【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール&ロード バランサ連携
-
date post
30-Jul-2015 -
Category
Technology
-
view
89 -
download
4
Transcript of 【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール&ロード バランサ連携
![Page 1: 【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール&ロード バランサ連携](https://reader038.fdocument.pub/reader038/viewer/2022102816/55b9f70cbb61eb272b8b47a3/html5/thumbnails/1.jpg)
Cisco ACI とファイアウォール&ロード バランサ連携
June, 2015
大平 伸一
テクニカルソリューションズアーキテクト
* 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
![Page 2: 【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール&ロード バランサ連携](https://reader038.fdocument.pub/reader038/viewer/2022102816/55b9f70cbb61eb272b8b47a3/html5/thumbnails/2.jpg)
自動化 & オーケストレーション
モニタリング システム
管理
L4-7
サービス 仮想化
ストレージ
セキュリティ
公開された
データモデル
オープンで標準化
された APIs
オープン ソース オープン スタンダード
Cisco ACI エコシステム パートナー
33 社のエコシステム パートナー
![Page 3: 【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール&ロード バランサ連携](https://reader038.fdocument.pub/reader038/viewer/2022102816/55b9f70cbb61eb272b8b47a3/html5/thumbnails/3.jpg)
Cisco ACI: オープンなセキュリティ フレームワークと 幅広いセキュリティ エコシステムの提供
幅広いエコシステムによる選択
投資保護
深いセキュリティ戦略による防御をサポート
セキュリティ アプリケーション (コンプライアンス, SIEM, セキュリティ分析 etc.)
APIC
エンド ツー エンドでのセキュリティ
ACI
ファブリック ホスト
ファイアウォール
IDS / IPS DDoS
Open Standard
OPFLEX
Open Device
Interface
Open REST APIs
![Page 4: 【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール&ロード バランサ連携](https://reader038.fdocument.pub/reader038/viewer/2022102816/55b9f70cbb61eb272b8b47a3/html5/thumbnails/4.jpg)
データセンター セキュリティのための アプリケーション セントリック ポリシー モデル
アプリケーション
ポリシーの
コンポーネント
エンド ポイント グループ:
同一ポリシーを持つ
エンド ポイント (仮想マシン/
サーバ) の集まり
Contracts:
エンド ポイント グループ間の通信ルールの集まり
Service Chains:
エンド ポイント グループ間のネットワーク サービスの
集まり
OUTSIDE
WEB APP DB CRM
APP
ADC F/W
ADC
Contract Contract
![Page 5: 【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール&ロード バランサ連携](https://reader038.fdocument.pub/reader038/viewer/2022102816/55b9f70cbb61eb272b8b47a3/html5/thumbnails/5.jpg)
Cisco ACI 分散型ファイアウォール サーバ間のトラフィックの最適化
Firewall at Each
Leaf switch
サーバ (物理または仮想)
組み込まれたファイアウォールと
ACI ファブリック 中央型 ファイアウォール
Central Firewall
データ センター
アクセス/アグリゲーション
ネットワーク
トラフィックを操作し、ポリシーの適用は中央で
スケールの妨げになる可能性
ポリシーはネットワークに固定(例: IP アドレス)
ファイアウォールは全てのサーバポートに接続
ラインレートでポリシー適用
ポリシーはワークロードに追従
![Page 6: 【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール&ロード バランサ連携](https://reader038.fdocument.pub/reader038/viewer/2022102816/55b9f70cbb61eb272b8b47a3/html5/thumbnails/6.jpg)
Cisco ACI: 分離とセグメンテーションを実現
ACI ファブリック (ステートレスFW) L4-7 セキュリティ サービス
コンテキスト(VRF)を
ベースとしたテナント分離
スケーラブルで統合された
ポリシー管理
ホスト 3
アプリケーション 1
(物理)
ホスト 1 ホスト2
アプリケーション 2
(物理) VM VM VM
ホスト 4
VM VM VM
エンド ポイント
グループ ベースの
マイクロ
セグメンテーション
テナント3:
Customer A
テナント1:
Internal Engineering
テナント2:
DMZ
テナント4:
Partner B
ADC FW
![Page 7: 【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール&ロード バランサ連携](https://reader038.fdocument.pub/reader038/viewer/2022102816/55b9f70cbb61eb272b8b47a3/html5/thumbnails/7.jpg)
Cisco APIC によるサービス挿入の自動化
APP DB WEB EXTERNAL
Cisco APIC ポリシーモデル
