View
938
Download
0
Category
Preview:
Citation preview
実践 Cisco ACI (Application Centric Infrastructure) : 従来のデータセンター運用がどう変わるか?
CC4-5 シスコシステムズ合同会社
データセンター/バーチャライゼーション事業
データセンター スイッチング プロダクト マネージャ
及川 尚
テクニカル ソリューションズ アーキテクト
水島 勇人
1
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
アジェンダ
Cisco ACI ステータス アップデート
Cisco ACI レビュー – Cisco ACI のコンセプトとテクノロジーの再確認
Cisco ACI ユースケース – 物理ネットワーク管理自動化 – ネットワーク自動化, 仮想基板連携 – アドバンスド ネットワーク セキュリティ
Cisco ACI ケーススタディ まとめ
Cisco ACI ステータス アップデート
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Cisco ACI & Cisco Nexus 9000 の今とこれから
2HCY13 1HCY14 2HCY14 1HCY15 2HCY15
N9300 1RU
Release Sep, 14’
ACI Announce
N9500 Release Nov, 14’
N9300 Releas
e Mar, 14’
ACI/APIC Release Jul,14’
1RU ACI Leaf Jan,15’
1st ACI Major Update
’
2nd, ACI Major Update 2HCY15
F5 Citrix
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Cisco ACI : マーケットにおける状況
Nexus 9000/ACI APIC Open ACI
Ecosystem
730+ 顧客… 45日で95の顧客に販売済み! 33 のエコシステム
パートナー。現在も拡張中!
• 異なる地域、セグメントの顧客で採用済み
• 迅速なチャネルパートナーの拡張
• 価格とパフォーマンス、機能のバランスの良さが多くの顧客ニーズにマッチ
APIC
APPLICATION
COMPUTE NETWORK
CLOUD
STORAGE SECURITY
Cisco ACI レビュー
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Cisco Application Centric Infrastructure
APIC
Physical Networking
Compute Multi DC WAN and Cloud
L4–L7 Services
Storage
Integrated WAN Edge
Hypervisors and Virtual Networking
Nexus 9500
Nexus 9300 and 9500
Nexus 2K
Nexus 7K
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
アプリケーション開発者とインフラ管理者間の障壁
8
開発チーム
アプリケーション レイヤ
サービス、提供、消費の関係
インフラチーム
VLANs
サブネット
プロトコル
ポート
アプリケーション開発者の言葉をインフラ管理者の言葉に翻訳して、実装を行う必要性
ACL
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
アプリケーションの自由な配置 アプリケーション ネットワーク プロファイル
APIC
ADC APP DB F/W ADC
WEB
HYPERVISOR HYPERVISOR HYPERVISOR
CONNECTIVITY POLICY
SECURITY POLICIES QOS
STORAGE AND
COMPUTE
APPLICATION L4..7
SERVICES
SLA QoS Security Load Balancing
APP PROFILE
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
アプリケーション ネットワーク プロファイル
アプリケーション構成要素の相互の依存性 アプリケーションの接続要件をその構成要素の誰が誰に話すかで定義
DB サーバ群
App サーバ群
Web サーバ群
ユーザ
EPG EPG EPG EPG Contract Contract Contract
ポリシー: アプリケーション中心のネットワーク要件の定義
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
マルチ ハイパーバイザ対応ファブリック
• VLAN, VxLAN, そして
NVGRE に対応した統合型
ゲートウェイを実装し仮想、
物理間の通信でも各種カプ
セル化の違いを吸収
• ハイパーバイザ、カプセル化
の違いによるネットワーク分
離が発生しない
仮想、物理の統合 Network Admin
Application Admin
PHYSICAL SERVER
VLAN VXLAN
VLAN NVGRE
VLAN VXLAN
VLAN
ESX Hyper-V KVM
Hypervisor Management
ACI Fabric APIC
APIC
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ACI : Layer 4 - 7 サービス インテグレーション
• 仮想、物理アプライアンスを問わない一貫したサービス連結のプラットフォームを提供
• ポリシーは集中管理
• 複数のオペレーションモデルを提供 • 従来型 • サードパーティ、マルチベンダ統合
• 一貫したポリシーアーキテクチャ
• 仮想、物理 • ポリシーは完全にポータブル
Web Server
App Tier A
Web Server
Web Server
App Tier B
App Server
Chain “Security 5”
Policy Redirection
Application Admin
Service Admin
Ser
vice
G
raph
begin end Stage 1
….. Stage N
Pro
vide
rs inst
inst
…
Firewall
inst
inst
…
Load Balancer
……..
