新登場 TR7 ZeroLeak:ビジュアル分離 — ユーザーに届くのはピクセルだけ、データは届かない
攻撃を受けていますか? サポート パートナーポータル
無料ライブデモ
DE DeutschEN EnglishES EspañolFR FrançaisJA 日本語PT PortuguêsTR Türkçe
機能

ホット設定リロード(ゼロダウンタイム)

設定を変更し、接続を維持する。可能な場合はすべての変更がソフトリロードで適用され、避けられない場合は制御されたハード再起動フォールバックが引き継ぎます。

TR7 ホット設定リロードは、アクティブセッションを中断することなくトラフィックを提供するサービスへの設定変更を適用することを目指しています。ルール、証明書、バックエンドプール、ヘルスチェック、WAAPプロファイル、レート制限ポリシー、キャッシュ設定はすべて、ライブトラフィックが流れ続けながら有効化できる変更に含まれます。 TR7はプールごとに独立した管理チャネルを通じてソフトリロードを適用します。各変更は最初に分析されます:ランタイムで適用できるフィールドはソフトリロードを通じて行われ、サービスタイプ、VIP、ポート、CPU、メモリ、ネームスペースなどのcreationConfigフィールドは制御されたハード再起動をトリガーします。 リロードシーケンスはソフト→ハードフォールバックモデルに従います。ソフトリロードが失敗した場合、システムはハード再起動で回復します。オペレーターはrestartReasons出力を通じてどの変更がリロードまたは再起動を必要としたかを確認できます。 結果:TR7は設定変更を「サービスを再起動してユーザーをドロップする」モデルから、プールスコープで、理由が透明で、制御されており、運用に優しいリロードフローに変換します。

0
ソフトリロード中にドロップされたセッション数
5 min
プール編集操作の最大ジョブタイムアウト
~12
ソフトリロードで適用可能な設定フィールドカテゴリ

設定変更がライブトラフィックを切断すると、すべてのルール更新がメンテナンスウィンドウになります。

ロードバランシングとセキュリティレイヤーでの設定変更は避けられません。新しいバックエンドが追加され、WAAPルールが更新され、証明書が更新され、ヘルスチェックが調整され、レート制限ポリシーが厳しくなり、または攻撃の最中に新しいブロッキングルールが書かれます。すべての変更がサービス再起動を必要とする場合、小さな運用タスクでさえユーザーセッションの中断になります。

クラシックな再起動モデルはTCPと長命の接続に対して特に問題があります。アクティブなユーザーセッションが切断され、ファイル転送が未完成になり、APIクライアントがエラーを受信し、ファイアウォールルールの変更が瞬間的なアクセス障害を引き起こす可能性があります。その結果、チームは必要な変更を延期し始め、セキュリティと運用の俊敏性が低下します。

問題はWAAPとセキュリティルールセットで最も深刻です。新しい攻撃パターンが積極的に観察されている間、ルール更新を適用するためにメンテナンスウィンドウを待つことは許容できる立場ではありません。同様に、証明書の更新やバックエンドプールの拡張などのルーティン操作がライブトラフィックを不必要に影響するべきではありません。

正しいモデルは変更タイプを区別することです。ランタイムで適用できる変更 — ルール、証明書、ヘルスチェック、バックエンドリスト、セキュリティプロファイル — はソフトリロードを通じて行われるべきです。サービス作成パラメータに影響する変更 — VIP、ポート、ネームスペース、リソース制限、サービスタイプ — のみが制御された再起動を必要とすべきです。

TR7 ホット設定リロードはこの区別を行います:プールごとのソフトリロード、自動ハードフォールバック、再起動理由の可視性、並行操作フローがライブトラフィックへの影響を最小化しながら設定変更を適用します。

アプローチ

TR7は設定リロードを単一の均一な再起動操作としてではなく、変更タイプに基づいて決定する階層的な操作フローとして設計します。

プール管理チャネルがライブリロードコマンドを独立して適用

各プールは独自の管理チャネルを通じてリロードを受信できます。このモデルにより1つのプールの変更が他のプールに影響することなく適用されます。

ソフトリロードが最初に試され、失敗した場合は再起動フォールバックが動作

TR7はデフォルトでライブ接続を保護するソフトリロードパスを使用します。ソフトリロードが失敗した場合、または変更がハード再起動を必要とする場合、システムは制御された再起動パスに切り替えます。

再起動理由の解析がオペレーターに可視性を提供

設定差分の分析により、どのフィールドがリロードを必要とし、どのフィールドが再起動を必要とするかが決定されます。オペレーターは変更がライブで適用できるか、再起動を要求するcreationConfig変更を含むかを事前に確認できます。

