cloud-ready data center reference architecture...4 copyright © 2011, juniper networks, inc....

REFERENCE ARCHITECTURE

Copyright © 2011, Juniper Networks, Inc. 1

クラウド対応データセンター向けリファレンス・アーキテクチャ

2 Copyright © 2011, Juniper Networks, Inc.

REFERENCE ARCHITECTURE - クラウド対応データセンター向けリファレンス・アーキテクチャ

目次

はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

本書のスコープ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

フレームワーク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

データセンターとそのインフラストラクチャの重要性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

さまざまなデータセンター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

企業向け、またはクラウド型のデータセンターのサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

ソリューションプロファイルの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

今日のデータセンターのキートレンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

進化し続ける業務アプリケーションのアーキテクチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

サーバーの仮想化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

運用コストの削減 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

セキュリティ上の脅威からの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

ファイバーチャネルとイーサネット・ネットワークの統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

クラウド対応データセンターにおける機能領域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

クラウド対応データセンターに移行するためのジュニパーのアプローチ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

ネットワーク・インフラストラクチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

アプリケーション・トラフィック・フロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

簡素化されたネットワーク・インフラストラクチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

分散型データセンター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

ジュニパーのアプローチ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

コンピューティングおよびストレージ・インフラストラクチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

仮想サーバーのインフラストラクチャの統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

I/O統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

ファイバーチャネルおよびFCoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

ジュニパーのアプローチ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

セキュリティサービス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

アプリケーション・サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

ジュニパーのアプローチ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

運用管理、オーケストレーション、自動化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

効果的なオーケストレーション・プラットフォームの特徴 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

クラウドレベルのオーケストレーションをサポートする管理インフラストラクチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

ジュニパーのアプローチ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

ジュニパーのオープン・ネットワーク・オーケストレーション・プラットフォーム Junos Space . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Junos OSに基づく自動化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28



図目次

図1. データセンター・リファレンス・フレームワーク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

図2. リファレンス・フレームワークのネットワーク・インフラストラクチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

図3. コンピューティングおよびストレージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

図4. Junos Spaceによる物理および仮想の両ネットワークの一貫した管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

図5. サービス機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

図6. 新しいクラウド・インフラストラクチャにおける各種のフロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

図7. 運用管理、オーケストレーション、自動化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

図8. ジュニパーネットワークスの運用管理インフラストラクチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

図9. Junos Space インフラストラクチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

図10: トランザクション中心のデータセンター・ネットワーク向けインフラストラクチャの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

図11. コンテンツおよびホスティング・サービス中心の社外向けデータセンター・ネットワークの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . .30

図12. HPC中心の社外向けデータセンター・ネットワークの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

図13. エンタープライズ向けITデータセンター・ネットワークの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

図14：中小規模企業向けITデータセンター・ネットワーク・インフラストラクチャの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

データセンター・ネットワークの設計の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28

トランザクション中心の社外向けデータセンター・ネットワーク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28

コンテンツおよびホスティング・サービス中心の社外向けデータセンター・ネットワーク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

HPC（High-Performance Compute）中心の社外向けデータセンター・ネットワーク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

エンタープライズ向けITデータセンター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

中小規模企業向けITデータセンター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

まとめ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

付録A クラウド対応データセンター・ネットワーク向けのジュニパーネットワークス製品 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

スイッチング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

ルーティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

セキュリティサービス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

アプリケーション・サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

オペレーティング・システム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

統合型ネットワーク・クライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

オーケストレーションおよびネットワーク管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Junos Spaceプラットフォーム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

テクニカルサービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

ジュニパーネットワークスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35



はじめに

データセンターは、組織内のすべてのサーバー、アプリケーション、そしてストレージサービスを繋げるもので、最も重要な企業資産です。重要な営業活動を支え、その効率性と事業価値を高めるために、多くの企業や組織は自社のデータセンターに頼っています。こうしたことから、データセンターは、ユーザーやアプリケーションから求められるパフォーマンス面での要件を常に満たすよう、慎重に計画され管理されなくてはならない重要な構成要素として位置付けられます。ジュニパーネットワークスは、クラス最高レベルの製品と明確な運用方法を組み合わせた包括的なデータセンター・ネットワーク・ソリューションを提供することで、パフォーマンスと堅牢性に優れ、コスト効果の高い仮想化されたデータセンター向けネットワークの構築を支援します。本書では、組織のビジネス目標を達成すべく最新のデータセンター・ネットワークの設計要件に対応しなければならない立場にいるデータセンター設計者やエンジニアを対象に、リファレンス・アーキテクチャとしてさまざまなプラクティス、テクノロジー、製品を紹介します。

本書のスコープ本書では、ジュニパーネットワークスが提案するデータセンターおよびクラウド・コンピューティング・ネットワークのアーキテクチャモデルと対応製品を示します。さらに、データセンターやクラウド・コンピューティングのネットワークを構築するための、当社が提案するフレームワークとアーキテクチャの概念について説明します。

本書は、以下の読者を対象としています。

• 一般企業や公的機関のお客様

• サービスプロバイダ

• ジュニパーのパートナー企業

• ITおよびネットワーク分野のアナリスト

• データセンター設計に興味のある営業担当者、ネットワーク設計者、システム・インテグレータ、テクニカルサポート担当者、製品開発担当者、経営者、マーケティング部門担当者

フレームワーク

データセンターとそのインフラストラクチャの重要性

データセンターでは、ビジネスプロセスやサービスを提供するアプリケーションが稼働しています。これらのアプリケーションは、ユーザーに重要な情報や差別化可能な豊富なコンテンツを提供します。ユーザーは、必要なアクセスを要求どおりに提供してくれる機動性と応答性の高いインフラストラクチャを求めています。ここでは、たとえば24時間365日”いつでもどこからでもアクセスして利用できる”サービスや、時間ベースで情報を提供してくれる定期更新機能（毎時間、毎日、毎週、毎月、年4回など）などが要求されます。

ジュニパーネットワークスは革新技術を提供するサプライヤとして、組織やそのユーザーに新たな価値を提示するソリューションの中核をなすものとして独創的なデータセンター・ネットワークの研究開発に力を注いでいます。

さまざまなデータセンター

データセンターの形態はさまざまで、ビジネスニーズや達成すべき目標に応じて、その用途、規模、設計は異なります。データセンターには、以下のタイプのものがあります。

• オンライン・トランザクション・プロセス・センター：トランザクション時間に対する厳しい制約のある中で、トランザクション結果によって金融上の処理を実行します（為替取引プラットフォーム、オンライン金融サービス、オンライン小売販売）

• マルチメディア・コンテンツ配信：品質や一貫性に対して厳しい要件が課せられます（オンライン・エンターテインメントおよびニュースの配信、ビデオ会議サービス、ライブ会議サービス）。

• 膨大な量の計算を伴うプロセス（国家防衛、ロジスティックスおよび製造ラインの制御、航空管制システム、科学研究、経済モデル作成）

• エンタープライズ規模での一般的な業務プロセス（CRM、ERP、人事、財務会計、メッセージ/コミュニケーション）

• 基本的なビジネス・オペレーション向けの、管理が容易でコスト効果と信頼性に優れたデータセンター・インフラストラクチャ



データセンターのタイプによって、その要件は大きく異なります。あるデータセンターでは最小限のレイテンシと最大限の可用性が求められ、別のデータセンターではQoS（Quality of Service）、拡張性、高可用性（HA）に対して総合的な監視が求められるケースもあります。あるいは、可用性や堅牢性は多少低くなってもコストを最小限に抑えられるデータセンターが望まれることもあります。

企業向け、またはクラウド型のデータセンターのサポート

データセンターは、多様なビジネスニーズに幅広く応えるために進化してきましたが、さまざまな目標を達成できるソリューションを設計する際には、考慮すべきことが多数あります。データセンター・アーキテクチャと密接にかかわり、多様な目標に対応できる新しく強力なパラダイムとして、この数年間で、クラウド・コンピューティングという概念が誕生しました。

クラウド・コンピューティングでは、ネットワークを介して、共有されたリソースプールからサービスが動的に提供されます。これらのリソースはクラウド内に置かれ、要求に応じて、いわゆるオンデマンドで提供されます。リソースのタイプやその場所は、エンドユーザー側から透過的に確認することもできます。ただし、エンドユーザー側から第一に求められるのは、アプリケーション、データ、コンテンツがセキュアでありながらいつでも利用でき、ある一定の品質レベルを維持していることです。

クラウド・コンピューティングは、インフラストラクチャの観点から見ると、コンピューティング、ストレージ、ネットワークの各種テクノロジーによるリソースプールを最大限に活用し、自動化され、オーケストレーションが行われ、論理的に分散化された環境での動的なリソース割当てによって、広範なアプリケーションに対応しています。オーケストレーションを行うことで、リソースはデータセンター内あるいは複数のデータセンターにまたがってプールされ、ユーザーのニーズに動的に応える環境を構築できます。

多くの組織では、クラウド・コンピューティングの要素をすでにいくつか採用していますが、その形態はさまざまです。以下に、代表的なクラウドモデルを示します。

• プライベートクラウド：独立した組織内（会社、政府機関、公共機関など）のユーザーやグループに対して、クラウドからサービスを提供します。

• パブリッククラウド：クラウドのプロバイダが提供するサービスに応じて、公共のネットワークを介して、各種アプリケーションの利用環境を広範なユーザーに提供します。

• ハイブリッドクラウド：組織が自社のプライベートクラウドとパブリッククラウドの機能を組み合わせて、複合的なサービスメニューを提供します。

クラウド・コンピューティングのパラダイムをデータセンター・ネットワークに適用することにより、ビジネス目標を達成するための具体的な判定基準を明確にしながら、多岐にわたるビジネス要件やアプリケーション要件を満たすことが可能となります。

ソリューションプロファイルの概要データセンターおよびクラウド向けリファレンス・アーキテクチャ

ジュニパーネットワークスが提示するデータセンターおよびクラウド向けリファレンス・アーキテクチャとは、設計者が以下の事柄を達成し、データセンターを最適化するためのフレームワークです。

• パフォーマンスの低下あるいは構造や運用を複雑化させることなく、スケールアップやスケールアウトが可能

• 高可用性の維持

• レイテンシを最小限に抑制

• キャパシティとスループットの最大化

• 高度化する脅威に対するダイナミックな保護

• 多様なアプリケーションフロー（さまざまなサービス、方向、制御）をサポート

• 電力消費を最小限に抑制

• 標準化された規格の採用

• 付加価値のあるオープンなアーキテクチャの採用

ジュニパーのアーキテクチャは、現在ある多様な顧客環境に十分対応できる堅牢性を備えています。また、データセンター・ネットワークの特定箇所にターゲットを絞って実装したり、もしくは、ネットワーク全体を設計するための基盤として前述のデータセンターのさまざまなニーズを満たすために導入することもできます。



クラウド・コンピューティングへの移行が活発化する中で、このリファレンス・アーキテクチャは、組織のビジネス目標を達成するために不可欠な多様なアプリケーション環境をサポートし、プライベート、パブリック、またはハイブリッド型のクラウド・コンピューティング・サービスを実現するための柔軟性を備えています。

本書は、クラウド・コンピューティングをすでに導入し始めているかどうかにかかわらず、クラウド環境を検討中のあらゆる組織を対象としています。データセンター・アーキテクチャ向けのクラウド・コンピューティングの導入による注意点について述べるとともに、今後クラウド・コンピューティングの導入に着手するうえで参考となる情報を提示します。

ジュニパーネットワークスは、多様な組織のニーズを確実に満たせる最高品質のリファレンス・アーキテクチャを提案することを目標としています。ただし、組織のビジネス目標が最優先されるべきであり、クラウド・コンピューティングは最終目標ではなく、あくまでもビジネス目標を達成するための活用モデルであることに留意してください。

今日のデータセンターのキー・トレンドここでは、今日の主要な市場動向やテクノロジー動向をいくつか挙げながら、それらがデータセンター要件に本質的に与える影響について説明します。

進化し続ける業務アプリケーションのアーキテクチャ

多くの企業は、自社の業務アプリケーションに大きく頼っています。業務アプリケーションを使用することで、社内では従業員のトランザクションが可能となり、社外ではパートナー企業や顧客との協業を行い、さらにはビジネス上の競争力を高めるための各種機能を利用できるようになります。世界規模での競争力が必要とされる現在、アプリケーションがいつでもどこからでも利用できることは不可欠です。業務アプリケーションが要求に応じて実行されれば事業の成功につながりますが、要求に対応できなければ事業が継続できません。同時に、さまざまなアプリケーション・アーキテクチャを組み合わせた複合型形態の進化についても、その特長やサポートすべき重要性について考える必要があります。多くの場合、これらは多数のフローが組み合わさった複合的構造や階層的構造を成しています。必要なコンテンツだけを組み合わせた限定的なものがある一方で、他方では、より流動的で、ユーザーの選択に応じてさまざまなコンテンツやトランザクションを組み合わせたものもあります。データセンター・アーキテクチャの最も重要な要件とは、このような多種多様なアプリケーションを確実にサポートできることです。こうしたアプリケーションのタイプとしては、SOA（Service-Oriented

Architecture）、SaaS（Software as a Service）、Web 2.0、ユニファイド・コミュニケーション（UC）、ストリーミング・サービスなどがあります。

サーバーの仮想化

より高機能なサーバーの配備、よりオープンなアプリケーションデザインの採用、そしてデータセンター・インフラストラクチャへの少ないデバイス配備で高いパフォーマンスを達成しようという動きに合わせるように、サーバー・インフラストラクチャで仮想化を採り入れるケースがますます増えています。そして、各物理サーバー内では仮想スイッチングを実現するためのレイヤーが追加され、個々の仮想マシンはネットワークに接続されます。複数の論理ホストが個別の物理サーバー上で稼働するので、ネットワーク内で個々の仮想マシンを識別できるようにし、独自の論理ドメイン内で正しく動作させなければなりません。このように、仮想ネットワークと物理ネットワークのそれぞれの設定を関連付ける必要性がでてくるとともに、アプリケーションのワークロードを柔軟かつシームレスに調整する方法が注目されてきています。

帯域とキャパシティに対する要求の増大

リッチ・メディア・アプリケーションの登場、ユーザーやデバイスタイプの急増、コンピューティングおよびストレージ機能の利用拡大、各種アクセス方法の出現により、技術革新はますます進みます。帯域の観点から見ても、ギガビットイーサネットの登場から10GbE、40GbE、そして100GbEリンクへと発展してきており、今後もデータセンター・ネットワークの構築要件は厳しさを増すことは明らかです。

運用コストの削減

世界経済の変化や、IT投資がもたらすビジネス価値への期待が高まることなどを背景に、コスト削減を求める声はますます高まっています。高可用性および障害回復性能に対する要件が厳しくなる中で、特にITおよびデータセンター・ネットワークの保守管理に関連した運用コストの削減は重要な課題です。

セキュリティ上の脅威からの保護

セキュリティ上の脅威や攻撃は、日々姿を変え、正当なトラフィックに隠れて侵入できるよう、ますます巧妙化しています。企業は、常に遅れをとらないよう、こうした最新の攻撃や脆弱性に対して適切な保護措置がとれているかを日々確認しているのが現状です。新しいアプリケーションが多数登場する中で、セキュリティ環境も変化し続けています。既存の侵入検知防御技術で対応できるものもまだありますが、単に送信元/送信先アドレスやポート番号などを特定できるだけでは、もはや十分な保護機能とはいえません。このように、進化し続けるセキュリティ上の脅威に対しては、トラフィック上でアプリケーションを識別できるアプリケーションで対応することが必要となります。



