Cisco Systems Cisco ACI

Cisco ACIはネットワークの一般的なファブリック構造である「SpineとLeaf」で形成されます。
Cisco ACIのSpineスイッチはACIファブリックに接続される機器の情報をキャッシュしており、LeafスイッチはACIファブリックに接続されるサーバ、ネットワーク機器、ストレージなどに対して物理的なポートを提供する、といった役割を持っています。また、
ACIファブリック全体をコントロールするAPICを使用することで、一元的にACIファブリックを管理・制御することができます。

従来のネットワークにはさまざまな問題があり、環境によっては解決できない状況が起きています。先ずは現状の問題点を以下にあげてみます。

ネットワーク機器の設定は1台づつ管理コンソールからアクセスし、CLI、GUIを使って設定を行いますので、台数が多くなればなるほど作業時間が長くなってしまいます。

L2スイッチはBrocade、L3コアスイッチはCisco、ロードバランサーはF5、FirewallはJuniperで構成したマルチベンダ環境というのは珍しくないかと思います。 しかし、各メーカー製品の機器によってOSもコマンド体系も設定方法も違います。これにより、設定、運用、保守を行うエンジニアの技術力が不足し、構築作業に時間がかかってしまいます。

ネットワーク機器が数台の環境であれば管理は容易です。しかし、大規模な仮想環境やクラウド環境にあるネットワーク機器は数十台、数百台とあります。このような環境になると、管理を行うのも非常に時間がかかってしまいます。

今現在、サーバ仮想化が一般的になり、大多数の仮想サーバをインターネット経由で提供する「クラウドサービス」が一般的になってきました。クラウドサービスでは迅速に仮想マシンとネットワークをデプロイし、顧客に提供できる状態にする事がインフラ環境に求められています。

大規模な仮想環境の上に展開しているクラウドサービスは顧客ごとに仮想的なL2ネットワークが必要になります。従来であればVLANを使用してネットワークを分割していたのですが、VLANの最大数が4096となっており、これ以上の仮想ネットワークが必要な環境になると対応できなくなってしまいます。

上記の理由から、数年前からSDN(Software Defined Network)が誕生しました。SDNには2つの種類があり、それぞれに特長があります。

ホップ・バイ・ホップは一般的には「OpenFlow」と言われています。OpenFlowとは、従来のスイッ チの役割である「管理・制御・転送」の部分を「管理・制御」と「転送」に分割し、全てのスイッチの「管理・制御」を外部の「OpenFlowコントローラー」が担い、「転送」のみを「OpenFlowスイッチ」が行います。これにより、ネットワークの「管理・制御」を一元化することができます。また、 OpenFlowプロトコルは「Open Networking Foundation（ONF）」で規定・標準化されており、OpenFlowプロトコルに対応しているOpenFlowスイッチであれば、ベンダーを問わずにOpenFlowコントローラーから一元的に管理・制御を行うことが可能です。

オーバーレイは「VMware NSX」などに代表されるSDNです。仮想ネットワークを制御し、複数の仮想ホストで構成されている仮想環境の仮想スイッチ間をVXLANやNVGRE等のトンネリング技術を使って、既存の物理環境を意識せずに仮想L2ネットワークを延伸することができます。イメージとしては、パケットが仮想スイッチ間を飛行機で移動する感じに似ています。これにより、既存の物理環境にあるネットワーク機器の大幅な設定変更を行う必要がありません。また、大規模な仮想環境やVDI環境の問題となっているVLANのスケーラビリティをVXLAN、NVGREを使用することで、約1677万の仮想ネットワークを作成して問題を解消することができます。

上記のように、従来のネットワークを解決するために生まれたSDN。しかし、SDNでも解決するまでには至らない現状で、Cisco ACIは全ての問題を解決することが出来る機能を搭載しています。以下に代表的な特長を記載します。

アプリケーション・ネットワーク・プロファイルとは、ネットワーク関連の設定に関わる項目を抽象化しておく機能です。具体的には、論理的なネットワーク、ACL、QoS、Firewall、ロードバランサー、IPアドレスなどの設定をポリシーとして定め、組み合わせた物をプロファイルと言います。これをネットワークエンジニアが事前に用意しておき、アプリケーション担当者などのユーザがプロファイルをAPIC上で割り当てるだけで、簡単にネットワークを構築することができてしまいます。APICの操作もトポロジーを描くだけです。