Ser
vice
Pro
file
“Security 5” Chain Defined
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Cisco ACI のポイント
13
物理、仮想の統合 ポリシー モデル • 高度な自動化
• シンプルなオペレーション • スケーラビリティ
DEMO ポリシー モデル
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
データセンターに新たなサーバ 2 台を展開する
• Web サーバ、端末 2 台を DC に展開する • その間を PING / Web のみで通信ができるようにする
Webサーバ 192.168.1.1
端末 192.168.2.1
EPG
TERMINAL
EPG WEB
Contract “ICMP”
Contract “http”
Webサーバ 192.168.1.1
端末 192.168.2.1
Cisco ACI ユースケース 1: 物理ネットワーク管理自動化
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
従来型ネットワークの物理インフラ管理手法
マニュアルでのオペレレーション、Opexの増大
アップグレード手順 1. ファームウェアのダウンロード 2. ブートローダの変更 3. 再起動 4. コンフィグの整合性の確認 5. 疎通確認
機器追加、交換手順 1. コンフィグの用意 2. ファームウェアのダウンロード 3. ブートローダの設定 4. 起動 5. コンフィグの整合性の確認
インベントリ管理 • コマンドで部材、シリアル番号を
取得Excel等で管理 • 高価な管理ソリューションの導入 • 自社で管理ツールの開発
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ACI による物理インフラの管理 アップグレード手順 • APICで各ノードのファームウェアバ
ージョンを指定 • ローリングアップデート等、管理者の
判断による適切な流れでのアップグレード、ダウングレード
• 設定はコンフィグファイルではなくポリシーのDBを自動ダウンロード
交換手順手順 • 機器を交換し APIC からノードの追加
を指定 • ファームウェア、DB の Sync が自動
的に行われる
インベントリ管理 • シリアル番号等すべての情報を
APICで自動管理
APICによる統合管理:ポリシー、データモデルによる個別コンフィグが不要に
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
従来型ネットワークと ACI との比較: 機器の交換
19
従来型 ネットワーク
ステップ 1
コンフィグの用意
ステップ 4
FWインストール
ステップ 5
コンフィグ インストール
ステップ 3
機器の交換、設置
ステップ 6
疎通、動作確認
ACI
ステップ 0 機器の故障
ステップ 0 機器の故障
ステップ 1
機器の交換、設置
ステップ 2
疎通、動作確認 デバイスの発見 FWロード ポリシー同期
APIC
2 ステップ
ステップ 2
FWの用意
6 ステップ
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ACI による物理層管理:ビジネス ベネフィット
20
ベネフィット
FWのロード自動化
自動化されたコネクティビティ セットアップ
デバイス、インベントリを集中管理
トポロジー、デバイス自動発見
物理ノードの集中管理
ポリシーベース、コンフィグレス
ACI アドバンテージ
自動化
APIC
機器追加、交換作業の自動化
ダウンタイムの削減
迅速かつ正確なインベントリ管理
オペレータのスキルへの非依存
Cisco ACI ユースケース 2: ネットワーク自動化, 仮想基板連携
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ACI ファブリック:高度に自動化されたネットワーク
VLAN
L2/L3プロトコル
• L2/L3 プロトコル等の基本設定
• L3 のゲートウェイ、ACL 等のセキュリティ設定
• ホストの追加、削除の際の VLAN 等アクセス設定もしくはプリプロビジョニング
VLAN
L3 ACL
APIC
自動化された IS-IS/VXLAN
• 自動化されたトポロジーの発見とセットアップ
EPG WEB
EPG
DB
• エンド ポイントの発見、ポリシー、コネクティビティの自動的用
EPG-Web EPG-DB
VXLAN-15000
VLAN 500
• エッジ プロトコルの自動変換
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
vCenter DVS SCVMM
APIC と仮想マシン管理マネージャ(VMM) との間で連携
複数の VMM を単一の ACI で連携することも可能
それぞれの VMM とそこで管理されている仮想マシンはグループ化され、それを VMM ドメインと呼ぶ
ハイパーバイザ上の仮想スイッチはVMM ドメインと一対一の関係を持つ
FCS 時点では VMware vCenter とDVS,もしくは vCenter と Cisco AVSの 2 つの構成がサポートされる。Microsoft SCVMM/Hyper-V との連携の予定あり
VMM Domain 1
ACI と VMM/ハイパーバイザ連携
vCenter AVS
VMM Domain 2 VMM Domain 3
23
APIC
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
L/B
EPGAPP
EPG DB F/W
EPG
WEB
Application Network Profile
VM VM VM
WEB PORT GROUP
APP PORT GROUP
DB PORT GROUP
