View
1.236
Download
1
Embed Size (px)
Citation preview
データ センター ネットワーク アーキテクチャ Cisco ACI の動向と戦略
マイク・ハーバート インシーム プリンシパル エンジニア
Cisco Confidential 2 ©2014 Cisco and/or its affiliates. All rights reserved.
IT 課題と機会
IT’の予算
必要性
: IT
の簡素化
急速に変化するビジネス ニーズとITのより良い関係を保つため、 データ センターおよびクラウド インフラストラクチャのダイナミックかつ自動化された
ポリシー ベース制御が必要です。
お使いのアプリケーションの DNA は何ですか?
3
FUTURE < 2000 2003 2006 2008 2010 2012 2013 2014 2011
?
開発部門による アプリケーション開発 の仕方が変化している
開発部門
一回の構成ですべてを稼働
1回の構築で
どこででも稼働
容量とコスト : ムーアの法則の影響
スイッチ ASICs
X86 CPUs
2013 2014/15 2015+
28nm 16nm 65nm シスコ
40nm 28nm 65nm その他
14nm 22nm Intel
DC
PODs
DC Core
既存の 3-TIER デザイン プログラマブル SDN オーバーレイ モデル
APIC
APPLICATION CENTRIC INFRASTRUCTURE
ネットワーク 仮想化 Application Centric Infrastructure 既存の 2-Tier & 3-Tier デザイン
最新のデータ センターを稼働する顧客の選択
最新のオペレーティング システム
プログラマブル オープン APIs
Linux コンテイナーズ
L2 & L3 最高通信速度
オーバーレイ / アンダーレイ
VXLAN / BGP コントロール プレーン
3rdパーティ コントローラー
全てのハイパー バイザー
物理と仮想
オープンAPI’sとコントローラー
広く、深い、エコシステム
モジュラー 運用の
容易性
オープン 3rd パーティ
APPS プログラマブル 開発部分の
準備
POAP ONIE NXAPI
Linux/Python
Daemon
Standard Open Interfaces
標準オープン インターフェイス
Automation and Visibility
Adaptable NXOS
NXOS適合 自動化と 可視性
BootStrap and Provisioning BootStrap と プロビジョニング
Package and Application Management
パッケージと アプリケーション管理
Server Management Tools
サーバー 管理ツール
PXE
NX-OS 革新 開発部門の有効化
VXLAN ベース セキュア マルチテナント ネットワーク セグメント
テナント 3:
顧客 A
テナント 1:
インターナル
エンジニアリング
テナント 2:
DMZ
テナント 4:
パートナー B
ホスト 3
アプリケーション 1
(物理)
ホスト 1 ホスト 2
アプリケーション 2
(物理) VM VM VM
ホスト 4
VM VM VM
セキュア マルチテナンスベースVXLAN
ハードウェア ベース VXLAN オーバーレイ
VXLAN ゲートウェイ
Cisco NEXUS 9500
Cisco NEXUS 9300
Application Centric Infrastructure (API) 紹介
拡張性、セキュリティ、完全な可視性をもったネットワーク上のアプリケーションの迅速な導入
Cisco ACI
APPLICATION CENTRIC
POLICY コントローラー Cisco NEXUS 9500 と 9300
次世代サービスを可能にする Cisco ACI
アプリケーション プロファイル
• アプリケーション ネットワーク
プロファイル
マルチ テナント
セキュリティとサービス
• セキュリティ プロファイル
• デバイス パッケージ
接続性と可視化
• 一貫性 & 俊敏性
• 既存からの移行
Application
Network
Profiles
APP DB WEB
オープン
デバイス
パッケージ
SECURITY
POLICIES ADC
F/W
ADC
APPLICATI
ON L4-L7
SERVICES
CONNECTIVI
TY POLICY
QOS
BANDWIDTH
RESERVATION
AVAILABILITY
HYPERVISOR
HYPERVISOR
HYPERVISOR
HYPERVISOR
Cisco ACI: アプリケーションのニーズをネットワークに変換
? • VLAN
• IP アドレス
• サブネット
• ファイアウォールQuality of Service
• ロードバランサ
• アクセス リスト
• アプリケーション ティア ポリシーと
依存関係
• セキュリティ要件
• セキュリティ レベル アグリーメント
• アプリケーション パフォーマンス
• コンプライアンス
• 場所の依存関係
APPLICATION LANGUAGE NETWORK LANGUAGE
APIC
#1 – アプリケーション セントリック ポリシー モデル
DB APP ADC
WEB F/W
ADC
#1 – アプリケーション セントリック ポリシー モデル
物理ネット ワーキング
L4–L7 サービス
マルチ DC WAN および クラウド
コンピュート ストレージ ハイパー バイザ&仮想ネット ワーキング
APIC
#2: 俊敏性—物理、仮想、 クラウド
APP MOBILITY
#2: 俊敏性—物理、仮想、 クラウド
APP VISIBILITY
遅延
ヘルス
スコア
分離
システム
テレメトリ 25 Packets
dropped
遅延
ヘルス
スコア
分離
システム
テレメトリ 0 Packets
dropped
テナント アプリケーション
#3: オープン (そしてセキュア!)
