仮想化” ロードバランサ ACE 4710 の構成デザイン・機能

”仮想化” ロードバランサ
Cisco ACE 4710 アプライアンスオンライン製品セミナー②
ACE 4710 の構成デザイン・機能
(13:50 - 14:40)
2009年8月
シスコシステムズ合同会社
データセンターシステムズエンジニアリング
石井伸武
Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
1
Web セミナー中の QA について
Web セミナー中の説明内容や
その他の関連事項について、
質問がありましたら、WebEX 画面の
チャット機能にて、いつでもご自由に
質問の送信をお願い致します。
Cisco SE
xxxxx
質問をいただく際の送信先には、
“すべてのパネリスト” を選択して
いただけますようお願い致します。
各セッション内で時間の許す限り、
ご回答をさせていただきます。
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
2
このセッションの内容
”仮想化” ロードバランサ Cisco ACE 4710 アプライアンス
の性能を最大限に引き出す配置デザインや、高可用構成に
必須の冗長化デザイン、更に最大の特徴である仮想化機能
についてご説明致します。
① 配置デザイン
- 配置デザインのパターン
- ワンアーム配置の利点
② 冗長化デザイン（High Availability 機能）
- HA 機能の特長、動作概要
- 仮想化機能利用時の冗長化構成
② 仮想化機能
- 仮想化機能の特徴と利点
- 仮想化機能の使い方
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
3
① 配置デザイン
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
4
配置デザインのパターン
ACE 4710 は、機器の背面に 10/100/1000 BASE-T を 4 ポート搭載
しており、利用用途に応じた接続形態をとることができます。
パターン①；インライン配置
パターン②；ワンアーム配置（スイッチへの横付け配置）
ワンアーム配置
インライン配置
クライアント VLAN
クライアント VLAN
クライアント VLAN
およびサーバ VLAN を
同一 EtherChannel に収容
carrier-delay
設定によりインター
フェイス UP の
タイミングを調整可能
（0～120sec）
サーバ VLAN
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
spanning-tree
portfast trunk
設定（Catalyst
の場合）
サーバ VLAN
5
ACE 4710 配置にあたり必要となる VLAN
通常、ACE 4710 のポートは、以下の VLAN を Trunk して構成されます。
1) クライアント VLAN
クライアント側からのアクセスを受ける VLAN インターフェイスが所属
2) サーバ VLAN
実サーバ側の VLAN インターフェイスが所属
3) マネジメント（運用管理） VLAN
ACE 4710 の管理用 VLAN インターフェイスが所属
4) FT（Fault Tolerant）VLAN
ACE 4710 の冗長化において、アクティブ／スタンバイ装置間のハートビート
通信およびセッション情報の交換に使用
5) QUERY-VLAN
FT VLAN がダウンした場合に、代替経路によりアクティブ側を監視し、
2台でのアクティブ状態の重複を防止するために使用
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
6
インライン配置
インライン配置では、通信経路上に物理的に ACE 4710 を配置します。
クライアント VLAN
サーバ VLAN
※マネジメント VLAN や QUERY-VLAN は、クライアント VLAN あるいは
サーバ VLAN のポートにトランクします。
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
7
ワンアーム配置（推奨構成）
ワンアーム配置では、ACE 4710 とスイッチ（アグリゲーションスイッチ）を
4 ポートの Gigabit EtherChannel（GEC）で接続します。
Presentation_ID
※クライアント VLAN、サーバ VLAN、マネジメント VLAN 、FT VLAN、
QUERY VLAN の全てを同一チャネルグループ上に設定します。
（この場合、FT VLAN と QUERY VLAN が同一チャネル上に存在する
ことになりますが、FT VLAN の論理障害（設定ミスによるトランクからの削除
やシャットダウン等）への対応のためにも
QUERY VLAN 設定が有効です。）
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
8
片方向の合計で最大 4Gbps の転送が可能
ACE 4710 はライセンスにより最大 4Gbps の転送性能をサポートします。
スイッチとの 4Giga EtherChannel 接続により、この 4G 性能を実現します。
クライアント側
0～4G
0～4G
Æ 4Gbps in （4Giga GEC）
スイッチ
0～4G
ACE 4710
0～4G
Å 4Gbps out （4Giga GEC）
サーバー側
4Gbps の使われ方は、送受信トラフィックの合計で最大 4Gbps をサポート
しますが、例えば、受信トラフィック 0.5Gbps、送信トラフィック 3.5Gbps の
合計 4Gbps といった非対象トラフィックをサポートし、片方向で最大 4Gbps
までを使用することが可能です。
尚、FT VLAN 上のハートビート通信は ACE 4710 の QoS 機能により
CoS=7 が付けられ内部的にも優先制御されます。
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
9