ファイバーチャネルとイーサネット・ネットワークの統合

設計思想の進化によって、多種多様なサーバーやコンピュータからネットワークを介してアクセスできるよう、ストレージを共有プール化できるようになりました。サーバー～ストレージ間の通信を処理するための専用テクノロジーが登場したことで、ストレージトラフィックとアプリケーション・トラフィックで同じネットワークを共有できる、ストレージおよびイーサネット集約型のデータセンター・ネットワークの設計が求められています。この環境が整えば、コストの節約と運用効率の向上が達成できることになります。

要件企業やデータセンターが追求する多岐にわたるビジネス目標に注目すると同時に、複数のアプリケーション・アーキテクチャが組み合わさった複合型な形態の進化とその特長についても考える必要があります。多くの場合、これらは多数のフローが組み合わさった複合的構造や階層的構造を成しています。必要なコンテンツだけを組み合わせた限定的なシステムがある一方で、他方では、ユーザーの選択に応じて、より流動的でさまざまなコンテンツやトランザクションが組み合わさるものもあります。たとえば、SOAおよびWeb 2.0

アプリケーションがネットワークに与える最も大きなインパクトは、トラフィックの負荷とパターンの変動性です。どちらもネットワーク・インフラストラクチャに対する新たな要件となります。ネットワーク計画が適切でないと、新しいSOAまたはWeb 2.0のようなマッシュアップ・アプリケーションを導入するたびに、輻輳、パフォーマンスの問題、アプリケーション障害が発生するリスクに直面することになります。レイテンシ、ジッター、パケットロスによる影響を予測し把握することは、ユニファイド・コミュニケーションおよびストリーミング・サービスを成功させるうえで最も重要です。

幅広いアプリケーションを確実にサポートできることは、データセンター・アーキテクチャの最も重要な要件です。以下に、自社アプリケーション・インフラストラクチャが進化すべき方向性を計画し、その変化がデータセンターに与える影響を検討する際に必要となる主な要件を示します。

パフォーマンス：企業の顧客、パートナー企業、および従業員にとって、業務アプリケーションは情報の取得、トランザクションの成立、業務の遂行を実現するなど、目的を達成するためのツールです。従業員の生産性を向上させ、顧客満足度を高め、事業収益を上げるためには、ハイパフォーマンスなアプリケーションが不可欠です。アプリケーションやデータセンター・ネットワークのパフォーマンスを評価する上で最も基本的な指標となるのは、アプリケーションの応答時間です。

スケーラビリティ：既存のコンピュータ環境およびネットワーク環境では、システム拡張や構成変更を計画することはコストも時間もかかる作業です。既存のデータセンターでキャパシティが限界に達しても、業務アプリケーションをコスト効果の高い方法で拡張できる準備を常に整える必要があります。

アクセシビリティ：モバイルが活用され、変化のスピードが速い現代の環境では、ユーザーは世界中のあらゆる場所から、あらゆるタイプのコンピュータとネットワークを介して、24時間アクセスできることを求めています。企業であれば、本社、拠点/支店、その他の営業所、ホームオフィス、無線ホットスポット、携帯電話ネットワークなど、あらゆる場所からのアクセスをサポートしなければなりません。

機動性：世界的に経済活動が活発化し、そのペースも速まる中、組織はニーズの変化や市場動向に迅速に対応できる準備が必要です。ユーザーがインフラストラクチャ・リソースを迅速かつコスト効率よく簡単に見つけられるようになれば、機動性が高まります。機動性を高める業務アプリケーションを採用することで、開発期間を短縮し、組織の競争力を強化しながら、市場におけるシェアを拡大することができます。

可用性と継続性：障害に対して耐性が100%であるアプリケーションなど存在しません。企業の競争力を維持するには、自社の業務アプリケーションが競争相手のものと少なくとも同等の可用性を備えていたり、障害が発生しても生産性に影響しないような措置を講じておくことが必要です。万が一、障害が発生した場合には、最小限の中断でアプリケーションをオンラインに素早く復帰できることや、関連するユーザーデータが適切に保護され、利用可能な状態に迅速に復元できることが求められます。

セキュリティ：セキュリティは、ビジネス環境におけるほぼすべての事柄と関係する多面的な課題です。組織のビジネスデータが漏洩したり、あるいはアプリケーションの可用性が維持できなくなることの無いよう、高度化するセキュリティ上の脅威に、素早く効果的に対応しなければなりません。また、共有環境で業務がセキュアに保護され、業界のコンプライアンス要件や法的な要求事項を満たす必要があります。業務アプリケーションでは、SLA（サービス品質保証契約）を満たすとともに、厳しいリアルタイム要件を満たすことが必要です。

管理性：運用コストを削減するには、設定、監視、メンテナンスをはじめとする、あらゆる管理タスクを簡略化できるようにデータセンター・ネットワークのオーケストレーションを行う必要があります。



クラウド対応データセンターにおける機能領域クラウド型データセンターからアプリケーションを提供するには、組織は必要なタスクを機能領域ごとに適切に分割することが必要です。各機能領域で効果的なアーキテクチャ選択をすることで、設計者は、レイテンシ、可用性、セキュリティ、および拡張性のそれぞれでアプリケーション目標を達成できるようになります。

図1に、最も理想的なデータセンター・ネットワークとして考えられるフレームワークを示します。このフレームワークには、以下の領域とその機能面での相互関係が含まれます。

• ネットワーク・インフラストラクチャ：データセンター内および複数のデータセンター間で、ユーザーとデータセンターの間でアプリケーションやサービスを提供する接続性と伝送経路を提供します。ネットワーク・インフラストラクチャは、アクセスネットワーク、コアネットワーク、エッジネットワークの3つのサブコンポーネントから構成されます。

• コンピューティングおよびストレージ：アプリケーションを稼働させるためのコンピューティングおよびストレージ・インフラストラクチャです（ラックマウントおよびシャーシベースで、費用対効果が高く、マルチコアで、非構造コンテンツを取り扱う高構造化トランザクション・データベースを伴う）。コンピューティングおよびストレージ機能領域では、ERP（Enterprise Resource Planning）、SaaS、SOA、Web 2.0アプリケーションをはじめとするあらゆる業務アプリケーションがホスティングされます。

• サービス：セキュリティ、ユーザー認証、権限付与、さらにはアプリケーション・アクセラレーション、DPI（ディープ・パケット・インスペクション）、負荷分散を含むアプリケーション・サポートを提供します。

• 運用管理およびオーケストレーション：クラウド・コンピューティング・インフラストラクチャの全要素を統合し、効率性と応答性の高い監視、管理、および計画を行えるようにします。

図1. データセンター・リファレンス・フレームワーク

各コンポーネントの特性、要件、利用可能なテクノロジーは異なりますが、ジュニパーネットワークスでは、それらを高度なテクノロジーによって共通クラウド・コンピューティング・アーキテクチャに統合し、個別要件および総合的要件を満たすことを可能にします。これらの各機能コンポーネントについて、まず業務アプリケーションから順に説明します。

サービス

セキュリティ

ネットワーク・インフラストラクチャ

エッジ

コア

アクセス

運用管理およびオーケストレーション

アクセラレーション

サーバー負荷分散

コンピューティング IPストレージ



クラウド対応データセンターに移行するためのジュニパーのアプローチ主要な機能領域にわたってデータセンターの効果を最大限引き出すために、ジュニパーでは設計を多次元的に最適化する戦略を提案しています。これは、ネットワークの最大限の簡素化、共有、セキュリティ強化をデータセンターで実現できるもので、さらには多機能な自動化ツールのスイートも提供されます。これらの一つ一つが、ソリューション設計者が利用可能な価値をもたらし、重要なアプリケーションを提供するという目標を達成できるようになります。

1. 簡素化：データセンター・ネットワークの簡素化とは、必要となるネットワーク要素の数を最小化することを意味します。簡素化によって、設備投資および運用の両コストを削減します。また、簡素化には、一貫性のあるアーキテクチャで実装されたソフトウェアやコントロールを用いて、データセンター・ネットワーク・オペレーションを合理化することも含まれます。

2. 共有：データセンター・ネットワークの共有化とは、多種多様なアプリケーションおよびユーザーグループをサポートし、最大限の機動性を持つ大規模なリソースプールを相互接続するために、インフラストラクチャに対してインテリジェントに（かつ多くの場合動的に）パーティショニングを実行することを意味します。多くのケースで、個別の物理エンティティ（スイッチ、ルーター、アプライアンスなど）上で、複数の論理オペレーションを実行できるような高度な仮想化技術が駆使されます。

3. セキュア：データセンター・ネットワークのセキュリティを強化する際、多数のアプリケーションが現在使用している高機能で分散型のアーキテクチャをサポートできるように保護を強化することが必要です。これには、従来のペリメータ型防御の範囲を広げて強化するような、堅牢で多次元のモデルが求められます。つまり、よりきめ細かく迅速に対応するセキュリティポリシーを設定することが可能となれば、外部から受け取る情報とデータセンター内に格納されているデータを安全に共有しながら、それと同時にOSやアプリケーションに組み込まれている機能を補完することができるようになります。

4. 自動化：自動化とは、管理、運用、およびアプリケーションに関する各タスクを実行する際の主要な手順をとらえ、データセンターの運用全般に対してソフトウェアにタスク実行を組み込むことでインテリジェントな管理機能を付加価値として提供することです。これらのタスクには、複数の異種要素にわたる設定の同期、各種条件下の重要なオペレーションの開始および停止、管理者が把握すべき重要なオペレーションの診断や分析が含まれます。

このハイレベルなフレームワークを念頭に、各機能コンポーネントと、それぞれの要件や利用可能なテクノロジーについて説明します。

ネットワーク・インフラストラクチャデータセンター・ネットワークを設計する際、データセンター内、データセンターとユーザーの間、クラウド内の複数のデータセンター間で生じる通信について考慮しなければなりません。このインフラストラクチャでは、以下の3つのドメインの各種要素が顧客のニーズに応じてさまざまな方法で組み合わされます。

• アクセスネットワーク

• コアネットワーク

• エッジネットワーク

アクセスネットワークでは、共有されるエンタープライズ・サーバー、アプリケーション、ストレージデバイス、およびデータセンター施設で必要となるIPデバイスまたはOAデバイスに対する接続性が提供されます。大半のデータセンターのアクセススイッチは、トップオブラック（TOR:Top of Rack）またはエンドオブロー（EOR:End of Row）に収容されます。

コアネットワークでは、複数のマルチアクセス・ネットワーク・デバイス間の高速パケットスイッチングを可能にするファブリックが提供されます。コアレイヤースイッチは、そのネットワーク内での位置ゆえに、高い拡張性とパフォーマンス、高密度、ワイヤレートポートを備え、さらにはキャリアクラスの信頼性と堅牢性を備えた高可用性ハードウェアおよびソフトウェア機能を提供しなければなりません。コアネットワークは、WANエッジなど他のモジュールが接触するゲートウェイの役割を果たします。一般に、高レベルスループットを実現する10GbEインタフェースを備え、オーバーサブスクリプション・レベルに対応する最高レベルのパフォーマンスが必要です。また、データセンターで送受信するデータに対して高速スループットを提供し、障害許容力の高い、マルチアクセス・レイヤー・デバイスに対するフェイルセーフのレイヤー3の接続性を提供します。

エッジネットワークでは、各種エンド・ユーザー・ネットワークへの通信リンクが提供されます。これには、プライベートWANまたはキャンパス・バックボーン、モバイル・アクセス・ネットワーク、VPN、その他のインターネット・アクセスが含まれます。こうした接続が備える高いパフォーマンスと信頼性によって、ユーザー・エクスペリエンスが向上します。また、機動性を備えていることから、ユーザーは必要なときに必要な場所からアプリケーションやサービスにアクセスできます。さらに、マルチレイヤーのセキュリティコントロールによって、ユーザー、アプリケーション、データは適切なレベルで保護されます。



図2に、リファレンス・フレームワークのネットワーク・インフラストラクチャ機能領域を示します。

図2. リファレンス・フレームワークのネットワーク・インフラストラクチャ

アプリケーション・トラフィック・フロー

これまで、アプリケーションはきわめて特有のトラフィックフローで設計されていました。一般に、クライアントシステムから送信された要求は、単一のアプリケーション・サーバーにルーティングされ、クライアントに直接応答が返されていました。このクライアント/サーバーモデルは、南北方向だけの通信モデルであるといえます。アプリケーション・パフォーマンスと応答時間の向上を望む声が強くなったこと、さらに仮想化技術の採用が拡大したことから、アプリケーション・アーキテクチャは様変わりしました。また、より分散化されたモデルによってアプリケーション・トラフィック・フローも変化しています。現在では、クライアントシステムから送信された要求は、アプリケーションにルーティングされますが、要求によっては、複数サーバー間で情報共有が行われてから最終的な応答が返されるようになっています。さらに、これらのサーバーを複数の物理マシンや場所にわたって配備できるようにもなりました。こうした変化から、ネットワーク・インフラストラクチャでは、増加するサーバー～サーバー間の通信ストリームを処理できるようにアプリケーション・インフラストラクチャの機能性を最適化する必要があります。

簡素化されたネットワーク・インフラストラクチャ

データセンター・ネットワークに関するもう1つの傾向として、コストを抑えながらそれと同時に拡張性や機動性を備えることに対する継続的なニーズがあります。新しいアプリケーションやビジネスモデルが登場する中で、これまで適切であったネットワーク設計も、今ではITインフラストラクチャに対する新たな要件や、より重要な新たなビジネス要件そのものをサポートしきれなくなっています。断片化され、オーバーサブスクライブ型の分岐したツリー構造のネットワークは、拡張性とパフォーマンスの安定性の面で問題を抱えています。デバイスが追加されるたびに、設計と管理は複雑化し、管理運用コストも飛躍的に増加します。簡素化されたネットワーク・インフラストラクチャであれば、コストや複雑化に伴う諸問題を軽減しつつ、拡張性に対する要望も満たすことができます。

分散型データセンター

急激な成長、帯域およびレイテンシに関する問題、さらには、設置場所、電力、冷却キャパシティに関する要件などにより、データセンターの設置場所も増加傾向にあります。簡素化と統合を進めることに対するニーズがますます拡大している中で、組織は、ネットワーク・インフラストラクチャでこうした拠点間を接続できる方法を模索しています。

サービス

セキュリティ


エッジ

コア

アクセス







アプリケーション・インフラストラクチャにおいて機動性、応答性、拡張性に対する要求が高まる中、複数のデータセンター内で稼働するすべてのサービスに対して、同じ機動性、応答性、拡張性が実現されることが不可欠です。ネットワークには、分散しているユーザーやアプリケーションに柔軟かつ信頼性の高い方法でサービスを提供できる透過的なプラットフォームとして機能することが求められます。

ジュニパーのアプローチ

ジュニパーネットワークスは、ハイパフォーマンス・グローバル・ネットワーキング分野で培った経験を活かし、これまで述べてきた動向から生じる新たな要件にも対応します。ジュニパーは、製品、テクノロジー、サービス、さらには設計知識を組み合わせて活用するアプローチによって、最大限の効率性、拡張性、コスト効果を引き出すデータセンター・ネットワークを構築します。以下に、主な特長を示します。

アクセス階層では、ジュニパーのスイッチ製品を配備し、すべての物理スイッチを高キャパシティのバックプレーンに接続する柔軟性の高いバーチャルシャーシを構成します。これにより、サーバー～サーバー間のトラフィックパターンで経由しなければならないアップリンク数が、場合によってはゼロまで減ります。SOA、Webサービス、その他の分散型アプリケーション設計におけるサーバー～サーバー間の通信のパフォーマンスは大幅に改善され、データセンター・ネットワークを簡素化しつつ、同時に今日のアプリケーション・インフラストラクチャの課題に取り組むことができるようになります。

