Click here to load reader

Cisco ACI アンダーレイを NSX Data Center - VMware...Cisco ACI アンダーレイを強化する NSX Data Center VMware NSX Data Center は、ワークロードをホストするサーバ

  • View
    2

  • Download
    0

Embed Size (px)

Text of Cisco ACI アンダーレイを NSX Data Center - VMware...Cisco ACI...

  • ホワイトペーパー

    Cisco ACI アンダーレイを 使用した NSX Data Center の展開

    https://www.vmware.com/jp

  • ホワイトペーパー | 2

    Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

    目次次世代のデータセンターにおけるソフトウェアの役割 3

    ファブリックベースのインフラストラクチャによる仮想および 物理ネットワーク インフラストラクチャの最適化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

    Cisco ACI アンダーレイを強化する NSX Data Center 4

    ネットワークおよびセキュリティ サービスのメリット:組み込みと後付けの違い . . . . . . . . . . 5

    ACI の役割 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

    NSX Data Center の役割 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

    NSX Data Center の展開へ向けた Cisco ACI アンダーレイの準備 . . . . . . . . . . . . . . . . 7

    ファブリック ポリシーおよびオブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

    ACI テナント オブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

    運用上のメリット 12

    インフラストラクチャ トラフィックの分離 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

    NSX の論理スイッチおよびルーティングのメリット . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

    インフラストラクチャの運用効率化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

    ACI アンダーレイ上で VMware NSX を展開するメリット 15

    https://www.vmware.com/jp

  • 次世代のデータセンターにおけるソフトウェアの役割次世代のデータセンターを計画するにあたり、ネットワークおよびセキュリティのプラットフォームをソフトウェアで構成しようと考える企業が増えています。それにより、基盤となるハードウェアの運用効率を向上させることができるからです。従来型のネットワークでは、さまざまなアプリケーションの複雑な要件により、日常的に大きな負荷がかかっています。たとえば、インフラストラクチャの独立性を確保すること、レイヤーごとにセキュリティ機能が必要であること、多種多様なアプリケーション フレームワークやエンドポイントをサポートする必要があることなどの要件です。

    ソフトウェアにはハードウェア インフラストラクチャの価値を高めつつ、このような複雑さに対応する独自の機能が備わっています。仮想化ソフトウェアによってクラウド コンピューティングが可能になり、サービス ポリシーが組織のインフラストラクチャとそのエッジ、そしてクラウドへと拡張されます。お客様はすべてのスイッチ ファブリック トポロジーにわたり、アプリケーションを容易に展開できることを求めています。VMware NSX® Data Center は、Cisco Application Centric Infrastructure(ACI)を含む、任意のファブリック アンダーレイで機能することが実証されています。このガイドでは、Cisco ACI アンダーレイに Software-Defined Data Center を導入するための実践的なベスト プラクティスを紹介します。仮想インフラストラクチャと自動化されたスイッチ ファブリックを組み合わせることにより、将来の変化にも対応できる強力なソリューションを実現できます。

    ファブリックベースのインフラストラクチャによる仮想および物理ネットワーク インフラストラクチャの最適化パブリック クラウドが生み出す新たな複雑性への対応は、それらが日常的に発生するオンプレミスのデータセンターから始まります。ソフトウェアは、あらゆるファブリック アンダーレイに対してユビキタスなポリシー管理を提供し、そのポリシーは、すべてのサイト、クラウド、エンドポイントへと拡張されます。仮想ネットワーク インフラストラクチャは、セキュリティ ポリシーの運用やアプリケーションの拡張を効率よく行えるように最適化されています。これに対して、物理ネットワーク インフラストラクチャは、コストやスループット、遅延に関して最適化されています。

    ファブリック インフラストラクチャを導入するメリットは、アプリケーションやサービスを迅速に提供でき、障害発生のリスクを最小限に抑えながら簡単に運用を開始できることに加え、修復やトラブルシューティングを短時間で行えることです。物理ネットワーク インフラストラクチャは、ある地点から別の地点へのデータの転送、遅延への対処、フローの管理などを行うように設計されます。物理ネットワーク インフラストラクチャは、データセンター ファブリック、キャンパス ネットワーク、ルーテッド WAN など、対象の環境のニーズに応じて進化し続けます。物理ファブリックの設計原則は、物理データセンター インフラストラクチャに基づきます。ソフトウェア プラットフォームを導入することは、ハードウェア インフラストラクチャの障害ドメインの削減に役立つサービスを提供するうえで、非常に重要です。これは、よりシンプルなアーキテクチャを構築することにより実現されます。

    生産性

    ライン仮想ネットワーク インフラストラクチャ:アプリケーションの拡張、IT の運用および効率性の最適化エンドツーエンドの IT サービス提供モデル(DC、クラウド、Edge)全体のアプリケーションおよびデータのニーズに対応

