Mais conteúdo relacionado Semelhante a [G-Tech2015]シスコのデーターセンター向けSDN最前線_シスコシステムズ様[講演資料] (20) Mais de Trainocate Japan, Ltd. (20) [G-Tech2015]シスコのデーターセンター向けSDN最前線_シスコシステムズ様[講演資料]2. アジェンダ
Cisco データセンター戦略とビジョン
データセンター向けSDNソリューション概要
Cisco ACIの特徴
Cisco ACI ポリシーモデル
Cisco ACI + OpenStack
Cisco ACI対応Nexusスイッチ
攻めのITに必要な人材 (インフラエンジニア)
4. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
現在のデータセンター(DC)に求められる要件
- ITの役目はアプリケーションを提供すること -
4
データセンター利用者が本当に求め
ているものは、Infrastructureではな
く、アプリケーションサービスです。
いかにしてこれらのアプリケーション
の提供時間を短縮し、迅速に利用者
へ提供できるかが重要です
そのためには、データセンター内の
Infrastructure自身に迅速性、拡張
性、管理性、安全性などを備える必
要があります。
データセンターに求められる要件
5. 5
Cisco データセンター戦略&ビジョン
Defined by Applications. Driven by Policy. Delivered as a Service / Solution
ビジネス の成果
ビジネスの俊敏性 新ビジネスモデルへの対応 TCOの削減
ビジネスの要求
コンピュート
クラウドネットワーク
Policy
Policy
Policy
6. 2009 20142008
Consolidation Virtualization Automation
Enabling
the Intercloud
LAN SAN
Network
Compute
Storage
Access
Network
Apps Policy
Today
Policy
Policy
アプリケーション進化はとても早い
Policy
UCS
ACI
Nexus
Hybrid Cloud
Policy
Policy
Policy
Cisco データセンター戦略&ビジョン
Policyプロファイルベースでのアプローチ
IO統合
ネットワーク
物理サーバ
抽象化
物理ネットワーク
抽象化
DCインフラ
抽象化
7. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
現在のDCにおいて検討するべき要素
物理と仮想のインフラ共存 オンプレ+クラウドの共存
アプリの迅速な展開
導入・運用コストの削減を実現するた
め、セキュリティやコンプライアンスを
維持しながらパブリッッククラウドの導
入検討
アプリの展開を迅速化するために
サーバ、ネットワーク、ストレージの仮
想化製品やプロビジョニング・ソフトの
導入検討
世界のDC市場の約7割がまだ物理
サーバで動いている。仮想マシンと物
理マシンがシームレスに共存できる
ネットワークの導入検討
セキュリティ
不必要なサーバ間通信を許可すると
予期せぬ情報漏えいやサイバーテロ
の被害にあう可能性があるため、一
貫性のあるセキュリティポリシーの維
持管理機能の導入検討
8. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
インフラリソースプール
SOFTWARE DEFINED
COMPUTE
SOFTWARE DEFINED
STORAGE
SOFTWARE DEFINED
NETWORK
EMAIL CRM ERPONLINE
SALES
オーケストレーションレイヤ
全ての要件を満たすには、
Software Defined Infrastructure = Policy Based Infrastructure
アプリケーションが必要なリソースを定義
インフラは効率的にサービスレベルを保証
10. Programmable NetworkProgrammable Fabric
Application Centric
Infrastructure
DB DB
Web Web App Web App
VxLAN-BGP EVPN
標準技術
VTSコントローラー対応
NX-OSへNX-APIを実装
自動化エコシステム
(Puppet, Chef, Ansible etc.)
全Nexusシリーズでサポート
セキュリティ、集中制御、コンプライア
ンス、スケールを両立したファブリック
アプリケーション視点での自動化され
たSDNソリューション
監視・管理ソフトウェア、Firewall、
IPS、ロードバランサなどの
多数のエコパートナーとの協業
Cisco SDN:データセンターの自動化と仮想化を促進
公共、エンタープライズ市場 公共、エンタープライズ、SP市場
公共、エンタープライズ、SP
メガスケールデータセンター
VTSはソフトウェアオーバレイによ
るプロビジョニングと管理を提供
全Nexusシリーズでサポート
VTC
11. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
集中管理型
ポリシーマネージャー + コントロールプレーン
データプレーン
集約された
インテリジェンス
?