コアでは、ジュニパー製品によってデータセンター・ネットワークが簡素化され、コストも節約でき、複雑さも軽減されます。バーチャルシャーシ・テクノロジーなどのファブリック・テクノロジーを採用することで、データセンター・ネットワークを、一般的な3階層から2階層へとフラット化することができます。この新しいテクノロジーによって、スパニングツリーに依存しないシンプルなトポロジーが採用でき、ビジネスの成長に合わせて拡張できるようネットワークを最適化できます。

エッジでは、ジュニパー製品を導入することで、企業やサービスプロバイダはMPLSベースのネットワーク・アーキテクチャやサービスを実装できるようになります。ジュニパーのプラットフォームでは、MPLS機能やジュニパーネットワークスJunos®オペレーティング・システムによる広範な機能が提供されます。Junos OSとジュニパーの優れたシリコンおよびプラットフォーム・アーキテクチャの設計とを組み合わせることで、旧来のような幅広いMPLS機能をサポートできない、あるいは効率的に管理できないほど複雑化した、扱いづらいモノリシックな構造のプラットフォームとは異なり、数多くのメリットを享受することができます。ジュニパーのプラットフォームは、パフォーマンスを犠牲にすることなく業界内で最も包括的で高度なルーティング機能を備えています。こうした機能には、トラフィックのセグメント化やMPLSによるバーチャリゼーション、超低レイテンシのマルチキャスト、包括的なセキュリティ機能、QoSの実行機能が含まれ、リアルタイム要求性の高いアプリケーションやサービスを迅速に提供できるようになります。ジュニパーネットワークスMX

シリーズ 3D ユニバーサル・エッジルーターは、グレースフル・リスタートやノンストップ・ルーティング、MPLSファストリルート、統合型ISSU（In-Service Software Upgrade）、VPLSマルチホーミングをはじめ、キャリアクラスの信頼性と高可用性を備えた機能を提供します。これらの機能を組み合わせることで、複数のデータセンターを相互接続する透過的な仮想クラウドを構築できる比類のない優れた基盤となります。

コンピューティングおよびストレージ・インフラストラクチャ

ここでは、データセンター・インフラストラクチャ全域でコンピューティングおよびストレージの要素が受け持つ役割を理解するための特性や傾向について説明します。データセンターは、特にアプリケーション・ロジックの実行方法に大きく影響するので、これら要素の最適な動作をサポートするようにデザインしなくてはなりません。後述するように、データセンターにおけるコンピューティング、ストレージ、およびネットワークの各要素には特徴的な関係が成り立っており、確実なサービス提供には各領域の設計の最適化が必要です。

サーバー仮想化によって、大量のアプリケーションワークロードを、これまで以上に機動性、効率性、信頼性の高い方法で導入することができるようになりました。ストレージ・インフラストラクチャの領域では、補完的な仮想化と効率性、データ処理およびレプリケーション用の高速データ転送を組み合わせることで、アプリケーション全体のパフォーマンス、機動性、可用性が改善されてきています。さらに、データセンター・ネットワーキング全般を簡素化できるようなI/Oコンバージェンス(統合)が発展してきており、無駄なコストのかかるインフラストラクチャを排除して、単一の統合されたネットワーク上でクラウド対応アプリケーションを多種多様にサポートできるようになります。こうしたメリットを、順に説明していきます。図3に、リファレンス・フレームワークのコンピューティングおよびストレージ機能領域を示します。



図3. コンピューティングおよびストレージ

仮想サーバーのインフラストラクチャの統合

サーバー仮想化によって、データセンターの物理サーバー数が削減され、急激に変化するビジネスニーズに対応できる柔軟性が得られますが、同時にデータセンター・ネットワークに直接関与する課題も生まれます。仮想マシンの導入は、個別の物理マシンで発生するトラフィックの負荷密度の上昇につながります（物理サーバー上の各仮想マシンでOSとアプリケーションが稼働するためです）。これは、ネットワークリンクの利用率を上昇させ、特に仮想マシンの動的な構築とマイグレーションを考えたときに、ネットワーク・ファブリックに対する負荷が厳しくなります。

仮想マシンを導入すると、物理サーバー内および仮想マシン間で通信するためのネットワーキングの論理（または仮想）レイヤーが追加されます。仮想的なネットワーク拡張を行うことで、物理サーバー内および物理サーバーと残りのネットワークの間で、個別の仮想マシンを行き来するトラフィックを分離または接続できるようになります。そのため、ネットワーク内の物理部分と仮想部分での設定、状態、ポリシーの統合管理が必要になります。

サーバーやネットワークのワークロードの変動に伴って、データセンター・インフラストラクチャでは、エンドユーザーに完全に透過的な方法で高速かつオンデマンドなリソースの再割当てに対応できることが必要です。コンピューティングのキャパシティも、アプリケーションやサービスの中断なく要求に対応できるように拡張されなければなりません。この拡張性を実現するには、単一のデータセンター内で高密度なシステムを構築するとともに、複数データセンター間にまたがって処理能力を柔軟に提供できるように設計する必要があります。

仮想化技術が複数のOSやコンピューティング・プラットフォームでサポートされるようになったことで、データセンター・ネットワークの設計者は、仮想化されたサーバー環境がネットワーク・アーキテクチャに与える影響を評価しなければなりません。

• リンク使用率の上昇（複数の仮想マシンが個々の物理サーバー上で稼働するようになった）、および関連するリソースの増加（物理サーバーあたりのMAC（Media Access Control）アドレスおよびIPアドレスの増加、アプリケーション数の増加）によって増加した処理能力

• 運用上のリスクの増大による、可用性に対する要件の拡大（1台のサーバーが停止すると、多数の仮想マシンが停止する）

• 物理ネットワークと仮想ネットワークの動的かつスケーラブルな統合を行うための、標準化規格と自動化の重要性の高まり

• ネットワークベースのサービスの重要性の高まりと、ネットワーク・パフォーマンスに影響するファイアウォール、IPS（侵入防御システム）、ロードバランサーなどの仮想インフラストラクチャとの関係性

サービス

セキュリティ


エッジ

コア

アクセス







アプリケーションのSLAを満たすために十分な帯域をプロビジョニングすることは、最重要課題です。従来のオーバーサブスクリプション型のネットワーク設計は、リンク使用率が上昇して動的なトラフィックフローが増加すると、対応しきれなくなります。データセンター設計者は、SLAを満たすために、サーバーおよびネットワークの両方のインフラストラクチャでリンク帯域幅の拡大を検討しなければなりません。

クラウド内で負荷分散を行うためには、一部の仮想マシンを、データセンター内または他のデータセンターの物理マシンに移行する必要性が出てきます。ネットワークは、こうした移行に対応できる機動性を備えている必要があります。

この環境では、ネットワークと仮想サーバーは、仮想マシンの設定やポリシーの変更に合わせて、自動的に同期できることが重要です。これは、SLAの管理だけでなく、監査要件やコンプライアンス要件を満たすために不可欠です。仮想サーバーのネットワーク構築を成功させるには、アーキテクチャで、標準化作業が進められているイーサネット・プロトコルIEEE 802.Xファミリーの拡張規格をサポートし、VEPA（Virtual Ethernet Port Aggregator）と呼ばれる物理ネットワークと仮想ネットワークの設定の同期化をサポートする必要があります。これらの標準化規格を採用すれば、仮想サーバーの導入における顧客の選択肢が増えるとともに、使用するアプリケーション数やハイパーバイザーの種類にかかわらず、機動性と高いパフォーマンスをもって確実なネットワーキング環境をサポートできます。

仮想サーバー環境を適切にサポートするには、アプリケーションに対してエンドツーエンドのセキュリティ・アーキテクチャを提供することも重要です。仮想サーバー環境では、ネットワーク・アクティビティの監視、トラフィックのインスペクションおよびフィルタリング、個別のセキュリティドメインの維持など従来のセキュリティ・プラクティスはあまり有効ではありません。仮想マシン間のトラフィックは、物理ネットワークに流出せず、物理ネットワーク側の監視やセキュリティ機能によって保護されないため、仮想マシン間通信は特にセキュリティ面で見落としがちな箇所となります。

仮想サーバー（またはクラスタ）を通過するトラフィックをフィルタリングするだけでは、十分な解決策とはいえません。仮想環境内でのリスク、特に仮想マシン間通信に関連するものを軽減するには、個別の仮想マシン単位での徹底した防御が不可欠です。効果のある多層的な防御を実現する際には、ホストサーバーの処理能力を維持しながら、防御対象のマルウェアを完全に切り離さなければなりません。ハイパーバイザー環境で稼働する仮想アプライアンスの機能と、物理データセンター・ネットワークのセキュリティ機能を統合するアプローチによって、仮想マシンおよびクラウドをエンドツーエンドで保護できる統合された複合的で多階層の設計が実現できます。

新しいタイプのデータセンターでは、複数の物理ホストにまたがるマイグレーションに伴って、仮想ネットワークとセキュリティ・プロファイルの管理や、仮想マシンの設定変更が必要になります。物理ホストをまたいでのプロファイル管理は難しく、サーバー統合後の動的リソース割り当てまでのサーバー仮想化を実現しようとする組織の取り組みを妨害しかねません。ジュニパーでは、こうした要件を満たすために、バーチャル・コントロールなどのJunos Spaceアプリケーションを用いて、物理ドメインと仮想ドメインの間で仮想マシン設定やスイッチ・ポート・プロファイルを統合管理できる機能を提供しています。

I/O統合

現代型のデータセンターの構築と運用はますます複雑化し、そのコストも高くなる中で、組織は、よりシンプルなデータセンター・インフラストラクチャで効率性を上げる新たな方法を模索しています。データセンター・ネットワーキング機器のコストは、サーバー・ハードウェアやソフトウェアと比較すれば低いものの、基盤となるネットワーク・ファブリックはすべてのミッションクリティカルなリソースを繋げる要となります。よりシンプルで合理化されたデータセンター・ファブリックを採用すれば、効率性と生産性を高めながら、運用コストを抑えることができます。さらに、共有（統合または分散）ストレージは、それがファイルベース（NAS（Network Access Storage））またはブロックベース（iSCSI（Internet Small Computer System Interface）、ファイバーチャネル、FCoE（Fibre Channel over

Ethernet）を使用したSAN（Storage Area Network））であっても、データセンターおよびクラウド向けのコンピューティングおよびストレージソリューションで効果を上げるためには不可欠な要素です。これらを組み合わせて、高度に仮想化されたシステムさらには仮想ネットワーク・インフラ全体をサポートすることができます。

これまでは、別々に構築した複数の物理ネットワーク・セグメントまたはネットワーク・インフラを接続するために、複数のI/Oカードを備えたサーバーが配備されてきました。たとえば、ディスクアクセス用に2つのSAN、そしてバックアップ用に別のSANまたはLAN、クライアント/サーバーまたはキャンパスLAN接続用に2つのLAN、帯域外管理用、VMotion、およびクラスタのトラフィック用のネットワークが構成されていました。I/O統合により、こうしたインタフェースやネットワークの数を減らすことができます。この手法は、iSCSIを用いたNASや最新のFCoEなど、イーサネットベースまたはIPベースのストレージ・テクノロジーとともに導入が増えています。

データセンターへの10GbE導入がコスト的にも無理なく迅速に行えるようになったことで、以前はインフィニバンドやファイバーチャンネルを利用していた接続タスクを、今後はイーサネットが担い、データセンター・ネットワーキング・テクノロジーの主流となります。I/

Oカード数やネットワークポート数を削減することで、さまざまなコスト削減が実現できます。



DCB（Data Center Bridging）は、ストレージ・ネットワーク・トラフィックに課せられる厳しい要件をサポートするために必要な機能で、I/O統合をサポートするためにIEEEで標準化作業が進められている規格です。ロスレス伝送や遅延制約伝送をサポートするうえで必要なさまざまな機能強化を推進するため、ネットワーク、ストレージ、CPU、ASIC、サーバー、NIC（ネットワーク・インタフェース・カード）の各ベンダーがコンソーシアムを結成して協力し合い、CEE（Converged Enhanced Ethernet）規格の提案書を作成しました。なお、同コンソーシアムが2008年3月にIEEEに提出した最初の提案書では、DCBとイーサネットの物理的および論理的特性を規定したIEEE 802規格に不可欠な4つの要素が提案されています。

1. PFC（Priority Flow Control）̶ IEEE 802.1Qbb

2. ETS（Enhanced Transmission Selection）̶ IEEE 802.1Qaz

3. ECM（Ethernet Congestion Management）̶ IEEE 802.1Qau

4. DCBX（Data Center Bridging Exchange Protocol）̶ IEEE 802.1 DCBX

DCBによるイーサネット通信機能の強化は、NASやiSCSIなど既存のイーサネットベースまたはIPベースのストレージ・ネットワーク・ソリューションの改善に貢献します。また、ファイバーチャネル技術も、ロスレス伝送や遅延制約伝送の実装によって大きな恩恵を受けることになります。

ファイバーチャネルおよびFCoE

ファイバーチャネルは元々、多数の外部ディスクを接続してサーバーグループ間で共有できるように、SCSI（Small Computer

System Interface）プロトコルの伝送メカニズムとして設計されたものです。時間をかけて徐々に機能が強化されてきたこの技術は、現在、高度なサービスや管理ツールもサポートするようになり、データセンター内でミッションクリティカルなストレージトラフィックを送信するうえで不可欠な技術となっています。しかし、アプリケーションのワークロードが増大し、効率性に対するニーズが依然高い中、このファイバーチャネル技術が今後もクラウド型のデータセンターで存続し続けるには、拡張性、パフォーマンス、コストが課題となります。

現在、ファイバーチャネルベースのSANトラフィックをイーサネット上で伝送するという課題への対応策は、INCITS（情報技術規格国際委員会）によって進められています。

FCoEプロトコルを開発しているINCITSのサブグループに、T11技術委員会があります。この規格の最初のバージョンは、FC-BB-5

（Fibre Channel Backbone 5）プロジェクトの一貫として2009年の夏に完成しました。それ以降、T11技術委員会は、FC-BB-6

（Fibre Channel Backbone 6）の一貫として同規格の新バージョンの策定に着手しています。FCoEプロトコルが業界標準として策定されれば、データセンター・インフラストラクチャの統合の実現に近づくことになりますが、FCoEだけでは完璧な統合は行えません。しかし、実現するには、FCoEプロトコルが確実にデータセンターにおけるイーサネットの機能を強化するよう設計されることが不可欠であることは間違いありません。

CEE、FCoE、およびNASの各サブシステムは、データセンターやクラウド向けの効果的なコンピューティングおよびストレージソリューションにとって不可欠な要素です。これらのサブシステムをすべて組み合わせて、高度な仮想システムや仮想ネットワーキング・インフラストラクチャ全体をサポートします。


今日の仮想サーバー環境では、物理サーバー上にゲストOS（仮想マシン）を多数ホスティングするために、さまざまな種類のホストOS

（ハイパーバイザー）のソフトウェア実装が行われています。また、仮想マシン間のスイッチングを行うための仮想スイッチもそのサーバー上で稼働しています。このような状況では、仮想スイッチのセキュリティ設定と環境設定を物理スイッチのそれと一貫させなければならないため、ネットワークが複雑化します。ネットワークの一部がサーバー上で稼働しており、サーバーチームによって管理されているケースも多数あります。このような状況で、サーバーとネットワークの設定方法で一貫性がとれずに、データセンター内のサーバー管理チームとネットワーク管理チームの管理が矛盾するような状況も生まれます。

