|
◆ Cisco ACIとは
Cisco ACI(Cisco Application Centric Infrastructure)は、Ciscoが提供する次世代のSDN製品です。
一般的に SDN=OpenFlow という傾向がありますが、SDNを実現するためのアプローチはそれだけでは
ありません。今回はCisco Systemsが推進しているSDNアプローチであるCisco ACIを簡単に解説します。
Cisco ACIでは、ネットワークの設定や機能を抽象化(プール化)し、それぞれの設定値を組み合わせた
プロファイルを作成します。次に、その設定プロファイルをCisco ACIにおけるSDNコントローラである
APIC( Application Policy Infrastructure Controller )から、ネットワーク機器へ適用することにより
その設定プロファイルの設定内容が反映されます。
APICからプロファイルを適用されるネットワーク機器は、具体的にNexus9000シリーズなどが該当します。
Cisco ACIでは、Nexus9000シリーズをベースとしてACIファブリック(物理ネットワーク)を形成します。
ACIファブリックは「Spine」と「Leaf」により形成されます。Leafには、既存の物理ネットワーク機器、
WANルータ、Firewall、分散装置などのL4〜L7デバイス、サーバ機器( 物理・仮想 )などが接続します。
Spineは、Leaf間を接続するためのバックプレーンの役割を担います。
※ このSpine-and-Leafアーキテクチャでは、基本的にSpine ⇔ Leaf間を直接フルメッシュで接続します。
◆ Cisco ACIの構成要素
Cisco ACIファブリックは、専用コントローラである「APIC」と「Nexus9000シリーズ」から構成されます。
| Cisco ACI 構成要素 |
説明 |
| Cisco APIC |
インフラの統合管理を実現するコントローラであり、物理アプライアンスとして提供される。
ACIファブリックの規模に応じてクラスタの数(最小構成は3台)を拡張できる。
すべてのAPICがダウンしてもNexus9000が自律して動作するため、NW停止は発生しない。
|
| Cisco Nexus9000 |
Nexus9000シリーズでは、OSの入れ替えにより2つの動作モードを使い分けることができる。
1つはスタンドアロンとして動作するNX-OSモード、もう1つはAPICと組み合わせて統合管理
を行うACIモード。ACIモードでは「Spine」と「Leaf」の2つの役割がある。
|
なお、これまでファブリックとACIファブリックの違いとして、以下のような点が挙げられます。
・ アプリケーション特性に合せたポリシーに基づき、APICからACIファブリック全体のNexusの統合管理
・ 他ベンダーのFirewallやLB製品などに対応して、ACIファブリック内の自在なNWサービスの調整を実現
・ APICにRESTベースのNorthbound APIが備わっていることから、ユーザが作成したスクリプトによる
自動化、Open StackやCisco UCS Directorなどのオーケストレーション製品群との連携することが可能
◆ Cisco ACI - Northbound API
Cisco ACIではNorthbound APIにおいて様々なAPIをサポートしており、色々なベンダー製品と連携できます。
Northbound APIでは、UCS Director、OpenStack、VMware vCloud Director、Windows Azure Pack
などからCisco ACIを制御して、Southbound APIでCisco ACIと様々なHardware、Softwareと連携できます。
◆ Cisco ACI - Southbound API
OpenFlowのSDNソリューションでは、Southboud APIに「OpenFlowプロトコル」を使用されていました。
Cisco ACIのSDNソリューションでは、Southboud APIに「OpFlexプロトコル」が使用されます。OpFlexは
APICと様々なベンダーの「仮想/物理スイッチ、L4/L7デバイス」のインターフェースとなるプロトコルです。
OpFlexではOpenFlowとは異なり、簡単なポリシーを定義するだけで動的なプロビジョニングが実現できます。
◆ Cisco ACI - APICの設定画面、定義要素
Cisco ACIのアプリケーション ネットワーク プロファイルで、アプリケーションポリシーを定義する際に、
その構成要素の何と何とが通信するのかの関係性でネットワーク接続を構築できます。その関係性には次の
EPG(Endpoint Group)とContractの要素を使用して表現します。※ 下図は実際のAPICの設定画面です。
| 定義要素 |
上図における説明 |
| EPG |
上図の青い箱が該当。同じポリシーに属するサーバ群(物理・仮想)を1つのグループにまとめたもの。
|
| Contract |
上図の白い箱が該当。EPG同士を接続する時の接続サービスを統制するポリシーの定義のセット。
|
Cisco ACIでは、このアプリケーション ネットワーク プロファイルにおいてEPGの間に「ACL、QoS」の実装、
EPGの間に「対応するアプライアンス製品の機能( Firewall、ADC )」を配置してネットワークを作成します。
|