エンド ポイント グループ(EPG): アプリケーションにおいて、同一の役割を持つエンド ポイントの集まり。エンド ポイントは仮想マシン、VNICs、 IP、 DNS名等を示す
アプリケーション プロファイル: エンド ポイント グループと、エンド ポイント グループ間の通信を定義したポリシーの集まり
アプリケーションプロファイル
Policy Policy Policy
![Page 8: 【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール&ロード バランサ連携](https://reader038.fdocument.pub/reader038/viewer/2022102816/55b9f70cbb61eb272b8b47a3/html5/thumbnails/8.jpg)
デバイス パッケージとは
Partner
Device サービス アプライアンス
Rest/CLI
Device Specification
<dev type= “f5”>
<service type= “slb”>
<param name= “vip”>
<dev ident=“210.1.1.1”
<validator=“ip”
<hidden=“no”>
<locked=“yes”>
デバイス
パッケージ
DeviceSpec DeviceScript
• デバイス パッケージはZIPファイル形式で提供され、
APICにアップロードを行い簡単に使用可能
• デバイスパッケージは以下から構成
DeviceSpecification (xml): デバイスモデルと呼ばれる
サービス アプライアンスの情報が含まれる。
機能
APICから設定可能な各機能のパラメータ
インターフェイスやネットワーク接続情報
DeviceScript (py): APICとサービスアプライアンスの間の
APIと動作を記述したスクリプト。DeviceSpecと連携して動作。
• デバイスパッケージは3rdパーティ ベンダー、Cisco、
お客様ご自身により作成
• サービス アプライアンスの接続、エンド ポイント接続、
サービスグラフ、ヘルス モニタリング、障害管理、カウンターなどを提供
http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/solution-overview-c22-732445.html
![Page 9: 【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール&ロード バランサ連携](https://reader038.fdocument.pub/reader038/viewer/2022102816/55b9f70cbb61eb272b8b47a3/html5/thumbnails/9.jpg)
L4-7サービス プロビジョニング • APICを通してEPG間にL4-7サービスの定義を行い、自動的にネットワーク、サービスの設定がACIに反映される。
![Page 10: 【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール&ロード バランサ連携](https://reader038.fdocument.pub/reader038/viewer/2022102816/55b9f70cbb61eb272b8b47a3/html5/thumbnails/10.jpg)
F5 Big-IP ADC機能の自動化
デバイス パッケージ提供機能
•仮想サーバ Layer 4 Server Load balancing
Layer 4 SLB with SSL offload
Layer 7 Server Load balancing
Layer 7 SLB with SSL offload
•Microsoft SharePoint
仮想サーバのパラメータ
• グローバル/テナントIPアドレスの設定
• グローバル/テナントのスタティック ルート
• デバイス カウンター
• サーバ プール
• TCP 最適化
• HTTP最適化
• HTTPセキュリティ(アプリケーション プロトコル セキュリティ) • TCPコネクションの集約(OneConnect)
• OneConnectテナント プロファイルの作成
• iRules
• テナント アクセラレーション プロファイルの作成
• SNAT プール管理
80%以上のF5 ユーザはL4 SLB / L7 SLB / MSFT SharePoint / SSL オフロードを利用している
![Page 11: 【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール&ロード バランサ連携](https://reader038.fdocument.pub/reader038/viewer/2022102816/55b9f70cbb61eb272b8b47a3/html5/thumbnails/11.jpg)
エコ パートナー ACI インテグレーション 状況
Cisco ASA
(ASA 5585 8.4 とASAv 9.2.1)
• サービスポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート
Cisco FirePower • APICからのIPSポシリーの自動化および集中管理 Q2 CY15
F5
(Big IP 物理と仮想)
• サービスポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート
Citrix
(NetScaler MPX, SDX, VPX,
NetScaler 1000v)
• サービスポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート
Palo Alto Network • APICからのセキュリティポシリーの自動化および集中管理 Q2 CY15
A10 • SLBポリシーの自動化、サービスチェーニング&追加、ヘルススコア サポート
Radware • APICからのADC/DDoSポシリーの自動化および集中管理 サポート
L4-L7 デバイス サポート状況
http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/solution-overview-c22-732445.html
![Page 12: 【Interop Tokyo 2015】 DC 2: Cisco ACI とファイアウォール&ロード バランサ連携](https://reader038.fdocument.pub/reader038/viewer/2022102816/55b9f70cbb61eb272b8b47a3/html5/thumbnails/12.jpg)