従来のADC製品はthroughputをプラットフォームラインで計測します — どの境界を通過したかに関係なく、デバイスを流れるすべてのバイトの合計として。単一のHTTPリクエストはプラットフォームに複数回触れます:クライアントからプラットフォームへ、プラットフォームからbackendへ、backendからプラットフォームへ、プラットフォームからクライアントへ戻る。多くのベンダーはこれらの各トランジットをカウントするため、同じリクエストがカウンター上のthroughputに最大4回反映されます。
さらに、リクエストがvServiceに到達する前にトリガーされるネットワーク層保護 — L3/L4 DDoSブロック、ネットワーク層ファイアウォールルール、IPレピュテーション低下 — もまた、同じカウンターに反映されるバイトを消費します。ネットワーク層保護がうまく機能するほど、throughput計算に静かに加算される負荷は大きくなります。
ADCでは帯域幅はバイト単位ではなく、tierとしてライセンスされます。しかし選択するtierは、カウンターが見るすべてを満たすほど高くなければなりません — そのためプラットフォームライン計測は、実際の提供キャパシティが必要とするよりも大きなtierへとあなたを押し上げます。TR7モデルは境界をvServiceのクライアント側エッジで引きます。仮想サービスがクライアント側へ、そしてクライアント側から提供したトラフィックが計測されるものです。backendへの内部トランジットは計測されません。vServiceを一切見ることなくネットワーク層で停止されたトラフィックは計測されません。ライセンスするtierは、実際に使用している帯域幅と一致します。
throughput計測はTR7 ADCレポートレイヤーで継続的に動作します。ライセンスtierに収まっているかどうかを判断するのと同じ数値が、オペレーターにライブで表示されます — 別個の請求プラットフォームなし、ベンダー側の不透明な計算なし。
カウンターはvServiceのクライアント側エッジで止まります。vServiceに到達し、それによって処理されたトラフィックがカウントされます。vServiceの前で停止されたトラフィック — ネットワークファイアウォールまたはL3/L4 DDoS保護によって — はカウントされません。
クライアントからvServiceへのリクエスト側(RX)と、vServiceからクライアントへのレスポンス側(TX)の両方が合算されます。これは実際の双方向throughputを表現する業界標準の方法であり、提供キャパシティがユーザー体験にどう反映されるかと一致します。
vServiceがリクエストをbackendへ転送し、レスポンスが返ってくるとき、この内部トラフィックはカウントされません。クライアント側のみがあなたのライセンスtierに計上されます。
ライセンスtierに使用されるのと同じthroughput数値が、ADCレポートレイヤーでリアルタイムに表示されます。オペレーターは使用量の累積、tierがどれだけ埋まっているかを監視でき、更新期間の前にtierキャパシティの変更を計画できます。
計測はvServiceのクライアント側境界で行われます。この境界に一切到達しないため、ライセンスtierに含まれないトラフィックには3つの種類があります:
vServiceがそれらを見る前にネットワーク層ファイアウォールルールによってドロップされたパケットは、計測ウィンドウ内にありません。それらはvService境界を一切通過していません。
vServiceに到達する前にネットワーク層保護によってブロックされたボリューメトリックフラッドトラフィックは除外されます。頻繁に攻撃のターゲットになっても、より大きなライセンスtierへあなたを押し上げることはありません。
vServiceがリクエストをbackendへ転送し、レスポンスを受け取るとき、この内部トラフィックは計測されません。同じリクエストがbackend側で2回目にカウントされることはありません。
ほとんどの競合製品はthroughputをプラットフォームラインで計測します — インフラを通過するすべてのバイト、クライアント側もbackend側も、カウントされます。TR7はクライアント側のみをカウントします。構造的な結果:
仮想サービスによって処理されるリクエストは2つの境界を通過します:クライアントからvServiceへ、そしてvServiceからbackendへ。両方を計測するベンダーは、構造的に1つ目と同一である2つ目のトランジットも同じthroughput数値に加算します。TR7はクライアント側のトランジットのみをカウントします。
ネットワーク層保護がL3/L4 DDoSをブロックしたとき、またはネットワークファイアウォールルールがフラッドをドロップしたとき、これらのバイトはthroughput計算に反映されません。価値の高いターゲットであることが、実際の提供キャパシティが必要とするよりも大きなライセンスtierへあなたを強いるべきではありません。
backend側の重複トラフィックが計測されないため、TR7における同じライセンスtierは、プラットフォームラインで計測する製品の同じ公称tierと比べて、著しく多くの実際の提供キャパシティを持ちます。典型的な企業ワークロードでは、その差は数倍に達することがあります。
tierがサイジングされるthroughput数値は、レポートレイヤーに表示される数値と同じです。オペレーターはこれをライブで監査でき、vServiceごとのアクティビティと比較でき、更新のはるか前にtierキャパシティを計画できます。
グローバルライセンスtierとは独立して、個々のvServiceはvServiceごとの帯域幅制限と自動フェアシェアQoS適用を受けられます。Service Providerのデプロイメントは、ライセンスされた帯域幅をテナント間で自動的に分配します。
銀行、政府、ベッティング、公共サービス — ネットワーク層で継続的にL3/L4攻撃をブロックするワークロード。ネットワーク層保護が仕事をし、実際のユーザーが必要とするよりも大きなライセンスtierへ移行する必要はありません。
Black Friday、フラッシュセール、チケットローンチ — ボットの波と正当なトラフィックが同じキャパシティを奪い合うウィンドウ。tierが満たすべきthroughputは、システムがネットワーク層ですでにブロックしたボット試行ではなく、買い物客が実際に受け取ったものを反映します。
レスポンスペイロードが帯域幅プロファイルを支配する送信側優位のサービス。クライアント側エッジでのRX + TX計測は、このカテゴリで提供キャパシティが表現される方法と一致します。
自動フェアシェアQoSにより顧客テナント間で分配されるライセンス帯域幅。vServiceごとの制限により、プロバイダーは差別化されたサービスtierを提供できます。グローバルライセンスはすべてのテナント全体でクライアント側の合計のみを計測します。
TR7 ADCレポートレイヤーは、ライセンスtierを決定するのと同じvService境界の数値を表示します — 可視、予測可能、vService到達前の負荷から解放されています。