    物理ネットワーク インフラストラクチャ:価格、スループット、遅延の最適化

    特定のインフラストラクチャ環境(データセンター、キャンパス、支社)の

    ニーズに対応

    図 1:仮想インフラストラクチャと物理インフラストラクチャの役割の変化

    ホワイトペーパー | 3

    Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

    https://www.vmware.com/jp

  • Cisco ACI アンダーレイを強化する NSX Data CenterVMware NSX Data Center は、ワークロードをホストするサーバ インフラストラクチャの接続性を強化します。その仕組みは次のとおりです。インフラストラクチャのサービスを、NSX オーバーレイの管理、コンピューティング、Edge 接続に分割し、理想的な標準構成を使用して、サーバ インフラストラクチャを接続します。

    管理(VLAN)

    コンピュート クラスタ

    トランスポート サブネット A.. トランスポート サブネット ..Z

    Edge クラスタ 管理クラスタ

    vSphere クラスタ管理、コンピュート、Edge

    2 つの要件IP 接続

    MTU 1600

    階層型論理スイッチ

    NSX Edge

    NSXManager

    NSX Controller クラスタ

    コントロールVMVM1

    VM5 VM3

    VM2 VM5 VM6

    トランスポート ゾーン(VLAN)

    物理ネットワーク

    Webアプリケーションデータベース

    トランジット VXLAN

    図 2:NSX Data Center の一般的なクラスタ設計

    この構成を採用すると、ハードウェア インフラストラクチャでは、パケット スループットのパフォーマンス向上、遅延の低減、物理インフラストラクチャの拡張やアップデート時のスイッチ ファブリックの運用の自動化に注力できます。アプリケーション サービスのプロビジョニングや拡張に必要なネットワークとセキュリティ サービスは、NSX 仮想ネットワークを通じて制御されます。NSX は、(ポリシー ベースの)組み込みのセキュリティ サービスを通じて、俊敏性の高いアプリケーションの展開や現在のデータセンターの運用に対応した仮想ネットワーク サービスのプログラミング機能を提供します。

    仮想と物理のネットワーク ファブリックの機能がこのように分かれていることにより、それぞれの運用性が向上します。各環境の機能ごとのサービスが分かれているため、サポートやメンテナンスの機能は、個々のニーズに応じたタイミングで実行できます。

    NSX の機能• ネットワーク、クロスクラウドセキュリティ用の一貫性のある API

    • 任意のアンダーレイと連携

    ACI の機能• ファブリック管理• プログラミング可能な物理ネットワーク

    Cloud-Native

    Cisco ACI アンダーレイ上の NSX Data CenterNSX と Cisco ACI の相互運用性

    NSXセキュリティ、オーバーレイ、サービス

    Cisco ACI ファブリック

    図 3:NSX は、仮想ネットワーク サービスのプログラミング機能と、アプリケーションで使用される(ポリシー ベースの)組み込みのセキュリティ サービスを提供します。ACI は、堅牢なファブリック アンダーレイ インフラストラクチャを提供します。

    ホワイトペーパー | 4

    Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

    https://www.vmware.com/jp

  • ネットワークおよびセキュリティ サービスのメリット:組み込みと後付けの違い従来の企業ネットワークは、コンピューター、サーバ、ルータ、スイッチなどの物理デバイスを相互に接続することで構築されていました。そのようなネットワークが構築された後、後付けでセキュリティ ソリューションが導入された場合、ネットワークの変更は手作業での対応となるため、ミスが発生しやすく、障害が発生する可能性が高くなっていました。障害が発生すればコストがかさみます。

    このような従来の環境における課題を解消するために、ソフトウェア ベースのネットワークが出現しました。最新のテクノロジーにより、ネットワークのハードウェア ベースの機能を抽象化してソフトウェアとして扱えるようになります。自動化とプログラミングの機能で複雑な手動のタスクを置き換えることにより、企業における運用の複雑さが軽減され、拡張性と信頼性が向上します。現在では Software-Defined Networking の進歩により、企業はソフトウェアによってネットワークを最新化する手段を手に入れ、ビジネスのイノベーションにおける新しい可能性が開かれています。

    サービスの自動化機能は、組み込みのポリシー ベースのサービス機能を活用するソリューションによって、大幅に強化されます。VMware vSphere® および NSX Data Center のバリュー プロポジション(提供価値)は、ほかにはないネットワークおよびセキュリティのプラットフォームを提供することです。これにより、アプリケーションの展開にかかる時間を大幅に短縮できるだけでなく、アップデートやアップグレードにかかわるプラットフォームのメンテナンス作業も簡素化されます。

    後付けのソリューションには、サービス ソリューションを追加するたびに運用が複雑になっていくレガシー環境のイメージがありますが、最新のネットワークは、展開の迅速化と運用の負担軽減の両立を実現します。このため、大規模なネットワークを構築する際に、その規模に応じて運用コストが上がるということがありません。

