f5が考える、sdn戦略、cisco...
TRANSCRIPT
F5が考える、 SDN戦略、Cisco ACIとは
F5ネットワークスジャパン株式会社
現状の課題• アジャイル開発、DevOps、SDN、クラウドなどによりユーザの現場で要求が激変• 変化する環境に最適なソリューション、パッケージが求められている
ビジネスゴールの共有、ITとビジネスの強固なアラインメント
アプリケーションを中⼼に据えたネットワーキングサービス
アプリケーションと連携したインフラの徹底した⾃動化/仮想化ビジネス要件に合わせて、ア
プリケーションをより迅速/柔軟に展開 (DevOps)
マルチクラウドにワークロードを展開できるクラウド間の相互連携
© F5 Networks, Inc 3CONFIDENTIAL
⼀般的に考えられているSDNネットワークを、迅速かつ柔軟にどう「つなぐ」のか?
レイヤー 2-3
SDN Controller
NorthboundAPI
VXLAN NVGRE Openflow
コントロールプレーン(Network OS)
アプリケーションプレーン(オーケストレータ:Cloud
OS)
データプレーン
バーチャルネットワーク
物理スイッチ 仮想
スイッチ
コントロールプレーンとデータプレーンの分離
オープン
プログラマビリティ
現在、SDNで取り組まれていない顧客の課題
・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可
10 分
VMの起動
10分
ネットワーク(L2-3)の接続性をSDN
1-2 週間
アプリケーションサービスのSLAに合わせた可用性、セキュリティ、最適化の設定
アプリケーションレイヤ(L4-7)で実現される、可用性、セキュリティ、最適化サービスについては取り組まれていない
・ ネットワークサービス(ADC)に対する取り組みが行われていないサービスの迅速な提供のためには、コア構成要素であるアプリケーションレイヤー(L4-7)で実現されるサービスの可用性/最適化/セキュリティを確保するSDNも同時取り組む必要がある
© F5 Networks, Inc 5CONFIDENTIAL
Missing link: アプリケーションとネットワークをつなぐ
Performance Availability Security Mobility Access & Identity
L2 – L3 SDN
アプリケーション環境の仮想化
SDN Controller
物理スイッチ
仮想スイッチ
L4-7ギャップ
新たな取り組みが必要
© F5 Networks, Inc 6CONFIDENTIAL
ルータ スイッチ
ファイアウォール
ADC
アプリケーションの可用性を提供
アプリケーションへのセキュリティを提供
アプリケーションの高速化を提供
ステートフル
アプリケーションのセッションや可用性/パフォーマンスを管理
ステートレス
メッセージベース処理
アプリケーションレイヤーのヘッダやペイロードベースを双方向で処理
パケットベース処理
コンテキスト有り
いつ、誰が、どのデバイスで、何処からアプリケーションを利用しているかを理解
コンテキスト無し
L2-3
L4-7
ロードバランサ/SSL WAF
アプリケーションに対して
L4-L7の重要性
© F5 Networks, Inc 7CONFIDENTIAL
F5 Synthesis: Software Defined Application Serviceを実現
Software Defined Application Service
SDN Controller
物理スイッチ
仮想スイッチ
Software Defined Application Service
L4-L7サービスをSDN上に実現
© F5 Networks, Inc 8CONFIDENTIAL
Synthesisにより、ユーザ環境をSDDCへ
従来型のユーザ環境 全てがSOFTWARE-DEFINED
ファブリック化されたアーキテクチャで高い拡張性
コスト効率が高い
アプリケーションごとにサイロ化 低いコスト効率 拡張性がない
© F5 Networks, Inc 9CONFIDENTIAL
Software Defined Application Service- SDDCを実現するために真に必要なハイパフォーマンス ・サービスファブリック -
L2-L3 ネットワーク [物理 • オーバーレイ • SDN]
Virtual Edition シャーシアプライアンス
データプレーン
プログラマビリティ
コントロールプレーン マネジメントプレーン
サービスチェイニング
アプリケーションに必要なすべてのL4-L7テクノロジを高いパフォーマンスと共に提供
従来通りの高い拡張性と柔軟なプログラマビリティ
L2-3に依存しないL4-L7サービスを実現
Cisco – ACI との連携
© F5 Networks, Inc 11CONFIDENTIAL
ネットワーク(L2-3)のリーダー:Cisco ADC(L4-7)のリーダー:F5
今やF5とCiscoはパートナーです!
