【interop tokyo 2015】 dc 2: cisco aci とファイアウォール&ロード バランサ連携
Post on 30-Jul-2015
88 views
TRANSCRIPT
Cisco ACI とファイアウォール&ロード バランサ連携
June, 2015
大平 伸一
テクニカルソリューションズアーキテクト
* 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
自動化 & オーケストレーション
モニタリング システム
管理
L4-7
サービス 仮想化
ストレージ
セキュリティ
公開された
データモデル
オープンで標準化
された APIs
オープン ソース オープン スタンダード
Cisco ACI エコシステム パートナー
33 社のエコシステム パートナー
Cisco ACI: オープンなセキュリティ フレームワークと 幅広いセキュリティ エコシステムの提供
幅広いエコシステムによる選択
投資保護
深いセキュリティ戦略による防御をサポート
セキュリティ アプリケーション (コンプライアンス, SIEM, セキュリティ分析 etc.)
APIC
エンド ツー エンドでのセキュリティ
ACI
ファブリック ホスト
ファイアウォール
IDS / IPS DDoS
Open Standard
OPFLEX
Open Device
Interface
Open REST APIs
データセンター セキュリティのための アプリケーション セントリック ポリシー モデル
アプリケーション
ポリシーの
コンポーネント
エンド ポイント グループ:
同一ポリシーを持つ
エンド ポイント (仮想マシン/
サーバ) の集まり
Contracts:
エンド ポイント グループ間の通信ルールの集まり
Service Chains:
エンド ポイント グループ間のネットワーク サービスの
集まり
OUTSIDE
WEB APP DB CRM
APP
ADC F/W
ADC
Contract Contract
Cisco ACI 分散型ファイアウォール サーバ間のトラフィックの最適化
Firewall at Each
Leaf switch
サーバ (物理または仮想)
組み込まれたファイアウォールと
ACI ファブリック 中央型 ファイアウォール
Central Firewall
データ センター
アクセス/アグリゲーション
ネットワーク
トラフィックを操作し、ポリシーの適用は中央で
スケールの妨げになる可能性
ポリシーはネットワークに固定(例: IP アドレス)
ファイアウォールは全てのサーバポートに接続
ラインレートでポリシー適用
ポリシーはワークロードに追従
Cisco ACI: 分離とセグメンテーションを実現
ACI ファブリック (ステートレスFW) L4-7 セキュリティ サービス
コンテキスト(VRF)を
ベースとしたテナント分離
スケーラブルで統合された
ポリシー管理
ホスト 3
アプリケーション 1
(物理)
ホスト 1 ホスト2
アプリケーション 2
(物理) VM VM VM
ホスト 4
VM VM VM
エンド ポイント
グループ ベースの
マイクロ
セグメンテーション
テナント3:
Customer A
テナント1:
Internal Engineering
テナント2:
DMZ
テナント4:
Partner B
ADC FW
Cisco APIC によるサービス挿入の自動化
APP DB WEB EXTERNAL
Cisco APIC ポリシーモデル
エンド ポイント グループ(EPG): アプリケーションにおいて、同一の役割を持つエンド ポイントの集まり。エンド ポイントは仮想マシン、VNICs、 IP、 DNS名等を示す
アプリケーション プロファイル: エンド ポイント グループと、エンド ポイント グループ間の通信を定義したポリシーの集まり
アプリケーションプロファイル
Policy Policy Policy
デバイス パッケージとは
Partner
Device サービス アプライアンス
Rest/CLI
Device Specification
<dev type= “f5”>
<service type= “slb”>
<param name= “vip”>
<dev ident=“210.1.1.1”
<validator=“ip”
<hidden=“no”>
<locked=“yes”>
デバイス
パッケージ
DeviceSpec DeviceScript
• デバイス パッケージはZIPファイル形式で提供され、
APICにアップロードを行い簡単に使用可能
• デバイスパッケージは以下から構成
DeviceSpecification (xml): デバイスモデルと呼ばれる
サービス アプライアンスの情報が含まれる。
機能
APICから設定可能な各機能のパラメータ
インターフェイスやネットワーク接続情報
DeviceScript (py): APICとサービスアプライアンスの間の
APIと動作を記述したスクリプト。DeviceSpecと連携して動作。
• デバイスパッケージは3rdパーティ ベンダー、Cisco、
お客様ご自身により作成
• サービス アプライアンスの接続、エンド ポイント接続、
サービスグラフ、ヘルス モニタリング、障害管理、カウンターなどを提供
http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/solution-overview-c22-732445.html
L4-7サービス プロビジョニング • APICを通してEPG間にL4-7サービスの定義を行い、自動的にネットワーク、サービスの設定がACIに反映される。
F5 Big-IP ADC機能の自動化
デバイス パッケージ提供機能
•仮想サーバ Layer 4 Server Load balancing
Layer 4 SLB with SSL offload
Layer 7 Server Load balancing
Layer 7 SLB with SSL offload
•Microsoft SharePoint
仮想サーバのパラメータ
• グローバル/テナントIPアドレスの設定
• グローバル/テナントのスタティック ルート
• デバイス カウンター
• サーバ プール
• TCP 最適化
• HTTP最適化
• HTTPセキュリティ(アプリケーション プロトコル セキュリティ) • TCPコネクションの集約(OneConnect)
• OneConnectテナント プロファイルの作成
• iRules
• テナント アクセラレーション プロファイルの作成
• SNAT プール管理
80%以上のF5 ユーザはL4 SLB / L7 SLB / MSFT SharePoint / SSL オフロードを利用している
エコ パートナー ACI インテグレーション 状況
Cisco ASA
(ASA 5585 8.4 とASAv 9.2.1)
• サービスポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート
Cisco FirePower • APICからのIPSポシリーの自動化および集中管理 Q2 CY15
F5
(Big IP 物理と仮想)
• サービスポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート
Citrix
(NetScaler MPX, SDX, VPX,
NetScaler 1000v)
• サービスポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート
Palo Alto Network • APICからのセキュリティポシリーの自動化および集中管理 Q2 CY15
A10 • SLBポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート
Radware • APICからのADC/DDoSポシリーの自動化および集中管理 サポート
L4-L7 デバイス サポート状況
http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/solution-overview-c22-732445.html