X
SDN
コントローラ
自律分散型
APIC
コントロール + データプレーン
LOAD
BALANCERFIREWALL
HYPERVISOR
SWITCH
ポリシー
マネージャー
ネットワーク
の各デバイ
ス上に分散
されたインテ
リジェンス
WEB
APP
DB
OPFLEXプロトコル
中央集約型のコントローラの拡張性の限界 拡張性 / 信頼性 複雑な仕組みをポリシー管理から分離
アプリの要求をハードウェアの設定に変換 自動化 / スピード アプリの要求とハードウェアの設定を分離
ポリシーは限られた範囲のみ適用 利便性 ポリシーは自動的に各デバイスに適用
最低限の機能のみマルチベンダーサポート 相互接続性 ネットワークの枠を超えた広い相互接続性
これまでのSDNとは異なるアプローチ
12. Application Centric Infrastructure (ACI) 構成要素
Built for SDN and Beyond
Application Policy
Infrastructure
Controller
Cisco
Nexus
9000シリーズ
業界をリードする
エコシステム
アプリケーション
コンピュー
ティング
ネットワーク
クラウド
ストレージ セキュリティ
APIC
13. APIC および Nexus 9000の販売状況
Nexus 9K & ACI
Customers Globally
APIC Customers
APIC
APPLICATION
COMPUTE NETWORK
CLOUD
STORAGE SECURITY
Ecosystem Partners
2015年8月におけるグローバルでの実績状況
4,100+ 915+ 36
15. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
既存システム導入の場合(現状) ACI導入した場合
サーバ担当
ストレージ担当 ネットワーク担当
都度複数の担当部署での調整、作業が必要
(ヒューマンエラー多数、導入時間課題)
工事担当
プロファイルによる設定のテンプレート化
(迅速なアプリケーション導入、ヒューマンエラー削減)
アプリケーション担当
ACIによるシステム設計の自動化
プロファイル
サーバ設定
ネットワーク設定
ストレージ設定
ポリシー定義
サーバ担当
ストレージ担当 ネットワーク担当
アプリケーション担当
16. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
ACIによる迅速化の実現
要件定義 設計 どこの
リソース?
購入 設置 設定 セキュリティ 準備完了
要件定義 設計
容易な
キャパシティ増減
ポリシーで
プロビジョニング
ガバナンスの
組み込み
1か月を数分に短縮
プロビジョニング・自動化
複雑なマニュアル作業
17. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
ステップ 1
コンフィグの用意
ステップ 4
FWインストール
ステップ 5
コンフィグインストール
ステップ 3
機器の交換・設置
ステップ 6
疎通・動作確認
ステップ 0
機器の故障
ステップ 2
FWの用意
ACIによるNWメンテナスの自動化
< 従来ステップ >
ステップ 0
機器の故障
ステップ 1
機器の交換・設置
ステップ 2
疎通・動作確認
APICよる自動化
デバイスの発見
FWロード
ポリシー同期
< ACI ステップ >
4つのステップ削減
APIC
ACIの利点
• 簡単にスイッチ交換・追加が可能
• Firmware同期、設定作業自動化
• 専門エンジニアの派遣が不要
• 影響範囲も対象スイッチ配下のみ
Nexus9000
一般的なスイッチ
18. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
抽象化によるネットワークモビリティの実現
• 各サーバノードのネットワーク接
続性やネットワークセキュリティは
全てAPICで一元管理
• 仮想マシンやベアメタルサーバが
異なるラックスイッチへ 移動して
も管理者による設定変更は不要
• APICからアプリケーションネット
ワークプロファイルをファブリック
へ展開すれば、メンテナンスフ
リーで運用可能
L/B
E
P
G
A
P
P
EPG DB
F/W
L/B
E
P
G
W
E
B
Application Network Profile
APIC
ACI
ファブリック
仮想サーバの
ライブマイグレーション
物理サーバの移設