ワンアーム配置の利点
ワンアーム配置でも論理的なトラフィック処理はインライン配置と同様です。
また、性能を発揮できる面以外に、例えば、スイッチ側の VLAN 設定に
よって、トラフィックが ACE 4710 を通過しないようにできるなど柔軟性を
向上させることも可能です。
論理構成
物理構成
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
10
Q and A
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
11
② 冗長化デザイン
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
12
ACE 4710 の冗長化構成（HA 機能）と特徴
INTERNET
1
Si
Si
FT トラフィックを守りつつ
導入設計を簡単にする
QoS 機能と Ether-Channel
ACE 4710
アプライアンス
（アクティブ）
Si
3
障害時、最短1秒でのステートフル
な高速切り替えを可能にする
ピアの死活監視機構
ACE 4710
アプライアンス
（スタンバイ）
Si
4
2
ステートフルなフェイルオーバ
を保証するステート
レプリケーション
ピアとの FT 通信ができなくなった
場合でもアクティブ状態の重複を
防止するクエリー VLAN 機能
サーバファーム
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
13
ACE 4710 の冗長化構成要素①
FT インターフェイス VLAN
FT トラフィック交換に利用する専用の VLAN インターフェイス。
FT ピア
ハートビート間隔の設定や使用する FT インターフェイス VLAN を指定。
FT グループ
仮想デバイスごとに設定する FT の最小単位。アクティブ/スタンバイの
プライオリティを設定。
Priority 90
Priority 100
ACE 4710-1
vlan99
ft-port-vlan
コマンドでインター
フェイスに ft-vlan
を設定
B
Standby
Active
FT-Group A
FT-Group B
A
B
Active
Standby
FT-Peer
vlan99
ACE 4710-2
Presentation_ID
A
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
Priority 100
Priority 90
14
ACE 4710 の冗長化構成要素②
QUERY VLAN
FT-VLAN がダウンした場合、ピアの死活を追加確認するための代替 SVI。
Alias-IP
FT グループに参加した 2台の ACE 4710 が VLAN インターフェース上で
共有するIPアドレス。
サーバ側に提示するデフォルトゲートウェイアドレスなどに利用する。
Tracking
Gateway ・ホストの IP アドレスや VLAN インターフェイスの状態を
アクティブ / スタンバイのプライオリテイ値に反映させる。
ハートビートが切れまし
たが本当にダウンして
いますか？
アクティブ（100）
ACE 4710-1
×
vlan199
QUERY VLAN
vlan99
FT-Peer
vlan199
vlan70
IP や VLAN を監視し
HA プライオリティ
に反映する
例） 100 － 20 = 80 へ
Default G/W
Alias-IP
vlan99
vlan70
ACE 4710-2
スタンバイ（90）
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
15
ACE 4710 のハートビートとステート情報の同期
FT インターフェイス VLAN では冗長化関連の以下のトラフィックを転送
1. FT 専用プロトコルパケット
2. ハートビート (over UDP)
3. ステート情報（コネクション情報、NAT エントリ、Sticky エントリ）
4. 各仮想デバイスのコンフィグレーション設定の同期
（コンフィグレーション設定は仮想デバイス毎に同期の有無を選択可能）
ハートビート
FT ピア間で交換、ピアの死活を監視
インターバル：100ms – 1000ms （default=300ms）
カウント： 10 – 50 (default=10) Æ 連続 10回失敗するとピアdown と認識
100ms x 10 = 1000ms が最短
ステート情報の同期
デフォルトで enable
コネクションテーブル、NAT テーブル、スティッキーテーブル等
最短 1秒でのピアダウン検知、ステートフル・フェイルオーバーが可能
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
16
仮想化機能を利用時の冗長化構成
ACE 4710 では仮想デバイス単位で、冗長化構成用の論理グループ
（FT グループ）を構成し、管理します。
FT グループの構成、管理は Admin 用の仮想デバイスで行います。
2台の ACE 4710 のそれぞれで、同じ仮想デバイスに対して同じ FT グループ
を割り当てます。
仮想デバイス毎に、アクティブにする物理デバイスを設定できます。
例）
アプリケーションB には一切影響なく、
アプリケーションA の仮想デバイスのみを切替え可能
X
ACE 4710-1
A
B
Active
Active
Admin
A’
A
B
Standby
Standby
Active
Standby
Admin
Active
FT-VLAN
ACE 4710-2
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
FT グループ 1
FT グループ 2
17
Q and A
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
18
③ 仮想化機能
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
19
仮想化技術でロードバランサも統合・集約可能
