【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール＆ロードバランサ連携

Cisco ACI とファイアウォール＆
ロードバランサ連携
June, 2015
大平伸一
テクニカルソリューションズアーキテクト
* 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。

自動化 & オーケ
ストレーションモニタリング
システム
管理
L4-7
サービス
仮想化
スト
レージ
セキュ
リティ
公開された
データモデル
オープンで標準化
された APIs
オープンソースオープンスタンダード
Cisco ACI エコシステムパートナー
33 社のエコシステムパートナー

Cisco ACI: オープンなセキュリティフレームワークと
幅広いセキュリティエコシステムの提供
幅広いエコシステムによる選択
投資保護
深いセキュリティ戦略による防御をサポート
セキュリティアプリケーション
(コンプライアンス, SIEM, セキュリティ分析 etc.)
APIC
エンドツーエンドでのセキュリティ
ACI
ファブリック
ホスト
ファイア
ウォール
IDS / IPS DDoS
Open Standard
OPFLEX
Open Device
Interface
Open REST APIs

データセンターセキュリティのための
アプリケーションセントリックポリシーモデル
アプリケーション
ポリシーの
コンポーネント
エンドポイントグループ:
同一ポリシーを持つ
エンドポイント (仮想マシン/
サーバ) の集まり
Contracts:
エンドポイントグループ間
の通信ルールの集まり
Service Chains:
エンドポイントグループ間の
ネットワークサービスの
集まり
OUTSIDE
WEBAPPDBCRM
APP
ADC
F/W
ADC
ContractContract

Cisco ACI 分散型ファイアウォール
サーバ間のトラフィックの最適化
Firewall at Each
Leaf switch
サーバ (物理または仮想)
組み込まれたファイアウォールと
ACI ファブリック
中央型ファイアウォール
Central Firewall
データセンター
アクセス/アグリゲーション
ネットワーク
トラフィックを操作し、ポリシーの適用は中央で
スケールの妨げになる可能性
ポリシーはネットワークに固定(例: IP アドレス)
ファイアウォールは全てのサーバポートに接続
ラインレートでポリシー適用
ポリシーはワークロードに追従

Cisco ACI: 分離とセグメンテーションを実現
ACI ファブリック (ステートレスFW) L4-7 セキュリティサービス
コンテキスト(VRF)を
ベースとしたテナント分離
スケーラブルで統合された
ポリシー管理
ホスト 3
アプリケーション 1
(物理)
ホスト 1 ホスト2
アプリケーション 2
(物理)
VM VM VM
ホスト 4
VM VM VM
エンドポイント
グループベースの
マイクロ
セグメンテーション
テナント3:
Customer A
テナント1:
Internal Engineering
テナント2:
DMZ
テナント4:
Partner B
ADCFW

Cisco APIC によるサービス挿入の自動化
APP DBWEBEXTERNAL
Cisco APIC ポリシーモデル
エンドポイントグループ(EPG): アプリケーションにおいて、同一の役割を持つエンドポイントの
集まり。エンドポイントは仮想マシン、VNICs、 IP、 DNS名等を示す
アプリケーションプロファイル: エンドポイントグループと、エンドポイントグループ間の通信を
定義したポリシーの集まり
アプリケーションプロファイル
PolicyPolicyPolicy

デバイスパッケージとは
Partner
Deviceサービスアプライアンス
Rest/CLI
Device Specification
<dev type= “f5”>
<service type= “slb”>
<param name= “vip”>
<dev ident=“210.1.1.1”
<validator=“ip”
<hidden=“no”>
<locked=“yes”>
デバイス
パッケージ
DeviceSpecDeviceScript
• デバイスパッケージはZIPファイル形式で提供され、
APICにアップロードを行い簡単に使用可能
• デバイスパッケージは以下から構成
 DeviceSpecification (xml): デバイスモデルと呼ばれる
サービスアプライアンスの情報が含まれる。
 機能
 APICから設定可能な各機能のパラメータ
 インターフェイスやネットワーク接続情報
 DeviceScript (py): APICとサービスアプライアンスの間の
APIと動作を記述したスクリプト。DeviceSpecと連携して動作。
• デバイスパッケージは3rdパーティベンダー、Cisco、
お客様ご自身により作成
• サービスアプライアンスの接続、エンドポイント接続、
サービスグラフ、ヘルスモニタリング、障害管理、カウンターなどを
提供
http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/solution-overview-c22-732445.html

L4-7サービスプロビジョニング
• APICを通してEPG間にL4-7サービスの定義を行い、自動的にネットワーク、
サービスの設定がACIに反映される。

F5 Big-IP ADC機能の自動化
デバイスパッケージ提供機能
•仮想サーバ
 Layer 4 Server Load balancing
 Layer 4 SLB with SSL offload
 Layer 7 Server Load balancing
 Layer 7 SLB with SSL offload
•Microsoft SharePoint
仮想サーバのパラメータ
• グローバル/テナントIPアドレスの設定
• グローバル/テナントのスタティックルート
• デバイスカウンター
• サーバプール
• TCP 最適化
• HTTP最適化
• HTTPセキュリティ（アプリケーションプロトコルセキュリティ）
• TCPコネクションの集約(OneConnect)
• OneConnectテナントプロファイルの作成
• iRules
• テナントアクセラレーションプロファイルの作成
• SNAT プール管理
80%以上のF5 ユーザはL4 SLB / L7 SLB / MSFT SharePoint / SSL オフロードを利用している

エコパートナー ACI インテグレーション状況
Cisco ASA
(ASA 5585 8.4 とASAv 9.2.1)
• サービスポリシーの自動化、サービスチェーニング&追加、ヘルススコアサポート
Cisco FirePower • APICからのIPSポシリーの自動化および集中管理 Q2 CY15
F5
(Big IP 物理と仮想)
Citrix
(NetScaler MPX, SDX, VPX,
NetScaler 1000v)
Palo Alto Network • APICからのセキュリティポシリーの自動化および集中管理 Q2 CY15
A10 • SLBポリシーの自動化、サービスチェーニング&追加、ヘルススコアサポート
Radware • APICからのADC/DDoSポシリーの自動化および集中管理サポート
L4-L7 デバイスサポート状況

【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール＆ロードバランサ連携

【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール＆ロード バランサ連携

More Related Content

What's hot

Similar to 【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール＆ロード バランサ連携

More from シスコシステムズ合同会社