管理者の手間を介さず
ネットワークポリシーの
自動適用
ネットワーク接続ポリシー
NW
Profile
NW
Profile
NW
Profile
NW
Profile
NW
Profile
21. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
Cisco ACI: 組織/システム単位の論理分割
ACI ファブリック (共通基盤)
1つ物理ネットワーク上に
複数の仮想ネットワークを展開
ホスト 3
アプリケーション 1
(物理)
ホスト 1 ホスト2
アプリケーション 2
(物理)
VM VM VM
ホスト 4
VM VM VM
テナント3:
営業部
テナント1:
人事部
テナント2:
製品開発部
テナント4:
マーケティング部
各部署でIPアドレスやVLANの
重複があっても問題なし
22. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
Cisco ACI 分散型ファイアウォール
サーバ間のトラフィックの最適化
各サーバ接続 用
スイッチでのファイ
アウォール
サーバ (物理または仮想)
各スイッチ組込みのファイアウォールと
ACI ファブリック
中央型 ファイアウォール
中央
ファイアウォール
データセンター
アクセス/アグリゲーションネット
ワーク
トラフィックを操作し、ポリシーの適用は中央で
拡張の妨げになる可能性
ポリシーはネットワークに固定(例: IP アドレス)
ファイアウォールは全てのサーバポートに接続
ネットワークの実効速度でポリシー適用
ポリシーはトラフィック負荷に追従
従来のセキュリティ ACIのセキュリティ
23. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 23
Cisco ACI: レイヤ7セキュリティ
幅広いセキュリティ パートナーシップの提供
投資保護を実現する
幅広いパートナーシップセキュリティ アプリケーション
(コンプライアンス, SIEM*, セキュリティ分析 etc.)
APIC
エンド ツー エンドでのセキュリティ
ACI
ファブリック
ホスト
ファイア
ウォール
IDS / IPS DDoS
Open Standard
OPFLEX
Open Device
Interface
Open REST APIs
*SIEM : Security Information and Event Management - セキュリティ情報およびイベント管理
24. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
エコパートナー ACI インテグレーション 状況
Cisco ASA
(ASA 5585 8.4 とASAv 9.2.1)
• サービスポリシーの自動化、サービスチェーニング&追加、ヘルススコア
• ダイナミックルーティング、NAT、ACL、マルチコンテキスト対応
サポート
Cisco FirePower • APICからのセキュリティポシリーの自動化および集中管理 2015年7月
Palo Alto Network • APICからのセキュリティポシリーの自動化および集中管理 2015年6月
Check Point • APICからのセキュリティポシリーの自動化および集中管理 2015年Q4予定
Radware • APICからのADC/DDoSポシリーの自動化および集中管理 サポート
L4-L7 デバイスサポート状況
http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/solution-overview-c22-732445.html
エコパートナー ACI インテグレーション 状況
F5 (Big IP 物理と仮想) • サービスポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート
Citrix (NetScaler MPX, SDX, VPX,
NetScaler 1000v)
• サービスポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート
A10 • SLBポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート
【セキュリティ デバイス】
【負荷分散デバイス】
27. Cisco ACI とは?:アプリケーションとネットワーク
• なぜネットワークの設定には時間がかかってしまうのか?