ACI とハイパーバイザの統合 ACI ファブリックのポリシーは仮想ネットワーク上で EPG (End Point Group/エンドポイント グループ) と EP (End Point/エンドポイント) をマッピングすることによって実装される
仮想環境において vNIC が EP と同義になる
VMM はネットワーク設定を vNIC をポ
ートグループに含めることによって適用する
EPG は VMM へ EPG 自体をポート
グループとして情報をプッシュすることにより、EPG とポートグループとの 1:1の関係を作る
これにより、ACI ファブリックのポリシ
ーが整合性を持って仮想環境に適用され、高度な自動化が可能になる
24
APIC
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ACI によるネットワーク自動化/仮想基板連携:ビジネスベネフィット
25
ベネフィット
VLAN等従来の技術の制限に縛られない 柔軟なネットワーキング
仮想ネットワーク環境との整合性、自動化
ネットワーク、アプリケーションチーム の協調
エンドツーエンド接続設定の簡素化
ネットワークエレメントの自動化
VMMとのシームレスな連携
ACI アドバンテージ
マルチカプセル化、 マルチハイパーバイザ サポート
APIC
アプリケーション展開時間の削減
ハイブリッド、マルチベンダ
Opexの削減
Cisco ACI ユースケース 3: アドバンスド ネットワーク セキュリティ
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ネットワーク、セキュリティ/オペレーションの課題
App-A App-B App-C • アプリケーション、ノード、サブ
ネット、ポリシーに追加、変更があった際に ACL もそれに合わせて変更→煩雑な作業
• 複数、大量のテナント、アプリ
ケーションのポリシーがひとつの ACL にまとめられている→オペミスによる障害、影響範囲大
• 数百のアプリを稼働させるデー
タセンターでは1万を超える行のACLも珍しくない
ACL
複雑、煩雑な管理、高度な技術力が必須、頻繁な変更、オペミス
に対して脆弱、高コスト
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ACE の問題:再利用不可能なポリシー フレームワーク
ポリシー
TCP:80
送信元 宛先
172.16.1.0/24 192.168.1.0/24
• ACL は一つのステートメントにアドレスとポリシーが記述 • それぞれの要素は密結合され再構成が不可能 • ポリシーやアドレスの変更が必要な場合その ACL は破棄し、書きなおさな
ければならない。
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ACL の問題:大量のアプリケーションが単一のポリシーで管理
29
Seq 40
Seq 50
Seq 60
Seq 70
Seq 80
Seq 90
Seq 100
ACE for App A Seq 10
Seq 20
Seq 30
ACE for App B
ACE for App C
ACE for App D
ACE for App E
ACE for App F
ACE for App G
ACE for App H
ACE for App I
ACE for App J
ACL • 複数のアプリケーションに関する
ネットワークポリシーがひとつのACL に含有
• ACL は ACE を上から順番にチェックするため、ACE の書き方を間違えると、それ以降のエントリーに影響があり、必要な通信が止まったり、通したくない通信を通してしまう。
• ACL への ACE の追加、変更、削除は恒常的に行われ、増大傾向にあるため依存関係の整合性整合性を保つことは極めて難しい。
ACE for App X Seq 35
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ネットワークセキュリティの現状、困難性
• ACL はさらにネットワークの様々な場所に配置し、設定するインターフェース、方向、それぞれのACL 間の依存関係、整合性を保つ必要がある
• ACL をほとんど使用せず、すべてのトラフィックをファイアウォールで管理。しかし、これは膨大かつ複雑なルールをまとめただけ
• SDN/ソフトウェアベース オーバレイも同じ。フィルターをコントローラで管理し、ルールをカーネルベースで適用しても、管理の複雑性は変わらない。また、ベアメタルとの連携はスイッチ上の ACL が結局必要になり、より複雑に
SDN
• 複雑なルール運用を要するインフラではセキュリティの確保が極めて難しい
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ACI : アプリケーション ネットワーク プロファイル 柔軟なポリシー フレームワーク
31
EPG-A EPG−Y コントラクト X
コントラクト Y EPG-B EPG−Z
コントラクト X’
• EP (エンドポイント), EPG, コントラクトの組み合わせによってポリシーを構成
• 一貫したルールでポリシーを構成しつつ、構成変更の柔軟性を担保
ネットワーク ポリシー (アプリケーション ネットワーク プロファイル)
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ACI : アドバンスト ネットワーク、セキュリティ
テナントごと、アプリケーションごとに独立したポリシー管理
WEB APP DB
F/W ADC
ADC APP APP APP W EB W EB W EB
DB DB DB
WEB APP DB
F/W ADC
ADC APP APP APP W EB W EB W EB
DB DB DB
WEB APP DB
F/W ADC
ADC APP APP APP W EB W EB W EB
DB DB DB