仮想ネットワークと物理ネットワークで、一貫した設定と可視性を実現するために、ジュニパーネットワークスではWebベースのソフトウェア・アプリケーションであるJunos Spaceバーチャル・コントロールを提供しています。このバーチャル・コントロールは、ジュニパーネットワークスのオーケストレーション・ソフトウェア・プラットフォームであるJunos Space（http://www.juniper.net/jp/jp/

products-services/software/junos-platform/junos-space/を参照）上で稼働するアプリケーション・コンポーネントで、エンドツーエンドの包括的なネットワーク・トポロジー管理、各種設定、ポリシー管理を単一の管理ツール上から行えるようになります。Junos Spaceバーチャル・コントロールを導入することで、データセンター管理は飛躍的に簡素化され、ネットワーク全体で運用の一貫性が図れ、また、可視性も高まり、TCOの削減を実現できます。



図4に、Junos Spaceバーチャル・コントロール・アプリケーションによって管理される物理ネットワークと仮想ネットワークを示します。

図4. Junos Spaceによる物理および仮想の両ネットワークの一貫した管理

Junos Spaceバーチャル・コントロール̶Junos Spaceバーチャル・コントロールを使用することで、ネットワーク管理者は、VMware

vDS（vNetwork Distributed Switch）やジュニパーのスイッチ・プラットフォームのデバイス検出、設定、プロビジョニング、監視が可能になります。この共通の管理画面からは、仮想スイッチング環境や物理スイッチング環境を問わず、同時に設定変更が行え、仮想マシンの稼働をサポートするためのポートプロファイルを動的にマッピングすることでネットワーク・オペレーションが簡素化されます。Junos Spaceバーチャル・コントロールは、VMwareのオープンAPIを利用してこうした機能を実現しています。他の仮想スイッチング環境（Xen、PowerVM、Hyper-V）のオープンインタフェースを使用した場合でも、同様にJunos Spaceとの統合が行えます。また、新たにVEPA（Virtual Ethernet Port Aggregator）と呼ばれる、仮想および物理の両スイッチング環境用のインタフェースを定義する規格が標準化されています。VEPAは、VM間通信に対する中断のないコスト効果の高いソリューションです。VEPAを実装するために、既存のネットワーク・インフラストラクチャを総入れ替えする必要はなく、物理スイッチ上で稼働するソフトウェアに対する最小限の変更で実装が可能です。VEPAを採用することで、物理サーバー上に仮想スイッチを稼働させる必要がなくなるため、各サーバー上で動作できるVM数を増加させてサーバーのパフォーマンスを向上できます。さらに、VEPAは、オープン・スタンダード・ベースで、サーバーやハイパーバイザーにとらわれない標準規格であるため、サーバー仮想化環境を最大限の柔軟性をもって導入できます。VEPAが標準化されれば、ユーザー向けサービスで急速な革新が後押しされるだけでなく、運用上の一貫性、簡素化、効率化が進みます。

標準化が進むVEPA規格には、マルチキャストと呼ばれる重要な機能が含まれます。多くの物理サーバー上には複数の仮想ネットワークスイッチを備えていることから、物理スイッチ側でも、受け取る仮想スイッチからのトラフィックを識別できることが必要となります。この高度な機能には、若干のハードウェア・アップグレードが必要ですが、基本的なVEPAテクノロジーは簡単なソフトウェア・アップグレードで対応できます。

I/O統合̶統合されたデータセンター・ネットワークでは、データセンター・アプリケーションでアプリケーションとデータの間の整合性をとれるように、FCoEおよびDCB規格を堅牢かつ包括的に実装することが必要となります。これらの規格が標準化されるタイミング（FCoEの方がDCBよりも約1年早く開発された）、さらには関連インフラストラクチャのコスト効率の良い段階的な進捗により（初期実装はコスト効果で不十分とのテスト結果から）、統合されたデータセンター・ネットワークは2つのフェーズで導入されることになります。フェーズ1では、ラック内の統合により、独立したLANとSANのインフラストラクチャ間でFCoEゲートウェイを用いてサポートし、部分的な統合によるメリットを得ます。フェーズ2では、DCB規格の完全な機能セットがサポートされることで、両ネットワークが完全に統合されます。これにより、最適化されたデータセンター・ネットワークであらゆるタイプのトラフィックを十分にサポートできるようになります。

こうした標準化作業に積極的に参加し、データセンター・ネットワークのテクノロジーや経済的意味を土台から再検討することで、ジュニパーネットワークスはお客様のビジネスを成功に導くプラットフォームを提供します。さらに、完全な仮想化インフラストラクチャで求められる柔軟性とパフォーマンスを保ちつつ、コストと運用の複雑さを軽減できる、単一の統合されたデータセンター・ファブリックを構築するための実用的かつ革新的な戦略を提供します。

VM

VM

VM

VM

仮想

仮想

物理



サービス前述のように、データセンターでは、高度に仮想化された環境へサービスを提供するために機動性と多様性が高まってきています。管理者は迅速に対応できるようになった反面、対策を講じなければ構築したばかりの環境のパフォーマンスが低下するようなリスクにも直面します。こうしたリスクは、主にセキュリティとアプリケーション・パフォーマンスの分野に見られます。仮想環境で将来を見据えたネットワーク・アーキテクチャとは、多くのリスクの制御および軽減しながら、最適なパフォーマンスを簡単に得られるような機能がネットワーク自体に組み込まれた構造です。つまり、保護機能やアクセラレーション機能がアプリケーションのエンドポイント上で実行される代わりに、連携してネットワーク内で動作する、総合的な効率性、安全性、応答性に優れたシステム・アーキテクチャです。図5に、リファレンス・フレームワークのサービス機能領域を示します。

図5. サービス機能

ジュニパーのデータセンター向けのリファレンス・フレームワークには、仮想化されたサービスの提供に特化した機能の領域が含まれています。ここでは、この領域の機能について説明します。

サービス機能の領域では、データセンター管理者は以下のような重要な問題を解決できます。

• 高度化する脅威̶データセンターおよびクラウドサービスの運用担当者は、アプリケーションの提供、整合性、および機密性を脅かそうとする脅威に対応しなければなりません。こうした脅威としては、サービス中断、DoS（Denial of Service）攻撃、外部への機密漏洩、データ整合性に対する攻撃、身分の詐称などがあります。

• リソースの共有̶リソースを共有することで、仮想化およびクラウドの導入を成功させるために不可欠な拡張性の経済効果を享受できます。しかし、そのメリットを得るには、仮想マシン、アプリケーション、対応プラットフォームなどの共有リソースが損なわれないように適切な措置をとることが必要です。

• 仮想化におけるリスク管理̶従来型のデータセンターでは、リソースとアプリケーションが物理デバイスに直接割り当てられており、物理的な境界線が存在することから、セキュリティは比較的単純なものでした。しかし、リソースの仮想化が進むにつれ、従来のセキュリティ対策では不十分になります。運用担当者が、境界線が物理的なものから仮想的なものへと変化することで生じるリスクを理解してそのリスクを軽減するためには、追加の機能が必要となります。

• きめ細かいポリシー制御̶管理者は、エンドユーザーのソースと接続先のアプリケーションの間のパス全体を保護しなければなりません。これには、インフラストラクチャ全体でセキュリティと認証を行うためのきめ細かいポリシー制御が必要です。詳細な制御を行えることで、整合性が得られ、SLAも満たすことが可能となります。

サービス

セキュリティ


エッジ

コア

アクセス







• トラフィックの整合性と機密性の維持̶多くの場合、クラウドを通過するトラフィックのセキュリティを確保して、データやユーザー情報が漏洩しないようにします。

• QoS̶優れたユーザーの使い心地を実現するために、VoIPトラフィック用の推奨サービスなど、サービスにQoS指標を適用しなければなりません。

• コンプライアンスおよびSLA̶クラウド型データセンターの運用担当者は、監督官庁によって定められた監査要件やリスクアセスメント要件を満たす必要があります。クラウドのプロバイダがこれらの要件を満たし、セキュリティポリシーの施行が効果的に行われていることを示す追加のサービスを導入することもできます。

• アプリケーション・アクセラレーション̶アプリケーション・アクセラレーション・サービスを導入することで、企業内の主要アプリケーションのパフォーマンスを引き上げることができます。対象となるアプリケーションには、ビジネスクリティカルなもの（SAPおよびOracleのERPアプリケーションなど）、または従業員の生産性を向上させるもの（Microsoft Outlookなど）があげられます。

従来の設計では、ユーザーとデータセンター内部の間をゲートウェイで保護していたため、これらのサービスはデータセンターのエッジでのみ必要でした。いわゆる、ペリメータ型の防御と呼ばれるものです。昨今のデータセンター内の統合や仮想化環境の導入、さらにはデータセンター間のフロー管理が行われるようになると、セキュリティ関連およびアプリケーション関連のサービスは、入口だけでなく、データセンター内および仮想システム内の多数の制御ポイントで必要になってきています。仮想マシンで稼働するアプリケーションやハイパーバイザーから、ネットワークのコア、データセンター・エッジ、さらにはエンドユーザーまで、包括的で機動性に優れたアーキテクチャのサービス・インテリジェンスを導入しなければなりません。

適切に設計されたインフラストラクチャでは、必要な場所にサービスを配置して、ネットワーク・トラフィックに対して動的にポリシーが適用されます。サービスの提供は、ネットワーク全体で共有されるリソースプールを用いて最適化されます。

ネットワーク・インフラストラクチャと同様、データセンター内のサービスでは、パフォーマンス、拡張性、可用性のすべてで厳しい要件を満たす必要があります。さらに、きめ細かいポリシー制御と、ユーザー固有およびアプリケーション固有のSLAを満たすインテリジェンスをサポートする必要があります。

サービス機能の領域は、大別するとセキュリティサービスとアプリケーション・サービスの2つの機能グループで構成されます。セキュリティサービスは、クラウド内のリソースへのアクセスを制御し、トラフィックを保護するものです。アプリケーション・サービスは、アプリケーションやインフラストラクチャのパフォーマンス、拡張性、そして機動性を向上し、運用を簡素化するものです。

次のセクションでは、各タイプのサービスについて説明します。

セキュリティサービス

1つのデータセンターで、数千台のコンピューティングやストレージ用の物理アレイを配備し、それぞれで数千の仮想エンドポイントを構築して、数万台のクライアントにアクセスを提供することもあります。こうした環境では、サーバーとクライアントの間のフロー（南北方向）、あるいはコンピューティングおよびストレージシステム間のフロー（東西方向）が複雑に絡み合っています。すべてのトラフィックを調べ、フローやデータの整合性を脅かすようなトラフィックを取り除くためには、包括的で効果的なセキュリティ機能を導入しなければなりません。

図6に、仮想化されたデータセンター環境で保護が必要な、主なトラフィックのフローのタイプを示します。

• データセンター内のサーバー間、あるいはコンピュータおよびストレージシステム間の（サーバーからサーバーへ）東西方向のトラフィック

• サーバーとエンド・ユーザー・システムの間の南北方向トラフィック。エンドユーザーは、世界中のどこからでも、どのようなクライアントデバイスを使用しても、ほぼすべての商業アクセスネットワークを介してアクセスできます。（顧客からデータセンターへ）

• 要件や負荷条件の変化に迅速に対応するためのデータセンター間のトラフィック（データセンターからデータセンターへ）



図6. 新しいクラウド・インフラストラクチャにおける各種のフロー

セキュリティサービスでは、Web 2.0、ユニファイド・コミュニケーション、リッチ・メディア・アプリケーションの導入によって予測不可能で課題の多いトラフィックパターンが増えることを考慮しなければなりません。クライアントが要求を完了するために、単一のデータストリーム（またはTCPセッション）を使用して通信することはもはやありません。新しいアプリケーションでは、単一のユーザー要求を満たすため、複数セッションにわたり複数サーバー間で通信を行うトラフィックパターンによって、さらに難しい課題が生まれます。一つ一つのアプリケーションによる処理において、要件を満たすために、さらに多くのサーバー～サーバー間の通信やより高いレベルのモジュールパフォーマンスが必要となります。さらに、マルチノード・アプリケーション、サーバー仮想化、Storage over IPに関連するトラフィックフローが増え、プロセス全体にわたって、ユーザー識別、データ識別、整合性が課題となります。

ユーザーやシステム管理者レベルでのセキュリティや情報処理は、結局のところ信頼できるかどうかという点での判断となります。仮想化およびクラウドという進化が著しい分野は、信頼度を確保するためのアーキテクチャや設計思想が遅れて登場してきたことによる制限を受けています。幅広く効果的なセキュリティサービスを適切に配備することで、組織は、エンドユーザーや潜在的な利用者に対する信頼度を上げ、要求に応えることができます。

ルーター、ファイアウォール、IPS、VPN、NAC（ネットワーク・アクセス・コントロール）を含む従来型のセキュリティ・プラットフォームは、これまでと同様、データセンターの中核となります。しかし、こうした要素を引き続き使用するだけでは、クラウドの新しい要件を満たすのには十分ではありません。クラウドのセキュリティ面での要件を満たすには、ステートフル・ファイアウォール、IPS、アプリケーションおよびアイデンティティ識別、セキュア・リモート・アクセス・NAC、DNS/DHCP（Domain Name System/Dynamic Host

Configuration Protocol）、AAA（認証、許可、アカウンティング）など相互接続されたセキュリティサービスを幅広く採り入れることが必要です。

次のセクションでは、クラウドのセキュリティ機能の領域に不可欠なそれらのテクノロジーの役割について示します。

ステートフル・ファイアウォール̶データセンター運用担当者はこれまで、サーバーを機能ごとにまとめるか、またはデータベース階層、アプリケーション階層、Web階層というように、システム設計の階層ごとにサーバーを分離するために多数のファイアウォールを配備してきました。ネットワークの同一レベルで多数のファイアウォールが配備されることもあり、全体的なパフォーマンス低下を引き起こすこともありました。リアルタイムのトラフィックを通過させることが最も重要であり、セキュリティの確保よりもパフォーマンスの向上が優先である場合には、ファイアウォールがバイパスされるというケースも多く見られました。生の帯域に対するファイアウォールの影響、1秒あたりの接続数、持続性の維持を憂慮し、データセンター運用担当者がファイアウォールの使用を制限したり、一部の領域では排除したりすることもありました。こうした従来型アーキテクチャによる制限によって、プライバシーやコンプライアンス上またハイパフォーマンス重視のエンドユーザー環境においては、許容されない高リスクなセキュリティの課題となっています。

サーバーからサーバーへ

データセンター

顧客からデータセンターへ

クライアントハイパフォーマンスなグローバル・ネットワーク

データセンターからデータセンターへ



アプラアンスだけでソリューションを構成しようとしてセキュリティの阻害要因となっている現状を打開し、ファイアウォールをソリューションの一部としてより有効に活用して、クラウド型データセンター・ネットワークを実現することが必要となっています。その際、データセンターのコアにハイパフォーマンスなステートフル・ファイアウォールを配備する必要性が出てきます。

ハイパフォーマンスなステートフルサービスは、仮想化されたデータセンターにおけるセキュリティの拠り所です。ステートフルサービスでは、ネットワークの識別と分類を通じて、ビジネス要件や運営要件に沿ったポリシーを実行します。ステートフル・ファイアウォールは、主要なレイヤー4アクセス・コントロール・システムであるとともに、DoSやネットワーク・クォータ・プロテクション、特定アプリケーションでのDPI、NAT（Network Address Translation）をはじめとする多数のセキュリティ機能をサポートします。

ステートフル・ファイアウォールを導入することで、あらゆるタイプのトラフィックフロー（データセンター内、データセンター間、データセンターWAN）を詳細にコントロールし、NAT、ALG（Application Layer Gateway）サービス、IPsec VPNサービス、分散DoS、さらにはアンチウィルス、アンチスパム、Webフィルタリングを含むUTM（Unified Threat Management）などの主要セキュリティ機能をサポートできるようになります。

