f5が考える、sdn戦略、cisco...

24
F5が考える、 SDN戦略、Cisco ACIとは F5ネットワークスジャパン株式会社

Upload: others

Post on 11-Mar-2020

1 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

F5が考える、 SDN戦略、Cisco ACIとは

F5ネットワークスジャパン株式会社

Page 2: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

現状の課題• アジャイル開発、DevOps、SDN、クラウドなどによりユーザの現場で要求が激変• 変化する環境に最適なソリューション、パッケージが求められている

ビジネスゴールの共有、ITとビジネスの強固なアラインメント

アプリケーションを中⼼に据えたネットワーキングサービス

アプリケーションと連携したインフラの徹底した⾃動化/仮想化ビジネス要件に合わせて、ア

プリケーションをより迅速/柔軟に展開 (DevOps)

マルチクラウドにワークロードを展開できるクラウド間の相互連携

Page 3: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 3CONFIDENTIAL

⼀般的に考えられているSDNネットワークを、迅速かつ柔軟にどう「つなぐ」のか?

レイヤー 2-3

SDN Controller

NorthboundAPI

VXLAN NVGRE Openflow

コントロールプレーン(Network OS)

アプリケーションプレーン(オーケストレータ:Cloud

OS)

データプレーン

バーチャルネットワーク

物理スイッチ 仮想

スイッチ

コントロールプレーンとデータプレーンの分離

オープン

プログラマビリティ

Page 4: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

現在、SDNで取り組まれていない顧客の課題

・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

10 分

VMの起動

10分

ネットワーク(L2-3)の接続性をSDN

1-2 週間

アプリケーションサービスのSLAに合わせた可用性、セキュリティ、最適化の設定

アプリケーションレイヤ(L4-7)で実現される、可用性、セキュリティ、最適化サービスについては取り組まれていない

・ ネットワークサービス(ADC)に対する取り組みが行われていないサービスの迅速な提供のためには、コア構成要素であるアプリケーションレイヤー(L4-7)で実現されるサービスの可用性/最適化/セキュリティを確保するSDNも同時取り組む必要がある

Page 5: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 5CONFIDENTIAL

Missing link: アプリケーションとネットワークをつなぐ

Performance Availability Security Mobility Access & Identity

L2 – L3 SDN

アプリケーション環境の仮想化

SDN Controller

物理スイッチ

仮想スイッチ

L4-7ギャップ

新たな取り組みが必要

Page 6: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 6CONFIDENTIAL

ルータ スイッチ

ファイアウォール

ADC

アプリケーションの可用性を提供

アプリケーションへのセキュリティを提供

アプリケーションの高速化を提供

ステートフル

アプリケーションのセッションや可用性/パフォーマンスを管理

ステートレス

メッセージベース処理

アプリケーションレイヤーのヘッダやペイロードベースを双方向で処理

パケットベース処理

コンテキスト有り

いつ、誰が、どのデバイスで、何処からアプリケーションを利用しているかを理解

コンテキスト無し

L2-3

L4-7

ロードバランサ/SSL WAF

アプリケーションに対して

L4-L7の重要性

Page 7: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 7CONFIDENTIAL

F5 Synthesis: Software Defined Application Serviceを実現

Software Defined Application Service

SDN Controller

物理スイッチ

仮想スイッチ

Software Defined Application Service

L4-L7サービスをSDN上に実現

Page 8: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 8CONFIDENTIAL

Synthesisにより、ユーザ環境をSDDCへ

従来型のユーザ環境 全てがSOFTWARE-DEFINED

ファブリック化されたアーキテクチャで高い拡張性

コスト効率が高い

アプリケーションごとにサイロ化 低いコスト効率 拡張性がない

Page 9: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 9CONFIDENTIAL

Software Defined Application Service- SDDCを実現するために真に必要なハイパフォーマンス ・サービスファブリック -

L2-L3 ネットワーク [物理 • オーバーレイ • SDN]

Virtual Edition シャーシアプライアンス

データプレーン

プログラマビリティ

コントロールプレーン マネジメントプレーン

サービスチェイニング

アプリケーションに必要なすべてのL4-L7テクノロジを高いパフォーマンスと共に提供

従来通りの高い拡張性と柔軟なプログラマビリティ

L2-3に依存しないL4-L7サービスを実現

Page 10: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

Cisco – ACI との連携

Page 11: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 11CONFIDENTIAL

ネットワーク(L2-3)のリーダー:Cisco ADC(L4-7)のリーダー:F5

今やF5とCiscoはパートナーです!

