cisco ace 4710 アプライアンスオンライン製品セ …ace 4710...
TRANSCRIPT
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1
2009年8月シスコシステムズ合同会社
データセンター システムズ エンジニアリング
石井 伸武
”仮想化” ロード バランサ
Cisco ACE 4710 アプライアンス オンライン製品セミナー②
ACE 4710 の構成デザイン・機能
(13:50 - 14:40)
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 2
Web セミナー中の QA について
Web セミナー中の説明内容やその他の関連事項について、質問がありましたら、WebEX 画面のチャット機能にて、いつでもご自由に質問の送信をお願い致します。
質問をいただく際の送信先には、“すべてのパネリスト” を選択していただけますようお願い致します。
各セッション内で時間の許す限り、ご回答をさせていただきます。
Cisco SE
xxxxx
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 3
このセッションの内容
① 配置デザイン- 配置デザインのパターン
- ワンアーム配置の利点
② 冗長化デザイン(High Availability 機能)- HA 機能の特長、動作概要- 仮想化機能利用時の冗長化構成
② 仮想化機能- 仮想化機能の特徴と利点- 仮想化機能の使い方
”仮想化” ロード バランサ Cisco ACE 4710 アプライアンスの性能を 大限に引き出す配置デザインや、高可用構成に必須の冗長化デザイン、更に 大の特徴である仮想化機能についてご説明致します。
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 5
配置デザインのパターン
ACE 4710 は、機器の背面に 10/100/1000 BASE-T を 4 ポート搭載しており、利用用途に応じた接続形態をとることができます。
パターン①; インライン配置パターン②; ワンアーム配置(スイッチへの横付け配置)
クライアント VLAN
サーバ VLAN
インライン配置
クライアント VLAN および サーバ VLAN を
同一 EtherChannel に収容
ワンアーム配置クライアント VLAN
サーバ VLAN
spanning-treeportfast trunk設定(Catalystの場合)
carrier-delay設定によりインターフェイス UP のタイミングを調整可能(0~120sec)
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 6
ACE 4710 配置にあたり必要となる VLAN通常、ACE 4710 のポートは、以下の VLAN を Trunk して構成されます。
1) クライアント VLAN
クライアント側からのアクセスを受ける VLAN インターフェイスが所属
2) サーバ VLAN
実サーバ側の VLAN インターフェイスが所属
3) マネジメント(運用管理) VLAN
ACE 4710 の管理用 VLAN インターフェイスが所属
4) FT(Fault Tolerant)VLAN
ACE 4710 の冗長化において、アクティブ/スタンバイ装置間のハートビート通信およびセッション情報の交換に使用
5) QUERY-VLAN
FT VLAN がダウンした場合に、代替経路によりアクティブ側を監視し、2台でのアクティブ状態の重複を防止するために使用
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 7
インライン配置インライン配置では、通信経路上に物理的に ACE 4710 を配置します。
クライアント VLAN
サーバ VLAN
※マネジメント VLAN や QUERY-VLAN は、クライアント VLAN あるいはサーバ VLAN のポートにトランクします。
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 8
ワンアーム配置(推奨構成)ワンアーム配置では、ACE 4710 とスイッチ(アグリゲーションスイッチ)を4 ポートの Gigabit EtherChannel(GEC)で接続します。
※クライアント VLAN、サーバ VLAN、マネジメント VLAN 、FT VLAN、QUERY VLAN の全てを同一チャネルグループ上に設定します。(この場合、FT VLAN と QUERY VLAN が同一チャネル上に存在することになりますが、FT VLAN の論理障害(設定ミスによるトランクからの削除やシャットダウン等)への対応のためにも QUERY VLAN 設定が有効です。)
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 9
片方向の合計で 大 4Gbps の転送が可能
ACE 4710
0~4G 4Gbps in (4Giga GEC)
4Gbps out (4Giga GEC)0~4G 0~4G
0~4G
クライアント側
サーバー側
スイッチ
ACE 4710 はライセンスにより 大 4Gbps の転送性能をサポートします。スイッチとの 4Giga EtherChannel 接続により、この 4G 性能を実現します。
4Gbps の使われ方は、送受信トラフィックの合計で 大 4Gbps をサポートしますが、例えば、受信トラフィック 0.5Gbps、送信トラフィック 3.5Gbps の合計 4Gbps といった非対象トラフィックをサポートし、片方向で 大 4Gbps までを使用することが可能です。尚、FT VLAN 上のハートビート通信は ACE 4710 の QoS 機能によりCoS=7 が付けられ内部的にも優先制御されます。
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 10
ワンアーム配置の利点ワンアーム配置でも論理的なトラフィック処理はインライン配置と同様です。また、性能を発揮できる面以外に、例えば、スイッチ側の VLAN 設定によって、トラフィックが ACE 4710 を通過しないようにできるなど柔軟性を向上させることも可能です。
物理構成 論理構成
