Cisco Connect Japan 2014: 実践 Cisco ACI (Application Centric Infrastructure)

実践 Cisco ACI (Application Centric Infrastructure) : 従来のデータセンター運用がどう変わるか？

CC4-5 シスコシステムズ合同会社

データセンター/バーチャライゼーション事業

データセンタースイッチングプロダクトマネージャ

及川尚

テクニカルソリューションズアーキテクト

水島勇人

1

Cisco and/or its affiliates. All rights reserved. Presentation_ID Cisco Public

アジェンダ

Cisco ACI ステータスアップデート

Cisco ACI レビュー – Cisco ACI のコンセプトとテクノロジーの再確認

Cisco ACI ユースケース – 物理ネットワーク管理自動化 – ネットワーク自動化, 仮想基板連携 – アドバンスドネットワークセキュリティ

Cisco ACI ケーススタディまとめ

Cisco ACI ステータスアップデート


Cisco ACI & Cisco Nexus 9000 の今とこれから

2HCY13 1HCY14 2HCY14 1HCY15 2HCY15

N9300 1RU

Release Sep, 14’

ACI Announce

N9500 Release Nov, 14’

N9300 Releas

e Mar, 14’

ACI/APIC Release Jul,14’

1RU ACI Leaf Jan,15’

1st ACI Major Update

’

2nd, ACI Major Update 2HCY15

F5 Citrix


Cisco ACI : マーケットにおける状況

Nexus 9000/ACI APIC Open ACI

Ecosystem

730+ 顧客… 45日で95の顧客に販売済み! 33 のエコシステム

パートナー。現在も拡張中!

• 異なる地域、セグメントの顧客で採用済み

• 迅速なチャネルパートナーの拡張

• 価格とパフォーマンス、機能のバランスの良さが多くの顧客ニーズにマッチ

APIC

APPLICATION

COMPUTE NETWORK

CLOUD

STORAGE SECURITY

Cisco ACI レビュー


Cisco Application Centric Infrastructure

APIC

Physical Networking

Compute Multi DC WAN and Cloud

L4–L7 Services

Storage

Integrated WAN Edge

Hypervisors and Virtual Networking

Nexus 9500

Nexus 9300 and 9500

Nexus 2K

Nexus 7K


アプリケーション開発者とインフラ管理者間の障壁

8

開発チーム

アプリケーションレイヤ

サービス、提供、消費の関係

インフラチーム

VLANs

サブネット

プロトコル

ポート

アプリケーション開発者の言葉をインフラ管理者の言葉に翻訳して、実装を行う必要性

ACL


アプリケーションの自由な配置アプリケーションネットワークプロファイル

APIC

ADC APP DB F/W ADC

WEB

HYPERVISOR HYPERVISOR HYPERVISOR

CONNECTIVITY POLICY

SECURITY POLICIES QOS

STORAGE AND

COMPUTE

APPLICATION L4..7

SERVICES

SLA QoS Security Load Balancing

APP PROFILE


アプリケーションネットワークプロファイル

アプリケーション構成要素の相互の依存性アプリケーションの接続要件をその構成要素の誰が誰に話すかで定義

DB サーバ群

App サーバ群

Web サーバ群

ユーザ

EPG EPG EPG EPG Contract Contract Contract

ポリシー: アプリケーション中心のネットワーク要件の定義


マルチハイパーバイザ対応ファブリック

• VLAN, VxLAN, そして

NVGRE に対応した統合型

ゲートウェイを実装し仮想、

物理間の通信でも各種カプ

セル化の違いを吸収

• ハイパーバイザ、カプセル化

の違いによるネットワーク分

離が発生しない

仮想、物理の統合 Network Admin

Application Admin

PHYSICAL SERVER

VLAN VXLAN

VLAN NVGRE

VLAN VXLAN

VLAN

ESX Hyper-V KVM

Hypervisor Management

ACI Fabric APIC

APIC


ACI : Layer 4 - 7 サービスインテグレーション

• 仮想、物理アプライアンスを問わない一貫したサービス連結のプラットフォームを提供

• ポリシーは集中管理

• 複数のオペレーションモデルを提供 • 従来型 • サードパーティ、マルチベンダ統合

• 一貫したポリシーアーキテクチャ

• 仮想、物理 • ポリシーは完全にポータブル

Web Server

App Tier A

Web Server

Web Server

App Tier B

App Server

Chain “Security 5”

Policy Redirection

Application Admin

Service Admin

Ser

vice

G

raph

begin end Stage 1

….. Stage N

Pro

vide

rs inst

inst

…

Firewall

inst

inst

…

Load Balancer

……..