さらに、これを基盤として、機能をモジュール形態で追加することができます。ポリシーゾーンごとにモジュールとして追加するアプローチを採用すると、最高レベルの機動性、効率性、パフォーマンスを達成できます。

侵入防御システム̶ネットワークレベルおよびアプリケーションレベルでの攻撃は、継続的に考慮すべき課題のため、データセンター・ネットワークでは、セキュリティサービスの一環として多岐にわたるハイパフォーマンスIPS機能をサポートして、トラフィックフローに対する攻撃を検知し防御できることが不可欠です。アプリケーションは、完全に保護されないような場所にいるユーザーからも利用可能にする必要があるため、許可のない利用やアプリケーションDoSが生じるリスクは常に高いといえます。さらに、アプリケーションは仮想化されたデータセンター・インフラストラクチャで共有されるため、（リスクを受けたアプリケーションから、別のアプリケーションが受ける）連鎖反応を起こす可能性も高いといえます。

IPSは、誤検出や検出漏れのない、きわめて精度の高い検知防御機能を備えている必要があります。効果的な侵入検知および防御を達成するには、プロトコル解析、異常検出、シグネチャー解析を含む多次元なアプローチが必要です。IPSでは、複数の検知方式をサポートでき、ネットワークのさまざまな場所にセンサーを設置できることが求められます。

例として、スニファーモードでは、トラフィックフローがパッシブに監視されて潜在的な脅威が特定されるようにネットワークタップが行われますが、インライン型システムはトラフィックフローに直接配備されるため、リアルタイムで潜在的な脅威を防御できます。混合モードのソリューションであれば、こうしたスニファー方式とインライン方式のどちらの長所も採り入れることが可能です。攻撃検知時にトリガされるアクションには、従来の許可/拒否方式とともに、レート制限、異なるDSCP（Differentiated Services Code Point）マーキング、クライアント接続/サーバー接続の切断、TCPリセットなどより詳細なアクションも設定する必要があります。

IPSプラットフォームでは、さまざまな規模のデータセンターで必要となるパフォーマンスや機能を提供でき、レイヤー4からレイヤー7までの情報をラインレートで検査できる必要があります。攻撃者情報の共有により、他のアクセス・コントロール・ゲートウェイ（SSL

VPN、NAC）と脅威への対処方法を連携することで、ソースに最も近い位置で攻撃を食い止めることができます。IPSが搭載するプロトコルデコーダーでは、ストリームを分解して脅威を見つけやすい状態にするため、高い機能を持つデコーダーを配備しなければなりません。また、侵入検知、攻撃防御、暗号化、監視などを含むネットワークベースのセキュリティサービスは、セキュリティデバイスの台数が無計画に追加されるのを避けるためにも、拡張性に優れた仮想化されたセキュリティ・プラットフォームに統合することが不可欠です。

アプリケーション・フルーエンシーおよびユーザー識別フルーエンシー̶これまで攻撃防御といえば、許可されたトラフィックに潜む悪意のある動作を特定して阻止することに重点がおかれていました。アンチウィルスやアンチスパイなどのコンテンツ・セキュリティ・テクノロジーがその典型例です。こうしたメカニズムはネットワーク・ファブリックで重要な役割を果たし、既知の攻撃パターンや逸脱した挙動を識別することで保護を実現してきました。

残念ながら、脅威や攻撃は、日々姿を変え、正当なトラフィックに隠れて侵入し、ますます巧妙化しています。企業は、常に脅威や攻撃に遅れをとらないよう、最新の攻撃や脆弱性に対して適切な保護措置がとれているかを確認しなければなりません。そのため、特定のアプリケーションに対して、何が実行できるかをより詳細にコントロールできることが必要となります。つまり、反応型のアプローチから先回りできるセキュリティスタンスへとソリューションを進化させなければなりません。

ジュニパーは、ステートフル・シグネチャーおよびプロトコル異常検知などのステートフル・アプリケーション・フィルタを提供しています。これらのフィルタによって、アプリケーション内で使用されるコマンドをコントロールできるため、攻撃に利用される可能性を減らし、情報やネットワーキング・サービスの可用性を高めることができます。



しかし、新しいアプリケーションの出現により、アプリケーション・ネットワーキングとセキュリティ環境は変化し続けています。既存の侵入検知防御手法でもまだ対応できるものもありますが、単に送信元/送信先アドレスやポート番号などを識別できるだけでは、もはや十分な保護機能とはいえません。

従来型のステートフル・セキュリティ・デバイスでは、事前に指定された既知のTCP/UDPポート番号をアプリケーションが固定的に使用することを想定し、セッション内の最初のパケットを見ることで処理対象のトラフィックを識別しようとします。しかし、ポート番号とアプリケーションの対応は単に慣例によるもので必ずしも意味を持たず、実際のアプリケーションや使用されている特定の機能やコマンドを確実に把握するためには、以降のパケットも検査する必要性があることから、この方法は、もはや有効ではありません。

アプリケーション・フルーエンシーとユーザー識別フルーエンシーという概念は、こうして進化し続けるセキュリティ上の脅威に対抗するためのものです。従来のセキュリティ方式の限界を超え、特定のアプリケーション・インスタンス内で特定のユーザーに許可されるアクションを正確に定義し把握するという考え方です。アプリケーションおよびユーザー識別フルーエンシーは、HTTP上で非標準的なポート（またはランダムに割り当てられたポート）を使用するBitTorrent、Skype、YouTubeをはじめとするアプリケーションを識別する上で不可欠です。

フルーエンシーは、データセンターの機動性を維持するためにも重要です。たとえば、IT部門があるアプリケーションの利用をやめて新しいアプリケーションに入れ替えるには、できる限り短時間でこれを実施しなければなりません。ファイアウォールでプロトコルとポートのマッピングだけがサポートされている場合、こうした作業に膨大な時間と労力がかかります。機動性を高めるには、ポートやプロトコルに依存しないような方法でアプリケーションレベルでのファイアウォール設定がサポートされる必要があります。

アプリケーションおよびアイデンティティ識別フルーエンシーをサポートするには、エンフォースメント・ゲートウェイ、ファイアウォール、監視システムなどのネットワーク・セキュリティ・プラットフォームで、徹底したインテリジェンス性を備えるシグネチャーベースのクラシフィケーションを通じてアプリケーション・コンテキストとユーザー操作を識別する必要があります。アプリケーション・インフラストラクチャを可視化し、アプリケーション利用プロファイルやその他のアプリケーションレベルの情報を捉えられるようにする必要もあります。さらに、IPアドレスだけでなく、ユーザーIDに基づいたアプリケーションおよびリソースへのアクセスを制御できなければなりません。モバイルデバイスなどを使い、従業員が動的にクラウド内の複数サーバー上で稼働するアプリケーション要素に接続している状況下で、企業は、ユーザーのIPアドレスで判別可能な固定ロケーションに基づいてアクセス権限を与えることはもはやできなくなりました。このように、セキュリティサービスでは、アプリケーションとアイデンティティを識別できる機能を備える必要があります。

データセンターおよびクラウド・コンピューティング環境でセキュリティサービスを実現するためのジュニパーのアプローチを採用することで、以下の機能すべてが包括的に提供されます。

セキュア・リモート・アクセス̶複数のアプリケーションをより少数のデータセンターへ統合する動き、さらにはこうしたサイト内およびサイト間で分散されたアプリケーションが相互に接続できるようモジュール型のアプリケーションを使用する動きがある中で、ユーザーはさまざまなリモート・アクセス・ポイントから広範なリソースに安全な方法でアクセスしなければなりません。クラウドへの入口では、すべてのエンドポイント・アクセスがコンプライアンス条件を満たしているかがチェックされ、アクセスが許可され、セッション確立中は常にエンドポイントの状態が監視される必要があります。セキュリティ上に問題が生じた際は、迅速に通報される必要があります。IPsec VPNは、サイト間の接続には効果的ですが、すべてのリモートアクセスに対して有効であるとはいえません。たとえば、組織の従業員は、自宅のPC、公共キオスク端末、PDAなど企業の管理対象外のデバイスからリソースにアクセスします。SSL VPNは、IPsecと比較して、あらゆるタイプのエンドポイント・デバイス（管理または非管理）からのアクセスが企業で定義された最小限のセキュリティポリシーに適合する場合には、さらにそれをより細かく制御することができます。SSL VPNによって、従業員はあらゆる種類のデバイスを用いてどこからでも作業できるため、生産性が確保されます。

セキュアなリモートアクセスを、包括的かつモジュール型のセキュリティ設計に組み込む試みは、ジュニパーが提案するセキュリティ・サービス・アーキテクチャの重要な目標の一つです。

NAC̶NACは、ポリシーを利用してネットワークへのアクセスを制御します。これらには、アクセス許可前のエンドポイント・セキュリティ・チェックや、アクセス許可後にユーザーやデバイスがネットワーク上でアクセスできる場所および実行できるアクションを制御する機能があります。NACサービスでは、ユーザーのネットワークへの最初のアクセスに対して、ユーザーシステムの整合性が検証されます。たとえば、NACサービスによって、ユーザーシステムに最新状態のアンチウイルス・ソフトウェアがインストールされているかどうかを検証することができます。NACサービスは、ユーザーシステムへのプッシュ型アップデート（Windowsのサービスパックをダウンロードするなど）を含むリモート・ソフトウェア・アップグレードのサポートを備えている必要があります。また、ネットワークの指定箇所にのみアクセスを許可するためのエンドポイントやユーザーロールを識別するポリシーをサポートしたり、さらにはそれをスイッチ、ルーター、ファイアウォールの設定と同期できる機能を備えている必要もあります。加えて、IPSと連携して、内部ネットワークでのファイル共有が要因となって生じる可能性がある攻撃に対してリアルタイムでの検知と防御を行える必要もあります。



DNS/DHCP̶データセンター・ネットワーク・インフラストラクチャでは、高速かつ信頼性の高いDNSおよびDHCPサービスをサポートする必要があります。DNSキャッシュのリフレッシュや継続的に発生するDHCPバインディングなどの問題は、顧客がクラウドサービスを使用する際にセキュリティ上の脅威となることがあります。DNS/DHCPサービスは、IPアドレスと結び付けられたポリシーが迅速に正確に適用されるように、正しく設定され、常時稼働している必要があります。DNS/DHCPサービスは、また、VLANオペレーションをサポートし、アドレスプール予約に対応するためにも必要となります。

AAA̶AAAサービスは、ユーザーがデータセンターにログオンできるかどうかを制御し、アクセスが許可されるリソースを具体的に決定します。ネットワーク・セキュリティ・インフラストラクチャでは、AD（Active Directory）サーバーやLDAP（Lightweight Directory

Access Protocol）サーバーなど、既存のアイデンティティ・データ・ストアを活用できる必要があります。

標準化されたテクノロジーによって、異種のネットワーク間でアイデンティティや機密情報を交換し、ユーザーIDを共有化できるようになります。こうした規格には、SAML（Security Assertion Markup Language）、XACML（eXtensible Access Control Markup

Language）、IF-MAP（Interface for Metadata Access Point）があります。このようなテクノロジーを採用することで、簡単にネットワーク・セキュリティ・デバイス間でアイデンティティ属性に基づくポリシーを連携的に適用できるようになります。セキュリティサービスを提供する製品やソリューションでは、異種ネットワーク間でアイデンティティやアクセス情報が確実に共有できるよう、これらの規格をサポートする必要があります。

ネットワーク内に配備されたセキュリティサービスを統合化および仮想化することによって、インフラストラクチャを共有するユーザーやアプリケーションはメリットを享受できます。これらのサービスにより提供される総合的な保護機能により、データセンター内およびデータセンター間を行き来するデータフローの安全性を確保できます。こうしたサービスはすべて、中央から一元管理し、インフラストラクチャー上のアプリケーションに対して、分散型でアイデンティティ認識に基づいたセキュリティーポリシーの適用をサポートすることが重要です。各種のセキュリティサービスは、連携した1つのグループとして、仮想化されたサービスを信頼性と機動性の高い方法で提供できます。

アプリケーション・サービス

複数のホスト上で稼働しているアプリケーションにとって、パフォーマンスを向上させ、負荷を分散できるように効率的に分散配置されるネットワーク上に存在するサービスは、メリットがあります。こうしたサービスをインテリジェントなネットワーク・インフラストラクチャに組み込むことで、クラウドのリソースプールの運用効率が高まります。そのためには、論理的、物理的な各種システムをネットワーク上に組み込んでサービス化し、データセンター内のサーバー負荷をオフロードする仕組みを提供することが重要です。これらのアプリケーション・サービスには、アプリケーション・アクセラレーション、DPI、およびグローバルなサーバー負荷分散があります。

アプリケーション・アクセラレーション

アプリケーション・アクセラレーションは、反復するアクションに対するパフォーマンスを高速化します。たとえば、ユーザーがWebサイトからドキュメントにアクセスすると、初回のダウンロードには数分かかるとします。アプリケーション・アクセラレーションを使用すると、初回ダウンロード時にドキュメントがキャッシュに保存され、以降のダウンロード要求は数秒で完了します。また、アプリケーション・アクセラレーションは、特定のアプリケーションにのみ限定的に使用することもできます。たとえば、企業のSAPシステムからの要求を特定して、それを高速化するようにアプリケーション・アクセラレーション・サービスを設定することも可能です。

データセンター設計者は、さまざまなアプリケーション階層を高速化させ、Web 2.0、SOA、SaaSなど、現行および新規導入のアプリケーションの包括的で機能性の高いシステムの展開を考慮しなければなりません。このアクセラレーション・ソリューションによって、クライアント/サーバー、Webベース、およびサーバー間アプリケーションのパフォーマンスが大幅に向上し、Webページのダウンロード時間も短縮されます。さらに、バックエンド・アプリケーションやWebサーバーからのTCP接続処理やHTTP圧縮などCPUの負担が大きい処理の負荷も軽減されます。アプリケーション・アクセラレーション・プラットフォームでは、複数のデバイスのスタッキングやクラスタリングを通じて、シームレスな拡張が実現できるように設計します。

ディープ・パケット・インスペクション

大規模なネットワークで優れたアプリケーション・エクスペリエンスを得るには、QoSが重要です。QoSレベルは、満足のいくアプリケーション・パフォーマンスを得るために割り当てを管理しなければなりません。DPIテクノロジーを使用することで、主要特性に基づいてアプリケーションを識別し、適切なポリシーの適用によって高度なサービスを提供できるようになります。たとえば、DPIを有効化したネットワーク上では、アプリケーションにQoSポリシーを適用することで、ビデオストリームの推奨品質を確保できるようになります。アプリケーションをネットワーク制約に適応させるのではなく、ネットワークをアプリケーションニーズに適応させることで、ユーザーの使い心地を向上させることができます。



グローバルなサーバー負荷分散

データセンター・サービスを拡張する際、ハードウェアの設置場所をむやみに広げず、運用が複雑化されない方法を見つけ出すことが重要です。グローバルな負荷分散を行えば、データセンター・ネットワークに柔軟性と適応性がもたらされるため、メインのデータセンターにおいてサービス提供が中断されても、ユーザーはアプリケーションとデータにアクセスできます。このようなテクノロジーを採用することで、パフォーマンスを低下させることなく、アプリケーションおよびデータの可用性における技術目標およびビジネス目標を満たすことができます。さらに、SSLのオフロードおよびアクセラレーション・サービスを用いることで、サーバーのオーバーロードを防止することができます。