    それでは、ACI アンダーレイの設計と、NSX Data Center を展開するネットワーク中心のインフラストラクチャがどのように実現されているかを見ていきましょう。

    • サポートされる管理インフラストラクチャ• 迅速な拡張が可能なセキュリティ プラットフォームを提供

    • レイヤー 7 の機能が組み込まれたコンテキスト認識型のファイアウォール

    ESXi 用ネットワークおよびセキュリティのプラットフォームとして最適な NSX安定性と高速性を備えたネットワーク インフラストラクチャ

    NSX はユースケースに応じて 30 ~ 120 日で展開可能• 既存、新規環境にかかわらず利用可能• ハードウェアへの非依存性と既存ハードウェアの延命

    • アンダーレイの簡素化

    サポート対象

    分散ファイアウォール サードパーティ ネットワーク

    ESXi および NSX

    ネイティブ サービス プラットフォーム

    優れたパフォーマンス

    シンプルな運用

    俊敏なネットワークの展開

    図 4:マイクロセグメンテーションのメリットを活かした NSX Data Center の長所

    ホワイトペーパー | 5

    Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

    https://www.vmware.com/jp

  • ACI の役割 ACI が持つ役割を理解することは、Cisco ACI アンダーレイ上への NSX Data Center 展開に役立ちます。物理ファブリックの管理と効率的な運用を主な目標として、構成に ACI を取り入れます。この設計により、リスクが軽減されるほか、重要なサービスのパケットが適切に転送され、アプリケーションの接続およびセキュリティの管理に NSX Data Center を利用するために、アンダーレイ内で実行すべきことが大幅に削減されます。

    図 5 は、ACI アンダーレイを使用した NSX Data Center で求められる構成の概要を示しています。この設計では、ACI の運用と NSX Data Center プラットフォームのサポートに必要な最小限の ACI の構成要素を使用しています。またこの設計では、ACI エンドポイント グループ(EPG)のデフォルトのセキュリティ機能を利用しており、EPG 内のエンドポイント(EP)の EPG 内通信が可能になります。図 5 で南京錠のアイコンで示されているセグメント間の通信フローを実現するために必要な ACI Contract の数は少数です。これらはフィルタリングにより通信を許可します。

    図 5:インフラストラクチャの主要な要素、および NSX Data Center と Cisco ACI の相互運用性を実現する外部ルーティング接続の概要

    ACI インフラストラクチャの要件

    ホスト接続のサポート• ホスト接続の物理ドメインの定義• 使用されている VLAN、スイッチ インターフェイス、ポリシー

    • 物理/外部ドメイン

    アプリケーション プロファイルの作成• EPG の定義• ネットワーク

    - プライベート ネットワーク- ブリッジ ドメイン- 外部の L2 および L3 との接続

    ACI インフラストラクチャ

    コンピュート Edge

    VLAN のピアリング

    管理

    トランジット EPG

    トランスポートストレージvMotion管理

    トランジット EPG

    境界リーフ

    NSX オーバーレイ

    コンピュート

    VMkernel

    ACI Contract

    ACI EPG

    レイヤー 2 ACI ファブリック

    ホワイトペーパー | 6

    Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

    https://www.vmware.com/jp

  • NSX Data Center の役割次に、NSX Data Center の役割を確認しましょう。NSX Data Center の設計は、組織固有のユースケースのニーズに対応するためのものです。これらのユースケースは次のカテゴリに分類できます。セキュリティ、マルチクラウド ネットワーク、自動化、クラウドネイティブ、WAN と支社のカテゴリです。

    図 6 は、NSX Data Center の主なユースケースと、各ユースケースの具体的な内容を示しています。NSX の役割は、インフラストラクチャ、サイト、クラウド、そしてすべてのエンドポイントにまたがる実装に使用される、一貫性のある API を提供することです。

    NSX Data Center の展開へ向けた Cisco ACI アンダーレイの準備NSX Data Center を展開するための Cisco ACI アンダーレイのセットアップを開始するには、基準となる 2 つのことを明確にする必要があります。

    • リファレンス設計の基になる具体的な基準はなにか

    • NSX Data Center とともに展開するために、Cisco ACI アンダーレイで必要不可欠な要素はなにか

    まず、リファレンス設計では、すべてのスイッチ ファブリック インフラストラクチャで VMware vSphere と NSX Data Center の通信をサポートする必要があります。スイッチ ファブリックによっては、ファブリック内のどこに L2/L3 の境界が存在するかが懸念点となります。Cisco ACI では、ACI アンダーレイを、必要に応じて分散型ゲートウェイを使用できる機能を備えた、単一のレイヤー 2 ファブリックと見なすことができます。この設計では、このレイヤー 2 ファブリックを基準とします。

    次に、メリットを最大限に高め、不要なオーバーヘッドを避けることを考慮した場合、スイッチ ファブリックの簡素化がもっとも影響の大きい部分となります。これを踏まえた上で、次の一連の基準を注意深く選択する必要があります。