オープン ソース
オープン スタンダード
オープン
インターフェース
OpFlex NSH VXLAN
JSON XML OpFlex REST
WITH ADVANCED SECURITY
監査
ポリシー
RBAC
暗号化
テナント分離
+
次世代のデータ センターに有効な セキュリティ アーキテクチャとは?
仮想化
中心 物理環境
未サポート
限られた
可視性
管理の
複雑化
アプリケーション
中心 どのワークロードを
どこの場所にも
完全な
可視性 自動化
境界中心 手動、複雑 ミスを
起こしやすい 静的な
トポロジ
限られた
場所
セキュリティのための アプリケーション セントリック ポリシー モデル
アプリケーション
ポリシーの
コンポーネント
エンド ポイント グループ:
同一ポリシーを持つ
エンド ポイント (仮想マシン/
サーバ) の集まり
Contracts:
エンド ポイント グループ間の通信ルールの集まり
Service Chains:
エンド ポイント グループ間のネットワーク サービスの
集まり
OUTSIDE
WEB APP DB CRM
APP
ADC F/W
ADC
Contract Contract
Cisco ACI 分散型ファイアウォール East-West トラフィックの最適化
Firewall at Each
Leaf switch
サーバ (物理または仮想)
組み込まれたファイアウォールと
Cisco ACI ファブリック 中央型 ファイアウォール
Central Firewall
データ センター
アクセス/アグリゲーション
ネットワーク
トラフィックを操作し、ポリシーの適用は中央で
スケールの妨げになる可能性
ポリシーはネットワークに固定(例: IP アドレス)
ファイアウォールは全てのサーバポートに接続
ラインレートでポリシー適用
ポリシーはワークロードに追従
Cisco ACI: 分離とセグメンテーションを実現
ACI ファブリック (ステートレスFW) L4-7 セキュリティ サービス
コンテキスト(VRF)を
ベースとしたテナント分離
スケーラブルで統合された
ポリシー管理
ホスト 3
アプリケーション 1
(物理)
ホスト 1 ホスト2
アプリケーション 2
(物理) VM VM VM
ホスト 4
VM VM VM
エンド ポイント
グループ ベースの
マイクロ
セグメンテーション
テナント3:
Customer A
テナント1:
Internal Engineering テナント2:
DMZ
テナント4:
Partner B
ADC fw
Cisco APIC によるサービス挿入の自動化
APP DB WEB EXTERNAL
Cisco APIC ポリシー モデル
エンド ポイント グループ(EPG): アプリケーションにおいて、同一の役割を持つエンド ポイントの集まり。エンド ポイントは仮想マシン、VNICs、 IP、 DNS名等を示す
アプリケーション プロファイル: エンド ポイント グループと、エンド ポイント グループ間の通信を定義したポリシーの集まり
アプリケーション プロファイル
Policy Policy Policy
Cisco ACI: オープンなセキュリティ フレームワークと 幅広いセキュリティ エコシステムの提供
幅広いエコシステムによる選択
投資保護
深いセキュリティ戦略による防御をサポート
セキュリティ アプリケーション (コンプライアンス, SIEM, セキュリティ分析 etc.)