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 13
ACE 4710 の冗長化構成(HA 機能)と特徴
サーバファーム
ACE 4710アプライアンス(アクティブ)
ACE 4710アプライアンス(スタンバイ)
FT トラフィックを守りつつ導入設計を簡単にする
QoS 機能と Ether-Channel
1
SiSiSiSiSiSi SiSiSiSiSiSi
SiSiSiSiSiSi SiSiSiSiSiSi
ステートフルなフェイルオーバを保証するステートレプリケーション
2
障害時、 短1秒でのステートフルな高速切り替えを可能にする
ピアの死活監視機構
3
INTERNET
ピアとの FT 通信ができなくなった場合でもアクティブ状態の重複を防止するクエリー VLAN 機能
4
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 14
ACE 4710 の冗長化構成要素①
FT グループ
仮想デバイスごとに設定する FT の 小単位。アクティブ/スタンバイのプライオリティを設定。
FT インターフェイス VLANFT トラフィック交換に利用する専用の VLAN インターフェイス。
vlan99
vlan99
ACE 4710-1
ACE 4710-2
FT ピア
ハートビート間隔の設定や使用する FT インターフェイス VLAN を指定。
FT-PeerFT-Group A
AActive
AStandby
BActive
BStandby
FT-Group B
Priority 90
Priority 100
Priority 100
Priority 90
ft-port-vlanコマンドでインターフェイスに ft-vlanを設定
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 15
QUERY VLANFT-VLAN がダウンした場合、ピアの死活を追加確認するための代替 SVI。
Alias-IPFT グループ に参加した 2台の ACE 4710 が VLAN インターフェース上で共有するIPアドレス。サーバ側に提示するデフォルトゲートウェイアドレスなどに利用する。
TrackingGateway ・ホストの IP アドレスや VLAN インターフェイスの状態をアクティブ / スタンバイのプライオリテイ値に反映させる。
ACE 4710 の冗長化構成要素②
vlan99
vlan99
FT-Peer
アクティブ(100)
スタンバイ(90)
ハートビートが切れましたが本当にダウンして
いますか? vlan199
vlan199
QUERY VLAN
×ACE 4710-1
ACE 4710-2
vlan70
vlan70
Alias-IPDefault G/W
IP や VLAN を監視しHA プライオリティ
に反映する例) 100 - 20 = 80 へ
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 16
FT インターフェイス VLAN では冗長化関連の以下のトラフィックを転送1. FT 専用プロトコルパケット
2. ハートビート (over UDP)3. ステート情報(コネクション情報、NAT エントリ、Sticky エントリ)
4. 各仮想デバイスのコンフィグレーション設定の同期(コンフィグレーション設定は仮想デバイス毎に同期の有無を選択可能)
ハートビートFT ピア間で交換、ピアの死活を監視
インターバル:100ms – 1000ms (default=300ms)カウント: 10 – 50 (default=10) 連続 10回失敗するとピアdown と認識
100ms x 10 = 1000ms が 短
ステート情報の同期デフォルトで enableコネクションテーブル、NAT テーブル、スティッキーテーブル等
ACE 4710 のハートビートとステート情報の同期
短 1秒でのピアダウン検知、ステートフル・フェイルオーバー が可能
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 17
仮想化機能を利用時の冗長化構成
ACE 4710 では仮想デバイス単位で、冗長化構成用の論理グループ(FT グループ)を構成し、管理します。
FT グループの構成、管理は Admin 用の仮想デバイスで行います。
2台の ACE 4710 のそれぞれで、同じ仮想デバイスに対して同じ FT グループを割り当てます。
仮想デバイス毎に、アクティブにする物理デバイスを設定できます。
ACE 4710-1
ACE 4710-2
FT-VLAN
AActive
A’Standby
FT グループ 1
BActive
BStandby
FT グループ 2
例)アプリケーションB には一切影響なく、アプリケーションA の仮想デバイスのみを切替え可能
AActive
XAdminStandby
AdminActive
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 20
仮想化技術でロードバランサも統合・集約可能
ACE 4710 でのロードバランサの仮想化ACE 4710 でのロードバランサの仮想化
各仮想デバイス毎に以下の内容をサポート
・独立したコンフィグレーション設定(10世代までのバックアップ&ロールバックも可能)
・独立したルーティング・テーブル・リソース割り当て(性能、メモリ)・権限別アクセス制限・デザインモード(ルーテッド、ブリッジド、DSR)・コンテキスト毎の Active/Standby 冗長構成
各仮想デバイス毎に以下の内容をサポート
・独立したコンフィグレーション設定(10世代までのバックアップ&ロールバックも可能)
・独立したルーティング・テーブル・リソース割り当て(性能、メモリ)・権限別アクセス制限・デザインモード(ルーテッド、ブリッジド、DSR)・コンテキスト毎の Active/Standby 冗長構成
仮想デバイス
仮想デバイス仮想デバイス <利点はサーバ仮想化と同じ>
1) IT コストの削減・物理的な機器数の削減・消費電力、CO2 排出量の低減
2) ビジネスへの迅速な対応3) サービス品質の向上
サーバ仮想化にもマッチする”バーチャル・アプライアンス”
ACE 4710 は ”グリーン” なL7 ロードバランサー
