Cisco ACI とファイアウォール＆ロード バランサ連携

June, 2015

大平 伸一

テクニカルソリューションズアーキテクト

* 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。

自動化 & オーケストレーション

モニタリング システム

管理

L4-7

サービス 仮想化

ストレージ

セキュリティ

公開された

データモデル

オープンで標準化

された APIs

オープン ソース オープン スタンダード

Cisco ACI エコシステム パートナー

33 社のエコシステム パートナー

Cisco ACI: オープンなセキュリティ フレームワークと 幅広いセキュリティ エコシステムの提供

幅広いエコシステムによる選択

投資保護

深いセキュリティ戦略による防御をサポート

セキュリティ アプリケーション (コンプライアンス, SIEM, セキュリティ分析 etc.)

APIC

エンド ツー エンドでのセキュリティ

ACI

ファブリック ホスト

ファイアウォール

IDS / IPS DDoS

Open Standard

OPFLEX

Open Device

Interface

Open REST APIs

データセンター セキュリティのための アプリケーション セントリック ポリシー モデル

アプリケーション

ポリシーの

コンポーネント

エンド ポイント グループ:

同一ポリシーを持つ

エンド ポイント (仮想マシン/

サーバ) の集まり

Contracts:

エンド ポイント グループ間の通信ルールの集まり

Service Chains:

エンド ポイント グループ間のネットワーク サービスの

集まり

OUTSIDE

WEB APP DB CRM

APP

ADC F/W

ADC

Contract Contract

Cisco ACI 分散型ファイアウォール サーバ間のトラフィックの最適化

Firewall at Each

Leaf switch

サーバ (物理または仮想)

組み込まれたファイアウォールと

ACI ファブリック 中央型 ファイアウォール

Central Firewall

データ センター

アクセス/アグリゲーション

ネットワーク

トラフィックを操作し、ポリシーの適用は中央で

スケールの妨げになる可能性

ポリシーはネットワークに固定(例: IP アドレス)

ファイアウォールは全てのサーバポートに接続

ラインレートでポリシー適用

ポリシーはワークロードに追従

Cisco ACI: 分離とセグメンテーションを実現

ACI ファブリック (ステートレスFW) L4-7 セキュリティ サービス

コンテキスト(VRF)を

ベースとしたテナント分離

スケーラブルで統合された

ポリシー管理

ホスト 3

アプリケーション 1

(物理)

ホスト 1 ホスト2

アプリケーション 2

(物理) VM VM VM

ホスト 4

VM VM VM

エンド ポイント

グループ ベースの

マイクロ

セグメンテーション

テナント3:

Customer A

テナント1:

Internal Engineering

テナント2:

DMZ

テナント4:

Partner B

ADC FW

Cisco APIC によるサービス挿入の自動化

APP DB WEB EXTERNAL

Cisco APIC ポリシーモデル

エンド ポイント グループ(EPG): アプリケーションにおいて、同一の役割を持つエンド ポイントの集まり。エンド ポイントは仮想マシン、VNICs、 IP、 DNS名等を示す

アプリケーション プロファイル: エンド ポイント グループと、エンド ポイント グループ間の通信を定義したポリシーの集まり

アプリケーションプロファイル

Policy Policy Policy

デバイス パッケージとは

Partner

Device サービス アプライアンス

Rest/CLI

Device Specification

<dev type= “f5”>

<service type= “slb”>

<param name= “vip”>

<dev ident=“210.1.1.1”

<validator=“ip”

<hidden=“no”>

<locked=“yes”>

デバイス

パッケージ

DeviceSpec DeviceScript

• デバイス パッケージはZIPファイル形式で提供され、

APICにアップロードを行い簡単に使用可能

• デバイスパッケージは以下から構成

DeviceSpecification (xml): デバイスモデルと呼ばれる

サービス アプライアンスの情報が含まれる。

機能

APICから設定可能な各機能のパラメータ

インターフェイスやネットワーク接続情報

DeviceScript (py): APICとサービスアプライアンスの間の

APIと動作を記述したスクリプト。DeviceSpecと連携して動作。

• デバイスパッケージは3rdパーティ ベンダー、Cisco、

お客様ご自身により作成

• サービス アプライアンスの接続、エンド ポイント接続、

サービスグラフ、ヘルス モニタリング、障害管理、カウンターなどを提供

http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/solution-overview-c22-732445.html

L4-7サービス プロビジョニング • APICを通してEPG間にL4-7サービスの定義を行い、自動的にネットワーク、サービスの設定がACIに反映される。

F5 Big-IP ADC機能の自動化

デバイス パッケージ提供機能

•仮想サーバ Layer 4 Server Load balancing

Layer 4 SLB with SSL offload

Layer 7 Server Load balancing

Layer 7 SLB with SSL offload

•Microsoft SharePoint

仮想サーバのパラメータ

• グローバル/テナントIPアドレスの設定

• グローバル/テナントのスタティック ルート

• デバイス カウンター

• サーバ プール

• TCP 最適化

• HTTP最適化

• HTTPセキュリティ（アプリケーション プロトコル セキュリティ） • TCPコネクションの集約(OneConnect)

• OneConnectテナント プロファイルの作成

• iRules

• テナント アクセラレーション プロファイルの作成

• SNAT プール管理

80%以上のF5 ユーザはL4 SLB / L7 SLB / MSFT SharePoint / SSL オフロードを利用している

エコ パートナー ACI インテグレーション 状況

Cisco ASA

(ASA 5585 8.4 とASAv 9.2.1)

• サービスポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート

Cisco FirePower • APICからのIPSポシリーの自動化および集中管理 Q2 CY15

F5

(Big IP 物理と仮想)

• サービスポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート

Citrix

(NetScaler MPX, SDX, VPX,

NetScaler 1000v)

• サービスポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート

Palo Alto Network • APICからのセキュリティポシリーの自動化および集中管理 Q2 CY15

A10 • SLBポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート

Radware • APICからのADC/DDoSポシリーの自動化および集中管理 サポート

L4-L7 デバイス サポート状況

http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/solution-overview-c22-732445.html