WEB APP DB
F/W ADC
ADC APP APP APP W EB W EB W EB
DB DB DB
APIC
APIC が インフラのポリシーを物理仮想問わず一元的に管理
アプリケーション プロファイルの追加、変更、削除が他のテナントやアプリケーションに影響しない テナント、アプリケーションが増えても、他への影響を心配せず、セキュアかつシンプルなオペレーションが可能
WEB APP DB
F/W ADC
ADC APP APP APP W EB W EB W EB
DB DB DB
WEB APP DB
F/W ADC
ADC APP APP APP W EB W EB W EB
DB DB DB
WEB APP DB
F/W ADC
ADC APP APP APP W EB W EB W EB
DB DB DB
WEB APP DB
F/W ADC
ADC APP APP APP W EB W EB W EB
DB DB DB
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ACI : アドバンテージとビジネス ベネフィット
ベネフィット
作業工数の削減
アプリ、テナントの集約率向上
大規模環境においてもシンプルな オペレーションを維持
オペレーションミスの削減
物理、仮想の統合
ポリシーリポジトリの一元管理
ACI アドバンテージ
アプリケーションプロファイルによるポリシーの一貫性
APIC
セキュリティの向上
オペレーション コストの削減
サービス レベルの向上
迅速なアプリケーションの展開
Demo
34
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
仮想基盤との連動 (vCenter)
EPG WEB
DB仮想マシン
EPG APP
EPG DB
App仮想マシン 192.168.2.2
Web仮想マシン 192.168.1.2
10.10.10.10
WAN
外部ネットワーク 10.10.10.10
OnlineStore
Cisco ACI ケーススタディ
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Cisco Application Centric Infrastructure : ケーススタディ
• UAE のトップ総合テレコムサービスプロバイダー
• 中東地域で最も成長を遂げている企業
• 15+ のデータセンターをACI で 2 つの DC に統合
• セキュリティ フォーカスの大規模エンタープライズ
• 共通のポリシーを利用しつつもマルチテナント化
• スケールアウト アーキテクチャ:ACIを既存データセンターの拡張に利用
• パブリック クラウドにおけるマルチテナント、マネージドホスティング サービスとディザスタリカバリーを提供
• グローバル展開
• ネットワークの自動化を ACI で実現。それぞれのデータセンターで 20K+ ポートを利用し仮想、物理のサーバを運用
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ACI@DU
ACI によって解決された課題 インフラのスケーラビリティ 電力消費に効率化 (冷却のための膨大なコスト) アプリケーションモビリティ 帯域の向上(40Gを10Gの価格で) マルチハイパパイザーサポート Capexの削減 オペレーションの簡素化
UAE における総合テレコミュニケーションサービスプロバイダー。中東地域を拠点に急速に成長中
15 以上のデータセンターを 2 つに ACI で統合
DU の ACI の構成は以下のとおり:
2 Spines (9508) 144 ToRs (9396-PX) 3 APIC Clusters ASR9K for DCI Citrix SDX for Services Insertion NAM UC on UCS
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
IPTV – 一般、ビジネスユーザへの有料テレビテレビサービス. SD/HD共にマルチキャスト上で実
社内 IT – CRM, ERP, BES, Email, 等々
HMC (Hosted Messaging and Collaboration) – MS Exchange/SharePoint, ドメインホスティング、ストレージサービス
HCS – ビジネスユーザ向けの音声、ビデオサービス(Cisco Business Voice Serviceを利用).
テレコム – モバイル&データサービス(2G (EDGE), 3G (HSPA) そして 4G (LTE) ローミングサービス含む)
ACI 上でデリバリーされているサービス
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ネットワーク構成
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
ネットワーク構成
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
Meydan DC Fabric Topology
Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public
今日のまとめ
ネットワーク自動化VMMとの連携
物理ネットワーク 管理自動化
アドバンスド ネットワークセキュリティ
• アップグレード、機器の追加作業の自動化、効率化 • インベントリ管理の自動化、効率化
• エンドツーエンドのL2/L3のネットワーク接続 • 導入実績のあるソリューション
• 柔軟なポリシー管理、複雑性の増大の抑制 • 大規模環境でもシンプルな運用を維持
APP CENTRIC POLICY MODEL APIC
物理、仮想の統合、 アプリケーション セントリック ポリシー モデルによる、 新たなオペレーション
Recommended