ACE
ACE4710
4710でのロードバランサの仮想化
でのロードバランサの仮想化
1台の上で、最大 20 仮想デバイスまでをサポート
仮想デバイス
仮想デバイス
仮想デバイス
各仮想デバイス毎に以下の内容をサポート
各仮想デバイス毎に以下の内容をサポート
サーバ仮想化にもマッチする
サーバ仮想化にもマッチする
”バーチャル・アプライアンス”
”バーチャル・アプライアンス”
ACE
ACE4710
4710は
は”グリーン”
”グリーン”な
な
L7
L7ロードバランサー
ロードバランサー
＜利点はサーバ仮想化と同じ＞
1) IT コストの削減
・物理的な機器数の削減
・消費電力、CO2 排出量の低減
2) ビジネスへの迅速な対応
3) サービス品質の向上
・独立したコンフィグレーション設定
・独立したコンフィグレーション設定
（10世代までのバックアップ＆ロールバックも可能）
（10世代までのバックアップ＆ロールバックも可能）
・独立したルーティング・テーブル
・独立したルーティング・テーブル
・リソース割り当て（性能、メモリ）
・リソース割り当て（性能、メモリ）
・権限別アクセス制限
・権限別アクセス制限
・デザインモード（ルーテッド、ブリッジド、DSR）
・デザインモード（ルーテッド、ブリッジド、DSR）
・コンテキスト毎の
・コンテキスト毎のActive/Standby
Active/Standby冗長構成
冗長構成
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
20
仮想デバイスの特徴；リソース制御機能
リソース・クラス 1
最大リソース％＝
最少リソース％＝
A
30
30
30%
性能に関係する
リソースパラメータ
B
C
D
E
20% 20% 15% 15%
メモリサイズに関係する
リソースパラメータ
•• 帯域幅
帯域幅
•• Connections
Connections/ /sec
sec
•• 管理コネクション数
管理コネクション数/ /sec
sec
•• SSL
SSLTransactions
Transactions/ /sec
sec
•• Syslog
/
sec
Syslog / sec
など
•• アクセス制御リスト
アクセス制御リストエントリー
エントリー
•• 正規表現
正規表現
•• 同時接続コネクション数
同時接続コネクション数
•• NAT
NAT エントリー
エントリー
•• Sticky
Sticky エントリー
エントリー
など
リソース制御の方法
- リソース・クラスで利用率（利用量）を指定、これを仮想デバイスに紐づける
- 最低保証、リソース共有（空きがあれば使える）など、柔軟な割り当てが可能
（最低保証値の合計は 100％以内。）
- リソースの利用状況は CLI、GUI、SNMP 経由で監視
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
21
リソース・クラス； show コマンド出力例
例）仮想コンテキスト
例）仮想コンテキスト Admin
Admin は
は default
default クラスのメンバー
クラスのメンバー
仮想コンテキスト
仮想コンテキスト C1
C1 および
および C2
C2 は
は gold
gold クラスのメンバー
クラスのメンバー
（最低保証
（最低保証 min
min 10%,
10%, 上限
上限 max
max unlimited）
unlimited）
switch/Admin#
switch/Admin# show
show resource
resource allocation
allocation
----------------------------------------------------------------------------------------------------------------------------------------------------Parameter
Min
Max
Class
Parameter
Min
Max
Class
----------------------------------------------------------------------------------------------------------------------------------------------------acl-memory
0.00%
100.00%
default
acl-memory
0.00%
100.00%
default
20.00%
200.00%
gold
20.00%
200.00%
gold
syslog
syslog buffer
buffer
0.00%
0.00%
20.00%
20.00%
100.00%
100.00%
200.00%
200.00%
合計300％とは、上限を明示的に
設定しないリソース共有型の
default
default
仮想コンテキストが
gold
gold
3つあることを意味する
conc-connections
conc-connections
0.00%
0.00%
20.00%
20.00%
100.00%
100.00%
200.00%
200.00%
default
default
gold
gold
mgmt-connections
mgmt-connections
0.00%
0.00%
20.00%
20.00%
100.00%
100.00%
200.00%
200.00%
default
default
gold
gold
proxy-connections
proxy-connections
0.00%
0.00%
20.00%
20.00%
100.00%
100.00%
200.00%
200.00%
default
default
gold
gold
10％のリソース保証をする
仮想コンテキストが
2つあることを意味する
～
～以降、省略
以降、省略～
～
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
22
リソース・クラス；割り当てルール