• L2-3のシスコ、L4-7のF5をインテグレーションすることで全レイヤ(L2-7)をカバーします
• シンプルなデータセンター、クラウドの実現• アプリケーション視点でのポリシーフレームワー
ク• インテリジェントなオーケストレーション• ハイパフォーマンスでセキュアなファブリック• 拡張可能なアーキテクチャ• アプリのデプロイを素早く出来るようにする
Cisco ACI Launch Novʼ13
© F5 Networks, Inc 12CONFIDENTIAL
Cisco and F5 Partnership Showcased at..
Interop 2014 Interview
Interop 2014 Showcase
Cisco Partner Summit 2014
© F5 Networks, Inc 13CONFIDENTIAL
• アプリケーションの俊敏性の⽋如 – 異なる組織による異なるレイヤのプロビジョニングが必要
• プロビジョニングが⾮効率の場合、運⽤可能になるまでの時間が⻑くなる
• セキュリティやスケーラビリティへの対応に時間がかかる
• 結果的に、柔軟なアプリケーションの実現が困難になる
アプリケーションのプロビジョニングおける課題
テナント (⼈事) テナント (経理)
NETWORK CONNECTIVITY
L4-L7
COMPUTE + VM
STORAGE
App x
App y
App z
App p
App q
App r
NETWORK CONNECTIVITY
L4-L7
COMPUTE + VM
STORAGE
NETWORK CONNECTIVITY
L4-L7
COMPUTE + VM
STORAGE
NETWORK CONNECTIVITY
L4-L7
COMPUTE + VM
STORAGE
NETWORK CONNECTIVITY
L4-L7
COMPUTE + VM
STORAGE
NETWORK CONNECTIVITY
L4-L7
COMPUTE + VM
STORAGE
© F5 Networks, Inc 14CONFIDENTIAL
アプリケーション要件に合わせたFirewallのルール設定
Firewallを導⼊するためにネットワークを設計
Firewallにネットワークパラメータを設定
アプリケーション要件に合わせたロードバランサの設定
ロードバランサーのネットワーク設定
ロードバランサにトラフィックを流すためのルータ設定
アプリケーションのプロビジョニングにおける課題
ネットワーク・サービス(FirewallやLBなど)の導⼊には何⽇もかかる
ネットワーク設定は時間がかかるし、⼈的エラーも発⽣しやすい
アプリケーション毎にサービスのコンフィグレーションを管理することが困難
従来のネットワークにおける、サービス・インサーション
Server
vFW
Switch
Router
FW
Router
LB
© F5 Networks, Inc 15CONFIDENTIAL
• アプリケーション俊敏性 – いつでも, どこでも, 物理でも仮想でも
• 迅速なアプリケーションのデプロイと、スケーラビリティとセキュリティ
• アプリケーション視点での可視化、トラブルシューティング
• オープンAPI
ACI slide Source: Cisco
ACI におけるF5の位置づけ
DB DBハイパーバイザ ハイパーバイザ ハイパーバイザ
DB
WEB WEB WEB APP WEB APP WEB
物理ネットワーク
ハイパーバイザ仮想N/W
コンピュート L4–L7サービス
ストレージ マルチDCクラウド
BIG-IPPHYSICAL AND/OR VIRTUAL
© F5 Networks, Inc 16CONFIDENTIAL
プレスリリース
https://f5.com/about-us/news/press-releases/f5-optimizes-applications-with-ciscos-aci-architecture
F5 Optimizes Applications with Ciscoʼs ACI Architecture
2014年5⽉19⽇ Cisco Live ! (サンフランシスコ)にて、正式に発表!!
Cisco ACIとF5を組み合わせることにより、両社の提供するソリューションの価値を最⼤化。
© F5 Networks, Inc 17CONFIDENTIAL
F5 DEVICE PACKAGEFOR APIC
F5 and Cisco ACI 連携ソリューションとは
ACI Fabric
Programmability (iRule / iApp / iControl)Data Plane Control Plane Management Plane
F5 Synthesis Fabric
Virtual Edition Appliance Chassis
ソリューションの顧客メリット• ネットワークだけではなく、アプリケー
ションサービス(L4-L7)も含めた統合を実現
• 迅速なアプリケーションのデプロメントを、セキュリティ/スケーラビリティ/信頼性とともに実現
• APICコントローラーからネットワーク・アプリケーションを集中管理することによる、運⽤コストの低減
Nexus 9500
Nexus 9300
© F5 Networks, Inc 18CONFIDENTIAL
F5 Device Package
Device Package contains
Configuration Model (XML File)
Python Scripts
BIG-IP
Script Engine
Python ScriptsAPIC Script Interface
APIC Script Interface
APIC– Policy ManagerConfiguration Model (XML File)
PolicyEngine
Device Packageを利⽤したサービスの⾃動化– ACI + F5 Deployment
管理者はDevice Package をAPICにアップロード可能
APICはDevice Packageをとおして拡張可能なポリシーモデルを提供
Device Packageは各デバイスのコンフィグレーション・モデルを定義するXMLファイルを含む
Device Scripts がAPIC APIのコールアウトを、デバイス固有の呼び出しに変換
F5 は従来よりリッチなプログラマブルなインターフェース(iControl/iRules/TMSHなど)を提供ACI(APIC)とのインテグレーションが⾮常に容易かつ強⼒!