Ser

vice

Pro

file

“Security 5” Chain Defined


Cisco ACI のポイント

13

物理、仮想の統合ポリシーモデル • 高度な自動化

• シンプルなオペレーション • スケーラビリティ

DEMO ポリシーモデル


データセンターに新たなサーバ 2 台を展開する

• Web サーバ、端末 2 台を DC に展開する • その間を PING / Web のみで通信ができるようにする

Webサーバ 192.168.1.1

端末 192.168.2.1

EPG

TERMINAL

EPG WEB

Contract “ICMP”

Contract “http”

Webサーバ 192.168.1.1

端末 192.168.2.1

Cisco ACI ユースケース 1: 物理ネットワーク管理自動化


従来型ネットワークの物理インフラ管理手法

マニュアルでのオペレレーション、Opexの増大

アップグレード手順 1. ファームウェアのダウンロード 2. ブートローダの変更 3. 再起動 4. コンフィグの整合性の確認 5. 疎通確認

機器追加、交換手順 1. コンフィグの用意 2. ファームウェアのダウンロード 3. ブートローダの設定 4. 起動 5. コンフィグの整合性の確認

インベントリ管理 • コマンドで部材、シリアル番号を

取得Excel等で管理 • 高価な管理ソリューションの導入 • 自社で管理ツールの開発


ACI による物理インフラの管理アップグレード手順 • APICで各ノードのファームウェアバ

ージョンを指定 • ローリングアップデート等、管理者の

判断による適切な流れでのアップグレード、ダウングレード

• 設定はコンフィグファイルではなくポリシーのDBを自動ダウンロード

交換手順手順 • 機器を交換し APIC からノードの追加

を指定 • ファームウェア、DB の Sync が自動

的に行われる

インベントリ管理 • シリアル番号等すべての情報を

APICで自動管理

APICによる統合管理：ポリシー、データモデルによる個別コンフィグが不要に


従来型ネットワークと ACI との比較: 機器の交換

19

従来型ネットワーク

ステップ 1

コンフィグの用意

ステップ 4

FWインストール

ステップ 5

コンフィグインストール

ステップ 3

機器の交換、設置

ステップ 6

疎通、動作確認

ACI

ステップ 0 機器の故障

ステップ 0 機器の故障

ステップ 1

機器の交換、設置

ステップ 2

疎通、動作確認デバイスの発見 FWロードポリシー同期

APIC

2 ステップ

ステップ 2

FWの用意

6 ステップ


ACI による物理層管理：ビジネスベネフィット

20

ベネフィット

FWのロード自動化

自動化されたコネクティビティセットアップ

デバイス、インベントリを集中管理

トポロジー、デバイス自動発見

物理ノードの集中管理

ポリシーベース、コンフィグレス

ACI アドバンテージ

自動化

APIC

機器追加、交換作業の自動化

ダウンタイムの削減

迅速かつ正確なインベントリ管理

オペレータのスキルへの非依存

Cisco ACI ユースケース 2: ネットワーク自動化, 仮想基板連携


ACI ファブリック：高度に自動化されたネットワーク

VLAN

L2/L3プロトコル

• L2/L3 プロトコル等の基本設定

• L3 のゲートウェイ、ACL 等のセキュリティ設定

• ホストの追加、削除の際の VLAN 等アクセス設定もしくはプリプロビジョニング

VLAN

L3 ACL

APIC

自動化された IS-IS/VXLAN

• 自動化されたトポロジーの発見とセットアップ

EPG WEB

EPG

DB

• エンドポイントの発見、ポリシー、コネクティビティの自動的用

EPG-Web EPG-DB

VXLAN-15000

VLAN 500

• エッジプロトコルの自動変換


vCenter DVS SCVMM

APIC と仮想マシン管理マネージャ(VMM) との間で連携

複数の VMM を単一の ACI で連携することも可能

それぞれの VMM とそこで管理されている仮想マシンはグループ化され、それを VMM ドメインと呼ぶ

ハイパーバイザ上の仮想スイッチはVMM ドメインと一対一の関係を持つ

FCS 時点では VMware ｖCenter とDVS,もしくは vCenter と Cisco AVSの 2 つの構成がサポートされる。Microsoft SCVMM/Hyper-V との連携の予定あり