統合された仮想サービス

仮想化技術を導入したデータセンターのコアでは、広範かつ複雑なネットワーク構造をサポートできる多種多様なサービスが必要です。こうしたサービスを既存の単一プラットフォームや特定目的用プラットフォームで提供するには、セキュリティサービスやアプリケーション・サービスを導入するためにますます多くのプラットフォームが必要となるため、データセンター内でのアプライアンスの増設につながります。その結果、コスト、物理的なスペース制約、管理オーバーヘッド、組織的な複雑さにつながり、データセンターまたはクラウドの成長が阻害されかねません。このような問題点の多くは、複数のサービスを提供し、ポリシー・アーキテクチャや管理構造を共通化しまとめ上げることができるハイパフォーマンスなサービス・プロセッシング・プラットフォームを導入することで解決できます。


企業ではこれまで、ネットワーク・セキュリティの確保とアプリケーション・パフォーマンスの実現との間で、きわめて難しいトレードオフを余儀なくされてきました。ジュニパーネットワークスでは、このトレードオフを排除し、堅牢なネットワーク・セキュリティを確立でき、最も要件が厳しいアプリケーションやユーザー環境を満たすパフォーマンスを提供するデータセンター・ソリューションを実現します。さらに、ポリシーの一元化と可視性によって、データセンター環境の運用面での効率を大幅に上げながら、データセンター用のネットワーク・セキュリティをより少数のデバイスで実現します。

Junosオペレーティング・システムは、ジュニパーネットワークスのセキュリティサービスの基盤です。Junos OSは、ジュニパーのルーター、スイッチ、セキュリティの各種デバイスにわたる共通言語となり、ハイパフォーマンスなネットワークの複雑性を緩和し、迅速なシステム導入、プロビジョニングと管理の簡素化を実現します。ジュニパーのネットワーク製品は、すべてJunos OSをベースに開発されているため、データセンター設計者はサービスの互換性を心配することなく、またITスタッフも共通のツールや経験をベースに作業を行えます。

ジュニパーは、Junos OSを基盤とし、クラウド型データセンターでのセキュリティ面での課題の多くに対応できる統合されたソリューションを提供します。

包括的なセキュリティを実現するSRXシリーズサービス・ゲートウェイ

ジュニパーネットワークスSRXシリーズサービス・ゲートウェイは、データセンター内のセキュリティの統合の基軸となり、ネットワークの効率的なセグメント化、フローの安全性確保、IPsec VPN暗号化サービスの提供、さらにはIPS保護、NAT、ALGを提供します。スイッチング、ルーティング、セキュリティを単一デバイスに集約することで、管理者はコストを抑えながら、新しいアプリケーションを提供し、接続性を確保して、質の高い使い心地をエンドユーザーに提供できます。SRXシリーズでは、ダイナミック・サービス・アーキテクチャを採用することで、パフォーマンスを犠牲にすることなく新しいサービスをサポートできます。

セキュアなLANアクセスにより内部の脅威を抑える統合型アクセス・コントロール

ジュニパーネットワークス統合型アクセス・コントロール（UAC）は、適応型アクセス・コントロールを実現する業界標準規格準拠の拡張性に優れたソリューションで、脅威にさらされる危険性を減らし、そのリスクを軽減します。ミッションクリティカルなアプリケーションや機密性の高いデータを保護し、総合的なコントロール、可視化、監視でネットワークを守ります。

このUACの適応型アクセス・コントロールというアプローチは、きめ細かいNACを導入する際のコストを削減し、複雑性を緩和します。また、内部の脅威、ゲストユーザーのアクセス、アウトソーシングやオフショアリング、法令遵守といった課題にも対処できます。

UACは、業界初のレイヤー2からレイヤー7までのフルエンフォースメント機能を備えるNACソリューションです。業界標準（802.1X、RADIUS、IPsec）はもとより、サードパーティ製ネットワークデバイスおよびセキュリティデバイスを統合できるようにするIF-MAPなどのオープン仕様の標準規格（Trusted Network Connect）にも準拠しています。



セキュアなリモートアクセスを実現するSSL VPN

ジュニパーネットワークスSAシリーズ SSL VPNアプライアンスは、企業やサービスプロバイダに対して、リモートアクセスとパートナーおよび顧客向けに高度なエクストラネット機能を提供します。SAシリーズアプライアンスを導入することで、ユーザーの権限やグループに基づいてリソースへの異なるアクセス権を設定できます。これらのアプライアンスは、ベースラインのソフトウェア機能セットだけを備えたもの、または、より複雑な導入展開向けのオプションをそろえた高度な機能セットを備えたものの中から選択できます。

WXCシリーズアプリケーション・アクセラレーション・プラットフォームおよびWXクライアント

ジュニパーネットワークスWXCシリーズアプリケーション・アクセラレーション・プラットフォームでは、2～155Mbpsのレート範囲で圧縮された出力を提供することが可能で、WANリンクにおけるミッションクリティカルなアプリケーションを高速化します。各プラットフォームで複数のリモートサイトをサポートでき、WXCシリーズデバイス間での複数のコミュニティを形成して多数のロケーションを制限なくサポートすることができます。

WXCシリーズでは、圧縮とキャッシング技術を用いて、WANリンク内に実際に流れるデータ量を削減します。これは、冗長なデータパターンを排除することにより、接続キャパシティを増加させて、より多くのトラフィックに対応できるようにします。WANを介する特定のアプリケーションやプロトコルのパフォーマンスを高速化し、応答時間を短縮して、トラフィックフローを最適化するため、リモート・オフィス・ユーザーはLANに似た操作性を得られます。アプリケーションは、利用可能なリンクや帯域を効率的に使用でき、データトラフィックのパフォーマンス最適化と優先度設定に基づいた動作が可能となります。

ジュニパーネットワークスWXクライアントは、アプリケーションにLANのようなパフォーマンス性能を与えるためのモバイル・エンド・ユーザー向けのWindowsベースのソフトウェアです。WXクライアントはエンドユーザーのラップトップにインストールされ、WANのデータトラフィックに対してディスクベースのキャッシング、圧縮、プロトコル高速化技術を適用してアプリケーションの応答時間を短縮します。企業は、ユーザーのロケーションに関係なく、コスト効果が高く動的に設定されるアプリケーション・アクセラレーション機能を広域に実現できます。

運用管理、オーケストレーション、自動化

データセンター・インフラストラクチャの3つの主要トラフィック処理領域、すなわちコンピューティング/ストレージ、ネットワーク、セキュリティ/アプリケーション・サービスのそれぞれの特性について説明してきました。次に、データセンター・クラウドを最大限の効率性、柔軟性、拡張性をもって管理するうえでの課題を示します。クラウドに配備され増加し続ける物理デバイスと仮想デバイスの相互接続とデバイス数の管理を首尾一貫した効率的な方法で行うことは、大変難しい課題です。デバイス数やユーザー数が増加するにつれて、管理は複雑化していきます。データセンターおよびクラウドの応答性を高めるには、IT部門のコントロールの下で、すべてのコンポーネントをまとめ、連携するようにオーケストレーションを実行しなければなりません。図7では、リファレンス・フレームワークの管理、オーケストレーション、および自動化機能の領域を示します。

図7. 運用管理、オーケストレーション、自動化

サービス

セキュリティ


エッジ

コア

アクセス







ここでいう「オーケストレーション」とは、IT要件およびビジネス要件を満たすための、コンポーネント（コンピュータ、ストレージ、ネットワーク、サービス）の自動化された配置、連携、管理などの作業を指します。

各コンポーネントですでに不可欠となっている自動化に加え、オーケストレーションでは、コンポーネントの相互運用、ビジネスプロセスおよび規則の適切な実装、エンドツーエンド・サービスを完全かつ信頼性を持って提供できることが必要となります。オーケストレーションを行うことで、データセンターは局所的な自動化を大きく超えて、データセンター内の異種要素を一括でコントロールでき、統制された完全な可視性を実現します。

オーケストレーションは複雑で、組織固有のシステムに大きく依存するため、その要件を満たすには多様なアプリケーションや管理システムと統合できるようなオープンで拡張性に優れたネットワーク・オーケストレーション・プラットフォームの導入が必要です。ネットワーク・オーケストレーション・プラットフォームでは、包括的なネットワーク管理機能を備えており、業界標準APIによって管理システムやアプリケーション・システムとの統合ができなければなりません。さらに、企業独自のオーケストレーション環境を構築するためにプラットフォームを拡張および適応できるよう、ソフトウェア開発キット（SDK）を含む開発ツールが提供されるのが理想的です。

効果的なオーケストレーション・プラットフォームの特徴

仮想化されたデータセンターでオーケストレーション・プラットフォームが効果を発揮するには、以下の機能を備えている必要があります。

自動検出：効率性と生産性を高めるには、ネットワーク・オーケストレーション・プラットフォームで、データセンター・ネットワーク内のネットワーク要素を自動的に認識する堅牢性と拡張性に優れた業界標準ベースの検出機能を備えている必要があります。

モジュール型で拡張性のあるプラットフォームおよびアプリケーション用アーキテクチャ：さまざまなベンダー製品が導入された環境で効果を発揮するには、オーケストレーション・プラットフォームで明確なSOA、Webサービス、およびアプリケーションの設計原則（効率性、機動性、拡張性）に応じたアプリケーション・モジュールを簡単かつ堅牢に採用できる必要があります。このアーキテクチャには、起動中のアプリケーションに影響を与えない無停止でのインストール、削除、変更、さらには拡張性とユーザーに対するより広範なアプリケーションの適合性を実現するための、アプリケーション間およびアプリケーションとプラットフォームの間で機能を統合できる明確な手法も含まれています。

パートナーや顧客によるエコシステムの革新を実現するオープンなアプリケーション開発環境と、プラットフォーム・サプライヤによる柔軟なアプリケーション拡張：ネットワーク・オーケストレーション・プラットフォームでは、対象となるネットワーク環境をよりインテリジェントに活用する新しいアプリケーション・ロジックを安全に、効率的かつ柔軟に開発できる必要があります。このアプリケーション・ロジックによって、多岐にわたるネットワーク属性や、ネットワークにまたがるアプリケーション機能の分散状況を理解し、ネットワークおよびアプリケーションのインテリジェンスをエクスポート/インポートができるようになるなど、アプリケーション・パフォーマンスの最適化とチューニングを支援します。

広範な標準化規格の利用の徹底：効果的なオーケストレーション・プラットフォームとなるには、W3C（ワールド・ワイド・ウェブ・コンソーシアム）、IETF（Internet Engineering Task Force）、TNC（Trusted Network Computing Group）などのオープン規格を活用して、ネットワークとアプリケーションの要素間でのオープンな通信と、既存および将来導入する管理システム間でスムーズに相互運用できる必要があります。

障害回復力と拡張性に優れた分散型アーキテクチャ：仮想データセンターやクラウド・コンピューティング・インフラストラクチャが進化するにつれ、分散した多数のサイトを管理する際に、分散しているチームで責務を分担して、新しいあるいは遠隔のインフラストラクチャまで管理が行き届く、高可用性とディザスタリカバリーをサポートできる分散された管理体制が必要です。このような環境向けのオーケストレーション・プラットフォームは、ロケーションに依存しない接続性の維持、インフラストラクチャの可用性やパフォーマンスが変化する場合でも継続して利用できるコントロール情報へのアクセスを維持するために、レプリケートされ分散化されたプラットフォームやコンポーネントのアーキテクチャを基盤に構築するべきです。



柔軟な仮想化されたロールベースのユーザーアクセス：ネットワークやアプリケーションの管理者は、常に決まった場所にとどまっているとは限らず、重要な作業のために別の場所で作業することも強いられます。このため、オーケストレーション・プラットフォームでは、柔軟性の高いユーザーインタフェースおよびアクセスのための技術を活用してさまざまなネットワークやデバイスからセキュアなアクセスを実現できなければなりません。

論理的には一元化、物理的には分散化：オーケストレーション・プラットフォームでは、物理的に広がるインフラストラクチャ全体にわたって、シンプルかつ効率性と一貫性をもって管理、監視、制御できる必要があります。

ネットワーク全体での関連付け：オーケストレーション・プラットフォームでは、リソースの最適化とQoSのバランスをとりながら、すべてのネットワーク要素の相互連携を管理できる必要があります。

アプリケーションの可視化：オーケストレーション・プラットフォームでは、確実なアプリケーション提供のための可視化を推進する必要があります。

オーケストレーションは、テクノロジー・コンポーネントをサービス・コンポーネントに関連付け、クラウドのプロビジョニングや運用中の基準点となる重要な役割を果たします。オーケストレーションは、クラウド・ソリューションが成熟していくに従って、ますますその重要性が高まります。

クラウドレベルのオーケストレーションをサポートする管理インフラストラクチャ

オーケストレーションによるメリットを完全に得るためには、高いレベルのオーケストレーション機能をサポートするために従来のネットワーク管理の要素の多くが必要です。以下に、その一例を示します。

• ネットワーク・インフラストラクチャ全体にわたる管理機能を実現するための一貫性のある標準ベースのプログラミングが可能なインタフェース（NETCONFおよびSNMPなど）

• 管理機能へのアクセスを可能にする、一貫性があり標準的なWebインタフェース

• スキーマ主導の要素管理

• XML/SOAPなどのテクノロジーを使用して、オーケストレーション・ゲートウェイ側からの管理を実現する業界標準準拠のAPI

• リスクを特定し、オペレーションの信頼性を確保して、コンプライアンスやSLAを満たすための、脅威解析、保護、レポーティング機能などのセキュリティサービスのサポート。ネットワーク全体で細部までの可視性を得るために、SIEM（セキュリティ情報イベント管理）およびSIM（Security Information Management）の導入。

• 可視化とパフォーマンス診断をサポートするレイヤー4からレイヤー7のアプリケーション・サービス。ネットワークからリアルタイムで正確かつ有益な監視データが得られなければ、ネットワークの管理と制御はサポートできません。データ収集は、フローベース（sFlow、jFlow、またはNetFlowなどの手法を使用）あるいはイベントベース（SNMPまたはシステムログ取得などの手法を使用）で行う。

• 強固なポリシー制御を含む、サービスとアプリケーションの動的な管理。ネットワークおよびセキュリティに関連したイベント、ネットワークおよびアプリケーションのデータフロー、脆弱性データ、アイデンティティ情報を一元管理することによる、ITセキュリティ面での目的の達成。

図8に、ジュニパーネットワークスの運用管理フレームワークの全体像を示します。



図8. ジュニパーネットワークスの運用管理インフラストラクチャ


ジュニパーネットワークスは、ネットワークやそのサービスで柔軟性、効率性、拡張性に優れたオーケストレーションを実現するために、さまざまなレベルでのインフラストラクチャの運用と制御の管理をサポートするオーケストレーション、管理、および開発/統合の包括的なプラットフォーム・スイートを提供します。この中には、デバイスレベルでのパワフルな各種機能のほか、ユーザー操作性に優れた管理アプリケーション、その他多数のアプリケーションやサービスとのオーケストレーションと統合のための革新的でオープンなプラットフォームが含まれます。

以下のセクションでは、各レベルでの主な機能について説明します。

デバイスレベルの管理性：ジュニパーのネットワーク機器は、ネットワークおよびセキュリティ用のすべてのプラットフォームをサポートするために、標準のXML/NETCONF DMI（Device Management Interface）を使用しています。DMIを採用することで、デバイスでXMLスキームによる管理情報と管理構造を維持できるようになり、ジュニパー製および他社製の管理アプリケーションの属性情報を広範に検出できるようになります。今後のDMIへの拡張規格の開発によって、ジュニパーのアプリケーションから他社製のネットワーク・インフラストラクチャを検出し、連携させることができるようになります。