各仮想コンテキストは、明示的にリソースクラスを割り当てない場合、
“default” クラスに属する。

“default” クラスはシステムリソースへの制限なしのアクセスを許可する。

リソース割り当ての保証ルールは以下の 3 つ。
1. リソース保証無し。ただし全ての空きリソースに対しアクセス可能。
（=default）
2. リソースの X% （X は指定）を保証。それ以上のリソースアクセスは
不可。
3. リソースの X% （Xは指定）を保証。更にそれ以上の空きリソースへの
アクセスも可能。

Minimum 値は全体（100%）に対するパーセンテージで指定。

Maximum 値は Minimum に等しいかまたは制限なしに設定。

1 context につき割り当て可能なリソース・クラスは 1つ。

最大 100 のリソース・クラスを設定可能。
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
23
仮想デバイス毎のリソース利用状況を管理
パラメータ毎の現在の
リソース使用量とピーク時
のリソース使用量
性能、メモリに関係する
各リソース・パラメータの項目
設定で割り当てられた
最低保証値と上限
ACE1/Admin# show resource usage
Allocation
仮想デバイス名
Resource
Current
Peak
Min
Max
Denied
（この例では管理用仮想デバイス）
------------------------------------------------------------------------------Context: Admin
conc-connections 19
19
0
2000000
0
mgmt-connections 6
8
0
100000
0
proxy-connections 0
0
0
262143
0
xlates
0
0
0
65535
0
acc-connections
0
0
0
50
0
bandwidth
950
67629
0 1198741824
0
throughput
90
802
0 1073741824
0
mgmt-traffic rate 860
66827
0 125000000
0
connection rate
0
4
0
1000000
0
ssl-connections rate 0
0
0
1000
0
mac-miss rate
0
0
0
2000
0
inspect-conn rate
0
0
0
40000
0
http-comp rate
0
0
0 13107200
0
acl-memory
33536
33536
0 37552128
0
sticky
0
0
0
0
0
regexp
1214
2768
0
1048576
0
syslog buffer
0
0
0
1048576
0
syslog rate
0
0
0
100000
0
リソースの利用状況を、各仮想デバイスのキャパシティ・プランに利用
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
24
仮想デバイスの特徴；
Role-Based Access Control (RBAC)
従来型のプロセス
ACE 4710 の仮想デバイスと RBAC
担当毎の権限に基づいて
自分に必要なワークフローを同時実行
設定ミスや人的調整を回避
アプリケーション
担当者
設定変更
従来型の
SLB 機器
Server Role
設定変更
サーバ管理者
Application Role
設定変更
ネットワーク管理者
セキュリティ担当者
Network/Security Role
Config の
操作権限が
共通
オペレーターの管理が
オペレーターの管理が
複雑になり、設定ミスや
複雑になり、設定ミスや
調整による作業遅延が
調整による作業遅延が
起こりがち
起こりがち
Config のうち
役割に応じた部分
だけを設定する
Cisco IT では仮想デバイスと RBAC の活用により
新規アプリケーション立ち上げ時間を最大 66% 削減
ACE 4710 の RBAC ではユーザ権限の自由なカスタマイズが可能
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
25