• L2-3のシスコ、L4-7のF5をインテグレーションすることで全レイヤ(L2-7)をカバーします

• シンプルなデータセンター、クラウドの実現• アプリケーション視点でのポリシーフレームワー

ク• インテリジェントなオーケストレーション• ハイパフォーマンスでセキュアなファブリック• 拡張可能なアーキテクチャ• アプリのデプロイを素早く出来るようにする

Cisco ACI Launch Novʼ13

Page 12: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 12CONFIDENTIAL

Cisco and F5 Partnership Showcased at..

Interop 2014 Interview

Interop 2014 Showcase

Cisco Partner Summit 2014

Page 13: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 13CONFIDENTIAL

• アプリケーションの俊敏性の⽋如 – 異なる組織による異なるレイヤのプロビジョニングが必要

• プロビジョニングが⾮効率の場合、運⽤可能になるまでの時間が⻑くなる

• セキュリティやスケーラビリティへの対応に時間がかかる

• 結果的に、柔軟なアプリケーションの実現が困難になる

アプリケーションのプロビジョニングおける課題

テナント (⼈事) テナント (経理)

NETWORK CONNECTIVITY

L4-L7

COMPUTE + VM

STORAGE

App x

App y

App z

App p

App q

App r

NETWORK CONNECTIVITY

L4-L7

COMPUTE + VM

STORAGE

NETWORK CONNECTIVITY

L4-L7

COMPUTE + VM

STORAGE

NETWORK CONNECTIVITY

L4-L7

COMPUTE + VM

STORAGE

NETWORK CONNECTIVITY

L4-L7

COMPUTE + VM

STORAGE

NETWORK CONNECTIVITY

L4-L7

COMPUTE + VM

STORAGE

Page 14: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 14CONFIDENTIAL

アプリケーション要件に合わせたFirewallのルール設定

Firewallを導⼊するためにネットワークを設計

Firewallにネットワークパラメータを設定

アプリケーション要件に合わせたロードバランサの設定

ロードバランサーのネットワーク設定

ロードバランサにトラフィックを流すためのルータ設定

アプリケーションのプロビジョニングにおける課題

ネットワーク・サービス(FirewallやLBなど)の導⼊には何⽇もかかる

ネットワーク設定は時間がかかるし、⼈的エラーも発⽣しやすい

アプリケーション毎にサービスのコンフィグレーションを管理することが困難

従来のネットワークにおける、サービス・インサーション

Server

vFW

Switch

Router

FW

Router

LB

Page 15: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 15CONFIDENTIAL

• アプリケーション俊敏性 – いつでも, どこでも, 物理でも仮想でも

• 迅速なアプリケーションのデプロイと、スケーラビリティとセキュリティ

• アプリケーション視点での可視化、トラブルシューティング

• オープンAPI

ACI slide Source: Cisco

ACI におけるF5の位置づけ

DB DBハイパーバイザ ハイパーバイザ ハイパーバイザ

DB

WEB WEB WEB APP WEB APP WEB

物理ネットワーク

ハイパーバイザ仮想N/W

コンピュート L4–L7サービス

ストレージ マルチDCクラウド

BIG-IPPHYSICAL AND/OR VIRTUAL

Page 16: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 16CONFIDENTIAL

プレスリリース

https://f5.com/about-us/news/press-releases/f5-optimizes-applications-with-ciscos-aci-architecture

F5 Optimizes Applications with Ciscoʼs ACI Architecture

2014年5⽉19⽇ Cisco Live ! (サンフランシスコ)にて、正式に発表!!

Cisco ACIとF5を組み合わせることにより、両社の提供するソリューションの価値を最⼤化。

Page 17: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 17CONFIDENTIAL

F5 DEVICE PACKAGEFOR APIC

F5 and Cisco ACI 連携ソリューションとは

ACI Fabric

Programmability (iRule / iApp / iControl)Data Plane Control Plane Management Plane

F5 Synthesis Fabric

Virtual Edition Appliance Chassis

ソリューションの顧客メリット• ネットワークだけではなく、アプリケー

ションサービス(L4-L7)も含めた統合を実現

• 迅速なアプリケーションのデプロメントを、セキュリティ/スケーラビリティ/信頼性とともに実現

• APICコントローラーからネットワーク・アプリケーションを集中管理することによる、運⽤コストの低減

Nexus 9500

Nexus 9300

Page 18: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 18CONFIDENTIAL

F5 Device Package

Device Package contains

Configuration Model (XML File)

Python Scripts

BIG-IP

Script Engine

Python ScriptsAPIC Script Interface

APIC Script Interface

APIC– Policy ManagerConfiguration Model (XML File)

PolicyEngine

Device Packageを利⽤したサービスの⾃動化– ACI + F5 Deployment

管理者はDevice Package をAPICにアップロード可能

APICはDevice Packageをとおして拡張可能なポリシーモデルを提供

Device Packageは各デバイスのコンフィグレーション・モデルを定義するXMLファイルを含む

Device Scripts がAPIC APIのコールアウトを、デバイス固有の呼び出しに変換

F5 は従来よりリッチなプログラマブルなインターフェース(iControl/iRules/TMSHなど)を提供ACI(APIC)とのインテグレーションが⾮常に容易かつ強⼒!

