データ センター ネットワーク アーキテクチャ Cisco ACI の動向と戦略

マイク・ハーバート インシーム プリンシパル エンジニア

Cisco Confidential 2 ©2014 Cisco and/or its affiliates. All rights reserved.

IT 課題と機会

IT’の予算

必要性

: IT

の簡素化

急速に変化するビジネス ニーズとITのより良い関係を保つため、 データ センターおよびクラウド インフラストラクチャのダイナミックかつ自動化された

ポリシー ベース制御が必要です。

お使いのアプリケーションの DNA は何ですか？

3

FUTURE < 2000 2003 2006 2008 2010 2012 2013 2014 2011

?

開発部門による アプリケーション開発 の仕方が変化している

開発部門

一回の構成ですべてを稼働

1回の構築で

どこででも稼働

容量とコスト : ムーアの法則の影響

スイッチ ASICs

X86 CPUs

2013 2014/15 2015+

28nm 16nm 65nm シスコ

40nm 28nm 65nm その他

14nm 22nm Intel

DC

PODs

DC Core

既存の 3-TIER デザイン プログラマブル SDN オーバーレイ モデル

APIC

APPLICATION CENTRIC INFRASTRUCTURE

ネットワーク 仮想化 Application Centric Infrastructure 既存の 2-Tier & 3-Tier デザイン

最新のデータ センターを稼働する顧客の選択

最新のオペレーティング システム

プログラマブル オープン APIs

Linux コンテイナーズ

L2 & L3 最高通信速度

オーバーレイ / アンダーレイ

VXLAN / BGP コントロール プレーン

3rdパーティ コントローラー

全てのハイパー バイザー

物理と仮想

オープンAPI’sとコントローラー

広く、深い、エコシステム

モジュラー 運用の

容易性

オープン 3rd パーティ

APPS プログラマブル 開発部分の

準備

POAP ONIE NXAPI

Linux/Python

Daemon

Standard Open Interfaces

標準オープン インターフェイス

Automation and Visibility

Adaptable NXOS

NXOS適合 自動化と 可視性

BootStrap and Provisioning BootStrap と プロビジョニング

Package and Application Management

パッケージと アプリケーション管理

Server Management Tools

サーバー 管理ツール

PXE

NX-OS 革新 開発部門の有効化

VXLAN ベース セキュア マルチテナント ネットワーク セグメント

テナント 3:

顧客 A

テナント 1:

インターナル

エンジニアリング

テナント 2:

DMZ

テナント 4:

パートナー B

ホスト 3

アプリケーション 1

(物理)