    2 組のオブジェクトをインフラストラクチャ内でセットアップする必要があります。Cisco ACI では、ACI ファブリックの管理がいくつかの上位カテゴリに分類されます。このリファレンス設計に重要な 2 つのカテゴリは、ACI ファブリック アクセス ポリシーと ACI テナント コンテナ オブジェクトです。

    ACI ファブリック オブジェクトでは、ポリシー、プロトコル、スイッチおよびそれに対応するスイッチ インターフェイス ID を構成します。これにより、スイッチ ファブリック インフラストラクチャの接続性が確立されます。また、これは ACI テナント コンテナ オブジェクトに依存します。

    図 6:NSX Data Center の主なネットワークおよびセキュリティのユースケース

    ホワイトペーパー | 7

    Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

    https://www.vmware.com/jp

  • ACI テナント コンテナは、ハイパーバイザー(vSphere または KVM)のホスト型サービスおよび NSX のニーズから、直接ネットワーク接続ポリシーを提供します。この接続のニーズには、管理、vMotion、IP ストレージ、オーバーレイ トランスポートの 4 つのインフラストラクチャ サービスと Edge クラスタ接続が含まれます。

    ここで、一連の抽象化と NSX Data Center の展開に必要なオブジェクトについて考えてみましょう。NSX Data Center のリファレンス ガイドには、以下に示す、Cisco ACI で作成される一連の抽象化およびオブジェクトについて、具体的なガイダンスが記載されています。

    • ACI では、接続するホストに対してポートを割り当てる必要があるため、物理ファブリックのどこに接続が必要かを計画します。

    • エッジ間および外部との接続に必要な VLAN プール、物理ドメインおよび外部ドメインのオブジェクトを作成します。

    • AAEP(Attachable Access Entity Profile)では、ドメインおよび関連付けられた VLAN プールがリーフおよびインターフェイス スイッチ ポリシー オブジェクトにリンクされます。

    • 独自仕様の ACI テナント コンテナを使用し、4 つのインフラストラクチャ通信サービスのそれぞれに対して 1 つずつ、合計 4 つの EPG を作成します。それぞれの EPG は単一の VLAN、4 つのインフラストラクチャ サービスに対応する、1 つの固有のネットワーク アドレスを持つ独自の Cisco ACI ブリッジ ドメインにマッピングされます。

    • 1 つの VRF(ACI の用語ではプライベート ネットワーク)を作成し、各ブリッジ ドメイン用にマッピングします。4 つのインフラストラクチャ ネットワーク用に作成される各ネットワークでは、推奨されるプレフィックス サイズ(/22)を使用する必要があります。このプレフィックス サイズでは、本書の記述時点でサポートされているインフラストラクチャの接続の最大数まで対応できます。

    • 外部ルーティングの接続用に外部ルーティング ドメイン コンテナを作成します。これには、Edge から ACI 境界リーフへの N/S 接続の 2 つのトランジット VLAN で使用される L3Out が含まれます。さらに、この外部ルーティング ドメインには、ダイナミック ルーティングおよびスタティック ルーティング用に適用可能なすべてのポリシー ルールが含まれます。これには、NSX オーバーレイの接続に使用される、隣接した VMware NSX® Edge™ ノードへのデフォルト ルートを追加するポリシーが含まれます。

    図 7:Cisco ACI アンダーレイを使用して NSX Data Center を展開するためのインフラストラクチャ設計の概要

    ファブリック ポリシーファブリック アクセス ポリシー

    NSX over ACI のテナント構成

    レイヤー 2 ファブリック:シングル テナント

    必要なコントラクト数は少ない静的な vSphere エンドポイントをマッピング

    NSX Edge を ACI の境界にマッピング

    最小要件:物理ドメイン 1 つ外部ルーティング ドメイン 1 つVLAN プール 2 つ(内部と外部)AEP 1 つ(リーフおよびスイッチのポリシー、Int および Int Sel ポリシーなど)

    NSX Data Center 環境:個別のテナント(共通ではない)アプリケーション(ネットワーク)プロファイル 1 つEPG(ベース EPG)4 つブリッジ ドメイン 4 つ、VRF 1 つ(各 VLAN = 各 EPG = 各 BD)L3Out、South(NSX オーバーレイ)

    ACI ファブリックの基準

    ホワイトペーパー | 8

    Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

    https://www.vmware.com/jp

  • ファブリック ポリシーおよびオブジェクト それでは、スイッチとインターフェイス プロファイル向けのファブリック アクセス オブジェクト並びに ACI テナントコンテナに必要なポリシー オブジェクトを確認していきます。

    ファブリック アクセス オブジェクトの作成を開始するには、まず VLAN プール オブジェクトから始めます。VLAN プールは、ACI ファブリックに直接接続されているインフラストラクチャ デバイス間の通信に使用されるカプセルの値をドメイン オブジェクトに提供します。

