”仮想化” ロード バランサ Cisco ACE 4710 アプライアンス オンライン製品セミナー② ACE 4710 の構成デザイン・機能 (13:50 - 14:40) 2009年8月 シスコシステムズ合同会社 データセンター システムズ エンジニアリング 石井 伸武 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1 Web セミナー中の QA について Web セミナー中の説明内容や その他の関連事項について、 質問がありましたら、WebEX 画面の チャット機能にて、いつでもご自由に 質問の送信をお願い致します。 Cisco SE xxxxx 質問をいただく際の送信先には、 “すべてのパネリスト” を選択して いただけますようお願い致します。 各セッション内で時間の許す限り、 ご回答をさせていただきます。 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 2 このセッションの内容 ”仮想化” ロード バランサ Cisco ACE 4710 アプライアンス の性能を最大限に引き出す配置デザインや、高可用構成に 必須の冗長化デザイン、更に最大の特徴である仮想化機能 についてご説明致します。 ① 配置デザイン - 配置デザインのパターン - ワンアーム配置の利点 ② 冗長化デザイン(High Availability 機能) - HA 機能の特長、動作概要 - 仮想化機能利用時の冗長化構成 ② 仮想化機能 - 仮想化機能の特徴と利点 - 仮想化機能の使い方 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 3 ① 配置デザイン Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 4 配置デザインのパターン ACE 4710 は、機器の背面に 10/100/1000 BASE-T を 4 ポート搭載 しており、利用用途に応じた接続形態をとることができます。 パターン①; インライン配置 パターン②; ワンアーム配置(スイッチへの横付け配置) ワンアーム配置 インライン配置 クライアント VLAN クライアント VLAN クライアント VLAN および サーバ VLAN を 同一 EtherChannel に収容 carrier-delay 設定によりインター フェイス UP の タイミングを調整可能 (0~120sec) サーバ VLAN Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public spanning-tree portfast trunk 設定(Catalyst の場合) サーバ VLAN 5 ACE 4710 配置にあたり必要となる VLAN 通常、ACE 4710 のポートは、以下の VLAN を Trunk して構成されます。 1) クライアント VLAN クライアント側からのアクセスを受ける VLAN インターフェイスが所属 2) サーバ VLAN 実サーバ側の VLAN インターフェイスが所属 3) マネジメント(運用管理) VLAN ACE 4710 の管理用 VLAN インターフェイスが所属 4) FT(Fault Tolerant)VLAN ACE 4710 の冗長化において、アクティブ/スタンバイ装置間のハートビート 通信およびセッション情報の交換に使用 5) QUERY-VLAN FT VLAN がダウンした場合に、代替経路によりアクティブ側を監視し、 2台でのアクティブ状態の重複を防止するために使用 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 6 インライン配置 インライン配置では、通信経路上に物理的に ACE 4710 を配置します。 クライアント VLAN サーバ VLAN ※マネジメント VLAN や QUERY-VLAN は、クライアント VLAN あるいは サーバ VLAN のポートにトランクします。 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 7 ワンアーム配置(推奨構成) ワンアーム配置では、ACE 4710 とスイッチ(アグリゲーションスイッチ)を 4 ポートの Gigabit EtherChannel(GEC)で接続します。 Presentation_ID ※クライアント VLAN、サーバ VLAN、マネジメント VLAN 、FT VLAN、 QUERY VLAN の全てを同一チャネルグループ上に設定します。 (この場合、FT VLAN と QUERY VLAN が同一チャネル上に存在する ことになりますが、FT VLAN の論理障害(設定ミスによるトランクからの削除 やシャットダウン等)への対応のためにも QUERY VLAN 設定が有効です。) © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 8 片方向の合計で最大 4Gbps の転送が可能 ACE 4710 はライセンスにより最大 4Gbps の転送性能をサポートします。 スイッチとの 4Giga EtherChannel 接続により、この 4G 性能を実現します。 クライアント側 0~4G 0~4G Æ 4Gbps in (4Giga GEC) スイッチ 0~4G ACE 4710 0~4G Å 4Gbps out (4Giga GEC) サーバー側 4Gbps の使われ方は、送受信トラフィックの合計で最大 4Gbps をサポート しますが、例えば、受信トラフィック 0.5Gbps、送信トラフィック 3.5Gbps の 合計 4Gbps といった非対象トラフィックをサポートし、片方向で最大 4Gbps までを使用することが可能です。 尚、FT VLAN 上のハートビート通信は ACE 4710 の QoS 機能により CoS=7 が付けられ内部的にも優先制御されます。 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 9 ワンアーム配置の利点 ワンアーム配置でも論理的なトラフィック処理はインライン配置と同様です。 また、性能を発揮できる面以外に、例えば、スイッチ側の VLAN 設定に よって、トラフィックが ACE 4710 を通過しないようにできるなど柔軟性を 向上させることも可能です。 