Role-Based Access Control (RBAC) の構成
管理 ”ユーザ” は、決められた ”ドメイン” を対象に、”ロール” に基づく操作が可能。
ロール
仮想デバイス
Admin Device
（管理用仮想デバイス）
Virtual Device A
（ユーザ用仮想デバイス）
Virtual Device B
（ユーザ用仮想デバイス）
Admin Role
Network Role
ユーザ
Security Role
ドメイン
ドメイン
all
access-list
action-list
class-map
interface
object-group
parameter-map
policy-map
probe
rserver
script
serverfarm
sticky
ドメイン
class-map1
class-map2
serverfarm1
serverfarm2
Server
Farm1
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
ドメイン
class-map3
class-map4
serverfarm3
serverfarm4
probe3
probe4
Server Server Server
Farm2 Farm3 Farm4
Cisco Public
ドメイン
class-map5
class-map6
serverfarm5
serverfarm6
para-map5
para-map6
Server
Farm5
Server
Farm6
Server Role
App. Role
26
ACE 4710 の RBAC デフォルト・テンプレート
ロール（役割）・テンプレート
Admin (Root)
ネットワーク管理者
セキュリティ管理者
ロードバランサ管理者
サーバ/アプリケーション管理者

Interfaces

ACL

SSL

Serverfarm

Real Servers

Routing

NAT

PKI

Real servers

Serverfarm

Connection

Application
Inspection

Interface

VIP
Health
Monitoring

Loadbalance
SLB rules

NAT

VIP
Network
-Admin
Network
-Monitor
Presentation_ID
Security
-Admin

AAA
SSL
-Admin
Health
Monitoring
SLB
-Admin
Server
-Maintenance
Server
-Application
-Maintenance
All show commands
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
27
ACE 4710 の配置デザイン・機能；まとめ
① ワンアーム配置により
最大 4Gbps を発揮
（1RU サイズで 4Gbps）
ACE 4710
クライアント
VLAN
クライアント
VLAN
ACE 4710
② 最短1秒でのステートフル・フェイルオーバ
サーバ
VLAN
サーバ
VLAN
仮想デバイス
③ 仮想デバイスの活用
により、1台の ACE
4710 で複数のサーバ
システム向けにロード
バランシング
③’仮想デバイスごとに
リソース割り当て、
権限別アクセスが可能
Presentation_ID
システムA
© 2009 Cisco Systems, Inc. All rights reserved.
システムB
Cisco Public
システムC
28
Q and A
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
29
ACE 4710 アプライアンス導入ガイド
http://www.cisco.com/web/JP/product/hs/contnetw/ace4710/index.html
配置デザイン
仮想化技術
の活用
機能や設定
の考え方
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
30
Presentation_ID
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Public
31

Download Report