    ドメイン オブジェクトにより、どのようにデバイスがファブリックに接続されるかが決まります。具体的には、内部ファブリックに接続されるベアメタル システムとして接続されるのか、外部の L2 または L3 接続を使用する外部のワークロードからのリクエストになるのか、などです。Attachable Entity Profile(AEP)は、デバイスがファブリックのどこに接続されるかを定義するために、インターフェイス ポリシー オブジェクトに関連付けられます。また、ドメインの関連付けにより、インフラストラクチャ システムと ACI ファブリックの間のトラフィックをカプセル化するために使用される VLAN が決定されます。

    スイッチとインターフェイスのポリシーおよびプロファイル オブジェクトにより、使用するスイッチ、インターフェイスで事前定義済みのプロトコル、機能の構成を決定します。

    図 8 は、ACI ファブリック ポリシーに必要なファブリック アクセス オブジェクトの基本的なセットを示しています。この図には、それぞれの目的と、ファブリック ポリシーに必要なほかのオブジェクトとの関連性が記載されています。図 9 は、さらに詳しく説明したもので、ポリシーおよびプロファイル オブジェクト、また、相互の関係性が記載されています。これは、Cisco ACI システム管理者がほかの参照用構成で使用するものに比べ、大幅に簡素化したリストとなっています。

    図 8:スイッチとインターフェイスのポリシーおよびプロファイル オブジェクトにより、使用するスイッチ、インターフェイスで事前定義済みのプロトコル、機能の構成を決定します。

    図 9:これら少数のポリシーが、ACI の展開に必要になります。ACI アンダーレイ上に VMware NSX を展開する設計で必要なのは、 ファブリックで必要なこれらのオブジェクトのごく一部です。

    ACI に必要なファブリック ポリシーおよびファブリック アクセス ポリシー

    1 組の抽象化されたファブリック

    ドメイン AAEP インターフェイス ポリシー スイッチ ポリシー

    場所 方法 インターフェイスの設定 スイッチの設定

    NSX-Phy-Domain

    NSX-L3-Domain

    NSX インフラ VLAN プール

    NSX 外部 VLAN プール

    NSX-AEP(AEP)

    NSX-Host-Int-profile(リーフ インターフェイス プロファイル)

    NSX-Host-Prots(アクセス ポート セレクター)

    NSX-Port-PolicyGroup(インターフェイス ポリシー グループ)

    インターフェイス ポリシーLLDP CDP

    NSX-Leaf-Profile(リーフ プロファイル)

    NSX-Leaf-Sel(リーフ セレクター)

    NSSX-Sw-Pol-Group(リーフ ポリシー グループ)

    リーフ ポリシー(デフォルト)

    ホワイトペーパー | 9

    Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

    https://www.vmware.com/jp

  • さまざまな複雑さを伴う複数のファブリック ポリシー

    サイトごとのファブリックおよびテナント ポリシーと ACI マルチサイト ポリシー マネージャ設定

    アドイン複数のテナント

    複数の VRF

    複数の L3Out

    任意のアンダーレイへの NSX Data Center の展開

    ACI アンダーレイ上に NSX Data Center を

    展開する設計

    1 組のファブリック ポリシー 単一の NSX on ACI テナント ポリシー

    VLAN、VXLAN

    VMM ドメイン 1

    VMM ドメイン 1

    VMM ドメイン 1

    物理外部ドメイン

    AAEP ポリシー

    AAEP ポリシー

    AAEP ポリシー

    AAEP ポリシー

    インターフェイス ポリシー グループ

    VLAN、VXLAN

    インターフェイス ポリシー グループ

    インターフェイス ポリシー グループ

    インターフェイス ポリシー グループ

    インターフェイス ポリシー 設定

    インターフェイス ポリシー 設定

    インターフェイス ポリシー 設定

    インターフェイス ポリシー 設定

    インターフェイス ポート セレクター

    インターフェイス ポート セレクター

    インターフェイス ポート セレクター

    インターフェイス ポート セレクター

    インターフェイス プロファイル

    インターフェイス プロファイル

    インターフェイス プロファイル

    インターフェイス プロファイル

    スイッチ ポリシー グループ

    スイッチ ポリシー グループ

    スイッチ ポリシー グループ

    スイッチ ポリシー グループ

    スイッチプロファイル

    スイッチプロファイル

    スイッチプロファイル

    スイッチプロファイル

    スイッチセレクター

    スイッチセレクター

    スイッチセレクター

    スイッチセレクター

    ここまで、NSX を適切に展開するためにファブリック ポリシーに必要なオブジェクトをすべて確認しました。図のキャプションに書かれているとおり、NSX ではオブジェクト全体のごく一部のみ必要です。この少数のオブジェクト群を用意することで、ハードウェア アシストのサービス管理に伴う複雑性が軽減されます。これにより、ACI インフラストラクチャの運用を実現するための複雑さが低減されます。