サーバ仮想化にもマッチする”バーチャル・アプライアンス”
ACE 4710 は ”グリーン” なL7 ロードバランサー
1台の上で、 大 20 仮想デバイスまでをサポート
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 21
リソース制御の方法
- リソース・クラスで利用率(利用量)を指定、これを仮想デバイスに紐づける
- 低保証、リソース共有(空きがあれば使える)など、柔軟な割り当てが可能
( 低保証値の合計は 100%以内。)
- リソースの利用状況は CLI、GUI、SNMP 経由で監視
仮想デバイスの特徴; リソース制御機能
30% 20% 15%15%20%
• 帯域幅• Connections / sec• 管理コネクション数 / sec• SSL Transactions / sec• Syslog / sec
• 帯域幅• Connections / sec• 管理コネクション数 / sec• SSL Transactions / sec• Syslog / sec
• アクセス制御リスト エントリー• 正規表現• 同時接続コネクション数• NAT エントリー• Sticky エントリー
• アクセス制御リスト エントリー• 正規表現• 同時接続コネクション数• NAT エントリー• Sticky エントリー
メモリサイズに関係するリソースパラメータ
性能に関係するリソースパラメータ
など など
リソース・クラス 1
大リソース% =
少リソース% =
3030
A B C D E
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 22
リソース・クラス; show コマンド出力例
例)仮想コンテキスト Admin は default クラスのメンバー
仮想コンテキスト C1 および C2 は gold クラスのメンバー
( 低保証 min 10%, 上限 max unlimited)switch/Admin# show resource allocation---------------------------------------------------------------------------Parameter Min Max Class---------------------------------------------------------------------------acl-memory 0.00% 100.00% default
20.00% 200.00% gold
syslog buffer 0.00% 100.00% default 20.00% 200.00% gold
conc-connections 0.00% 100.00% default 20.00% 200.00% gold
mgmt-connections 0.00% 100.00% default 20.00% 200.00% gold
proxy-connections 0.00% 100.00% default 20.00% 200.00% gold
~ 以降、省略 ~
例)仮想コンテキスト Admin は default クラスのメンバー
仮想コンテキスト C1 および C2 は gold クラスのメンバー
( 低保証 min 10%, 上限 max unlimited)switch/Admin# show resource allocation---------------------------------------------------------------------------Parameter Min Max Class---------------------------------------------------------------------------acl-memory 0.00% 100.00% default
20.00% 200.00% gold
syslog buffer 0.00% 100.00% default 20.00% 200.00% gold
conc-connections 0.00% 100.00% default 20.00% 200.00% gold
mgmt-connections 0.00% 100.00% default 20.00% 200.00% gold
proxy-connections 0.00% 100.00% default 20.00% 200.00% gold
~ 以降、省略 ~
10%のリソース保証をする
仮想コンテキストが2つあることを意味する
合計300%とは、上限を明示的に設定しないリソース共有型の
仮想コンテキストが3つあることを意味する
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 23
各仮想コンテキストは、明示的にリソースクラスを割り当てない場合、“default” クラスに属する。
“default” クラスはシステムリソースへの制限なしのアクセスを許可する。
リソース割り当ての保証ルールは以下の 3 つ。
1. リソース保証無し。ただし全ての空きリソースに対しアクセス可能。(=default)
2. リソースの X% (X は指定)を保証。それ以上のリソースアクセスは不可。
3. リソースの X% (Xは指定)を保証。更にそれ以上の空きリソースへの
アクセスも可能。
Minimum 値は全体(100%)に対するパーセンテージで指定。
Maximum 値は Minimum に等しいかまたは制限なしに設定。
1 context につき割り当て可能なリソース・クラスは 1つ。
大 100 のリソース・クラスを設定可能。
リソース・クラス; 割り当てルール
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 24
仮想デバイス毎のリソース利用状況を管理
ACE1/Admin# show resource usageAllocation