堅牢な一元化された管理：ジュニパーは、デバイス、ネットワークレベル・サービス機能（パフォーマンス、セキュリティ）、ユーザー関連およびアプリケーション関連ポリシー、複数ネットワークレベルでのアプリケーション統合を行える総合的なアプリケーション・スイートを提供しています。ジュニパーは、多くのパートナー企業との協業を通じて、管理およびオーケストレーション環境へ重要な追加機能を多数提供しています。たとえば、Packet Design社とのパートナーシップでは、Route Insight Managerを介した高度なルーティング・

サービス/アプリケーションの動的管理-ポリシーおよび制御-

スキーマ・ドリブンの共通要素管理プラットフォーム

業界標準ベースの共通プログラミング管理インターフェース、ジュニパーネットワークスのすべての

プラットフォームに共通のインタフェース（DMI）

ジュニパーネットワークスのすべてのプラットフォームに共通の

組み込み型のWebインタフェース

セキュリティ上の脅威の解析

およびレポーティング

L4からL7までのアプリケーション可視化およびパフォーマンス診断

XML/SOAP

SRXシリーズ MXシリーズ MシリーズEX8200ライン

Eシリーズ

Jシリーズ

SSL VPN

ISGシリーズ/IDPシリーズ

IDPシリーズファイアウォール/

VPN

WXCシリーズ



インフラストラクチャに対する可視化機能が提供されています。また、IBMとの積極的なコラボレーションによって、Tivoli Netcoolといった、ITおよびデータセンター管理ツールのIBM Tivoliスイートのアプリケーションが、ジュニパーの管理インフラストラクチャと効率的に相互連携できるようになっています。要件が変化するに従って、XML/WSDL（Web Services Description Language）によるオープン環境を使用することも可能で、ジュニパーのオーケストレーション・スイートとTivoliのエンドツーエンドをカバーするシステム管理インタフェースとの連携も可能になります。

一元化された集中監視機能：ジュニパーは、強力な監視およびログ解析機能を中央に一元化して、トラフィックやセキュリティに関するイベントの可視性を向上させます。ジュニパーのアーキテクチャは、トラフィックフローおよびセキュリティイベントを収集し、解析して重要なセキュリティイベントを通知するための中央レポジトリを提供します。この機能を備えることで、NIST（国立標準技術研究所）による『NIST Guide to General Server Security』に記載されるような推奨ベストプラクティスで指定されているログ要件も満たすことができます。

ジュニパーのオープン・ネットワーク・オーケストレーション・プラットフォーム Junos Space

Junos Spaceは、サービスの迅速な提供と運用面でのコスト削減や複雑性を抑えるアプリケーション群の開発、ホスティング、そして統合を行うためのオープンで拡張性の高い画期的なネットワーク・オーケストレーション・プラットフォームです。Junos Spaceを導入することで、パートナー、顧客、さらには独立系ソフトウェア・ベンダー（ISV）は、シンプルでスマートなネットワーク向けアプリケーションの開発と導入が可能になります。このプラットフォームには、拡張性に優れたランタイム環境があり、マルチテナントに対応可能で、ホットプラグ型のネットワーク・アプリケーションのサポート、迅速なアプリケーション開発が可能な総合フレームワーク、Web 2.0に基づくユーザーインタフェースを特長としています。Junos Spaceの導入により、同一プラットフォーム上でオーケストレーション・アプリケーションと他のアプリケーションの両方をサポートできます。Junos Spaceは、ネットワーク・サプライヤがこれまで提供できなかった広範な製品ポートフォリオの基盤となり、新しい統合およびオーケストレーションの領域を広げます。進化するITインフラストラクチャで求められるさまざまなネットワーク対応アプリケーションを提供するために必要な、柔軟でプログラミング可能な付加価値をもたらし、自律型のネットワーククラウドを実現する機会を創出します。

図9. Junos Space インフラストラクチャ

Junos Spaceでは、Junos OSと同じ設計原理とオープン・システム・アプローチを用いて、ネットワーク・アプリケーション・レイヤーでのプログラミングを可能にします。シンプル、スマート、かつオープンであることを目指した多目的なアプリケーション・プラットフォームです。

ジュニパー製

アプリケーション

ジュニパー製


サードパーティ製









オープンアクセスAPI

Tivoliソフトウェア HP Openview VMware

SDK

プラットフォーム

オープンデバイスAPI

シンプル

スマート

オープン

ネットワークアプリケーションプラットフォーム



Junos OSに基づく自動化

Junos SpaceやジュニパーネットワークスNetwork and Security Managerプラットフォームのネットワークレベルで提供される管理およびオーケストレーション機能を補完するため、ジュニパーではJunos OSにおいてスクリプティングツール群を提供しています。これらのツールを使用することで、他のアプリケーション・プラットフォームの機能を補う形で、特定の運用タスクを自動化できるようになります。

Junos OSのスクリプト自動化機能は、Junos OSに直接組み込まれており、ルーターデバイス、スイッチデバイス、セキュリティデバイスを含むすべてのJunos OSプラットフォームで利用可能な高機能で柔軟性の高いオンボード・ツール・セットです。Junos OSスクリプトでは、以下の自動化が行えます。

• 設定：人的エラーの回避およびネットワーク可用性の最適化を実現するためのビジネス上のルールの簡素化と強化

• イベント：自己監視および自己診断を行うための、ネットワークイベントへの応答型およびプロアクティブ型のアクションを自動化

• 運用タスク：運用面での効率性を上げ、運用スタッフの効率性を最大限まで引き出すための、手動タスクのカスタマイズおよび合理化

Junos OSネットワーク管理者を支援するために、頻繁に使用されるスクリプトの多くがまとめられたオンライン・スクリプト・ライブラリが用意されています。Junos OSスクリプト自動化の詳細については、www.juniper.net/jp/jp/community/junos/script-

automation/を参照してください。

データセンター・ネットワークの設計の概要データセンターの形態はさまざまですが、一般に、社外向けデータセンターとITデータセンターの2つに分類されます。社外向けデータセンターは収益を直接生み出すもので、ITデータセンターはビジネス・オペレーションを支援する機能をもたらすものといえます。用途、規模、達成すべき目標、要件に応じて、データセンターの設計は大きく異なります。あるデータセンターでは最小限のレイテンシと最大限の可用性が求められ、別のデータセンターではQoS、拡張性、高可用性に対して包括的な管理が求められるケースもあります。あるいは、機能は若干制限されるものの、コストを最小限に抑えられるデータセンターが望まれることもあります。このセクションでは、最もよく見られる5つのデータセンター・タイプの例を示し、それぞれのネットワークを構築するうえでの推奨事項を示します。

トランザクション中心の社外向けデータセンター・ネットワーク

今日の金融機関では、事業の成功と利益性の追求においては、特に高速コンピューティング機能が不可欠となっています。発生するレイテンシがナノ秒単位であっても、利益と損失に大きく影響します。そのため、金融サービスなどを提供する事業では、パフォーマンスやセキュリティ面でのリスクはまったく許容されません。

一般に、金融サービス向けネットワークは、ハイパフォーマンスなコンピューティング・インフラストラクチャをサポートするために多種多様なデバイスやサービスを配備しているため、きわめて複雑化しています。従来のデータセンターの設計では、残念ながら、取引プラットフォーム、アルゴリズムによる取引アプリケーション、市場データ分散システムに伴う予測性や低レイテンシを保証するためのこれらの要件を満たすことはできませんでした。

ジュニパーネットワークスは、簡素化されたソリューションを追求することが不可欠であると考えています。パフォーマンスの高さだけを追求するだけでは、不十分であり、不完全です。将来の成長に対応できる拡張性、シンプルさ（ラーニングカーブが高くない）、セキュリティ強化（侵入してくる脅威）など不可欠な機能性や条件が必要です。すなわち、トランザクション中心のデータセンター・ソリューションとは、高速、セキュア、かつ操作が簡単で、セキュリティが強化されたネットワーク・インフラストラクチャを意味します。

このソリューションを中心で支えるのが、ジュニパーの最先端イーサネットスイッチ製品です。ジュニパーネットワークスEX2500イーサネットスイッチ、EX4500イーサネットスイッチ、EX8216イーサネットスイッチ、さらにはMXシリーズ 3D ユニバーサル・エッジルーター、SRXシリーズサービス・ゲートウェイによって、現在市場に提供されている中で最も拡張性のある10GbEワイヤレートのデータセンター・ソリューションとなっています。

トランザクション中心の社外向けデータセンター向けのソリューションを導入することで、以下のことを実現できます。

• PoD（Point of Delivery）を10GbEサーバー500台単位で構築して、モジュール型による拡張性と最適な制御を実現します。これにより、単一の論理スイッチブランチあたり25のサーバーラックをサポート（EX8216およびMXシリーズ）



• 最大120Gbps（デバイスあたり）のファイアウォール・パフォーマンスを達成することで、PoD単位での最大スループット容量を実現

• 最大40GbpsのIPSパフォーマンスを達成することで、アプリケーション固有のコンテンツ識別とセキュリティ・プロセッシングを提供

• コアでJunos OSによる自動化を実装および実行

• 1:2.5のアップリング・オーバーサブスクリプションを設定（ノンブロッキングなアクセスおよびコア）（ジュニパーネットワークスEX8200ラインのイーサネットスイッチ）

• 豊富なマルチキャスト機能

• ダウンリンクの飽和から確実にリカバリーするための大きなバッファ

図10: トランザクション中心のデータセンター・ネットワーク向けインフラストラクチャの例

コンテンツおよびホスティング・サービス中心の社外向けデータセンター・ネットワーク

クラウド・コンピューティングの台頭と、IPベースによる配信モデルへサービスの移行が増加する中で、データセンターは、コンテンツやサービスをホスティングするうえでより重要な役割を担っています。たとえば、ホスティング・プロバイダは、クラウドベースのインフラストラクチャをサービスとして提供し始めています。さまざまなオンラインによる販売方法が登場したことで、インターネットは事業の成功に導く最も重要なものとして捉えられています。さらに、クラウドを専業とするプロバイダも、広範な開発および配信プラットフォームを提供しています。

こうしたビジネスモデルは、ネットワークにきわめて厳しい要件を突き付けています。エンドユーザーの観点から見た場合、高可用性は開店/営業しているか閉店/終業しているかを意味し、トラフィック速度は顧客満足体験の質を意味します。一方、プロバイダの観点から見た場合は、こうした新しいビジネスモデルをサポートするためにネットワークの主要機能が必要となります。たとえば、システムのワークロード、および特定のワークロードへのリソースの割り当ては変動することが多く、ネットワークでは、こうした変動するワークロードの分散やエンドユーザーへの新しいリソースの割り当てをサポートする必要があります。セキュリティ機能では、仮想化技術に対応しなければならず、特定のアプリケーションやユーザーを処理できるようにきめ細かく設定できることが求められます。ネットワーク側では、さらに、環境全域において一貫性のあるセキュリティポリシーを適用しながら複数のサイトにわたって実行されるアプリケーションをシームレスにサポートすることが必要となります。

EX2500

EX2500ごとに、10台のアクティブサーバー

サーバーラックあたり2台のEX2500

PODあたり28本のサーバーラック

500以上のサーバーROD、1:2.5のオーバーサブスクリプション

SRXシリーズPOD間セキュリティデータセンター間セキュリティ

MXシリーズ 3DPOD間の接続性データセンター間の接続性

EX2500

EX8216 EX8216

サーバーラックサーバーラック

EX2500EX2500


EX2500EX2500


MX80

10G 10G

2 x 10G

2×10G

2 x 10G

10G 10G

COLOによるホスティング取引POD最大40台のサーバー



ジュニパーが提供するコンテンツおよびホスティング・サービス中心の社外向けデータセンター向けソリューションは、以下の製品で構成されます。

• MXシリーズのデバイスで、データセンター・エッジとフラット化したコアの接続性を提供

• EX8200ラインで、データセンター・コアLANの接続性を提供し、高キャパシティのLAN PoDを構築

• ジュニパーネットワークスEX4200イーサネットスイッチで、1GbEまたは10GbEによる柔軟なサーバーアクセスの接続性を提供

• ジュニパーネットワークスSRX5000ラインで、大規模な環境のセキュリティとサービス・プロセッシングを提供

• ジュニパーネットワークスSA6500SSL VPNアプライアンスで、帯域外管理を効率的かつセキュアに管理するクラスタを提供

• Junos Space

図11に、コンテンツおよびホスティング・サービス中心の社外向けデータセンター向けネットワークを示します。

図11. コンテンツおよびホスティング・サービス中心の社外向けデータセンター・ネットワークの例

上記のソリューション・コンポーネントによって、10GbEの接続サーバーを（PoDあたり）5000台単位で拡張できるようになります。基本的なレイヤー3機能とレイヤー2のVPLSサービスを組み合わせることで、サーバー・アクセス・ポートから、ネットワーク、WAN上、そして別のデータセンターにあるサーバー・アクセス・ポートまで、レイヤー2およびレイヤー3の機能を完全にサポートします。さらに、このソリューションによって、アプリケーションレベルおよびプラットフォームレベルでのデータセンター・オペレーションに沿うようにネットワーク・オペレーションを合理化し自動化できます。

MXシリーズ

EX4500ごとに、20台のアクティブサーバー

サーバーラックあたり2台のEX4500

PODあたり140本のサーバーラック

PODあたり5600台以上のサーバー、1:25のオーバーサブスクリプション

POD間の接続性データセンター間の接続性

SRXシリーズPOD間の接続性データセンター間の接続性

2 x 10G2 x 10G

EX8216

10G

サーバーラック

EX4500

10G


10G


10G


EX4500 EX4500EX4500



HPC（High-Performance Compute）中心の社外向けデータセンター・ネットワーク

ナノテクノロジー、バイオテクノロジー、遺伝学、地震モデルをはじめとする科学分野の革新によって、データセンター・ネットワークの具体的な要件もますます厳しくなっています。多くの組織では、大量のコンピューティングタスクを処理するために汎用ハードウェアを利用したグリッドコンピューティング（HPCクラスタまたはHPC/C）を活用する方法が、最もコスト効果が高いと考えられています。このテクノロジーは、複数のCPUをグループ化して、それぞれにタスクを分散し、大量の計算をまとめて処理するものです。ネットワークで10GbEを利用することは、パフォーマンス面だけではなく、帯域に対するコストの低さからも、確かなメリットが得られます。

一般に、こうした機能を構築しようとする企業では、共通のネットワーク要件に取り組んでいます。サーバー間のメッセージ転送速度は、グリッドソリューション全体のキャパシティや計算速度に対して段階的な影響を与えます。そのため、高スループットと低レイテンシがネットワーク・インフラストラクチャの最も重要な特性となります。さらに、サービスの中断を完全に回避するためには、何らかの形態の局所的な高可用性を達成することも重要です。ただし、コスト効果の高さを重視したソリューションが求められるケースでは、デバイスレベルでの高可用性は導入の優先度が低くなります。

ジュニパーネットワークスは、非常に魅力的な価格帯で、このような分野のお客様の各種ビジネスモデルに対応する、高速かつマイクロ秒以下のレイテンシを実現するソリューションを提供しています。このソリューションは、以下のコンポーネントで構成されます。

• EX2500スイッチで、サーバー・アクセス・ポートを接続

• EX4500スイッチで、複数のEX2500アクセススイッチを集約し、HPC PoDコアとして機能

• EX8200ラインのスイッチで、より大規模な環境でのPoD間の接続性を提供

図12に、HPC中心の社外向けデータセンター向けネットワークを示します。

図12. HPC中心の社外向けデータセンター・ネットワークの例

上記のコンポーネントによって、サーバー200台単位で拡張でき、同一ラック上のサーバー間でマイクロ秒以下のレイテンシをサポートする、レイヤー3のフル機能と高可用性を備えたデータセンター・ネットワークを構築できます。