    図 10:NSX Data Center の参照用構成を使用することにより、ハードウェア インフラストラクチャの障害ドメインを低減することができます。

    ホワイトペーパー | 10

    Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

    https://www.vmware.com/jp

  • ACI テナント オブジェクトテナントは、1 つのビジネス部門または 1 社の顧客用のアプリケーション ポリシーを定義するためのコンテナです。ACI では複数の種類のテナント オブジェクトを使用します。そのうちの 1 つ、共通テナントは、ほかのテナントで使用することができるポリシーおよびオブジェクトを定義するために使用されます。

    テナントの主な目的は、個々のエンドポイント グループ(EPG)で構成されるアプリケーション プロファイルを作成することです。EPG は、エンドポイント(EP)をグループ化したもので、共通のポリシーを共有します。ある EPG で定義されているエンドポイントは、同じ EPG のほかのエンドポイントとの通信がデフォルトで許可されます。これは、EPG 内通信と呼ばれます。EPG の EP には、別の EPG の EP 間のトラフィックを許可するために、フィルタリングで定義されたコントラクトが必要になります。これは、EPG 間通信と呼ばれます。

    それぞれの EPG は、レイヤー 2 および一部のレイヤー 3 の通信ポリシーの値を定義するために、ブリッジ ドメインと関連付けられる必要があります。レイヤー 2 は、ブロードキャストとマルチキャストおよびエンドポイントの解決に関する制御プレーン処理の管理用です。レイヤー 3 は、ブリッジ ドメイン内で使用するために構成された IP ネットワークです。ブリッジ ドメインは 1 つの VRF に関連付けられるため、ブリッジ ドメインのレイヤー 3 構成の(複数の)サブネットは、同じ VRF のコンテキストに関連付けられます。

    ARISTA や NX-OS VXLAN アーキテクチャなどの VXLAN ベースのファブリックと同様、分散型ゲートウェイは、EPG のエンドポイントがブリッジ ドメインに関連付けられ、そのブリッジ ドメインの定義されたネットワークを使用する、任意のトップ オブ ラック(ToR)スイッチに配置できます。

    コントラクトは、対応するサービスのフィルタリング定義済みプロバイダーおよびコンシューマーを持つステートレスのアクセス コントロール リスト(ACL)です。コントラクトは、再帰的に機能するように設定できます。コントラクトは、EPG のエンドポイントが接続されている TCAM 内でインスタンス化されます。

    外部アクセスが必要なワークロードは、外部ルーティング ドメインを使用します。ここで、外部ドメインの EPG として表される L3Out を使用する呼び出しを行います。

    図 11 は、NSX over ACI のテナントの構成と、ACI テナント コンテナ内で必要となる主要なオブジェクトの種類の大部分を示しています。

    図 11:NSX over ACI のテナント構成、および関連用途が定義された必須オブジェクト

    テナント共通

    テナントNSX on ACI

    外部へのルーティング

    共有インフラストラクチャ サービスDMS、Syslog、AD など

    オプション:共通テナントまたは

    NSX on ACI テナント内に配置

    管理 EPG

    管理サブネット

    L3/VRF

    L3OutEPG

    L3Out

    提供

    利用

    vMotion EPG

    vMotion BD

    vMotion サブネット

    IP ストレージ EPG

    IPS BD

    IP ストレージ サブネット

    オーバーレイ EPG

    オーバーレイ BD

    オーバーレイ サブネット

    管理 BD

    パブリック

    ホワイトペーパー | 1 1

    Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

    https://www.vmware.com/jp

  • 運用上のメリットこのガイドでは、SDN プラットフォームで使用する相互運用性の高いスイッチ ファブリックを構成し、インフラストラクチャ管理の負担を削減できることを説明してきました。NSX に使用されるテナントを簡素化し、セキュリティ ポリシーをソフトウェアでプログラミング可能なレイヤーに移動することにより、TCAM の枯渇など、物理ファブリックで生じることの多い一般的な問題を最小限に抑え、複雑さを低減することができます。運用上のオーバーヘッドを大幅に削減することにより、インフラストラクチャの障害発生のリスクも減少します。これは、ネットワーク仮想化プラットフォームからインフラストラクチャを抽象化した結果です。

    このアプローチのもっとも重要なメリットは、インフラストラクチャの障害の範囲が縮小し、複雑さが低減されることです。ハードウェア インフラストラクチャに関連する障害は、インフラストラクチャの構成に頻繁に変更が加えられることや複雑化することと関係していました。ハードウェア ファブリックの停止を引き起こす障害は、静的または動的なリビジョンによって把握できます。このレイヤーでの変更は対象範囲が広く、ファブリック内のトラフィックとなるワークロードへの影響が大きいためです。仮想インフラストラクチャのサービス機能を物理ファブリックに深く組み込むことにより、アプリケーション サービスからスイッチ ファブリックへの依存関係が生じます。アプリケーション内のソフトウェア サービスに対する増分パッチの適用などのシンプルなタスクであっても、規模の大きなインフラストラクチャ システムのアップデートやアップグレードなどの複雑なタスクであっても、ホストおよびスイッチでは、標準の運用手順を実行するにはハードウェアとソフトウェアの非常に複雑なマトリックスが存在するため、相応の負担が生じます。

