【Cisco Data Center Forum 2015】データセンターネットワークの動向と Cisco ACI の戦略

データセンターネットワークアーキテクチャ
Cisco ACI の動向と戦略
マイク・ハーバート
インシームプリンシパルエンジニア

Cisco Confidential 2©2014 Cisco and/or its affiliates. All rights reserved.
IT 課題と機会
IT’の予算
必要性:ITの簡素化
急速に変化するビジネスニーズとITのより良い関係を保つため、
データセンターおよびクラウドインフラストラクチャのダイナミックかつ自動化された
ポリシーベース制御が必要です。

お使いのアプリケーションの DNA は何ですか？
FUTURE< 2000 2003 2006 2008 2010 2012 2013 20142011
?

開発部門による
アプリケーション開発の仕方が変化している
開発部門
一回の構成で
すべてを稼働
1回の構築で
どこででも稼働

容量とコスト : ムーアの法則の影響
スイッチ
ASICs
X86
CPUs
2013 2014/15 2015+
28nm 16nm65nmシスコ
40nm 28nm65nmその他
14nm22nmIntel

DC
PODs
DC Core
既存の 3-TIER デザインプログラマブル SDN オーバーレイモデル
APIC
APPLICATION CENTRIC INFRASTRUCTURE
ネットワーク仮想化 Application Centric Infrastructure既存の 2-Tier & 3-Tier デザイン
最新のデータセンターを稼働する顧客の選択
最新のオペレーティング
システム
プログラマブルオープン APIs
Linux コンテイナーズ
L2 & L3 最高通信速度
オーバーレイ / アンダーレイ
VXLAN / BGP コントロールプレーン
3rdパーティコントローラー
全てのハイパーバイザー
物理と仮想
オープンAPI’sとコントローラー
広く、深い、エコシステム

モジュラー運用の
容易性
オープン 3rd パーティ
APPS
プログラマブル開発部分の
準備
POAP ONIE
NXAPI
Linux/Python
Daemon
Standard
Open
Interfaces
標準オープン
インターフェイス
Automation
and Visibility
Adaptable
NXOS
NXOS適合自動化と
可視性
BootStrap and
Provisioning
BootStrap と
プロビジョニング
Package and
Application
Management
パッケージと
アプリケーション
管理
Server
Management
Tools
サーバー
管理ツール
PXE
NX-OS 革新
開発部門の有効化

VXLAN ベース
セキュアマルチテナントネットワークセグメント
テナント 3:
顧客 A
テナント 1:
インターナル
エンジニアリング
テナント 2:
DMZ
テナント 4:
パートナー B
ホスト 3
アプリケーション 1
(物理)
ホスト 1 ホスト 2
(物理)
VM VM VM
ホスト 4
VM VM VM
セキュアマルチテナンス
ベースVXLAN
ハードウェアベース VXLAN オーバーレイ
VXLAN ゲートウェイ
Cisco NEXUS 9500
Cisco NEXUS 9300

Application Centric Infrastructure (API) 紹介
拡張性、セキュリティ、完全な可視性をもったネットワーク上の
アプリケーションの迅速な導入
Cisco ACI
APPLICATION CENTRIC
POLICY コントローラーCisco NEXUS 9500 と 9300

次世代サービスを可能にする Cisco ACI
アプリケーションプロファイル
• アプリケーションネットワーク
プロファイル
マルチテナント
セキュリティとサービス
• セキュリティプロファイル
• デバイスパッケージ
接続性と可視化
• 一貫性 & 俊敏性
• 既存からの移行
Application
Network
Profiles
APP DBWEB
オープン
デバイス
パッケージ
SECURITY
POLICIES
ADC
F/W
ADC
APPLICATI
ON L4-L7
SERVICES
CONNECTIVI
TY POLICY
QOS
BANDWIDTH
RESERVATION
AVAILABILITY
HYPERVISOR
HYPERVISOR
HYPERVISOR
HYPERVISOR

Cisco ACI: アプリケーションのニーズをネットワークに変換
?
• VLAN
• IP アドレス
• サブネット
• ファイアウォール
Quality of Service
• ロードバランサ
• アクセスリスト
• アプリケーションティアポリシーと
依存関係
• セキュリティ要件
• セキュリティレベルアグリーメント
• アプリケーションパフォーマンス
• コンプライアンス
• 場所の依存関係
APPLICATION LANGUAGE NETWORK LANGUAGE
APIC