論理構成 物理構成 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 10 Q and A Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 11 ② 冗長化デザイン Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 12 ACE 4710 の冗長化構成(HA 機能)と特徴 INTERNET 1 Si Si FT トラフィックを守りつつ 導入設計を簡単にする QoS 機能と Ether-Channel ACE 4710 アプライアンス (アクティブ) Si 3 障害時、最短1秒でのステートフル な高速切り替えを可能にする ピアの死活監視機構 ACE 4710 アプライアンス (スタンバイ) Si 4 2 ステートフルなフェイルオーバ を保証するステート レプリケーション ピアとの FT 通信ができなくなった 場合でもアクティブ状態の重複を 防止するクエリー VLAN 機能 サーバファーム Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 13 ACE 4710 の冗長化構成要素① FT インターフェイス VLAN FT トラフィック交換に利用する専用の VLAN インターフェイス。 FT ピア ハートビート間隔の設定や使用する FT インターフェイス VLAN を指定。 FT グループ 仮想デバイスごとに設定する FT の最小単位。アクティブ/スタンバイの プライオリティを設定。 Priority 90 Priority 100 ACE 4710-1 vlan99 ft-port-vlan コマンドでインター フェイスに ft-vlan を設定 B Standby Active FT-Group A FT-Group B A B Active Standby FT-Peer vlan99 ACE 4710-2 Presentation_ID A © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public Priority 100 Priority 90 14 ACE 4710 の冗長化構成要素② QUERY VLAN FT-VLAN がダウンした場合、ピアの死活を追加確認するための代替 SVI。 Alias-IP FT グループ に参加した 2台の ACE 4710 が VLAN インターフェース上で 共有するIPアドレス。 サーバ側に提示するデフォルトゲートウェイアドレスなどに利用する。 Tracking Gateway ・ホストの IP アドレスや VLAN インターフェイスの状態を アクティブ / スタンバイのプライオリテイ値に反映させる。 ハートビートが切れまし たが本当にダウンして いますか? アクティブ(100) ACE 4710-1 × vlan199 QUERY VLAN vlan99 FT-Peer vlan199 vlan70 IP や VLAN を監視し HA プライオリティ に反映する 例) 100 - 20 = 80 へ Default G/W Alias-IP vlan99 vlan70 ACE 4710-2 スタンバイ(90) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 15 ACE 4710 のハートビートとステート情報の同期 FT インターフェイス VLAN では冗長化関連の以下のトラフィックを転送 1. FT 専用プロトコルパケット 2. ハートビート (over UDP) 3. ステート情報(コネクション情報、NAT エントリ、Sticky エントリ) 4. 各仮想デバイスのコンフィグレーション設定の同期 (コンフィグレーション設定は仮想デバイス毎に同期の有無を選択可能) ハートビート FT ピア間で交換、ピアの死活を監視 インターバル:100ms – 1000ms (default=300ms) カウント: 10 – 50 (default=10) Æ 連続 10回失敗するとピアdown と認識 100ms x 10 = 1000ms が最短 ステート情報の同期 デフォルトで enable コネクションテーブル、NAT テーブル、スティッキーテーブル等 最短 1秒でのピアダウン検知、ステートフル・フェイルオーバー が可能 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 16 仮想化機能を利用時の冗長化構成 ACE 4710 では仮想デバイス単位で、冗長化構成用の論理グループ (FT グループ)を構成し、管理します。 FT グループの構成、管理は Admin 用の仮想デバイスで行います。 2台の ACE 4710 のそれぞれで、同じ仮想デバイスに対して同じ FT グループ を割り当てます。 仮想デバイス毎に、アクティブにする物理デバイスを設定できます。 例) アプリケーションB には一切影響なく、 アプリケーションA の仮想デバイスのみを切替え可能 X ACE 4710-1 A B Active Active Admin A’ A B Standby Standby Active Standby Admin Active FT-VLAN ACE 4710-2 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public FT グループ 1 FT グループ 2 17 Q and A Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 18 ③ 仮想化機能 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 19 仮想化技術でロードバランサも統合・集約可能 ACE ACE4710 4710でのロードバランサの仮想化 でのロードバランサの仮想化 1台の上で、最大 20 仮想デバイスまでをサポート 仮想デバイス 仮想デバイス 仮想デバイス 各仮想デバイス毎に以下の内容をサポート 各仮想デバイス毎に以下の内容をサポート サーバ仮想化にもマッチする サーバ仮想化にもマッチする ”バーチャル・アプライアンス” ”バーチャル・アプライアンス” ACE ACE4710 4710は は”グリーン” ”グリーン”な な L7 L7ロードバランサー ロードバランサー <利点はサーバ仮想化と同じ> 1) IT コストの削減 ・物理的な機器数の削減 ・消費電力、CO2 排出量の低減 2) ビジネスへの迅速な対応 3) サービス品質の向上 ・独立したコンフィグレーション設定 ・独立したコンフィグレーション設定 (10世代までのバックアップ&ロールバックも可能) (10世代までのバックアップ&ロールバックも可能) ・独立したルーティング・テーブル ・独立したルーティング・テーブル ・リソース割り当て(性能、メモリ) ・リソース割り当て(性能、メモリ) ・権限別アクセス制限 ・権限別アクセス制限 ・デザインモード(ルーテッド、ブリッジド、DSR) ・デザインモード(ルーテッド、ブリッジド、DSR) ・コンテキスト毎の ・コンテキスト毎のActive/Standby Active/Standby冗長構成 冗長構成 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 20 仮想デバイスの特徴; リソース制御機能 リソース・クラス 1 最大リソース% = 最少リソース% = A 30 30 30% 性能に関係する リソースパラメータ B C D E 20% 20% 15% 15% メモリサイズに関係する リソースパラメータ •• 帯域幅 帯域幅 •• Connections Connections/ /sec sec •• 管理コネクション数 管理コネクション数/ /sec sec •• SSL SSLTransactions Transactions/ /sec sec •• Syslog / sec Syslog / sec など •• アクセス制御リスト アクセス制御リスト エントリー エントリー •• 正規表現 正規表現 •• 同時接続コネクション数 同時接続コネクション数 •• NAT NAT エントリー エントリー •• Sticky Sticky エントリー エントリー など リソース制御の方法 - リソース・クラスで利用率(利用量)を指定、これを仮想デバイスに紐づける - 最低保証、リソース共有(空きがあれば使える)など、柔軟な割り当てが可能 (最低保証値の合計は 100%以内。) - リソースの利用状況は CLI、GUI、SNMP 経由で監視 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 21 リソース・クラス; show コマンド出力例 例)仮想コンテキスト 例)仮想コンテキスト Admin Admin は は default default クラスのメンバー クラスのメンバー 仮想コンテキスト 仮想コンテキスト C1 C1 および および C2 C2 は は gold gold クラスのメンバー クラスのメンバー (最低保証 (最低保証 min min 10%, 10%, 上限 上限 max max unlimited) unlimited) switch/Admin# switch/Admin# show show resource resource allocation allocation ----------------------------------------------------------------------------------------------------------------------------------------------------Parameter Min Max Class Parameter Min Max Class ----------------------------------------------------------------------------------------------------------------------------------------------------acl-memory 0.00% 100.00% default acl-memory 0.00% 100.00% default 20.00% 200.00% gold 20.00% 200.00% gold syslog syslog buffer buffer 0.00% 0.00% 20.00% 20.00% 100.00% 100.00% 200.00% 200.00% 合計300%とは、上限を明示的に 設定しないリソース共有型の default default 仮想コンテキストが gold gold 3つあることを意味する conc-connections conc-connections 0.00% 0.00% 20.00% 20.00% 100.00% 100.00% 200.00% 200.00% default default gold gold mgmt-connections mgmt-connections 0.00% 0.00% 20.00% 20.00% 100.00% 100.00% 200.00% 200.00% default default gold gold proxy-connections proxy-connections 0.00% 0.00% 20.00% 20.00% 100.00% 100.00% 200.00% 200.00% default default gold gold 10%のリソース保証をする 仮想コンテキストが 2つあることを意味する ~ ~ 以降、省略 以降、省略 ~ ~ Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 22 リソース・クラス; 割り当てルール 各仮想コンテキストは、明示的にリソースクラスを割り当てない場合、 “default” クラスに属する。 “default” クラスはシステムリソースへの制限なしのアクセスを許可する。 リソース割り当ての保証ルールは以下の 3 つ。 1. リソース保証無し。ただし全ての空きリソースに対しアクセス可能。 (=default) 2. リソースの X% (X は指定)を保証。それ以上のリソースアクセスは 不可。 3. リソースの X% (Xは指定)を保証。更にそれ以上の空きリソースへの アクセスも可能。 Minimum 値は全体(100%)に対するパーセンテージで指定。 Maximum 値は Minimum に等しいかまたは制限なしに設定。 1 context につき割り当て可能なリソース・クラスは 1つ。 最大 100 のリソース・クラスを設定可能。 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 23 仮想デバイス毎のリソース利用状況を管理 パラメータ毎の現在の リソース使用量とピーク時 のリソース使用量 性能、メモリに関係する 各リソース・パラメータの項目 設定で割り当てられた 最低保証値と上限 ACE1/Admin# show resource usage Allocation 仮想デバイス名 Resource Current Peak Min Max Denied (この例では管理用仮想デバイス) ------------------------------------------------------------------------------Context: Admin conc-connections 19 19 0 2000000 0 mgmt-connections 6 8 0 100000 0 proxy-connections 0 0 0 262143 