    この設計では、いくつかの運用上の特性を利用して、シンプルでありながら重要な機能を実現します。これは ACI EPG が起点となります。ACI EPG は、基本的には、ACI が制限された通信に使用するセキュリティ グループです。ACI EPG を NSX の最小限のインフラストラクチャのニーズにマッピングすることにより、ファブリックに変更を加えることなくインフラストラクチャ サービスを増やすなど、様々なメリットが生まれます。また、スケール アウトなどの操作をファブリックで行う必要が生じた場合、ファブリック オブジェクトの数が最小限に抑えられているため、変更の影響を受けるオブジェクトの数を大幅に抑えることができます。インフラストラクチャで IP パケットを高速に処理できるため、ハードウェアの交換の回数も減り、運用の安定性が向上します。図 12 は、このリファレンス設計を使用することで得られるメリットをまとめたものです。

    この設計における様々な運用上のメリットを詳しく見ていきましょう。

    これらの運用上のメリットをもう少し詳しく見てみましょう。

    図 12:ACI アンダーレイ上に NSX Data Center を展開するメリット

    ACI アンダーレイ上の VMware NSX Data Center の設計

    • 分離されるインフラストラクチャ トラフィック

    • インフラストラクチャ トラフィックはファブリック内で増加

    • インフラストラクチャの変更の必要性は最小限

    • NSX オーバーレイ内で展開されるワークロードの増加により ACI への変更は必要にならない

    • インフラストラクチャ拡張のオーバーヘッドは最小限

    • ハードウェアの交換回数の低減

    • ハードウェア インフラストラクチャが安定

    アプリケーション展開のスケーラビリティ

    インフラストラクチャ トラフィックの分離

    ACI アンダーレイ上に NSX Data Center を

    展開する設計1 組のファブリック ポリシー 単一の NSX on ACI テナント ポリシー=

    インフラストラクチャの運用作業は最低限

    運用上の機能および拡張は、組み込みで容易に管理可能

    +

    ホワイトペーパー | 12

    Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

    https://www.vmware.com/jp

  • インフラストラクチャ トラフィックの分離4 つの NSX の特徴である、管理、IP ストレージ、vMotion、オーバーレイを固有の EPG にマッピングすることにより、制限された EPG グループの通信をこの設計で利用できるようになります。さらに、サービス ポート用に vSphere 固有のステートフル ファイアウォール サービスを追加することにより、許可されたエンドポイント間のカーネル トラフィックに、vSphere 固有のセキュリティ ポリシーおよびファイアウォールを利用できます。

    VMware NSX Data Center のインフラストラクチャ トラフィックは、次のものをもたらします。

    • 高速でスケーラブルな仮想ネットワーク

    • 任意のインフラストラクチャで運用可能な、プログラムによるネットワークおよびセキュリティの機能

    VMware vSphere は、VMkernel トラフィックに対する高度なセキュリティを提供するだけでなく、次のようなメリットがあります。

    • 分離のための管理が不要

    • アンダーレイの運用を簡素化

    NSX の論理スイッチおよびルーティングのメリットNSX の分散スイッチングおよび分散ルーティングにより、仮想ワークロード間のルーティングを管理するための、API でプログラミング可能なネットワークが実現します。さらに、NSX は物理インフラストラクチャとルート情報をやり取りして学習でき、物理インフラストラクチャに高速な Edge ルーティングを提供します。

    NSX では、Edge クラスタと物理インフラストラクチャにおけるルータ インスタンスの等コスト マルチパス(ECMP)に加え、NSX 分散ルータと VMware NSX Edge™ クラスタの間の ECMP を使用して、ルーティングのスケール アウトが可能です。NSX Edge は、スタティック ルーティングとダイナミック ルーティングを使用して物理ルータとピアリングし、スタティック ルーティングで、管理者が管理する接続を提供するか、または ECMP ベースのルーティングで、外部ネットワークとの接続の帯域幅の拡大を実現することができます。

    図 13:Cisco ACI および vSphere のセキュリティで管理される NSX サービスの通信

    管理グループ

    VLAN 100

    管理グループ

    VLAN 100

    トランスポート グループ

    VLAN 400

    トランスポート グループ

    VLAN 400

    アクセス許可アクセス不可

    ホワイトペーパー | 13

    Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

    https://www.vmware.com/jp

  • VMware NSX Edge クラスタの設計を採用すると、NSX オーバーレイへの経路が提供され、物理ファブリックからオーバーレイ内のアプリケーション ワークロードが完全に分離されます。これにより、アンダーレイに変更を加えることなく、オーバーレイ内のワークロードの展開と拡張が可能になります。この論理オーバーレイの分離と、アプリケーション ワークロード用のローカル サービスの展開の組み合わせが、俊敏な展開が可能な NSX Data Center のプラットフォームの基盤となります。