ADCとログ操作が並行実行されて合計編集時間を短縮

ロードバランシングとログコンテナの操作は独立している場合に並行して実行できます。これにより不必要な順次待機によってプール編集時間が延びることを防ぎます。

機能

ホット設定リロードは、プールごとのリロード、変更タイプ分析、フォールバック、接続ドレイン、並行操作を単一の管理フローに組み合わせます。

ソフトリロードがライブ接続を保持しながら設定変更を適用

ソフトリロードは対象となる変更に対して新しい設定を有効化しながら、既存の接続が自然にクローズするのを許可します。古いワーカーはドレインモードに入り、アクティブセッションが閉じるまでサービスを継続します。新しい接続は更新された設定で処理されます。このアプローチによりルールと証明書の変更をメンテナンスウィンドウに結びつける必要が排除されます。

スマートリロードがまずソフトパスを試み、失敗時にハード再起動にフォールバック

TR7はデフォルトでソフトリロードパスを選択します。ソフトリロード中にエラーが発生した場合、システムはハード再起動フォールバックで回復します。このモデルはオペレーターに単一の安全なフロー:可能な場合はダウンタイムなしでリロード、必要な場合は制御された方法で再起動、を提供します。失敗したリロード試行は不確定な半適用の設定状態をもたらしません。

forceHardオプションがcreation config変更のための明示的な再起動を提供

一部の変更はサービス作成パラメータを変更するためライブリロードで適用できません。サービスタイプ、CPUリミット、メモリリミット、VIP、ポート、ネットワークネームスペース、イメージ、またはバイナリバージョンなどのフィールドはハード再起動を必要とします。これらのケースではforceHard動作が再起動を明示的で意図的なものにします。オペレーターは変更の影響を事前に計画できます。

再起動理由のレコードが設定変更の影響を可視化

各設定フィールドについて、変更がリロードまたは再起動を必要とする理由をrestartReasonsリストに保持できます。この可視性は運用チームに「なぜこの変更が再起動を必要とするのか?」という問いに答えます。変更管理とメンテナンス承認プロセス中に特に意思決定が明確になります。変更の影響はブラックボックスでなくなります。

プールごとの独立したリロードが他のサービスに影響せず動作

各プールは独自のランタイム構造と管理チャネルで処理されます。1つのプールでWAAPプロファイル、証明書、またはバックエンドリストが変更される間、他のプールは中断なく動作し続けます。この分離により大規模プラットフォームでの変更の爆発半径が縮小されます。運用チームはアプライアンス全体ではなく関連するサービスのみをリロードします。

ログコンテナ操作がロードバランシングレイヤーから独立して管理

ログトランスポートまたはログコンテナの設定はロードバランシングコンテナとは別に処理できます。したがってログ側の変更はトラフィックルーティングレイヤーに不必要に影響しません。同様に、トラフィック側のリロードはログパイプラインの中断を強制しません。この分離によりプラットフォーム全体でより制御された変更管理が可能になります。

並行実行で合計編集時間を短縮

変更がロードバランシングとログの両サイドに影響する場合、対象となる操作を並行して実行できます。順次待機が削減され、合計ジョブ時間が短縮されます。特に大きな設定や複数のサブコンポーネントに影響する更新で重要です。操作ウィンドウがより効率的に使用されます。

ソフトリロード中の接続ドレインがセッションドロップのリスクを軽減

ソフトリロードが適用されると、古いワーカーはすぐに終了されません — 既存の接続が自然にクローズするのが許可されます。新しいトラフィックは更新された設定に誘導され、既存のトラフィックは自然なシャットダウンを完了します。これは長命のTCP接続とアクティブなユーザーセッションにとって重要です。目標は変更の瞬間にTCPリセットや突然の切断を生成しないことです。

エラーカウンターベースの自動リロードがセルフヒーリングを提供

プール統計で特定のエラー閾値を超えた場合、自動リロードがトリガーされることがあります。この動作は手動介入を待つことなく一時的なランタイムの問題を回復するのに役立ちます。オペレーターにとって、これはサービスの自動ヘルス改善シグナルを意味します。繰り返されるリロードの原因はモニタリングと根本原因分析を通じて評価すべきです。

WAAPとLuaの変更をソフトリロードスコープに含めることが可能

WAAPプロファイル、ホワイトリスト、ルールセット、Luaスクリプトの更新はライブリロード可能な変更として扱えます。これにより攻撃中の迅速なセキュリティポリシー更新と、アプリケーショントラフィックを中断することなく新しいロジックの有効化が可能になります。ルールセットの変更はフルプラットフォーム再起動に結びつけられません。このアプローチによりセキュリティ操作の俊敏性が向上します。

運用の深み

ホット設定リロードは、プール管理パス、コマンド動作、タイムアウト、再試行ロジック、ソフトまたはハード変更として分類されるフィールドと共に動作します。

01

プール管理ソケット

各プールには専用の管理ソケットがあります。リロードコマンドは関連するプールの管理チャネルに送信されます。この構造はプールごとの独立したリロード動作の基盤です。

02

リロードコマンド

ソフトリロードは管理チャネルに送信されたリロードコマンドによってトリガーされます。コマンドが成功した場合、新しい設定が有効化され、既存の接続はドレイン動作で保護されます。失敗した場合、スマートリロードはハード再起動フォールバックを適用できます。