ホスト 1 ホスト 2

アプリケーション 2

(物理) VM VM VM

ホスト 4

VM VM VM

セキュア マルチテナンスベースVXLAN

ハードウェア ベース VXLAN オーバーレイ

VXLAN ゲートウェイ

Cisco NEXUS 9500

Cisco NEXUS 9300

Application Centric Infrastructure (API) 紹介

拡張性、セキュリティ、完全な可視性をもったネットワーク上のアプリケーションの迅速な導入

Cisco ACI

APPLICATION CENTRIC

POLICY コントローラー Cisco NEXUS 9500 と 9300

次世代サービスを可能にする Cisco ACI

アプリケーション プロファイル

• アプリケーション ネットワーク

プロファイル

マルチ テナント

セキュリティとサービス

• セキュリティ プロファイル

• デバイス パッケージ

接続性と可視化

• 一貫性 & 俊敏性

• 既存からの移行

Application

Network

Profiles

APP DB WEB

オープン

デバイス

パッケージ

SECURITY

POLICIES ADC

F/W

ADC

APPLICATI

ON L4-L7

SERVICES

CONNECTIVI

TY POLICY

QOS

BANDWIDTH

RESERVATION

AVAILABILITY

HYPERVISOR

HYPERVISOR

HYPERVISOR

HYPERVISOR

Cisco ACI: アプリケーションのニーズをネットワークに変換

? • VLAN

• IP アドレス

• サブネット

• ファイアウォールQuality of Service

• ロードバランサ

• アクセス リスト

• アプリケーション ティア ポリシーと

依存関係

• セキュリティ要件

• セキュリティ レベル アグリーメント

• アプリケーション パフォーマンス

• コンプライアンス

• 場所の依存関係

APPLICATION LANGUAGE NETWORK LANGUAGE

APIC

#1 – アプリケーション セントリック ポリシー モデル

DB APP ADC

WEB F/W

ADC

#1 – アプリケーション セントリック ポリシー モデル

物理ネット ワーキング

L4–L7 サービス

マルチ DC WAN および クラウド

コンピュート ストレージ ハイパー バイザ＆仮想ネット ワーキング

APIC

#2: 俊敏性—物理、仮想、 クラウド

APP MOBILITY

#2: 俊敏性—物理、仮想、 クラウド

APP VISIBILITY

遅延

ヘルス

スコア

分離

システム

テレメトリ 25 Packets

dropped

遅延

ヘルス

スコア

分離

システム

テレメトリ 0 Packets

dropped

テナント アプリケーション

#3: オープン (そしてセキュア!)

オープン ソース

オープン スタンダード

オープン

インターフェース

OpFlex NSH VXLAN

JSON XML OpFlex REST

WITH ADVANCED SECURITY

監査

ポリシー

RBAC

暗号化

テナント分離

+

次世代のデータ センターに有効な セキュリティ アーキテクチャとは?

仮想化

中心 物理環境

未サポート

限られた

可視性

管理の

複雑化

アプリケーション

中心 どのワークロードを

どこの場所にも

完全な

可視性 自動化

境界中心 手動、複雑 ミスを

起こしやすい 静的な

トポロジ

限られた

場所

セキュリティのための アプリケーション セントリック ポリシー モデル

アプリケーション

ポリシーの

コンポーネント

エンド ポイント グループ:

同一ポリシーを持つ

エンド ポイント (仮想マシン/

サーバ) の集まり

Contracts:

エンド ポイント グループ間の通信ルールの集まり

Service Chains:

エンド ポイント グループ間のネットワーク サービスの

集まり

OUTSIDE

WEB APP DB CRM

APP

ADC F/W

ADC

Contract Contract

Cisco ACI 分散型ファイアウォール East-West トラフィックの最適化

Firewall at Each

Leaf switch

サーバ (物理または仮想)

組み込まれたファイアウォールと

Cisco ACI ファブリック 中央型 ファイアウォール

Central Firewall

データ センター

アクセス/アグリゲーション

ネットワーク

トラフィックを操作し、ポリシーの適用は中央で

スケールの妨げになる可能性

ポリシーはネットワークに固定(例: IP アドレス)

ファイアウォールは全てのサーバポートに接続

ラインレートでポリシー適用

ポリシーはワークロードに追従

Cisco ACI: 分離とセグメンテーションを実現

ACI ファブリック (ステートレスFW) L4-7 セキュリティ サービス

コンテキスト(VRF)を

ベースとしたテナント分離

スケーラブルで統合された

ポリシー管理

ホスト 3

アプリケーション 1

(物理)

ホスト 1 ホスト2

アプリケーション 2

(物理) VM VM VM

ホスト 4

VM VM VM

エンド ポイント

グループ ベースの

マイクロ

セグメンテーション

テナント3:

Customer A

テナント1:

Internal Engineering テナント2:

DMZ

テナント4:

Partner B

ADC fw

Cisco APIC によるサービス挿入の自動化

APP DB WEB EXTERNAL

Cisco APIC ポリシー モデル

エンド ポイント グループ(EPG): アプリケーションにおいて、同一の役割を持つエンド ポイントの集まり。エンド ポイントは仮想マシン、VNICs、 IP、 DNS名等を示す

アプリケーション プロファイル: エンド ポイント グループと、エンド ポイント グループ間の通信を定義したポリシーの集まり

アプリケーション プロファイル

Policy Policy Policy

Cisco ACI: オープンなセキュリティ フレームワークと 幅広いセキュリティ エコシステムの提供

幅広いエコシステムによる選択

投資保護

深いセキュリティ戦略による防御をサポート

セキュリティ アプリケーション (コンプライアンス, SIEM, セキュリティ分析 etc.)