    NSX Edge ルーティングの真価は運用レベルで発揮されます。これは、物理ネットワーク インフラストラクチャの安定性が向上することが主な理由です。シナリオの例としては、次のようなものがあります。

    • ワークロードの追加や拡張を行う際に、物理インフラストラクチャへの変更は必要ありません。

    • NAT、ロードバランシング、DNS、DHCP、VPN、ファイアウォールなどのサービスの展開でも、物理インフラストラクチャのルーティングやスイッチングの機能への変更は必要ありません。

    • サービスの展開が物理インフラストラクチャから完全に分離されていることにより、ワークロードを展開する際に真のプライベート クラウド サービスを実現できます。

    • 物理インフラストラクチャの運用にかかる手間が大幅に削減されることで、IT チームはアプリケーションの提供により多くの時間を投資することができます。

    • Edge クラスタ サービスにより、物理的な場所からワークロードを完全に分離できるため、アプリケーションの俊敏性を向上させることができます。

    NSX Edge のルーティングにより、North-South 方向のトラフィック フローに対する集約型のサービス、集約型の機能を実行するサービスの展開、プライベート クラウドでの仮想ネットワークの展開におけるハードウェアとソフトウェアの分離を実現できます。

    図 14:スイッチ ファブリックから抽象化されたアプリケーションの拡張

    ホワイトペーパー | 14

    Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

    https://www.vmware.com/jp

  • インフラストラクチャの運用効率化この設計におけるもう 1 つの運用上のメリットは、ファブリック拡張の管理が容易であることです。たとえばスイッチなどのインターフェイスを追加する場合、セットアップしたファブリックが 1 つだけであるため、変更が必要なオブジェクトは 1 組だけです。

    Cisco ACI では、「セレクター」と呼ばれる少数のポリシー オブジェクトを使用して、ファブリック ポリシー用に構成されたインターフェイスおよびスイッチを特定します。ACI 環境の拡張時にスイッチのインフラストラクチャの観点から必要なことは、これらの変更と、追加のホストに対する既存のインフラストラクチャ EPG のマッピングの追加です。

    ACI アンダーレイ上で VMware NSX を展開するメリットネットワークの専門家にとって、運用効率を大幅に改善することは、実現するのに大変な苦労をともなうことが多いものです。導入済みの Cisco ACI に、NSX Data Center のような SDN プラットフォームを組み合わせる手法は、新たな取り組みとして急速に現況を変えつつあります。

    図 15:リーフおよびインターフェイス セレクター ポリシーのスケール アウトには 2 つのファブリック アクセス ポリシーが必要です。

    リファレンス設計に関する詳細はこちら >

    詳細情報

    ホワイトペーパー | 15

    Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

    https://communities.vmware.com/docs/DOC-30849https://twitter.com/VMwareSecurityhttps://www.facebook.com/vmwarejapan/https://www.youtube.com/vmwarensxhttps://blogs.vmware.com/transform-security/https://www.vmware.com/jp

  • ヴイエムウェア株式会社 〒105-0013 東京都港区浜松町 1-30-5 浜松町スクエア 13F www.vmware.com/jpCopyright © 2018 VMware, Inc. All rights reserved. 本製品は、米国および国際的著作権法および知的財産法によって保護されています。VMware 製品は、https://www.vmware.com/go/patents のリストに表示されている 1 件または複数の特許対象です。VMware は、米国およびその他の地域における VMware, Inc. およびその子会社の登録商標または商標です。ほかのすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。 アイテム No.:CS-0072_Deploying_NSX_Overlay_on_ACI_Underlay_WP E:2018/10 J:2019/02

    本資料は原題「DEPLOYING NSX DATA CENTER WITH A CISCO ACI UNDERLAY」の翻訳版です。

    https://www.vmware.com/jphttps://www.vmware.com/jp

    次世代のデータセンターにおけるソフトウェアの役割ファブリックベースのインフラストラクチャによる仮想および物理ネットワーク インフラストラクチャの最適化Cisco ACI アンダーレイを強化する NSX Data Center暗黙的なネットワークおよびセキュリティ サービスのメリット:組み込みと後付けの違いACI の役割 NSX Data Center の役割NSX Data Center の展開へ向けた Cisco ACI アンダーレイの準備ファブリック ポリシーおよびオブジェクト ACI テナント オブジェクト

    運用上のメリットインフラストラクチャ トラフィックの分離NSX の論理スイッチおよびルーティングのメリットインフラストラクチャの運用作業の最小化

    ACI アンダーレイ上で VMware NSX を展開するメリット