Page 19: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 19CONFIDENTIAL

F5 Device Package に含まれる機能

Virtual Server• 機能/プロファイル等

• L4負荷分散+SSLオフロード• L7負荷分散+SSLオフロード

• HTTP• FTP• SMTP

• Microsoft SharePoint

パラメータ等の詳細• 全体/テナント毎のSelf IPの設定• 全体/テナント毎の静的ルーティングの設定• サーバー・プールの設定• TCP 最適化 (WAN/LAN/Mobile)• HTTP 最適化• One Connect• iRules• SNAT Pool• etc…

2014年8⽉11⽇:正式に初版リリース済みhttps://downloads.f5.com からダウンロード!!

Page 20: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 20CONFIDENTIAL

APIC からL4-L7サービスの導⼊を⾃動化• SSL offload• Server load balancing (SLB) ( L4 & L7)

F5のADCから様々なサービスを提供• BIG-IPによるADCサービス• Active/Standby構成• iRules参照• 物理H/W、仮想アプライアンス• Firewall やWAFなど

LB機能だけではない、先進的なADC機能まで含めた連携実装が可能。

F5 Device Package

BIG-IP local

TrafficManager

(Ltm)

BIG-IP GlobalTraffic

Manager(GTM)

BIG-IP Application Acceleratio

nManager(AAM)

BIG-IP Application

SecurityManager(ASM)

BIG-IP Advanced Firewall Manager(AFM)

BIG-IP Access Policy

Manager(APM)

BIG-IP Carrier

Grade NAT(CGNAT)

BIG-IP Policy

Enforcement

Manager(PEM)

Today

iRules, iApps,iControl and iCall

TMOS

BIG-IQ

Orchestration Platform Plug-insBIG-IQEM

BIG-IQDevice

BIG-IQADC

BIG-IQCloud

BIG-IQSecurity

Page 21: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 21CONFIDENTIAL

Nexus 9K 環境に対する、デプロイシナリオ

standalone

ACI

Nexus 9500

Nexus 9300

Nexus 9500

Nexus 9300

Physical/Virtual

Nexus 9300

Nexus 9300

Physical and/orVirtual

StandaloneからACIへアップグレード、または最初からACI、どちらでもOK!• Standalone Nexus 9500 +

Nexus 9300 F5 BIG-IP 10G or 40

• Cisco ACI - Nexus 9K + APIC + F5 device package ACIに対応した形でBIG-IPが利⽤できるようになる

Page 22: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 22CONFIDENTIAL

F5 マルチテナント技術:Route Domain

RD1

RD2

Servers-1

BIG-IP

Servers-2

技術メリット 説明

仮想ネットワークを分離することで、BIG-IP内部で仮想ネットワークを跨ぐ通信を遮断可能

クライアントからサーバリソースへのアクセスまで通して、他のネットワークと分離する

概要)• VLANなどをベースにRoute Domainを形成し、ネットワークを仮想的にBIG-IP内で分割• クライアント側とサーバ側を通したRoute Domainを形成するため、BIG-IP内で完全に分離することで、各

Route Domainにおいて同⼀IPアドレスを設定することが可能

InternalVLAN-2

Data Center

InternalVLAN-1

ExternalVLAN-1

ExternalVLAN-2

VS-2

VS-1

VS:(Virtual Server) 仮想サーバVIP+ポート番号+α

Page 23: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可

© F5 Networks, Inc 23CONFIDENTIAL

BIG-IP管理者

作成

作成

Admin権限ユーザ1. Partition作成、ユーザの

割り当て2. PartitionとRoute

Domainの割り当て

Route Domainと併⽤各テナントユーザはIPアドレスの重複を意識することなくBIG-IPを設定

• 設定表⽰の分割• 設定ファイルを分割

テナントユーザ①

テナントユーザ②

Data Plane/Management Plane区分化

F5 マルチテナント技術:Partition(設定の区分化)

Page 24: F5が考える、SDN戦略、Cisco ACIとはf5networks.co.jp/shared/pdf/WP_Cisco_ACI.pdf現在、SDNで取り組まれていない顧客の課題 ・L2 – 3(NWの接続性)のみSDNを実現しても、理想的なサービスは提供不可