APIC
エンド ツー エンドでのセキュリティ
ACI
ファブリック ホスト
ファイアウォール
IDS / IPS DDoS
Open Standard
OPFLEX
Open Device
Interface
Open REST APIs
ACI ファブリック
Microsoft System Center | R2 w/ Service Provider Foundation
Azure Pack GUI
Websites, Apps, Database, VMs, ACI
Provider Portal Consumer
Self-Service Portal
Websites VMs SQL Service Bus Future
Services
ポリシー 管理: APIC / Azure Pack
VM ディスカバリ: OpFlex
カプセル化: VLAN, NVGRE
ハードウェア ブートストラップ
サービス挿入 (物理 / 仮想)
ACI PROVIDER SERVICE
OpFlex Driver
Cisco ACI OpenStack Integration – Group Based Policy
2
Cisco ACI 管理者
(物理ネットワーク管理、
テナント状態をモニター)
L/B
EPG
APP
EPG DB F/W
L/B
EPG
WEB
アプリケーション ネットワーク プロファイル
アプリケーションポリシーの作成
3
5 Cisco ACI
ファブリック
ポリシーを
プッシュ
OpenStack テナント
(Step 1,4 を実施) 仮想マシンの起動
Web Web Web Web App App 4
アプリケーション ネットワーク
プロファイルの作成
1
DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
NOVA
NEUTRON
自動的にネットワーク
プロファイルをAPICにプッシュ
L/B
EPG
APP
EPG DB F/W
L/B
EPG
WEB
アプリケーション ネットワーク プロファイル
APIC
APIC 管理者
VI/Server 管理者 VMを
ポートグループに接続
L/B
EPGAP
P
EPG DB F/W
EPG
WEB
アプリケーション ネットワーク プロファイル
アプリケーションポリシーの作成
Web Web Web App
HYPERVISOR HYPERVISOR
VIRTUAL DISTRIBUTED SWITCH
WEB PORT
GROUP
APP PORT GROUP
DB PORT GROUP
vCenter
Server
8
5
1
9 Cisco ACI
ファブリック
自動的に EPG と
ポートグループを
マッピング
ポリシーを
プッシュ
VDSの作成 2
Cisco APIC と VMware
vCenter を接続
6
DB DB
7 ポートグループの
作成
Cisco ACI Hypervisor Integration– VMWare DVS
APIC
3
ハイパーバイザを
VDSに接続
4 ESXの場所を
LLDPから学習
ハイパー バイザ vs. Linux コンテナ
ハードウェア
オペレーティング システム
ハイパーバイザ
仮想マシン
Operating
System
Bins / libs
App App
仮想マシン
Operating
System
Bins / libs
App App
ハードウェア
ハイパー バイザ
仮想マシン
Operating
System
Bins / libs
App App
仮想マシン
Operating
System
Bins / libs
App App
ハードウェア
オペレーティング システム
コンテナ
Bins / libs
App App
コンテナ
Bins / libs
App App
Type 1 ハイパー バイザ Type 2 ハイパー バイザ Linux コンテナ(LXC)
コンテナは ホストのOS カーネル を共有するため、軽量。
ただし、各コンテナは同一の OS カーネル を持たなければいけない
コンテナは隔離されているが、OSを共有し、必要に応じてlibs / bins を共有している
SECURITY
Trusted
Zone
DB
Tier DMZ
External
Zone
APP DB WEB EXTERNAL
ACI
ポリシー
ACI
ポリシー
ACI
ポリシー
27
One Network for Everything
FW
ADC
仮想マシン Docker コンテナ ベアメタル サーバ
27
ハイパーバイザ ハイパーバイザ ハイパーバイザ
アプリケーション ネットワーク プロファイル
ACI Fabric – DC 01 ACI Fabric – DC 02
Docker ベース Web アプリケーション Docker ベース Web アプリケーション
ACI Application Network Profile
データ センター 01 データ センター 02
Elastic Compute and Next Generation Workload Mobility
Cisco ACI – オペレーションの変革 Industry’s Complete SDN Solution
どのインターフェースでも
• 物理と仮想
• データ インターフェース : vNIC & pNIC
• vMotion / 管理 / 耐障害性
• STT / NVGRE / VXLAN / VLAN / RAW
Cisco ACI ポリシー :ネットワークの変革
• 進化 : L2aaS、セキュリティ、 App プロファイル