Resource Current Peak Min Max Denied-------------------------------------------------------------------------------Context: Adminconc-connections 19 19 0 2000000 0mgmt-connections 6 8 0 100000 0proxy-connections 0 0 0 262143 0xlates 0 0 0 65535 0acc-connections 0 0 0 50 0bandwidth 950 67629 0 1198741824 0throughput 90 802 0 1073741824 0mgmt-traffic rate 860 66827 0 125000000 0
connection rate 0 4 0 1000000 0ssl-connections rate 0 0 0 1000 0mac-miss rate 0 0 0 2000 0inspect-conn rate 0 0 0 40000 0http-comp rate 0 0 0 13107200 0acl-memory 33536 33536 0 37552128 0sticky 0 0 0 0 0regexp 1214 2768 0 1048576 0syslog buffer 0 0 0 1048576 0syslog rate 0 0 0 100000 0
仮想デバイス名(この例では管理用仮想デバイス)
リソースの利用状況を、各仮想デバイスのキャパシティ・プランに利用
性能、メモリに関係する各リソース・パラメータの項目
パラメータ毎の現在のリソース使用量とピーク時
のリソース使用量
設定で割り当てられた低保証値と上限
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 25
仮想デバイスの特徴;Role-Based Access Control (RBAC)
ACE 4710 の RBAC ではユーザ権限の自由なカスタマイズが可能
従来型のSLB 機器
Config の操作権限が
共通
アプリケーション担当者
ネットワーク管理者セキュリティ担当者
サーバ管理者
設定変更
設定変更
設定変更
従来型のプロセス
オペレーターの管理が複雑になり、設定ミスや調整による作業遅延が
起こりがち
オペレーターの管理が複雑になり、設定ミスや調整による作業遅延が
起こりがち
Network/Security Role
Server Role
Application Role
担当毎の権限に基づいて自分に必要なワークフローを同時実行
設定ミスや人的調整を回避
ACE 4710 の仮想デバイスと RBAC
Cisco IT では仮想デバイスと RBAC の活用により新規アプリケーション立ち上げ時間を 大 66% 削減
Config のうち役割に応じた部分だけを設定する
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 26
Admin Device(管理用仮想デバイス)
Virtual Device A(ユーザ用仮想デバイス)
Virtual Device B(ユーザ用仮想デバイス)
Role-Based Access Control (RBAC) の構成
ドメインclass-map5class-map6serverfarm5serverfarm6para-map5para-map6
ドメインall
access-listaction-list class-mapinterface
object-groupparameter-map
policy-map probe
rserver script
serverfarm sticky
ドメインclass-map1class-map2serverfarm1serverfarm2
ドメインclass-map3class-map4serverfarm3serverfarm4
probe3probe4
Network Role
Server Role
App. Role
Security Role
Admin Role
ロール
ドメイン
仮想デバイス
Server Farm1
Server Farm2
Server Farm3
Server Farm4
Server Farm5
Server Farm6
ユーザ
管理 ”ユーザ” は、決められた ”ドメイン” を対象に、”ロール” に基づく操作が可能。
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 27
ACE 4710 の RBAC デフォルト・テンプレート
ネットワーク管理者
ACLNATApplication InspectionAAA
Real ServersServerfarmLoadbalance
Real ServersHealth MonitoringSLB rules
InterfacesRoutingConnectionNATVIP
All show commands
Admin (Root)
セキュリティ管理者 ロードバランサ管理者 サーバ/アプリケーション管理者
Network-Admin
Security-Admin
Server-Maintenance
SLB-Admin
Network-Monitor
ServerfarmReal serversVIPHealth Monitoring
Server-Application
-Maintenance
ロール(役割)・テンプレート
SSL-Admin
SSLPKIInterface
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 28
ACE 4710 の配置デザイン・機能; まとめ
クライアントVLAN
クライアントVLAN
サーバVLAN
サーバVLAN
ACE 4710 ACE 4710
① ワンアーム配置により大 4Gbps を発揮
(1RU サイズで 4Gbps)
② 短1秒でのステートフル・フェイルオーバ
③ 仮想デバイスの活用により、1台の ACE4710 で複数のサーバシステム向けにロードバランシング
③’仮想デバイスごとにリソース割り当て、権限別アクセスが可能
システムA システムB システムC
仮想デバイス
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicPresentation_ID 30
ACE 4710 アプライアンス 導入ガイド
http://www.cisco.com/web/JP/product/hs/contnetw/ace4710/index.html
配置デザイン
仮想化技術
の活用
機能や設定
の考え方