SAP Web Dispatcher und SSL (SAP-Bibliothek - Architektur des SAP Web Application Servers)

SAP Web Dispatcher und SSL

Im Gegensatz zum Betrieb mit HTTP kann bei Verwendung von HTTPS (End-to-End-SSL) der SAP Web Dispatcher keine Daten des Requests lesen und damit auch ein eventuell vorhandenes Session Cookie (bei stateful Anwendungen) nicht interpretieren. Es fehlen also die notwendigen Informationen, um den Request an den richtigen Server weiterzuleiten. Der SAP Web Dispatcher kann auch nicht entscheiden, ob ein Request zu einer stateless oder stateful Anwendung gehört.

Deshalb leitet der SAP Web Dispatcher die verschlüsselten Daten unverändert an einen Applikationsserver weiter. Erst dort werden die Daten entschlüsselt.

Das einzige Unterscheidungsmerkmal, das dem SAP Web Dispatcher zur Verfügung steht, ist die Client IP-Adresse. Aus diesem Grund verwaltet der SAP Web Dispatcher eine Abbildungstabelle zwischen Client IP-Adresse und Applikationsserver. Wurde ein Request von einer Client-IP-Adresse zu Applikationsserver X geschickt, müssen alle folgenden Requests dieser Client IP-Adresse auch zu diesem Server geschickt werden, da es sich ja um eine stateful Anwendung handeln könnte. Ein Loadbalancing findet also nur beim allerersten Requests des Clients statt.

Probleme

Dieses Verfahren birgt die folgenden Probleme.

Alle Unternehmen benutzen Proxies; d.h. Requests, die über einen Proxy gehen, werden alle zu einem Server geschickt. Damit ist auch das Loadbalancing beim ersten Request ausgehebelt.
Große Unternehmen verwenden mehrere parallele Proxies (die ihrerseits einen Lastausgleich vornehmen) als Zugang ins Internet, d.h. ein Request desselben Clients geht über Proxy A, ein späterer Request desselben Clients, der zur selben Session gehört, geht über Proxy B an den SAP Web Dispatcher und hat damit eine unterschiedliche Client-IP-Adresse.

Lösung

Mit dem Profilparameter wdisp/HTTPS/sticky_mask können Sie mehrere Client-IP-Adressen zu einer logischen Adresse gruppieren. Im Abschnitt Profilparameter des SAP Web Dispatchers ist die genaue Funktionsweise des Parameters beschrieben.

Default ist: Die Maske 255.255.240.0 wird mit der realen IP-Adresse UND-verknüft; damit werden die untersten 12 Bits ausgeblendet,d.h. 124.94.55.1 und 124.94.55.99 werden dann als gleich aufgefasst.

Abbildungstabelle

Die Abbildungstabelle, mit der der SAP Web Dispatcher Client-IP-Adressen und zugeordnete Applikationsserver verwaltet, hat die folgenden Eigenschaften.

Die Größe der Abbildungstabelle ist auch abhängig von der sticky-mask. Je mehr Bits ausgeblendet werden, desto kleiner wird die Abbildungstabelle. Wieviele Einträge diese Tabelle maximal enthalten kann, wird mit dem Profilparameter wdisp/HTTPS/max_client_ip_entries eingestellt. Im Abschnitt Profilparameter des SAP Web Dispatchers ist die genaue Funktionsweise des Parameters beschrieben.

Achtung

Beachten Sie: Wenn die Abbildungstabelle voll ist, d.h. der Wert von wdisp/HTTPS/max_client_ip_entries erreicht ist, nimmt der SAP Web Dispatcher keinen Lastausgleich mehr vor! Der Parameter soll also immer den Bedürfnissen und Ressourcen entsprechend eingestellt sein.

Es gibt keinen Timeout für die Einträge in der Abbildungstabelle. Wird ein Server heruntergefahren, so ist ein Kontext auf diesem Server gelöscht und für die zugehörige Client-IP-Adresse wird ein neuer Server gesucht.

Auswahl eines geeigneten Applikationsservers

HTTPS-fähige Applikationsserver

Mit dem Parameter wdisp/HTTPS/dest_logon_group (vgl. Profilparameter des SAP Web Dispatchers) können Sie eine Logongruppe von HTTPS-fähigen Applikationsservern definieren, zu denen dann alle HTTPS-Requests geschickt werden.

ABAP- oder J2EE-Server

Da der SAP Web Dispatcher nicht entscheiden kann, ob ein Request für die Verarbeitung im ABAP- oder im J2EE-Server bestimmt ist, müssen alle Server in der Logongruppe für HTTPS-Requests die gleichen Services bereitstellen. Natürlich müssen alle Server HTTPS-fähig sein, einer der folgenden Fälle muss zutreffen.

alle Server bieten J2EE und ABAP an
alle Server bieten nur ABAP an
alle Server bieten nur J2EE an