• 共有サービス : DNS / DHCP / vMotion
• 管理 / 耐障害性 / IP Sストレージ
• 独自なカプセル化 STT
Nexus 7000 DCI
Nexus 9300
既存の Nexus
Catalyst AVS
Competitors IP Fabric
ASR 9k DCI
VSS VDS NSX N1KV OVS OVS AVS Hyper-V
OPFLEX
Bare Metal
STT OPFLEX OPFLEX
Linux Container
NVGRE / OPFLEX
Data, Mgmt. Bridge & Live Migration
OPFLEX
インターフェース, VLAN, 物理, 仮想
Data, Mgmt, and vMotion
データ センター自動化と IT コラボレーション 現在: 直列な設定作業と管理
マニュアル プロセスは展開にかかる時間を増加させる
ネットワーク コンピュート サービス セキュリティ アプリケーション
要求
ポリシー違反 設定のミスマッチ
展開の
完了
アーキテクト デザイン コンピュート サービス
リクエスト サービス セキュリティ ネットワーク
アプリケーション
利用可能
展開の開始
データ センター自動化と IT コラボレーション Cisco ACI: 共通のポリシー フレームワークとオペレーション モデル
アプリケーション
ポリシー
クラウド アプリケーション
コンピュート ネットワーク
ストレージ セキュリティ
ポリシー ベースの自動化
アプリケーション
要求
アプリケーション要求の定義
チームで
アプリケーション ポリシーと
テンプレートを作成
オペレーションチームは
低リスク、高スピードで展開
アーキテクト デザイン サービス
リクエスト アプリケーション
利用可能
展開の開始
Cisco IT ケーススタディ: SLA 向上とオペレーション コストの改善
アクセス コントロール リスト
グローバル サーバ ロード バランシング
ネットワーク
アクセス
ローカル
サーバ ロード
バランシング
1. Morgan Stanley CIO Survey, 2013 2. HP 3. Information Week 2013 Virtualization Mgmt Survey, 2013 4. Cisco Global Cloud Index Forecast (2013-2017)
生産性向上 | エラーの削減 | 俊敏性 | コンプライアンス/セキュリティ | 再利用可能
80%
14%
19%
38% Improved SLA
Minor Medium Complex
80%
21%
29%
43% Improved SLA
Minor Medium Complex
80%
14%
24%
39% Improved SLA
Minor Medium Complex
80%
NA%
7%
44% Improved SLA
Minor Medium Complex
ネットワーク プロビジョニング
Cisco IT ケーススタディ: Cisco ACI 導入価値概要
ネットワーク オペレーション、管理
データ センター ネットワーク コンピュート ストレージ
自動化による削減
プロビジョニング SLA 改善 58% コスト削減
データ センター アクセス
アクセス コントロール リスト
(ACL)
ローカル/グローバル
サーバロードバランシング
データ センター アクセス
アクセス コントロール
リスト(ACL)
ローカル/グローバル
サーバロード バランシング
38%
43%
41%
インシデント管理
問題管理
イベント管理
サービス管理
21% コスト削減
Type of Saving
CAPEX 削減
電力削減
スペース削減
26%
46%
19%
コンピュート 最適化
12% 最適化
20% 最適化
ストレージ (NAS) 最適化
Cisco ACI: シンプルでより良いアプローチ ACI
システム + ASIC + ソフトウェア
ハイパーバイザ/オープンソース/ オペレーショナル モデル 選択可能
スケールアウト パフォーマンス
システムアプローチ
セキュアなワークロード配置
アプリケーション可視化 + ヘルスメトリック
共通のポリシーモデル
物理 + 仮想
TCO の削減
シンプル
, スケール
, セキュリティ
“DIY” ベーススイッチ
ホワイト ボックス 汎用シリコン
従来の スイッチ
統合された ハードウェアと スイッチング ソフトウェア
ソフトウェア Only
仮想 オーバーレイ
VM ベース ポリシー
SDN LAN エミュレーション
VM モビリティ
アプリケーションと エンドポイントアウェア
スケールの制限
運用の混乱
ハイパー バイザーに依存
Today –> End of CY14 Future Future
幅広く、より拡大するオープン エコシステム
Extending Policy Across DC, WAN, and Access
APIC-
DC
データ センター
APIC-
DC
データ センター WAN
サービス プロバイダー
NFV
VPN
Cloud
APIC-
WAN
アクセス
APIC-
EM
アクセス
APIC-
EM
APIC
API
APIC プラットフォーム横断の
ユニファイド ポリシー API
エンド ツー エンドの
ネットワーク オーケストレーション
Cisco Confidential 37 © 2013-2014 Cisco and/or its affiliates. All rights reserved.