VMM Domain 1

ACI と VMM/ハイパーバイザ連携

vCenter AVS

VMM Domain 2 VMM Domain 3

23

APIC


L/B

EPGAPP

EPG DB F/W

EPG

WEB

Application Network Profile

VM VM VM

WEB PORT GROUP

APP PORT GROUP

DB PORT GROUP

ACI とハイパーバイザの統合 ACI ファブリックのポリシーは仮想ネットワーク上で EPG （End Point Group/エンドポイントグループ) と EP (End Point/エンドポイント) をマッピングすることによって実装される

仮想環境において vNIC が EP と同義になる

VMM はネットワーク設定を vNIC をポ

ートグループに含めることによって適用する

EPG は VMM へ EPG 自体をポート

グループとして情報をプッシュすることにより、EPG とポートグループとの 1:1の関係を作る

これにより、ACI ファブリックのポリシ

ーが整合性を持って仮想環境に適用され、高度な自動化が可能になる

24

APIC


ACI によるネットワーク自動化/仮想基板連携：ビジネスベネフィット

25

ベネフィット

VLAN等従来の技術の制限に縛られない柔軟なネットワーキング

仮想ネットワーク環境との整合性、自動化

ネットワーク、アプリケーションチームの協調

エンドツーエンド接続設定の簡素化

ネットワークエレメントの自動化

VMMとのシームレスな連携


マルチカプセル化、マルチハイパーバイザサポート

APIC

アプリケーション展開時間の削減

ハイブリッド、マルチベンダ

Opexの削減

Cisco ACI ユースケース 3: アドバンスドネットワークセキュリティ


ネットワーク、セキュリティ/オペレーションの課題

App-A App-B App-C • アプリケーション、ノード、サブ

ネット、ポリシーに追加、変更があった際に ACL もそれに合わせて変更→煩雑な作業

• 複数、大量のテナント、アプリ

ケーションのポリシーがひとつの ACL にまとめられている→オペミスによる障害、影響範囲大

• 数百のアプリを稼働させるデー

タセンターでは１万を超える行のACLも珍しくない

ACL

複雑、煩雑な管理、高度な技術力が必須、頻繁な変更、オペミス

に対して脆弱、高コスト


ACE の問題：再利用不可能なポリシーフレームワーク

ポリシー

TCP:80

送信元宛先

172.16.1.0/24 192.168.1.0/24

• ACL は一つのステートメントにアドレスとポリシーが記述 • それぞれの要素は密結合され再構成が不可能 • ポリシーやアドレスの変更が必要な場合その ACL は破棄し、書きなおさな

ければならない。


ACL の問題：大量のアプリケーションが単一のポリシーで管理

29

Seq 40

Seq 50

Seq 60

Seq 70

Seq 80

Seq 90

Seq 100

ACE for App A Seq 10

Seq 20

Seq 30

ACE for App B

ACE for App C

ACE for App D

ACE for App E

ACE for App F

ACE for App G

ACE for App H

ACE for App I

ACE for App J

ACL • 複数のアプリケーションに関する

ネットワークポリシーがひとつのACL に含有

• ACL は ACE を上から順番にチェックするため、ACE の書き方を間違えると、それ以降のエントリーに影響があり、必要な通信が止まったり、通したくない通信を通してしまう。

• ACL への ACE の追加、変更、削除は恒常的に行われ、増大傾向にあるため依存関係の整合性整合性を保つことは極めて難しい。

ACE for App X Seq 35


ネットワークセキュリティの現状、困難性

• ACL はさらにネットワークの様々な場所に配置し、設定するインターフェース、方向、それぞれのACL 間の依存関係、整合性を保つ必要がある

• ACL をほとんど使用せず、すべてのトラフィックをファイアウォールで管理。しかし、これは膨大かつ複雑なルールをまとめただけ

• SDN/ソフトウェアベースオーバレイも同じ。フィルターをコントローラで管理し、ルールをカーネルベースで適用しても、管理の複雑性は変わらない。また、ベアメタルとの連携はスイッチ上の ACL が結局必要になり、より複雑に

SDN

• 複雑なルール運用を要するインフラではセキュリティの確保が極めて難しい


ACI : アプリケーションネットワークプロファイル柔軟なポリシーフレームワーク

31

EPG-A EPG−Y コントラクト X

コントラクト Y EPG-B EPG−Z

コントラクト X’