エンタープライズ向けITデータセンター

これまでエンタープライズ環境では、データセンターは収益を直接生み出す場ではなく、ITのコストセンターとしての役割を果たしてきました。こうしたシナリオでは、データセンター・ネットワークがビジネス達成の原動力となり、従業員や他のネットワークユーザーに業務アプリケーション、リソース、およびサービス（Oracle、CRM、ERPなど）へのアクセスを提供することが最大の目標となります。そのため、ここでまず求められるのは、ユーザー・エクスペリエンスを改善し、従業員の生産性を維持できる高可用性と低レイテンシを実現するネットワークです。ITの観点から見ると、ネットワークのセキュリティ機能と一元化された管理機能は、エンタープライズ・ネットワークの他の部分との運営面での一貫性を保つために重要な要素となります。また、事業運営の観点から見ると、こうした機能を実装しながら、ビジネス価値の向上に直結するコスト節減が達成できることが重要です。

EX2500ごとに、10台のアクティブサーバーサーバーラックあたり2台のEX24500

EX2500あたり4本のアップリンクPODあたり10本のサーバーラックPODあたり最大220台のサーバー

2 x 10G

10G


10G


EX2500 EX2500

EX8216

EX4500 EX4500



この分野のお客様は、両方の要件を満たすために、革新的なネットワーク技術を活用しながら、その他のいくつかのテクノロジーを採用する方法を模索しています。たとえば、こうした環境でシームレスなマルチサイトでの接続性を達成するためには、サーバー仮想化、I/O統合、そしてMPLS/VPLS（Virtual Private LAN Service）を導入します。このため、データセンター・ネットワークでは、これらのテクノロジーをサポートできるような機能性を備える必要があります。さらに、このタイプのデータセンターは、医療、販売、製造、教育、電力、公共事業など多種多様な業界のお客様に採用していただける形態です。

ジュニパーネットワークスは、非常に魅力的な価格帯で、このような分野のお客様のさまざまな要件に対応する高速かつマイクロ秒以下のレイテンシを実現するソリューションを提供しています。このソリューションは、以下のコンポーネントで構成されます。

• EX4200およびEX4500スイッチが、サーバー・アクセス・ポートを接続

• EX8200ラインのスイッチが、複数のアクセススイッチを集約し、PoDコアとして機能

• MXシリーズのデバイスが、データセンター・エッジとフラット化したコアの接続性を提供

• SRX5000ラインのデバイスが、より大規模な環境でのセキュリティおよびサービス・プロセッシングを提供

• SA6500が、帯域外管理を効率的かつセキュアに管理するクラスタを提供

• Junos Space

図13に、エンタープライズ向けITデータセンター・ネットワークの例を示します。

図13. エンタープライズ向けITデータセンター・ネットワークの例

上記のコンポーネントによって、最大30,000台までのギガビットイーサネット・サーバー、高可用性を備えた最大10,000台までの10GbEサーバー規模にまで拡張でき、規模に併せてセキュリティサービスを拡張できるデータセンター・ネットワーク、さらには、簡素化され一元化された管理を実現するインフラストラクチャを構築できます。

SANディレクター

EX8216

EX8208-EOR（40×10G CEEカード搭載）

MXシリーズ - VC

33,600台の1Gサーバー、列間で1:30のオーバーサブスクリプション

または11,200台の10GbEサーバー（CEE搭載）、

ラック間で1:25の効果的なオーバーサブスクリプション

EX4500（CEE搭載）

EX4200-VC

SRX5800



中小規模企業向けITデータセンター

今日の高度かつ高価な各種ネットワーキング・テクノロジーによって、大半の中小企業は、最新のデータセンター・インフラストラクチャ・テクノロジーを採用しながら競争力と収益性を維持するという難題を抱えています。中小規模企業向けの典型的なデータセンターは3階層のアーキテクチャで構築されているため、本質的に複雑さを伴います。さらに、そうした企業のITチームは、実装フェーズに限らず新しいテクノロジーの採用時にも運用コストが増加するため、投資回収までの時間差が生じるという課題に直面します。加えて、中小規模企業の経営者にとっては、拡張性とセキュリティを実現することはコスト面においても重要な問題です。こうした状況下の事業運営においては、データセンター・ネットワークを構築するうえで、信頼性が高く簡単に展開および管理できる、コスト効果の高い選択肢が求められています。

ジュニパーネットワークスでは、中小規模企業のさまざまな課題の重要性を認識し、低コストでより簡単にクラウド対応が可能となる一般的なスイッチングおよびルーティング・インフラストラクチャを提供します。必要となるルータやスイッチなどのデバイス数、セキュリティ・アプライアンス数を抑え、プラットフォーム全体にわたって統合された1つのOSで各デバイスを稼働させることができます。

このソリューションの中核となるのは、ジュニパーネットワークスEX2200イーサネットスイッチ、EX4200イーサネットスイッチ、ジュニパーネットワークスSRXシリーズサービス・ゲートウェイ、ジュニパーネットワークスSA2500SSL VPNアプライアンスによる、ジュニパーの最新のスイッチング機能とネットワーク・セキュリティ機能にあります。これらのデバイスは、アクセススイッチやコアスイッチ、さらには統合されたセキュリティ機能で構成される2階層のアーキテクチャに配備されます。

このハイブリッドなクラウド対応ソリューションを導入することで、以下を実現できます。

• 480台以上のギガビットイーサネット・ホーム・サーバーを接続（2×EX4200）

• コアレイヤーにて最大10台までのEX4200バーチャルシャーシ・スイッチを配備できる拡張性を提供（EX4200）

• 7Gbpsステートフル・ファイアウォールおよび900Mbps IPSをサポート（SRX650）

• 最大100人まで同時接続可能なSSL VPNを提供（高速化とセキュリティを実現）（SA2500SSL VPNアプライアンス、ジュニパーネットワークスJunos Pulse、ジュニパーネットワークスWXC250アプリケーション・アクセラレーション・プラットフォーム）

• すべてのEXシリーズイーサネットスイッチおよびSRXシリーズサービス・ゲートウェイを自動化（Junos OS）

図14：中小規模企業向けITデータセンター・ネットワーク・インフラストラクチャの例

SRX650

EX4200 VC

EX2200ごとに、48台のアクティブサーバーサーバーラックあたり1台のEX2200データセンターあたり10本のサーバーラックデータセンターあたり最大480台のサーバー、1:24のオーバーサブスクリプション

2 x 1G

プロバイダ所有のCPE

SA2500

WXC250

EX2200

1G


EX2200

EX2200 POE1G

サーバーラックユーザー集団/キャンパス接続性



まとめ企業は、財政、管理、サービスの提供といった場で生じる新たな責務を確実に遂行するために、柔軟性の高い、セキュアかつハイパフォーマンスなアプリケーションをユーザーに提供できるような、新しいネットワーク・アーキテクチャや設計手法を採用しなければなりません。ジュニパーネットワークスのデータセンター・ネットワークおよびクラウド向けのリファレンス・アーキテクチャは、データセンターのネットワーク全体に対する深い理解と新しいアイディアを組み合わせて、今までにないメリットをお客様に提供します。ジュニパーのチップおよびプラットフォーム・アーキテクチャ、モジュール型かつ拡張性の高いネットワークOS、セキュリティやアプリケーションを強化するサービス、オープンで拡張性に優れた業界標準準拠のアプリケーション・オーケストレーションでの革新技術や卓越性によって、レガシーのあるいは代替のアプローチでは成し得なかったレベルで優れた応答性と投資収益率をもたらします。ジュニパーが提供するデータセンターおよびクラウド向けアーキテクチャは、ネットワークの新しい世界を開きます。

企業はこうしたジュニパーの技術革新を活用して、ネットワークの簡素化、共有、セキュリティの強化を実現し、仮想化されたクラウド対応の新しいソリューションをデータセンターに導入できます。これらは、企業内のユーザーが利用するプライベートクラウド、幅広いユーザーが公共ネットワークを介してサービスを利用できるパブリッククラウド、あるいはパブリッククラウドとプライベートクラウドのそれぞれの特性を組み合わせたハイブリッドクラウドのいずれの形態を構築する場合でも導入できるソリューションです。

レガシーな設計を再検討し、ジュニパーのアプローチを採用することで、増加し続けるユーザー数に対応しながら、エンドユーザーに質の高い操作性を提供できるデータセンター・ネットワークを構築できます。規模に合わせて拡張できるネットワーク・パフォーマンスや、厳しさを増す情報処理要件などに遅れをとらないキャリアクラスの信頼性を実現でき、高速化、アプリケーションおよびサービスの配備コストの削減、TCOの削減によってハイパフォーマンス・ネットワーキングの潮流の中でも特にコスト効果が高いネットワークが構築可能になります。

ジュニパーが提案するアーキテクチャを採用することで、企業のビジネス目標に適合するアプローチを採り、それぞれのペースに応じたデータセンターおよびクラウド・コンピューティングのネットワークを構築できます。このアーキテクチャは、データセンター・ネットワークの特定箇所にターゲットを絞って適用することも、データセンター・インフラストラクチャを一から新しく構築するためのロードマップとして使用することもできます。既存の環境、あるいは目指す計画、展望、ビジネス目標にかかわらず、ジュニパーが提案する業界で最も革新的で魅力的なリファレンス・アーキテクチャは、あらゆるデータセンターおよびクラウドで稼働する業務アプリケーションを支える基盤となります。

付録A クラウド対応データセンター・ネットワーク向けのジュニパーネットワークス製品

スイッチング

EXシリーズイーサネットスイッチ：レイヤー2およびレイヤー3のデータセンター・ネットワークを対象に、圧倒的な拡張性とパフォーマンスを提供します。高密度、高性能を実現するEX8200ラインのイーサネットスイッチは、データセンター環境やクラウド・コンピューティング環境をサポートします。バーチャルシャーシ・テクノロジーにより、10台までのEX4200シリーズスイッチを相互接続して単一デバイスとして運用できるため、管理コストを削減できます。

ルーティング

ジュニパーネットワークスMシリーズマルチサービスエッジルーター：統合されたクラス最高レベルの仮想化機能とトラフィック管理機能を、圧倒的な信頼性、安定性、セキュリティ機能と豊富なサービスを組み合わせて、クラウド型データセンターをWANに接続します。Mシリーズルーターは、パフォーマンスを犠牲にしない多様な接続オプションを提供します。

ジュニパーネットワークスMXシリーズ 3D ユニバーサル・エッジルーター：お客様からの評価が高いイーサネット・スイッチング機能とキャリアクラスのルーティング機能を備え、ネットワーク・インフラストラクチャの高度な仮想化と、データセンターとWANの間のトラフィック管理を実現します。

セキュリティサービス

SRXシリーズサービス・ゲートウェイ：ルータ、スイッチ、アプリケーション・サービス、ユーザー認識およびアプリケーション認識セキュリティ機能が単一のデバイスに搭載されています。

統合型アクセス・コントロール：アイデンティティやロールに基づいた強力なアクセス・コントロールを提供することにより、サービスの導入における機動性を高め、ユーザー・エクスペリエンスの質を向上させます。統合型アクセス・コントロールは、データセンター内はもちろん、企業の枠を超えた拡張環境においても導入が可能で、ネットワークとアプリケーションを保護します。

SAシリーズ SSL VPNアプライアンス：リモート環境にあるさまざまなネットワークやプラットフォームからデータセンターのリソースを利用する際の、拡張性に優れたシンプルかつセキュアな（SSL VPN）リモートアクセスを実現します。



Copyright© 2011, Juniper Networks, Inc. All rights reserved.Juniper Networks、Junos、NetScreen、ScreenOS、Juniper Networksロゴは、米国およびその他の国におけるJuniper Networks Inc.の登録商標または商標です。また、その他記載されているすべての商標、サービスマーク、登録商標、登録サービスマークは、各所有者に所有権があります。ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。

日本ジュニパーネットワークス株式会社

東京本社〒163-1445東京都新宿区西新宿3-20-2 東京オペラシティタワー 45F電話　03-5333-7400FAX　03-5333-7401

西日本事務所〒541-0041大阪府大阪市中央区北浜1-1-27グランクリュ大阪北浜

URL http://www.juniper.net/jp/

米国本社Juniper Networks, Inc.

1194 North Mathilda AveSunnyvale, CA 94089USA

電話　888-JUNIPER　　 (888-586-4737)または408-745-2000FAX　408-745-2100

URL　http://www.juniper.net

アジアパシフィックJuniper Networks (Hong Kong) Ltd.

26/FCityplaza One1111 King’ s Road,Taikoo Shing, Hong Kong

電話　852-2332-3636FAX　852-2574-7803

ヨーロッパ、中東、アフリカJuniper Networks Ireland

Airside Business ParkSwords, County DublinIreland

電話　35-31-8903-600FAX　35-31-8903-601

8030001-004 JP Apr 2011

アプリケーション・サービス

WXCシリーズアプリケーション・アクセラレーション・プラットフォーム：WAN上でアプリケーションを高速化することで、ミッション・クリティカルなアプリケーションをサポートします。

オペレーティング・システム

Junos OS: ルータスイッチ、セキュリティサービスの機能を統合し、統一されたOSならではのパワーで、TCOを抑えると同時に複雑さの軽減と卓越した運用性、ダイナミックなサービス提供を実現します。

統合型ネットワーク・クライアント

Junos Pulse: 統合された接続性、アクセス、アクセラレーション、セキュリティの各機能をいつでもどこにでも提供できるプラットフォームです。ユーザーはシンプルな操作性で、業界標準準拠のマルチサービス・ネットワーク・クライアントをダイナミックに利用できます。

オーケストレーションおよびネットワーク管理

Network and Security Manager：ルーティングデバイス、スイッチングデバイス、セキュリティデバイスを含むネットワーク・インフラストラクチャ全体の一元管理を実現します。

ジュニパーネットワークスSTRMシリーズ Security Threat Response Manager：ジュニパー製品はもとより、サードパーティ製品からもイベントやアラートを収集し、それらを集約してエンタープライズ全体を対象とした脅威管理ビューに表示します。

Junos Spaceプラットフォーム

アプリケーションの開発やホスティングにかかる工数を簡素化し、シンプルかつスマートなネットワーク・アプリケーションを開発して展開できるようになります。Junos Spaceには拡張性に優れたランタイム環境があり、マルチテナント型のホットプラグ対応ネットワーク・アプリケーションのサポート、迅速なネットワーク・アプリケーション開発が可能な総合フレームワーク、Web 2.0に基づくユーザーインタフェースを特長としています。

テクニカルサービス

J-Careテクニカルサービス: ジュニパーのサポートセンターへのオンラインまたは電話による問い合わせを回数制限なくご利用いただけます。迅速なソフトウェア・アップデートやハードウェア交換オプションをはじめとする総合的なサポートサービスを提供します。

J-Care Efficiency、J-Care Continuity、J-Care Agilityの各サービス: AIS（Advanced Insight Services）の自動化要素を付加することで、運用のコストを抑えながら作業を簡素化します。

ジュニパーネットワークスについてジュニパーネットワークスは、ハイ・パフォーマンス・ネットワーキングのリーダーです。サービスおよびアプリケーションが一元化されたネットワークの導入展開を加速するのに不可欠な、即応性と信頼性の高い環境を構築するハイ・パフォーマンスなネットワーク・インフラストラクチャを提供するジュニパーネットワークスは、お客様のビジネス・パフォーマンスの向上に貢献します。ジュニパーネットワークスに関する詳細な情報は、以下のURL でご覧になれます。

http://www.juniper.net/jp/

cloud-ready data center reference architecture...4 copyright © 2011, juniper networks, inc....

Documents