APIC

エンド ツー エンドでのセキュリティ

ACI

ファブリック ホスト

ファイアウォール

IDS / IPS DDoS

Open Standard

OPFLEX

Open Device

Interface

Open REST APIs

ACI ファブリック

Microsoft System Center | R2 w/ Service Provider Foundation

Azure Pack GUI

Websites, Apps, Database, VMs, ACI

Provider Portal Consumer

Self-Service Portal

Websites VMs SQL Service Bus Future

Services

ポリシー 管理: APIC / Azure Pack

VM ディスカバリ: OpFlex

カプセル化: VLAN, NVGRE

ハードウェア ブートストラップ

サービス挿入 (物理 / 仮想)

ACI PROVIDER SERVICE

OpFlex Driver

Cisco ACI OpenStack Integration – Group Based Policy

2

Cisco ACI 管理者

(物理ネットワーク管理、

テナント状態をモニター)

L/B

EPG

APP

EPG DB F/W

L/B

EPG

WEB

アプリケーション ネットワーク プロファイル

アプリケーションポリシーの作成

3

5 Cisco ACI

ファブリック

ポリシーを

プッシュ

OpenStack テナント

(Step 1,4 を実施) 仮想マシンの起動

Web Web Web Web App App 4

アプリケーション ネットワーク

プロファイルの作成

1

DB DB

HYPERVISOR HYPERVISOR HYPERVISOR

NOVA

NEUTRON

自動的にネットワーク

プロファイルをAPICにプッシュ

L/B

EPG

APP

EPG DB F/W

L/B

EPG

WEB

アプリケーション ネットワーク プロファイル

APIC

APIC 管理者

VI/Server 管理者 VMを

ポートグループに接続

L/B

EPGAP

P

EPG DB F/W

EPG

WEB

アプリケーション ネットワーク プロファイル

アプリケーションポリシーの作成

Web Web Web App

HYPERVISOR HYPERVISOR

VIRTUAL DISTRIBUTED SWITCH

WEB PORT

GROUP

APP PORT GROUP

DB PORT GROUP

vCenter

Server

8

5

1

9 Cisco ACI

ファブリック

自動的に EPG と

ポートグループを

マッピング

ポリシーを

プッシュ

VDSの作成 2

Cisco APIC と VMware

vCenter を接続

6

DB DB

7 ポートグループの

作成

Cisco ACI Hypervisor Integration– VMWare DVS

APIC

3

ハイパーバイザを

VDSに接続

4 ESXの場所を

LLDPから学習

ハイパー バイザ vs. Linux コンテナ

ハードウェア

オペレーティング システム

ハイパーバイザ

仮想マシン

Operating

System

Bins / libs

App App

仮想マシン

Operating

System

Bins / libs

App App

ハードウェア

ハイパー バイザ

仮想マシン

Operating

System

Bins / libs

App App

仮想マシン

Operating

System

Bins / libs

App App

ハードウェア

オペレーティング システム

コンテナ

Bins / libs

App App

コンテナ

Bins / libs

App App

Type 1 ハイパー バイザ Type 2 ハイパー バイザ Linux コンテナ(LXC)