従来のネットワークへのアプローチ
QoS(優先制御)
L3ネットワーク(VRF, FHRP, ルーティング)
アプリケーション要件
アクセス制御, ファイアウォール, ロギング
モニタリング
ロード バランシング
L2ネットワーク(VLAN, STP, L2マルチパス)
スイッチ設計、設定
QoS 設計、設定
ルータ設計、設定
負荷分散装置 設計、設定
FW/ACL 設計、設定
設定すべきポイント
28. Cisco ACI とは?: アプリケーションとネットワーク
• ネットワークに対するアプローチの根本的革新
従来のネットワークでのアプローチ
QoS(優先制御)
L3ネットワーク(VRF, FHRP, ルーティング)
アプリケーション要件
アクセス制御, ファイアウォール, ロギング
モニタリング
ロード バランシング
L2ネットワーク(VLAN, STP, L2マルチパス)
アプリケーション要件
Cisco ACIにおけるアプローチ
ポリシー
L/B
E
P
G
A
P
P
EPG DB
F/W
L/B
E
P
G
W
E
B
Application Network Profile
NW
Profile
29. テナント A
Cisco ACI とは?: アプリケーション視点のデザイン
• EPG (End Point Group) と Contract
アプリケーション A
Appサーバ DBサーバアプリ利用
者
Webサーバ
Web-
EPG
App-
PG
DB-
EPG
外部
EPG
Contract Contract Contract
30. EPG(End Point Group)とは
VLAN VXLAN
IP アドレス
MACアドレス
スイッチ単位
または
スイッチポート単位
VMware の
Port-group
EPGは、ACIの抽象化された世界とアンダーレイ ネットワークの各種識別子
をマッピングすることで既存ネットワークとの相互接続を可能とする
VMware の
VMアトリビュート
31. Contractとは
• Contractは、Cisco ACIの抽象化されたEPG間の接続ルールを定義するもの
• レイヤ2からレイヤ4までの情報で通信制御を行うことが可能
• つまり、Contract = フィルタ + アクション の集合体
• アクションは以下が可能:
Permit
Deny
Log
Mark
Redirect
Copy
…
filter action
filter action
filter action
filter action
アプリケーション構成
要素の識別
L4 ポート
TCP オプション
など
適用するアクション
許可
拒否
マーキング
Log
サービスグラフへリダイレクト
など
Contract
33. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 33
マルチテント & Role Base Access Control
Admin管理者権限
でログイン
テナント管理者権限
でログイン
34. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 34
シンプルオペレーション:物理スイッチ増設作業
Admin管理者としてログイン、Fabric⇒Inventoryから新スイッチを登録
LLDPにより、APICが自動的にスイッチを認識する。新スイッチをシリアル番号で判断する。
任意のNode Name(ホスト名)とNode IDを入力するだけで初期セットアップ完了。
35. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 35
シンプルオペレーション:テナント増設作業
Admin管理者としてログイン、TENANTS⇒ADD TENANTから新テナントを作成
• 新規 テナントを1つ作成
• テナント内に VRF を 1つ作成
• その VRF に所属する BD (Bridge Domain) を 作成
• 各 BD に subnet gateway を 作成
テナント名
Subnet GW:
192.168.10.254/24
BD1
VRF1
Subnet GW:
192.168.20.254/24
BD2
36. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 36
API InspectorによりGUI操作をキャプチャー
GUI画面の右上の“Welcome admin”から“Show API Inspector”を選択
API Inspector画面を
開いた状態で任意の
オペレーションをGUI
で行うだけでREST構
文を取得できる
38. OpenStackによる標準化への対応
• OpenStack Neutronにポリシー管理を
導入するために、標準化された仕組みである
”Group-Based Policy (GBP)”を使用
• Junoリリース以降からGBPがサポート
• OpFlexによる仮想スイッチのポリシー連携
を実現するためにOpen vSwitchにOpFlexを
実装(OVS2.4以降)
Linux
OpenStack
Cisco ACI – Linux KVM : OpenStack連携
管理連携=REST/API
ホスト連携=OpFlex
Group-Based Policy
OpFlexはコントローラとスイッチ間で