3階層アプリケーションのアプリケーション・ネットワーク・プロファイルのイメージ

ACIファブリックに接続する物理・仮想サーバやストレージ、ネットワーク機器、外部ネットワーク等はEPGという同じ役割、VLAN、IP、VMwareのポートグループ等のグループ単位で纏められます。ACIではアプリケーション・ネットワーク・プロファイルでEPGの間にACL、QoS、エコパートナーのアプライアンス製品の機能（Firewall、ロードバランサー）を配置してネットワークを簡単に作成していきます。

実際にACIファブリックに接続する機器

EPGのグループ分けの例

APICではEPGが繋がる関係性をProvider（提供者）とConsumer（利用者）という関連付けを行い、その間にContract（契約）というポリシーの定義を置くことで、抽象化したACL、QoS、エコパートナーのアプライアンス製品（Firewall、ロードバランサー）の機能を配置することができます。 これらの操作はAPICで容易に行うことができます。

ProviderとConsumerのイメージ

※ユーザEPGは外部からアクセスしてくるためのルータ機器、WebサーバEPGはWebサーバの集まり、AppサーバEPGはAppサーバの集まりです。これらの通信間において、同じACL、QoS、Firewall、ロードバランサーの機能を使用する事が想定されている機器をグループ化しておくことで、制御がシンプルになり、メンテナンス性も向上します。

Contractのイメージ

※ContractにはACL、QoS、エコパートナーのアプライアンス製品（Firewall、ロードバランサー）の機能が抽象化されています。

EPGの間にContractを導入するイメージ

※各EPGの間にContractを導入していきます。上記のような3階層アプリケーションのインフラを例とすると、WebサーバEPGとユーザEPGの間はCiscoのASAを使ったFirewall機能、AppサーバEPGとWEBサーバEPGの間はF5のBIG-IPを使ったロードバランサー機能、DBサーバEPGとAppサーバEPGの間はACLなど、それぞれに合った制御をContractという抽象化されたフィルターを使うことで簡単にセキュアなネットワークを構築することができます。

EPG間にContractを導入する画面

※上部のようにAPIC上で絵を描くようにトポロジーを作るだけでセキュアなネットワークを簡単に構築することができます。

Cisco ACIではTenantという論理的な単位でネットワークを分割し、テナント内に論理的なL2-3のネットワークを構築していきます。一般的にはクラウドサービスを利用する1顧客が利用するネットワークの単位をTenant言います。

論理ネットワークのイメージ

※Tenantの中にContextという仮想L3(VRF)を作成してネットワークを分けることができます。そして、Contextの中にBridge Domainという仮想L2サブネットを作成することでVLANのようにブロードキャストドメインを分けることができます。1つのContext内に2つのBridge Domainがある場合、Contextがルーティングを行い相互通信することも可能です。また、EPGはBridge Domainの中に存在しているイメージになります。

Cisco ACIではアプリケーション、テナント、インフラごとにヘルススコア、遅延情報、アトミックカウンター、リソースの使用状況など高度な分析機能をサポートしています。これらの情報は視覚的にも見やすいスコアで表示され、さまざまな業種の方にも利用しやすいツールです。

ヘルススコアの画面

※スコア形式なので直ぐに何が問題となっているのかが視覚的に分かりやすくなっています。これにより、障害時のトラブルシューティングの時間も短縮し、迅速にシステムを復旧することができます。

Cisco ACIはVLAN、VXLAN、NVGREに対応した統合型のゲートウェイ機能をサポートしており、仮想・物理間の通信でも各カプセル技術に対応することができます。これにより、VMware、Microsoft、RedHat、Xenなど、全てのOS、ハイパーバイザをサポートすることができるのです。

Cisco ACIではL4-7のサービスをエコパートナーのアプライアンス製品で補います。その際、アプライアンス製品の設定などは全てAPIC上から行うことが可能です。また、アプリケーション・ネットワーク・プロファイルにエコパートナーのアプライアンス製品機能を導入し、各テナントで容易にサービスチェイニングを利用することができます。

APICとCisco ASAを連携させた画面

Cisco ACIはさまざまなAPIをサポートしており、色々な製品と連携することができます。Northbound APIでは、OpenStack、vCloud Director、Azure Pack、UCS DirectorからCisco ACIを制御し、Southbound APIではCisco ACIとさまざまなハードウェア製品やオープンソースのソフトウェアとの連携が可能になります。また、OpenDaylightプロジェクトでサポートするOpFlexで、シスコ製品や他社製品と連携することも予定されています。

Cisco ACIはSpineスイッチ、Leafスイッチ、APICで形成され、それぞれ専用の機器が必要になります。