#1 – アプリケーションセントリックポリシーモデル
DBAPPADC
WEBF/W
ADC

#1 – アプリケーションセントリックポリシーモデル
物理ネット
ワーキング
L4–L7
サービス
マルチ DC
WAN および
クラウド
コンピュートストレージハイパーバイザ
＆仮想ネット
ワーキング
APIC

#2: 俊敏性—物理、仮想、クラウド
APP MOBILITY

#2: 俊敏性—物理、仮想、クラウド
APP VISIBILITY
遅延
ヘルス
スコア
分離
システム
テレメトリ
25 Packets
dropped
遅延
ヘルス
スコア
分離
システム
テレメトリ
0 Packets
dropped
テナントアプリケーション

#3: オープン (そしてセキュア!)
オープンソース
オープンスタンダード
オープン
インターフェース
OpFlexNSH VXLAN
JSON XML OpFlexREST
WITH ADVANCED SECURITY





監査
ポリシー
RBAC
暗号化
テナント分離
+

次世代のデータセンターに有効な
セキュリティアーキテクチャとは?
仮想化
中心
物理環境
未サポート
限られた
可視性
管理の
複雑化
中心
どのワークロードを
どこの場所にも
完全な
可視性
自動化
境界中心手動、複雑
ミスを
起こしやすい
静的な
トポロジ
限られた
場所

セキュリティのための
アプリケーションセントリックポリシーモデル
ポリシーの
コンポーネント
エンドポイントグループ:
同一ポリシーを持つ
エンドポイント (仮想マシン/
サーバ) の集まり
Contracts:
エンドポイントグループ間
の通信ルールの集まり
Service Chains:
エンドポイントグループ間の
ネットワークサービスの
集まり
OUTSIDE
WEBAPPDBCRM
APP
ADC
F/W
ADC
ContractContract

Cisco ACI 分散型ファイアウォール
East-West トラフィックの最適化
Firewall at Each
Leaf switch
サーバ (物理または仮想)
組み込まれたファイアウォールと
Cisco ACI ファブリック
中央型ファイアウォール
Central Firewall
データセンター
アクセス/アグリゲーション
ネットワーク
トラフィックを操作し、ポリシーの適用は中央で
スケールの妨げになる可能性
ポリシーはネットワークに固定(例: IP アドレス)
ファイアウォールは全てのサーバポートに接続
ラインレートでポリシー適用
ポリシーはワークロードに追従

Cisco ACI: 分離とセグメンテーションを実現
ACI ファブリック (ステートレスFW) L4-7 セキュリティサービス
コンテキスト(VRF)を
ベースとしたテナント分離
スケーラブルで統合された
ポリシー管理
ホスト 3
(物理)
ホスト 1 ホスト2
(物理)
VM VM VM
ホスト 4
VM VM VM
エンドポイント
グループベースの
マイクロ
セグメンテーション
テナント3:
Customer A
テナント1:
Internal Engineering
テナント2:
DMZ
テナント4:
Partner B
ADCfw

Cisco APIC によるサービス挿入の自動化
APP DBWEBEXTERNAL
Cisco APIC ポリシーモデル
エンドポイントグループ(EPG): アプリケーションにおいて、同一の役割を持つエンドポイント
の集まり。エンドポイントは仮想マシン、VNICs、 IP、 DNS名等を示す
アプリケーションプロファイル: エンドポイントグループと、エンドポイントグループ間の通信
を定義したポリシーの集まり
アプリケーションプロファイル
PolicyPolicyPolicy

Cisco ACI: オープンなセキュリティフレームワークと
幅広いセキュリティエコシステムの提供
幅広いエコシステムによる選択
投資保護
深いセキュリティ戦略による防御をサポート
セキュリティアプリケーション
(コンプライアンス, SIEM, セキュリティ分析 etc.)
APIC
エンドツーエンドでのセキュリティ
ACI
ファブリック
ホスト
ファイア
ウォール
IDS / IPS DDoS
Open Standard
OPFLEX
Open Device
Interface
Open REST APIs