ポリシー情報をやりとりするための
標準規格(IETF提案中)
Linux
KVM
Open vSwitch
39. Group-Based Policy (GBP)
• ACIの「ポリシーに基づくネットワーク管理」とOpenStackを結びつける
Cisco ACI – Linux KVM : GBP
ポリシーを実現するネットワークの自動構成
App DBWeb
外部
ネットワーク接続
Firewall
QoS
Firewall
QoS
Firewall
Load Balance
Policy
Fabric
+
Overlay
OpenStack / Neutron / Group-Based Policy (GBP)
APIC
40. Group-Based Policy (GBP) のポリシーモデル
Cisco ACI – Linux KVM : ポリシーモデル
L3 Policy
Policy
Rule Set
Policy Rule
Policy Rule
Service Chain
Policy
Classifier
Policy
Action
Policy
Classifier
Policy
Action
L2 Policy
Group
Policy Target
Policy Target
Policy Target
Provided
Rule Sets
Node Node
L2 Policy
Group
Policy Target
Policy Target
Policy Target
Consumed
Rule Sets
Service Policy
Application Policy Network Service
41. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 41
IETF INFORMATIONAL
RFC FOR OPFLEX
OPEN SOURCE AGENT
OPFLEXプロトコルは、
どんな仮想スイッチ、物理スイッチ、L4-7デ
バイスでも制御可能
FIREWALLVSWITCH SWITCH
APIC からの統合管理に必要 3rd Party製品にもオープン
どんな 3rd party製品で
もIETFプロセスの中で
参加することが可能APIC
どんなデバイスでも
Cisco ACIへインテグ
レーション可能
OpFlexとは オープンソースフレームワーク
42. OpenStack Controller
OVS ML2
Open vSwitch OpFlex + OVS
OVSを利用した
通常のNeutronベースの動作
OpFlex エージェント+OVSを利用した
GBPベースの動作
Hypervisor
vm4
Project 1 Project 2 Project 3
vm5
vm3
vm5
vm6
OVS Agent
APIC ML2
• ネットワーク毎の
VLANをToRス
イッチへ作成
• ACIファブリック内
でVXLAN が動作
• APIC GUI インテ
グレーションは未
サポート
• OVSとOVSエー
ジェントをサポート
OpenStack Controller
Hypervisor
vm4
Project 1 Project 2 Project 3
vm5
vm3
vm5
vm6
OpFlex Agent
APIC ML2
• ポリシーグループ毎の
VLAN 又は VXLANを
ToRスイッチへ作成
• Leafスイッチ上で
OpFlex Proxyが動作し、
OpFlex エージェントが
OVSを管理
• ハイパーバイザー上の
ローカルトラフィックに対
し、ポリシーに従いスイッ
チングやルーティングを
制御
OpFlex
Proxy
VLAN
VLAN
VXLAN
CY15Q4
リリース
予定
現在
リリース
済
Cisco ACI – KVM環境における OVS+OpFlex
43. 年末頃にACIは GBP に加えて Open vSwitch の OpFlex に対応予定
Cisco ACI – KVM環境における OVS+OpFlex
OpenStack Controller
Open vSwitch + OpFlex
Hypervisor
vm4
Project 1 Project 2 Project 3
vm5
vm3
vm5
vm6
OVS + OpFlex Agent
APIC ML2
VLAN
VXLAN
ポリシー制御を仮想スイッチにまで拡大
• 仮想スイッチもポリシーベースで
統合管理
• Floating IP / NAT 対応予定
• ACI GUIにおけるVMMドメインとして
の連携管理
• Service Redirection (L4-7連携)
VLAN
VXLAN
VLAN
VXLAN
OpFlex Agent
Opflex
Proxyとし
て動作
46. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 46
Cisco ACI対応 Nexus9000シリーズ 9000®
Series
Cisco Nexus 9300
1Ru/2Ru 固定型10G/40Gスイッチ
NX-OSと ACIの2つモード
要件に合わせ
2つのファブリックアーキテクチャーを選択
VXLANファブリック、ACIファブリックをサポート
Cisco Nexus 9500
モジュラー型10G/40Gスイッチ