© F5 Networks, Inc 19CONFIDENTIAL
F5 Device Package に含まれる機能
Virtual Server• 機能/プロファイル等
• L4負荷分散+SSLオフロード• L7負荷分散+SSLオフロード
• HTTP• FTP• SMTP
• Microsoft SharePoint
パラメータ等の詳細• 全体/テナント毎のSelf IPの設定• 全体/テナント毎の静的ルーティングの設定• サーバー・プールの設定• TCP 最適化 (WAN/LAN/Mobile)• HTTP 最適化• One Connect• iRules• SNAT Pool• etc…
2014年8⽉11⽇:正式に初版リリース済みhttps://downloads.f5.com からダウンロード!!
© F5 Networks, Inc 20CONFIDENTIAL
APIC からL4-L7サービスの導⼊を⾃動化• SSL offload• Server load balancing (SLB) ( L4 & L7)
F5のADCから様々なサービスを提供• BIG-IPによるADCサービス• Active/Standby構成• iRules参照• 物理H/W、仮想アプライアンス• Firewall やWAFなど
LB機能だけではない、先進的なADC機能まで含めた連携実装が可能。
F5 Device Package
BIG-IP local
TrafficManager
(Ltm)
BIG-IP GlobalTraffic
Manager(GTM)
BIG-IP Application Acceleratio
nManager(AAM)
BIG-IP Application
SecurityManager(ASM)
BIG-IP Advanced Firewall Manager(AFM)
BIG-IP Access Policy
Manager(APM)
BIG-IP Carrier
Grade NAT(CGNAT)
BIG-IP Policy
Enforcement
Manager(PEM)
Today
iRules, iApps,iControl and iCall
TMOS
BIG-IQ
Orchestration Platform Plug-insBIG-IQEM
BIG-IQDevice
BIG-IQADC
BIG-IQCloud
BIG-IQSecurity
© F5 Networks, Inc 21CONFIDENTIAL
Nexus 9K 環境に対する、デプロイシナリオ
standalone
ACI
Nexus 9500
Nexus 9300
Nexus 9500
Nexus 9300
Physical/Virtual
Nexus 9300
Nexus 9300
Physical and/orVirtual
StandaloneからACIへアップグレード、または最初からACI、どちらでもOK!• Standalone Nexus 9500 +
Nexus 9300 F5 BIG-IP 10G or 40
• Cisco ACI - Nexus 9K + APIC + F5 device package ACIに対応した形でBIG-IPが利⽤できるようになる
© F5 Networks, Inc 22CONFIDENTIAL
F5 マルチテナント技術:Route Domain
RD1
RD2
Servers-1
BIG-IP
Servers-2
技術メリット 説明
仮想ネットワークを分離することで、BIG-IP内部で仮想ネットワークを跨ぐ通信を遮断可能
クライアントからサーバリソースへのアクセスまで通して、他のネットワークと分離する
概要)• VLANなどをベースにRoute Domainを形成し、ネットワークを仮想的にBIG-IP内で分割• クライアント側とサーバ側を通したRoute Domainを形成するため、BIG-IP内で完全に分離することで、各
Route Domainにおいて同⼀IPアドレスを設定することが可能
InternalVLAN-2
Data Center
InternalVLAN-1
ExternalVLAN-1
ExternalVLAN-2
VS-2
VS-1
VS:(Virtual Server) 仮想サーバVIP+ポート番号+α
© F5 Networks, Inc 23CONFIDENTIAL
BIG-IP管理者
作成
作成
Admin権限ユーザ1. Partition作成、ユーザの
割り当て2. PartitionとRoute
Domainの割り当て
Route Domainと併⽤各テナントユーザはIPアドレスの重複を意識することなくBIG-IPを設定
• 設定表⽰の分割• 設定ファイルを分割
テナントユーザ①
テナントユーザ②
Data Plane/Management Plane区分化
F5 マルチテナント技術:Partition(設定の区分化)