ACI ファブリック
Microsoft System Center | R2 w/ Service Provider Foundation
Azure Pack GUI
Websites, Apps,
Database, VMs, ACI
Provider Portal
Consumer
Self-Service Portal
Websites VMs SQL Service Bus
Future
Services
ポリシー
管理:
APIC / Azure Pack
VM ディスカバリ:
OpFlex
カプセル化: VLAN,
NVGRE
ハードウェア
ブートストラップ
サービス挿入
(物理 / 仮想)
ACI PROVIDER
SERVICE
OpFlex Driver

Cisco ACI OpenStack Integration – Group Based Policy
2
Cisco ACI 管理者
(物理ネットワーク管理、
テナント状態をモニター)
L/B
EPG
APP
EPG DBF/W
L/B
EPG
WEB
アプリケーションネットワークプロファイル
アプリケーションポリシーの
作成
3
5
Cisco ACI
ファブリック
ポリシーを
プッシュ
OpenStack テナント
(Step 1,4 を実施) 仮想マシンの起動
Web WebWebWeb AppApp4
アプリケーションネットワーク
プロファイルの作成
1
DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
NOVANEUTRON
自動的にネットワーク
プロファイルをAPICにプッ
シュ
L/B
EPG
APP
EPG DBF/W
L/B
EPG
WEB
APIC

APIC 管理者
VI/Server 管理者 VMを
ポートグループに接続
L/B
EPGAP
P
EPG DB
F/W
EPG
WEB
アプリケーションポリシーの
作成
WebWebWeb App
HYPERVISOR HYPERVISOR
VIRTUAL DISTRIBUTED SWITCH
WEB PORT
GROUP
APP PORT GROUP DB PORT GROUP
vCenter
Server
8
5
1
9
Cisco ACI
ファブリック
自動的に EPG と
ポートグループを
マッピング
ポリシーを
プッシュ
VDSの作成2
Cisco APIC と VMware
vCenter を接続
6
DB DB
7 ポートグループの
作成
Cisco ACI Hypervisor Integration– VMWare DVS
APIC
3
ハイパーバイザを
VDSに接続
4
ESXの場所を
LLDPから学習

ハイパーバイザ vs. Linux コンテナ
ハードウェア
オペレーティングシステム
ハイパーバイザ
仮想マシン
Operating
System
Bins / libs
App App
仮想マシン
Operating
System
Bins / libs
App App
ハードウェア
ハイパーバイザ
仮想マシン
Operating
System
Bins / libs
App App
仮想マシン
Operating
System
Bins / libs
App App
ハードウェア
オペレーティングシステム
コンテナ
Bins / libs
App App
コンテナ
Bins / libs
App App
Type 1 ハイパーバイザ Type 2 ハイパーバイザ Linux コンテナ(LXC)
コンテナはホストのOS カーネルを共有するため、軽量。
ただし、各コンテナは同一の OS カーネルを持たなければいけない
コンテナは隔離されているが、OSを共有し、必要
に応じてlibs / bins を共有している

SECURITY
Trusted
Zone
DB
Tier
DMZ
External
Zone
APP DBWEB
EXTERNAL
ACI
ポリシー
ACI
ポリシー
ACI
ポリシー
27
One Network for Everything
FW
ADC
仮想マシン Docker コンテナベアメタルサーバ
27
ハイパーバイザハイパーバイザハイパーバイザ

ACI Fabric – DC 01 ACI Fabric – DC 02
Docker ベース Web アプリケーション Docker ベース Web アプリケーション
ACI Application Network Profile
データセンター 01 データセンター 02
Elastic Compute and Next Generation Workload Mobility

Cisco ACI – オペレーションの変革
Industry’s Complete SDN Solution
どのインターフェースでも
• 物理と仮想
• データインターフェース : vNIC & pNIC
• vMotion / 管理 / 耐障害性
• STT / NVGRE / VXLAN / VLAN / RAW
Cisco ACI ポリシー :ネットワークの変革
• 進化 : L2aaS、セキュリティ、 App プロファイル
• 共有サービス : DNS / DHCP / vMotion
• 管理 / 耐障害性 / IP Sストレージ
• 独自なカプセル化 STT
Nexus
7000
DCI
Nexus
9300
既存の
Nexus
Catalyst AVS
Competitors
IP Fabric
ASR 9k
DCI
VSS VDS NSXN1KV OVS OVSAVS Hyper-V
OPFLEX
Bare
Metal
STT OPFLEX OPFLEX
Linux
Container
NVGRE /
OPFLEX
Data, Mgmt. Bridge &
Live Migration
OPFLEX
インターフェース, VLAN,
物理, 仮想
Data, Mgmt, and vMotion