0 xlates 0 0 0 65535 0 acc-connections 0 0 0 50 0 bandwidth 950 67629 0 1198741824 0 throughput 90 802 0 1073741824 0 mgmt-traffic rate 860 66827 0 125000000 0 connection rate 0 4 0 1000000 0 ssl-connections rate 0 0 0 1000 0 mac-miss rate 0 0 0 2000 0 inspect-conn rate 0 0 0 40000 0 http-comp rate 0 0 0 13107200 0 acl-memory 33536 33536 0 37552128 0 sticky 0 0 0 0 0 regexp 1214 2768 0 1048576 0 syslog buffer 0 0 0 1048576 0 syslog rate 0 0 0 100000 0 リソースの利用状況を、各仮想デバイスのキャパシティ・プランに利用 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 24 仮想デバイスの特徴; Role-Based Access Control (RBAC) 従来型のプロセス ACE 4710 の仮想デバイスと RBAC 担当毎の権限に基づいて 自分に必要なワークフローを同時実行 設定ミスや人的調整を回避 アプリケーション 担当者 設定変更 従来型の SLB 機器 Server Role 設定変更 サーバ管理者 Application Role 設定変更 ネットワーク管理者 セキュリティ担当者 Network/Security Role Config の 操作権限が 共通 オペレーターの管理が オペレーターの管理が 複雑になり、設定ミスや 複雑になり、設定ミスや 調整による作業遅延が 調整による作業遅延が 起こりがち 起こりがち Config のうち 役割に応じた部分 だけを設定する Cisco IT では仮想デバイスと RBAC の活用により 新規アプリケーション立ち上げ時間を最大 66% 削減 ACE 4710 の RBAC ではユーザ権限の自由なカスタマイズが可能 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 25 Role-Based Access Control (RBAC) の構成 管理 ”ユーザ” は、決められた ”ドメイン” を対象に、”ロール” に基づく操作が可能。 ロール 仮想デバイス Admin Device (管理用仮想デバイス) Virtual Device A (ユーザ用仮想デバイス) Virtual Device B (ユーザ用仮想デバイス) Admin Role Network Role ユーザ Security Role ドメイン ドメイン all access-list action-list class-map interface object-group parameter-map policy-map probe rserver script serverfarm sticky ドメイン class-map1 class-map2 serverfarm1 serverfarm2 Server Farm1 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. ドメイン class-map3 class-map4 serverfarm3 serverfarm4 probe3 probe4 Server Server Server Farm2 Farm3 Farm4 Cisco Public ドメイン class-map5 class-map6 serverfarm5 serverfarm6 para-map5 para-map6 Server Farm5 Server Farm6 Server Role App. Role 26 ACE 4710 の RBAC デフォルト・テンプレート ロール(役割)・テンプレート Admin (Root) ネットワーク管理者 セキュリティ管理者 ロードバランサ管理者 サーバ/アプリケーション管理者 Interfaces ACL SSL Serverfarm Real Servers Real Servers Routing NAT PKI Real servers Serverfarm Connection Application Inspection Interface VIP Health Monitoring Loadbalance SLB rules NAT VIP Network -Admin Network -Monitor Presentation_ID Security -Admin AAA SSL -Admin Health Monitoring SLB -Admin Server -Maintenance Server -Application -Maintenance All show commands © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 27 ACE 4710 の配置デザイン・機能; まとめ ① ワンアーム配置により 最大 4Gbps を発揮 (1RU サイズで 4Gbps) ACE 4710 クライアント VLAN クライアント VLAN ACE 4710 ② 最短1秒でのステートフル・フェイルオーバ サーバ VLAN サーバ VLAN 仮想デバイス ③ 仮想デバイスの活用 により、1台の ACE 4710 で複数のサーバ システム向けにロード バランシング ③’仮想デバイスごとに リソース割り当て、 権限別アクセスが可能 Presentation_ID システムA © 2009 Cisco Systems, Inc. All rights reserved. システムB Cisco Public システムC 28 Q and A Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 29 ACE 4710 アプライアンス 導入ガイド http://www.cisco.com/web/JP/product/hs/contnetw/ace4710/index.html 配置デザイン 仮想化技術 の活用 機能や設定 の考え方 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 30 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 31
© Copyright 2024 ExpyDoc