コンテナは ホストのOS カーネル を共有するため、軽量。

ただし、各コンテナは同一の OS カーネル を持たなければいけない

コンテナは隔離されているが、OSを共有し、必要に応じてlibs / bins を共有している

SECURITY

Trusted

Zone

DB

Tier DMZ

External

Zone

APP DB WEB EXTERNAL

ACI

ポリシー

ACI

ポリシー

ACI

ポリシー

27

One Network for Everything

FW

ADC

仮想マシン Docker コンテナ ベアメタル サーバ

27

ハイパーバイザ ハイパーバイザ ハイパーバイザ

アプリケーション ネットワーク プロファイル

ACI Fabric – DC 01 ACI Fabric – DC 02

Docker ベース Web アプリケーション Docker ベース Web アプリケーション

ACI Application Network Profile

データ センター 01 データ センター 02

Elastic Compute and Next Generation Workload Mobility

Cisco ACI – オペレーションの変革 Industry’s Complete SDN Solution

どのインターフェースでも

• 物理と仮想

• データ インターフェース : vNIC & pNIC

• vMotion / 管理 / 耐障害性

• STT / NVGRE / VXLAN / VLAN / RAW

Cisco ACI ポリシー :ネットワークの変革

• 進化 : L2aaS、セキュリティ、 App プロファイル

• 共有サービス : DNS / DHCP / vMotion

• 管理 / 耐障害性 / IP Sストレージ

• 独自なカプセル化 STT

Nexus 7000 DCI

Nexus 9300

既存の Nexus

Catalyst AVS

Competitors IP Fabric

ASR 9k DCI

VSS VDS NSX N1KV OVS OVS AVS Hyper-V

OPFLEX

Bare Metal

STT OPFLEX OPFLEX

Linux Container

NVGRE / OPFLEX

Data, Mgmt. Bridge & Live Migration

OPFLEX

インターフェース, VLAN, 物理, 仮想

Data, Mgmt, and vMotion

データ センター自動化と IT コラボレーション 現在: 直列な設定作業と管理

マニュアル プロセスは展開にかかる時間を増加させる

ネットワーク コンピュート サービス セキュリティ アプリケーション

要求

ポリシー違反 設定のミスマッチ

展開の

完了

アーキテクト デザイン コンピュート サービス

リクエスト サービス セキュリティ ネットワーク

アプリケーション

利用可能

展開の開始

データ センター自動化と IT コラボレーション Cisco ACI: 共通のポリシー フレームワークとオペレーション モデル

アプリケーション

ポリシー

クラウド アプリケーション

コンピュート ネットワーク

ストレージ セキュリティ

ポリシー ベースの自動化

アプリケーション

要求

アプリケーション要求の定義

チームで

アプリケーション ポリシーと

テンプレートを作成

オペレーションチームは

低リスク、高スピードで展開

アーキテクト デザイン サービス

リクエスト アプリケーション

利用可能

展開の開始

Cisco IT ケーススタディ: SLA 向上とオペレーション コストの改善

アクセス コントロール リスト

グローバル サーバ ロード バランシング

ネットワーク

アクセス

ローカル

サーバ ロード

バランシング

1. Morgan Stanley CIO Survey, 2013 2. HP 3. Information Week 2013 Virtualization Mgmt Survey, 2013 4. Cisco Global Cloud Index Forecast (2013-2017)

生産性向上 | エラーの削減 | 俊敏性 | コンプライアンス/セキュリティ | 再利用可能

80%

14%

19%

38% Improved SLA

Minor Medium Complex

80%

21%

29%

43% Improved SLA

Minor Medium Complex

80%

14%

24%

39% Improved SLA

Minor Medium Complex

80%

NA%

7%

44% Improved SLA

Minor Medium Complex

ネットワーク プロビジョニング

Cisco IT ケーススタディ: Cisco ACI 導入価値概要

ネットワーク オペレーション、管理

データ センター ネットワーク コンピュート ストレージ

自動化による削減

プロビジョニング SLA 改善 58% コスト削減

データ センター アクセス

アクセス コントロール リスト

(ACL)

ローカル/グローバル

サーバロードバランシング

データ センター アクセス

アクセス コントロール

リスト(ACL)

ローカル/グローバル

サーバロード バランシング

38%

43%

41%

インシデント管理

問題管理

イベント管理

サービス管理

21% コスト削減

Type of Saving

CAPEX 削減

電力削減

スペース削減

26%

46%

19%

コンピュート 最適化

12% 最適化

20% 最適化

ストレージ (NAS) 最適化

Cisco ACI: シンプルでより良いアプローチ ACI

システム + ASIC + ソフトウェア

ハイパーバイザ/オープンソース/ オペレーショナル モデル 選択可能

スケールアウト パフォーマンス

システムアプローチ

セキュアなワークロード配置

アプリケーション可視化 + ヘルスメトリック

共通のポリシーモデル

物理 + 仮想

TCO の削減

シンプル

, スケール

, セキュリティ

“DIY” ベーススイッチ

ホワイト ボックス 汎用シリコン

従来の スイッチ

統合された ハードウェアと スイッチング ソフトウェア

ソフトウェア Only

仮想 オーバーレイ

VM ベース ポリシー

SDN LAN エミュレーション

VM モビリティ

アプリケーションと エンドポイントアウェア

スケールの制限

運用の混乱

ハイパー バイザーに依存

Today –> End of CY14 Future Future

幅広く、より拡大するオープン エコシステム

Extending Policy Across DC, WAN, and Access

APIC-

DC

データ センター

APIC-

DC

データ センター WAN

サービス プロバイダー

NFV

VPN

Cloud

APIC-

WAN

アクセス

APIC-

EM

アクセス

APIC-

EM

APIC

API

APIC プラットフォーム横断の

ユニファイド ポリシー API

エンド ツー エンドの

ネットワーク オーケストレーション

Cisco Confidential 37 © 2013-2014 Cisco and/or its affiliates. All rights reserved.