03

コンテナ命名モデル

プールコンテナ名はpoolIdにリンクされた一貫したパターンに従います。この構造により、リロード、再起動、ログクリーンアップ、ヘルスチェック操作が正しいコンテナに適用されることが保証されます。操作の自動化はこの決定論的な命名から恩恵を受けます。

04

ソフト再試行動作

デフォルトモデルではソフトリロードが1回試みられます。例外またはリロード失敗が発生した場合、システムはハード再起動パスに切り替えます。このアプローチは失敗するリロードを繰り返し再試行して操作時間を延ばすことを避けます。

05

ジョブタイムアウト制限

プール編集ジョブの合計タイムアウトは5分に保てます。これはログクリーンアップ、リロード、必要に応じた再起動の完全なスコープをカバーします。長時間実行されるジョブは操作画面で不確定な状態のまま残りません。

06

待機時間

デフォルトのwaitBeforeとwaitAfter値は0に最適化して実行できます。これにより不必要な固定待機が排除されます。実際の待機時間は操作の状態とシステムのレスポンスによって決定されます。

利用シナリオ

ライブトラフィックを切断せずに新しいWAAPルールバージョンをプッシュ

新しいWAAPルールセットまたはOWASPベースの更新をソフトリロードスコープに含められます。既存のユーザーセッションが保護されながら、新しいセキュリティロジックが受信リクエストに有効化されます。アクティブな攻撃中でもメンテナンスウィンドウを待つ必要はありません。

既存の接続をドロップせずに証明書を更新

期限切れに近い証明書が更新された場合、lbCertificates変更をソフトリロードで適用できます。新しいTLS接続は更新された証明書を使用します。既存の接続はドレイン動作で自然にクローズします。

オートスケーリング後にバックエンドプールを拡張

新しいバックエンドノードをlbBackendsリストに追加できます。ソフトリロード後、新しい接続は拡張されたプールから恩恵を受けます。他のプールや既存の接続に影響することなくキャパシティが増加されます。

攻撃中にレート制限ポリシーを迅速に強化

新しいDDoSまたはレート制限プロファイルをライブ設定変更として適用できます。ポリシーは短時間で受信リクエストに有効化されます。運用チームは再起動からの追加ダウンタイムを生み出すことなく攻撃に対応します。

よくある質問

どの設定変更がソフトリロードで行われ、どれが再起動を必要としますか?
ランタイムフィールド — ルール(lbRules)、バックエンドリスト(lbBackends)、ヘルスチェック(lbHealthChecks)、証明書(lbCertificates)、レート制限/DDoSプロファイル、WAAPプロファイルとホワイトリスト、キャッシュ、圧縮、セッション、タイムアウト設定 — はソフトリロードスコープに含まれます。サービス作成パラメータに影響するフィールド — サービスタイプ、CPU/メモリリミット、VIP/ポート、ネットワークネームスペース、またはバイナリバージョン — はcreationConfig変更として分類され、制御されたハード再起動をトリガーします。
ソフトリロードが失敗した場合はどうなりますか?
スマートリロードロジックが機能します:ソフトリロードが失敗した場合、システムは自動的にハード再起動フォールバックパスを取ります。このモデルは失敗したリロード試行がサービスを不確定または半適用の設定状態に残すことを防ぎます。オペレーターは全体を通じて単一の安全なフローで作業します。
ソフトリロード中にアクティブセッションはどうなりますか?
古いワーカーはすぐに終了されません。接続ドレイン動作により既存の接続が自然にクローズするのが許可されます。新しい接続は更新された設定に誘導され、既存の接続は自然なシャットダウンを完了します。これは長命のTCP接続とアクティブなユーザーセッションにとって重要です。
1つのプールをリロードすると他のプールに影響しますか?
いいえ。各プールは独自の管理チャネルとランタイム構造で独立して処理されます。1つのプールの変更はそのプールのみに影響します。この分離により大規模プラットフォームでの変更の爆発半径が縮小され、運用チームが的を絞った方法で作業できます。
オペレーターはなぜ変更が再起動を必要とするかをどのように確認できますか?
設定差分の分析は、どのフィールドがソフトリロードで適用でき、どのフィールドがcreationConfig変更のためにハード再起動を必要とするかをrestartReasonsリストに記録します。オペレーターはこのリストをレビューして変更の影響と理由を適用前に理解できます。変更の影響はブラックボックスでなくなります。
WAAPルールセットの変更はメンテナンスウィンドウを必要としますか?
いいえ。WAAPプロファイル、ホワイトリスト、ルールセットの更新はソフトリロードスコープに含まれます。既存のユーザーセッションが保護されながら、新しいセキュリティロジックが受信リクエストに適用されます。アクティブな攻撃中でも、ルール更新はメンテナンスウィンドウを待つ必要はありません。

設定変更はメンテナンスウィンドウを必要とすべきではない

アクティブセッションをドロップせずにWAAPルール、証明書、バックエンドプール、レート制限ポリシーを適用します。お客様自身の環境でのライブセットアップをご案内します。