筐体ごとの最大同時接続数を調べる
・まずはこちらに飛んで以下のCCU値を確認しましょう
※旧プラットフォームはこちら
・CCUてなんぞ?だと思いますが、一旦置いておいてください
・CCUが少なくともユーザ側で希望している最大同時接続数を上回っていないと筐体のスペック制限にかかる可能性があります
・BaseCCUは追加のユーザライセンスを買っていない標準状態での限界値
・Max. CCUは筐体の限界値なので、後からユーザの接続数が足りなくなったからと言ってi2600に1,000ユーザライセンスをつっこんでも500までしか無理ですという話
➁CCUとAccess sessionsについて
・このあたりをよくわからないでサイジングをしている人が多いです
※単純なSSL-VPN用途では、Access sessionsは意識しなくても大丈夫だったりするからかも
・本来は要件に応じてCCUとAccess sessionsの値は意識しないといけません
・データシートにコッソリと重要なポイントの記載があります
ポイントは以下のあたり
- BIG-IP APM use is based on two types of user sessions: access sessions and concurrent connection use (CCU) sessions.
- Access sessions apply to authentication sessions, VDI,and similar situations.
- CCU is applicable for network access, such as full VPN access,application tunnels, or web access.
なんのこっちゃ?かもしれませんが、要はCCU、Access sessionsはVPN接続時にアサインするリソースの種類で消費が変わるって事です
次にライセンス消費の例をお見せします
➂ライセンス使用状況の確認方法
・導入後にお客さんからライセンスの使用状況確認依頼がきて、ちゃんと調べたら実は追加ライセンスがいらなかった。。。なんて事もあります
・確認方法
コマンド:# tmsh show apm license
※出力結果で見るポイントは上記の2つ
=========================================================
通信前
=========================================================
# tmsh show apm license
--------------------------------------------
Global Access License Details:
--------------------------------------------
total access sessions: 20.0K
current active sessions: 0
current established sessions: 0
access sessions threshold percent: 75
total connectivity sessions: 20.0K
current connectivity sessions: 0
connectivity sessions threshold percent: 75
total swg sessions: 10.0K
current swg sessions: 0
swg sessions threshold percent: 75
total swg limited sessions: 20.0K
current swg limited sessions: 0
swg limited sessions threshold percent: 75
=========================================================
=========================================================
通信例1 ※WebtopのTypeがPortal Accessの場合はCCUを消費しない事が分かる
=========================================================
--------------------------------------------
Global Access License Details:
--------------------------------------------
total access sessions: 20.0K
current active sessions: 1
current established sessions: 1
access sessions threshold percent: 75
total connectivity sessions: 20.0K
current connectivity sessions: 0
connectivity sessions threshold percent: 75
total swg sessions: 10.0K
current swg sessions: 0
swg sessions threshold percent: 75
total swg limited sessions: 20.0K
current swg limited sessions: 0
swg limited sessions threshold percent: 75
=========================================================
=========================================================
通信例2 ※WebtopのTypeがFullの場合はCCU/Access sessionsを共に消費
=========================================================
--------------------------------------------
Global Access License Details:
--------------------------------------------
total access sessions: 20.0K
current active sessions: 1
current established sessions: 1
access sessions threshold percent: 75
total connectivity sessions: 20.0K
current connectivity sessions: 1
connectivity sessions threshold percent: 75
total swg sessions: 10.0K
current swg sessions: 0
swg sessions threshold percent: 75
total swg limited sessions: 20.0K
current swg limited sessions: 0
swg limited sessions threshold percent: 75
=========================================================
・ちなみにSAMLを使う場合はAccess sessionsがゴリゴリ使われます
idpとしてAPMを使う場合は1userあたり1Access sessionを消費
SPとしてAPMを使う場合は各SPの、各UserごとにAccess sessionを消費
■ 参考リンク
・ハードウェアスペックシート:パフォーマンス情報はこちら
・APMのデータシート:まぁ大したこと書いてません
・Getting Started with BIG-IP Access Policy Manager (APM):無料のトレーニングが受けれます
・K95135311: The BIG-IP APM platform session capacity (iSeries):iシリーズのCCUとAccess sessionsの情報はこちら
・K15624537: The BIG-IP APM platform session capacity:旧シリーズのCCUとAccess sessionsの情報はこちら
・K13267: BIG-IP APM connectivity license use:CCUの消費とリソースの関係についてはこちら