データセンター自動化と IT コラボレーション
現在: 直列な設定作業と管理
マニュアルプロセスは展開にかかる時間を増加させる
ネットワークコンピュートサービスセキュリティ
要求
ポリシー違反設定のミスマッチ
展開の
完了
アーキテクトデザインコンピュート
サービス
リクエスト
サービスセキュリティネットワーク
利用可能
展開の開始

データセンター自動化と IT コラボレーション
Cisco ACI: 共通のポリシーフレームワークとオペレーションモデル
ポリシー
クラウドアプリケーション
コンピュート
ネットワーク
ストレージ
セキュリティ
ポリシーベースの自動化
要求
アプリケーション要求の定義
チームで
アプリケーションポリシーと
テンプレートを作成
オペレーションチームは
低リスク、高スピードで展開
アーキテクトデザイン
サービス
リクエスト
利用可能
展開の開始

Cisco IT ケーススタディ:
SLA 向上とオペレーションコストの改善
アクセス
コントロールリスト
グローバル
サーバロード
バランシング
ネットワーク
アクセス
ローカル
サーバロード
バランシング
1. Morgan Stanley CIO Survey, 2013 2. HP 3. Information Week 2013 Virtualization Mgmt Survey, 2013 4. Cisco Global Cloud Index Forecast (2013-2017)
生産性向上 | エラーの削減 | 俊敏性 |
コンプライアンス/セキュリティ | 再利用可能
80%
14%
19%
38% Improved SLA
Minor Medium Complex
80%
21%
29%
43% Improved SLA
80%
14%
24%
39% Improved SLA
80%
NA%
7%
44% Improved SLA

ネットワークプロビジョニング
Cisco IT ケーススタディ: Cisco ACI 導入価値概要
ネットワークオペレーション、管理
データセンターネットワークコンピュートストレージ
自動化による削減
プロビジョニング SLA 改善58% コスト削減
データセンターアクセス
アクセスコントロールリスト
(ACL)
ローカル/グローバル
サーバロードバランシング
データセンターアクセス
アクセスコントロール
リスト(ACL)
ローカル/グローバル
サーバロードバランシング
38%
43%
41%
インシデント管理
問題管理
イベント管理
サービス管理
21%
コスト削減
Type of Saving
CAPEX 削減
電力削減
スペース削減
26%
46%
19%
コンピュート最適化
12%
最適化
20%
最適化
ストレージ (NAS) 最適化

Cisco ACI: シンプルでより良いアプローチ
ACI
システム + ASIC + ソフトウェア
ハイパーバイザ/オープンソース/
オペレーショナルモデル選択可能
スケールアウトパフォーマンス
システムアプローチ
セキュアなワークロード配置
アプリケーション可視化 +
ヘルスメトリック
共通のポリシーモデル
物理 + 仮想
TCO の削減
シンプル,スケール,セキュリティ
“DIY” ベース
スイッチ
ホワイトボックス汎用シリコン
従来の
スイッチ
統合された
ハードウェアと
スイッチング
ソフトウェア
ソフトウェア Only
仮想
オーバーレイ
VM ベース
ポリシー
SDN LAN
エミュレーション
VM モビリティ
アプリケーションと
エンドポイントアウェア
スケールの制限
運用の混乱
ハイパーバイザーに依存

Today –> End of CY14 Future Future
幅広く、より拡大するオープンエコシステム

Extending Policy Across DC, WAN, and Access
APIC-
DC
データ
センター
APIC-
DC
データ
センターWAN
サービスプロバイダー
NFV
VPN
Cloud
APIC-
WAN
アクセス
APIC-
EM
アクセス
APIC-
EM
APIC
API
APIC プラットフォーム横断の
ユニファイドポリシー API
エンドツーエンドの
ネットワークオーケストレーション

【Cisco Data Center Forum 2015】 データ センター ネットワークの動向と Cisco ACI の戦略

More Related Content

What's hot

Viewers also liked

Similar to 【Cisco Data Center Forum 2015】 データ センター ネットワークの動向と Cisco ACI の戦略

More from シスコシステムズ合同会社