• EP (エンドポイント）, EPG, コントラクトの組み合わせによってポリシーを構成

• 一貫したルールでポリシーを構成しつつ、構成変更の柔軟性を担保

ネットワークポリシー（アプリケーションネットワークプロファイル）


ACI : アドバンストネットワーク、セキュリティ

テナントごと、アプリケーションごとに独立したポリシー管理

WEB APP DB

F/W ADC

ADC APP APP APP W EB W EB W EB

DB DB DB

WEB APP DB

F/W ADC


DB DB DB

WEB APP DB

F/W ADC


DB DB DB

WEB APP DB

F/W ADC


DB DB DB

APIC

APIC がインフラのポリシーを物理仮想問わず一元的に管理

アプリケーションプロファイルの追加、変更、削除が他のテナントやアプリケーションに影響しないテナント、アプリケーションが増えても、他への影響を心配せず、セキュアかつシンプルなオペレーションが可能

WEB APP DB

F/W ADC


DB DB DB

WEB APP DB

F/W ADC


DB DB DB

WEB APP DB

F/W ADC


DB DB DB

WEB APP DB

F/W ADC


DB DB DB


ACI : アドバンテージとビジネスベネフィット

ベネフィット

作業工数の削減

アプリ、テナントの集約率向上

大規模環境においてもシンプルなオペレーションを維持

オペレーションミスの削減

物理、仮想の統合

ポリシーリポジトリの一元管理


アプリケーションプロファイルによるポリシーの一貫性

APIC

セキュリティの向上

オペレーションコストの削減

サービスレベルの向上

迅速なアプリケーションの展開

Demo

34


仮想基盤との連動（vCenter）

EPG WEB

DB仮想マシン

EPG APP

EPG DB

App仮想マシン 192.168.2.2

Web仮想マシン 192.168.1.2

10.10.10.10

WAN

外部ネットワーク 10.10.10.10

OnlineStore

Cisco ACI ケーススタディ


Cisco Application Centric Infrastructure : ケーススタディ

• UAE のトップ総合テレコムサービスプロバイダー

• 中東地域で最も成長を遂げている企業

• 15+ のデータセンターをACI で２つの DC に統合

• セキュリティフォーカスの大規模エンタープライズ

• 共通のポリシーを利用しつつもマルチテナント化

• スケールアウトアーキテクチャ：ACIを既存データセンターの拡張に利用

• パブリッククラウドにおけるマルチテナント、マネージドホスティングサービスとディザスタリカバリーを提供

• グローバル展開

• ネットワークの自動化を ACI で実現。それぞれのデータセンターで 20K+ ポートを利用し仮想、物理のサーバを運用


ACI@DU

ACI によって解決された課題インフラのスケーラビリティ電力消費に効率化 (冷却のための膨大なコスト) アプリケーションモビリティ帯域の向上（40Gを10Gの価格で) マルチハイパパイザーサポート Capexの削減オペレーションの簡素化

UAE における総合テレコミュニケーションサービスプロバイダー。中東地域を拠点に急速に成長中

15 以上のデータセンターを 2 つに ACI で統合

DU の ACI の構成は以下のとおり:

2 Spines (9508) 144 ToRs (9396-PX) 3 APIC Clusters ASR9K for DCI Citrix SDX for Services Insertion NAM UC on UCS


IPTV – 一般、ビジネスユーザへの有料テレビテレビサービス. SD/HD共にマルチキャスト上で実

社内 IT – CRM, ERP, BES, Email, 等々

HMC (Hosted Messaging and Collaboration) – MS Exchange/SharePoint, ドメインホスティング、ストレージサービス

HCS – ビジネスユーザ向けの音声、ビデオサービス（Cisco Business Voice Serviceを利用）.

テレコム – モバイル＆データサービス（2G (EDGE), 3G (HSPA) そして 4G (LTE) ローミングサービス含む）

ACI 上でデリバリーされているサービス


ネットワーク構成


ネットワーク構成


Meydan DC Fabric Topology


今日のまとめ

ネットワーク自動化VMMとの連携

物理ネットワーク管理自動化

アドバンスドネットワークセキュリティ

• アップグレード、機器の追加作業の自動化、効率化 • インベントリ管理の自動化、効率化

• エンドツーエンドのL2/L3のネットワーク接続 • 導入実績のあるソリューション

• 柔軟なポリシー管理、複雑性の増大の抑制 • 大規模環境でもシンプルな運用を維持

APP CENTRIC POLICY MODEL APIC

物理、仮想の統合、アプリケーションセントリックポリシーモデルによる、新たなオペレーション

Technology

Cisco Connect Japan 2014: 実践 Cisco ACI (Application Centric Infrastructure)